童 瀛，周 宇， 姚煥章，梁 劍，薛 虎

(1.江蘇省公安廳網(wǎng)安總隊，江蘇 南京 210024；2.南京航空航天大學(xué) 計算機(jī)科學(xué)與技術(shù)學(xué)院，江蘇 南京 211106)

0 引 言

隨著互聯(lián)網(wǎng)技術(shù)的廣泛應(yīng)用，網(wǎng)絡(luò)信息的安全問題日益受到社會各領(lǐng)域的關(guān)注和重視。網(wǎng)絡(luò)異常行為監(jiān)測是保證網(wǎng)絡(luò)數(shù)據(jù)安全和網(wǎng)絡(luò)運(yùn)行環(huán)境健康的有效手段之一[1]。在網(wǎng)絡(luò)存在異常行為時，網(wǎng)絡(luò)信息中常常包含敏感信息[2]，對網(wǎng)絡(luò)敏感信息的自動監(jiān)測及預(yù)警，對及時準(zhǔn)確地監(jiān)測網(wǎng)絡(luò)異常行為、保障網(wǎng)絡(luò)數(shù)據(jù)安全來說具有重要意義。

網(wǎng)絡(luò)敏感信息預(yù)警是指運(yùn)用多線程、數(shù)據(jù)庫、信息檢測與跟蹤、區(qū)塊鏈等技術(shù)及時發(fā)現(xiàn)網(wǎng)絡(luò)中存在異常行為的信息，從而增強(qiáng)網(wǎng)絡(luò)態(tài)勢感知[3]，這也是維護(hù)網(wǎng)絡(luò)空間安全的一項重要工作。網(wǎng)絡(luò)高敏感信息具有獨(dú)特的編碼特征，根據(jù)其編碼轉(zhuǎn)換形式構(gòu)建多形式敏感信息語料庫，可以在決策樹等技術(shù)的基礎(chǔ)上實現(xiàn)多形式敏感信息捕捉、預(yù)警及過濾[4]。

文獻(xiàn)[5]針對多階段動態(tài)博弈模型不符合實際網(wǎng)絡(luò)攻防連續(xù)對抗、實時變化的問題，借鑒傳染病動力學(xué)模型分析敏感信息傳播過程，并基于定性微分博弈理論構(gòu)建針對敏感信息的攻防博弈模型，引入多維歐氏距離度量不同敏感信息的威脅嚴(yán)重程度，進(jìn)而設(shè)計預(yù)警算法。文獻(xiàn)[6]結(jié)合局部敏感哈希的性質(zhì)和圖的隨機(jī)游走來識別異常數(shù)據(jù)節(jié)點，即通過局部敏感哈希處理網(wǎng)絡(luò)數(shù)據(jù)，然后利用數(shù)據(jù)之間距離獲取其相似性，并將其轉(zhuǎn)化為隨機(jī)游走的轉(zhuǎn)移概率。在此基礎(chǔ)上,使用隨機(jī)游走技術(shù)計算數(shù)據(jù)之間的游走概率，從而辨識其中的敏感信息節(jié)點并發(fā)出預(yù)警。盡管以上傳統(tǒng)算法在預(yù)警網(wǎng)絡(luò)高敏感信息中取得了一定程度的應(yīng)用效果，但因難以有效聚類信息而導(dǎo)致預(yù)警效果度偏低。

深度神經(jīng)網(wǎng)絡(luò)是深度學(xué)習(xí)領(lǐng)域的一個分支，通過學(xué)習(xí)樣本數(shù)據(jù)的內(nèi)在規(guī)律和表示層次來識別數(shù)據(jù)的特征，在完成所有層訓(xùn)練后，通過明確深度學(xué)習(xí)中心后可高效實現(xiàn)數(shù)據(jù)聚類。因此，針對傳統(tǒng)算法的不足，本研究基于深度神經(jīng)網(wǎng)絡(luò)設(shè)計了新的網(wǎng)絡(luò)高敏感信息預(yù)警算法。

