2022, Vol. 44
2. 山西工程科技职业大学 计算机工程学院,山西 太原 030031
2. Shanxi Vocational University of Engineering and Technology, Taiyuan 030031, China
为了提升船舶的自动化信息水平,船舶的GPS系统、船舶数字ARPA雷达系统、船舶智能数字识别系统、船舶电子海图显示系统等信息技术终端产品在船舶上得到了广泛应用。这些相互独立的终端之间集成度低,这对船舶的安全行驶以及高效的管理产生了很大的影响,因此需要构建综合的船舶电子信息系统。船舶的电子信息系统是一种集合了船舶的导航、控制、通信等功能于一体的复杂的综合船舶监控系统,并且船舶的电子信息系统在船舶航海领域起到了越来越重要的作用,因此对船舶电子信息系统安全性的研究成为一个重要的研究方向。随着现代化信息技术的快速发展,云计算技术作为一种新技术,在船舶电子信息系统中得到了广泛应用。
1 云计算技术 1.1 云计算体系结构及特点云计算技术是基于现代互联网技术,同时融合了虚拟、并行化计算以及存储等技术发展而来的。虚拟化技术将云计算底层的计算资源和数据存储资源有效整合在一起,云计算服务系统可以根据用户自身的实际需求,提供相应的便捷服务,因此云计算技术实现了服务平台的可伸缩扩展、灵活可靠等特性。云计算的优点主要有易扩展、按需服务以及成本低等。
云计算的系统结构可以分成4层,如图1所示。
|
图 1 云计算系统结构 Fig. 1 Cloud computing system structure |
云计算体系中的计算机、存储器等硬件设备均处于物理资源层,资源池主要是使用虚拟化技术将物理资源层中的硬件资源进行整合,将这些硬件资源组成各类资源池,如存储、计算、软件、网络等资源池。管理层的任务是对云计算系统中的资源、任务以及用户身份信息进行集中管理,使得云计算用户能够安全可靠并高效地使用云计算系统内的各类资源。云计算系统的服务层主要是将云计算系统的各种功能封装成互联网服务并提供给客户使用。在云计算系统结构的4种层次中最关键的是管理层和资源池。
云计算系统管理层中资源管理的主要任务是均衡云计算节点的负载,对云计算系统中的每个节点进行故障判断,一旦检测到节点出现故障,则对相应的故障节点进行修复,并且资源管理可以对各类资源的使用情况进行实时监控;云计算的任务管理主要任务是接收并执行用户提交的任务,根据用户提交的任务类型在云计算系统的节点上进行资源映射分配,并根据调度策略对用户的任务进行调度执行;用户管理的任务是云计算系统进行商业化的重要一步,主要内容包括用户资料的存储管理、对云计算用户的身份进行识别,并且可以计算用户的使用费用等;安全管理模块的任务是确保云计算系统能够安全运行,对云计算系统的每个节点进行多层防护,以防御来自外部的攻击。
1.2 云计算系统面临的安全问题云计算系统凭借自身强大的数据计算以及存储能力,得到了广泛的应用,同时这也使得云计算系统受到的非法攻击变得越来越频繁,云计算系统自身又有着分布式、虚拟化等特点,这使得云计算系统面临着特有的入侵行为,常见的针对云计算系统的入侵行为包括DDOS攻击、中间人攻击等。
DDOS攻击利用可以使用的中间计算机,通过网络中的漏洞以及网络通信协议的缺陷向云计算系统的服务器发送很多非法访问,由于云计算系统的资源有限,无限的非法访问会将云计算系统的计算资源完全耗尽,最终导致用户无法正常访问云计算系统。DDOS攻击一旦开始入侵云计算系统,会在短时间内使得云计算系统中大量的服务器瘫痪,因此DDOS攻击造成的破坏很大,对云计算系统的影响深远,同时也是黑客针对云计算系统最常使用的攻击方法。
用户进行正常的网络请求过程中,客户端将访问请求发送给服务器网络终端,服务器网络终端将响应信息反馈给网络客户端,在此期间,一旦中间人黑客介入进来,则原来的正常请求和响应模式被打断。网络攻击者先是将自己伪装成网络服务端,然后欺骗网络客户端,让客户端认为他是真实的网络服务端,当假的网络服务端接收到客户端的请求之后,网络攻击者再次将自己伪装成客户端,让网络终端认为他是真实的网络客户端,然后给网络服务端发送请求报文,并接收来自网络服务端的响应报文,这样一次中间人攻击就完成了,网络攻击者将用户的信息进行了截取。
作为黑客常用的一种手段,端口扫描首先是向目标主机发送信息进行端口扫描,通过端口扫描获取目标主机的端口开放程度以及所支持的网络协议类型,接着利用目标主机的端口对目标主机中运行的软件程序进行判断,通过这种方法找到目标主机的安全防护弱点。
