秦麗娜

(山西警察學(xué)院 網(wǎng)絡(luò)安全保衛(wèi)系,山西 太原 030401)

0 引言

隨著互聯(lián)網(wǎng)行業(yè)的高速發(fā)展，虛擬與現(xiàn)實，數(shù)字與文化正在相互融合，互聯(lián)網(wǎng)已走進(jìn)了尋常的百姓家，可隨之帶來的通信網(wǎng)絡(luò)安全問題成了生活中的主要難題，并隨著技術(shù)與應(yīng)用的發(fā)展而日益凸現(xiàn)，直至今日已成為當(dāng)今社會的頭號難題[1].相信經(jīng)常用互聯(lián)網(wǎng)的朋友們都曾被病毒、木馬、詐騙郵件和短信攻擊過；也有黑客利用非法技術(shù)竊取賬號密碼等信息，給用戶造成重大財產(chǎn)損失.還有許多網(wǎng)絡(luò)蠕蟲及僵尸網(wǎng)絡(luò)等大規(guī)模網(wǎng)絡(luò)安全事件時常發(fā)生，由于網(wǎng)民對互聯(lián)網(wǎng)的不重視，導(dǎo)致其帶來的損失不斷增大.

現(xiàn)在，長期工作在互聯(lián)網(wǎng)的學(xué)者們已經(jīng)意識到安全問題就是互聯(lián)網(wǎng)發(fā)展和國家的核心問題.至今此觀點已成為業(yè)界的普遍共識.大到國家層面上的戰(zhàn)略安全問題小到個人財產(chǎn)、隱私安全問題都需要研究互聯(lián)網(wǎng)的規(guī)制問題[2].個人財產(chǎn)保護(hù)問題、個人隱私保護(hù)問題、國家層面的軍事和政治安全問題.當(dāng)虛擬與現(xiàn)實的融合已經(jīng)呈現(xiàn)不可阻擋的趨勢，網(wǎng)絡(luò)空間的安全就像機(jī)械故障一樣簡單的工業(yè)生產(chǎn)問題，它將被視為國家安全戰(zhàn)略中最重要的部分之一.

文獻(xiàn)[3]設(shè)立新的IP地址，消除通信網(wǎng)絡(luò)中的冗余信息，并進(jìn)一步挖掘通信信息之間的關(guān)聯(lián)，基于多元異構(gòu)模型完成網(wǎng)絡(luò)安全態(tài)勢評估；文獻(xiàn)[4]綜合考慮網(wǎng)絡(luò)安全、系統(tǒng)安全等多個方面，提出一種多源態(tài)勢感知方法，建立多源信息采集和處理模型，消除被攻擊后的問題數(shù)據(jù)，基于模糊推理完成網(wǎng)絡(luò)安全態(tài)勢分析；文獻(xiàn)[5]使用基于無監(jiān)督學(xué)習(xí)的方式進(jìn)行數(shù)據(jù)采樣，并對數(shù)據(jù)進(jìn)行平衡化處理，然后建立具有降維作用的深度自編碼網(wǎng)絡(luò)模型，利用該模型處理后的數(shù)據(jù)作為分類依據(jù)，預(yù)測軟件缺陷，完成對軟件安全態(tài)勢的研究.上述研究方法均取得了一些成果，但預(yù)測精準(zhǔn)度還有待進(jìn)一步提高.

為此，本文提出基于無監(jiān)督聚類算法的通信網(wǎng)絡(luò)安全態(tài)勢預(yù)測方法，并通過實驗驗證了本文方法的有效性，表明本文方法具有較高的預(yù)測精準(zhǔn)度，為通信網(wǎng)絡(luò)的研究提供了一定的數(shù)據(jù)支撐.

