王英

（天津海運(yùn)職業(yè)學(xué)院，天津 300350）

1 引言

現(xiàn)階段云處理以及云存儲(chǔ)的傳輸形式已不能滿(mǎn)足現(xiàn)在的社會(huì)基本安全需求，傳輸通信方式與云通信之間也變得越來(lái)越模糊。船舶通信網(wǎng)絡(luò)是船只在行駛運(yùn)行中相互聯(lián)系或與外界指揮聯(lián)絡(luò)的重要傳輸方式，在保證傳輸數(shù)據(jù)效率的同時(shí)也保障了傳輸結(jié)果的安全可靠，因?yàn)樵谛旭傔^(guò)程中通信數(shù)據(jù)一旦被干擾或是竊取，那么將會(huì)發(fā)生不可逆的惡劣影響。在信息時(shí)代，對(duì)抗和抗干擾技術(shù)不斷升級(jí)，攻擊網(wǎng)絡(luò)通過(guò)發(fā)起入網(wǎng)攻擊船舶通信網(wǎng)絡(luò)，帶有惡意攻擊的數(shù)據(jù)節(jié)點(diǎn)將會(huì)啟動(dòng)網(wǎng)絡(luò)接口，竊取網(wǎng)絡(luò)中傳輸?shù)闹匾獢?shù)據(jù)，達(dá)到影響船舶通信正常運(yùn)行的目的，從根本上影響船舶的整體安全性能。

IDS(intrusion detection system，惡意攻擊檢測(cè)系統(tǒng))可以有效檢測(cè)出網(wǎng)絡(luò)系統(tǒng)運(yùn)行中帶有惡意攻擊性行為的數(shù)據(jù)節(jié)點(diǎn)，尋找出該節(jié)點(diǎn)跟蹤攻擊者，并及時(shí)建立兩道防火墻，找出完整的攻擊路徑，即可檢測(cè)出惡意數(shù)據(jù)節(jié)點(diǎn)，保障通信網(wǎng)絡(luò)的數(shù)據(jù)安全。并以此作為基礎(chǔ)，相關(guān)領(lǐng)域研究人士融合多種智能手段建立更高效便捷的檢測(cè)手段，如添加數(shù)據(jù)挖掘、遺傳算法、免疫系統(tǒng)等。通過(guò)使用分類(lèi)、連接分析和序列分析等數(shù)據(jù)分析技術(shù)最大程度提高入侵檢測(cè)系統(tǒng)檢測(cè)未知攻擊模式的能力。

文獻(xiàn)[1]針對(duì)IDS產(chǎn)生的底層報(bào)警中難以管理問(wèn)題，提出多階段攻擊場(chǎng)景提取方法?；跀?shù)據(jù)挖掘的強(qiáng)關(guān)聯(lián)規(guī)則在已知和未知場(chǎng)景中發(fā)現(xiàn)并創(chuàng)建關(guān)聯(lián)概率表，可為攻擊場(chǎng)景的自動(dòng)提取提供了重要依據(jù)。但在實(shí)際應(yīng)用中，卻不能有效壓縮網(wǎng)絡(luò)告警信息。

由于市場(chǎng)上的Web日志分析系統(tǒng)都是基于特征匹配來(lái)實(shí)現(xiàn)攻擊行為檢測(cè)的，雖然檢測(cè)率較高，但對(duì)于新出現(xiàn)的或者尚未發(fā)現(xiàn)攻擊特征的攻擊類(lèi)型無(wú)法識(shí)別。文獻(xiàn)[2]提出了一種有約束聚類(lèi)的分簇方法，對(duì)Web日志中的HTTP 請(qǐng)求進(jìn)行分簇，利用統(tǒng)計(jì)學(xué)的思想，提出近似正太分布的檢測(cè)模型，并給出基于孤立點(diǎn)異常度的Web 攻擊數(shù)據(jù)挖掘算法。但在檢測(cè)過(guò)程中，該算法并不能及時(shí)發(fā)現(xiàn)攻擊數(shù)據(jù)，檢測(cè)誤報(bào)率高。

因此本文提議出基于數(shù)據(jù)挖掘的船舶通信網(wǎng)絡(luò)惡意攻擊檢測(cè)研究，由于船舶通信網(wǎng)絡(luò)入侵特征具有平穩(wěn)性，導(dǎo)致在入侵檢測(cè)中容易受到小擾動(dòng)影響，檢測(cè)性能不好，因此通過(guò)時(shí)間尺度分解以及提取譜密度特征，針對(duì)帶有惡意攻擊數(shù)據(jù)的節(jié)點(diǎn)進(jìn)行檢測(cè)，并且創(chuàng)建檢測(cè)模型。根據(jù)時(shí)頻分析法，提取出完整的譜密度特征，最終完成檢測(cè)。

