基于大數(shù)據(jù)的網(wǎng)絡(luò)信息傳輸安全態(tài)勢(shì)感知算法

張國(guó)萍

（廣州華商職業(yè)學(xué)院，廣東廣州 511300）

近幾年來(lái)，外界對(duì)能源和電力的網(wǎng)絡(luò)攻擊不斷增加，而國(guó)家電網(wǎng)公司是供電的核心，電網(wǎng)安全關(guān)系到國(guó)家經(jīng)濟(jì)安全，電網(wǎng)信息化建設(shè)水平和速度在各行業(yè)中都處于前列，安全保障體系建設(shè)一直是電網(wǎng)信息化建設(shè)的重點(diǎn)[1-2]。

對(duì)于解決網(wǎng)絡(luò)安全威脅問(wèn)題，網(wǎng)絡(luò)信息傳輸安全態(tài)勢(shì)感知算法有重要意義，安全態(tài)勢(shì)感知算法能夠很好地分析出網(wǎng)絡(luò)的健康狀態(tài)，并且利用全流量分析對(duì)數(shù)據(jù)進(jìn)行追蹤和取證，從而提出更加可靠的安全應(yīng)對(duì)措施[3]。

該文針對(duì)電力信息系統(tǒng)在大數(shù)據(jù)環(huán)境下所面臨的安全威脅和各種網(wǎng)絡(luò)攻擊，對(duì)網(wǎng)絡(luò)安全態(tài)勢(shì)感知與主動(dòng)防御技術(shù)進(jìn)行了研究。將全流數(shù)據(jù)收集器部署到公司的網(wǎng)絡(luò)出口信息中，收集各類數(shù)據(jù)，例如安全日志、網(wǎng)絡(luò)流量、攻擊情況等，使用高性能處理器處理和存儲(chǔ)數(shù)據(jù)，并利用大數(shù)據(jù)技術(shù)對(duì)攻擊數(shù)據(jù)包進(jìn)行回溯分析，并以圖形直觀地顯示攻擊情況，從而發(fā)出攻擊預(yù)警。

1 網(wǎng)絡(luò)信息傳輸安全態(tài)勢(shì)感知架構(gòu)設(shè)計(jì)

通過(guò)對(duì)時(shí)間和空間的外部信息分析，研究信息的內(nèi)部因素和外部因素，對(duì)未來(lái)傳輸趨勢(shì)進(jìn)行預(yù)測(cè)，安全感知態(tài)勢(shì)模型如圖1 所示。

圖1 安全態(tài)勢(shì)感知模型

根據(jù)圖1 的安全態(tài)勢(shì)感知模型可知，在進(jìn)行網(wǎng)絡(luò)安全態(tài)勢(shì)感知工作的過(guò)程中，系統(tǒng)會(huì)自動(dòng)提取網(wǎng)絡(luò)安全態(tài)勢(shì)因子，并對(duì)網(wǎng)絡(luò)安全態(tài)勢(shì)進(jìn)行評(píng)估，通過(guò)評(píng)估實(shí)現(xiàn)態(tài)勢(shì)預(yù)測(cè)[4-5]。

就目前發(fā)展來(lái)看，針對(duì)智能電網(wǎng)的安全態(tài)勢(shì)感知仍然存在一些問(wèn)題，最主要的問(wèn)題有兩點(diǎn)：1）很難對(duì)信息進(jìn)行融合；2）即使完成融合也難以將信息建模和電力系統(tǒng)的復(fù)雜行為結(jié)合到一起。當(dāng)前的智能電網(wǎng)網(wǎng)絡(luò)模型越來(lái)越豐富，因此攻擊范圍更大，分布式的布局方式增加了網(wǎng)絡(luò)防控的難度，而網(wǎng)絡(luò)狀況的隨機(jī)性和不確定性，使網(wǎng)絡(luò)安全態(tài)勢(shì)感知難以呈現(xiàn)線性關(guān)系，普通的計(jì)算方式無(wú)法解決上述問(wèn)題[6-7]。綜上所述，該文基于大數(shù)據(jù)方法研究了一種新的網(wǎng)絡(luò)信息傳輸安全態(tài)勢(shì)感知架構(gòu)，如圖2 所示。