1 網(wǎng)絡(luò)高敏感信息挖掘與聚類

深度神經(jīng)網(wǎng)絡(luò)的層次式學(xué)習(xí)模式是深度學(xué)習(xí)領(lǐng)域的一個重要特點。深度神經(jīng)元因結(jié)合了淺表神經(jīng)元的特點，從而形成了更加復(fù)雜抽象的高級特征[7-9]。在此基礎(chǔ)上，分層次展開特征性學(xué)習(xí)，利用淺層神經(jīng)元提取信息的簡單特征性，利用深層神經(jīng)元提取信息的高級特征性，可實現(xiàn)對網(wǎng)絡(luò)高敏感信息的挖掘。

基于此，首先比較網(wǎng)絡(luò)敏感信息的詞頻。在通過網(wǎng)絡(luò)的信息內(nèi)容中收集頻率較高的詞元，并利用淺層神經(jīng)元提取其中的敏感信息[10]。

步驟1 將任意一個屬性異常的信息作為聚類中心。

步驟2 計算網(wǎng)絡(luò)中不同屬性異常信息間的相似程度。

步驟3 若不同屬性的異常信息特征間的相似程度低于設(shè)定的閾值，則對聚類中心進(jìn)行調(diào)整；否則，保留該異常信息特征[11]。

步驟4 對所有網(wǎng)絡(luò)異常信息特征依次執(zhí)行步驟2和步驟3。

步驟5 通過式(1)實現(xiàn)對異常信息特征的交叉處理，從而篩選出其中的敏感信息[12-14]。

(1)

式中：R為網(wǎng)絡(luò)異常行為特征參量；ω為異常行為信息權(quán)重；e為異常信息相似度。

利用以上過程可以在網(wǎng)絡(luò)信息文本中提取敏感信息，為后續(xù)挖掘高敏感信息奠定基礎(chǔ)。

結(jié)合上述采集的敏感信息，利用式(2)計算敏感信息特征參量集：

(2)

式中：m為網(wǎng)絡(luò)信息總量；n為網(wǎng)絡(luò)信息中敏感信息總量；h為敏感信息在所有網(wǎng)絡(luò)信息中的比例；Q為所有網(wǎng)絡(luò)信息中的敏感信息特征數(shù)量。

利用上述過程得到的敏感信息特征參量集，結(jié)合深層神經(jīng)元從敏感信息中提取信息的高級特征性，即篩選出其中的高敏感信息，最后，利用深度神經(jīng)網(wǎng)絡(luò)對其展開高效的聚類處理。

在利用以上過程獲得的敏感信息高級特征集中隨機(jī)選取一個樣本q，將其設(shè)為深度學(xué)習(xí)中心[15-16]。然后合理設(shè)置門限，并結(jié)合深度神經(jīng)網(wǎng)絡(luò)中心對敏感信息特征參量集展開聚類。

1) 計算高敏感信息的特征隸屬度。假設(shè)bk為網(wǎng)絡(luò)中高敏感信息的特征參數(shù)，網(wǎng)絡(luò)中高敏感信息的特征隸屬度可表示為

I=Yenbk

(3)

2) 將高敏感信息的特征隸屬度作為深度神經(jīng)網(wǎng)絡(luò)的輸入數(shù)據(jù)，并在感知層中，通過計算高敏感信息特征間距離對其做擴(kuò)展。文中高敏感信息特征間距離通過歐式距離ρ來計算[17-18]，可表示為

(4)

式中：bkl為網(wǎng)絡(luò)高敏感信息第k個學(xué)習(xí)中心的第l個特征參數(shù)；bk(l-1)為網(wǎng)絡(luò)高敏感信息第k個學(xué)習(xí)中心的第l-1個特征參數(shù)；l=1,2,…,r。