2 數(shù)據(jù)挖掘下船舶通信網(wǎng)絡(luò)惡意攻擊檢測(cè)

數(shù)據(jù)挖掘技術(shù)是一種在統(tǒng)計(jì)學(xué)基礎(chǔ)上發(fā)展的自動(dòng)挖掘數(shù)據(jù)規(guī)律方法，可以通過(guò)分析大量數(shù)據(jù)樣本規(guī)則來(lái)判定船舶通信網(wǎng)絡(luò)中節(jié)點(diǎn)傳輸?shù)臄?shù)據(jù)是否具有一定攻擊性。

一般情況下惡意攻擊檢測(cè)都具有兩個(gè)基本前提，分別是可查看的系統(tǒng)數(shù)據(jù)活動(dòng)以及可區(qū)分入侵行為，也就是說(shuō)可以通過(guò)提取用戶(hù)行為的特征來(lái)分析、判斷該行為的合法性。把從原始審計(jì)數(shù)據(jù)或網(wǎng)絡(luò)數(shù)據(jù)中提取出來(lái)的證據(jù)稱(chēng)為特征，使用特征建立和評(píng)價(jià)入侵檢測(cè)模型。特征提取就是確定從原始審計(jì)數(shù)據(jù)或網(wǎng)絡(luò)數(shù)據(jù)中提取那些包含關(guān)鍵行為并對(duì)分析最有用的證據(jù)。

2.1 船舶通信數(shù)據(jù)預(yù)處理

本文采用基于異常數(shù)據(jù)的行為分析方法對(duì)網(wǎng)絡(luò)檢測(cè)，首先對(duì)所有的數(shù)據(jù)預(yù)處理和進(jìn)行兩個(gè)記錄，訓(xùn)練數(shù)據(jù)集和測(cè)試記錄，建立一個(gè)大樣本數(shù)據(jù)集，并且令數(shù)據(jù)樣本分為訓(xùn)練集合以及測(cè)試集合，這兩個(gè)集合占總數(shù)據(jù)集合的比例為6：4。

采樣數(shù)據(jù)集主要來(lái)自船舶中每臺(tái)計(jì)算機(jī)上收集的日志文件或?qū)崟r(shí)網(wǎng)絡(luò)包，為了描述程序或用戶(hù)的行為，即可從收集數(shù)據(jù)中提取有關(guān)對(duì)象的相關(guān)數(shù)據(jù)[3]。在TCP(Transmission Control Protocol，傳輸控制協(xié)議)連接數(shù)據(jù)的例子中，使用書(shū)簽來(lái)描述連接的行為。與維護(hù)用戶(hù)與其連接相關(guān)的任何特定于TCP連接的數(shù)據(jù)，如下所示：

(1) 關(guān)于建立合并TCP 的敏感錯(cuò)誤消息包括：拒絕調(diào)用、請(qǐng)求調(diào)用、但未建立(發(fā)起方?jīng)]有收到同步響應(yīng)包)并且接收到SYN(Synchronize Sequence Numbers，同步序列編號(hào))響應(yīng)包而不需要調(diào)用；

(2) 由合并TCP 傳輸?shù)陌?、ACK(Acknowledge characte，確認(rèn)字符r)包和統(tǒng)計(jì)信息。數(shù)據(jù)統(tǒng)計(jì)包括數(shù)據(jù)重傳率、重傳錯(cuò)誤率、確定數(shù)據(jù)包的實(shí)際比率；

(3) 關(guān)閉信息TCP。有關(guān)如何終止TCP連接的信息，如正常終止、錯(cuò)誤中斷、半關(guān)閉和斷開(kāi)。在采樣數(shù)據(jù)中，每個(gè)TCP連接應(yīng)記錄呼叫。

在樣本數(shù)據(jù)中，每個(gè)TCP連接形成一個(gè)連接記錄，并包含有如下屬性信息開(kāi)始時(shí)間、持續(xù)時(shí)間、參與主機(jī)地址、端口號(hào)、連接統(tǒng)計(jì)值(雙方發(fā)送的字節(jié)數(shù)、重發(fā)率等)、雙方發(fā)送的字節(jié)數(shù)、重發(fā)率等、狀態(tài)信息(正常的或被終止的連接和協(xié)議號(hào)或等)，這些屬性信息構(gòu)成了一個(gè)用戶(hù)連接行為的基本特征[4]。本文給出挖掘惡意攻擊數(shù)據(jù)的數(shù)據(jù)預(yù)處理結(jié)構(gòu)圖，如圖1所示。

