基于数据挖掘的船舶通信网络恶意攻击检测研究

王英

（天津海运职业学院，天津 300350）

1 引言

现阶段云处理以及云存储的传输形式已不能满足现在的社会基本安全需求，传输通信方式与云通信之间也变得越来越模糊。船舶通信网络是船只在行驶运行中相互联系或与外界指挥联络的重要传输方式，在保证传输数据效率的同时也保障了传输结果的安全可靠，因为在行驶过程中通信数据一旦被干扰或是窃取，那么将会发生不可逆的恶劣影响。在信息时代，对抗和抗干扰技术不断升级，攻击网络通过发起入网攻击船舶通信网络，带有恶意攻击的数据节点将会启动网络接口，窃取网络中传输的重要数据，达到影响船舶通信正常运行的目的，从根本上影响船舶的整体安全性能。

IDS(intrusion detection system，恶意攻击检测系统)可以有效检测出网络系统运行中带有恶意攻击性行为的数据节点，寻找出该节点跟踪攻击者，并及时建立两道防火墙，找出完整的攻击路径，即可检测出恶意数据节点，保障通信网络的数据安全。并以此作为基础，相关领域研究人士融合多种智能手段建立更高效便捷的检测手段，如添加数据挖掘、遗传算法、免疫系统等。通过使用分类、连接分析和序列分析等数据分析技术最大程度提高入侵检测系统检测未知攻击模式的能力。

文献[1]针对IDS产生的底层报警中难以管理问题，提出多阶段攻击场景提取方法。基于数据挖掘的强关联规则在已知和未知场景中发现并创建关联概率表，可为攻击场景的自动提取提供了重要依据。但在实际应用中，却不能有效压缩网络告警信息。

由于市场上的Web日志分析系统都是基于特征匹配来实现攻击行为检测的，虽然检测率较高，但对于新出现的或者尚未发现攻击特征的攻击类型无法识别。文献[2]提出了一种有约束聚类的分簇方法，对Web日志中的HTTP 请求进行分簇，利用统计学的思想，提出近似正太分布的检测模型，并给出基于孤立点异常度的Web 攻击数据挖掘算法。但在检测过程中，该算法并不能及时发现攻击数据，检测误报率高。

因此本文提议出基于数据挖掘的船舶通信网络恶意攻击检测研究，由于船舶通信网络入侵特征具有平稳性，导致在入侵检测中容易受到小扰动影响，检测性能不好，因此通过时间尺度分解以及提取谱密度特征，针对带有恶意攻击数据的节点进行检测，并且创建检测模型。根据时频分析法，提取出完整的谱密度特征，最终完成检测。

2 数据挖掘下船舶通信网络恶意攻击检测

数据挖掘技术是一种在统计学基础上发展的自动挖掘数据规律方法，可以通过分析大量数据样本规则来判定船舶通信网络中节点传输的数据是否具有一定攻击性。

一般情况下恶意攻击检测都具有两个基本前提，分别是可查看的系统数据活动以及可区分入侵行为，也就是说可以通过提取用户行为的特征来分析、判断该行为的合法性。把从原始审计数据或网络数据中提取出来的证据称为特征，使用特征建立和评价入侵检测模型。特征提取就是确定从原始审计数据或网络数据中提取那些包含关键行为并对分析最有用的证据。

2.1 船舶通信数据预处理

本文采用基于异常数据的行为分析方法对网络检测，首先对所有的数据预处理和进行两个记录，训练数据集和测试记录，建立一个大样本数据集，并且令数据样本分为训练集合以及测试集合，这两个集合占总数据集合的比例为6：4。

采样数据集主要来自船舶中每台计算机上收集的日志文件或实时网络包，为了描述程序或用户的行为，即可从收集数据中提取有关对象的相关数据[3]。在TCP(Transmission Control Protocol，传输控制协议)连接数据的例子中，使用书签来描述连接的行为。与维护用户与其连接相关的任何特定于TCP连接的数据，如下所示：

