ʏʏʏʏʏʏʏʏʏʏʏʏʏʏʏʏʏʏʏʏʏʏʏʏʏʏʏʏʏʏʏʏʏʏʏʏʏʏʏʏʏʏʏʏʏʏʏʏʏ ʏ
2016年7月第37卷㊀ 第7期
计算机工程与设计
COMPUTER ENGINEERING AND DESIGN
Jul y 2016Vol . 37㊀No .7
工业防火墙规则生成与优化的自学习方法
(1. 中国科学院沈阳自动化研究所, 辽宁沈阳110016; 2. 沈阳建筑大学信息与控制工程学院,
摘㊀ 要:为更加方便快捷地设置工业防火墙规则, 提出一种工业防火墙规则生成与优化的自学习方法㊂ 根据数据包捕获和分析进行数据预处理, 通过自学习模块产生防火墙规则集, 针对规则集进行合并优化, 减少规则数目, 缩短数据包匹配长度㊂ 实验数据对比分析结果表明, 该方法降低了数据包匹配时间, 随着规则数目的增加该优势更加明显㊂ 关键词:工业防火墙; 规则生成; 规则优化; 自学习; 白名单 规则doi :10.16208/. -7024.2016.07.011j issn1000
中图法分类号:TP3㊀ 文献标识号:A㊀ 文章编号:1000-7024(2016) 07-1752-05
3333
, 乔全胜2, , 万㊀ 明1, , 曾㊀ 鹏1, 尚文利1,
辽宁沈阳110168; 3. 中科院网络化控制系统重点实验室, 辽宁沈阳110016)
(1.Shen y an g Institute of Automation , Chinese Academ y of Sciences , Shen y an g 110016, China ; 2.Information and Control
En g ineerin g Facult y , Shen y an g Jianzhu Universit y , Shen y an g 110168, China ; 3.Ke y Laborator y of Chinese
Academ y of Sciences Network Control S y stem , Shen y an g 110016, China )
, , , ,
SHANG Wen -li 13, QIAO Quan -shen g 23, WAN Min g 13, ZENG Pen g 13
Self -learnin g method for g eneration and o p timization
of industrial firewall rules
wall rules was p resented.Accordin g to p acket ca p turin g and anal y zin g , the data p re p rocessin g was accom p lished.The firewall
Abstract :To make the rule settin g more convenient , a self -learnin g method for the g eneration and o p timization of industrial fire -rule set was g enerated b y the self -learnin g module.The rule set was o p timized to reduce the number of rules and shorten the p acket matchin g len g th. Ex p erimental and com p arative results show that the p ro p osed method reduces the p acket matchin g time and has more obvious advanta g es with the number of rules increases.
Ke y words :industrial firewall ; rule g eneration ; rule o p timization ; self -learnin g method ; white list rule
0㊀ 引㊀ 言
现在, 工业控制系统已成为国家关键基础设施的重要
1-4]
㊂ 组成部分, 它的安全关系到国家的战略安全[
墙规则集, 最后针对规则集进行合并优化以减少规则数目, 缩短数据包匹配时间㊂
1㊀ 研究现状
位于企业内层的工控网络, 能够控制工厂的正常运作, 具有数据流量较小但数据价值极高的特点, 这些数据均为操作所需的控制及监视参数㊂ 传统的IT 防火墙无法对工业网络上使用的Modbus /TCP ㊁ OPC ㊁ DNP3等应用层通信协议进行深度解析, 而工业防火墙不仅具有传统IT 防火墙的访问控制功能, 同时能够对工控网络通信协议进行深层管
㊁ 态有限 行为有限 的特点, 一种探索性的研究思路为:自学习工控系统通信网络的规律性和行为特征, 表述为规则或模型形式, 设置工业防火墙 白名单 规则㊂
本文提出一种工业防火墙规则生成与优化的自学习方法, 对捕获并解析之后的数据包通过自学习模块产生防火
收稿日期:2015-07-25; 修订日期:2015-09-28
区别于传统IT 网络, 工业控制系统通信网络具有 状
基金项目:国家863高技术研究发展计划基金项目(2015AA043901)
, 男, 黑龙江北安人, 博士, 研究方向为工业控制系统信息安全㊁ 嵌入式系统㊁ 机器学习等; 乔全胜(, 作者简介:尚文利(1974) 1989) , 男, 内蒙古通辽人, 博士, 助理研究员, 男, 内蒙古包头人, 硕士研究生, 研究方向为嵌入式系统㊁ 工业控制系统信息安全; 万明(1984) E -mail :shan g wl@sia. cn
, 男, 辽宁沈阳人, 博士, 研究员, 博士生导师, 研究方向为工业无线传感网㊁ 智能电网等㊂ 研究方向为信息安全等; 曾鹏(1976)
第37卷㊀ 第7期㊀㊀ 尚文利, 乔全胜, 万明, 等:工业防火墙规则生成与优化的自学习方法理, 通过层层拆解数据封包, 深入剖析封包结构与封包内
5, 6]
㊂ 因容, 确保封包的合法性, 从而保护内层的工控网络[
㊀
㊃ 1753㊃
10]
它研究领域已经有了较为广泛的应用㊂ 陈荣㊁ 陈德旺[提
出将启发式自学习算法应用到列车车站的控制输出中, 减少了控制输出频繁变化次数, 延长了制动系统的使用寿
11]命㊂ 张倩等[将关联规则迁移学习方法运用到源领域,
此, 为避免工业生产线受到工业病毒攻击, 增设工业防火墙作为工业控制网络防御手段已成为必然㊂
要从严管理, 放行标准相对较窄, 因此, 工业防火墙采用白名单访问策略, 可阻挡所有不在名单内的访问者, 更加有效保护工控网络㊂
单 以外的通信流㊂ 因此, 白名单技术主要是通过各种手段来创建并维护一个白名单列表, 表中的表项都是具有通过防护系统㊁ 防护软件的用户操作㊂ 管理员通常采用该技术对网络流量进行限制管理㊂ 但是, 目前白名单技术主要通过管理员手动操作, 过滤特征单一, 缺乏有效地自动添加手段㊂
7]
近几年才引起关注和研究㊂ 电子科技大学袁自强等[采用
相比传统IT 防火墙采用黑名单策略来说, 工控网络需
通过对源领域自诊断㊁ 结构更新来优化映射结构进而适应
12]
目标领域的学习㊂ 宋新景[在业务规则相关理论的基础
上, 结合聚类分析方法, 研究了基于业务规则的自学习预警系统, 用于解决业务规则的自学习能力需求和更新实时性需求㊂
白名单 规则是通过设置合法的通信流, 阻断 白名
2㊀ 工业防火墙规则自学习方法
就具体通信设备而言, 工业控制系统往往重复固定执行有限的程序, 具有规律的通信流㊁ 固定的行为特征和可预测的行为模式, 即拥有 状态有限 和 行为有限 的
13]
㊂ 因此将规则自学习算法应用到工业防火墙中, 对特点[
传统IT 防火墙中 白名单 策略规则学习方法也是
已接收的数据包数据特征进行学习, 自动生成白名单规则列表并对白名单进行优化设计㊂
所谓自学习是指规则库可以根据网络管理员对记录的处理方法以及根据建立的阈值条件, 判断是否通过用户的访问请求自动产生新的规则, 达到自学习的目的㊂
