梁 鹏，朱 旭，曹谢东，秦 勇，张伟伟，胡启超

(1.西南石油大学 电气信息学院，四川 成都 610500;2.青海油田涩北作业公司，青海 格尔木 816000）

0 引言

SCADA (Supervisory Control And Data Acquisition)系统，即数据采集与监视控制系统[1]，现已广泛应用于油气集输[2]领域，尤其是大规模油气集输管网。过去，SCADA系统一直处于封闭的环境中，安全风险相对较低。随着近几年敌对国家和集团出于经济、政治和军事目的对能源SCADA系统的攻击频发[3]，油气集输管网SCADA系统作为国家重大基础设施和能源发展战略的重要组成部分，面临着严峻的安全挑战[4]。

为了提高分布式油气集输SCADA系统主机的安全防护等级，进而提升整个SCADA系统的安全防御能力，提出了一种针对油气集输SCADA安全防御的因素神经元模型，将因素神经网络理论[5-6]和程序行为特征[7]应用到油气集输SCADA主机安全防御中，使其具有抗已知和未知恶意程序攻击的能力。

1 因素神经网络理论

1.1 因素神经网络理论简介

因素神经网络理论是关于智能工程领域的基础理论之一。它以知识的因素表示为基础，以因素神经元及因素神经网络为其形式化框架，并希望以此来实现知识的存储与运用，完成智能行为的工程模拟过程。

1.2 因素与因素状态空间

因素 f 是事物描述的基元，也是一种认知与表达范畴，它是在对事物进行认知过程中抽象形成的，人们又用它来认知和描述事物，如对事物进行描述时所考虑的事物的属性、推理过程中所考虑的各种前提条件等。因素f∈F可以视为一个映射，作用在一定的对象u∈U上，获得一定的状态 f(u)。f:D(f)→X(f)，其中X(f)={f(u)│u∈U}为 f 的状态空间[5-6]。

1.3 解析型因素神经元的形式化定义

因素神经元FN（Factor Neuron）是一个知识表达及信息处理的基本单元[5]。因素神经元分为解析型因素神经元和模拟型因素神经元，它们都是构成因素神经网络的基本单位。本文所采用的是基于规则推理的解析型因素神经元[5-6]。

一个具有推理功能的解析因素神经元可表述为[5]：

其中，为解析型因素神经元结构、因素及状态；为神经元的推理、判别与内部控制功能；a为输入信息；b为单元推理目标或响应。

2 程序行为因素

2.1 程序行为因素的定义

结合因素神经网络理论与程序行为特征，定义程序行为因素。

定义1 以 API函数名为标识，完成对程序行为属性的一种抽象描述，则将这种描述称为程序行为因素。

2.2 程序行为的知识表示

结合因素神经网络理论表达知识的方式：原子模式和关系模式[5]，分别定义程序行为因素表示知识的原子模式和关系模式。

定义3 程序行为因素表示知识的原子模式为一个元组，即 M(B)=，其中，B={文件操作[8]，注册表操作，服务活动操作，进程/线程操作}[9-10]，即知识描述的程序行为集，即描述B时所选用程序行为因素集；X则是用来描述B时，B在方面的表现状态，X={Xb（）∈，b∈B}，即具体 API函数[11]的参数取值。

定义4 程序行为因素表示知识的关系模式为一个元组，即 R(B)=，其中，RM为知识模式集，以文件操作的一个知识模式集为例，RM=<{Rid1：if遍历磁盘文件then可疑文件操作行为}，…{Rid n：if查找文件and修改文件读写属性then危险文件操作行为}>；M(B)为程序行为因素表示知识的原子模式；XM为原子模式M(B)在RM上的构组状态及状态变换关系。

程序行为因素表示知识的原子模式，给出了对被描述对象进行认知时有关知识的一组离散表达[5]。程序行为因素表示知识的关系模式，它可把各种不同的相关知识或各种不同的知识表达方式有机地联系起来，实现知识不同表达方式的转换及知识间的推理及动态过程。

3 解析型因素神经元模型的结构

3.1 解析型因素神经元模型的内部结构

解析型因素神经元是一个集知识表示与动态推理的智能单元，能够处理数据流和控制流信息。如图1所示，基本结构由输入 /输出系统、推理系统和知识库4个基础系统构成。

图1 解析型因素神经元模型的内部结构

⑴输入/输出系统：输入 /输出系统负责对因素神经元与外界的交互，是外界与因素神经元交互的信息通道。

⑵推理系统：完成前提命题状态向结论命题状态的转换，即实现问题的推理和求解策略。

⑶知识库：存放了大量关于油气集输 SCADA主机安全的事实规则。

因素神经元分别部署在 SCADA系统工控机、工程师站、操作员站等各级上下位机上，且所有因素神经元均采用该模型结构。

3.2 知识库的构造

知识库中存放了大量关于油气集输SCADA主机安全的事实规则[12]。知识库包括合法因素知识库和恶意因素知识库。其知识的获取来自预置方式和系统运行过程中判定为合法的程序行为因素。

