0 引　言

舰船通信网络作为舰船信息传输的重要基础设施，面临着来自外部和内部的各种安全威胁^[1]。当面临大规模网络攻击或突发攻击时，传统的舰船通信网络防护措施难以迅速作出响应。入侵检测技术是保障网络安全的关键手段，它通过监控网络传输，迅速识别可疑行为并采取相应措施^[2]。目前，众多学者对此进行了研究。

肖衡等^[3]利用机器学习检测网络通信中的异常入侵行为。机器学习算法能够从大量网络数据中学习并识别复杂的攻击模式，实现网络入侵行为的准确检测，无需人为设定规则，提高了检测准确性。同时机器学习模型能够实时监测网络流量，一旦探测到异常即触发警报，实现安全事件的迅速应对，有效阻止恶意连接。但是无线传感网络的通信环境复杂多样，难以构建精准的行为模型，影响检测性能。苏新等^[4]利用生成对抗网络检测海洋气象传感网入侵行为。生成对抗网络能够提高少数类样本攻击的识别能力，以应对海洋气象传感网中复杂多变的网络环境，适应不同场景下的入侵检测需求。虽然该方法通过数据增强提高了对不平衡数据的处理能力，但过于依赖训练数据，海洋气象传感网资源受限，影响模型的检测性能。Seniaray等^[5]使用特征选择和机器学习技术进行网络异常入侵检测。通过特征选择保留对网络入侵行为最具代表性的特征，使机器学习模型能够更准确地识别异常行为，减少误报和漏报。特征选择有助于减少过拟合现象，使机器学习模型能够更好地泛化到不同的网络流量上。但是该方法过于依赖对正常行为的建模和异常行为的识别，随着网络环境和攻击手段的不断变化，对于完全未知的攻击类型或变体，容易出现漏报或误报情况。田世林等^[6]利用堆叠稀疏去噪自编码器检测网络入侵。该方法在自编码器学习过程中加入了噪声，通过降噪过程提高了模型鲁棒性，使其能更好地应对数据中的噪声。通过堆叠多个稀疏去噪自编码器，学习更深层次的特征表示，使其能应对更多类型的网络入侵。但在实际应用中，对于新的网络攻击类型，无法获取大量的标注数据。

云计算通过网络为用户提供服务，具有提供服务方式灵活、资源池化且透明、高可扩展性和高可靠性等突出特点。因此，为了解决上述方法存在的问题，探讨基于云计算技术的舰船通信网络异常入侵检测方法，实现舰船通信网络数据的实时监测和分析，及时发现并处理异常入侵行为，从而提高舰船通信网络安全性。

1 舰船通信网络异常入侵检测方法 1.1 舰船通信网络结构

利用舰船通信网络实现舰船与舰船、舰船与对岸的通信。舰船通信网络的结构图如图1所示。

舰船通信网络通过中继节点实现舰船与地面通信。随着舰船的持续行进，其通信节点处于动态变化中，导致舰船通信网络的拓扑结构不断发生变动。在舰船通信过程中，不同的通信终端之间，通常存在多组中继节点^[7]，因此需要设置合适的路由协议以及通信链路发送信息。舰船通信网络具有较高的多变性，及时检测舰船通信网络的异常入侵，对于舰船通信网络的可靠通信极为重要。

1.2 基于Spark平台的异常入侵检测并行化处理

基于舰船通信网络结构，云计算技术的平台即服务模式，采用分布式并行处理技术，选取Spark平台为舰船通信网络提供异常入侵检测服务。Spark平台采用Apache Spark框架，利用主节点对各从节点进行任务调度、分发以及容错处理，利用从节点运行长短时记忆网络进行隐态入侵检测，实现舰船通信网络的异常入侵检测的并行计算。基于Spark平台的舰船通信网络异常入侵检测并行化处理架构如图2所示。

