0 引　言

船舶无线通信网络负责为终端用户提供船舶相关信息，实时了解船舶运行状态^[1]。在船舶无线通信网络存在入侵情况下，会影响无线通信的正常功能^[2,3]，导致船舶无法接收正确的航行信息，影响船舶航行安全。为此，需设计无线通信网络入侵检测方法，及时发现网络入侵情况，避免影响无线通信的正常功能。陈家豪等^[4]通过分析无线通信网络WiFi信号的幅值与相位信息，建立网络入侵检测模型，利用该模型对无线通信网络进行入侵检测。该方法入侵检测的准确率在95%以上，具备较优的入侵检测可靠性。该方法在无线通信网络信息维度较高时，无法精准分析Wifi信号的幅值与相位信息，导致入侵检测精度下降。陈红松等^[5]利用循环神经网络，建立网络入侵检测模型，在该模型内输入无线通信网络数据，输出入侵检测结果。该方法在入侵检测方面具备较高的入侵检测精度，较快的入侵检测效率。但该方法需要足够多的训练样本，才能确保入侵检测模型构建的准确性，但无线通信网络入侵属于小概率时间，无法获得大量训练样本，导致入侵检测结果的稳定性较差。云计算属于一种涵盖并行计算与网络存储等多种计算机技术的新型技术。云计算具有按需提供资源服务，虚拟化，高可靠性与安全性等优势^[6]，在各个领域均有广泛应用。为此设计云计算环境下船舶无线通信网络入侵检测方法，精准检测网络入侵情况，提升无线通信网络安全性。

1 船舶无线通信网络入侵检测 1.1 船舶无线通信网络的云计算环境

云计算环境中常用的分布式架构为Hadoop框架，该框架的核心是分布式文件存储系统（Hadoop Distributed File System，HDFS），以及MapReduce并行编程模型。HDFS能够存储海量船舶无线通信数据，MapReduce能够为处理海量船舶无线通信数据提供解决方法。

船舶无线通信网络的云计算环境中，Hadoop框架的HDFS结构如图1所示。HDFS结构中利用目录对船舶无线通信网络数据进行写入、修改与删除等操作。HDFS结构具备分布式存储功能，各HDFS集群内均通过一个名称节点与多个数据节点组成。HDFS通过将船舶无线通信网络数据划分成数个块，同时复制各块内的船舶无线通信网络数据，存储至数个数据节点中，提升HDFS数据存储的容错性。HDFS的核心是名称节点，名称节点可维护船舶无线通信网络数据结构，管理数据节点。

MapReduceb编程模型的工作流程如下：

1）Map阶段负责完成分解并行任务，MapReduce框架会对输入的船舶无线通信网络数据展开分配，将船舶无线通信网络数据分成指定大小的片段，存储至HDFS内。每个片段均会生成一个对应的键值对。Map阶段可任意定义相应的操作，对船舶无线通信网络数据片段内输入的键值对展开计算，获取计算结果。

2）Combine阶段负责加快检测效率，该阶段Hadoop会提供一个合成器（Combine），用于收集并汇总Map阶段获取计算结果，加快Map阶段的操作效率。

3）Reduce阶段接收Combine阶段汇总后的船舶无线通信网络数据后，对其进行排序，再按照用户自己设定的Reduce函数，处理汇总的船舶无线通信网络数据，得到新的键值对，再次存储至HDFS内。

1.2 基于信息熵的船舶无线通信网络数据特征选择

为降低船舶无线通信网络入侵检测计算复杂度，剔除冗余船舶无线通信网络数据特征，利用信息熵在HDFS内存储的船舶无线通信网络数据特征，选择有效的无线通信网络数据特征，作为后续入侵检测的样本集。船舶无线通信网络数据特征的信息熵 $ {H_1} $ 越大，该特征内包含的信息量便越多。在多维船舶无线通信网络数据特征集内，条件熵 $ {H_2} $ 代表某维特征对整体船舶无线通信网络数据不确定性的影响。信息增益 $ G $ 代表某维特征为船舶无线通信网络入侵检测提供的信息量大小。计算多维船舶无线通信网络数据特征集内，各维特征的 $ G $ 后，对比分析各维特征的 $ G $ ，获取各维特征对船舶无线通信网络入侵检测的信息重要程度。 $ {H_1} $ 的计算公式如下：

