基于大數(shù)據(jù)的網(wǎng)絡信息傳輸安全態(tài)勢感知算法

張國萍

（廣州華商職業(yè)學院，廣東廣州 511300）

近幾年來，外界對能源和電力的網(wǎng)絡攻擊不斷增加，而國家電網(wǎng)公司是供電的核心，電網(wǎng)安全關系到國家經(jīng)濟安全，電網(wǎng)信息化建設水平和速度在各行業(yè)中都處于前列，安全保障體系建設一直是電網(wǎng)信息化建設的重點[1-2]。

對于解決網(wǎng)絡安全威脅問題，網(wǎng)絡信息傳輸安全態(tài)勢感知算法有重要意義，安全態(tài)勢感知算法能夠很好地分析出網(wǎng)絡的健康狀態(tài)，并且利用全流量分析對數(shù)據(jù)進行追蹤和取證，從而提出更加可靠的安全應對措施[3]。

該文針對電力信息系統(tǒng)在大數(shù)據(jù)環(huán)境下所面臨的安全威脅和各種網(wǎng)絡攻擊，對網(wǎng)絡安全態(tài)勢感知與主動防御技術進行了研究。將全流數(shù)據(jù)收集器部署到公司的網(wǎng)絡出口信息中，收集各類數(shù)據(jù)，例如安全日志、網(wǎng)絡流量、攻擊情況等，使用高性能處理器處理和存儲數(shù)據(jù)，并利用大數(shù)據(jù)技術對攻擊數(shù)據(jù)包進行回溯分析，并以圖形直觀地顯示攻擊情況，從而發(fā)出攻擊預警。

1 網(wǎng)絡信息傳輸安全態(tài)勢感知架構設計

通過對時間和空間的外部信息分析，研究信息的內部因素和外部因素，對未來傳輸趨勢進行預測，安全感知態(tài)勢模型如圖1 所示。

圖1 安全態(tài)勢感知模型

根據(jù)圖1 的安全態(tài)勢感知模型可知，在進行網(wǎng)絡安全態(tài)勢感知工作的過程中，系統(tǒng)會自動提取網(wǎng)絡安全態(tài)勢因子，并對網(wǎng)絡安全態(tài)勢進行評估，通過評估實現(xiàn)態(tài)勢預測[4-5]。

就目前發(fā)展來看，針對智能電網(wǎng)的安全態(tài)勢感知仍然存在一些問題，最主要的問題有兩點：1）很難對信息進行融合；2）即使完成融合也難以將信息建模和電力系統(tǒng)的復雜行為結合到一起。當前的智能電網(wǎng)網(wǎng)絡模型越來越豐富，因此攻擊范圍更大，分布式的布局方式增加了網(wǎng)絡防控的難度，而網(wǎng)絡狀況的隨機性和不確定性，使網(wǎng)絡安全態(tài)勢感知難以呈現(xiàn)線性關系，普通的計算方式無法解決上述問題[6-7]。綜上所述，該文基于大數(shù)據(jù)方法研究了一種新的網(wǎng)絡信息傳輸安全態(tài)勢感知架構，如圖2 所示。

圖2 網(wǎng)絡信息傳輸安全態(tài)勢感知架構

根據(jù)圖2 可知，采集器主要負責從前端安全服務器上采集IDP、IDS、TSA 等服務器的數(shù)據(jù)[8-10]。

預處理服務器對各采集服務器上報的數(shù)據(jù)進行匯總，統(tǒng)一規(guī)范地處理各采集服務器上報的數(shù)據(jù)。所收集的數(shù)據(jù)經(jīng)整理后，儲存于不同的存儲系統(tǒng)，以滿足不同的業(yè)務需求。

在Hadoop 服務器上存儲處理過的數(shù)據(jù)，利用Hadoop的存儲和分析能力，進行相關的數(shù)據(jù)統(tǒng)計和數(shù)據(jù)挖掘，然后導入檢索引擎，供Web服務器查詢[11-12]。

網(wǎng)絡數(shù)據(jù)庫服務器主要負責存儲態(tài)勢感知，分析預警平臺系統(tǒng)的業(yè)務功能，網(wǎng)絡顯示服務器主要負責根據(jù)業(yè)務功能和威脅進行數(shù)據(jù)分析和管理，利用態(tài)勢感知和基于基本數(shù)據(jù)的預警平臺系統(tǒng)來實現(xiàn)數(shù)據(jù)可視化。