是数据包的预处理及分析模块, 通过对数据包的捕获和解码, 实现规格化包处理, 并通过对生成的日志进行源主机与目的主机访问次数的统计分析, 形成访问列表; 其次是规则自学习模块, 进行规则搜索与匹配, 学习并自动生成; 最后采新规则, 形成规则库, 确定工业防火墙 白名单 用策略树的方法将过滤域是连续域且子树相同的路径合并, 对防火墙规则进行优化处理
㊂
本文所提出的自学习方法工作流程如图1所示, 首先
贝叶斯分类算法设计实现白名单自添加, 主要通过对数据包进行评分并计算综合加权评分, 得出数据包是否可
8]
以添加进白名单列表㊂ 中国科学院大学姜广等[将基于
归纳学习的事件规则学习算法运用到视频事件分析中, 很好的探测视频中语义事件㊂ 印度Ra j a g iri 工程技术学院Lubna K 等[9]通过对防火墙日志分析, 用动态规则重新排序方法将频繁匹配规则作为基本规则, 提高异常管理框架的效率, 但缺乏对规则的主动学习和新规则添加的更新㊂
由于人为配置规则受到操作人员知识水平的限制, 需要研究规则自学习方法, 弥补这种不足㊂ 自学习算法在其
图1㊀ 工业防火墙自学习方法工作流程
㊃ 1754㊃ ㊀
3㊀ 规则自学习模块
计算机工程与设计
(/初始时RuleSets 为空1) RuleSets=∅㊀/(2) For each rule r ɪ R (3) r [count ]=1; (4) End for (5) Set threshold ;
2016年
细描述, 本文重点介绍工控应用层Modbus /TCP 通信协议㊂ 在工业以太网上, 任意两个控制器之间采用对等技术通信其主从查询响应通信如图2所示
㊂
都可以启动数据传送, 但Modbus /TCP 协议采用主从方式,
数据包的捕获以及解析方法在参考文献[14]中有详
(6) While ∀r ɪ R :r [count ]>threshold do (7) ㊀Add whitelist ; 图2㊀ 主从查询响应通信
其中, 通过主机查询信息中功能码判断从机设备要执行何种功能, 例如功能码03表示要求从设备读保持寄存器内一个或多个二进制值并返回它们的内容, 功能码写入单一寄存器㊂ 以及数据区所包含需要执行功能的信息, 如寄8位数据0字6表示把设置的二进制值节中存器值或状态,
来解析要读取寄存器的起始地址和数量, 一般, 对于不同的从机, 地址和数据信息都不相同㊂ 最后错误校验针对从设备验证消息内容是否正确㊂ 这样, 主机发出广播信息, 从机作为返回相应信息㊂ 通过解析, 并识别对它寻址的数据Modbus 数据传输过程, 可知道自身的设备地址㊂
防火墙最基本的部分是规则集, 而规则集实质上是执行访问策略的决策依据㊂ 规则自学习模块是根据对访问列表的统计分析, 提取数据中的规则特征(源地址㊁ 目的地址㊁ 动作)
, 并统计一定时间间隔内, 源主机与目的主机之间的访问次数, 以此形成规则条目㊂ 根据建立的阈值条件, 判断是否通过用户的访问请求自动产生新的规则, 达到自学习的目的㊂ 所采用的基本手段是动态调整过滤规则排列次序, 使活跃度最高的规则位于规则列表的最前面, 以此降低后继数据包规则匹配时间㊂
工业防火墙规则自学习方法, 通过对源主机与目的主机访问行为进行学习, 自动添加访问路径次数大于设定阈值的该路径于白名单之中㊂ 若访问次数小于阈值, 则对该访问路径次数进行加基于防火墙源主机1操作㊂ ㊁ 目的主机的访问路径的自学习算法如下:
输入:防火墙规则集输出:新的规则列表集R , 阈值threshold 算法过程:
((8(9) ) Else
㊀ r [count ]=r [count ]+1; (1算法中101) ) End Out , p while
函数ut all r [u count p dated ]表set 示of 源主rules
次数, 阈值threshold 则由网络管理员机根与据目对的记主录的机处的理访方问
法以及网络中的实际数据模式而设定㊂
对通过防火墙的源主机目的主机访问路径的分析自学习, 采用以下步骤:
步骤步骤12㊀ 提取中的所有访问路径㊂ 统计一定时间间隔内每条访问路径的次数(可分别一天/周㊀ /月为访问时间间隔)
㊂ 步骤步骤3㊀ 根据时间间隔的不同设定不同的阈值㊂
的匹配方法4㊀ 构造用户访问路径表, 采用基于源㊁ 目的主机
, 寻找与当前用户源主机目的主机匹配的历史路径, 并与设定阈值比较㊂
步骤, 形成安全访问列表, 预测
用户接下来的访问请求是否能安全通过5㊀ 根据比较阈值大小㊂
4㊀ 规则优化模块
在真实且稳定运行的工业控制系统中, 路径规则构成了 白名单 策略的主体, 指明了哪些数据是合法的㊂ 在规则合法的基础之上对防火墙规则模块进行优化㊂ 针对功能码与数据格式, 大致分为则㊁ 数据格式规则㊁ 数据规则和数据关联性规则4类安全规则:读写功能码规㊂
(针对1) 读写功能码规则
指定的线圈或寄存器, 可能存在只读(04, 02, 01,
码)
, 03在这种情况下) 或只写(05, 例如, 15, , 只读06, , 16如果在数据流程中) 的情况(常用功仅能出现只读功能码, 才可认为该数据是合法的㊂
(在2) PLC 数据格式规则
的寄存器中, 常用的数据类型有:位(字节(b y te ) ㊁ 字(word ) ㊁ 数组(arra y ㊁ 结构(bit )
㊁ 等㊂ 因此, 数据包中数据中的数据长度) (类型) 应符struct 合数) 据格式规则㊂
(针对数字量3) 数据规则
, 某些特定的执行机构所代表的数字量在
系统中具有重要作用, 针对模拟量, 如电机转速, 对于指定电机, 它的转速是一定的, 如果控制指令要求其超过额
37㊀ 7㊀㊀ 尚文利, 乔全胜, 万明, 等:工业防火墙规则生成与优化的自学习方法定转速长时间运行, 会影响轴承的寿命, 转速过快也可由于电机发热量大而烧毁线圈㊂ 因此, 无论是对于数字量还是模拟量都应满足数据规则㊂
(4) 数据关联性规则
在某些场合, 需要开关㊁ 继电器㊁ 接触器等具有互锁㊁
㊃ 1755㊃
的应用, 搭建了Modbus /TCP 通信的工业SCADA 系统仿真实验环境, 其拓扑结构如图3所示
㊂
自锁等电气原理上的设计, 因此, 在检测到数据的具体内容时, 需要将互锁等情况考虑其中㊂
针对满足以上规则所形成的规则集进行合并优化能够减少规则数目, 缩短数据包匹配规则, 提高防火墙的性能㊂ 本文采用策略树的方法优化防火墙规则㊂ 将防火墙以树的形式表示出来, 节点为过滤域, 树枝上为过滤域值, 而叶子节点为动作行为㊂ 每一条从根节点到叶子节点的路径都表示一条防火墙规则㊂ 而规则合并的主要方法是先判断树枝上过滤域是否满足连续域, 如果满足且其子树相同, 那么就合并成一颗子树㊂ 合并之后的规则树树枝明显减少, 所对应的规则数目也想因减少, 达到优化规则的目的㊂
在建立规则树的相应路径的过程中, 在树的节点处插入规则字段, 判断字段值与树枝上的值是否匹配, 若完全匹配, 则将该规则插入该分树枝中; 若不匹配, 则创建新的分树枝㊂ 分别设置参数1为每一条规则, 参数参数3为根节点㊂ 当且仅当字段是非动作域2为规则字段, , 判断字段值与分支值是否匹配, 如若匹配, 则规则进行递归调用, 相应的参数变为下一字段与匹配到分支的节点㊂ 如若不匹配, 创建新的包含插入字段值得分枝㊂ 以此类推㊂
具体算法过程如下:((1) If (a ʂ action (2){for ()
() branch i ɪ branches 3㊀㊀if (value . branch value )
i =. r . a (4) ㊀㊀㊀Newtree (r . a . next ; ) (5) ㊀㊀Else ㊀㊀㊀Newtree if (value (. branch )
i ʂ value . r . a 6r . a . next , node . branch ) i (7) ) End for
) ; }((89) ) Mer For g (e value (node . branch i . branch ) ; i (ʂ value . branch j 10) ㊀
branch )
i &&value.