网络嗅探是指使用网络探测、网络协议分析等方法对网络的数据信息进行非法监听以及获取,虽然方法简单,但是效果却很明显,大量的黑客正是看中了网络嗅探的这一特点,经常使用网络嗅探对部分安全防护较差的网络进行攻击以及渗透。网络嗅探凭借着强大的隐蔽性,使得被攻击的网络很难发现异常情况,进一步加深了网络嗅探对网络安全的危害程度。
2 船舶电子信息系统船舶电子信息系统主要由电子终端输入设备、数据传输单元、数据信息处理单元、信息显示设备以及其他一些数据信息采集单元组成,其结构如图2所示。
|
图 2 船舶电子信息系统 Fig. 2 Ship electronic information system |
船舶电子信息系统中VHF收发机可以在一组频率上进行工作,并且可以进行频道的选择以及实时切换,VHF收发机既可远程通信也可近距离通信。从图2可以看出VHF收发机受到电子信息处理器控制,VHF收发信号中含有发送船舶的以及周围其他船舶的航行信息。船舶电子信息系统可以同时接收2个不同频率上的船舶信息,并且可以在2个频率上进行船舶信息的交替发送。船舶电子信息系统中的电子信息处理单元是整个电子信息的核心部分,船舶电子信息系统既可以对船舶自身的识别码、呼叫号码以及船舶型号等固定数据信息进行存储,又可以对船舶航行过程中吃水深度的变化、船舶货物的危险类型、船舶航线的调整等动态信息进行实时处理。船舶的电子信息系统中的电子信息处理单元,可以将船舶自身的航行数据以及通过VHF接收机接收到的其他船舶的航行数据,传输到信息显示器进行船舶信息的实时显示。电子信息处理器可以对船舶的动态和静态的数据库进行处理管控,同时为了使得船舶电子信息系统具有可靠并且有序的数据信息的传输,这就要求船舶电子信息处理器中需要进行同步处理,这样可以避免内部冲突,因此一般使用GPS的UTC时间作为时钟源。船舶电子信息系统中的显示器可以对船舶的各种数据以及状态信息进行显示,并对船舶系统的运行状态进行监控。船舶电子信息系统中的GPS可以测出船舶所在的经纬度,电罗经可以对船舶的航速进行测量,这些数据输入设备会将采集到的数据实时地传输给电子信息处理器。基于硬件资源,船舶电子信息系统的软件设计结构如图3所示。
|
图 3 船舶电子信息系统软件结构 Fig. 3 Software structure of ship electronic information system |
随着云计算技术在船舶电子信息系统中的广泛应用,很多船舶的数据信息都被用户存放在云端,因此存放在云端的船舶数据信息的安全性以及私密性成为重要的问题。在云环境下设计入侵检测系统是防止黑客入侵云计算系统的有效手段,在面对大量的数据检测信息的时候,普通的入侵检测系统无法满足实时检测的需求,但是随着云计算的发展,借助云计算强大的实时计算能力,可以解决入侵检测系统的实时检测需求,并且可以实时保护基于云计算的船舶电子信息系统不受外部的恶意入侵。本文以公共入侵检测框架为基础,同时依靠云计算强大又丰富的计算资源构建出了船舶电子信息系统在云环境下的入侵检测模型,如图4所示。
|
图 4 云计算下的入侵检测模型 Fig. 4 Intrusion detection model in cloud computing |
可以看出,船舶电子信息系统云计算下的入侵检测模型中主要由用户接口、云服务日志、云服务系统管理、容侵模块、IDS管理模块、网络数据采集、数据分析以及结果响应等模块构成,最终形成了分布数据采集、数据集中管理、数据分布计算的运行模式。在入侵检测模型中,用户接口模块可以给用户提供访问云计算环境的接口,方便云计算系统的用户登录系统并使用系统资源;云服务日志模块中记录了云计算系统用户可以访问的资源列表,同时可以对用户的访问情况以及资源使用情况进行记录;云服务系统管理模块的任务是实现云计算下入侵检测模型中每个模块之间的数据传输、计算存储资源的分布以及执行任务的管理等功能;容侵模块主要是对云计算系统中的节点的运行情况进行检测,一旦发现某个节点出现问题,则会将信息传递给云服务系统管理模块,云服务系统管理模块则会重新选择一个新的计算节点以完成剩余的计算任务,确保整个云计算系统的稳定运行。
4 云计算下资源分配方法云计算系统在执行任务的时候,云计算系统的管理模块会进行资源的分配,由于云计算系统中的各类资源都是动态实时变化的,因此需要对各类资源进行合理的分配才能提高云计算系统的运行效率。本文设计的入侵检测模型中的资源是通过打分制来调度的,资源的使用百分比和该资源得分之间的关系如图5所示。云服务管理系统在进行资源调度的过程中首先会对每个计算节点的处理器以及存储器的负载进行打分,得分越高的计算节点越容易被分配到新的资源,然后根据式(1)对云计算系统中的每个节点的资源特征总分进行计算。
