CN116545679A - 一种工业情境安全基础框架及网络攻击行为特征分析方法 - Google Patents

Abstract

本发明公开了一种工业情境安全基础框架及网络攻击行为特征分析方法，工业情境安全的基础框架包括基于物理通信安全的物理感知通信层、基于数据服务安全的元数据信息交互层、基于工业情境安全的工控情境分析层与基于数字应用安全的工业服务应用层，工控情境分析层中内置用于获取工控攻击目标的概率推理模型，概率推理模型中使用被拉格朗日乘数法优化过的基于决策树的集成分类算法模型分析攻击意图。本发明采用上述步骤的一种工业情境安全基础框架及网络攻击行为特征分析方法，用于系统性地分析工业互联网攻击行为、目标和趋势。

Description

一种工业情境安全基础框架及网络攻击行为特征分析方法

技术领域

本发明涉及工业网络安全技术领域，尤其是涉及一种工业情境安全基础框架及网络攻击行为特征分析方法。

背景技术

工业互联网作为智能制造和工业数字化、网络化、智能化的关键信息基础设施，正面临着频发的内部威胁和外部风险的双重挑战，目前针对工业互联网安全破坏防范的路径和层级尚不清晰，现有的网络攻击行为特征分析方法存在功能冗余、过拟合与低效率等问题。

针对以上问题，文献[1]设计了具有多特征层的双向长、短时记忆网络(B-MLSTM)，采用PCA等方法进行特征降维后探究了深度学习与工业互联网的进一步融合。由于单一的机器学习算法用于网络攻击特征分析往往效果不佳，将两种或多种学习方法融合的研究逐渐增多。这类研究的缺陷在于，关于网络攻击行为的特征分析，对于不同特征对最终攻击结果的影响探究主要采用的是将特征逐个加入的方式，例如文献[2]，但这种方式忽略了特征之间的相互作用。

上文提到的文献如下：

[1]Saurav Chakraborty,Agnieszka Onuchowska,Sagar Samtani,et.al.Machine Learning for Automated Industrial IoT Attack Detection:AnEfficiency-Complexity Trade-off[J].ACM Transactions on Management InformationSystem.2021,12(4):37.

[2]Zhang X Y,Li J,Zhang D J,et al.Research on feature selection forcyber attack detection in industrial Internet of Things[C]Proceedings of the2020International Conference on Cyberspace Innovation of AdvancedTechnologies,Guangzhou,China,2020.

发明内容

本发明的目的是提供一种工业情境安全基础框架及网络攻击行为特征分析方法，用于系统性地分析工业互联网攻击行为、目标和趋势。

为实现上述目的，本发明提供了一种工业情境安全基础框架及网络攻击行为特征分析方法，工业情境安全的基础框架包括基于物理通信安全的物理感知通信层、基于数据服务安全的元数据信息交互层、基于工业情境安全的工控情境分析层与基于数字应用安全的工业服务应用层；

物理感知通信层包含人的物理交互、人机物理交互和智能体物理交互三种元素；

元数据信息交互层包括人联网、物联网和互联网，人联网依托于社会大数据，物联网依托于工业大数据，互联网依托于社会大数据和工业大数据交会形成的情境元数据；

工控情境分析层按照攻击进程分为基于服务演变进化的工控实体层、基于工控环境感知的工控环境层、基于行为意愿分析的行为表征建模层、基于隐含意图洞察的意图AI推理层、基于目标趋势识别的目标感知计算层；工控情境分析层中内置用于获取工控攻击目标的概率推理模型，概率推理模型中使用被拉格朗日乘数法优化过的基于决策树的集成分类算法模型分析攻击意图。

优选的，工控实体层包括若干工控主体、若干工控客体和工业互联网服务，工控主体包括工人、机器人和智能体，工控客体包括工业生产相关的数据、信息、知识、软件、硬件、固件，每一个工控主体具有相应的物理主体身份，工业互联网服务为概率推理模型提供计算算力。

优选的，概率推理模型的推理步骤如下：

在工业环境层中追踪工控主体对工控客体的操作，按时间段捕获相关环境信息，构成工业情境六元组Is(Me,Id,Wi,Be,En,Ta)，其中Is代表工业情境industry situation，Me代表工控客体信息Message，Id代表主体身份identity，Wi代表攻击意愿will，Be代表行为behavior，E代表环境environment，Ta代表目标target；