branch if (Continuous (value . j (1) &&Samesubtree 1) ㊀ ㊀ value . branch ) branch =value . branch i +value . j (;
算法中12) End , a for
表示规则r 中的字段, node 表示树的节点,
value . r . a 表示规则r 的字段值㊂ 通过这个过程, 防火墙规则集内的规则数目会减少并且减少防火墙规则匹配时间㊂
5㊀ 实验与分析
为了验证规则自学习算法在工业控制防火墙白名单中
图3㊀ 工控系统仿真实验环境
该环境模拟了物料自动混合过程, 从进料到混合再到放料以及液位信号的输入和输出实际上是由PLC 按程序操作的控制过程㊂ 其中数据监控采集层选取具有开关量和模拟量的读写权限的192.168.1.25㊂ 控制单元层采用施耐德HMI 人机界面, 其M340PLC IP 地址为号为, CPU 型
程逻辑控制器202, IP 地址为192.168.1.1㊂ 虚拟现场设备层在可编将系统中数据采集系统作为M340中的控制逻辑中实现㊂
用于测试和调试设备㊂ Modbus 主设备模拟工具, 将主控单元层作为bus 从设备模拟工具Modbus 从, 其可以仿真Mod -
个开关量和32个从设备/地址域㊂ 在虚拟设备层中, 采用33个电磁流量阀控制物料A 和物料B 的输入输出速度以及当前液位高度和容器上下限㊂
首先初始化源程序, 清除白名单中原有数据, 然后启动该仿真系统, 将其运行一周以上, 通过捕获主设备与从设备之间的通信数据包, 获得具有自学习功能的工业防火
墙最近一个星期的数据包信息, 截取部分信息如图数据包特征信息, 如源目的4所示㊂ 得到㊂
IP 地址㊁ 协议㊁ 功能码等运用规则自学习方法对每条路径进行学习, 并对数据包特征信息统计㊂ 管理员可根据实际情况设定一个阈值800略树的方法对规, 将大于阈值的路径加入白名单规则列表则列表中的规则进行优化处㊂ 理然后采用策, 将子树相同且过滤域是连续域的路径合并, 减少规则数目㊂ 在实验中给定定量的规则条数, 对比采用策略树规则优化前后匹配该规则数目的时间, 并计算匹配时间缩短的比例㊂ 然后通过给定不同规则数目, 观察匹配时间缩短比例的趋势㊂ 整理实验数据见表从表1中看出, 1㊂
在规则数目仅有10条时, 规则优化提
高的时间比例仅为35.1%, 优势并不明显㊂ 但是随着规则
㊃ 1756㊃ ㊀
2016
图4㊀ 数据包特征信息
表1㊀ 不同规则数目在规则优化前后匹配时间
规则数5010
优化前/ms 80.0937.34
优化后/ms 41.7594.8124.56
习算法, 通过对通信路径的规则学习, 确定工业防火墙 白名单 规则㊂ 在此基础上采用策略树的方法优化防火墙规则, 提高了规则匹配效率, 提升了工业防火墙性能㊂
本文提出的算法虽然能自学习路径规则, 产生新的路径规则, 但如何提高规则的可用性, 降低其风险性, 以及增加阈值设定的可靠性, 还是尚需进一步加强研究的问题㊂
提高比例/%
48.954.657.260.635.1
[**************]
220.94301.56399.72540.83
150.7468.34
124.52157.2185.3
58.865.7
参考文献:
[1]PENG Yon g , JIANG Chan gq in g , XIE Fen g . Industrial control
s y stem c y ber securit y research [J ].Journal T sin g hua Universit y
数目的增加, 俩者差距逐渐增大, 如当规则数目为290条时, 规则优化之后较优化之前匹配速度提高近65.7%, 优势明显㊂ 从根据表1得到的仿真图5中可直观分析得, 优化之后的工业防火墙降低了数据包匹配时间, 且随着规则数目的增加该优势更加明显, 工业防火墙性能得到了提升
㊂
(, 2012, 52(:1396Science &T echnolo gy ) 10) -1405(in Chinese ) . [彭勇, 江长青, 谢丰. 工业控制系统信息安全研究进展[J ]. 清, 2012, 52(:1396]华大学学报(自然科学版) 10) -1405.
[2]LI Hon gp ei , HU Chao j ian , WANG Xiao p en g .The safet y re -:36李Com p uter Securit y , 2014, 14(5) -59(in Chinese ) . [鸿培, 忽朝俭, 王晓鹏.2014工业控制系统的安全研究与实:36]践[J ]. 计算机安全, 2014, 14(5) -59.
search and p ractice of the 2014industrial control s y stem [J ].
[3]Eric K D. Industrial network securit y securin g critical infra -trial control s y stem [M ].S y n g ress , 2011.
structure networks for smart g rid , SCADA , and other indus -
[4]Niv Goldenber g , Avishai Wool. Accurate modelin g of Mod -ternational Journal of Critical Infrastructure Protection , 2013, [5]Pa p a SM.A behavioral intrusion detection s y stem for SCADA [6]SHANG Wenli , ZHANG Shen g shan , WAN Min g . Modbus /
[:2314J ]. ACTA Electronica Sinica , 2014, 42(11) -2320Modbus TCP 通讯的异常检测方法[J ]. 电子学报, 2014, 42TCP communication anomal y detection based on PSO -SVM s y stems [D ].Southern Methodist Universit y , 2013. :636(2) -75.
bus /TCP for intrusion detection in SCADA s y stems [J ]. In -
图5㊀ 优化前后规则匹配速度对比
6㊀ 结束语
本文针对工业防火墙白名单规则自动添加手段较少和缺乏对新规则的更新等问题, 提出了工业防火墙规则自学
(尚文利, 张盛山, 万明. 基于PSO in Chinese ) . [-SVM 的(:2314]11) -2320.
