基于數(shù)據(jù)挖掘的船舶通信網(wǎng)絡(luò)惡意攻擊檢測研究

王英

（天津海運職業(yè)學(xué)院，天津 300350）

1 引言

現(xiàn)階段云處理以及云存儲的傳輸形式已不能滿足現(xiàn)在的社會基本安全需求，傳輸通信方式與云通信之間也變得越來越模糊。船舶通信網(wǎng)絡(luò)是船只在行駛運行中相互聯(lián)系或與外界指揮聯(lián)絡(luò)的重要傳輸方式，在保證傳輸數(shù)據(jù)效率的同時也保障了傳輸結(jié)果的安全可靠，因為在行駛過程中通信數(shù)據(jù)一旦被干擾或是竊取，那么將會發(fā)生不可逆的惡劣影響。在信息時代，對抗和抗干擾技術(shù)不斷升級，攻擊網(wǎng)絡(luò)通過發(fā)起入網(wǎng)攻擊船舶通信網(wǎng)絡(luò)，帶有惡意攻擊的數(shù)據(jù)節(jié)點將會啟動網(wǎng)絡(luò)接口，竊取網(wǎng)絡(luò)中傳輸?shù)闹匾獢?shù)據(jù)，達到影響船舶通信正常運行的目的，從根本上影響船舶的整體安全性能。

IDS(intrusion detection system，惡意攻擊檢測系統(tǒng))可以有效檢測出網(wǎng)絡(luò)系統(tǒng)運行中帶有惡意攻擊性行為的數(shù)據(jù)節(jié)點，尋找出該節(jié)點跟蹤攻擊者，并及時建立兩道防火墻，找出完整的攻擊路徑，即可檢測出惡意數(shù)據(jù)節(jié)點，保障通信網(wǎng)絡(luò)的數(shù)據(jù)安全。并以此作為基礎(chǔ)，相關(guān)領(lǐng)域研究人士融合多種智能手段建立更高效便捷的檢測手段，如添加數(shù)據(jù)挖掘、遺傳算法、免疫系統(tǒng)等。通過使用分類、連接分析和序列分析等數(shù)據(jù)分析技術(shù)最大程度提高入侵檢測系統(tǒng)檢測未知攻擊模式的能力。

文獻[1]針對IDS產(chǎn)生的底層報警中難以管理問題，提出多階段攻擊場景提取方法。基于數(shù)據(jù)挖掘的強關(guān)聯(lián)規(guī)則在已知和未知場景中發(fā)現(xiàn)并創(chuàng)建關(guān)聯(lián)概率表，可為攻擊場景的自動提取提供了重要依據(jù)。但在實際應(yīng)用中，卻不能有效壓縮網(wǎng)絡(luò)告警信息。

由于市場上的Web日志分析系統(tǒng)都是基于特征匹配來實現(xiàn)攻擊行為檢測的，雖然檢測率較高，但對于新出現(xiàn)的或者尚未發(fā)現(xiàn)攻擊特征的攻擊類型無法識別。文獻[2]提出了一種有約束聚類的分簇方法，對Web日志中的HTTP 請求進行分簇，利用統(tǒng)計學(xué)的思想，提出近似正太分布的檢測模型，并給出基于孤立點異常度的Web 攻擊數(shù)據(jù)挖掘算法。但在檢測過程中，該算法并不能及時發(fā)現(xiàn)攻擊數(shù)據(jù)，檢測誤報率高。

因此本文提議出基于數(shù)據(jù)挖掘的船舶通信網(wǎng)絡(luò)惡意攻擊檢測研究，由于船舶通信網(wǎng)絡(luò)入侵特征具有平穩(wěn)性，導(dǎo)致在入侵檢測中容易受到小擾動影響，檢測性能不好，因此通過時間尺度分解以及提取譜密度特征，針對帶有惡意攻擊數(shù)據(jù)的節(jié)點進行檢測，并且創(chuàng)建檢測模型。根據(jù)時頻分析法，提取出完整的譜密度特征，最終完成檢測。

2 數(shù)據(jù)挖掘下船舶通信網(wǎng)絡(luò)惡意攻擊檢測

數(shù)據(jù)挖掘技術(shù)是一種在統(tǒng)計學(xué)基礎(chǔ)上發(fā)展的自動挖掘數(shù)據(jù)規(guī)律方法，可以通過分析大量數(shù)據(jù)樣本規(guī)則來判定船舶通信網(wǎng)絡(luò)中節(jié)點傳輸?shù)臄?shù)據(jù)是否具有一定攻擊性。