Apache Spark作为Spark平台的分布式计算核心，其采用Map Reduce处理方式，具备出色的扩展能力和适应性，大幅度提升了并行处理效率。Apache Spark框架允许用户读取、转换以及聚合数据，能够在本地以独立模式运行^[8]，同时支持在云中或本地集群运行。分析图2，Apache Spark框架主要包括如下模块：

1）Spark Core

该模块是Spark框架的核心，其主要功能包括基础设施建设、Spark执行环境、存储模块、调度模块、计算引擎、部署模式等。

2）Spark SQL

该模块采用SQL关系型数据库，能够实现舰船通信网络数据库的交互式查询。

3）Spark Streaming

利用该模块为舰船通信网络异常入侵检测提供流式计算处理能力。

4）机器学习库

机器学习库中包含大量的统计方法、分类方法、回归等算法。选取长短时记忆网络作为舰船通信网络异常入侵检测的机器学习算法。

1.3 基于长短时记忆网络的异常入侵检测

在上述Spark平台中，选取长短时记忆网络检测舰船通信网络异常入侵。长短时记忆网络利用遗忘门决定单元状态中所需丢弃的信息，从而逐步挖掘舰船通信网络中的隐态入侵量。设$ {h_{t - 1}} $与$ {x_t} $分别为上一单元的输出以及当前单元的输入，则遗忘门的运算式如下：

$ f_r=\mathrm{Sigmoid}\left(w_r\left[h_{t-1},x_t\right]+b_r\right)。$

(1)

式中：$ {w_r} $与$ {b_r} $分别为遗忘门的权重与偏置。

利用输入门决定所需添加至记忆单元的信息。输入门的计算式如下：

$ f_c=\tanh\left(f_rw_c\left[h_{t-1},x_t\right]+b_c\right)。$

(2)

式中：$ {w_c} $与$ {b_c} $分别为输入门的权重与偏置。

记忆单元状态更新后，利用输出门确定单元输出的表达式如下：

$ o_t=\mathrm{Sigmoid}\left(f_cw_o\left[h_{t-1},x_t\right]+b_o\right)。$

(3)

设$ {C_t} $为记忆单元，则记忆单元状态$ {h_t} $的表达式如下：

$ h_t=o_t\times\tanh\left(C_t\right)。$

(4)

式中：$ {w_o} $与$ {b_o} $分别为输出门的权重与偏置。

云计算平台的从节点，运行长短时记忆网络，检测舰船通信网络异常入侵，通过全局异常入侵检测模型，合并多个从节点的检测结果

1.4 基于最小二乘的全局异常入侵检测模型

Spark平台的主节点利用非线性最小二乘法，构建舰船通信网络异常入侵检测的全局异常入侵检测模型，综合云计算上述平台中多个从节点的舰船通信网络异常入侵检测结果。舰船通信网络全局异常入侵检测模型的表达式如下：

$ f\left(X_i\right)=\sum\limits_{i=1}^nh_t\xi_if_i\left(X\right)。$

(5)

式中：$ X $与$ {f_i}\left( X \right) $分别为舰船通信网络的日志特征属性以及云计算节点$ i $的异常入侵检测模型；$ {\xi _i} $为云计算节点$ i $对应的常数。

构建全局异常入侵检测模型的目标函数如下：

$ J\left(\xi_1,\xi_2,\cdots,\xi_n\right)=\sum\limits_{i=1}^k\left[y_i-\sum\limits_{j=1}^n\xi_jf_j\left(X_i\right)\right]^2。$

(6)

式中：$ {y_i} $为网络日志$ i $的异常入侵类型。

利用式(6)构建的目标函数，通过计算常数$ {a_i} $使式(6)的值最小，实现舰船通信网络异常入侵检测的全局优化。选取非线性最小二乘优化模型，求解式(6)的目标函数。利用多元线性方程表示舰船通信网络全局入侵检测模型的表达式如下：