圖2 網(wǎng)絡(luò)信息傳輸安全態(tài)勢(shì)感知架構(gòu)

根據(jù)圖2 可知，采集器主要負(fù)責(zé)從前端安全服務(wù)器上采集IDP、IDS、TSA 等服務(wù)器的數(shù)據(jù)[8-10]。

預(yù)處理服務(wù)器對(duì)各采集服務(wù)器上報(bào)的數(shù)據(jù)進(jìn)行匯總，統(tǒng)一規(guī)范地處理各采集服務(wù)器上報(bào)的數(shù)據(jù)。所收集的數(shù)據(jù)經(jīng)整理后，儲(chǔ)存于不同的存儲(chǔ)系統(tǒng)，以滿足不同的業(yè)務(wù)需求。

在Hadoop 服務(wù)器上存儲(chǔ)處理過(guò)的數(shù)據(jù)，利用Hadoop的存儲(chǔ)和分析能力，進(jìn)行相關(guān)的數(shù)據(jù)統(tǒng)計(jì)和數(shù)據(jù)挖掘，然后導(dǎo)入檢索引擎，供Web服務(wù)器查詢[11-12]。

網(wǎng)絡(luò)數(shù)據(jù)庫(kù)服務(wù)器主要負(fù)責(zé)存儲(chǔ)態(tài)勢(shì)感知，分析預(yù)警平臺(tái)系統(tǒng)的業(yè)務(wù)功能，網(wǎng)絡(luò)顯示服務(wù)器主要負(fù)責(zé)根據(jù)業(yè)務(wù)功能和威脅進(jìn)行數(shù)據(jù)分析和管理，利用態(tài)勢(shì)感知和基于基本數(shù)據(jù)的預(yù)警平臺(tái)系統(tǒng)來(lái)實(shí)現(xiàn)數(shù)據(jù)可視化。

該文設(shè)計(jì)的網(wǎng)絡(luò)信息傳輸安全態(tài)勢(shì)架構(gòu)具有很強(qiáng)的數(shù)據(jù)采集能力，能夠采集電氣設(shè)備數(shù)據(jù)、變電站總線數(shù)據(jù)和網(wǎng)絡(luò)設(shè)備的信息數(shù)據(jù)，在完成采集后，將所有的數(shù)據(jù)都匯集到安全態(tài)勢(shì)感知中心，利用模糊聚類方法初步分析各項(xiàng)采集數(shù)據(jù)，該文引入博弈理論和強(qiáng)化學(xué)習(xí)理論對(duì)網(wǎng)絡(luò)信息的傳輸安全態(tài)勢(shì)感知進(jìn)行分析[13]。

2 網(wǎng)絡(luò)信息傳輸安全態(tài)勢(shì)感知算法

在智能大數(shù)據(jù)的信息傳輸過(guò)程中，信息傳輸?shù)陌踩陨婕爸T多因素，對(duì)網(wǎng)絡(luò)信息傳輸進(jìn)行安全態(tài)勢(shì)感知需要對(duì)影響信息傳輸?shù)囊蛩剡M(jìn)行感知和分析處理。首先，可以采用模糊聚類方法對(duì)涉及信息傳輸安全態(tài)勢(shì)的因素進(jìn)行識(shí)別，根據(jù)不同因素之間的關(guān)聯(lián)關(guān)系和緊密程度進(jìn)行判斷和分類[14-15]。將采集到的信息數(shù)據(jù)整合為一個(gè)數(shù)據(jù)集，作為運(yùn)算樣本集合，對(duì)集合中的數(shù)據(jù)進(jìn)行預(yù)處理，篩選數(shù)據(jù)集中存在缺漏或模糊的數(shù)據(jù)信息，標(biāo)準(zhǔn)化處理數(shù)據(jù)之間的相似性因子。然后根據(jù)處理后的數(shù)據(jù)和數(shù)據(jù)間的相關(guān)關(guān)系構(gòu)建模糊矩陣。假設(shè)樣本數(shù)據(jù)集表示為N=(n1,n2,…,nk)，其中，n表示數(shù)據(jù)集中的序列數(shù)據(jù)，構(gòu)造得到模糊矩陣Z：

