基于機器學習的艦艇網絡入侵檢測技術

徐文良,張永勝,程健慶

(江蘇自動化研究所,江蘇連云港 222061)

艦艇網絡作為艦載作戰系統信息傳輸、交換的核心樞紐，已逐步由單個系統向全艇一體化網絡，甚至是編隊一體化網絡的方向發展。艦艇網絡在保障水面艦艇、潛艇內部及對外信息交互的同時，也面臨著來自艦艇網絡內部以及外部的各種安全威脅，作戰艦艇作為軍事力量前沿存在，一旦艦艇網絡被敵成功攻擊，輕微情況下可導致內部信息的泄露，嚴重情況下可造成目標情報、作戰指令被非法截獲、篡改、偽造，從而造成不可估量的損失，因此發展安全高效的艦艇網絡入侵檢測技術是十分重要的。

傳統的基于規則匹配的入侵檢測方法誤報率高、檢測時間較高，難以應對未知的網絡威脅，并且一般的、通用的入侵檢測技術也無法有效地結合艦載業務特征，為了適應艦艇網絡安全發展的需要，本文提出了一種針對艦艇網絡入侵的檢測模型，介紹了入侵檢測的工作流程、評價方法，設計了艦艇網絡數據集構造方案及多套艦載網絡數據入侵檢測的機器學習算法，并完成了各算法的實驗及對比分析。

1 入侵檢測

1.1 入侵檢測基本概念

入侵檢測是指從計算機網絡的若干節點或計算機系統收集數據并對其進行分析，從中發現網絡或系統中是否存在違反安全策略的行為和被攻擊的對象。入侵檢測系統可以分為信息采集、信息分析、系統響應三大部分。 其中，信息采集部分主要負責收集計算機系統日志信息和網絡流量數據；信息分析部分負責對信息采集部分收集的數據進行分析建模并通過數據識別網絡入侵行為；系統響應部分負責接收信息分析部分的數據分析結果，并對該結果做出系統響應，系統響應包括斷開計算機網絡連接、對該數據行為進行告警或記錄相關數據留作證據等。入侵檢測的具體過程如圖1所示。

圖1 入侵檢測工作流程

1.2 入侵檢測評價指標

入侵檢測的主要性能評估指標有入侵檢測準確率Acc(Accuracy)、誤報率FA(False Alarm Rate)、漏報率MR(Missing Rate)和檢測時間等。其中,準確率表示入侵檢測結果準確的樣本數量與所有樣本比值。準確率越高，則說明入侵檢測系統性能越好，反之，則性能越差。誤報率表示入侵檢測系統將正常樣本錯誤地標記為入侵樣本的數目與正常樣本總數比值。誤報率越低，說明入侵檢測系統性能越好，反之，則性能越差。漏報率表示入侵檢測系統將異常樣本識別為正常樣本的數目與異常樣本總數的比值。漏報率越低，說明入侵檢測系統性能越好，反之，則性能越差。檢測時間表示為檢測一定數量的數據所需要的時間。檢測時間越短，說明入侵檢測系統性能越好，反之，則性能越差。

準確率計算公式為

(1)

漏報率計算公式為

(2)

誤報率計算公式為

(3)

其中，TP表示正常樣本中被判別為正常行為的樣本數量，TN表示入侵樣本中被判別為入侵行為的樣本數量，FP表示入侵樣本中被判別為正常行為的樣本數量，FN代表正常樣本中被判別為入侵行為的樣本數量。

2 基于機器學習的艦艇網絡入侵檢測模型

2.1 艦艇網絡入侵檢測模型

基于機器學習的艦艇網絡入侵檢測模型如圖2所示。該模型總體分為三個模塊：數據采集及預處理模塊、特征降維模塊和入侵檢測模塊。

數據采集及預處理模塊負責從艦艇網絡空間采集特定特征的數據，并將該數據中的字符串按照一定的規則轉換為數字，之后將數據進行歸一化處理，得到標準數據。

艦艇網絡入侵檢測數據集中存在大量的字符串數據，無法直接進行數值運算，需要將字符串轉換為數字。本文采用one-hot方法對字符串進行處理，以協議類型特征為例，在艦艇中通訊方式有tcp、udp、icmp三種，通過one-hot方式對其處理，將該特征拓展為3維特征，其中tcp表示為[1,0,0],udp表示為[0,1,0],icmp表示為[0,0,1]。