$ {J\left(\xi_1,\xi_2,\cdots,\xi_n\right)=\displaystyle\sum\limits_{i=1}^n\left[\xi_1f_1\left(X_i\right)+\cdots+\xi_nf_n\left(X_i\right)+y_i\right]^2。}$

(7)

依据最小二乘法，可知存在如下式：

$ \xi_i=\dfrac{\displaystyle\sum\limits_{p=1}^ky_pf_j\left(X_p\right)}{\displaystyle\sum\limits_{i=1}^n\left[\displaystyle\sum\limits_{p=1}^kf_i\left(X_p\right)f_j\left(X_p\right)\right]}。$

(8)

利用式(8)获取$ {a_1},{a_2}, \cdots ,{a_n} $的线性方程表达式，所获取的线性方程组具有唯一解。将式(8)获取结果，代入式(6)，即可实现云计算平台中多个从节点的舰船通信网络异常入侵检测结果的全局优化，输出最终的舰船通信网络异常入侵检测结果。

2 实例分析

为了验证所研究方法对舰船通信网络的异常入侵检测性能，将该方法应用于某舰船通信网络中。该舰船通信网络的拓扑结构图如图3所示。

该云计算平台共包括12个云节点。其中包含1个中心服务器，一个管理节点以及10个从节点，舰船通信网络的带宽为100 MB。针对舰船通信网络的异常入侵检测，设置的实验数据集如表1所示。

从该舰船通信网络中采集的部分通信数据如表2所示。

采用本文方法从实验样本中，检测舰船通信网络的异常入侵，检测结果如表3所示。

可知，本文方法能够有效检测出舰船通信网络的异常入侵行为。本文方法对于舰船通信网络中的模糊攻击、泛攻击等不同类型的异常入侵行为，均可以有效检测，具有较高的检测性能。

选取不同类型的舰船通信网络异常入侵样本各100个，利用本文方法检测异常入侵样本。构建舰船通信网络异常入侵检测的混淆矩阵，构建结果如图4所示。

可知，采用本文方法检测舰船通信网络不同类型异常入侵行为的检测精度均高于99%。表明本文方法具有较高的异常入侵检测精度，能够检测不同类型的异常入侵情况。

在统计不同云节点数量时，采用舰船通信网络的吞吐量来衡量云计算平台的服务可用性。统计结果如图5所示。

高性能的云服务应具备较高的吞吐量，以应对大量并发请求。分析可知，本文方法在不同云节点数量以及不同并发用户数量中，吞吐量均高于3 Mb/s，验证了本文方法所采用的云计算技术具有较高的可用性。高可用性意味着服务中断次数和持续时间极少，确保了网络异常入侵检测不因技术故障而中断。图5实验结果验证本文方法采用的云计算技术，能够有效提升舰船通信网络异常入侵行为检测效率，对于确保舰船通信网络稳定运行具有至关重要的作用。

3 结　语

针对舰船通信网络安全问题，提出了基于云计算技术的异常入侵检测方法。该方法利用Spark平台及Apache Spark框架的Map Reduce处理方式，实现了主节点对从节点的异常入侵检测任务的高效调度与分发。从节点通过并行运行长短时记忆网络，精准处理信息并输出检测结果。主节点则通过非线性最小二乘法综合从节点结果，构建全局检测模型，确保检测结果的全面性和可靠性。实验结果表明，该方法能够有效地检测出多种类型的异常入侵行为。综上所述，云计算技术在舰船通信网络异常入侵检测中表现出强大的计算能力，能够实现对舰船大规模网络数据的实时处理和分析，提高了舰船通信网络的入侵检测效率和准确性。这种技术不仅增强了舰船通信网络的安全防护能力，还有助于提升网络通信的高效性和稳定性。此外，云计算技术的引入还使得检测系统具备更强的可扩展性和灵活性，能够轻松应对网络规模和攻击手段的变化，为舰船通信网络的安全防护提供持续有效的技术支持。