其中，zij表示不同數(shù)據(jù)間的模糊關(guān)系，通過(guò)對(duì)數(shù)據(jù)模糊關(guān)系進(jìn)行分析，能夠得到數(shù)據(jù)模糊矩陣。模糊矩陣可以將數(shù)據(jù)間的相似性關(guān)系表達(dá)出來(lái)，因此可以在模糊處理的基礎(chǔ)上對(duì)樣本數(shù)據(jù)進(jìn)行分類處理，得到安全態(tài)勢(shì)感知處理所需的樣本數(shù)據(jù)集。

針對(duì)網(wǎng)絡(luò)中存在的網(wǎng)絡(luò)入侵或攻擊等安全問(wèn)題，采用博弈論和學(xué)習(xí)算法對(duì)網(wǎng)絡(luò)環(huán)境中的安全態(tài)勢(shì)問(wèn)題進(jìn)行調(diào)整。安全態(tài)勢(shì)感知機(jī)制的設(shè)計(jì)原則如圖3 所示。

圖3 安全態(tài)勢(shì)感知機(jī)制的設(shè)計(jì)原則

將采集提取出的數(shù)據(jù)樣本和相似性因子按照安全態(tài)勢(shì)因素要求分類，輸入滿足要求的數(shù)據(jù)和因子參數(shù)，通過(guò)分層神經(jīng)網(wǎng)絡(luò)分析技術(shù)進(jìn)行數(shù)據(jù)樣本關(guān)系分析和關(guān)系網(wǎng)絡(luò)建立。將運(yùn)算得到的數(shù)據(jù)網(wǎng)絡(luò)與數(shù)據(jù)集參數(shù)進(jìn)行對(duì)比，對(duì)存在誤差部分進(jìn)行調(diào)整，使神經(jīng)網(wǎng)絡(luò)模型能夠?qū)崿F(xiàn)存在對(duì)應(yīng)關(guān)系的數(shù)據(jù)輸入和輸出[16]。

然后，根據(jù)數(shù)據(jù)樣本的值域和屬性選擇合適的參數(shù)，基于博弈論的交互處理過(guò)程，調(diào)整數(shù)據(jù)信息的學(xué)習(xí)策略。將分層網(wǎng)絡(luò)輸出的數(shù)據(jù)作為安全態(tài)勢(shì)感知數(shù)據(jù)矩陣的輸入節(jié)點(diǎn)，以神經(jīng)網(wǎng)絡(luò)模型中的感知神經(jīng)元和神經(jīng)網(wǎng)絡(luò)關(guān)系作為學(xué)習(xí)模型的基礎(chǔ)。輸入的數(shù)據(jù)信息經(jīng)過(guò)博弈處理，與輸出數(shù)據(jù)形成對(duì)應(yīng)關(guān)系，運(yùn)算過(guò)程如下：

其中，λ是函數(shù)的陡度參數(shù)，m是數(shù)據(jù)樣本總數(shù)，將輸入的數(shù)據(jù)經(jīng)過(guò)函數(shù)激活，得到存在異常因子的數(shù)據(jù)信息，表現(xiàn)出存在網(wǎng)絡(luò)不穩(wěn)定安全因素的信息特征。感知模型如圖4 所示。

圖4 感知模型

對(duì)這些不穩(wěn)定因素需要進(jìn)行進(jìn)一步的分析來(lái)判斷，通過(guò)加權(quán)運(yùn)算對(duì)異常因素?cái)?shù)據(jù)信息進(jìn)行學(xué)習(xí)模擬：