在行为表征建模层中将若干工业情境六元组组合成最小意图单元，最小意图单元是指实现某一目标的特定的情境时间序列，然后将最小意图单元按攻击目标收集起来形成数据集，数据集汇总后输入基于决策树的集成分类算法模型中，对攻击特征进行分析和分类；

在意图AI推理层中根据算法模型输出结果获知攻击意图；

在目标感知计算层中根据攻击意图识别被攻击的工控目标。

优选的，使用拉格朗日乘数法对基于决策树的集成分类算法进行优化，具体步骤包括：

S1、使用以决策树为基学习器的集成算法进行特征重要性与特征相关性的初步计算，初步计算采用投票法，即选取与标签值最为契合的特征，按多棵树分类器投票决定最终分类结果，根据分类结果输出特征重要性；

S2、特征重要性每输出一次，就记录一次损失函数的值，根据拉格朗日乘数优化算法计算特征重要性，剔除掉重要性排序最末位的特征，同时更新特征集以进行下一轮训练；

S3、选取全局最小损失值所对应的特征集作为输出，即为全局最优特征集。

优选的，S2中，根据拉格朗日乘数优化算法计算特征重要性的具体步骤如下：

工控实体层中网络攻击行为的特征数目为n，分别为x₁，x₂，…x_i，…，x_n，取特征集合X＝(x₁，x₂，…x_i，…，x_n)，构造拉格朗日函数如下：

由于决策树中使用信息增益划分特征结点，故选取交叉熵损失函数作为目标函数f，输出标签为真实标签为y，I＝(1,2,…,n)，则：

则对应的拉格朗日函数为：

约束函数为：

其中Λ(·)为指示函数，当·为真和假时分别取值为0，1，令对/>y_i与λ_i的一阶偏导为零，则：

由此可得在约束函数/>下的极值点，在该极值点求决策树结点的纯度，避免因样本数据不平衡而导致的收敛于局部最小点；

取工业互联网网络攻击特征集合X＝(x₁,x₂,…,x_i,…,x_n)，使用信息增益来评估特征的重要性，在第m棵树的第n个结点的信息熵为：

其中k表示有K个类别，p_nk表示节点n中类别k所占的比例；

对于特征x_i有V个可能的取值，可表示为{x_i1,x_i2,…,x_iV}，使用x_i对样本集进行划分，X^V表示第v个分支结点包含了X中所有在属性x_i中取值为X_iv的样本，考虑到不同的分支结点包含的样本不同，对分支结点赋予权重w_n＝|X^v|/|X|，即样本数越多的分支结点影响越大，那么特征x_i对于样本集X的信息增益可表示为：

如果特征x_i在第m棵树中出现的的结点在集合M中，则特征x_i在第m棵树的重要性为

Gain_mi＝∑_m∈MGain(X,x_i) (8)

假设经拉格朗日乘数法优化后的决策树一共有t棵树，则特征x_i的特征重要性为

因此，本发明采用上述结构的一种工业情境安全基础框架及网络攻击行为特征分析方法，提出基于工控实体和工控客体互动的攻击行为分析框架，在框架中计算推理网络攻击行为的攻击意图和攻击目标，并且针对当前工业互联网中网络攻击行为特征数据过多导致的训练成本增加的问题，在拉格朗日乘数优化算法的基础上，提出了优化的以决策树为基学习器的特征选择算法，即优化决策树特征选择算法。

下面通过附图和实施例，对本发明的技术方案做进一步的详细描述。

附图说明

图1为本发明一种工业情境安全基础框架及网络攻击行为特征分析方法实施例的总框架结构示意图；

图2为本发明实施例的元数据信息交互层与物理感知通信层的结构对应关系示意图；

图3为本发明实施例的工控情境分析层的层级结构示意图；

图4为本发明实施例的行为意愿分析过程图；

图5为本发明实施例的使用拉格朗日乘数法对基于决策树的集成分类算法进行优化的步骤图。

具体实施方式

以下通过附图和实施例对本发明的技术方案作进一步说明。

实施例

如图1所示，一种工业情境安全基础框架及网络攻击行为特征分析方法，工业情境安全的基础框架包括基于物理通信安全的物理感知通信层、基于数据服务安全的元数据信息交互层、基于工业情境安全的工控情境分析层与基于数字应用安全的工业服务应用层。