圖1 數(shù)據(jù)預(yù)處理結(jié)構(gòu)圖

根據(jù)內(nèi)網(wǎng)結(jié)構(gòu)，可以將內(nèi)網(wǎng)的入侵檢測(cè)分為兩類(lèi)：外部連接和內(nèi)網(wǎng)連接。而一般情況下受到惡意攻擊的主要是外部網(wǎng)絡(luò)，在遭受攻擊時(shí)網(wǎng)絡(luò)連接結(jié)構(gòu)會(huì)出現(xiàn)異常警示，然后這種警示會(huì)一直持續(xù)到其他網(wǎng)絡(luò)結(jié)構(gòu)中，正確地劃分結(jié)構(gòu)連接種類(lèi)，會(huì)有效增加整體檢測(cè)效率。

2.2 數(shù)據(jù)挖掘過(guò)程分析

步驟一：分析網(wǎng)絡(luò)和審計(jì)數(shù)據(jù)；

步驟二：從網(wǎng)絡(luò)和審計(jì)數(shù)據(jù)中分離功能，這些數(shù)據(jù)可以區(qū)分正常操作和入侵活動(dòng)；

步驟三：：從報(bào)警數(shù)據(jù)中刪除正常動(dòng)作，找出覆蓋真實(shí)攻擊的異常動(dòng)作，以便分析員關(guān)注實(shí)際攻擊；

步驟四：識(shí)別長(zhǎng)期和持續(xù)的攻擊；

步驟五：從已知攻擊和正常行為中總結(jié)出檢測(cè)模型，以便檢測(cè)出新的或未知攻擊；

步驟六：降低入室作案的陽(yáng)性率和準(zhǔn)確率。

入侵檢測(cè)過(guò)程中的數(shù)據(jù)抽取過(guò)程主要包括三個(gè)步驟：數(shù)據(jù)準(zhǔn)備、挖掘、表達(dá)和分析，如圖2所示。

圖2 數(shù)據(jù)挖掘流程圖

數(shù)據(jù)準(zhǔn)備階段包括收集和整合歷史以及目前運(yùn)行數(shù)據(jù)，同時(shí)還會(huì)進(jìn)行數(shù)據(jù)清理、數(shù)據(jù)選擇和格式轉(zhuǎn)換，為數(shù)據(jù)提取做準(zhǔn)備。收集到的網(wǎng)絡(luò)數(shù)據(jù)和原始審計(jì)數(shù)據(jù)被處理成包含某些基本特征的離散記錄，如時(shí)間戳、持續(xù)時(shí)間、源的IP 地址、源端口的地址、目的端口的地址和錯(cuò)誤標(biāo)志等[5]。

根據(jù)上述步驟針對(duì)處理后的數(shù)據(jù)進(jìn)行分析，找出事件之間的時(shí)空聯(lián)系，識(shí)別相關(guān)特征和原則。

用戶(hù)的異常模式和正常輪廓由數(shù)據(jù)開(kāi)發(fā)的特點(diǎn)和原理定義，并且存儲(chǔ)在數(shù)據(jù)庫(kù)中。此外，輔助工具還分析有關(guān)用戶(hù)當(dāng)前行為的數(shù)據(jù)，以便了解特征和原理，并使其適應(yīng)知識(shí)庫(kù)中的模式或輪廓。

分析的目的是評(píng)估通過(guò)提取數(shù)據(jù)獲得的異常模式或正常形狀。如果它能有效地反映入侵，就意味著它是有效的。否則，可重復(fù)此過(guò)程，直到達(dá)到滿(mǎn)意。

2.3 船舶通信網(wǎng)絡(luò)惡意攻擊檢測(cè)

2.3.1 構(gòu)建攻擊數(shù)據(jù)信號(hào)檢測(cè)模型

為了能夠有效獲取出通信網(wǎng)絡(luò)中惡意攻擊信號(hào)的特征，便于后續(xù)檢測(cè)，首先構(gòu)建了對(duì)應(yīng)的攻擊信號(hào)檢測(cè)模型，并利用Langevin方程對(duì)攻擊數(shù)據(jù)信息傳輸進(jìn)行描述：