其中，合法因素知识库，即由油气集输 SCADA系统所有主机上经因素神经元判断为合法的程序行为因素组成的知识库；恶意因素知识库，即由恶意程序行为因素组成的攻击识别知识库。

3.3 推理系统的构造

推理系统是因素神经元的核心，它模拟信息安全专家对SCADA系统主机安全防御的思维活动过程，以解决SCADA系统信息安全问题，本文中所有因素神经元的推理系统的推理机制均是基于If-then的规则[13]匹配。因素神经元模型的推理系统工作流程如图2所示。

4 验证性结果及分析

本文的解析型因素神经元模型在由基金课题小组搭建的“SCADA系统仿真平台”上进行验证性测试，该SCADA系统仿真平台模拟某油气田的SCADA系统架构，由地区调度中心、区域控制中心、站控系统及通信网络构成。

在工控机上F盘下的SCADA项目文件属于仿真平台的重要文件，该项目文件被列入文件监控范围，某未知程序将项目文件中的struct.db删除时，因素神经元检测对DeleteFileA函数的调用，并获取函数参数值进行比较，发现该恶意程序正在试图删除struct.db，于是发出预警信息，如图3所示。

图2 因素神经元模型的推理系统工作流程

图3 恶意文件操作测试结果

同理，还分别完成了对恶意的注册表操作、服务活动操作、进程/线程操作的监控测试。

测试结果显示了该模型可以完成针对油气SCADA系统主机的恶意程序行为监控，验证了由解析型因素神经元构建的因素神经元防御模型的可行性，针对SCADA系统工控机、工程师站、操作员站等各级上下位机的攻击，该模型可以起到良好的监控防御作用。

5 结论

本文在充分分析了SCADA系统的基础上，结合因素神经网络理论和程序行为特征，定义了程序行为因素的概念，提出了一种针对SCADA安全的因素神经元模型，通过实验分析对模型进行了验证，达到了良好的预期效果，为研究SCADA安全防御方法提供了一种新思路。下一步将对神经元的推理算法进一步优化，不断加强对工控机操作系统关键API函数调用的监控，并完善对恶意行为的响应机制，增强对未知恶意程序攻击的防御能力，进而不断提高因素神经元模型的防御水平。

[1]王华忠.监控与数据采集（SCADA）系统及其应用（第二版）[M].北京：电子工业出版社,2012.

[2]王倩, 姜明慧.基于油气长输管道SCADA系统探究[J].中国石油和化工标准与质量, 2014(3):43,31.

[3]彭勇, 江常青, 谢丰, 等.工业控制系统信息安全研究进展[J].清华大学学报(自然科学版), 2012,52(10):1396-1408.

[4]魏钦志.工业控制系统安全现状及安全策略分析[J].信息安全与技术, 2013,4(2):23-26.

[5]刘增良.因素神经网络理论及其应用 [M].贵州:贵州科技出版社, 1994.

[6]刘增良, 刘有才.因素神经网络理论及实现策略研究[M].北京: 北京师范大学出版社, 1992.

[7]张一弛, 庞建民, 赵荣彩, 等.基于证据推理的程序恶意性判定方法[J].软件学报, 2012,23(12):3149-3160.

[8]苏雪丽, 马金鑫, 袁丁.基于Detours的文件操作监控方案[J].计算机应用, 2010,30(12):3423-3426.

[9]郭旭亭, 贾小珠, 张洪水.一种基于程序行为模糊模式匹配的病毒检测方法[J].青岛大学学报(自然科学版),2007,20(4):72-75.

[10]向林泓.主动防御技术的研究和实现 [D].成都:电子科技大学, 2011.

[11]李辰.主机入侵防御中行为监控技术的研究与实现[D].北京: 北京邮电大学, 2009.

[12]李焕洲, 陈婧婧, 钟明全, 等.基于行为特征库的木马检测模型设计[J].四川师范大学学报（自然科学版）,2011,34(1):123-127.

[13]曹谢东.模糊信息处理及应用[M].北京:科学出版社，2003.