基于多因素特征分析的網絡安全數據處理模型

趙思佳 尹 婷

（湖南環境生物職業技術學院，湖南 衡陽 421005）

0 引言

網絡將原本分離的世界連接為一體，信息的傳輸與共享得到史無前例的發展，知識的獲取更為便捷，人類社會的進步借助于網絡實現了第三次革命。網絡改變了人類文明的發展模式和進程[1]。但是，任何事物都是具有兩面性的。網絡在為科技進步、社會發展提供高速運轉平臺的同時，也有可能成為部分別有用心者竊取信息、破壞秩序等犯罪活動的工具，因此網絡的安全必須與網絡的建設同步開展，保證網絡安全的技術水平、防護能力始終處于領先地位。基于多因素特征分析，即是在綜合考慮各方面因素的情況下，針對各個因素的典型代表特征進行甄別，準確識別網絡傳輸數據中的安全隱患，保護網絡的安全[2]。基于多因素特征分析的網絡安全防護方法可以在相對低虛警的限定條件下，準確識別竊取、攻擊行為，不會因為過于嚴格的核查規則影響網絡的正常使用，也不會因為寬泛的數據審計而漏過網絡破壞行為[3]。鑒于多因素特征分析優秀的網絡防護能力，需要在該基礎上深入開發，在更廣闊的范圍內使用該技術，保護網絡安全。因此建立基于多因素特征分析的網絡安全數據處理模型，以模塊化的流程建立標準的網絡安全數據處理算法，實現對網絡安全的深度防護。

1 構建多因素特征分析的網絡安全數據處理模型

1.1 模型整體架構設計

基于多因素特征分析的網絡安全數據處理模型能夠在實際應用時實現自動化處理，以提高流式數據的處理能力和計算效率[4]。該模型通過重新設計數據輸入、輸出以及數據計算節點，以在線分布式實時監控的工作模式對數據進行監控，增加對遠程字典數據庫的訪問節點，在該節點中完成對數據的內容審查，以完成對實時流式數據的處理工作。整個模型的架構不給主干線路增加數據負擔，以旁路工作的模式實現數據的輸入和輸出。如圖1所示。

圖1 實時流數據處理流程圖

從模型的模式圖可以看出，遠程字典數據庫作為數據交換的中心，負責特征信息的存儲和維護，整個數據流的處理邏輯在計算節點集群中實現。網絡傳輸的數據先通過遠程字典通道（RIDIS）進入遠程字典服務器，然后編排工具使用計算節點訂閱對應通道的數據，并將數據發送到計算節點集群進行數據計算，對比網傳數據和典型特征數據的相似度，作為判據之一。計算節點集群生成中間結果集，通過遠程字典節點發送到遠程字典服務器進行統計[5]。遠程字典服務器完成計算后，遠程字典輸出節點將取出的中間結果集進行二次處理，做進一步的數據封裝，按照標準格式封裝成前端可視化模塊所需的數據格式，實現歸一化處理。最后，通過遠程字典輸出節點將處理后的最終計算結果發布到指定的遠程字典通道備查，前端可視化模塊即可從指定通道訂閱數據在控制端可視化顯示。

在原有的物聯網編配工具中沒有節點可以與遠程字典交互，所以添加了遠程字典節點。為了使用戶能夠自定義數據處理邏輯，引入了功能節點，節點間功能獨立但是互相連通，計算結果互相可引用，多個功能節點構成整個流程計算節點組。通過這些節點的分布式處理，可以在操作工具中快速方便地編寫流數據處理業務代碼。為了提高開發標準，減少重復勞動量，也方便移植以及投入使用后的維護，節點中的業務代碼采用模塊化設計，一次編寫，多點共用。

1.2 多因素特征的數據處理節點設計

模型中的功能節點是操作工具的重要元素。該工具中有3個基本節點：數據輸入節點（信息錄入功能）、輸出節點（信息發布功能）和數據處理（算法校驗功能）節點[6]。操作工具識別和處理節點的方法是以字符串匹配，為了保證節點識別的準確性，需要做到節點定義中帶有名稱的字符串必須與節點文件名保持一致，否則操作工具將無法解析。操作工具的節點本身主要包括js文件和HTML文件兩種。其中js文件用于定義功能節點的主要功能，即具體任務執行流程；HTML文件用于定義節點的屬性、節點編輯框格式以及交互幫助等輔助功能。HTML文件包括三部分內容：（1）節點的定義，規定節點的屬性、用途、數據處理的流程以及在瀏覽器中的顯示風格，為一個可執行的JavaScript代碼；（2）節點的編輯模板，即標準化的節點數據形式，用于生成用戶編輯節點；（3）節點的幫助信息，注釋部分，提供使用該節點的說明[7]。

在操作工具中安裝部署新節點后，可在操作工具前端編輯界面中使用該節點進行數據處理。操作工具的強大擴展性在于，用戶可以在操作工具中設計節點的功能，完成特定的任務。

多因素特征數據處理節點的最核心設計原則是全面覆蓋性，即需要創建節點來對輸入的各種類型的數據進行必要的處理，即使有些類型不是節點所需要的，這是保證節點設計正確性和有效性的基礎保障[8]。在這一原則指導下，節點具備了向原始數據添加額外信息的能力，同時也方便了節點的升級擴展。

還需要設置自檢測節點，對模型的準確度進行自我檢驗。設置綜合評價指標L。其表達式如下。

式中：TP是被劃分到正例的樣本數量，FP是本身屬性為負例，但是被誤判而劃分到正例中的樣本數量。FN是本身屬性為正例，但被誤判劃分到負例中的樣本數量。通過加權計算，得出判定正確的樣本數量在加權后的總樣本數量中的比值，比值越接近于1，表明模型的準確度越高。

