馬蘭 王京杰 陳煥

摘 要：針對(duì)廣域信息管理系統(tǒng)（SWIM）服務(wù)共享中的數(shù)據(jù)安全問題，分析了SWIM業(yè)務(wù)流程中的安全隱患，提出了一種基于潛在狄利克雷分配（LDA）主題模型和內(nèi)容挖掘的惡意數(shù)據(jù)的過(guò)濾方法。首先對(duì)SWIM四種業(yè)務(wù)數(shù)據(jù)進(jìn)行大數(shù)據(jù)分析，然后通過(guò)LDA模型對(duì)業(yè)務(wù)數(shù)據(jù)進(jìn)行特征抽取完成內(nèi)容挖掘，最后利用KMP匹配算法在主串中查找模式串，從而檢測(cè)出含有惡意關(guān)鍵字的SWIM業(yè)務(wù)數(shù)據(jù)。在Linux內(nèi)核中對(duì)該檢測(cè)方法進(jìn)行測(cè)試，實(shí)驗(yàn)結(jié)果表明該方法能夠有效地對(duì)SWIM業(yè)務(wù)數(shù)據(jù)進(jìn)行內(nèi)容挖掘，與潛在語(yǔ)義分析 （LSA）和基于概率統(tǒng)計(jì)的潛在語(yǔ)義分析（pLSA）的方法相比也具有更好的檢測(cè)性能。

關(guān)鍵詞：內(nèi)容挖掘;關(guān)鍵字匹配;特征匹配;廣域信息管理系統(tǒng);業(yè)務(wù)數(shù)據(jù)

中圖分類號(hào)： TP309.2

文獻(xiàn)標(biāo)志碼：A

Abstract： Considering the data security problems of service sharing in SWIM （System Wide Information Management）， the risks in the SWIM business process were analyzed， and a malicious data filtering method based on Latent Dirichlet Allocation （LDA） topic model and content mining was proposed. Firstly， big data analysis was performed on four kinds of SWIM business data， then LDA model was used for feature extraction of business data to realize content mining. Finally， the pattern string was searched in the main string by using KMP （Knuth-Morris-Pratt） matching algorithm to detect SWIM business data containing malicious keywords. The proposed method was tested in the Linux kernel. The experimental results show that the proposed method can effectively mine the content of SWIM business data and has better detection performance than other methods.

Key words： content mining; keyword matching; feature matching; SWIM （System Wide Information Management）; business data

0 引言

近年來(lái)，迅猛增長(zhǎng)的飛行流量和航空運(yùn)輸量與空管保障能力之間的矛盾不斷加劇[1]，現(xiàn)有的民航業(yè)務(wù)系統(tǒng)間互聯(lián)的方式也已不能滿足系統(tǒng)之間信息共享的發(fā)展需求，國(guó)際民航組織（International Civil Aviation Organization， ICAO）在2002年正式發(fā)布了廣域信息管理系統(tǒng)（System Wide Information Management， SWIM）概念。SWIM使得處于分散地理位置的多個(gè)數(shù)據(jù)源能夠協(xié)同更新信息數(shù)據(jù)，實(shí)現(xiàn)航空公司、機(jī)場(chǎng)部門、空管局之間的信息實(shí)時(shí)共享[2]。SWIM通過(guò)引入虛擬信息池，管理不同的業(yè)務(wù)數(shù)據(jù)。SWIM業(yè)務(wù)數(shù)據(jù)的安全不僅是保證SWIM順利發(fā)展的前提，更是保證航空安全的關(guān)鍵。2015年6月21日，波蘭航空公司的地面操作系統(tǒng)遭到黑客攻擊，數(shù)據(jù)內(nèi)容出現(xiàn)錯(cuò)誤，系統(tǒng)癱瘓，多個(gè)航班無(wú)法正常飛行。國(guó)際民航領(lǐng)域?qū)π畔⒕W(wǎng)絡(luò)安全情況的調(diào)查發(fā)現(xiàn)，黑客的攻擊導(dǎo)致民航業(yè)務(wù)數(shù)據(jù)內(nèi)容錯(cuò)誤，影響了民航運(yùn)輸?shù)恼＿\(yùn)行。數(shù)據(jù)安全的目標(biāo)是要確保數(shù)據(jù)的完整、機(jī)密性和可用性，目前數(shù)據(jù)傳輸過(guò)程中，主要采用數(shù)據(jù)加密的方法，但針對(duì)到達(dá)客戶端的數(shù)據(jù)內(nèi)容進(jìn)行安全性檢測(cè)的研究開展得還較少[3]。因此，對(duì)SWIM的業(yè)務(wù)數(shù)據(jù)進(jìn)行內(nèi)容挖掘，查找惡意信息，對(duì)SWIM業(yè)務(wù)數(shù)據(jù)共享十分重要。本文主要針對(duì)SWIM的業(yè)務(wù)采用特征抽取的方法進(jìn)行內(nèi)容挖掘，在此基礎(chǔ)上對(duì)選取的內(nèi)容查找惡意關(guān)鍵字，從而排除SWIM數(shù)據(jù)共享中的安全威脅。