如图2所示，物理感知通信层与元数据信息交互层具有结构对应关系。物理感知通信层包含人的物理交互、人机物理交互和智能体物理交互三种元素。人的物理交互是指人与人之间的线下直接交流和线上间接交流，采取的手段包括但不限于基于wifi网络和5G/6G通信的电话沟通、聊天信息等。人机物理交互是指工人和技术人员对工业生产设备的操控动作，既包括物理的操作行为，也包括远程的控制手段。智能体物理交互是指智能工业设备之间的互动和交流。

元数据信息交互层包括人联网、物联网和互联网，人联网依托于社会大数据，社会大数据由工人、社群、群体、智能体、机器人在不断地相互互动之间产生，并在实施过程中进行反馈和迭代。社会大数据和人联网形成互联网中的人机智能和群体智能。物联网依托于工业大数据，工业大数据由收集工业生产过程中硬件/固件、仪器设备、器件/机器、基础设施的相关数据和互动数据产生。物联网和工业大数据形成互联网中的硬件智能和基础设施智能。互联网依托于社会大数据和工业大数据交会形成的情境元数据，实现人机智能、群体智能与硬件智能、基础设施智能之间的交流，并最终形成相关领域的AI，作为工业控制安全的判断主体。

如图3所示，工控情境分析层按照攻击进程分为基于服务演变进化的工控实体层、基于工控环境感知的工控环境层、基于行为意愿分析的行为表征建模层、基于隐含意图洞察的意图AI推理层、基于目标趋势识别的目标感知计算层。工控情境分析层中内置用于获取工控攻击目标的概率推理模型，概率推理模型的推理步骤与工控情境分析层的层级结构为抽象与具象化的对应关系。

工控实体层包括若干工控主体、若干工控客体和工业互联网服务，工控主体包括工人、机器人和智能体，相关信息从人联网获得。工控客体包括工业生产相关的数据、信息、知识、软件、硬件、固件，相关信息从物联网获得。每一个工控主体具有相应的物理主体身份，工业互联网服务为概率推理模型提供计算算力。工控场景下的实际攻击多为通过互联网进行信息窃取或控制设备造成生产故障等，因此需要从工控主体入手，分析其对工控客体的操作行为。

概率推理模型的推理步骤如下：

在工业环境层中追踪工控主体对工控客体的操作，按时间段捕获相关环境信息，构成工业情境六元组Is(Me,Id,Wi,Be,En,Ta)，其中Is代表工业情境industry situation，Me代表工控客体信息Message，Id代表主体身份identity，Wi代表攻击意愿will，Be代表行为behavior，E代表环境environment，Ta代表目标target；

在行为表征建模层中将若干工业情境六元组组合成最小意图单元，最小意图单元是指实现某一目标的特定的情境时间序列，然后将最小意图单元按攻击目标收集起来形成数据集，数据集汇总后输入基于决策树的集成分类算法模型中，对攻击特征进行分析和分类；

在意图AI推理层中根据算法模型输出结果获知攻击意图；

在目标感知计算层中根据攻击意图识别被攻击的工控目标。

行为表征建模层中使用被拉格朗日乘数法优化过的基于决策树的集成分类算法模型分析网络攻击行为的攻击意图。基于工业互联网网络攻击行为特征具有高复杂性、高维度等特点，存在冗余、不平衡等现象，首先使用随机森林方法与XG-Boost方法对原始特征进行初步筛选，去掉无关特征，该方法既可以降低后续实验的计算成本，两种方法的同时使用又避免了偶然情况的产生，提升了有效性，初步筛选后输入优化过的算法模型中进行分析。

使用拉格朗日乘数法对基于决策树的集成分类算法进行优化，基本原理是选取优化算法与传统决策树算法相结合的方法进行特征优化选取，将优化后的特征组合用于后续模型的训练与测试，旨在提高对不同攻击的检测效率和检测精度。具体步骤包括：