公式(1)中，將a，b描述為通信網(wǎng)絡(luò)中傳輸信道的實(shí)際系統(tǒng)參考數(shù)值，根據(jù)該數(shù)據(jù)即可創(chuàng)建出攻擊信號(hào)數(shù)據(jù)傳輸結(jié)構(gòu)模型，而s(t)和(t)則分別表示為等待檢測(cè)攻擊信號(hào)以及任意干擾的信息分量。

一般情況下，當(dāng)通信網(wǎng)絡(luò)遭受惡意數(shù)據(jù)攻擊時(shí)，節(jié)點(diǎn)數(shù)據(jù)的特征是呈雙勢(shì)阱傳遞函數(shù)狀態(tài)出現(xiàn)的，因此特征表達(dá)式便有：

根據(jù)上式計(jì)算結(jié)果得知系統(tǒng)參數(shù)取a=1，b=1。

入侵網(wǎng)絡(luò)包含了兩個(gè)潛在的入侵信號(hào)和一個(gè)信號(hào)網(wǎng)絡(luò)。應(yīng)用雙穩(wěn)態(tài)方程描述了船舶通信網(wǎng)絡(luò)的數(shù)據(jù)傳輸模型；

而船舶通信網(wǎng)絡(luò)攻擊信號(hào)在信道中的傳輸模型則需要滿(mǎn)足以下計(jì)算條件：

2.3.2 入侵檢測(cè)的濾波處理

采用時(shí)頻分析法分析入網(wǎng)延時(shí)程度，并采用適當(dāng)?shù)臑V波方法濾除船舶通信網(wǎng)絡(luò)的干擾[6-7]。為了獲得船舶通信網(wǎng)絡(luò)中入侵信號(hào)的可變調(diào)制，通過(guò)自適應(yīng)相關(guān)檢測(cè)方法，獲取出通信網(wǎng)絡(luò)的攻擊信號(hào)調(diào)度變量RN，并滿(mǎn)足以下要求：

根據(jù)濾波內(nèi)部和濾波頻率的正相關(guān)關(guān)系，判定通信網(wǎng)絡(luò)干擾信號(hào)的多徑衰減周期：

聯(lián)立上式，得到：

根據(jù)上述計(jì)算結(jié)果分析，假設(shè)船舶通信網(wǎng)絡(luò)用戶(hù)A和B之間所用傳輸?shù)男诺老稙棣誫，并將其表述為常數(shù)，那么根據(jù)信號(hào)的濾波性質(zhì)，就可以獲取出獨(dú)立相位的信道RN和XN自相關(guān)關(guān)系，并有：

得到濾波后的入侵信號(hào)輸出：

2.3.3 入侵特征提取及檢測(cè)結(jié)果輸出

在設(shè)計(jì)攻擊信息流檢測(cè)模型和對(duì)船舶通信網(wǎng)絡(luò)預(yù)處理過(guò)濾的基礎(chǔ)上，針對(duì)通信網(wǎng)絡(luò)攻擊節(jié)點(diǎn)數(shù)據(jù)進(jìn)行特征提取[8]，然后運(yùn)用時(shí)間尺度分析法，將分析得知時(shí)間特性：

在最小平均方誤差理論基礎(chǔ)上，通過(guò)計(jì)算求解出惡意攻擊節(jié)點(diǎn)數(shù)據(jù)的頻譜特征[9]，這樣就可以獲取出惡意攻擊信號(hào)的頻譜密度分布函數(shù)，其計(jì)算式如下：

由此提取通信網(wǎng)絡(luò)攻擊信號(hào)的譜密度特征公式就可以寫(xiě)為：

根據(jù)計(jì)算得到云計(jì)算船舶通信網(wǎng)絡(luò)的入侵信號(hào)檢測(cè)的判決函數(shù)：

3 仿真實(shí)驗(yàn)

為了能夠進(jìn)一步驗(yàn)證所提算法的有效性，將在仿真實(shí)驗(yàn)環(huán)境中令本文算法與文獻(xiàn)[1]方法、文獻(xiàn)[2]方法檢測(cè)惡意攻擊節(jié)點(diǎn)結(jié)果精準(zhǔn)度進(jìn)行對(duì)比。

3.1 實(shí)驗(yàn)設(shè)計(jì)

正式實(shí)驗(yàn)前，將對(duì)應(yīng)模型中的數(shù)據(jù)初始化處理，處理后模型中含有的節(jié)點(diǎn)數(shù)量為20 個(gè)，采用隨機(jī)模式傳輸與接收數(shù)據(jù)信息。

