李伟宏，宋 坤

（1.国家能源集团雁宝能源雁南煤矿，内蒙古 呼伦贝尔 021122；2.大雁矿业集团有限责任公司，内蒙古 呼伦贝尔 021122）

0 引 言

智能矿井工控网络的稳定运行对矿井工程开发建设具有至关重要的意义。从广义角度分析，智能矿井工控网络是建设矿井工程智能化系统的核心基础，具有全面感知、分析决策、自主学习、矿井动态预测、协同控制以及实时互联等功能，是保证智能矿井安全生产的基础[1]。在当前信息技术和网络技术高速发展的趋势下，网络攻击、网络病毒以及网络入侵威胁逐渐增多，工控网络安全问题日益突出[2]。一旦智能矿井工控网络遭受入侵攻击，就会对矿井的安全生产与运行造成巨大危害，威胁矿井生产人员的生命安全[3]。基于此，设计科学合理的智能矿井工控网络入侵防御方法至关重要。

现阶段，传统的网络入侵防御方法日益成熟，能够防御多种类型的网络入侵攻击[4]。然而，智能矿井工控网络运行流程复杂，网络安全防护规模庞大，传统的防御方法在实际应用过程中存在一定不足，主要体现在防御响应时间较长、防御误报率较高、无法快速准确地防御各类网络入侵攻击等[5]。支持向量机能够改善这一问题，有效解决小样本、非线性模式识别中存在的细节问题，高精度地分析与识别数据[6]。基于此，在传统网络入侵防御方法的基础上引入支持向量机，开展基于支持向量机的智能矿井工控网络入侵防御方法研究。

1 智能矿井工控网络入侵防御方法

1.1 入侵数据集预处理

对入侵数据集进行预处理，为后续的入侵防御提供基础数据支持。网络入侵数据集预处理的主要目的在于提高后续网络防御训练和学习的质量，从源头降低防御所需的成本，减少防御处理时间[7]。文章设计的网络入侵数据集预处理以数值化处理为主，即对部分字符型数据进行数值转换。在智能矿井工控网络入侵数据集中，需要进行数值化处理的包括3 类特征和1 个标签。数值化处理特征说明如表1 所示。

表1 网络入侵数据集数值化处理特征说明

1.2 智能矿井工控网络入侵检测

完成智能矿井工控网络入侵数据集预处理后，需要对工控网络入侵进行全方位检测。文章设计的智能矿井工控网络入侵检测框架如图1 所示。

图1 智能矿井工控网络入侵检测框架

收集网络入侵数据并完成数据预处理后，将数据集划分为测试集与训练集。其中，训练集主要用于网络入侵检测训练，而测试集主要用于网络入侵检测验证[8]。分别建立机器学习模型与网络入侵检测模型，从有标签的网络入侵数据中分析局部特征，提取其中有意义的数据，再从无标签数据中找出网络入侵的整体特征，通过模型的共同作用获取网络入侵检测结果。

1.3 基于支持向量机的工控网络入侵防御

在工控网络入侵检测完毕后，利用支持向量机对智能矿井工控网络进行多维度的入侵防御，维护网络安全。根据智能矿井工控网络的运行特征，给定一个线性可分的数据集，将网络入侵线性数据样本设置为分类超平面，设定分类超平面的软间隔[9]。基于支持向量机理论，建立分类超平面线性方程。基于线性方程寻找最优超平面，建立工控网络安全通信信道，丢弃攻击数据包，终止工控网络会话。在智能矿井工控网络中增加主动防御响应功能，一旦发现任何入侵攻击行为，立即响应，并主动切断工控网络连接。修改防火墙策略，生成网络警报，并记录日志。在此基础上，对智能矿井工控网络入侵进行检测关联与分析，捕获数据流。根据数据流结果，采取相应的行动，阻止可能对工控网络造成威胁与攻击的各类入侵，全方位、多维度地实现智能矿井工控网络入侵防御的目标，保证工控网络运行的可靠性与安全性。

2 实验分析

2.1 实验前期准备

为了避免后续应用过程中出现异常问题，对智能矿井工控网络的运行造成不良影响，在投入使用前，需要对提出的网络入侵防御方法的可行性及防御效果进行多维度测试，并将入侵防御实验结果与其他方法的防御实验结果进行对比。

实验使用的数据集为某实验室建立的工控网络入侵检测标准数据集，数据来源为智能矿井数据采集 与 监 视（Supervisory Control And Data Acquisition，SCADA）控制系统的网络层数据。数据集中，每条数据均由26 个特征量和1 个标签值组成。其中，特征量包括数据地址码、响应恢复、控制量信息以及功能码信息等。实验选取数据集的入侵攻击类型描述如表2 所示。

表2 数据集入侵攻击类型描述

对上述数据集入侵攻击类型对应的特征量进行离散处理，归一化处理其中连续混合的数值，并将数据规范到[0,1]区间内。在此基础上，搭建此次实验测试的运行平台，开展智能矿井工控网络入侵防御实验，检验防御方法的可行性。

2.2 结果分析

此次实验中，为了增强测试结果的说服力，引入对比分析的实验方法。将文章提出的基于支持向量机的智能矿井工控网络入侵防御方法设置为实验组，将文献[1]提出的基于边缘样本的网络防御方法设置为对照组A，将文献[2]提出的基于渗透测试的网络防御方法设置为对照组B，分别对3 种方法的智能矿井工控网络入侵防御效果进行客观对比分析。选取智能矿井工控网络入侵防御误报率作为此次实验测试的评价指标，其计算表达式为

式中：P表示工控网络入侵防御误报率；Qa表示误检为其他类型的工控网络入侵数据；Q表示实验数据集容量。

设定网络入侵数据量分别为200 MB、400 MB、600 MB、800 MB、1 000 MB 以及1 200 MB，在数据量逐级增多的情况下，利用MATLAB 模拟分析软件模拟3 种方法的网络入侵防御流程。计算3 种方法对应的工控网络入侵防御误报率，结果如图2 所示。

图2 不同方法的网络入侵防御误报率对比

根据图2，文章提出的基于支持向量机的智能矿井工控网络入侵防御方法应用后，在数据量逐级增多的情况下，网络入侵防御误报率始终低于另外2 种方法，并未随着数据量的增多而出现大幅上升趋势。对照组A 和对照组B 的方法应用后，网络入侵防御误报率明显较高。由此可知，文章提出的基于支持向量机的智能矿井工控网络入侵防御方法具有较高的可行性，能够有效防御各种类型的网络入侵攻击，可以投入实际矿井工控网络中使用。

3 结 论

为了改善传统矿井工控网络入侵防御方法在实际应用中的防御周期长、防御响应速度慢等问题，引入支持向量机，提出智能矿井工控网络入侵防御方法的深入研究。该方法打破了网络入侵防御对环境条件的制约，优化了网络安全防御措施的防护效果，能够在短时间内快速防御智能矿井工控网络多样化、复杂化的入侵攻击。从工控网络节能需求与安全需求出发，基于支持向量机的智能矿井工控网络入侵防御方法解决了智能矿井工控网络入侵检测及防御效率较低的问题，全面提高了网络防御抗干扰能力，具有良好的发展前景。