一般情況下惡意攻擊檢測都具有兩個基本前提，分別是可查看的系統(tǒng)數(shù)據(jù)活動以及可區(qū)分入侵行為，也就是說可以通過提取用戶行為的特征來分析、判斷該行為的合法性。把從原始審計數(shù)據(jù)或網(wǎng)絡(luò)數(shù)據(jù)中提取出來的證據(jù)稱為特征，使用特征建立和評價入侵檢測模型。特征提取就是確定從原始審計數(shù)據(jù)或網(wǎng)絡(luò)數(shù)據(jù)中提取那些包含關(guān)鍵行為并對分析最有用的證據(jù)。

2.1 船舶通信數(shù)據(jù)預(yù)處理

本文采用基于異常數(shù)據(jù)的行為分析方法對網(wǎng)絡(luò)檢測，首先對所有的數(shù)據(jù)預(yù)處理和進行兩個記錄，訓(xùn)練數(shù)據(jù)集和測試記錄，建立一個大樣本數(shù)據(jù)集，并且令數(shù)據(jù)樣本分為訓(xùn)練集合以及測試集合，這兩個集合占總數(shù)據(jù)集合的比例為6：4。

采樣數(shù)據(jù)集主要來自船舶中每臺計算機上收集的日志文件或?qū)崟r網(wǎng)絡(luò)包，為了描述程序或用戶的行為，即可從收集數(shù)據(jù)中提取有關(guān)對象的相關(guān)數(shù)據(jù)[3]。在TCP(Transmission Control Protocol，傳輸控制協(xié)議)連接數(shù)據(jù)的例子中，使用書簽來描述連接的行為。與維護用戶與其連接相關(guān)的任何特定于TCP連接的數(shù)據(jù)，如下所示：

(1) 關(guān)于建立合并TCP 的敏感錯誤消息包括：拒絕調(diào)用、請求調(diào)用、但未建立(發(fā)起方?jīng)]有收到同步響應(yīng)包)并且接收到SYN(Synchronize Sequence Numbers，同步序列編號)響應(yīng)包而不需要調(diào)用；

(2) 由合并TCP 傳輸?shù)陌?、ACK(Acknowledge characte，確認字符r)包和統(tǒng)計信息。數(shù)據(jù)統(tǒng)計包括數(shù)據(jù)重傳率、重傳錯誤率、確定數(shù)據(jù)包的實際比率；

(3) 關(guān)閉信息TCP。有關(guān)如何終止TCP連接的信息，如正常終止、錯誤中斷、半關(guān)閉和斷開。在采樣數(shù)據(jù)中，每個TCP連接應(yīng)記錄呼叫。

在樣本數(shù)據(jù)中，每個TCP連接形成一個連接記錄，并包含有如下屬性信息開始時間、持續(xù)時間、參與主機地址、端口號、連接統(tǒng)計值(雙方發(fā)送的字節(jié)數(shù)、重發(fā)率等)、雙方發(fā)送的字節(jié)數(shù)、重發(fā)率等、狀態(tài)信息(正常的或被終止的連接和協(xié)議號或等)，這些屬性信息構(gòu)成了一個用戶連接行為的基本特征[4]。本文給出挖掘惡意攻擊數(shù)據(jù)的數(shù)據(jù)預(yù)處理結(jié)構(gòu)圖，如圖1所示。

圖1 數(shù)據(jù)預(yù)處理結(jié)構(gòu)圖

根據(jù)內(nèi)網(wǎng)結(jié)構(gòu)，可以將內(nèi)網(wǎng)的入侵檢測分為兩類：外部連接和內(nèi)網(wǎng)連接。而一般情況下受到惡意攻擊的主要是外部網(wǎng)絡(luò)，在遭受攻擊時網(wǎng)絡(luò)連接結(jié)構(gòu)會出現(xiàn)異常警示，然后這種警示會一直持續(xù)到其他網(wǎng)絡(luò)結(jié)構(gòu)中，正確地劃分結(jié)構(gòu)連接種類，會有效增加整體檢測效率。