(下转第1786页)
㊃ 1786㊃ ㊀
]116-120.
计算机工程与设计
2016年
[4]GUO Xiaoxuan.Desi g n of Linux embedded video server based
文. 基于嵌入式Linux 的3G 技术的应用和研究[J ]. 电脑知[9]CHEN Weibin g , LIU Guan g can , FENG Lu.Desi g n of vehicle
:5655]识与技术, 2010, 6(20) -5657.
郭小玄. 基于Hi3510的Linux nolo gy , 2010(in Chinese ) . []嵌入式视频服务的设计[D ]. 西安:西安科技大学, 2010.
on Hi3510[D ].Xi an :Xi an Universit y of Science and Tech -
[5]CHEN Jian , SU Qian g , CHEN Xueshi , et al. Wireless real -:91Coal Science and Technolo gy , 2011, 39(3) -94(in Chi -:91]时视频传输系统[J ]. 煤炭科学技术, 2011, 39(3) -94.
[:J ]. Com p uter Measurement and Control , 2011, 19(3) 络的车辆定位与视频监控系统设计[J ]. 计算机测量与控制, 陈威兵, 刘光灿, 冯璐. 基于3G 网600-602(in Chinese ) . [
p ositionin g and video monitorin g s y stem based on 3G network
time video transmission s y stem of TBM based on H .264[J ].
陈建, 苏强, 陈学师, 等. 基于H nese ) . [.264的掘进机无线实[6]LI Bo , LU Wenke.Desi g n of video monitorin g s y stem based on
李波, 卢文科. 基于3G 和H 78-80(in Chinese ) . [.264视频监
[10]LU Yulin g .Automatic video monitorin g and recordin g s y stem
of hi g h -J ].Journal of Dalian Jiaoton g p ower AC locomotive [大功率交流内燃机车自动视频监控及记录系统[J ]. 大连交:104]通大学学报, 2012, 33(2) -107.
:104鲁渝玲. Universit y , 2012, 33(2) -107(in Chinese ) . [
:600]2011, 19(3) -602.
:3G and H .264[J ].Microcom p uter Information , 2011, 27(5)
[7]CHEN Weibin g , ZHANG Gan g lin , FENG Lu. Desi g n and
:1572Com p uter En g ineerin g and Desi g n , 2011, 32(5) -1575
:78]控系统的设计[J ]. 微计算机信息, 2011, 27(5) -80. [11]CHEN Gan g , YANG Huashu. A pp lication of 3G wireless
im p lementation of mobile video vehicle monitorin g s y stem [J ]. [:98J ]. Peo p le Yellow , 2010, 32(3) -99(in Chinese ) . [陈刚, 杨华舒.3G 无线网络视频监控系统在水利工程中的:98]应用[J ]. 人民黄河, 2010, 32(3) -99.
network video surveillance s y stem in h y draulic en g ineerin g
(陈威兵, 张刚林, 冯璐. 移动视频车辆监控系in Chinese ) . []1572-1575.
:统的设计与实现[J ]. 计算机工程与设计, 2011, 32(5) [12]CAO Yu , WU Yun.Desi g n and im p lementation of video sur -veillance s y stem based on Hi3511[J ]. Com p uter Knowled g e 吴云. 基于Hi3511视频监控系统的设计与实现[J ]. 计算机:1]工程与设计, 2009, 30(20) -2.
:1曹雨, and Technolo gy , 2009, 30(20) -2(in Chinese ) . [
[8]PENG Haiwen.A pp lication and research of the 3G technolo gy
based on embedded Linux [J ]. Com p uter Knowled g e and :5655彭海Technolo gy , 2010, 6(20) -5657(in Chinese ) . [
[7]YUAN Zi q ian g . The desi g n and im p lementation of the white
(上接第1756页)
versit y of Electronic Science and Technolo gy of China , 2011(in []D ]. 成都:电子科技大学, 2011.
袁自强. 网络环境下白名单子系统的设计与实现Chinese ) . [
list s y stem in the network environment [D ]. Chen g du :Uni -
[11]ZHANG Qian , LI Hai g an g , LI Min g , et al.Association rule
:715mation and Control , 2014, 43(6) -721(in Chinese ) . [张倩, 李海港, 李明, 等. 基于马尔科夫逻辑网的关联规则:715]迁移学习[J ]. 信息与控制, 2014, 43(6) -721.
transfer learnin g based on Markov lo g ic network [J ]. Infor -
[8]JIANG Guan g , WANG Xiaofen g , SHI Zhon g zhi. A rule
tor y [J ]. Journal of Com p uter Research and Develo p ment , :2623姜广, 王晓峰, 史忠2012(12) -2630(in Chinese ) . [植. 一种基于语义轨迹的事件规则学习算法[J ]. 计算机研究:2623]与发展, 2012(12) -2630.
learnin g al g orithm for event detection based on semantic tra j ec -
[12]SONG Xin j in g .Research and a pp lication of self -learnin g war -nin g s y stem based on business rules [D ]. Harbin :Harbin 宋新景. 基于En g ineerin g Universit y , 2012(in Chinese ) . [业务规则的自学习预警系统的研究与应用[D ]. 哈尔滨:哈]尔滨工程大学, 2012.
[9]Lubna K , C y iac R. Firewall lo g anal y sis and d y namic rule re -[/International Conference on Green Com p utin g , Commu C ]/-orderin g in firewall p olic y anomal y mana g ement framework
[13]YANG Shu q in.Research and im p lementation of securit y audit
杨舒Posts and Telecommunications , 2011(in Chinese ) . [琴. 基于日志的安全审计管理系统的研究与实现[D ]. 北]京:北京邮电大学, 2011.
s y stem based on lo g [D ]. Bei j in g :Bei j in g Universit y of
[10]CHEN Ron g , CHEN Dewan g . Heuristic self -learnin g al g o -:9陈6) -13(in Chinese ) . [p uter A pp lication , 2013, 22(
:9]铁路计算机应用, 2013, 22(6) -13.
rithms and simulation of train station sto p [J ].Railwa y Com -荣, 陈德旺. 列车车站停车的启发式自学习算法及仿真[J ].
nication and Conservation of Ener gy .IEEE , 2013:853-856.
