譚韶生，夏旭

(1.中南大學(xué)，湖南 長(zhǎng)沙 410007；2.湖南工業(yè)職業(yè)技術(shù)學(xué)院，湖南 長(zhǎng)沙 410208；3.湖南安全技術(shù)職業(yè)學(xué)院，湖南 長(zhǎng)沙 410151)

0 引 言

船舶通信網(wǎng)絡(luò)對(duì)于船舶航行安全保障產(chǎn)生重要影響。在網(wǎng)絡(luò)通信量海量提升的條件下，船舶通信網(wǎng)絡(luò)在實(shí)際運(yùn)行過(guò)程中有較大概率受到非法入侵攻擊，由此造成船舶通信網(wǎng)絡(luò)安全威脅。隨著船舶航行對(duì)通信網(wǎng)絡(luò)依賴程度的提升，對(duì)于船舶通信網(wǎng)絡(luò)安全性提出更高要求。因此研究一種新的檢測(cè)方法，保障船舶通信網(wǎng)絡(luò)安全具有重要意義。

謝雨飛等在入侵檢測(cè)方法研究中引入隱馬爾可夫模型，該方法在實(shí)際應(yīng)用過(guò)程中的誤警率較高。楊彥榮等利用生成對(duì)抗網(wǎng)絡(luò)與粒子群優(yōu)化極限學(xué)習(xí)機(jī)算法進(jìn)行網(wǎng)絡(luò)入侵檢測(cè)，該方法在實(shí)際應(yīng)用過(guò)程具有較高的復(fù)雜度。陳卓等將卷積神經(jīng)網(wǎng)絡(luò)引入網(wǎng)絡(luò)入侵檢測(cè)問(wèn)題中，該方法的主要缺陷體現(xiàn)在不易收斂、學(xué)習(xí)效率較差兩方面。針對(duì)上述問(wèn)題，研究基于數(shù)據(jù)挖掘的船舶通信網(wǎng)絡(luò)非法入侵智能檢測(cè)方法，并通過(guò)實(shí)驗(yàn)過(guò)程研究本文方法的應(yīng)用性能。

1 船舶通信網(wǎng)絡(luò)非法入侵智能檢測(cè)方法

1.1 基于數(shù)據(jù)挖掘的非法入侵智能檢測(cè)模型構(gòu)建

根據(jù)數(shù)據(jù)挖掘技術(shù)特征與船舶通信網(wǎng)絡(luò)運(yùn)行狀態(tài)，構(gòu)建基于數(shù)據(jù)挖掘的船舶通信網(wǎng)絡(luò)非法入侵智能檢測(cè)模型，該模型融合了協(xié)議分析、數(shù)據(jù)挖掘與規(guī)則對(duì)比等不同技術(shù)。圖1 為基于數(shù)據(jù)挖掘的船舶通信網(wǎng)絡(luò)非法入侵智能檢測(cè)模型整體結(jié)構(gòu)?；跀?shù)據(jù)挖掘的船舶通信網(wǎng)絡(luò)非法入侵智能檢測(cè)模型主要分為3 個(gè)部分，第1 部分是歷史數(shù)據(jù)處理部分、第2 部分是實(shí)時(shí)數(shù)據(jù)處理部分、第3 部分是檢測(cè)響應(yīng)部分。

圖1 基于數(shù)據(jù)挖掘的船舶通信網(wǎng)絡(luò)非法入侵智能檢測(cè)模型整體結(jié)構(gòu)Fig.1 Overall structure of intelligent detection model for illegal intrusion in ship communication network based on Data Mining

關(guān)聯(lián)規(guī)則挖掘與分類挖掘是最為關(guān)鍵的2 個(gè)環(huán)節(jié)，針對(duì)這2 個(gè)環(huán)節(jié)進(jìn)行詳細(xì)分析。

1.2 非法入侵行為關(guān)聯(lián)規(guī)則挖掘

船舶通信網(wǎng)絡(luò)非法入侵智能檢測(cè)模型內(nèi)，關(guān)聯(lián)規(guī)則挖掘的實(shí)現(xiàn)過(guò)程分為2 個(gè)環(huán)節(jié)，分別是規(guī)則的學(xué)習(xí)環(huán)節(jié)與運(yùn)用學(xué)習(xí)到的規(guī)則進(jìn)行檢測(cè)的環(huán)節(jié)。圖2 為船舶通信網(wǎng)絡(luò)非法入侵智能檢測(cè)模型內(nèi)非法入侵行為關(guān)聯(lián)規(guī)則挖掘?qū)崿F(xiàn)過(guò)程。

圖2 非法入侵行為關(guān)聯(lián)規(guī)則挖掘過(guò)程Fig.2 Association rule mining process of illegal intrusion