1 利用無監(jiān)督聚類算法預(yù)測網(wǎng)絡(luò)安全

1.1 無監(jiān)督聚類算法的含義

圖1 無聚類算法聚合度模型

所謂無監(jiān)督聚類算法，是一種高等數(shù)學(xué)中用在無定量數(shù)據(jù)的定性建模方法.其中無監(jiān)督特指表示沒有唯一的指標(biāo)的情況下的定性建模情況(如圖1所示)，當(dāng)數(shù)據(jù)成N維空間分布則需要收集評價指標(biāo).

1.2 無監(jiān)督聚類算法的預(yù)測方法

視覺和聽覺是人類收集和獲取信息的根本渠道，兩者相互配合，眼睛所看到的和耳朵聽到的信息經(jīng)過視網(wǎng)膜或聽覺中樞傳遞給最高級神經(jīng)中樞大腦皮層，由于人的主觀認(rèn)知會自動過濾掉一些自認(rèn)為不重要的信息，在監(jiān)測計算機(jī)安全時經(jīng)常會忽略一些數(shù)據(jù)從而導(dǎo)致病毒的漏網(wǎng)，而電腦卻可以記錄所有的問題.研究人員可以通過無監(jiān)督聚類算法來模擬電腦操作，獲取到的更滿足計算機(jī)的檢測需要，也就是說通過電腦來檢測通信設(shè)備，避免了人腦檢測中人為有意和無意規(guī)定的輕重緩急點，而導(dǎo)致了一些問題考察不到位.

無監(jiān)督學(xué)習(xí)方法在網(wǎng)絡(luò)安全預(yù)測行業(yè)內(nèi)，是最有效的方法之一，這類方法能夠在僅獲取少量有效的網(wǎng)絡(luò)異常數(shù)據(jù)或觀測數(shù)據(jù)類標(biāo)簽信息的基礎(chǔ)上，更有效且具有目的性地對數(shù)據(jù)進(jìn)行檢測和分析[6].

通過無監(jiān)督聚類算法先獲得圖像工程，在像素及檢測方面的圖像處理操作，由于需要分析重點，必須通過人為和機(jī)器操作的共同配合完成；對圖像中的必要信息進(jìn)行檢測，把以像素描述的圖像轉(zhuǎn)化為非圖像符號，分析圖像中的非圖像符號進(jìn)行運(yùn)算，以便得到目標(biāo)之間的作用關(guān)系，需要電腦的對圖工作，將通過人工填充對圖像內(nèi)容進(jìn)行解釋[7-8].

2 基于無監(jiān)督聚類算法的通信網(wǎng)絡(luò)安全態(tài)勢預(yù)測方法

應(yīng)用無監(jiān)督聚類算法的檢測可分為：數(shù)據(jù)預(yù)處理模塊、信號提取模塊、NCA模塊、DSA模塊和結(jié)果模塊.由它們共同配合完成對通信網(wǎng)絡(luò)安全態(tài)勢的預(yù)測工作.預(yù)測的過程分為四個步驟.

第一步是進(jìn)入網(wǎng)絡(luò)系統(tǒng)產(chǎn)生流量或者提供到需要保護(hù)的服務(wù)器內(nèi)部網(wǎng)絡(luò)，并且提取出有特征性的服務(wù)器[9].

設(shè)數(shù)據(jù)集合D由n個x維數(shù)據(jù)點di組成，則有：

D={di,d2,…,dn}

(1)

S為簇C1,C2,…,Cm的集合.Q(Ci)為簇Ci的代表點集合，即：

3.1.4 歷史文化價值。公元九世紀(jì)中葉，西藏吐蕃贊普朗達(dá)瑪禁佛，史稱“三賢哲”來此避難修心，弘揚(yáng)佛法，成為當(dāng)?shù)厍嗖馗咴鸾虖?fù)興的中心之一。佛教界普遍認(rèn)為，這便是佛教在青海全面?zhèn)鞑サ拈_始，至今有千余年的歷史，使坎布拉成為名副其實的佛教圣地而聞名國內(nèi)藏區(qū)和海內(nèi)外，有著很高的知名度。

Q(Ci)={r1,r2,…,rpi}

(2)

pi≤λ，λ為最大簇代表點數(shù).

