2023, Vol. 45
通信网络是采用物理连接的方式完成独立设备之间连接,构建人机之间、设备和设备之间信息交换的链路,以此完成信息或者资源的通信和交互,船舶在海上航行过程中,需通过船用通信网络实现船和船之间、船和人之间的通信,确保安全管理中心实时掌握船舶航行情况[1],包含航行位置、航行状态、航行环境等信息。船用通信网络整体包含3个部分,传输部分、交换部分以及终端部分,船用通信网络的安全水平直接影响船舶安全管理效果[2]。当船用通信网络发生异常攻击行为或者入侵行为,会发生信息泄露以及信息篡改等[3],导致网络发生大面积劫持事件,造成较大经济损失。网络异常行为分类识别对网络中异常入侵行为进行检测,该检测主要是针对网络数据进行分析、对网络流量进行监控等,并对检测结果进行分类识别,针对异常入侵行为进行针对性防护处理或者反入侵,保证船用通信网络安全。钱爱娟等[4]为实现网络异常行为检测,以时间窗口内网络数据的特征为基础,通过相邻时间关联,获取网络数据中的异常数据,以此实现异常行为检测。但是该方法在应用过程中,如果数据不断扩展,无效数据较多时,其检测效率较低,影响检测结果的实时性。段雪源等[5]为实现网络中异常行为检测,采用划分方式对滑动窗口内的网络流量进行划分,并生成多层级重构序列,利用加权投票对异常进行判定,获取检测结果。但是该方法在应用过程中,如果网络流量较高,则该方法的检测精度下降。
深度数据挖掘具有较好的数据处理能力以及目标识别能力,为此提出基于深度学习网络的船用通信网络异常入侵行为分类识别方法,并分析其性能。
1 船用通信网络异常行为分类识别 1.1 方法架构基于深度数据挖掘的网络异常行为分类识别方法以深度学习网络为核心,结合数据处理以及特征处理方法,获取船用通信网络中的异常入侵行为分类识别,架构如图1所示。数据处理模块是对船用通信网络多源数据进行融合处理,实现船用通信网络中多个信息数据之间的关联,为异常行为分类识别提供全面的数据支撑;特征选择模块则是在融合后的网络数据中进行特征选择,获取网络数据中重要特征后,将提取的重要特征输入至深度学习网络模型中,完成船用通信网络异常入侵行为分类识别,识别正常数据和异常数据,判断入侵行为类别。
|
图 1 船用通信网络异常行为分类识别方法架构 Fig. 1 Architecture of abnormal behavior classification and identification method for marine communication network |
在进行船用通信网络异常行为分类识别前,需获取网络数据。为保证异常行为的分类识别可靠性,采用全局信息数据融合策略进行网络原始采集数据融合处理。该策略在应用过程中,以多源通信网络中编码规则为基础,结合网络全局数据组织形式,进行船舶通信网络异构数据的归一化表达后,获取统一格式的船用通信网络的数据。
如果
| $ \sup \left( {m,n} \right) = F\left( {m,n,k,\theta } \right)。$ | (1) |
式中:
依据
| $ \sup \left( {m,n} \right) = B \times \theta \times {\left\{ {1 + {{\left[ {{Z_i}\left( t \right) - k} \right]}^6}} \right\}^{ - 1}} 。$ | (2) |
式中,
依据上述步骤即可完成船用多源数据融合,实现多个船用网络信息源数据信息之间的有效关联,为网络异常行为分类识别提供数据支撑。
1.3 船用通信网络异常行为特征选择和重要度计算完成船用通信网络数据融合后,采用平均不纯度减少特征重要度计算方法,对该数据进行特征选择以及重要度计算。在特征选择时依据融合后网络数据中的行为特征进行分类,删除特定网络标识特征,并采用数据分析方法,对相同特征值下相同的特征列删除,以此可完成融合数据中无效特征的删除处理,选择有效的特征值结果。完成特征选择后,进行特征重要度计算。数据特征用 X1,X2,···, Xk 表示,数量用 表示,计算各个特征的 Gini 指数评分 Vj,即为第 个特征的不纯度平均该变量,则 Gini 指数 GI 的计算公式为:
| $ G{I_k} = 1 - \sum\limits_{k = 1}^{\left| k \right|} {p_{mk}^2},$ | (3) |
式中,
特征Xj在m中重要性,即为m分枝前后的GI变化量,其计算公式为:
| $ {V_{jm}} = G{I_k} - G{I_1} - G{I_r}。$ | (4) |
式中:GI1、GIr表示不同分枝的Gini指数。
第
| $ {V_{ij}} = \sum\limits_{m \in M} {{V_{jm}}} ,$ | (5) |
采用归一化对特征重要度进行处理,获取特征重要度评分结果,其计算公式为:
| $ {V_j} = \frac{{{V_j}}}{{{V_j} = \displaystyle\sum\limits_{i = 1}^m {{V_i}} }} 。$ | (6) |
依据式(6)即可获取网络数据特征重要度结果,其能够描述该特征对于船用通信网络数据分类的贡献程度,重要度越高,贡献越大。
1.4 基于深度学习网络的异常行为分类识别根据选择特征形成特征集,并结合特征重要度,采用内外卷积网络深度学习网络(Internal-External Convolutional Network,IECNet)模型对特征集进行学习,获取特征集中的数据流量行为信息,以此完成正常行为和异常行为的识别,并且输出异常行为类别。该模型的整体结构如图2所示。
|
图 2 IECNet的网络异常行为分类识别模型结构 Fig. 2 Structure of network abnormal behavior classification and recognition model based on IECNet |
该模型主要包含2个部分,分别为图卷积网络和异常分类,其中图卷积网络的主要作用是依据特征集和特征重要度构建通信图和网络流量图,同时对两者进行学习,获取船用通信网络流量外部网络侧的交互信息,获取网络流量嵌入向量。将该向量输入分类器中,进行分类识别。
1)通信图。图卷积网络是由多个传播层组成,每个传播层中均分为2个子层,如果图
| $ h_{N\left( v \right)}^l = \eta {V_j}\left\{ {{w^l}A\left[ {\left( {h_{v'}^{l - 1},\forall v' \in N\left( v \right)} \right)} \right]} \right\} ,$ | (7) |
| $ h_v^l = {C_{com}}{V_j}\left[ {h_v^{l - 1},h_{N\left( v \right)}^l} \right] 。$ | (8) |
式中:η()为激活函数;wl为可训练矩阵;A()为相邻节点聚合嵌入向量函数;N(v)为邻点集合;Ccom()为聚合自身嵌入向量函数。
通过上述图卷积网络的学习,获取最后一层传播层的边嵌入向量、该边连接的2个顶点嵌入向量,分别用zs、zd、ze表示,将3个向量拼接,用于最后的异常行为分类识别。
2)网络流量图。网络流量图属于一个无向同质图,主要是通过连接具有一定相似度的网络流组成,以此采用通信图中的边描述网络流量图中的顶点,以此构建网络流量图。在此基础上,利用图卷积网络学习流量在同质图中的嵌入向量,获取该特征样本的最终嵌入向量pe。
3)异常行为分类。将获取的3个向量拼接结果和pe输入至softmax分类器中,进行船用通信网络异常行为分类识别。
2 测试结果与分析选择某船舶安全管理中心的船用通信网络数据集作为测试数据,随机抽取其中6种攻击数据和正常数据作为测试数据集,其详细内容如表1所示。
|
表 1 攻击数据集详细内容 Tab.1 Detailed content of attack dataset |
为验证研究方法在进行船用网络异常行为分类识别前,对于网络数据特征的选择效果,采用研究方法对选择的测试数据集进行特征选择,获取欧特征选择前后的分布结果,如图3和图4所示。可知:原始船用网络通信特征分布呈显著重叠状态,特征之间的可区分程度较差;采用研究方法对其进行选择后,可有效删除其中的无效特征,保留有效特征结果,特征之间的可区分程度较高。
|
图 3 特征选择前分布结果 Fig. 3 Distribution results before feature selection |
|
图 4 特征选择后分布结果 Fig. 4 Distribution structure after feature selection |
为进一步验证本文方法的特征处理效果,通过本文方法获取选择后特征对应标签的重要度评分结果,如表2所示。可知,通过本文方法进行网络数据特征处理后,可获取不同类别有效特征标签的重要度评分结果,为网络异常行为分类识别提供可靠依据。