$ {H_1}\left( x \right) = - \sum\limits_{i = 1}^N {{p_i}\log \left( {{p_i}} \right)}。$

(1)

其中： $X = \left\{ {{x_1},{x_2}, \cdots ,{x_N}} \right\}$ 为船舶无线通信网络数据特征集合； $ N $ 是特征数量； $ {p_i} $ 为第 $ i $ 个船舶无线通信网络数据特征 $ {x_i} $ 在 $ X $ 内的出现概率。

$ {H_2} $ 的计算公式如下：

$ {H_2}\left( {X\left| Z \right.} \right) = - \sum\limits_{z \in Z} {\sum\limits_{x \in X} {p\left( z \right)p\left( {x\left| z \right.} \right)} } \log p\left( {x\left| z \right.} \right)。$

(2)

其中： $ Z = \left\{ {{z_1},{z_2}, \cdots ,{z_M}} \right\},M < N $ 为可能是有效船舶无线通信网路数据特征集合； $ p\left( {x\left| z \right.} \right) $ 为在 $ z $ 已知情况下， $ x $ 的出现概率； $ {H_2}\left( {X\left| Z \right.} \right) $ 代表在 $ Z $ 已知情况下， $ X $ 的信息繁琐程度。

通过 $ {H_1} $ 与 $ {H_2} $ 计算 $ G $ ，公式如下：

$ \begin{split} G = &{H_1}\left( X \right) - {H_2}\left( {X\left| Z \right.} \right) = - \sum\limits_{i = 1}^N {{p_i}\log \left( {{p_i}} \right)} - \\ &\left( { - \sum\limits_{z \in Z} {\sum\limits_{x \in X} {p\left( z \right)p\left( {x\left| z \right.} \right)} } \log p\left( {x\left| z \right.} \right)} \right) 。\end{split} $

(3)

$ G $ 代表特征对船舶无线通信网络入侵检测的重要程度。降序排列全部特征的 $ G $ 值，选择前 $ k $ 个有效船舶无线通信网络数据特征 $ \hat X = \left\{ {{{\hat x}_1},{{\hat x}_2}, \cdots ,{{\hat x}_k}} \right\} $ ，作为后续网络入侵检测的样本集。

1.3 基于长短期记忆网络的网络入侵检测

利用长短期记忆网络（long short term memory networks，LSTM），对船舶无线通信网络进行入侵检测，在LSTM内输入选择的船舶无线通信网络数据特征。LSTM内共包含3个门控单元，分别是输入门 $ U $ 、遗忘门 $ F $ 、输出门 $ Y $ ，在 $ U $ 内输入选择的船舶无线通信网络数据特征， $ U $ 的输出公式为：

$ {U_j} = \varphi \left( {{w_U} \cdot \left[ {{h_{j - 1}},{{\hat x}_j}} \right] + {b_U}} \right)。$

(4)

其中： $ {U_j} $ 为 $ j $ 时刻， $ U $ 的输出结果； $ {w_U} $ 、 $ {b_U} $ 为 $ U $ 的权重、偏置； $ {h_{j - 1}} $ 为 $ j - 1 $ 时刻，记忆单元的隐藏状态； $ {\hat x_j} $ 为 $ j $ 时刻输入的船舶无线通信网络数据特征； $ \varphi \left( \cdot \right) $ 为激活函数。

$ F $ 的输出公式为：

$ {F_j} = \varphi \left( {{w_F} \cdot \left[ {{h_{j - 1}},{{\hat x}_j}} \right] + {b_F}} \right) 。$

(5)

其中： $ {w_F} $ ， $ {b_F} $ 为 $ F $ 的权重、偏置。

$ Y $ 的输出公式为：

$ {Y_j} = \varphi \left( {{w_Y} \cdot \left[ {{h_{j - 1}},{{\hat x}_j}} \right] + {b_Y}} \right) 。$

(6)

其中： $ {w_Y} $ ， $ {b_Y} $ 为 $ Y $ 的权重、偏置。

记忆单元更新状态 $ {g_j} $ 的计算公式如下：

$ {g_j} = \tanh \left( {{w_g} \cdot \left[ {{h_{j - 1}},{{\hat x}_j}} \right] + {b_g}} \right) 。$

(7)