收縮因子為α，0≤α≤1，合并簇之間的最大距離為w.

根據(jù)每一個向量di創(chuàng)建一個簇Ci.即：

S={C1,C2,…Cn}

(3)

Ci={di}

(4)

Q(Ci)={di}

(5)

如果 S < 2，執(zhí)行終止.則第二步利用步驟1提取出的特征服務(wù)器執(zhí)行選擇信號任務(wù)，將其分為異常信號和正常信號兩大類；找出簇集S中代表點距離最近的 2 個簇Cu、Cv，

即

(6)

如果dist(Cu,Cv)>w，執(zhí)行終止.

第三步包括兩個階段，運(yùn)行階段和檢測階段.在運(yùn)行階段中利用步驟2中的信息構(gòu)建NCA模塊的實例來練習(xí)運(yùn)行，然后將需要檢測的數(shù)據(jù)分別交給NCA和DSA模塊，其中NCA模塊是對比單個檢測樣本與已存儲的檢測器樣本之間存在的差距[10].DSA是通過隨機(jī)抽樣的方式對單個檢測樣本進(jìn)行抽樣檢測，組成NCA/DSA模塊的結(jié)果需要加權(quán)處理；

確定pk(k=1,…,N)則有，

pk=medianS(i,j)

(7)

第四步結(jié)果模塊則使用這些權(quán)重來區(qū)分異常和正常數(shù)據(jù)并輸出.算法流程圖如圖2所示.

3 實驗

3.1 實驗環(huán)境和數(shù)據(jù)集

為驗證本文方法的有效性，需要進(jìn)行實驗分析，本實驗選用的數(shù)據(jù)是目前入侵檢測領(lǐng)域廣泛使用的實驗數(shù)據(jù)：KDD CUP99 數(shù)據(jù)，實驗在Matlab環(huán)境下進(jìn)行，CPU為2.3 GHz，處理器為海思 Kirin 960.

3.2 實驗預(yù)處理

由于網(wǎng)絡(luò)攻擊具有隨機(jī)性、獨立性和連續(xù)性，如果對其進(jìn)行預(yù)測的時間跨度過小，易導(dǎo)致網(wǎng)絡(luò)學(xué)習(xí)深度較低，若預(yù)測的時間跨度過大，會降低網(wǎng)絡(luò)對安全態(tài)勢的學(xué)習(xí)的準(zhǔn)確性.為此，在預(yù)測網(wǎng)絡(luò)攻擊前對數(shù)據(jù)進(jìn)行預(yù)處理，盡量減少時間跨度對預(yù)測準(zhǔn)確性的影響.

實驗首先對主要數(shù)據(jù)進(jìn)行離散型特征數(shù)值型的轉(zhuǎn)化，并對轉(zhuǎn)化后的數(shù)據(jù)進(jìn)行歸一化的處理，也就是數(shù)學(xué)上經(jīng)常遇到的數(shù)據(jù)劃分.將數(shù)據(jù)集中特設(shè)的類別標(biāo)簽用數(shù)值代替：其中0表示無異常數(shù)據(jù)，1，2，3，4則表示異常的嚴(yán)重程度，4為最嚴(yán)重.由于原始數(shù)據(jù)集中為字符串，以至于不能被SPM處理，所以必須轉(zhuǎn)化0，1，2， 3，4這種數(shù)值型才能被處理.其中特征2為協(xié)議類型，主要包含三個值：TRP、UCP和IAMP.若原始數(shù)據(jù)集中特征2的值為TCP則轉(zhuǎn)化后的數(shù)據(jù)集中TRP特征為1(表示異常信號)，其余兩個特征值為0(表示正常信號).對特征2的分解可以等價于對TRP、UCP、IAMP 3個特征的信號分析工作，編碼轉(zhuǎn)化特征如表1所示.