| $ TS{C_i} = \frac{{\displaystyle\sum\nolimits_{j = 1}^n {\left( {S{C_{ij}} * {W_j}} \right)} }}{{\displaystyle\sum\nolimits_{j = 1}^n {{W_j}} }} \text{。} $ | (4.1) |
式中:n为计算节点的特征信息的个数,本系统中只考虑计算资源和存储资源2个特征,因此n=2;SCij为第i个节点的第j个特征的得分;Wj为第j个特征的权重系数。
|
图 5 资源占用百分比和分值之间的关系 Fig. 5 Relationship between resource occupancy percentage and score |
云计算系统中一旦某个节点接到任务需要处理时,就意味着该节点中的资源被占用了,此时需要根据式(2)来进行减分运算。
| $ D{C_{ij}} = {X_{ij}}\left[ {1 - {e^{ - \left( {\frac{{{S_1} + S}}{{1000}}} \right)}}} \right] - {X_{ij}}\left[ {1 - {e^{ - \left( {\frac{{{S_1}}}{{1000}}} \right)}}} \right]\text{。} $ | (4.2) |
式中:S1为第i个节点已经接收的文件的总量,S为第i个节点将要接收的文件大小;Xij为第i个节点的第j个特征的减小权重系数,则节点i的新分值为SCij-DCij,同时可以将新分值更新到得分簿中。
当云计算系统中的某个节点的执行任务结束之后,则需要根据式(3)来计算该节点增加的分值。
| $ A{C_{ij}} = {X_{ij}}\left[ {1 - {e^{ - \left( {\frac{{{S_2}}}{{1000}}} \right)}}} \right] - {X_{ij}}\left[ {1 - {e^{ - \left( {\frac{{{S_2} - S}}{{1000}}} \right)}}} \right]\text{。} $ | (4.3) |
式中:S2为云计算系统中节点i当前接收的文件大小;S为节点i中最后一个任务执行完成之后文件的大小;当节点i最后一个任务执行完之后,则可以得到节点i最新的得分SCij+ACij,并且将最新的分值实时更新到得分簿中。在云计算系统中采用节点资源的打分制可以让系统管理模块更加高效地对系统资源进行分配以及调度。
5 结 语船舶的电子信息系统中电子信号种类众多并且十分复杂,随着现代化信息技术的发展,为了提升船舶电子信息系统的功能,通常在云计算环境下构建船舶的电子信息系统。基于云计算的船舶电子信息系统中,大量的计算数据以及存储资源可以很好地融合在一起,共同构成一个共享的计算资源数据池,可以给船舶电子信息系统中不同的终端设备按需使用。但是基于云计算的船舶电子信息系统也面临很多安全问题,例如如何防止黑客对系统的入侵。本文研究应用云计算的船舶电子信息系统的入侵检测技术,对船舶电子信息系统安全技术的发展有积极的促进作用。
| [1] |
任杰. 基于云计算技术的多人船舶通信平台设计[J]. 舰船科学技术, 2021(43): 109-111. |
| [2] |
杨芳, 杨涛. 基于云计算技术的船舶信息化控制系统[J]. 舰船科学技术, 2021(43): 136-138. |
| [3] |
杜贻群. 舰船公共电子信息链路故障传播分析技术[J]. 舰船电子工程, 2021(41): 147-150. |
| [4] |
徐哲, 黄钰. 舰船电子信息装备强电磁波脉冲防护技术发展[J]. 舰船电子对抗, 2021(44): 35-38. |
| [5] |
许庆芬, 黄高明, 黄傲林. 基于证据理论的舰船电子信息装备技术状态评估方法[J]. 舰船电子工程, 2017(37): 110-114. |
| [6] |
李云峰. 计算机数据库入侵检测技术探究[J]. 黑龙江科学, 2021(12): 110-111. |
| [7] |
陈志文, 张伟燕, 苏靖峰, 等. PLC控制系统入侵检测技术研究[J]. 现代电子技术, 2020(43): 72-75. |
| [8] |
曹策, 解仑, 李连鹏, 等. 变频矢量控制系统入侵检测技术[J]. 工程科学学报, 2019(41): 1074-1084. |