2.2 數(shù)據(jù)挖掘過程分析

步驟一：分析網(wǎng)絡(luò)和審計數(shù)據(jù)；

步驟二：從網(wǎng)絡(luò)和審計數(shù)據(jù)中分離功能，這些數(shù)據(jù)可以區(qū)分正常操作和入侵活動；

步驟三：：從報警數(shù)據(jù)中刪除正常動作，找出覆蓋真實攻擊的異常動作，以便分析員關(guān)注實際攻擊；

步驟四：識別長期和持續(xù)的攻擊；

步驟五：從已知攻擊和正常行為中總結(jié)出檢測模型，以便檢測出新的或未知攻擊；

步驟六：降低入室作案的陽性率和準確率。

入侵檢測過程中的數(shù)據(jù)抽取過程主要包括三個步驟：數(shù)據(jù)準備、挖掘、表達和分析，如圖2所示。

圖2 數(shù)據(jù)挖掘流程圖

數(shù)據(jù)準備階段包括收集和整合歷史以及目前運行數(shù)據(jù)，同時還會進行數(shù)據(jù)清理、數(shù)據(jù)選擇和格式轉(zhuǎn)換，為數(shù)據(jù)提取做準備。收集到的網(wǎng)絡(luò)數(shù)據(jù)和原始審計數(shù)據(jù)被處理成包含某些基本特征的離散記錄，如時間戳、持續(xù)時間、源的IP 地址、源端口的地址、目的端口的地址和錯誤標志等[5]。

根據(jù)上述步驟針對處理后的數(shù)據(jù)進行分析，找出事件之間的時空聯(lián)系，識別相關(guān)特征和原則。

用戶的異常模式和正常輪廓由數(shù)據(jù)開發(fā)的特點和原理定義，并且存儲在數(shù)據(jù)庫中。此外，輔助工具還分析有關(guān)用戶當前行為的數(shù)據(jù)，以便了解特征和原理，并使其適應(yīng)知識庫中的模式或輪廓。

分析的目的是評估通過提取數(shù)據(jù)獲得的異常模式或正常形狀。如果它能有效地反映入侵，就意味著它是有效的。否則，可重復(fù)此過程，直到達到滿意。

2.3 船舶通信網(wǎng)絡(luò)惡意攻擊檢測

2.3.1 構(gòu)建攻擊數(shù)據(jù)信號檢測模型

為了能夠有效獲取出通信網(wǎng)絡(luò)中惡意攻擊信號的特征，便于后續(xù)檢測，首先構(gòu)建了對應(yīng)的攻擊信號檢測模型，并利用Langevin方程對攻擊數(shù)據(jù)信息傳輸進行描述：

公式(1)中，將a，b描述為通信網(wǎng)絡(luò)中傳輸信道的實際系統(tǒng)參考數(shù)值，根據(jù)該數(shù)據(jù)即可創(chuàng)建出攻擊信號數(shù)據(jù)傳輸結(jié)構(gòu)模型，而s(t)和(t)則分別表示為等待檢測攻擊信號以及任意干擾的信息分量。

一般情況下，當通信網(wǎng)絡(luò)遭受惡意數(shù)據(jù)攻擊時，節(jié)點數(shù)據(jù)的特征是呈雙勢阱傳遞函數(shù)狀態(tài)出現(xiàn)的，因此特征表達式便有：

根據(jù)上式計算結(jié)果得知系統(tǒng)參數(shù)取a=1，b=1。

入侵網(wǎng)絡(luò)包含了兩個潛在的入侵信號和一個信號網(wǎng)絡(luò)。應(yīng)用雙穩(wěn)態(tài)方程描述了船舶通信網(wǎng)絡(luò)的數(shù)據(jù)傳輸模型；

而船舶通信網(wǎng)絡(luò)攻擊信號在信道中的傳輸模型則需要滿足以下計算條件：

2.3.2 入侵檢測的濾波處理

采用時頻分析法分析入網(wǎng)延時程度，并采用適當?shù)臑V波方法濾除船舶通信網(wǎng)絡(luò)的干擾[6-7]。為了獲得船舶通信網(wǎng)絡(luò)中入侵信號的可變調(diào)制，通過自適應(yīng)相關(guān)檢測方法，獲取出通信網(wǎng)絡(luò)的攻擊信號調(diào)度變量RN，并滿足以下要求：

根據(jù)濾波內(nèi)部和濾波頻率的正相關(guān)關(guān)系，判定通信網(wǎng)絡(luò)干擾信號的多徑衰減周期：

聯(lián)立上式，得到：

根據(jù)上述計算結(jié)果分析，假設(shè)船舶通信網(wǎng)絡(luò)用戶A和B之間所用傳輸?shù)男诺老稙棣誫，并將其表述為常數(shù)，那么根據(jù)信號的濾波性質(zhì)，就可以獲取出獨立相位的信道RN和XN自相關(guān)關(guān)系，并有：

得到濾波后的入侵信號輸出：

2.3.3 入侵特征提取及檢測結(jié)果輸出

在設(shè)計攻擊信息流檢測模型和對船舶通信網(wǎng)絡(luò)預(yù)處理過濾的基礎(chǔ)上，針對通信網(wǎng)絡(luò)攻擊節(jié)點數(shù)據(jù)進行特征提取[8]，然后運用時間尺度分析法，將分析得知時間特性：