3) 在隱藏層中，結(jié)合深度神經(jīng)網(wǎng)絡(luò)中心q實現(xiàn)高敏感信息聚類。在此引入類間類內(nèi)劃分(between-within proportion，BWP)指標(biāo)。BWP指標(biāo)可確定最佳聚類數(shù)目，并用第j類第i個樣本數(shù)據(jù)的聚類離差距離d′和聚類距離d的比值來更加真實的反映聚類簇內(nèi)高敏感信息的緊密度[19-20]。

4) 根據(jù)輸出的數(shù)據(jù)聚類結(jié)果提取網(wǎng)絡(luò)高敏感信息，可表示為

(5)

式中：umax為獲取網(wǎng)絡(luò)高敏感信息同正常信息間的距離極大值。

2 高敏感信息監(jiān)測與預(yù)警

在上述利用深度神經(jīng)網(wǎng)絡(luò)和聚類過程準(zhǔn)確提取網(wǎng)絡(luò)中高敏感信息的基礎(chǔ)上，對高敏感信息展開監(jiān)測與預(yù)警。

2.1 構(gòu)建鄰接矩陣

計算并標(biāo)記網(wǎng)絡(luò)中包含的所有IP節(jié)點，并基于標(biāo)簽構(gòu)造 IP索引數(shù)據(jù)IP_Index[21-22]。假定共有N個IP節(jié)點存在網(wǎng)絡(luò)節(jié)點連接圖中，它們對應(yīng)一個N×N階的鄰接矩陣M。如果矩陣M中的某一值Mxy(x,y=1,2,…,N)為零，則表示一個源IP節(jié)點與其他節(jié)點之間的連接關(guān)系所決定的索引數(shù)據(jù)IP_Index和目標(biāo)IP節(jié)點都為Mxy，且x和y之間沒有任何連接。相反，Mxy的值越大，對應(yīng)的2個節(jié)點就越緊密。由此，可根據(jù)構(gòu)建的鄰接矩陣M反映源IP節(jié)點與目標(biāo)IP節(jié)點之間交互的字節(jié)總數(shù)，為網(wǎng)絡(luò)高敏感信息監(jiān)測與預(yù)警奠定基礎(chǔ)。

2.2 敏感信息監(jiān)測與預(yù)警

本文采用均值參數(shù)表示網(wǎng)絡(luò)節(jié)點的連接狀態(tài)，并初步量化了這些連接關(guān)系的復(fù)雜性。一般來說，網(wǎng)絡(luò)中節(jié)點的連接關(guān)系越復(fù)雜，其參數(shù)的平均值就越高[23-24]。與此相反，當(dāng)節(jié)點參數(shù)的平均值越低，說明網(wǎng)絡(luò)中包含的孤立點越多。網(wǎng)絡(luò)節(jié)點連接狀態(tài)均值參數(shù)?可表示為

(6)

式中：z為網(wǎng)絡(luò)總節(jié)點數(shù)；α為網(wǎng)絡(luò)節(jié)點擁有的最大度數(shù)；f、g分別為距離深度數(shù)據(jù)網(wǎng)絡(luò)中心最遠(yuǎn)和最近節(jié)點。

在此基礎(chǔ)上，引入數(shù)據(jù)流最大比數(shù)的概念實現(xiàn)對高敏感信息的預(yù)警。最大比數(shù)是指一個連接狀態(tài)均值參數(shù)大于1的節(jié)點數(shù)與總節(jié)點數(shù)量的比率。一般而言，最大比數(shù)越接近于1，說明均值參數(shù)節(jié)點存在的可能性越大，越有利于監(jiān)測到高敏感信息。