由于各個數據特征的單位不同，為了減少各個數據特征量綱之間的影響，對不同數據特征的數據進行標準化處理是十分必要的。本文采用數據歸一化方式對數據進行標準化處理，數據歸一化公式如下：

(4)

其中，x是特征值，MIN為該特征所有數據的最小值，MAX為該特征所有數據的最大值。

特征降維模塊負責分析并學習標準數據中的規律，并通過一定算法將標準數據從高維空間映射到低維空間，降低數據的維度，減少數據計算的空間復雜度和時間復雜度，提高計算效率。

入侵檢測模塊負責對網絡入侵進行檢測，該模塊可以分為三個過程：算法訓練過程、算法檢測過程和算法使用過程。算法訓練過程是指通過訓練數據集對采用的機器學習算法進行訓練，調整算法參數。測試過程是指使用測試數據集對入侵檢測算法的準確率、誤報率和漏報率進行測試，若達到一定要求則該算法合格，若未達到要求則繼續對入侵檢測算法進行訓練或采取其他機器學習算法。

圖2 艦艇網絡入侵檢測模型

2.2 機器學習算法

2.2.1 深度信念網絡

隨著大數據時代的來臨，我們需要處理的數據越來越多，這些數據不僅規模龐大，數據的維度也在不斷提升，處理這些數據會消耗很大的計算時間以及計算空間。對于艦艇網絡入侵檢測而言，數據維度過高會導致入侵檢測計算量大，從而提高入侵檢測時間，導致入侵檢測效率低下。

神經網絡具有極其豐富的特征分析、表達及學習能力，被廣泛應用于圖像識別、自然語言處理以及入侵檢測等領域；深度信念網絡[1](Deep Belief Network，DBN)是一種典型神經網絡，廣泛應用于特征降維領域，可以通過學習分析數據，自主調整自身參數，建立從高維空間到低維空間的映射，從而達到數據降維的目的。

從網絡結構而言，深度信念網絡由多層受限玻爾茲曼機(Restricted Boltzmann Machine,簡稱RBM)和一層BP神經網絡構成。網絡結構如圖3所示。

圖3 深度信念網絡

DBN訓練過程由預訓練和微調兩階段構成。

在預訓練階段，DBN將采取逐層訓練方式從底層向高層對各個RBM進行訓練。首先輸入原始數據訓練第一個RBM，訓練完成后，將該RBM輸出作為上一層RBM的輸入，訓練上一層的RBM，重復以上過程至整個DBN訓練完成。

在微調階段，采用監督學習的方法對整個DBN進行訓練，將原始數據輸入DBN得到輸出數據，然后采用反向傳播算法將實際輸出數據與預期輸出數據之間的誤差進行逐層反向的傳播[2]，從而實現對整個DBN權值進行微調。實際上，DBN的預訓練階段可以理解成對多層BP神經網絡的神經元權重和偏置進行初始化的過程。

2.2.2 支持向量機

艦艇網絡入侵檢測系統的目的是將輸入的艦艇網絡數據分為入侵數據和正常數據兩大類，然而艦艇網絡數據構成復雜，簡單分類器效果并不理想，因此本文采用支持向量機[3-4](Support Vector Machine，SVM)對數據進行分類，通過訓練數據尋找分類超平面，該超平面能夠使艦艇網絡數據分離間隔盡可能大，因此通過支持向量機算法對艦艇網絡的數據進行分類，準確率較神經網絡、K近鄰算法更高。

支持向量機的目的根據給定數據求解特定超平面的數據表達式，該超平面可以表述為公式(5)。

y(x)=wTx+b

(5)

其中，w是系數向量，b是偏置，x為輸入數據向量或矩陣，y(x)表示輸出數據或輸出向量。

這本質上是一個約束優化問題，通過化簡可以將該問題表述成如下約束優化表達式，如公式(6)所示。

(6)

其中，C為可調參數，ξ為松弛變量。

對該優化約束問題，可以采用拉格朗日乘子法進行化簡，化簡后該問題的約束優化表達式變為公式(7)，通過求解公式(7)最終可求得超平面表達式：

(7)

其中，α是拉格朗日乘子。

在使用支持向量機對數據進行分類時，絕大部分情況下無法通過線性方法對數據進行分類，解決這種問題的方法除了加入松弛變量，還可以引入核函數[5]，將低維數據映射到高維空間，從而使高維數據線性可分。常用的核函數如下:

線性核函數：

K(u,v)=u·v

(8)

多項式核函數:

K(u,v)=(ku·v+1)d

(9)

