每周文章分享

2022.10.24-2022.10.30

01

研究背景

随着工业物联网（IIoT）的快速发展，工业系统与企业系统的交互协作变得更加广泛，随之也伴随着一系列的网络安全问题。由于专有的通信协议、异构的通信基础设施和极大的信任边界，传统的安全控制技术无法有效预防针对IIoT的网络攻击。

目前，许多边界保护模型中利用了机器学习技术和统计技术，在攻击检测模型中大多采用监督学习的方法，这需要利用专家经验手动给攻击者贴标签。另外，随着攻击模式的快速变化，人工贴标签的交互过程需要很快的响应时间，因此人工贴标签在实际网络场景中很难实现。

02

关键技术

本文通过智能电网等真实IIoT网络场景中的攻击框架解释了IIoT网络信任边界的脆弱性。同时本文提出了一个自适应信任边界保护模型，该模型采用了基于深度学习特征提取的半监督方法。首先，用深度学习技术从无标签和有标签数据中提取信任边界漏洞的特征；其次，将提取的特征用于监督分类训练。深度学习过程中无标签数据的使用，可以让本文所提的攻击检测模型适应快速变化的攻击新模式下的信任边界。

该方法的创新和贡献如下：

1）提出了一种IIoT网络信任边界攻击策略框架，克服了传统IT安全隔离技术的封装相关隐藏问题。

2）利用不同的深度学习体系结构和多层协议，提出了一种新的基于深度学习的半监督攻击检测模型。

3）采用真实的IIoT网络测试台对所提模型进行验证分析。

03

算法介绍

1. 系统模型

图1 基于深度学习特征提取的信任边界保护模型

本文提出的系统模型如图1所示，是一个基于深度学习特征提取的信任边界保护模型。该模型主要分为两层：上层为监督层、下层为无监督层。在监督层，对具有标记的样本进行学习，训练一个有监督的分类器，该分类器在检测引擎中使用，以判断网络中的测试样本是正常样本还是攻击样本。由于攻击模式的快速变化，在响应时间范围内人工贴标签是不可行的，从而很难在传统的边界保护引擎中融入新攻击模式的知识。为此，本文使用无监督深度学习模型提取没有标签的新模式中的特征和变化，并将该模型与已经标记的数据结合形成一个半监督模型。

2. 深度学习的无监督训练 

图2 基于RMB的深度训练网络

深度学习的无监督训练过程如图2所示。在深度学习中，使用受限玻尔兹曼机（Restricted Boltzman machines，RBMs）表示输入的攻击特征。RBMs是一种对称耦合的随机反馈型二值单元神经网络，包括可视层和隐含层两层。同样，网络中节点分为可见单元和隐单元，训练过程中输入特征是i层的可见单元，对应的训练结果是j层的隐单元。本文采用对比分歧算法，其目的是实现更高效的训练效率。

深度学习网络的性能取决于隐含层数、隐含层节点数这些超参数的值。在无监督模型中，最上面隐含层的输出被认为是学习到的固有特征，这些特征用于训练有监督的分类器。本文使用了不同种类的监督学习方法，如支持向量机、随机森林和极限树，以实现模型的弹性。

3. 攻击策略框架

图3 攻击框架

图3给出了对抗IIoT网络信任边界的网络攻击所使用的的主要策略，包括攻击者的网络踩点、扫描、枚举、攻击交付和隐藏踪迹。

1）踩点：访问网络之前，攻击者锁定攻击目标并使用不同的踩点技术（比如图中提到的WHOIS踩点、DNS踩点等）收集与目标有关的有用信息；

2）扫描：即IIoT网络中的服务器使用Windows系统顶部的现成组件构成，通过踩点获得的信息，这些服务器很容易通过扫描过程被识别。攻击者监视目标网络活动的IP地址

3）枚举：攻击者尝试识别目标网络的域名和网络块。

4）攻击交付：在踩点、扫描、枚举一些列操作后，攻击者进行未认证或认证攻击，通过注入代码对网络进行恶意篡改。当攻击者访问系统账户后，远程控制系统并通过清除安全事件日志、隐藏已安装文件等操作隐藏踪迹。

04

实验结果

为了验证所提出方案的有效性，本文使用如图4所示的IIoT系统作为实验测试台。实验中生成图2给出的攻击框架后，网络的数据流图用来识别信任边界和相关攻击模型。

图4 IIoT网络中识别信任边界和攻击模型的数据流图

1. 仿真设置

本文共设置了4000个数据样本，其中包括20864个正常数据和19136个攻击数据。样本特征设置127个作为全局特征集合。从数据集中生成一个二维向量，行表示数据实例（0表示正常数据，1表示攻击数据），列表示数据特征。在深度学习模型中，研究变量为迭代次数、网络的隐含层数以及每一层的节点数。

 2. 性能分析

本文考虑了正确性（Accuracy）、精确度（Precision）、召回率（Recall）、F1得分（F1 score）和AUC得分（AUC score）这五个性能指标。

首先，深度学习模型中只考虑2个隐含层，自下而上每一层节点设置为64-64、128-512、512-512和1024-1024。从下表给出的结果来看，当有2层隐含层时，每一层设置512个节点的正确性达到95.2%，是四组实验中正确性最高的，其AUC也是最高的，达到0.85。从实验结果大致可以分析，相同隐含层数时节点数越多，性能越好。

 因此，进一步在深度模型中考虑了3个隐含层，下表给出了实验结果。同样可以得出隐含层数相同时节点数越多性能越好的结论。自下而上三层节点数分别设置为1024-1024-512时，四种性能指标都是最好的。同时对比上表，当隐含层数从来两层增加到三层时，准确性和AUC得分的值也更好。

接着，表下表给出的实验将隐含层数设置为4，再一次验证了隐含层数相同时，各层节点数越多性能越好的结论。但是，对比上下表，当节点数设置为1024-1024-256-128的准确性比1024-1024-512低，因此停止对更多隐含层数的研究。

图5给出了节点分布为1024-1024-512情况下的性能曲线图。可见，在本文所提半监督模型的学习过程中，正确性和损失值都会随着迭代次数的增加而增加，并且在学习过程中，正确性升高的趋势要高于损失值增大的趋势，这也意味着总体性能随着迭代次数不断增加。

图5 节点分布为1024-1024-512的性能曲线图

05

总结

针对工业物联网中多变的攻击模式，本文提出了一种基于深度学习的自适应信任边界保护方案，使用收集的数据来学习攻击模式的性质。和传统的网络安全方案相比，本文通过对攻击策略、相应信任边界的深度分析，并利用IIoT测试床给出的实验结果，验证了本文所提的半监督模型成功克服了传统安全控制技术的局限性，提高了攻击检测的正确性。

扫描二维码关注我们