學(xué)習(xí)環(huán)節(jié)中，針對(duì)船舶通信網(wǎng)絡(luò)用戶數(shù)據(jù)包內(nèi)所包含的用戶數(shù)據(jù)，利用數(shù)據(jù)挖掘算法中的關(guān)聯(lián)規(guī)則挖掘分析算法，挖掘船舶通信網(wǎng)絡(luò)用戶正常行為條件下數(shù)據(jù)間的相關(guān)性，獲取船舶通信網(wǎng)絡(luò)用戶數(shù)據(jù)關(guān)聯(lián)規(guī)則集。采用相應(yīng)算法對(duì)關(guān)聯(lián)規(guī)則集內(nèi)的各規(guī)則進(jìn)行過(guò)濾處理，清除其中所包含的無(wú)用和不適用規(guī)則，提升關(guān)聯(lián)規(guī)則集對(duì)于非法入侵檢測(cè)的適用度，并以此作為船舶通信網(wǎng)絡(luò)非法入侵檢測(cè)的標(biāo)準(zhǔn)。

應(yīng)用環(huán)節(jié)中，針對(duì)待檢測(cè)的用戶行為數(shù)據(jù)，在檢測(cè)規(guī)則集內(nèi)確定是否存在符合要求的規(guī)則，以此檢測(cè)船舶通信網(wǎng)絡(luò)的非法入侵行為。確定符合要求的規(guī)則的過(guò)程即非法入侵檢測(cè)過(guò)程中的數(shù)據(jù)分析過(guò)程，規(guī)則有效性對(duì)于最終非法入侵檢測(cè)結(jié)果的準(zhǔn)確性產(chǎn)生直接影響。

關(guān)聯(lián)規(guī)則挖掘的主要目的是在船舶通信網(wǎng)絡(luò)用戶數(shù)據(jù)包內(nèi)挖掘數(shù)據(jù)間的關(guān)聯(lián)。關(guān)聯(lián)規(guī)則可通過(guò)下式描述：

式中：

X

和

Y

均為船舶通信網(wǎng)絡(luò)用戶數(shù)據(jù)，其所描述的符合

X

的條件大多也同時(shí)符合

Y

。以

I

={

i

,

i

,

i

,···,

i

}表 示項(xiàng)的集合，

J

表示船舶通信網(wǎng)絡(luò)數(shù)據(jù)庫(kù)中用戶行為數(shù)據(jù)集合，其中各用戶行為數(shù)據(jù)

R

是項(xiàng)的集合，

R

?

I

。各用戶行為數(shù)據(jù)均由一個(gè)標(biāo)識(shí)符，以

R

IJ

表示。以

Q

表示一個(gè)船舶通信網(wǎng)絡(luò)用戶行為數(shù)據(jù)集合，

Q

內(nèi)包含

Q

。當(dāng)且僅當(dāng)

Q

?

R

?；谑?1)的關(guān)聯(lián)規(guī)則表達(dá)式，其中

Q

?

I

，

B

?

I

(

B

為另一個(gè)船舶通信網(wǎng)絡(luò)用戶行為數(shù)據(jù)集合)，同時(shí)

Q

∩

B

=Φ。船舶通信網(wǎng)絡(luò)用戶行為數(shù)據(jù)集

J

內(nèi)規(guī)則

Q

?

B

成立，若

J

內(nèi)不僅存在

Q

內(nèi)的船舶通信網(wǎng)絡(luò)用戶行為數(shù)據(jù)，還存在

B

內(nèi)的船舶通信網(wǎng)絡(luò)用戶行為數(shù)據(jù)，那么可通過(guò)

P

(

B

|

Q

)表示條件概率。

s

和

c

分別表示支持度話閾值和置信度閉值，同時(shí)符合

s

和

c

的規(guī)則即為強(qiáng)規(guī)則。

1.3 基于樸素貝葉斯算法的非法入侵分類器構(gòu)建

由于船舶通信網(wǎng)絡(luò)用戶數(shù)據(jù)規(guī)模較小，因此選用以古典數(shù)據(jù)概率為基礎(chǔ)的樸素貝葉斯算法對(duì)用戶數(shù)據(jù)進(jìn)行分類，實(shí)現(xiàn)非法入侵用戶分類檢測(cè)。樸素貝葉斯分類算法針對(duì)待分類的船舶通信網(wǎng)絡(luò)用戶數(shù)據(jù)，確定在此數(shù)據(jù)產(chǎn)生的條件下產(chǎn)生不同類別的概率，產(chǎn)生概率最大的概率即為該船舶通信網(wǎng)絡(luò)用戶數(shù)據(jù)所屬類別?；跇闼刎惾~斯分類算法的船舶通信網(wǎng)絡(luò)用戶數(shù)據(jù)的分類過(guò)程實(shí)現(xiàn)可分為3 個(gè)環(huán)節(jié)，具體描述如圖3所示。

圖3 樸素貝葉斯分類算法處理數(shù)據(jù)流程Fig.3 Data processing flow of naive Bayesian classification algorithm

第1 環(huán)節(jié)是樸素貝葉斯分類算法實(shí)現(xiàn)的基礎(chǔ)，具體功能為依照實(shí)際狀態(tài)判斷特征屬性，同時(shí)分類部分待分類船舶通信網(wǎng)絡(luò)用戶數(shù)據(jù)，構(gòu)建訓(xùn)練樣本集合。此環(huán)節(jié)對(duì)船舶通信網(wǎng)絡(luò)用戶數(shù)據(jù)分類的影響較為顯著。所生成分類器的質(zhì)量受特征屬性與訓(xùn)練樣本質(zhì)量影響顯著。

