張 登

（國家廣播電視總局二九一臺，甘肅 蘭州 730000）

0 引言

網(wǎng)絡安全是整個廣播電視網(wǎng)絡系統(tǒng)的重要組成部分。隨著廣播電視網(wǎng)絡系統(tǒng)的網(wǎng)絡化發(fā)展，廣播電視網(wǎng)絡系統(tǒng)的體系框架越來越復雜、數(shù)據(jù)量越來越大，涉及的范圍也越來越廣。目前，網(wǎng)絡攻擊的形式更加多樣化、頻次日益增多、破壞程度也越來越嚴重。廣播電視網(wǎng)絡資源是國家重要的信息化設施，具有豐富的資源和眾多的用戶，是關乎國家安全的組成部分，所以網(wǎng)絡完全問題顯得尤為重要，一旦遭受攻擊、破壞、造成安全事故，將危害國家安全體系。

如何檢測對廣播電視網(wǎng)絡系統(tǒng)的攻擊行為，保護網(wǎng)絡安全基礎，是保護廣播電視網(wǎng)絡系統(tǒng)安全，構(gòu)建廣播電視網(wǎng)絡安全體系框架的重要環(huán)節(jié)[1]。入侵檢測是一種網(wǎng)絡安全的重要防護手段，能彌補防火墻的不足。許多學者采用機器學習方法，智能地對網(wǎng)絡攻擊進行入侵檢測，實現(xiàn)入侵檢測智能化、迅速化和高效化，降低了入侵檢測的失誤率、漏檢率和誤檢率。

該文首先介紹了廣播電視網(wǎng)絡系統(tǒng)框架，然后介紹了一部分常用的深度學習算法，比較各個算法在網(wǎng)絡安全入侵檢測應用中的優(yōu)缺點，最終選擇K-means 算法用于廣播電視網(wǎng)絡系統(tǒng)的入侵檢測。最后提出了基于K-means 聚類方法的廣播電視網(wǎng)絡安全系統(tǒng)框架，為獲得性能良好的網(wǎng)絡入侵檢測體系和廣播電視網(wǎng)絡安全系統(tǒng)奠定基礎。

1 廣播電視網(wǎng)絡安全系統(tǒng)框架研究

廣播電視網(wǎng)絡信息系統(tǒng)以具體業(yè)務為基礎對象，在系統(tǒng)內(nèi)各個模塊建立合理的功能安全區(qū)域，并在功能區(qū)安全模塊的基礎上按照嚴格的準則等級設置不同層級的安全功能功能模塊[2]。進入廣播電視信息系統(tǒng)訪問的事件操作，必須要經(jīng)過廣播電視網(wǎng)絡安全子系統(tǒng)的入侵檢測，而且整個訪問過程的數(shù)據(jù)以及流程全過程會受到安全子系統(tǒng)的監(jiān)察，記錄都會被留在日志記錄中。

廣播電視網(wǎng)絡安全子系統(tǒng)對廣播電視網(wǎng)絡信息系統(tǒng)進行多方向、多層面的防護，首先廣播電視網(wǎng)絡系統(tǒng)框架安全保護的核心就是廣播電視安全子系統(tǒng)對主體訪問客體事件的合法性進行檢測和判斷，分為前置檢測和中間檢測。安全子系統(tǒng)經(jīng)常用規(guī)則來定義條件，在符合規(guī)則的條件下允許主體對客體進行訪問。子系統(tǒng)通過對訪問事件提取特征值、劃分訪問事件類來判斷訪問事件，允許或者制止訪問事件的進行。對訪問事件的控制、身份鑒別、入侵檢測、加密等都是安全子系統(tǒng)對網(wǎng)絡防范的功能技術(shù)，這些技術(shù)用來實現(xiàn)安全策略，一般通過策略模塊的方式來實現(xiàn)。具體如圖1 所示。

圖1 廣播電視網(wǎng)絡安全系統(tǒng)結(jié)構(gòu)