S1、使用以决策树为基学习器的集成算法进行特征重要性与特征相关性的初步计算，初步计算采用投票法，即选取与标签值最为契合的特征，按多棵树分类器投票决定最终分类结果，根据分类结果输出特征重要性；

S2、特征重要性每输出一次，就记录一次损失函数的值，根据拉格朗日乘数优化算法计算特征重要性，剔除掉重要性排序最末位的特征，同时更新特征集以进行下一轮训练，根据拉格朗日乘数优化算法计算特征重要性的具体步骤如下：

工控实体层中网络攻击行为的特征数目为n，分别为x₁，x₂，…x_i，…，x_n，取特征集合X＝(x₁，x₂，…x_i，…，x_n)，构造拉格朗日函数如下：

由于决策树中使用信息增益划分特征结点，故选取交叉熵损失函数作为目标函数f，输出标签为真实标签为y，I＝(1,2,…,n)，则：

则对应的拉格朗日函数为：

约束函数为：

其中Λ(·)为指示函数，当·为真和假时分别取值为0，1，令对/>y_i与λ_i的一阶偏导为零，则：

由此可得在约束函数/>下的极值点，在该极值点求决策树结点的纯度，避免因样本数据不平衡而导致的收敛于局部最小点；

取工业互联网网络攻击特征集合X＝(x₁,x₂,…,x_i,…,x_n)，使用信息增益来评估特征的重要性，在第m棵树的第n个结点的信息熵为：

其中k表示有K个类别，p_nk表示节点n中类别k所占的比例；

对于特征x_i有V个可能的取值，可表示为{x_i1,x_i2,…,x_iV}，使用x_i对样本集进行划分，X^V表示第v个分支结点包含了X中所有在属性x_i中取值为X_iv的样本，考虑到不同的分支结点包含的样本不同，对分支结点赋予权重w_n＝|X^v|/|X|，即样本数越多的分支结点影响越大，那么特征x_i对于样本集X的信息增益可表示为：

如果特征x_i在第m棵树中出现的的结点在集合M中，则特征x_i在第m棵树的重要性为

Gain_mi＝∑_m∈MGain(X,x_i) (8)

假设经拉格朗日乘数法优化后的决策树一共有t棵树，则特征x_i的特征重要性为

S3、选取全局最小损失值所对应的特征集作为输出，即为全局最优特征集。

因此，本发明采用上述结构的一种工业情境安全基础框架及网络攻击行为特征分析方法，由工控服务安全并逐层下沉至工控实体层中的设备安全，以工控设备为根基，实行工控环境安全保障，针对攻击行为，分析行为建模、意图推理以及目标识别，实现攻击的对抗防御和攻击链路阻断，保护攻击目标安全，完成工业情境的全方位安全防护。工控实体层中工控客体作为一个桥梁，与工控主体和工业互联网服务两两互通，形成一个双向链条。特别的，工业情境作为在某特定时间下多要素构成的六元组，为攻击意图推理与工控目标识别提供了基础。

最后应说明的是：以上实施例仅用以说明本发明的技术方案而非对其进行限制，尽管参照较佳实施例对本发明进行了详细的说明，本领域的普通技术人员应当理解：其依然可以对本发明的技术方案进行修改或者等同替换，而这些修改或者等同替换亦不能使修改后的技术方案脱离本发明技术方案的精神和范围。

Claims (5)

1.一种工业情境安全基础框架及网络攻击行为特征分析方法，其特征在于：工业情境安全的基础框架包括基于物理通信安全的物理感知通信层、基于数据服务安全的元数据信息交互层、基于工业情境安全的工控情境分析层与基于数字应用安全的工业服务应用层，物理感知通信层包含人的物理交互、人机物理交互和智能体物理交互三种元素；元数据信息交互层包括人联网、物联网和互联网，人联网依托于社会大数据，物联网依托于工业大数据，互联网依托于社会大数据和工业大数据交会形成的情境元数据；

工控情境分析层按照攻击进程分为基于服务演变进化的工控实体层、基于工控环境感知的工控环境层、基于行为意愿分析的行为表征建模层、基于隐含意图洞察的意图AI推理层、基于目标趋势识别的目标感知计算层；工控情境分析层中内置用于获取工控攻击目标的概率推理模型，概率推理模型中使用被拉格朗日乘数法优化过的基于决策树的集成分类算法模型分析攻击意图。