1.3 主成分聚類分析

建立了功能節點后，需要對節點的構成進行分析。采用主成分分析法，這是一種將數據進行降維的計算方法，使用線性代數的相關定義將數據的高維屬性降為很多個主成分。這種方法很適用于高維數據，可以分析信息量龐雜的數據[9]。一組龐雜的數據包括了非常多的屬性特征，研究這樣的數據就可以使用主成分分析法對數據進行屬性簡化，幾個主成分實際上是屬性特征的簡單性表示，也方便之后的圖像提取工作。

當處理對象為高維數據時，由于數據自身屬性較多，數據一般會存在冗余。主成分分析可以在保持數據有效性的同時，將高維數據轉換為低維數據。主成分分析的缺點如下。主成分分析采用數據壓縮的方法，它可以從一定的角度反映一定的數據信息。但在降維過程中，重要信息可能是線性表示的，計算方式也較之高維數據有所不同，這種方式可能沒有那么優越。聚類分析是數據挖掘中的經典算法之一。

該文基于多因素特征分析建立的模型主要應用的就是聚類分析方法。就是先對數據進行主成分分析，再進行聚類分析。這種方式是將兩種算法結合起來，也能結合了兩種算法的優勢。將兩種思路融合起來，先對數據進行降維的主成分算法，然后對幾個主成分分別進行聚類分析。主成分聚類模型如圖2所示。

圖2 主成分聚類模型

基于數據處理模型，流程主要包括如下環節：1）對原始數據進行主成分分析。為簡化數據處理復雜度，對數據標準化處理；求得與屬性信息數據有關的相關系數數據集合；得到特征值、總方差以及累積的貢獻率；往復循環，計算得到每個主成分的數據。2）將得到的所有主成分數據進行聚類分析。隨機選擇K個對象的屬性為初始的聚類中心；根據每個聚類對象的均值，計算每個對象與這些中心對象的距離；并根據最小距離重新對相應對象進行劃分；重新計算每個聚類的中心，循環直到每個聚類對象不再發生變化為止。主成分聚類分析模型綜合利用了主成分分析和聚類分析的優點，既將數據進行降維，得到主成分，利用聚類分析的特點，將數據進行聚類。

綜上所述，基于多因素特征分析的網絡安全數據處理模型構建完成。

2 對比實驗

2.1 實驗準備

為了驗證處理模型的準確度，該文設置了對比實驗，對模型的數據處理的自適應度、漏報率、誤報率進行檢測。

首先進行數據采集。設定研究對象為行業統計的網絡數據。將數據輸入計算機中，將這些數據按照行業地區的數據進行聚類分析，建立起數據分析模型。

該文設計的模型主要應用的是多因素特征分析方法中的主成分分析和聚類分析方法。先將收集到的行業數據進行主成分分析，再將簡化屬性之后的主成分進行聚類分析。

實驗的數據具體處理步驟如下：首先將樣本數據進行標準化預處理，處理后可以得到研究數據樣本，將其中30組樣本人工植入破壞性代碼，作為假想黑客數據，使用該文設計的數據處理模型進行數據處理并與其他數據處理方式進行對比，驗證多因素特征分析的網絡安全數據處理模型識別攻擊的能力。

2.2 實驗結果

將該文設計的多因素特征分析的網絡安全數據處理模型命名為DYS模型。將DYS模型設置為實驗組，選取已經投入應用的CAN、HG_G等七種數據處理模型進行對比。性能測試結果體現了輸入數據樣本的平均檢測準確率、自適應、誤報率、漏報率以及綜合評定準確率的達到情況。其檢測結果如表1所示。

表1 實驗結果表

從表中結果可以看出，該文設計的數據處理模型的準確率指標結果為95.7%，高出處于第二的Firefl近3%，效果明顯優于對比方法。對已知攻擊，多因素特征分析數據處理模型在自適應和漏報率指標上的結果分別為97.2%和2.6%，分別高出次優結果約5%和0.4%，效果均優于對比方法；同時，該文模型在誤報率指標上的結果與最優結果相差不到0.1%，效果較為良好。對未知攻擊，該文的數據處理模型的自適應指標為87.2%，誤報率指標為0.3%，分別高于次優結果約0.1%和1.2%，漏報率指標為16%比最優結果低1%左右，因此效果也較為良好。對變動網絡數據集，DYS模型取得的檢測準確率指標將近95%，高出處于第二的SVM-約1%，效果均優于對比方法。通過綜合對比各項指標的結果，該文設計的數據處理模型DYS在已知、未知攻擊檢測的準確率、誤報率及漏報率等指標上都可以超過其他模型，對網絡攻擊和隱蔽破壞行為具有防護能力，可以切實保障網絡安全。

3 結語

網絡已經成為社會發展和現代生活不可或缺的工具，在某種意義上理解，網絡資源已經成為戰略資源，因此網絡安全的重要意義不言而喻。在建立網絡安全的研究領域，雖然前人已經做出了卓有成效的工作，但是面對手段越發復雜和隱蔽的攻擊行為和竊取技術，任何改進都是必要的，并且需要持續、深入地研究下去，為網絡安全提供技術防范手段。結合多因素特征分析的數據處理模型，站在網絡數據傳輸的角度，對數據進行篩查，通過不同類型數據的多種因素典型特征值對比分析，發現潛在的危險因素，發出報警并同步采取控制措施，保障網絡安全。不過這種技術手段也存在薄弱之處，在面對大規模網絡流量攻擊和惡意加密流量攻擊等問題時，存在計算能力不足的問題，因此還需要深入研究，持續改進。網絡安全防護的技術手段研發一直在路上，需要業界共同努力，保障網絡的實體安全。希望通過分享研究成果，為業界的技術進步提供啟發，共同維護網絡的安全環境。