通常情況下，對敏感信息的監(jiān)測過程即為監(jiān)測網(wǎng)絡(luò)掃描異?，F(xiàn)象的過程。無論是服務(wù)器還是客戶機(jī)，在敏感信息監(jiān)測中，當(dāng)均值參數(shù)節(jié)點的數(shù)目很多時，就意味著網(wǎng)絡(luò)中存在異常掃描，即存在高敏感信息，然后可通過發(fā)布預(yù)報指令實現(xiàn)對高敏感信息的預(yù)警。預(yù)警算法流程如圖1所示。

圖 1 預(yù)警算法流程Fig.1 Flow chart of early warning algorithm

3 性能驗證

3.1 實驗設(shè)計

為驗證深度神經(jīng)網(wǎng)絡(luò)的網(wǎng)絡(luò)高敏感信息預(yù)警算法的實際應(yīng)用效果。實驗所用網(wǎng)絡(luò)覆蓋范圍為1 200 km×1 200 km，節(jié)點總數(shù)設(shè)定為2 000個，節(jié)點信號傳輸碼元長度為1 024 bit，網(wǎng)絡(luò)干擾強(qiáng)度為-15 dB。

為避免實驗結(jié)果過于單一，將傳統(tǒng)的基于定性微分博弈的網(wǎng)絡(luò)安全威脅信息預(yù)警算法和基于局部敏感哈希和隨機(jī)游走的異常信息檢測預(yù)警算法作為對比，與本文算法共同完成性能驗證。

在上述網(wǎng)絡(luò)中設(shè)置掃描攻擊信息。網(wǎng)絡(luò)掃描攻擊是指同時掃描一個或多個主機(jī)上的網(wǎng)絡(luò)生存狀態(tài)和網(wǎng)絡(luò)服務(wù)類型的行為。該攻擊行為保護(hù)的所有信息屬于高敏感信息，易對網(wǎng)絡(luò)的平穩(wěn)運(yùn)行造成較大影響。網(wǎng)絡(luò)掃描攻擊主要是針對遠(yuǎn)程通信端口發(fā)起的網(wǎng)絡(luò)攻擊。利用網(wǎng)絡(luò)掃描攻擊，攻擊者能夠發(fā)現(xiàn)網(wǎng)絡(luò)中存在的安全漏洞。當(dāng)存在網(wǎng)絡(luò)掃描攻擊時，網(wǎng)絡(luò)服務(wù)不受影響，但掃描攻擊是其他網(wǎng)絡(luò)攻擊的前兆。因此，有效檢測出掃描攻擊行為發(fā)出的高敏感信息，是保護(hù)網(wǎng)絡(luò)數(shù)據(jù)安全的先決條件。

因此，利用不同算法對網(wǎng)絡(luò)掃描攻擊信息展開監(jiān)測，測試不同算法對高敏感信息預(yù)警過程的響應(yīng)耗時，從而對比不同算法的應(yīng)用性能。

3.2 實驗結(jié)果與分析

利用不同預(yù)警算法對分布式拒絕服務(wù)攻擊信息和網(wǎng)絡(luò)掃描攻擊信息展開監(jiān)測預(yù)警，并分析不同算法的預(yù)警效果。

對實驗網(wǎng)絡(luò)展開分布式拒絕服務(wù)攻擊，分別利用定性微分博弈法、局部敏感哈希和隨機(jī)游走法、深度神經(jīng)網(wǎng)絡(luò)法分析網(wǎng)絡(luò)節(jié)點連接關(guān)系變化特征，結(jié)果如圖2所示。

(a) 定性微分博弈法

(b) 局部敏感哈希和隨機(jī)游走法

(c) 深度神經(jīng)網(wǎng)絡(luò)算法圖 2 不同算法分布式拒絕服務(wù)攻擊信息監(jiān)測結(jié)果Fig.2 Distributed denial of service attack information monitoring results of different algorithms

