模式识别在航海安全中的应用与研究

陈升智 罗蓓蓓

摘要：本文首先简要分析了航海安全识别的目的，探讨了航海安全识别的工作原理，最后探讨了模式识别在日志分析中的实际应用，望能为此领域研究有所借鉴。

关键词：模式识别；航海安全；数据挖掘

中图分类号：TP391.4 文献标识码：A 文章编号：1007-9416（2018）08-0099-02

各船企对应用日志、系统日志的管理观念正发生着较大程度改变，从起初的日志仅被用作明确系统正常与否，到现阶段借助于集中监控平台，实施监控日志，且对关键词进行准确识别，及时发出价值警告，保证航海安全。近年来，伴随航海日志量及数据量的不断增多，日志内容的日趋丰富，许多船舶企业从航海日志中发现，其中蕴含着十分丰富且有价值的信息，可以在航海安全中得到更好应用。本文就模式识别在航海安全中的应用作一探讨与剖析。

1 航海安全识别的目的

针对模式识别而言，一般情况下，其所指的是人们在各种现象或事物进行观察时，从中找寻其与其它事物间，或者是与其它现象之间，所存在的差异性与相同点，而且在實际操作中，还需根据现实需要，将各相似但是却并不完全相同的现象或事物，以一种合理、恰当的方式组合在一起。为了能够更好从部分事物或现象当中，将事物或现象的总体突出出来，将这样一些个别的现象或事物作为基本模式。

1.1 在航海安全中应用模式识别的基本目的

（1）在数量庞大的航海日志流当中，将简单、重复的相关事件找出来。（2）构建模式基线，此些基线能够将正常的事件流表示出来，且过滤那些匹配的事件。（3）以过滤之后所得到事件为对象，开展系统化分析，从中把那些比较有价值、有意义的信息找出来。借助于此方法，对那些没有被关注的新型事件，开展深层次、全面性、系统化的挖掘与研究，或者根据现实情况，从中找出那些仍然充斥着许多未知内容的事件。对于日志模式识别来考量，其应用在安全事件鉴别上，尤其是航海安全事件鉴别中，能够从中获得更多信息，而且此些信息更具价值性，因而可以从中得到更多的收益。针对模式识别来讲，其能够根据现实情况及需要，以一种自动方式，对那些微小的或长期性的模式检测出来，此些模式在传统的日志检测中往往较大被发现。

1.2 借助模式检查可实现内容

（1） 零日攻击检测。所谓零日漏洞，从根本上来讲，就是被发现后，会在较短时间内被恶意利用，因而引发不同程度的安全缺陷，针对此种攻击而言，其通过钻厂商系统所存在的漏洞与不懂，趁虚而入，破坏数据与信息，噪声数据丢失，此种攻击便是在航海业内经常提到的“零日攻击”。对于模式发现来讲，其可以根据实际需要，将那些历史模式信息记录下来，构建起更加全面、丰富且实用的模式基线，因此，能够从中发现那些之前并没有被发现的行为模式，对此，航海人员对于那些存在异常的行为日志，可以更加及时、准确的找出来。（2）慢攻击检测。慢速攻击与海量流量、快速的传统攻击方式存在本质区别，通常是反其道而行，是在一段比较长的时间内，以一种比较缓慢的方式来开展行为攻击。此种攻击方式往往存在比较明显的隐蔽性，因异常时间多分布于比较长的时间段内，所以，对于攻击系统而言，在还没有被攻陷前，很难找出或发现此些异常行为。而借助于长时间的模式识别技术，便能及时且准确的找出此些攻击。（3）以一种自动方式，完成日志分析规则的创建。针对那些已经完成构建或在航海安全中已经得到广泛应用的日志分析规则，通过结合现实情况及需要，以一种恰当方式与模式识别相结合，能够把所需要的一些新模式，不断向分析规则进行转换，能获得更为精确的自动化日志分析策略。（4）从中发现正常的行为模式，比如基于当前的航海安全通讯日志，从中找寻出新的且更具价值性的网络通讯关系，由航海人员以一种高效方式再次进行筛选与甄别，最终找出潜在的风险。（5）合理、准确保存历史威胁模式。对于模式识别来考量，其可结合现实情况，借助信息系统，利用其所给出的具体的事件模式，开展全局性、有目的性的归类。比如通过对模式识别进行合理化应用，围绕系统，从中找出其所持有的异常行为模式，且对此系统上所存在的某个后门漏洞加以确认，此行为模式多由后门漏洞所致，那么可以把此异常行为模式予以保存，且加以标记。针对另外一个系统而言，如果其中也发现有此行为模式，那么便可以根据实际情况及需要，此系统有可能存在的相同的后门漏洞，对此，需及时进行查找与判断，这对于航海人员而言，便会带来比较严重的安全威胁。