首先根據(jù)數(shù)據(jù)包列表，分析出每個(gè)截獲數(shù)據(jù)包的主要信息，根據(jù)協(xié)議書(shū)結(jié)構(gòu)對(duì)數(shù)據(jù)包協(xié)議信息進(jìn)行分類(lèi)處理，最后在通信網(wǎng)絡(luò)傳輸該數(shù)據(jù)包時(shí)，運(yùn)用結(jié)合數(shù)據(jù)包內(nèi)容以及十六進(jìn)制進(jìn)行傳輸，那么船舶通信網(wǎng)絡(luò)惡意攻擊事件響應(yīng)機(jī)制就如圖3所示。

圖3 響應(yīng)機(jī)制示意圖

在入侵檢測(cè)算法中，包尾定義為客戶(hù)端，包尾定義為服務(wù)器，網(wǎng)絡(luò)時(shí)延和接入特性的計(jì)算方法如圖4所示。

圖4 入侵特征偏差描述

在圖4中將t描述為服務(wù)器與客戶(hù)端之間的惡意攻擊特征偏差，d則表述為兩者之間的往返攻擊特征。假設(shè)令通信網(wǎng)絡(luò)中服務(wù)器與和客戶(hù)機(jī)間往返網(wǎng)絡(luò)延時(shí)參數(shù)一致，并且在T1 和T3 惡意攻擊特征段內(nèi)，那么網(wǎng)絡(luò)負(fù)載、往返路由路徑等網(wǎng)絡(luò)參數(shù)將不會(huì)發(fā)生明顯的異常變化，在該模型下，只有參數(shù)t和d是不知道的變量，那么運(yùn)用T1、T2、T3和T4就可以通過(guò)計(jì)算獲取出t和d，獲得更為精準(zhǔn)的惡意攻擊特征描述結(jié)果，使檢測(cè)結(jié)果更接近真實(shí)值。計(jì)算表達(dá)式即可寫(xiě)為：

3.2 結(jié)果分析

由于假設(shè)條件較為嚴(yán)格，很難充分滿(mǎn)足這一條件，入侵檢測(cè)的準(zhǔn)確度必須很高，利用MATLAB分析每個(gè)節(jié)點(diǎn)接收到的數(shù)據(jù)包，得到結(jié)果如圖5所示。

圖5 節(jié)點(diǎn)受攻擊情況統(tǒng)計(jì)圖

實(shí)驗(yàn)表明，第5和第15節(jié)點(diǎn)的物理穿透特征與實(shí)測(cè)入侵特征有明顯的一致性。同時(shí)，如果物理侵徹特性與實(shí)測(cè)侵徹特性相差不大，則可以檢測(cè)到同步侵徹特性。惡意攻擊節(jié)點(diǎn)檢測(cè)效率對(duì)比結(jié)果如圖6所示。

圖6 惡意攻擊節(jié)點(diǎn)檢測(cè)效率對(duì)比圖

從圖6 可以進(jìn)一步看出，與文獻(xiàn)方法相比，所提算法檢測(cè)效率更高，并且會(huì)隨著檢測(cè)次數(shù)的增加而呈現(xiàn)出緩慢遞增所需時(shí)間的情況，相比之下兩種文獻(xiàn)方法則略微遜色，文獻(xiàn)[1]方法有著顯著的時(shí)間，而文獻(xiàn)[2]方法則是先緩慢增長(zhǎng)，后來(lái)伴隨著次數(shù)越多時(shí)間突增。

4 結(jié)束語(yǔ)

為了能夠有效提高傳統(tǒng)方法檢測(cè)誤報(bào)率、效率低，對(duì)基于數(shù)據(jù)挖掘的船舶通信網(wǎng)絡(luò)惡意攻擊檢測(cè)進(jìn)行研究。通過(guò)基于時(shí)間尺度分解和譜密度特征提取的船舶通信網(wǎng)絡(luò)的入侵特征提取與檢測(cè)方法，構(gòu)建對(duì)應(yīng)的模型，通過(guò)匹配濾波方法進(jìn)行船舶通信網(wǎng)絡(luò)的干擾濾波，獲取出譜密度特征，實(shí)現(xiàn)檢測(cè)目的。雖然該方法可以有效提高整體監(jiān)測(cè)效率，但由于在其過(guò)程中需要較為精準(zhǔn)的匹配參數(shù)取值，所以會(huì)有復(fù)雜的計(jì)算量，仍有待于優(yōu)化。