從圖2可以看出，在定性微分博弈法、局部敏感哈希和隨機(jī)游走法的監(jiān)測下，信息節(jié)點不具有規(guī)律性，節(jié)點間連接情況較為混亂，高敏感信息節(jié)點可通過間接傳播的方式破壞其他信息節(jié)點的安全性。而在深度神經(jīng)網(wǎng)絡(luò)法的監(jiān)測下，網(wǎng)絡(luò)形成了一個中心聚類簇數(shù)，并且各節(jié)點間呈現(xiàn)全連接狀態(tài)，在中心節(jié)點之外的節(jié)點行為相似度較低。若傀儡機(jī)向被攻擊主機(jī)發(fā)送服務(wù)申請，一旦目標(biāo)主機(jī)被攻擊，其將不能繼續(xù)向其他節(jié)點發(fā)送高敏感數(shù)據(jù)，從而有效捕捉到網(wǎng)絡(luò)高敏感信息節(jié)點。

綜上，深度神經(jīng)網(wǎng)絡(luò)法可有效實現(xiàn)對網(wǎng)絡(luò)高敏感信息的捕捉和監(jiān)測。產(chǎn)生這一結(jié)果的原因在于該算法在挖掘敏感信息的基礎(chǔ)上，計算網(wǎng)絡(luò)參數(shù)節(jié)點的連接平均度，再通過深度學(xué)習(xí)對高敏感信息展開有效聚類，實現(xiàn)節(jié)點與中心節(jié)點間的全連接，從而便于監(jiān)測高敏感信息。

在此基礎(chǔ)上，以高敏感信息預(yù)警過程的響應(yīng)耗時為檢驗指標(biāo)，測試不同算法的應(yīng)用性能，結(jié)果如圖3所示。

圖 3 不同算法預(yù)警過程響應(yīng)耗時對比Fig.3 Comparison of response time of different algorithms in early warning process

從圖3可以看出，隨著高敏感信息節(jié)點數(shù)量的增加，不同算法的預(yù)警過程響應(yīng)耗時隨之減少。但2種傳統(tǒng)算法的預(yù)警響應(yīng)耗時均在2 s以上。相比之下，深度神經(jīng)網(wǎng)絡(luò)法的預(yù)警過程響應(yīng)耗時始終在1 s之內(nèi)，預(yù)警耗時最多時也僅需0.92 s。由此可知，深度神經(jīng)網(wǎng)絡(luò)法可快速實現(xiàn)對網(wǎng)絡(luò)高敏感信息的預(yù)警。產(chǎn)生這一結(jié)果的原因在于該算法在提取網(wǎng)絡(luò)中敏感信息的基礎(chǔ)上，通過設(shè)置合理閾值完成對高敏感信息的準(zhǔn)確、快速挖掘，從而有效縮短了預(yù)警過程響應(yīng)耗時。

4 結(jié) 語

本文基于深度神經(jīng)網(wǎng)絡(luò)對網(wǎng)絡(luò)高敏感信息的預(yù)警算法，在挖掘高敏感信息的基礎(chǔ)上對其實施節(jié)點聚類，確定節(jié)點間的連接關(guān)系，然后利用深度學(xué)習(xí)過程實現(xiàn)對敏感信息的有效、快速監(jiān)測與預(yù)警。研究中發(fā)現(xiàn)，網(wǎng)絡(luò)中節(jié)點的連接關(guān)系越復(fù)雜，其參數(shù)的平均值就越高，且當(dāng)均值參數(shù)節(jié)點的數(shù)目很多時，就意味著網(wǎng)絡(luò)中存在異常掃描，即存在高敏感信息。

不平衡數(shù)據(jù)問題導(dǎo)致數(shù)據(jù)流不精確，在預(yù)警算法的實際應(yīng)用中，網(wǎng)絡(luò)通道中所有流量比例一致是不現(xiàn)實的。因此，如何在不平衡數(shù)據(jù)的情況下實現(xiàn)對高敏感信息的監(jiān)測與預(yù)警是下一步的研究方向，從而進(jìn)一步提高預(yù)警算法的實用價值。