[14]CHEN Yon g fu , YANG Pen g . Research on p ro g ressive p ar -:781neerin g and Desi g n , 2011, 32(3) -783(in Chinese ) . [陈永府, 杨朋. 递进式网络数据包解析与过滤方法研究[:781]J ]. 计算机工程与设计, 2011, 32(3) -783. sin g and filterin g of network p ackets [J ]. Com p uter En g -i
ʏʏʏʏʏʏʏʏʏʏʏʏʏʏʏʏʏʏʏʏʏʏʏʏʏʏʏʏʏʏʏʏʏʏʏʏʏʏʏʏʏʏʏʏʏʏʏʏʏ ʏ
2016年7月第37卷㊀ 第7期
计算机工程与设计
COMPUTER ENGINEERING AND DESIGN
Jul y 2016Vol . 37㊀No .7
工业防火墙规则生成与优化的自学习方法
(1. 中国科学院沈阳自动化研究所, 辽宁沈阳110016; 2. 沈阳建筑大学信息与控制工程学院,
摘㊀ 要:为更加方便快捷地设置工业防火墙规则, 提出一种工业防火墙规则生成与优化的自学习方法㊂ 根据数据包捕获和分析进行数据预处理, 通过自学习模块产生防火墙规则集, 针对规则集进行合并优化, 减少规则数目, 缩短数据包匹配长度㊂ 实验数据对比分析结果表明, 该方法降低了数据包匹配时间, 随着规则数目的增加该优势更加明显㊂ 关键词:工业防火墙; 规则生成; 规则优化; 自学习; 白名单 规则doi :10.16208/. -7024.2016.07.011j issn1000
中图法分类号:TP3㊀ 文献标识号:A㊀ 文章编号:1000-7024(2016) 07-1752-05
3333
, 乔全胜2, , 万㊀ 明1, , 曾㊀ 鹏1, 尚文利1,
辽宁沈阳110168; 3. 中科院网络化控制系统重点实验室, 辽宁沈阳110016)
(1.Shen y an g Institute of Automation , Chinese Academ y of Sciences , Shen y an g 110016, China ; 2.Information and Control
En g ineerin g Facult y , Shen y an g Jianzhu Universit y , Shen y an g 110168, China ; 3.Ke y Laborator y of Chinese
Academ y of Sciences Network Control S y stem , Shen y an g 110016, China )
, , , ,
SHANG Wen -li 13, QIAO Quan -shen g 23, WAN Min g 13, ZENG Pen g 13
Self -learnin g method for g eneration and o p timization
of industrial firewall rules
wall rules was p resented.Accordin g to p acket ca p turin g and anal y zin g , the data p re p rocessin g was accom p lished.The firewall
Abstract :To make the rule settin g more convenient , a self -learnin g method for the g eneration and o p timization of industrial fire -rule set was g enerated b y the self -learnin g module.The rule set was o p timized to reduce the number of rules and shorten the p acket matchin g len g th. Ex p erimental and com p arative results show that the p ro p osed method reduces the p acket matchin g time and has more obvious advanta g es with the number of rules increases.
Ke y words :industrial firewall ; rule g eneration ; rule o p timization ; self -learnin g method ; white list rule
0㊀ 引㊀ 言
现在, 工业控制系统已成为国家关键基础设施的重要
1-4]
㊂ 组成部分, 它的安全关系到国家的战略安全[
墙规则集, 最后针对规则集进行合并优化以减少规则数目, 缩短数据包匹配时间㊂
1㊀ 研究现状
位于企业内层的工控网络, 能够控制工厂的正常运作, 具有数据流量较小但数据价值极高的特点, 这些数据均为操作所需的控制及监视参数㊂ 传统的IT 防火墙无法对工业网络上使用的Modbus /TCP ㊁ OPC ㊁ DNP3等应用层通信协议进行深度解析, 而工业防火墙不仅具有传统IT 防火墙的访问控制功能, 同时能够对工控网络通信协议进行深层管
㊁ 态有限 行为有限 的特点, 一种探索性的研究思路为:自学习工控系统通信网络的规律性和行为特征, 表述为规则或模型形式, 设置工业防火墙 白名单 规则㊂
本文提出一种工业防火墙规则生成与优化的自学习方法, 对捕获并解析之后的数据包通过自学习模块产生防火
收稿日期:2015-07-25; 修订日期:2015-09-28
区别于传统IT 网络, 工业控制系统通信网络具有 状
基金项目:国家863高技术研究发展计划基金项目(2015AA043901)
, 男, 黑龙江北安人, 博士, 研究方向为工业控制系统信息安全㊁ 嵌入式系统㊁ 机器学习等; 乔全胜(, 作者简介:尚文利(1974) 1989) , 男, 内蒙古通辽人, 博士, 助理研究员, 男, 内蒙古包头人, 硕士研究生, 研究方向为嵌入式系统㊁ 工业控制系统信息安全; 万明(1984) E -mail :shan g wl@sia. cn
, 男, 辽宁沈阳人, 博士, 研究员, 博士生导师, 研究方向为工业无线传感网㊁ 智能电网等㊂ 研究方向为信息安全等; 曾鹏(1976)
第37卷㊀ 第7期㊀㊀ 尚文利, 乔全胜, 万明, 等:工业防火墙规则生成与优化的自学习方法理, 通过层层拆解数据封包, 深入剖析封包结构与封包内
5, 6]
㊂ 因容, 确保封包的合法性, 从而保护内层的工控网络[
㊀
㊃ 1753㊃
10]
它研究领域已经有了较为广泛的应用㊂ 陈荣㊁ 陈德旺[提
出将启发式自学习算法应用到列车车站的控制输出中, 减少了控制输出频繁变化次数, 延长了制动系统的使用寿
11]命㊂ 张倩等[将关联规则迁移学习方法运用到源领域,
此, 为避免工业生产线受到工业病毒攻击, 增设工业防火墙作为工业控制网络防御手段已成为必然㊂
要从严管理, 放行标准相对较窄, 因此, 工业防火墙采用白名单访问策略, 可阻挡所有不在名单内的访问者, 更加有效保护工控网络㊂
单 以外的通信流㊂ 因此, 白名单技术主要是通过各种手段来创建并维护一个白名单列表, 表中的表项都是具有通过防护系统㊁ 防护软件的用户操作㊂ 管理员通常采用该技术对网络流量进行限制管理㊂ 但是, 目前白名单技术主要通过管理员手动操作, 过滤特征单一, 缺乏有效地自动添加手段㊂
7]
近几年才引起关注和研究㊂ 电子科技大学袁自强等[采用
相比传统IT 防火墙采用黑名单策略来说, 工控网络需
通过对源领域自诊断㊁ 结构更新来优化映射结构进而适应
12]
目标领域的学习㊂ 宋新景[在业务规则相关理论的基础
上, 结合聚类分析方法, 研究了基于业务规则的自学习预警系统, 用于解决业务规则的自学习能力需求和更新实时性需求㊂
白名单 规则是通过设置合法的通信流, 阻断 白名
2㊀ 工业防火墙规则自学习方法
就具体通信设备而言, 工业控制系统往往重复固定执行有限的程序, 具有规律的通信流㊁ 固定的行为特征和可预测的行为模式, 即拥有 状态有限 和 行为有限 的
13]
㊂ 因此将规则自学习算法应用到工业防火墙中, 对特点[