其中，Δrij為加權(quán)后的節(jié)點(diǎn)數(shù)據(jù)，根據(jù)學(xué)習(xí)策略和博弈關(guān)系判定后能夠得到網(wǎng)絡(luò)數(shù)據(jù)是否存在異常安全因素。將反饋得到的數(shù)據(jù)與原樣本數(shù)據(jù)進(jìn)行對(duì)比，根據(jù)安全態(tài)勢(shì)感知規(guī)則，調(diào)整存在錯(cuò)誤的數(shù)據(jù)，然后將輸出層數(shù)據(jù)結(jié)果與網(wǎng)絡(luò)中的信息數(shù)據(jù)進(jìn)行匹配，并對(duì)時(shí)間誤差進(jìn)行處理：

其中，Q表示數(shù)據(jù)節(jié)點(diǎn)對(duì)應(yīng)的時(shí)間誤差參數(shù)，θk表示節(jié)點(diǎn)的步長(zhǎng)參數(shù)，排除時(shí)間誤差得到的數(shù)據(jù)為更真實(shí)的網(wǎng)絡(luò)安全態(tài)勢(shì)感知數(shù)據(jù)信息。

3 實(shí)驗(yàn)研究

為了驗(yàn)證研究方法的實(shí)際應(yīng)用效果，以某公司的網(wǎng)絡(luò)系統(tǒng)為實(shí)驗(yàn)對(duì)象進(jìn)行實(shí)驗(yàn)研究。首先，采集該公司某一段時(shí)間內(nèi)的網(wǎng)絡(luò)運(yùn)行數(shù)據(jù)信息作為計(jì)算樣本數(shù)據(jù)集，采集內(nèi)容主要為存在網(wǎng)絡(luò)安全問(wèn)題的網(wǎng)絡(luò)訪問(wèn)信息、網(wǎng)絡(luò)運(yùn)行速度以及設(shè)備存儲(chǔ)信息等。將采集到的數(shù)據(jù)進(jìn)行預(yù)處理，得到的數(shù)據(jù)可以通過(guò)模糊關(guān)系分析得到數(shù)據(jù)的模糊矩陣。對(duì)模糊矩陣輸出的數(shù)據(jù)進(jìn)行博弈分析和學(xué)習(xí)模型構(gòu)建。

網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)如圖5 所示。

圖5 網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)

將實(shí)驗(yàn)中的數(shù)據(jù)輸入到學(xué)習(xí)模型中，形成了以30 個(gè)關(guān)鍵節(jié)點(diǎn)為中心的數(shù)據(jù)關(guān)系集群。實(shí)驗(yàn)參數(shù)如表1 所示。

表1 實(shí)驗(yàn)參數(shù)

表1 的實(shí)驗(yàn)數(shù)據(jù)能夠滿足高效運(yùn)行的數(shù)據(jù)信息處理。通過(guò)計(jì)算機(jī)數(shù)據(jù)運(yùn)算程序?qū)W(wǎng)絡(luò)安全信息數(shù)據(jù)進(jìn)行學(xué)習(xí)模型構(gòu)建，得到存在異常的數(shù)據(jù)信息，排除時(shí)間差異因素后，對(duì)數(shù)據(jù)的相似性因子進(jìn)行博弈分析，并與原數(shù)據(jù)信息及關(guān)聯(lián)性分析結(jié)果進(jìn)行對(duì)比，調(diào)整存在誤差的數(shù)據(jù)運(yùn)算結(jié)果，得到最后能夠具體體現(xiàn)網(wǎng)絡(luò)安全態(tài)勢(shì)的數(shù)據(jù)信息。