該文設計的網(wǎng)絡信息傳輸安全態(tài)勢架構具有很強的數(shù)據(jù)采集能力，能夠采集電氣設備數(shù)據(jù)、變電站總線數(shù)據(jù)和網(wǎng)絡設備的信息數(shù)據(jù)，在完成采集后，將所有的數(shù)據(jù)都匯集到安全態(tài)勢感知中心，利用模糊聚類方法初步分析各項采集數(shù)據(jù)，該文引入博弈理論和強化學習理論對網(wǎng)絡信息的傳輸安全態(tài)勢感知進行分析[13]。

2 網(wǎng)絡信息傳輸安全態(tài)勢感知算法

在智能大數(shù)據(jù)的信息傳輸過程中，信息傳輸?shù)陌踩陨婕爸T多因素，對網(wǎng)絡信息傳輸進行安全態(tài)勢感知需要對影響信息傳輸?shù)囊蛩剡M行感知和分析處理。首先，可以采用模糊聚類方法對涉及信息傳輸安全態(tài)勢的因素進行識別，根據(jù)不同因素之間的關聯(lián)關系和緊密程度進行判斷和分類[14-15]。將采集到的信息數(shù)據(jù)整合為一個數(shù)據(jù)集，作為運算樣本集合，對集合中的數(shù)據(jù)進行預處理，篩選數(shù)據(jù)集中存在缺漏或模糊的數(shù)據(jù)信息，標準化處理數(shù)據(jù)之間的相似性因子。然后根據(jù)處理后的數(shù)據(jù)和數(shù)據(jù)間的相關關系構建模糊矩陣。假設樣本數(shù)據(jù)集表示為N=(n1,n2,…,nk)，其中，n表示數(shù)據(jù)集中的序列數(shù)據(jù)，構造得到模糊矩陣Z：

其中，zij表示不同數(shù)據(jù)間的模糊關系，通過對數(shù)據(jù)模糊關系進行分析，能夠得到數(shù)據(jù)模糊矩陣。模糊矩陣可以將數(shù)據(jù)間的相似性關系表達出來，因此可以在模糊處理的基礎上對樣本數(shù)據(jù)進行分類處理，得到安全態(tài)勢感知處理所需的樣本數(shù)據(jù)集。

針對網(wǎng)絡中存在的網(wǎng)絡入侵或攻擊等安全問題，采用博弈論和學習算法對網(wǎng)絡環(huán)境中的安全態(tài)勢問題進行調整。安全態(tài)勢感知機制的設計原則如圖3 所示。

圖3 安全態(tài)勢感知機制的設計原則

將采集提取出的數(shù)據(jù)樣本和相似性因子按照安全態(tài)勢因素要求分類，輸入滿足要求的數(shù)據(jù)和因子參數(shù)，通過分層神經(jīng)網(wǎng)絡分析技術進行數(shù)據(jù)樣本關系分析和關系網(wǎng)絡建立。將運算得到的數(shù)據(jù)網(wǎng)絡與數(shù)據(jù)集參數(shù)進行對比，對存在誤差部分進行調整，使神經(jīng)網(wǎng)絡模型能夠實現(xiàn)存在對應關系的數(shù)據(jù)輸入和輸出[16]。

然后，根據(jù)數(shù)據(jù)樣本的值域和屬性選擇合適的參數(shù)，基于博弈論的交互處理過程，調整數(shù)據(jù)信息的學習策略。將分層網(wǎng)絡輸出的數(shù)據(jù)作為安全態(tài)勢感知數(shù)據(jù)矩陣的輸入節(jié)點，以神經(jīng)網(wǎng)絡模型中的感知神經(jīng)元和神經(jīng)網(wǎng)絡關系作為學習模型的基礎。輸入的數(shù)據(jù)信息經(jīng)過博弈處理，與輸出數(shù)據(jù)形成對應關系，運算過程如下：

其中，λ是函數(shù)的陡度參數(shù)，m是數(shù)據(jù)樣本總數(shù)，將輸入的數(shù)據(jù)經(jīng)過函數(shù)激活，得到存在異常因子的數(shù)據(jù)信息，表現(xiàn)出存在網(wǎng)絡不穩(wěn)定安全因素的信息特征。感知模型如圖4 所示。

圖4 感知模型

對這些不穩(wěn)定因素需要進行進一步的分析來判斷，通過加權運算對異常因素數(shù)據(jù)信息進行學習模擬：

其中，Δrij為加權后的節(jié)點數(shù)據(jù)，根據(jù)學習策略和博弈關系判定后能夠得到網(wǎng)絡數(shù)據(jù)是否存在異常安全因素。將反饋得到的數(shù)據(jù)與原樣本數(shù)據(jù)進行對比，根據(jù)安全態(tài)勢感知規(guī)則，調整存在錯誤的數(shù)據(jù)，然后將輸出層數(shù)據(jù)結果與網(wǎng)絡中的信息數(shù)據(jù)進行匹配，并對時間誤差進行處理：