传统IT 防火墙中 白名单 策略规则学习方法也是
已接收的数据包数据特征进行学习, 自动生成白名单规则列表并对白名单进行优化设计㊂
所谓自学习是指规则库可以根据网络管理员对记录的处理方法以及根据建立的阈值条件, 判断是否通过用户的访问请求自动产生新的规则, 达到自学习的目的㊂
是数据包的预处理及分析模块, 通过对数据包的捕获和解码, 实现规格化包处理, 并通过对生成的日志进行源主机与目的主机访问次数的统计分析, 形成访问列表; 其次是规则自学习模块, 进行规则搜索与匹配, 学习并自动生成; 最后采新规则, 形成规则库, 确定工业防火墙 白名单 用策略树的方法将过滤域是连续域且子树相同的路径合并, 对防火墙规则进行优化处理
㊂
本文所提出的自学习方法工作流程如图1所示, 首先
贝叶斯分类算法设计实现白名单自添加, 主要通过对数据包进行评分并计算综合加权评分, 得出数据包是否可
8]
以添加进白名单列表㊂ 中国科学院大学姜广等[将基于
归纳学习的事件规则学习算法运用到视频事件分析中, 很好的探测视频中语义事件㊂ 印度Ra j a g iri 工程技术学院Lubna K 等[9]通过对防火墙日志分析, 用动态规则重新排序方法将频繁匹配规则作为基本规则, 提高异常管理框架的效率, 但缺乏对规则的主动学习和新规则添加的更新㊂
由于人为配置规则受到操作人员知识水平的限制, 需要研究规则自学习方法, 弥补这种不足㊂ 自学习算法在其
图1㊀ 工业防火墙自学习方法工作流程
㊃ 1754㊃ ㊀
3㊀ 规则自学习模块
计算机工程与设计
(/初始时RuleSets 为空1) RuleSets=∅㊀/(2) For each rule r ɪ R (3) r [count ]=1; (4) End for (5) Set threshold ;
2016年
细描述, 本文重点介绍工控应用层Modbus /TCP 通信协议㊂ 在工业以太网上, 任意两个控制器之间采用对等技术通信其主从查询响应通信如图2所示
㊂
都可以启动数据传送, 但Modbus /TCP 协议采用主从方式,
数据包的捕获以及解析方法在参考文献[14]中有详
(6) While ∀r ɪ R :r [count ]>threshold do (7) ㊀Add whitelist ; 图2㊀ 主从查询响应通信
其中, 通过主机查询信息中功能码判断从机设备要执行何种功能, 例如功能码03表示要求从设备读保持寄存器内一个或多个二进制值并返回它们的内容, 功能码写入单一寄存器㊂ 以及数据区所包含需要执行功能的信息, 如寄8位数据0字6表示把设置的二进制值节中存器值或状态,
来解析要读取寄存器的起始地址和数量, 一般, 对于不同的从机, 地址和数据信息都不相同㊂ 最后错误校验针对从设备验证消息内容是否正确㊂ 这样, 主机发出广播信息, 从机作为返回相应信息㊂ 通过解析, 并识别对它寻址的数据Modbus 数据传输过程, 可知道自身的设备地址㊂
防火墙最基本的部分是规则集, 而规则集实质上是执行访问策略的决策依据㊂ 规则自学习模块是根据对访问列表的统计分析, 提取数据中的规则特征(源地址㊁ 目的地址㊁ 动作)
, 并统计一定时间间隔内, 源主机与目的主机之间的访问次数, 以此形成规则条目㊂ 根据建立的阈值条件, 判断是否通过用户的访问请求自动产生新的规则, 达到自学习的目的㊂ 所采用的基本手段是动态调整过滤规则排列次序, 使活跃度最高的规则位于规则列表的最前面, 以此降低后继数据包规则匹配时间㊂
工业防火墙规则自学习方法, 通过对源主机与目的主机访问行为进行学习, 自动添加访问路径次数大于设定阈值的该路径于白名单之中㊂ 若访问次数小于阈值, 则对该访问路径次数进行加基于防火墙源主机1操作㊂ ㊁ 目的主机的访问路径的自学习算法如下:
输入:防火墙规则集输出:新的规则列表集R , 阈值threshold 算法过程:
((8(9) ) Else
㊀ r [count ]=r [count ]+1; (1算法中101) ) End Out , p while
函数ut all r [u count p dated ]表set 示of 源主rules
次数, 阈值threshold 则由网络管理员机根与据目对的记主录的机处的理访方问
法以及网络中的实际数据模式而设定㊂
对通过防火墙的源主机目的主机访问路径的分析自学习, 采用以下步骤:
步骤步骤12㊀ 提取中的所有访问路径㊂ 统计一定时间间隔内每条访问路径的次数(可分别一天/周㊀ /月为访问时间间隔)
㊂ 步骤步骤3㊀ 根据时间间隔的不同设定不同的阈值㊂
的匹配方法4㊀ 构造用户访问路径表, 采用基于源㊁ 目的主机
, 寻找与当前用户源主机目的主机匹配的历史路径, 并与设定阈值比较㊂
步骤, 形成安全访问列表, 预测
用户接下来的访问请求是否能安全通过5㊀ 根据比较阈值大小㊂
4㊀ 规则优化模块
在真实且稳定运行的工业控制系统中, 路径规则构成了 白名单 策略的主体, 指明了哪些数据是合法的㊂ 在规则合法的基础之上对防火墙规则模块进行优化㊂ 针对功能码与数据格式, 大致分为则㊁ 数据格式规则㊁ 数据规则和数据关联性规则4类安全规则:读写功能码规㊂
(针对1) 读写功能码规则
指定的线圈或寄存器, 可能存在只读(04, 02, 01,
码)
, 03在这种情况下) 或只写(05, 例如, 15, , 只读06, , 16如果在数据流程中) 的情况(常用功仅能出现只读功能码, 才可认为该数据是合法的㊂
(在2) PLC 数据格式规则
的寄存器中, 常用的数据类型有:位(字节(b y te ) ㊁ 字(word ) ㊁ 数组(arra y ㊁ 结构(bit )
㊁ 等㊂ 因此, 数据包中数据中的数据长度) (类型) 应符struct 合数) 据格式规则㊂
(针对数字量3) 数据规则
, 某些特定的执行机构所代表的数字量在
系统中具有重要作用, 针对模拟量, 如电机转速, 对于指定电机, 它的转速是一定的, 如果控制指令要求其超过额
37㊀ 7㊀㊀ 尚文利, 乔全胜, 万明, 等:工业防火墙规则生成与优化的自学习方法定转速长时间运行, 会影响轴承的寿命, 转速过快也可由于电机发热量大而烧毁线圈㊂ 因此, 无论是对于数字量还是模拟量都应满足数据规则㊂
(4) 数据关联性规则
在某些场合, 需要开关㊁ 继电器㊁ 接触器等具有互锁㊁
㊃ 1755㊃
的应用, 搭建了Modbus /TCP 通信的工业SCADA 系统仿真实验环境, 其拓扑结构如图3所示
㊂
自锁等电气原理上的设计, 因此, 在检测到数据的具体内容时, 需要将互锁等情况考虑其中㊂
针对满足以上规则所形成的规则集进行合并优化能够减少规则数目, 缩短数据包匹配规则, 提高防火墙的性能㊂ 本文采用策略树的方法优化防火墙规则㊂ 将防火墙以树的形式表示出来, 节点为过滤域, 树枝上为过滤域值, 而叶子节点为动作行为㊂ 每一条从根节点到叶子节点的路径都表示一条防火墙规则㊂ 而规则合并的主要方法是先判断树枝上过滤域是否满足连续域, 如果满足且其子树相同, 那么就合并成一颗子树㊂ 合并之后的规则树树枝明显减少, 所对应的规则数目也想因减少, 达到优化规则的目的㊂
在建立规则树的相应路径的过程中, 在树的节点处插入规则字段, 判断字段值与树枝上的值是否匹配, 若完全匹配, 则将该规则插入该分树枝中; 若不匹配, 则创建新的分树枝㊂ 分别设置参数1为每一条规则, 参数参数3为根节点㊂ 当且仅当字段是非动作域2为规则字段, , 判断字段值与分支值是否匹配, 如若匹配, 则规则进行递归调用, 相应的参数变为下一字段与匹配到分支的节点㊂ 如若不匹配, 创建新的包含插入字段值得分枝㊂ 以此类推㊂
具体算法过程如下:((1) If (a ʂ action (2){for ()
() branch i ɪ branches 3㊀㊀if (value . branch value )
i =. r . a (4) ㊀㊀㊀Newtree (r . a . next ; ) (5) ㊀㊀Else ㊀㊀㊀Newtree if (value (. branch )
i ʂ value . r . a 6r . a . next , node . branch ) i (7) ) End for
) ; }((89) ) Mer For g (e value (node . branch i . branch ) ; i (ʂ value . branch j 10) ㊀
branch )
i &&value.