累積風(fēng)險(xiǎn)值結(jié)果如圖6 所示。

圖6 累積風(fēng)險(xiǎn)值結(jié)果

根據(jù)圖6 可知，該文提出的方法累積風(fēng)險(xiǎn)值誤差更小，對(duì)網(wǎng)絡(luò)正常運(yùn)行的影響很小，網(wǎng)絡(luò)的運(yùn)行狀態(tài)比較穩(wěn)定，且網(wǎng)絡(luò)運(yùn)行速度仍然很高，采集到的數(shù)據(jù)通過(guò)預(yù)處理篩選后得到的數(shù)據(jù)具有較高的真實(shí)性和完整性，整個(gè)數(shù)據(jù)采集和處理的過(guò)程用時(shí)也比較短。對(duì)處理過(guò)程中的網(wǎng)絡(luò)運(yùn)行狀態(tài)進(jìn)行風(fēng)險(xiǎn)評(píng)定，得到評(píng)定等級(jí)為低風(fēng)險(xiǎn)，說(shuō)明了該文研究的方法在數(shù)據(jù)處理過(guò)程中有較高的工作效率和穩(wěn)定性，數(shù)據(jù)的處理對(duì)網(wǎng)絡(luò)系統(tǒng)運(yùn)行的影響很小，進(jìn)行網(wǎng)絡(luò)安全態(tài)勢(shì)感知的風(fēng)險(xiǎn)也很低。

誤差率感知實(shí)驗(yàn)結(jié)果如表2 所示。

表2 誤差率感知實(shí)驗(yàn)結(jié)果

從實(shí)驗(yàn)得到的安全態(tài)勢(shì)感知數(shù)據(jù)結(jié)果來(lái)看，該文方法具有較低的誤差率。該文方法在對(duì)網(wǎng)絡(luò)安全態(tài)勢(shì)感知數(shù)據(jù)運(yùn)算處理過(guò)程中，基于大數(shù)據(jù)的運(yùn)算機(jī)制，選用了模糊聚類算法、博弈論分析以及機(jī)器學(xué)習(xí)等方法，對(duì)數(shù)據(jù)信息和相似性因子進(jìn)行了多層次的運(yùn)算和關(guān)系構(gòu)建，還對(duì)時(shí)間誤差問(wèn)題進(jìn)行了還原計(jì)算處理。得到的計(jì)算結(jié)果誤差率很低，說(shuō)明經(jīng)過(guò)多層次運(yùn)算的數(shù)據(jù)具有較高的計(jì)算精準(zhǔn)度，能夠更加直接真實(shí)地反映網(wǎng)絡(luò)安全態(tài)勢(shì)問(wèn)題。

綜上所述，該文研究的基于大數(shù)據(jù)的網(wǎng)絡(luò)信息傳輸安全態(tài)勢(shì)感知算法能夠通過(guò)多種算法的運(yùn)算得到精準(zhǔn)的網(wǎng)絡(luò)安全問(wèn)題信息，并且能夠保持網(wǎng)絡(luò)系統(tǒng)的安全穩(wěn)定，具有較低的風(fēng)險(xiǎn)值，有利于對(duì)大規(guī)模網(wǎng)絡(luò)系統(tǒng)進(jìn)行網(wǎng)絡(luò)安全態(tài)勢(shì)感知，不僅具有高效率、低風(fēng)險(xiǎn)的優(yōu)點(diǎn)，還有較低的數(shù)據(jù)運(yùn)算誤差率。

4 結(jié)束語(yǔ)

該文利用綜合聚類分析算法，提取出網(wǎng)絡(luò)安全態(tài)勢(shì)感知的內(nèi)部數(shù)據(jù)，確定感知機(jī)制，對(duì)智能電網(wǎng)的內(nèi)部數(shù)據(jù)進(jìn)行深入分析，根據(jù)分析結(jié)果得到評(píng)估結(jié)論。相較于傳統(tǒng)的網(wǎng)絡(luò)安全態(tài)勢(shì)感知算法，該文算法計(jì)算能力更強(qiáng)，能夠更好地分析出網(wǎng)絡(luò)安全風(fēng)險(xiǎn)值，降低評(píng)估的誤差率。