1 SWIM業(yè)務(wù)流程中安全隱患分析

訂閱/發(fā)布和請(qǐng)求/響應(yīng)是SWIM 主要的通信方式，本文選取SWIM Web訂閱/發(fā)布服務(wù)進(jìn)行研究。通過(guò)對(duì)SWIM Web訂閱/發(fā)布服務(wù)的服務(wù)內(nèi)容和工作流程進(jìn)行分析，總結(jié)了目前SWIM發(fā)展過(guò)程中存在的安全隱患。

1.1 SWIM Web 訂閱/發(fā)布服務(wù)的服務(wù)內(nèi)容

SWIM Web訂閱/發(fā)布服務(wù)采用基于主題的訂閱/發(fā)布模式，一個(gè)SWIM客戶端可以同時(shí)訂閱多個(gè)主題，多個(gè)SWIM客戶端也可以訂閱同一個(gè)主題，服務(wù)提供者發(fā)布主題，然后SWIM根據(jù)訂閱信息將訂閱主題并發(fā)發(fā)送給多個(gè)客戶端。SWIM Web訂閱/發(fā)布服務(wù)主要提供以下服務(wù)內(nèi)容：

1）主題訂閱和管理訂閱信息服務(wù)，服務(wù)對(duì)象為SWIM訂閱客戶端。參照狀態(tài)資源通知協(xié)議，SWIM Web訂閱/發(fā)布服務(wù)器對(duì)SWIM訂閱客戶端的SOAP（Simple Object Access Protocol）消息格式的訂閱請(qǐng)求進(jìn)行處理，建立訂閱信息，并提供相應(yīng)的操作接口[4]。訂閱管理服務(wù)提供對(duì)通知事件觸發(fā)、訂閱隊(duì)列查詢、通知消息構(gòu)造、多線程通知消息并發(fā)發(fā)送功能的支持。

2）異步通知服務(wù)。通知消息是SWIM Web訂閱/發(fā)布機(jī)制中最重要的數(shù)據(jù)，通知服務(wù)將通知消息以異步并發(fā)的方式發(fā)送給多個(gè)SWIM訂閱客戶端[5]。SWIM訂閱客戶端利用服務(wù)監(jiān)聽端口，獲得異步通知服務(wù)的實(shí)時(shí)動(dòng)態(tài)。另外，異步通知服務(wù)引入事件傳遞的服務(wù)質(zhì)量接口，并提供了較為豐富的服務(wù)質(zhì)量參數(shù)和多樣化的設(shè)置方式，如支持可靠性、時(shí)間約束、優(yōu)先級(jí)等需求。

3）主題封裝和主題調(diào)度的服務(wù)，服務(wù)對(duì)象為SWIM發(fā)布客戶端。SWIM發(fā)布客戶端將有狀態(tài)的資源信息作為事件源發(fā)布到SWIM，SWIM Web訂閱/發(fā)布服務(wù)器將這些事件源封裝為主題進(jìn)行存儲(chǔ)，并可以根據(jù)SWIM訂閱客戶端的請(qǐng)求進(jìn)行主題調(diào)度[6]。