其中： $ {w_g} $ ， $ {b_g} $ 为 $ {g_j} $ 的权重、偏置。

记忆单元状态 $ {C_j} $ 的计算公式如下：

$ {C_j} = {F_j} \cdot {C_{j - 1}} + {U_j} \cdot {g_j} ，$

(8)

LSTM最终输出的网络入侵检测结果为：

$ {s_j} = {Y_j} \cdot \tanh \left( {{C_j}} \right) 。$

(9)

其中： $ {s_j} $ 为 $ j $ 时刻，船舶无线通信网络入侵结果。

1.4 基于云计算的无线通信网络分布式入侵检测

为提升船舶无线通信网络入侵检测效果，利用云计算环境Hadoop框架的MapReduce并行编程模型，对信息熵与LSTM进行改进，设计分布式信息熵与分布式LSTM，组建并行分布式信息熵-LSTM网络入侵检测方法，具体步骤如下：

步骤1　利用分布式信息熵，在HDFS内存储的船舶通信网络数据特征内，选择有效数据特征。分布式信息熵特征选择的过程为：

①计算船舶通信网络数据特征的信息增益；在Map阶段，利用式（1）与式（2）计算各船舶通信网络数据特征的信息熵与条件熵。在Reduce阶段，根据信息熵与条件熵，利用式（3）计算数据特征的信息增益。

②通过MapReduce并行编程模型选择有效船舶无线通信网络数据特征；在Map阶段，依据信息增益计算结果，降序排列全部船舶无线通信网络数据特征。在Reduce阶段，选择前 $ k $ 个有效船舶无线通信网络数据特征。

步骤2　以步骤1选择的 $ k $ 个有效船舶无线通信网络数据特征为输入样本，通过分布式LSTM分析输入样本，利用式（9）输出网络入侵检测结果，即正常样本与入侵样本的分类结果。分布式LSTM进行网络入侵检测的具体流程为：

① Map阶段，根据LSTM内记忆单元数量分块处理输入的特征样本，各记忆单元均可当作MapReduce并行编程模型内的一个Map节点，每条输入的特征样本是 $ \left\langle {l,{{\hat x}_j}} \right\rangle $ ，经过LSTM分析后，获取输出结果 $ \left\langle {r,{{\hat x}_j}} \right\rangle $ ，入侵检测结果分类的类别数是 $ r $ ， $ l \in r $ 。

②汇总Map阶段的输出结果 $ \left\langle {r,{{\hat x}_j}} \right\rangle $ ，统计最终的网络入侵检测分类入侵检测结果，判断输入特征样本是入侵样本还是正常样本。

2 实验分析

以某船舶无线通信网络数据集为实验对象，该数据集内共包含接近600万条的通信数据，共包含4种类别的通信数据，分别是正常数据、Dos攻击数据、R2L攻击数据、U2R攻击数据，不同类别通信数据包含的具体内容如表1所示。

利用本文方法计算该数据集内船舶无线通信网络数据特征的信息增益，选择有效数据特征，部分船舶无线通信网络数据特征信息增益计算结果如表2所示。分析表2可知，本文方法可有效计算该数据集内船舶无线通信网络数据特征的信息增益。其中，第11个数据特征的信息增益与第10个数据特征的信息增益差距较大，为此选择前10个数据特征，作为后续网络入侵检测的特征样本。

利用本文方法对该船舶无线通信网络数据集进行入侵检测，部分无线通信网络数据入侵检测结果如图2所示。分析图2可知，本文方法可有效检测船舶网络通信网络的入侵情况，对比表1的无线通信网络数据类型可知，本文方法的入侵检测结果与实际情况完全一致，说明本文方法具备较高的网络入侵检测精度。

利用AUC面积衡量本文方法的网络入侵检测效果，AUC值越接近1，说明入侵检测效果越佳，分析本文方法在不同攻击类型时的网络入侵检测效果，分析结果如图3所示。分析图3可知，在不同攻击类型时，本文方法网络入侵检测的AUC值均与1较为接近，说明本文方法在不同攻击类型时，船舶无线通信网络入侵检测的效果均较优。

3 结　语

云计算环境下，船舶无线通信网络存在较多的安全问题，攻击手段主要以Dos与R2L等传统攻击为主，为解决网络安全问题，设计云计算环境下船舶无线通信网络入侵检测方法，实时检测到网络的入侵情况，确保船舶无线通信网络功能不受网络攻击影响。