|
|
表 2 特征重要度评分结果 Tab.2 Score results of feature importance |
为验证本文方法的网络异常行为分类识别应用性能,选择平均绝对误差作为评价指标,获取在不同特征数量下,随着数据扩充比例的逐渐增加,平均绝对误差的测试结果,期望标准为低于0.18,测试结果如图5所示。可知,通过本文方法进行通信网络异常行为分类识别后,在不同的特征数量下,该方法的分类识别效果良好,平均绝对误差均低于0.18,其中最大误差值在0.15左右,可靠掌握通信网络的运行状态。
|
图 5 平均绝对误差的测试结果 Fig. 5 Test results of average absolute error |
船用通信网络的安全直接影响船舶的监测和管理。因此,为全面可靠完成船舶航行监控和管理,需保证通信网络的安全通信。本文研究基于深度数据挖掘的船用通信网络异常行为分类识别方法,并对该方法的应用效果进行相关分析。分析结果表明:本文方法在通信网络异常行为分类识别中具有较好的应用效果,可靠获取网络数据中的有效特征以及特征重要度,并且精准确定网络异常入侵行为类别,满足船用通信网络运行状态管理需求。
| [1] |
肖衡, 龙草芳. 基于机器学习的无线传感网络通信异常入侵检测技术[J]. 传感技术学报, 2022, 35(5): 692-697. XIAO Heng, LONG Caofang. Communication Anomaly Intrusion Detection Technology for Wireless Sensor Networks Based on Machine Learning[J]. Chinese Journal of Sensors and Actuators, 2022, 35(5): 692-697. DOI:10.3969/j.issn.1004-1699.2022.05.016 |
| [2] |
康颖, 赵治华, 吴灏, 等. 基于Deep SVDD的通信信号异常检测方法[J]. 系统工程与电子技术, 2022, 44(7): 2319-2328. KANG Ying, ZHAO Zhihua, WU Hao, et al. Deep SVDD-based anomaly detection method for communication signals[J]. Systems Engineering and Electronics, 2022, 44(7): 2319-2328. DOI:10.12305/j.issn.1001-506X.2022.07.29 |
| [3] |
麻文刚, 张亚东, 郭进. 基于LSTM与改进残差网络优化的异常流量检测方法[J]. 通信学报, 2021, 42(5): 23-40. MA Wengang, ZHANG Yadong, GUO Jin. Abnormal traffic detection method based on LSTM and improved residual neural network optimization[J]. Journal on Communications, 2021, 42(5): 23-40. |
| [4] |
钱爱娟, 樊昕, 董笑菊, 等. 基于社区发现的网络异常检测方法[J]. 计算机学报, 2022, 45(4): 825-837. QIAN AiJuan, FAN Xin, DONG XiaoJu, et al. Network Anomaly Detection Method Based on Community Detection[J]. Chinese Journal of Computers, 2022, 45(4): 825-837. DOI:10.11897/SP.J.1016.2022.00825 |
| [5] |
段雪源, 付钰, 王坤, 等. 基于多尺度特征的网络流量异常检测方法[J]. 通信学报, 2022, 43(10): 65-76. DUAN Xueyuan, FU Yu, WANG Kun, et al. Network traffic anomaly detection method based on multi-scale characteristic[J]. Journal on Communications, 2022, 43(10): 65-76. |