高斯徑向基核函數:

(10)

Sigmoid核函數:

K(u,v)=tanh(δ(u·v)+ε)

(11)

其中，u和v表示輸入向量，k、σ、δ、ε表示可調參數。

3 艦艇網絡入侵檢測實例

3.1 艦艇網絡數據集構造

艦艇網絡無法通過完全開放其網絡空間來收集、獲取網絡掃描探測、拒絕服務攻擊、病毒入侵以及漏洞、弱口令攻擊等機器學習所需的原始數據，為了能深入結合艦載業務的特征開展入侵檢測，構造符合艦艇網絡空間的入侵檢測的訓練和測試樣本，本文在深入研究艦艇網絡的時統、導航、通信、預警探測、指控、武器以及平臺、動力等業務特征基礎之上，并借助CUP99數據集支持，根據艦艇網絡空間的數據業務類型、周期、時序等特征，通過對艦艇網絡業務數據的標記及對CUP99數據的擴維處理，構造了一個45維既包括艦艇網絡業務特性又含有入侵樣本的數據集，并將構造的艦艇網絡數據集隨機切分為兩份得到艦艇網絡入侵檢測訓練集和測試集。

艦艇網絡數據集的數量數據見表1。

3.2 艦艇網絡入侵檢測算法

本文在艦艇網絡入侵檢測模型的基礎上，設計了5種艦艇網絡入侵檢測算法，并通過艦艇網絡入侵檢測訓練數據集訓練這些算法，然后使用艦艇網絡測試數據集測試這些算法，得到各算法入侵檢測準確率、誤報率和漏報率。入侵檢測算法及其數據流程如下：

其中主成分分析[7](Principal Component Analysis,PCA)是一種線性的特征降維方法，其目的是尋找最大方差意義下最能代表原始數據的投影方法，通過PCA方法可以消除數據之間的相關性，從而減少數據量，提高數據處理效率。信息增益(Information Gain，IG)是依據信息量進行特征選擇的一種特征降維方法，通過選取信息量大的數據特征，舍棄信息量小的數據特征，從而達到數據降維的目的。

3.3 艦艇網絡入侵檢測實驗結果分析

為了檢驗3.2中提到的5種算法在艦艇網路入侵檢測中的性能，本文通過實驗來驗證各個算法在艦艇網絡入侵檢測中的準確率、誤報率和漏報率，并使用以上述指標來對比分析算法的優劣。其中：支持向量機作為分類器時選取徑向基(RBF)核函數，設置核函數的參數gamma=0.00001，設置支持向量機的懲罰因子C=1000；DBN將采用3層RBM，DBN每層神經元數量從底層到高層依次為126、86、47、23和5；信息增益選擇特征數量為15。

入侵檢測算法對比實驗結果如表2所示。

表2 入侵檢測算法對比實驗結果

通過以上實驗結果分析可知：

1)通過DBN-SVM算法、SVM算法和DBN算法的結果對比分析可知，DBN-SVM算法在入侵檢測準確率、誤報率和漏報率方面，由于其單獨的SVM和DBN，顯著提高了艦艇網絡入侵的識別能力。

2)通過DBN-SVM算法、PCA-SVM算法和IG-SVM算法的結果對比分析可知，PCA和IG算法較DBN算法在特征降維過程中會丟失部分對入侵檢測重要的數據，從而降低入侵檢測準確率，提高誤報率和漏報率。DBN算法較PCA和IG算法更適用于艦艇網絡特征降維。

總之DBN-SVM算法在艦艇網絡入侵檢測中具有更優異的性能，更能適用于艦艇網絡入侵檢測。

4 結束語

本文針對艦艇網絡入侵檢測技術發展的需要，提出了一個艦艇網絡入侵檢測模型，構造了一個45維的艦艇網絡入侵檢測數據集，并設計了5種入侵檢測算法，并通過實驗對算法進行測試，發現DBN-SVM算法具有最高的入侵檢測準確率和最低的入侵檢測誤報率和漏報率。

本文在構造艦艇網絡入侵檢測數據集方面，只增加了類型、周期、時序等少量特征，為檢測提供的信息量偏少，下一步將提取更多的艦載業務特征，為艦艇網絡入侵檢測提供更多的高質量的標記數據，進一步提高模型對艦載網絡環境的適應性，同時本文采用的是一種離線、事后的檢測方式，為了提高入侵檢測效率，將研究適合艦艇網絡海量數據的在線、實時檢測方法。