以氣象情報(bào)為例說(shuō)明SWIM Web訂閱/發(fā)布服務(wù)的服務(wù)內(nèi)容，在民航氣象信息交換過(guò)程中，氣象信息參與到航線管理的整個(gè)過(guò)程中，對(duì)飛行安全至關(guān)重要[7]。氣象信息的交換和管理主要依靠民航氣象部門，交互的氣象數(shù)據(jù)主要包括：民航氣象電報(bào)報(bào)告數(shù)據(jù)、民航氣象明語(yǔ)報(bào)告數(shù)據(jù)、熱帶氣旋和火山報(bào)告數(shù)據(jù)、飛機(jī)報(bào)告數(shù)據(jù)等，SWIM Web訂閱/發(fā)布服務(wù)器要針對(duì)這些氣象數(shù)據(jù)類型生成訂閱主題，進(jìn)行主題封裝和調(diào)度，提供訂閱主題和異步通知的服務(wù)。民航氣象部門中的民航氣象中心負(fù)責(zé)廣域信息管理系統(tǒng)的氣象情報(bào)交換，為空管運(yùn)行單位和航空公司等業(yè)務(wù)單位提供全國(guó)性的航空氣象服務(wù)。

民航氣象服務(wù)系統(tǒng)將業(yè)務(wù)數(shù)據(jù)發(fā)布到SWIM，各大航空公司通過(guò)向SWIM訂閱相應(yīng)氣象情報(bào)主題獲取所需信息。當(dāng)民航氣象中心將信息發(fā)布到某一具體的主題，SWIM將這些信息發(fā)送給訂閱該主題的航空公司。在氣象情報(bào)信息中，主題分為兩部分：根主題和子主題，民航氣象中心被設(shè)定為根主題，下設(shè)子主題，子主題下面可以再下分子主題，從而實(shí)現(xiàn)氣象數(shù)據(jù)信息的存儲(chǔ)。

1.2 SWIM Web 訂閱/發(fā)布服務(wù)的工作流程

SWIM Web訂閱/發(fā)布服務(wù)采用狀態(tài)資源通知協(xié)議。在SWIM Web訂閱/發(fā)布服務(wù)器中，狀態(tài)資源的改變可以為通知機(jī)制提供事件源。SWIM Web訂閱/發(fā)布服務(wù)器采用狀態(tài)資源通知協(xié)議下事件驅(qū)動(dòng)的代理通知機(jī)制，在Web Service技術(shù)基礎(chǔ)上提供對(duì)訂閱/發(fā)布服務(wù)的支持，利用狀態(tài)資源進(jìn)行建模，訂閱消息和通知消息使用XML格式描述，使用SOAP消息交換格式，實(shí)現(xiàn)Web服務(wù)中數(shù)據(jù)共享的功能[8]。

SWIM Web訂閱/發(fā)布服務(wù)的實(shí)現(xiàn)必須由發(fā)布客戶端、訂閱客戶端和SWIM三方參與。以氣象情報(bào)訂閱/發(fā)布服務(wù)為例說(shuō)明SWIM Web訂閱/發(fā)布服務(wù)的工作流程：發(fā)布客戶端為民航氣象部門，包括民航氣象中心、地區(qū)氣象中心和機(jī)場(chǎng)氣象臺(tái)，負(fù)責(zé)發(fā)布?xì)庀笄閳?bào)信息;訂閱客戶端為空管運(yùn)行單位和航空公司，可以通過(guò)訂閱操作獲得某一航線上的氣象信息[9];SWIM在民航氣象部門和航空公司之間，主要負(fù)責(zé)為航空公司存儲(chǔ)和管理訂閱消息，為民航氣象部門緩存氣象情報(bào)數(shù)據(jù)，以及主題更新后向航空公司發(fā)送通知。

1.3 SWIM 業(yè)務(wù)流程中安全隱患分析

SWIM氣象交換邏輯模型規(guī)范以數(shù)據(jù)為中心，支持SWIM數(shù)據(jù)交換過(guò)程中氣象信息的收集、傳輸和轉(zhuǎn)換。氣象信息交換模型主要包括三個(gè)部分：氣象交換概念模型（Weather eXchange Conceptual Model， WXCM）、氣象交換邏輯模型（Weather eXchange Logical Model， WXXM）和氣象交換XML模式（Weather eXchange XML Schema， WXXS）。氣象信息交換模型和模式（WXCM、WXXM、WXXS）包含空中交通行業(yè)對(duì)氣象業(yè)務(wù)所有的需求，為氣象信息交換業(yè)務(wù)的協(xié)調(diào)和互操作提供了條件。