其中，Q表示數(shù)據(jù)節(jié)點對應的時間誤差參數(shù)，θk表示節(jié)點的步長參數(shù)，排除時間誤差得到的數(shù)據(jù)為更真實的網(wǎng)絡安全態(tài)勢感知數(shù)據(jù)信息。

3 實驗研究

為了驗證研究方法的實際應用效果，以某公司的網(wǎng)絡系統(tǒng)為實驗對象進行實驗研究。首先，采集該公司某一段時間內的網(wǎng)絡運行數(shù)據(jù)信息作為計算樣本數(shù)據(jù)集，采集內容主要為存在網(wǎng)絡安全問題的網(wǎng)絡訪問信息、網(wǎng)絡運行速度以及設備存儲信息等。將采集到的數(shù)據(jù)進行預處理，得到的數(shù)據(jù)可以通過模糊關系分析得到數(shù)據(jù)的模糊矩陣。對模糊矩陣輸出的數(shù)據(jù)進行博弈分析和學習模型構建。

網(wǎng)絡拓撲結構如圖5 所示。

圖5 網(wǎng)絡拓撲結構

將實驗中的數(shù)據(jù)輸入到學習模型中，形成了以30 個關鍵節(jié)點為中心的數(shù)據(jù)關系集群。實驗參數(shù)如表1 所示。

表1 實驗參數(shù)

表1 的實驗數(shù)據(jù)能夠滿足高效運行的數(shù)據(jù)信息處理。通過計算機數(shù)據(jù)運算程序對網(wǎng)絡安全信息數(shù)據(jù)進行學習模型構建，得到存在異常的數(shù)據(jù)信息，排除時間差異因素后，對數(shù)據(jù)的相似性因子進行博弈分析，并與原數(shù)據(jù)信息及關聯(lián)性分析結果進行對比，調整存在誤差的數(shù)據(jù)運算結果，得到最后能夠具體體現(xiàn)網(wǎng)絡安全態(tài)勢的數(shù)據(jù)信息。

累積風險值結果如圖6 所示。

圖6 累積風險值結果

根據(jù)圖6 可知，該文提出的方法累積風險值誤差更小，對網(wǎng)絡正常運行的影響很小，網(wǎng)絡的運行狀態(tài)比較穩(wěn)定，且網(wǎng)絡運行速度仍然很高，采集到的數(shù)據(jù)通過預處理篩選后得到的數(shù)據(jù)具有較高的真實性和完整性，整個數(shù)據(jù)采集和處理的過程用時也比較短。對處理過程中的網(wǎng)絡運行狀態(tài)進行風險評定，得到評定等級為低風險，說明了該文研究的方法在數(shù)據(jù)處理過程中有較高的工作效率和穩(wěn)定性，數(shù)據(jù)的處理對網(wǎng)絡系統(tǒng)運行的影響很小，進行網(wǎng)絡安全態(tài)勢感知的風險也很低。

誤差率感知實驗結果如表2 所示。

表2 誤差率感知實驗結果

從實驗得到的安全態(tài)勢感知數(shù)據(jù)結果來看，該文方法具有較低的誤差率。該文方法在對網(wǎng)絡安全態(tài)勢感知數(shù)據(jù)運算處理過程中，基于大數(shù)據(jù)的運算機制，選用了模糊聚類算法、博弈論分析以及機器學習等方法，對數(shù)據(jù)信息和相似性因子進行了多層次的運算和關系構建，還對時間誤差問題進行了還原計算處理。得到的計算結果誤差率很低，說明經(jīng)過多層次運算的數(shù)據(jù)具有較高的計算精準度，能夠更加直接真實地反映網(wǎng)絡安全態(tài)勢問題。

綜上所述，該文研究的基于大數(shù)據(jù)的網(wǎng)絡信息傳輸安全態(tài)勢感知算法能夠通過多種算法的運算得到精準的網(wǎng)絡安全問題信息，并且能夠保持網(wǎng)絡系統(tǒng)的安全穩(wěn)定，具有較低的風險值，有利于對大規(guī)模網(wǎng)絡系統(tǒng)進行網(wǎng)絡安全態(tài)勢感知，不僅具有高效率、低風險的優(yōu)點，還有較低的數(shù)據(jù)運算誤差率。

4 結束語

該文利用綜合聚類分析算法，提取出網(wǎng)絡安全態(tài)勢感知的內部數(shù)據(jù)，確定感知機制，對智能電網(wǎng)的內部數(shù)據(jù)進行深入分析，根據(jù)分析結果得到評估結論。相較于傳統(tǒng)的網(wǎng)絡安全態(tài)勢感知算法，該文算法計算能力更強，能夠更好地分析出網(wǎng)絡安全風險值，降低評估的誤差率。