第2 環(huán)節(jié)的主要工作為生成分類器，確定不同非法入侵行為類別在訓(xùn)練樣本內(nèi)的出現(xiàn)概率和不同特征屬性對(duì)不同非法入侵行為類別的條件概率，同時(shí)存儲(chǔ)結(jié)果。

第3 環(huán)節(jié)中通過(guò)所構(gòu)建的貝葉斯分類器對(duì)待分類的船舶通信網(wǎng)絡(luò)用戶數(shù)據(jù)實(shí)施分類，輸入的是分類器與待分類的船舶通信網(wǎng)絡(luò)用戶數(shù)據(jù)，輸出待分類的船舶通信網(wǎng)絡(luò)用戶數(shù)據(jù)同非法入侵行為類別間的映射關(guān)系。

2 結(jié)果與分析

為驗(yàn)證本文所研究的基于數(shù)據(jù)挖掘的船舶通信網(wǎng)絡(luò)非法入侵智能檢測(cè)方法在實(shí)際非法入侵監(jiān)測(cè)中的應(yīng)用效果，以某型號(hào)遠(yuǎn)洋船舶為研究對(duì)象，采集研究對(duì)象2019 年、2020 年和2021 年的通信網(wǎng)絡(luò)用戶數(shù)據(jù)，生成3 個(gè)數(shù)據(jù)集合。采用本文方法對(duì)3 個(gè)測(cè)試集合內(nèi)的數(shù)據(jù)進(jìn)行分析，檢測(cè)其中所包含的非法入侵行為。

2.1 測(cè)試集合介紹

各數(shù)據(jù)集內(nèi)均包含80 000 條研究對(duì)象通信網(wǎng)絡(luò)用戶數(shù)據(jù)，圖4 為3 個(gè)數(shù)據(jù)集合內(nèi)數(shù)據(jù)信息的具體情況。

圖4 各數(shù)據(jù)集合內(nèi)數(shù)據(jù)信息清理Fig.4 Data information cleaning in each data set

以2019 年、2020 年的數(shù)據(jù)集合為訓(xùn)練集，將2021 年的數(shù)據(jù)集合作為測(cè)試集，圖5 為各數(shù)據(jù)集內(nèi)非法入侵行為劃分情況。

圖5 各數(shù)據(jù)集內(nèi)非法入侵行為劃分Fig.5 Classification of illegal intrusion behaviors in each data set

2.2 實(shí)驗(yàn)結(jié)果

在測(cè)試集內(nèi)隨機(jī)選取12 條數(shù)據(jù)，采用本文方法對(duì)所選數(shù)據(jù)進(jìn)行非法入侵行為智能檢測(cè)，將本文方法檢測(cè)結(jié)果與這些數(shù)據(jù)實(shí)際非法入侵行為類型進(jìn)行對(duì)比，所得結(jié)果如表1 所示。分析表1 可得，采用本文方法對(duì)所選數(shù)據(jù)的行為類別進(jìn)行檢測(cè)時(shí)，除第8 條數(shù)據(jù)檢測(cè)結(jié)果有所偏差外，其余數(shù)據(jù)檢測(cè)檢測(cè)全部正確。

表1 非法入侵行為檢測(cè)結(jié)果Tab.1 Illegal intrusion detection results

為充分說(shuō)明本文方法的應(yīng)用性能，采用本文方法對(duì)測(cè)試集中全部數(shù)據(jù)進(jìn)行監(jiān)測(cè)，所得結(jié)果如表2 所示。分析表2 能夠得到，采用本文方法對(duì)測(cè)試集內(nèi)的數(shù)據(jù)進(jìn)行檢測(cè)，對(duì)正常行為與非法入侵行為的檢測(cè)準(zhǔn)確度分別為98.98%和98.25%，而針對(duì)不同非法入侵類別的檢測(cè)精度均高于97%。由此可知，本文方法對(duì)于研究對(duì)象通信網(wǎng)絡(luò)非法入侵具有較高的檢測(cè)精度。

表2 測(cè)試集數(shù)據(jù)檢測(cè)結(jié)果Tab.2 Test results of test set data

3 結(jié) 語(yǔ)

本文研究基于數(shù)據(jù)挖掘的船舶通信網(wǎng)絡(luò)非法入侵智能檢測(cè)方法，利用數(shù)據(jù)挖掘技術(shù)中的關(guān)聯(lián)規(guī)則挖掘算法與分類挖掘算法挖掘船舶通信網(wǎng)絡(luò)用戶行為數(shù)據(jù)間的關(guān)聯(lián)性與非法入侵行為類別。實(shí)驗(yàn)結(jié)果表明，本文方法具有較好的應(yīng)用性能。當(dāng)前本文方法應(yīng)用中的關(guān)鍵技術(shù)還需深度分析，數(shù)據(jù)挖掘技術(shù)在入侵檢測(cè)中的應(yīng)用具有一定的復(fù)雜性，在后續(xù)的研究中需逐步完善。