(1) 关于建立合并TCP 的敏感错误消息包括：拒绝调用、请求调用、但未建立(发起方没有收到同步响应包)并且接收到SYN(Synchronize Sequence Numbers，同步序列编号)响应包而不需要调用；

(2) 由合并TCP 传输的包、ACK(Acknowledge characte，确认字符r)包和统计信息。数据统计包括数据重传率、重传错误率、确定数据包的实际比率；

(3) 关闭信息TCP。有关如何终止TCP连接的信息，如正常终止、错误中断、半关闭和断开。在采样数据中，每个TCP连接应记录呼叫。

在样本数据中，每个TCP连接形成一个连接记录，并包含有如下属性信息开始时间、持续时间、参与主机地址、端口号、连接统计值(双方发送的字节数、重发率等)、双方发送的字节数、重发率等、状态信息(正常的或被终止的连接和协议号或等)，这些属性信息构成了一个用户连接行为的基本特征[4]。本文给出挖掘恶意攻击数据的数据预处理结构图，如图1所示。

图1 数据预处理结构图

根据内网结构，可以将内网的入侵检测分为两类：外部连接和内网连接。而一般情况下受到恶意攻击的主要是外部网络，在遭受攻击时网络连接结构会出现异常警示，然后这种警示会一直持续到其他网络结构中，正确地划分结构连接种类，会有效增加整体检测效率。

2.2 数据挖掘过程分析

步骤一：分析网络和审计数据；

步骤二：从网络和审计数据中分离功能，这些数据可以区分正常操作和入侵活动；

步骤三：：从报警数据中删除正常动作，找出覆盖真实攻击的异常动作，以便分析员关注实际攻击；

步骤四：识别长期和持续的攻击；

步骤五：从已知攻击和正常行为中总结出检测模型，以便检测出新的或未知攻击；

步骤六：降低入室作案的阳性率和准确率。

入侵检测过程中的数据抽取过程主要包括三个步骤：数据准备、挖掘、表达和分析，如图2所示。

图2 数据挖掘流程图

数据准备阶段包括收集和整合历史以及目前运行数据，同时还会进行数据清理、数据选择和格式转换，为数据提取做准备。收集到的网络数据和原始审计数据被处理成包含某些基本特征的离散记录，如时间戳、持续时间、源的IP 地址、源端口的地址、目的端口的地址和错误标志等[5]。

根据上述步骤针对处理后的数据进行分析，找出事件之间的时空联系，识别相关特征和原则。

用户的异常模式和正常轮廓由数据开发的特点和原理定义，并且存储在数据库中。此外，辅助工具还分析有关用户当前行为的数据，以便了解特征和原理，并使其适应知识库中的模式或轮廓。

分析的目的是评估通过提取数据获得的异常模式或正常形状。如果它能有效地反映入侵，就意味着它是有效的。否则，可重复此过程，直到达到满意。

2.3 船舶通信网络恶意攻击检测

2.3.1 构建攻击数据信号检测模型

为了能够有效获取出通信网络中恶意攻击信号的特征，便于后续检测，首先构建了对应的攻击信号检测模型，并利用Langevin方程对攻击数据信息传输进行描述：

公式(1)中，将a，b描述为通信网络中传输信道的实际系统参考数值，根据该数据即可创建出攻击信号数据传输结构模型，而s(t)和(t)则分别表示为等待检测攻击信号以及任意干扰的信息分量。

一般情况下，当通信网络遭受恶意数据攻击时，节点数据的特征是呈双势阱传递函数状态出现的，因此特征表达式便有：

根据上式计算结果得知系统参数取a=1，b=1。

入侵网络包含了两个潜在的入侵信号和一个信号网络。应用双稳态方程描述了船舶通信网络的数据传输模型；

而船舶通信网络攻击信号在信道中的传输模型则需要满足以下计算条件：

2.3.2 入侵检测的滤波处理

采用时频分析法分析入网延时程度，并采用适当的滤波方法滤除船舶通信网络的干扰[6-7]。为了获得船舶通信网络中入侵信号的可变调制，通过自适应相关检测方法，获取出通信网络的攻击信号调度变量RN，并满足以下要求：