branch if (Continuous (value . j (1) &&Samesubtree 1) ㊀ ㊀ value . branch ) branch =value . branch i +value . j (;
算法中12) End , a for
表示规则r 中的字段, node 表示树的节点,
value . r . a 表示规则r 的字段值㊂ 通过这个过程, 防火墙规则集内的规则数目会减少并且减少防火墙规则匹配时间㊂
5㊀ 实验与分析
为了验证规则自学习算法在工业控制防火墙白名单中
图3㊀ 工控系统仿真实验环境
该环境模拟了物料自动混合过程, 从进料到混合再到放料以及液位信号的输入和输出实际上是由PLC 按程序操作的控制过程㊂ 其中数据监控采集层选取具有开关量和模拟量的读写权限的192.168.1.25㊂ 控制单元层采用施耐德HMI 人机界面, 其M340PLC IP 地址为号为, CPU 型
程逻辑控制器202, IP 地址为192.168.1.1㊂ 虚拟现场设备层在可编将系统中数据采集系统作为M340中的控制逻辑中实现㊂
用于测试和调试设备㊂ Modbus 主设备模拟工具, 将主控单元层作为bus 从设备模拟工具Modbus 从, 其可以仿真Mod -
个开关量和32个从设备/地址域㊂ 在虚拟设备层中, 采用33个电磁流量阀控制物料A 和物料B 的输入输出速度以及当前液位高度和容器上下限㊂
首先初始化源程序, 清除白名单中原有数据, 然后启动该仿真系统, 将其运行一周以上, 通过捕获主设备与从设备之间的通信数据包, 获得具有自学习功能的工业防火
墙最近一个星期的数据包信息, 截取部分信息如图数据包特征信息, 如源目的4所示㊂ 得到㊂
IP 地址㊁ 协议㊁ 功能码等运用规则自学习方法对每条路径进行学习, 并对数据包特征信息统计㊂ 管理员可根据实际情况设定一个阈值800略树的方法对规, 将大于阈值的路径加入白名单规则列表则列表中的规则进行优化处㊂ 理然后采用策, 将子树相同且过滤域是连续域的路径合并, 减少规则数目㊂ 在实验中给定定量的规则条数, 对比采用策略树规则优化前后匹配该规则数目的时间, 并计算匹配时间缩短的比例㊂ 然后通过给定不同规则数目, 观察匹配时间缩短比例的趋势㊂ 整理实验数据见表从表1中看出, 1㊂
在规则数目仅有10条时, 规则优化提
高的时间比例仅为35.1%, 优势并不明显㊂ 但是随着规则
㊃ 1756㊃ ㊀
2016
图4㊀ 数据包特征信息
表1㊀ 不同规则数目在规则优化前后匹配时间
规则数5010
优化前/ms 80.0937.34
优化后/ms 41.7594.8124.56
习算法, 通过对通信路径的规则学习, 确定工业防火墙 白名单 规则㊂ 在此基础上采用策略树的方法优化防火墙规则, 提高了规则匹配效率, 提升了工业防火墙性能㊂
本文提出的算法虽然能自学习路径规则, 产生新的路径规则, 但如何提高规则的可用性, 降低其风险性, 以及增加阈值设定的可靠性, 还是尚需进一步加强研究的问题㊂
提高比例/%
48.954.657.260.635.1
[**************]
220.94301.56399.72540.83
150.7468.34
124.52157.2185.3
58.865.7
参考文献:
[1]PENG Yon g , JIANG Chan gq in g , XIE Fen g . Industrial control
s y stem c y ber securit y research [J ].Journal T sin g hua Universit y
数目的增加, 俩者差距逐渐增大, 如当规则数目为290条时, 规则优化之后较优化之前匹配速度提高近65.7%, 优势明显㊂ 从根据表1得到的仿真图5中可直观分析得, 优化之后的工业防火墙降低了数据包匹配时间, 且随着规则数目的增加该优势更加明显, 工业防火墙性能得到了提升
㊂
(, 2012, 52(:1396Science &T echnolo gy ) 10) -1405(in Chinese ) . [彭勇, 江长青, 谢丰. 工业控制系统信息安全研究进展[J ]. 清, 2012, 52(:1396]华大学学报(自然科学版) 10) -1405.
[2]LI Hon gp ei , HU Chao j ian , WANG Xiao p en g .The safet y re -:36李Com p uter Securit y , 2014, 14(5) -59(in Chinese ) . [鸿培, 忽朝俭, 王晓鹏.2014工业控制系统的安全研究与实:36]践[J ]. 计算机安全, 2014, 14(5) -59.
search and p ractice of the 2014industrial control s y stem [J ].
[3]Eric K D. Industrial network securit y securin g critical infra -trial control s y stem [M ].S y n g ress , 2011.
structure networks for smart g rid , SCADA , and other indus -
[4]Niv Goldenber g , Avishai Wool. Accurate modelin g of Mod -ternational Journal of Critical Infrastructure Protection , 2013, [5]Pa p a SM.A behavioral intrusion detection s y stem for SCADA [6]SHANG Wenli , ZHANG Shen g shan , WAN Min g . Modbus /
[:2314J ]. ACTA Electronica Sinica , 2014, 42(11) -2320Modbus TCP 通讯的异常检测方法[J ]. 电子学报, 2014, 42TCP communication anomal y detection based on PSO -SVM s y stems [D ].Southern Methodist Universit y , 2013. :636(2) -75.
bus /TCP for intrusion detection in SCADA s y stems [J ]. In -
图5㊀ 优化前后规则匹配速度对比
6㊀ 结束语
本文针对工业防火墙白名单规则自动添加手段较少和缺乏对新规则的更新等问题, 提出了工业防火墙规则自学
(尚文利, 张盛山, 万明. 基于PSO in Chinese ) . [-SVM 的(:2314]11) -2320.