主題發(fā)布服務(wù)完成了SWIM發(fā)布客戶端的氣象情報(bào)信息的主題封裝和主題調(diào)度，主題訂閱服務(wù)完成了SWIM訂閱客戶端對(duì)氣象情報(bào)的訂閱請(qǐng)求處理，當(dāng)SWIM發(fā)布客戶端的氣象情報(bào)主題列表進(jìn)行信息更新時(shí)，SWIM的異步通知服務(wù)負(fù)責(zé)構(gòu)造通知消息，將更新的主題信息發(fā)送到相應(yīng)的訂閱客戶端。

訂閱客戶端在訂閱成功后，會(huì)開啟訂閱請(qǐng)求中的服務(wù)監(jiān)聽組件對(duì)通知消息進(jìn)行監(jiān)聽，監(jiān)聽組件會(huì)持續(xù)監(jiān)聽來(lái)自SWIM Web訂閱/發(fā)布服務(wù)器的通知消息，一旦收到通知消息后，會(huì)對(duì)通知消息進(jìn)行解析獲取訂閱主題的更新信息。

狀態(tài)資源模塊接收到民航氣象部門的主題更新請(qǐng)求后，調(diào)用注冊(cè)的回調(diào)接口告知事件管理器，然后事件管理器構(gòu)造對(duì)應(yīng)的通知消息并交給SWIM進(jìn)行轉(zhuǎn)發(fā)。SWIM轉(zhuǎn)發(fā)消息的方式是遍歷訂閱隊(duì)列，并逐一給各個(gè)航空公司訂閱客戶端發(fā)送異步通知消息。

如果在SWIM進(jìn)行異步通知服務(wù)的過(guò)程中，內(nèi)部工作人員對(duì)外發(fā)送含有惡意內(nèi)容的數(shù)據(jù)包，若不能及時(shí)過(guò)濾，將直接威脅民航運(yùn)輸安全，因此，需要及時(shí)對(duì)含有惡意內(nèi)容的攻擊數(shù)據(jù)包進(jìn)行濾除，保障SWIM的服務(wù)質(zhì)量。

4 結(jié)語(yǔ)

本文利用LDA主題模型對(duì)SWIM Web訂閱/發(fā)布服務(wù)內(nèi)容進(jìn)行主題提取，然后通過(guò)KMP匹配算法對(duì)提取主題中的字符串進(jìn)行過(guò)濾，進(jìn)而得到安全的SWIM業(yè)務(wù)數(shù)據(jù)。實(shí)驗(yàn)結(jié)果表明，本文方法可以完成對(duì)SWIM業(yè)務(wù)數(shù)據(jù)惡意內(nèi)容的過(guò)濾，且效率更高。同時(shí)，與潛在語(yǔ)義分析 （LSA）和基于概率統(tǒng)計(jì)的潛在語(yǔ)義分析（pLSA）的方法相比，本文方法結(jié)合了SWIM的業(yè)務(wù)流程，從業(yè)務(wù)主題的角度出發(fā)，能準(zhǔn)確、及時(shí)地檢測(cè)出現(xiàn)在SWIM系統(tǒng)中的惡意內(nèi)容，對(duì)SWIM的安全通信有重要的實(shí)際意義。

參考文獻(xiàn)：

[1] KANG J， CHOI K， KIM Y， et al. A method of integrating information for SWIM [C]// Proceedings of the IEEE 13th International Symposium on Autonomous Decentralized System. Washington， DC： IEEE Computer Society， 2017： 195-198.

[2] LEITE A F， LI W G， FREGNANI J A， et al. Big data management and processing in the context of the system wide information management [C]// Proceedings of the IEEE 20th International Conference on Intelligent Transportation Systems. Piscataway， NJ： IEEE， 2017： 1-8.

[3] Q M， LU S. Overview of system wide information management and security anylysis [C]// Proceedings of the IEEE 13th International Symposium on Autonomous Decentralized System. Washington， DC： IEEE Computer Society， 2017： 191-194.

[4] MOALLEMI M， CASTRO-PENA C A， TOWHIDNEJAD M， et al. Information security in the aircraft access to system wide information management infrastructure [C]// Proceedings of the 2016 Integrated Communications Navigation and Surveillance Conference. Piscataway， NJ： IEEE， 2016： 13-17.