根据滤波内部和滤波频率的正相关关系，判定通信网络干扰信号的多径衰减周期：

联立上式，得到：

根据上述计算结果分析，假设船舶通信网络用户A和B之间所用传输的信道隙为φg，并将其表述为常数，那么根据信号的滤波性质，就可以获取出独立相位的信道RN和XN自相关关系，并有：

得到滤波后的入侵信号输出：

2.3.3 入侵特征提取及检测结果输出

在设计攻击信息流检测模型和对船舶通信网络预处理过滤的基础上，针对通信网络攻击节点数据进行特征提取[8]，然后运用时间尺度分析法，将分析得知时间特性：

在最小平均方误差理论基础上，通过计算求解出恶意攻击节点数据的频谱特征[9]，这样就可以获取出恶意攻击信号的频谱密度分布函数，其计算式如下：

由此提取通信网络攻击信号的谱密度特征公式就可以写为：

根据计算得到云计算船舶通信网络的入侵信号检测的判决函数：

3 仿真实验

为了能够进一步验证所提算法的有效性，将在仿真实验环境中令本文算法与文献[1]方法、文献[2]方法检测恶意攻击节点结果精准度进行对比。

3.1 实验设计

正式实验前，将对应模型中的数据初始化处理，处理后模型中含有的节点数量为20 个，采用随机模式传输与接收数据信息。

首先根据数据包列表，分析出每个截获数据包的主要信息，根据协议书结构对数据包协议信息进行分类处理，最后在通信网络传输该数据包时，运用结合数据包内容以及十六进制进行传输，那么船舶通信网络恶意攻击事件响应机制就如图3所示。

图3 响应机制示意图

在入侵检测算法中，包尾定义为客户端，包尾定义为服务器，网络时延和接入特性的计算方法如图4所示。

图4 入侵特征偏差描述

在图4中将t描述为服务器与客户端之间的恶意攻击特征偏差，d则表述为两者之间的往返攻击特征。假设令通信网络中服务器与和客户机间往返网络延时参数一致，并且在T1 和T3 恶意攻击特征段内，那么网络负载、往返路由路径等网络参数将不会发生明显的异常变化，在该模型下，只有参数t和d是不知道的变量，那么运用T1、T2、T3和T4就可以通过计算获取出t和d，获得更为精准的恶意攻击特征描述结果，使检测结果更接近真实值。计算表达式即可写为：

3.2 结果分析

由于假设条件较为严格，很难充分满足这一条件，入侵检测的准确度必须很高，利用MATLAB分析每个节点接收到的数据包，得到结果如图5所示。

图5 节点受攻击情况统计图

实验表明，第5和第15节点的物理穿透特征与实测入侵特征有明显的一致性。同时，如果物理侵彻特性与实测侵彻特性相差不大，则可以检测到同步侵彻特性。恶意攻击节点检测效率对比结果如图6所示。

图6 恶意攻击节点检测效率对比图

从图6 可以进一步看出，与文献方法相比，所提算法检测效率更高，并且会随着检测次数的增加而呈现出缓慢递增所需时间的情况，相比之下两种文献方法则略微逊色，文献[1]方法有着显著的时间，而文献[2]方法则是先缓慢增长，后来伴随着次数越多时间突增。

4 结束语

为了能够有效提高传统方法检测误报率、效率低，对基于数据挖掘的船舶通信网络恶意攻击检测进行研究。通过基于时间尺度分解和谱密度特征提取的船舶通信网络的入侵特征提取与检测方法，构建对应的模型，通过匹配滤波方法进行船舶通信网络的干扰滤波，获取出谱密度特征，实现检测目的。虽然该方法可以有效提高整体监测效率，但由于在其过程中需要较为精准的匹配参数取值，所以会有复杂的计算量，仍有待于优化。