圖2 無監(jiān)督聚類算法流程圖

表1 編碼特征轉(zhuǎn)化

原始數(shù)據(jù)集中有36個數(shù)值型特征，每個特征的取值范圍不同，由于SPM是基于無監(jiān)督聚類算法的方法的數(shù)據(jù)化特點，所以轉(zhuǎn)化為0和1來表示，在處理過程中數(shù)值的最大值和最小值對結(jié)果影響均比其它值明顯，相對而言其它值的特征影響比較小，因此必須采用歸一化的方式對兩個極端值統(tǒng)一計算，歸一化采用方法如公式如下：

(8)

式中，x表示原始的數(shù)值，x′表示處理后的數(shù)值，max和min分別為歸一化處理下的最大值和最小值.

3.3 實驗步驟

在實驗過程中，從輸入的網(wǎng)絡(luò)流量中提取相關(guān)特征.這些計算相關(guān)特征值確定輸入的網(wǎng)絡(luò)流量中是否含有異常信號的可能值.然后對異常信號的可能值進(jìn)行檢測，若其數(shù)據(jù)檢測結(jié)果為0則為安全信號，若檢測結(jié)果為1則為危險信號.從離散時間T= { 1， 2，…，t，…}內(nèi)的給定歸一化特征向量中提取危險信號和安全信號：若檢測到危險信號則表示有異常數(shù)據(jù)且很大可能性為病毒，若檢測結(jié)果為安全信號則表示沒有異常數(shù)據(jù)，數(shù)據(jù)均不攜帶病毒可放心使用.

3.4 實驗結(jié)果

圖3 預(yù)測精準(zhǔn)度對比

精準(zhǔn)度是衡量算法性能的一種有效指標(biāo)，為充分驗證本文方法的性能，以預(yù)測精準(zhǔn)度為指標(biāo)，將本文方法與傳統(tǒng)方法進(jìn)行對比，結(jié)果如圖3所示.

分析圖3可以看出，在整個實驗過程中，本文方法的預(yù)測精準(zhǔn)度始終高于傳統(tǒng)方法，在時間為10 s時，兩種方法的預(yù)測精準(zhǔn)度達(dá)到最高，本文方法約為95%，傳統(tǒng)方法約為68%，差距較為明顯，由此可以看出，本文的方法對于各種類型的入侵行為有著良好的檢測效果，能準(zhǔn)確預(yù)測通信網(wǎng)絡(luò)安全態(tài)勢，具有一定的優(yōu)越性，驗證了本文方法在網(wǎng)絡(luò)安全方法的有效性，可靠性較強(qiáng)，能應(yīng)用于通信網(wǎng)絡(luò)安全研究中.

4 結(jié)束語

在信息技術(shù)時代，通信網(wǎng)絡(luò)安全問題是我們面臨的一個重要問題，精確的預(yù)測網(wǎng)絡(luò)安全態(tài)勢，對計算機(jī)行業(yè)的發(fā)展具有重要作用。本文通過對無監(jiān)督聚類算法的解說，了解并可簡化應(yīng)用圖像對比的方法預(yù)習(xí)通信網(wǎng)絡(luò)安全態(tài)勢，極大避免了病毒入侵電腦等網(wǎng)絡(luò)系統(tǒng)的機(jī)會.但目前對待網(wǎng)絡(luò)安全僅僅停留在預(yù)防層面上，而不能精確確定病毒來源從而根治病毒.病毒并不僅僅能讓網(wǎng)絡(luò)運(yùn)行系統(tǒng)癱瘓，更危害的是財產(chǎn)隱私的安全，也是在國家層面上威脅軍事、經(jīng)濟(jì)的頭等敵人.不夸張地說，為了保證網(wǎng)絡(luò)安全，必須重視、預(yù)防和清除病毒的危害.這不光是高端學(xué)者的首要課題也是廣大民眾的必行義務(wù)，所以普及網(wǎng)絡(luò)完全問題，把高端技術(shù)簡化應(yīng)用到民眾的手里是現(xiàn)在最有效的戰(zhàn)略手段.