在最小平均方誤差理論基礎(chǔ)上，通過計算求解出惡意攻擊節(jié)點數(shù)據(jù)的頻譜特征[9]，這樣就可以獲取出惡意攻擊信號的頻譜密度分布函數(shù)，其計算式如下：

由此提取通信網(wǎng)絡(luò)攻擊信號的譜密度特征公式就可以寫為：

根據(jù)計算得到云計算船舶通信網(wǎng)絡(luò)的入侵信號檢測的判決函數(shù)：

3 仿真實驗

為了能夠進一步驗證所提算法的有效性，將在仿真實驗環(huán)境中令本文算法與文獻[1]方法、文獻[2]方法檢測惡意攻擊節(jié)點結(jié)果精準度進行對比。

3.1 實驗設(shè)計

正式實驗前，將對應(yīng)模型中的數(shù)據(jù)初始化處理，處理后模型中含有的節(jié)點數(shù)量為20 個，采用隨機模式傳輸與接收數(shù)據(jù)信息。

首先根據(jù)數(shù)據(jù)包列表，分析出每個截獲數(shù)據(jù)包的主要信息，根據(jù)協(xié)議書結(jié)構(gòu)對數(shù)據(jù)包協(xié)議信息進行分類處理，最后在通信網(wǎng)絡(luò)傳輸該數(shù)據(jù)包時，運用結(jié)合數(shù)據(jù)包內(nèi)容以及十六進制進行傳輸，那么船舶通信網(wǎng)絡(luò)惡意攻擊事件響應(yīng)機制就如圖3所示。

圖3 響應(yīng)機制示意圖

在入侵檢測算法中，包尾定義為客戶端，包尾定義為服務(wù)器，網(wǎng)絡(luò)時延和接入特性的計算方法如圖4所示。

圖4 入侵特征偏差描述

在圖4中將t描述為服務(wù)器與客戶端之間的惡意攻擊特征偏差，d則表述為兩者之間的往返攻擊特征。假設(shè)令通信網(wǎng)絡(luò)中服務(wù)器與和客戶機間往返網(wǎng)絡(luò)延時參數(shù)一致，并且在T1 和T3 惡意攻擊特征段內(nèi)，那么網(wǎng)絡(luò)負載、往返路由路徑等網(wǎng)絡(luò)參數(shù)將不會發(fā)生明顯的異常變化，在該模型下，只有參數(shù)t和d是不知道的變量，那么運用T1、T2、T3和T4就可以通過計算獲取出t和d，獲得更為精準的惡意攻擊特征描述結(jié)果，使檢測結(jié)果更接近真實值。計算表達式即可寫為：

3.2 結(jié)果分析

由于假設(shè)條件較為嚴格，很難充分滿足這一條件，入侵檢測的準確度必須很高，利用MATLAB分析每個節(jié)點接收到的數(shù)據(jù)包，得到結(jié)果如圖5所示。

圖5 節(jié)點受攻擊情況統(tǒng)計圖

實驗表明，第5和第15節(jié)點的物理穿透特征與實測入侵特征有明顯的一致性。同時，如果物理侵徹特性與實測侵徹特性相差不大，則可以檢測到同步侵徹特性。惡意攻擊節(jié)點檢測效率對比結(jié)果如圖6所示。

圖6 惡意攻擊節(jié)點檢測效率對比圖

從圖6 可以進一步看出，與文獻方法相比，所提算法檢測效率更高，并且會隨著檢測次數(shù)的增加而呈現(xiàn)出緩慢遞增所需時間的情況，相比之下兩種文獻方法則略微遜色，文獻[1]方法有著顯著的時間，而文獻[2]方法則是先緩慢增長，后來伴隨著次數(shù)越多時間突增。

4 結(jié)束語

為了能夠有效提高傳統(tǒng)方法檢測誤報率、效率低，對基于數(shù)據(jù)挖掘的船舶通信網(wǎng)絡(luò)惡意攻擊檢測進行研究。通過基于時間尺度分解和譜密度特征提取的船舶通信網(wǎng)絡(luò)的入侵特征提取與檢測方法，構(gòu)建對應(yīng)的模型，通過匹配濾波方法進行船舶通信網(wǎng)絡(luò)的干擾濾波，獲取出譜密度特征，實現(xiàn)檢測目的。雖然該方法可以有效提高整體監(jiān)測效率，但由于在其過程中需要較為精準的匹配參數(shù)取值，所以會有復(fù)雜的計算量，仍有待于優(yōu)化。