[5] LU X， KOGA T. SWIM concept-oriented information integration for air traffic surveillance [C]// Proceedings of the 6th Global Conference on Consumer Electronics. Piscataway， NJ： IEEE， 2017： 1-2.

[6] 尤濤，吳其蔓，王川文，等.面向內(nèi)容發(fā)布訂閱系統(tǒng)的向量訂閱與共享機(jī)制[J].通信學(xué)報(bào)，2015，36（10）：101-109. （YOU T， WU Q M， WANG C W， et al. Vector subscriptions and sharing mechanism for content-based publish/subscribe system [J]. Journal on Communications， 2015， 36（10）： 101-109.）

[7] 付戈，張欣華，李超.面向多應(yīng)用多租戶的消息數(shù)據(jù)訂閱關(guān)鍵技術(shù)研究[J].信息安全網(wǎng)絡(luò)，2017（11）：44-49. （FU G， ZHANG X H， LI C. Study of message data subscription based on multi-application big data analysis [J]. Netinfo Security， 2017（11）： 44-49.）

[8] 謝英英，石澗，雷凱.基于NDN的高效發(fā)布/訂閱系統(tǒng)設(shè)計(jì)與實(shí)現(xiàn)[J].重慶郵電大學(xué)學(xué)報(bào)（自然科學(xué)版），2018，30（1）：103-110. （XIE Y Y， SHI J， LEI K. Design and implementation of efficient publish/subscribe system via named data networking [J]. Journal of Chongqing University of Posts and Telecommunications （Natural Science Edition）， 2018， 30（1）： 103-110.）

[9] 吳志軍，劉中，胡濤濤.面向SWIM系統(tǒng)改進(jìn)的服務(wù)調(diào)度算法[J].計(jì)算機(jī)科學(xué)，2017，44（11A）：366-371. （WU Z J， LIU Z， HU T T. Improved service scheduling algorithm for swim system [J]. Computer Science， 2017， 44（11A）： 366-371.）

[10] 王少楠，宗成慶.一種基于雙通道LDA模型的漢語(yǔ)詞義表示與歸納方法[J].計(jì)算機(jī)學(xué)報(bào).2016，39（8）：1652-1666. （WANG S N， ZONG C Q. A dual-LDA method on Chinese word sense repressentation and induction [J]. Chinese Journal of Computers， 2016， 39（8）： 1652-1666.）

[11] 彭云，萬(wàn)常選，江騰蛟，等.基于語(yǔ)義約束LDA的商品特征和情感詞提取[J].軟件學(xué)報(bào)，2017，28（3）：676-693. （PENG Y， WAN C X， JIANG T J， et al. Extracting product aspects and user opinions based on semantic constrained LDA model [J]. Joumal of Software， 2017， 28（3）： 676-693.）

[12] 郭藍(lán)天，李揚(yáng)，慕德俊，等.一種基于LDA主題模型的話題發(fā)現(xiàn)方法[J].西北工業(yè)大學(xué)學(xué)報(bào)，2016，34（4）：698-702. （GUO L T， LI Y， MU D J， et al. A LDA model based topic detection method [J]. Journal of Northwestern Polytechnical University， 2016， 34（4）： 698-702.）

[13] 朱寧洪.字符串匹配算法Sunday的改進(jìn)[J].西安科技大學(xué)學(xué)報(bào)，2016，36（1）：111-115. （ZHU N H. Improvement of Sunday pattern matching algorithm [J]. Journal of Xian University of Science and Technology， 2016， 36（1）： 111-115.）

[14] 李明月，張善卿，陸劍鋒，等.一種改進(jìn)的Sunday匹配算法[J].杭州電子科技大學(xué)學(xué)報(bào)（自然科學(xué)版），2015，35（1）：93-96. （LI M Y， ZHANG S Q， LU J F， et al. A modified sunday matching algorithm [J]. Journal of Hangzhou Dianzi University （Natural Sciences）， 2015， 35（1）： 93-96.）

[15] 趙國(guó)鋒，葉飛，姚永安，等.一種面向云中心網(wǎng)絡(luò)入侵檢測(cè)的多模式匹配算法[J].信息網(wǎng)絡(luò)安全，2018（1）：52-57. （ZHAO G F， YE F， YAO Y A， et al. Design and implementation of a multi-pattern string matching algorithm in cloud center network intrusion detection system [J]. Netinfo Security， 2018 （1）： 52-57.）