2 航海安全识别的工作原理

比如某个模式识别实例，在对黄油进行采购的同时，还采购果酱与面包，吹此之外，饼干与牛奶也在本次采购之内，在整个采购过程中，面包+果酱共出现了3次，而牛奶+饼干出现了2次，黄油+果酱+面包出现了2次。由此可知，在具体的采购事务方面，共有3种模式。对于分析者而言，其会对此些模式进行推导，得出如下信息：（1）针对采购者来讲，其更加倾向于对早餐食品的购买；（2）对于采购者而言，其更倾向于将饼干或烤面包作为早产的主要食物。其中，针对面包+果酱的组合而言，其在两个模式中均有出现，可将其当作一个子模式。如图1所示。

借助于此实例，便能对模式识别有一比较清晰且全面的认识，从模式当中可以行为的目的推导出来。而后续工作就是在航海安全日志中，准确、高效的识别模式。首先，将事件流作为基本对象，依据一定规则，将其进行细致划分，使之成为各自独立的事务，然后根据现实情况，围绕多个事务当中所发生的事件，对其开展准确、全面且有目的性的识别与分组。针对此些事件而言，其便成为子集，且成为support level。对于后者来讲而言，其数字越大，则证明其有着越加频繁的事件模式。

3 模式识别在日志分析中的应用

在整个日志分析系统架构当中，通过根据实际需要，设置好所需要的日志过滤条件，也就是以防火墙为对象，就其允许时间进行设置，将其当做目的端口，目标设置为目的地址，源设置为源地址，模式最少出现2次，最短模式的长度是5，时间跨度为5min。基于上述配置可知，在5min内，由外部对内部进行访问，针对目地址而言，其与访问源相同，而且还根据实际需要，设置有诸多访问端口。通过对此模式识别策略的有效应用，从中所发现的端口访问模式，借助于点击钻取，可以对详细的端口列表进行查看，并能获得源和目的地址，除此之外，还能得到具体的访问时间。针对航海安全管理人员而言，其借助于此类模式，对非法与合法的系统访问进行甄别，以此来最大程度提高网络航海运行安全，除此之外，还能提升数据的安全性。对于传统的非法访问来讲，可以结合现实情况及相关需要，设计基本模式识别，即“慢速尝试服务器用户口令”。针对那些传统暴力破解来考量，其多借助于工具来实现，而且还可以在比较短的时间内，完成快速登录。

识别设置慢速尝试服务器用户口令模式，对于日志过滤条件来分析，其实际就是登录失败事件，针对“源端口”来讲，从基础层面来分析，其即为事件字段，而对于“源地址”而言，其就是源设置，另外，对于“目的地址”，其可以理解为目标设置，模式最少出现2次，最短模式长度是2，事件跨度为8h。比如1796、1792端口序列，如果“支持=4”，那么其意思就是错误登录次数为4次，而如果“支持=2”，其所表示的是第二个4次，即经1792端口，共出现4次访问记录，而经1796端口，也出现4次访问。经钻取，用原始日志信息变可以将源与目的地址找出来，还能快速定位至终端位置。

4 结语

综上，现阶段，关于航海安全的日志分析经较为常见，也有把日志分析融入到大数据分析的实践操作，但需要指出的是，诸多统计分析，仍然围绕历史日志来开展，而把模式识别应用到航海安全当中却并不多见。航海安全的模式识别在我国航海安全领域得到广泛应用，随着其技术体制的日渐完善，其功能将会得到持续扩展，安全性及运维能力也会得到明显提高，因而有着广泛、高质量的应用价值。

参考文献

[1]刘用功，陈丹涌.LMS算法在船舶航行危险评估中的应用[J].山东交通学院学报，2016， 24（2）：71-74.

[2]孙林华，付金沐.模式识别方法在奎河氮磷环境背景值研究中的应用[J].安全与环境学报，2014，14（5）：302-306.

[3]王广伟，李强，徐海峰.遗传算法在结构损伤模式识别中的应用[J].浙江海洋学院学报（自然科学版），2008，27（3）：335-339.

[4]尹建川，胡江强，何庆华.变结构径向基函数网络及其在混沌序列在线预测中的应用[J]. 模式识别与人工智能，2010，23（6）：000874-879.

[5]魏照坤，周康，魏明，等.基于AIS数据的船舶运动模式识别与应用[J].上海海事大学学报， 2016，37（2）：17-22.