2 機器學習方法在網(wǎng)絡入侵檢測中的應用

該文選擇機器學習方法用于網(wǎng)絡入侵檢測智能訓練，機器學習的算法的大多數(shù)用途是處理分類問題。該算法可以將網(wǎng)絡攻擊事件劃分為不同的類別，并且通過訓練和學習，還可以提高分類的性能。這樣的自主學習和分類正適合面對復雜多樣的網(wǎng)絡環(huán)境。將機器學習算法引入網(wǎng)絡入侵檢測系統(tǒng)中，會提高網(wǎng)絡安全系統(tǒng)檢測網(wǎng)絡入侵的準確率。

2.1 機器學習方法介紹

機器學習被認為是一個系統(tǒng)的自我改進過程。機器學習所處理的問題通常被歸結(jié)為搜索問題，即對處理的問題不斷分類搜索的過程，以確定符合條件和假設的最佳數(shù)據(jù)結(jié)果。機器學習主要用于檢測網(wǎng)絡入侵檢測的算法包括決策樹、神經(jīng)網(wǎng)絡和K-means 算法等[3]。

2.1.1 決策樹

決策樹算法簡單快捷，能夠在短時間內(nèi)處理數(shù)據(jù)集。將該算法用于網(wǎng)絡入侵檢測系統(tǒng)中，判斷網(wǎng)絡行為是否為網(wǎng)絡攻擊行為或?qū)儆谀姆N攻擊行為，并對過程進行預測，可提高網(wǎng)絡入侵檢測的速率和準確率。國內(nèi)外學者將決策樹用于網(wǎng)絡入侵檢測系統(tǒng)。一些學者提出了一種實時檢測方法，用決策樹算法對網(wǎng)絡數(shù)據(jù)進行分類。分類結(jié)果顯示輸出結(jié)果可以分成不同的類別。但是該模型并不能檢測未知的入侵攻擊。

2.1.2 神經(jīng)網(wǎng)絡

神經(jīng)網(wǎng)絡是一個由互相連接的神經(jīng)元組成的算法結(jié)構(gòu)，各神經(jīng)元之間的相互連接，使神經(jīng)網(wǎng)絡算法可以實現(xiàn)并行計算，提高處理問題的效率。將神經(jīng)網(wǎng)絡算法應用于網(wǎng)絡入侵檢測系統(tǒng)中，解決傳統(tǒng)檢測中入侵檢測的中央節(jié)點負荷過多的問題，能夠處理大規(guī)模的入侵檢測和數(shù)據(jù)，為大數(shù)據(jù)環(huán)境下的網(wǎng)絡入侵檢測提供網(wǎng)絡安全保障。有學者將神經(jīng)網(wǎng)絡算法用于網(wǎng)絡入侵檢測系統(tǒng)中，并進行智能的實時入侵并發(fā)檢測。該檢測方式首先預處理實時流量數(shù)據(jù)，提取數(shù)據(jù)特征，將其轉(zhuǎn)換成準化數(shù)據(jù)形式，然后將輸出結(jié)果寫入日志。神經(jīng)網(wǎng)絡聚類算法還可以解決未知的攻擊手段，被聚集在一起的單元模塊可以表示已知的攻擊或未知的攻擊。

2.1.3 K-means算法

K-means 算法是將數(shù)據(jù)識別成不同的類（被稱為簇），是一種基于距離的聚類算法，該算法通過不斷地獲取離種子點最近的均值來劃分數(shù)據(jù)聚集。該算法認為離種子點越近，與種子點的相似性越高，其在一個簇中的相似度越高，屬于無監(jiān)督機器學習方法。K-means 聚類是將數(shù)據(jù)對象分組成有一定相似特征子類的算法，一些學者將該算法應用于SOM 網(wǎng)絡中，先用SOM 獲得初步的集群和中心點，再用K-means 算法改進集群。K-means 算法屬于無監(jiān)督學習方法范疇，該算法易操作，數(shù)據(jù)分類快，可對未知類型的入侵類別實施分類措施。在入侵檢測中，經(jīng)常被用于進行日志數(shù)據(jù)檢測和網(wǎng)絡入侵檢測分類。