2.根据权利要求1一种工业情境安全基础框架及网络攻击行为特征分析方法，其特征在于：工控实体层包括若干工控主体、若干工控客体和工业互联网服务，工控主体包括工人、机器人和智能体，工控客体包括工业生产相关的数据、信息、知识、软件、硬件、固件，每一个工控主体具有相应的物理主体身份，工业互联网服务为概率推理模型提供计算算力。

3.根据权利要求2一种工业情境安全基础框架及网络攻击行为特征分析方法，其特征在于：概率推理模型的推理步骤如下：

在工业环境层中追踪工控主体对工控客体的操作，按时间段捕获相关环境信息，构成工业情境六元组Is(Me,Id,Wi,Be,En,Ta)，其中Is代表工业情境industry situation，Me代表工控客体信息Message，Id代表主体身份identity，Wi代表攻击意愿will，Be代表行为behavior，E代表环境environment，Ta代表目标target；

在行为表征建模层中将若干工业情境六元组组合成最小意图单元，最小意图单元是指实现某一目标的特定的情境时间序列，然后将最小意图单元按攻击目标收集起来形成数据集，数据集汇总后输入基于决策树的集成分类算法模型中，对攻击特征进行分析和分类；

在意图AI推理层中根据算法模型输出结果获知攻击意图；

在目标感知计算层中根据攻击意图识别被攻击的工控目标。

4.根据权利要求3一种工业情境安全基础框架及网络攻击行为特征分析方法，其特征在于：使用拉格朗日乘数法对基于决策树的集成分类算法进行优化，具体步骤包括：

S1、使用以决策树为基学习器的集成算法进行特征重要性与特征相关性的初步计算，初步计算采用投票法，即选取与标签值最为契合的特征，按多棵树分类器投票决定最终分类结果，根据分类结果输出特征重要性；

S2、特征重要性每输出一次，就记录一次损失函数的值，根据拉格朗日乘数优化算法计算特征重要性，剔除掉重要性排序最末位的特征，同时更新特征集以进行下一轮训练；

S3、选取全局最小损失值所对应的特征集作为输出，即为全局最优特征集。

5.根据权利要求4一种工业情境安全基础框架及网络攻击行为特征分析方法，其特征在于：S2中，根据拉格朗日乘数优化算法计算特征重要性的具体步骤如下：

工控实体层中网络攻击行为的特征数目为n，分别为x₁，x₂，…x_i，…，x_n，取特征集合X＝(x₁，x₂，…x_i，…，x_n)，构造拉格朗日函数如下：

由于决策树中使用信息增益划分特征结点，故选取交叉熵损失函数作为目标函数f，输出标签为真实标签为y，I＝(1,2,…,n)，则：

则对应的拉格朗日函数为：

约束函数为：

其中Λ(·)为指示函数，当·为真和假时分别取值为0，1，令对/>y_i与λ_i的一阶偏导为零，则：

由此可得在约束函数/>下的极值点，在该极值点求决策树结点的纯度，避免因样本数据不平衡而导致的收敛于局部最小点；

取工业互联网网络攻击特征集合X＝(x₁,x₂,…,x_i,…,x_n)，使用信息增益来评估特征的重要性，在第m棵树的第n个结点的信息熵为：

其中k表示有K个类别，p_nk表示节点n中类别k所占的比例；

对于特征x_i有V个可能的取值，可表示为{x_i1,x_i2,…,x_iV}，使用x_i对样本集进行划分，X^V表示第v个分支结点包含了X中所有在属性x_i中取值为X_iv的样本，考虑到不同的分支结点包含的样本不同，对分支结点赋予权重w_n＝|X^v|/|X|，即样本数越多的分支结点影响越大，那么特征x_i对于样本集X的信息增益可表示为：

如果特征x_i在第m棵树中出现的的结点在集合M中，则特征x_i在第m棵树的重要性为：

Gain_mi＝∑_m∈MGain(X,x_i) (8)

假设经拉格朗日乘数法优化后的决策树一共有t棵树，则特征x_i的特征重要性为：