(下转第1786页)
㊃ 1786㊃ ㊀
]116-120.
计算机工程与设计
2016年
[4]GUO Xiaoxuan.Desi g n of Linux embedded video server based
文. 基于嵌入式Linux 的3G 技术的应用和研究[J ]. 电脑知[9]CHEN Weibin g , LIU Guan g can , FENG Lu.Desi g n of vehicle
:5655]识与技术, 2010, 6(20) -5657.
郭小玄. 基于Hi3510的Linux nolo gy , 2010(in Chinese ) . []嵌入式视频服务的设计[D ]. 西安:西安科技大学, 2010.
on Hi3510[D ].Xi an :Xi an Universit y of Science and Tech -
[5]CHEN Jian , SU Qian g , CHEN Xueshi , et al. Wireless real -:91Coal Science and Technolo gy , 2011, 39(3) -94(in Chi -:91]时视频传输系统[J ]. 煤炭科学技术, 2011, 39(3) -94.
[:J ]. Com p uter Measurement and Control , 2011, 19(3) 络的车辆定位与视频监控系统设计[J ]. 计算机测量与控制, 陈威兵, 刘光灿, 冯璐. 基于3G 网600-602(in Chinese ) . [
p ositionin g and video monitorin g s y stem based on 3G network
time video transmission s y stem of TBM based on H .264[J ].
陈建, 苏强, 陈学师, 等. 基于H nese ) . [.264的掘进机无线实[6]LI Bo , LU Wenke.Desi g n of video monitorin g s y stem based on
李波, 卢文科. 基于3G 和H 78-80(in Chinese ) . [.264视频监
[10]LU Yulin g .Automatic video monitorin g and recordin g s y stem
of hi g h -J ].Journal of Dalian Jiaoton g p ower AC locomotive [大功率交流内燃机车自动视频监控及记录系统[J ]. 大连交:104]通大学学报, 2012, 33(2) -107.
:104鲁渝玲. Universit y , 2012, 33(2) -107(in Chinese ) . [
:600]2011, 19(3) -602.
:3G and H .264[J ].Microcom p uter Information , 2011, 27(5)
[7]CHEN Weibin g , ZHANG Gan g lin , FENG Lu. Desi g n and
:1572Com p uter En g ineerin g and Desi g n , 2011, 32(5) -1575
:78]控系统的设计[J ]. 微计算机信息, 2011, 27(5) -80. [11]CHEN Gan g , YANG Huashu. A pp lication of 3G wireless
im p lementation of mobile video vehicle monitorin g s y stem [J ]. [:98J ]. Peo p le Yellow , 2010, 32(3) -99(in Chinese ) . [陈刚, 杨华舒.3G 无线网络视频监控系统在水利工程中的:98]应用[J ]. 人民黄河, 2010, 32(3) -99.
network video surveillance s y stem in h y draulic en g ineerin g
(陈威兵, 张刚林, 冯璐. 移动视频车辆监控系in Chinese ) . []1572-1575.
:统的设计与实现[J ]. 计算机工程与设计, 2011, 32(5) [12]CAO Yu , WU Yun.Desi g n and im p lementation of video sur -veillance s y stem based on Hi3511[J ]. Com p uter Knowled g e 吴云. 基于Hi3511视频监控系统的设计与实现[J ]. 计算机:1]工程与设计, 2009, 30(20) -2.
:1曹雨, and Technolo gy , 2009, 30(20) -2(in Chinese ) . [
[8]PENG Haiwen.A pp lication and research of the 3G technolo gy
based on embedded Linux [J ]. Com p uter Knowled g e and :5655彭海Technolo gy , 2010, 6(20) -5657(in Chinese ) . [
[7]YUAN Zi q ian g . The desi g n and im p lementation of the white
(上接第1756页)
versit y of Electronic Science and Technolo gy of China , 2011(in []D ]. 成都:电子科技大学, 2011.
袁自强. 网络环境下白名单子系统的设计与实现Chinese ) . [
list s y stem in the network environment [D ]. Chen g du :Uni -
[11]ZHANG Qian , LI Hai g an g , LI Min g , et al.Association rule
:715mation and Control , 2014, 43(6) -721(in Chinese ) . [张倩, 李海港, 李明, 等. 基于马尔科夫逻辑网的关联规则:715]迁移学习[J ]. 信息与控制, 2014, 43(6) -721.
transfer learnin g based on Markov lo g ic network [J ]. Infor -
[8]JIANG Guan g , WANG Xiaofen g , SHI Zhon g zhi. A rule
tor y [J ]. Journal of Com p uter Research and Develo p ment , :2623姜广, 王晓峰, 史忠2012(12) -2630(in Chinese ) . [植. 一种基于语义轨迹的事件规则学习算法[J ]. 计算机研究:2623]与发展, 2012(12) -2630.
learnin g al g orithm for event detection based on semantic tra j ec -
[12]SONG Xin j in g .Research and a pp lication of self -learnin g war -nin g s y stem based on business rules [D ]. Harbin :Harbin 宋新景. 基于En g ineerin g Universit y , 2012(in Chinese ) . [业务规则的自学习预警系统的研究与应用[D ]. 哈尔滨:哈]尔滨工程大学, 2012.
[9]Lubna K , C y iac R. Firewall lo g anal y sis and d y namic rule re -[/International Conference on Green Com p utin g , Commu C ]/-orderin g in firewall p olic y anomal y mana g ement framework
[13]YANG Shu q in.Research and im p lementation of securit y audit
杨舒Posts and Telecommunications , 2011(in Chinese ) . [琴. 基于日志的安全审计管理系统的研究与实现[D ]. 北]京:北京邮电大学, 2011.
s y stem based on lo g [D ]. Bei j in g :Bei j in g Universit y of
[10]CHEN Ron g , CHEN Dewan g . Heuristic self -learnin g al g o -:9陈6) -13(in Chinese ) . [p uter A pp lication , 2013, 22(
:9]铁路计算机应用, 2013, 22(6) -13.
rithms and simulation of train station sto p [J ].Railwa y Com -荣, 陈德旺. 列车车站停车的启发式自学习算法及仿真[J ].
nication and Conservation of Ener gy .IEEE , 2013:853-856.
[14]CHEN Yon g fu , YANG Pen g . Research on p ro g ressive p ar -:781neerin g and Desi g n , 2011, 32(3) -783(in Chinese ) . [陈永府, 杨朋. 递进式网络数据包解析与过滤方法研究[:781]J ]. 计算机工程与设计, 2011, 32(3) -783. sin g and filterin g of network p ackets [J ]. Com p uter En g -i