2.2 3種算法在在系統(tǒng)網(wǎng)路入侵中的應用的比較

決策樹、神經(jīng)網(wǎng)絡和K-means 這3 種算法是3 種不同的機器學習算法，分別被用在網(wǎng)絡入侵檢測中，且各有利弊。下面就分別對這3 種算法各自的優(yōu)缺點進行介紹，具體見表1。

表1 3 種算法的優(yōu)缺點對比

這3 種算法用于網(wǎng)絡入侵檢測系統(tǒng)中都有各自的優(yōu)缺點，運用時應按照數(shù)據(jù)集的具體情況進行判斷。廣播電視網(wǎng)絡系統(tǒng)的網(wǎng)絡入侵數(shù)據(jù)集具有數(shù)據(jù)結(jié)構(gòu)復雜、數(shù)據(jù)量大的特點，所以對算法的效率性和聚類的準確性有較高的需求，且入侵數(shù)據(jù)結(jié)構(gòu)復雜，未知攻擊占據(jù)很大比例。K-means是無監(jiān)督學習方法，在劃分入侵攻擊類型時對于未知攻擊的處理更規(guī)范，已知類型的攻擊聚類效果好、效率高。所以選擇K-means 算法來對廣播電視網(wǎng)絡安全系統(tǒng)進行入侵檢測。

3 K-means算法在廣播電視網(wǎng)絡安全系統(tǒng)框架中的應用

3.1 基于K-means算法的入侵檢測模型

網(wǎng)絡入侵檢測模型最早由學者Dorothy Denning 提出。目前檢測技術(shù)及其體系均是在最初入侵檢測模型的基礎上進行了不同程度的擴展和細化。該文將K-means 算法用于網(wǎng)絡安全入侵檢測中，構(gòu)建基于K-means 算法的入侵檢測模型?；贙-means 聚類算法的模型首先由事件產(chǎn)生器接受事件，再通過K-means 聚類算法規(guī)則聚類，算法本身可以修改、刪除、增加規(guī)則。其整個過程都由活動記錄動態(tài)地記錄整個過程，記錄活動和K-means 聚類算法規(guī)則集之間也相互更新、匹配。

3.2 基于K-means算法的廣播電視網(wǎng)絡安全系統(tǒng)框架模型

圖2 基于K-means 算法的廣播電視網(wǎng)絡安全系統(tǒng)框架模型

將基于K-means 算法的入侵檢測模型用于廣播電視網(wǎng)絡安全子系統(tǒng)中，使網(wǎng)絡系統(tǒng)在受到入侵攻擊時，能夠判斷和檢測入侵事件的合法性?；贙-means 算法的入侵檢測模型子系統(tǒng)通過提取入侵訪問的特征值、劃分訪問事件類別來判斷訪問事件，允許或者制止訪問事件的進行。首先對用戶和外部邊界的入侵操作進行安全功能模塊的初步判定，其次由基于K-means 算法的入侵檢測模型對入侵進行分類，判定結(jié)果。最后對結(jié)果進行操作，使具體事件進入廣播電視網(wǎng)絡域。具體如圖2 所示。

廣播電視網(wǎng)絡安全子系統(tǒng)是一個比較獨立的安全子模塊、子系統(tǒng)，因此需要一個管理中心用來管理該子系統(tǒng)的事物。基于K-means 算法的廣播電視網(wǎng)絡安全系統(tǒng)框架模型，為廣播電視網(wǎng)絡安全系統(tǒng)建立了 一個有效的檢測平臺，為廣播電視網(wǎng)絡系統(tǒng)安全的研究提供了一個新方法。