基于K-means方法的廣播電視網(wǎng)絡(luò)安全框架研究

張 登

（國(guó)家廣播電視總局二九一臺(tái)，甘肅 蘭州 730000）

0 引言

網(wǎng)絡(luò)安全是整個(gè)廣播電視網(wǎng)絡(luò)系統(tǒng)的重要組成部分。隨著廣播電視網(wǎng)絡(luò)系統(tǒng)的網(wǎng)絡(luò)化發(fā)展，廣播電視網(wǎng)絡(luò)系統(tǒng)的體系框架越來(lái)越復(fù)雜、數(shù)據(jù)量越來(lái)越大，涉及的范圍也越來(lái)越廣。目前，網(wǎng)絡(luò)攻擊的形式更加多樣化、頻次日益增多、破壞程度也越來(lái)越嚴(yán)重。廣播電視網(wǎng)絡(luò)資源是國(guó)家重要的信息化設(shè)施，具有豐富的資源和眾多的用戶，是關(guān)乎國(guó)家安全的組成部分，所以網(wǎng)絡(luò)完全問(wèn)題顯得尤為重要，一旦遭受攻擊、破壞、造成安全事故，將危害國(guó)家安全體系。

如何檢測(cè)對(duì)廣播電視網(wǎng)絡(luò)系統(tǒng)的攻擊行為，保護(hù)網(wǎng)絡(luò)安全基礎(chǔ)，是保護(hù)廣播電視網(wǎng)絡(luò)系統(tǒng)安全，構(gòu)建廣播電視網(wǎng)絡(luò)安全體系框架的重要環(huán)節(jié)[1]。入侵檢測(cè)是一種網(wǎng)絡(luò)安全的重要防護(hù)手段，能彌補(bǔ)防火墻的不足。許多學(xué)者采用機(jī)器學(xué)習(xí)方法，智能地對(duì)網(wǎng)絡(luò)攻擊進(jìn)行入侵檢測(cè)，實(shí)現(xiàn)入侵檢測(cè)智能化、迅速化和高效化，降低了入侵檢測(cè)的失誤率、漏檢率和誤檢率。

該文首先介紹了廣播電視網(wǎng)絡(luò)系統(tǒng)框架，然后介紹了一部分常用的深度學(xué)習(xí)算法，比較各個(gè)算法在網(wǎng)絡(luò)安全入侵檢測(cè)應(yīng)用中的優(yōu)缺點(diǎn)，最終選擇K-means 算法用于廣播電視網(wǎng)絡(luò)系統(tǒng)的入侵檢測(cè)。最后提出了基于K-means 聚類方法的廣播電視網(wǎng)絡(luò)安全系統(tǒng)框架，為獲得性能良好的網(wǎng)絡(luò)入侵檢測(cè)體系和廣播電視網(wǎng)絡(luò)安全系統(tǒng)奠定基礎(chǔ)。

1 廣播電視網(wǎng)絡(luò)安全系統(tǒng)框架研究

廣播電視網(wǎng)絡(luò)信息系統(tǒng)以具體業(yè)務(wù)為基礎(chǔ)對(duì)象，在系統(tǒng)內(nèi)各個(gè)模塊建立合理的功能安全區(qū)域，并在功能區(qū)安全模塊的基礎(chǔ)上按照嚴(yán)格的準(zhǔn)則等級(jí)設(shè)置不同層級(jí)的安全功能功能模塊[2]。進(jìn)入廣播電視信息系統(tǒng)訪問(wèn)的事件操作，必須要經(jīng)過(guò)廣播電視網(wǎng)絡(luò)安全子系統(tǒng)的入侵檢測(cè)，而且整個(gè)訪問(wèn)過(guò)程的數(shù)據(jù)以及流程全過(guò)程會(huì)受到安全子系統(tǒng)的監(jiān)察，記錄都會(huì)被留在日志記錄中。

廣播電視網(wǎng)絡(luò)安全子系統(tǒng)對(duì)廣播電視網(wǎng)絡(luò)信息系統(tǒng)進(jìn)行多方向、多層面的防護(hù)，首先廣播電視網(wǎng)絡(luò)系統(tǒng)框架安全保護(hù)的核心就是廣播電視安全子系統(tǒng)對(duì)主體訪問(wèn)客體事件的合法性進(jìn)行檢測(cè)和判斷，分為前置檢測(cè)和中間檢測(cè)。安全子系統(tǒng)經(jīng)常用規(guī)則來(lái)定義條件，在符合規(guī)則的條件下允許主體對(duì)客體進(jìn)行訪問(wèn)。子系統(tǒng)通過(guò)對(duì)訪問(wèn)事件提取特征值、劃分訪問(wèn)事件類來(lái)判斷訪問(wèn)事件，允許或者制止訪問(wèn)事件的進(jìn)行。對(duì)訪問(wèn)事件的控制、身份鑒別、入侵檢測(cè)、加密等都是安全子系統(tǒng)對(duì)網(wǎng)絡(luò)防范的功能技術(shù)，這些技術(shù)用來(lái)實(shí)現(xiàn)安全策略，一般通過(guò)策略模塊的方式來(lái)實(shí)現(xiàn)。具體如圖1 所示。

圖1 廣播電視網(wǎng)絡(luò)安全系統(tǒng)結(jié)構(gòu)

2 機(jī)器學(xué)習(xí)方法在網(wǎng)絡(luò)入侵檢測(cè)中的應(yīng)用

該文選擇機(jī)器學(xué)習(xí)方法用于網(wǎng)絡(luò)入侵檢測(cè)智能訓(xùn)練，機(jī)器學(xué)習(xí)的算法的大多數(shù)用途是處理分類問(wèn)題。該算法可以將網(wǎng)絡(luò)攻擊事件劃分為不同的類別，并且通過(guò)訓(xùn)練和學(xué)習(xí)，還可以提高分類的性能。這樣的自主學(xué)習(xí)和分類正適合面對(duì)復(fù)雜多樣的網(wǎng)絡(luò)環(huán)境。將機(jī)器學(xué)習(xí)算法引入網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)中，會(huì)提高網(wǎng)絡(luò)安全系統(tǒng)檢測(cè)網(wǎng)絡(luò)入侵的準(zhǔn)確率。

2.1 機(jī)器學(xué)習(xí)方法介紹

機(jī)器學(xué)習(xí)被認(rèn)為是一個(gè)系統(tǒng)的自我改進(jìn)過(guò)程。機(jī)器學(xué)習(xí)所處理的問(wèn)題通常被歸結(jié)為搜索問(wèn)題，即對(duì)處理的問(wèn)題不斷分類搜索的過(guò)程，以確定符合條件和假設(shè)的最佳數(shù)據(jù)結(jié)果。機(jī)器學(xué)習(xí)主要用于檢測(cè)網(wǎng)絡(luò)入侵檢測(cè)的算法包括決策樹、神經(jīng)網(wǎng)絡(luò)和K-means 算法等[3]。

2.1.1 決策樹

決策樹算法簡(jiǎn)單快捷，能夠在短時(shí)間內(nèi)處理數(shù)據(jù)集。將該算法用于網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)中，判斷網(wǎng)絡(luò)行為是否為網(wǎng)絡(luò)攻擊行為或?qū)儆谀姆N攻擊行為，并對(duì)過(guò)程進(jìn)行預(yù)測(cè)，可提高網(wǎng)絡(luò)入侵檢測(cè)的速率和準(zhǔn)確率。國(guó)內(nèi)外學(xué)者將決策樹用于網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)。一些學(xué)者提出了一種實(shí)時(shí)檢測(cè)方法，用決策樹算法對(duì)網(wǎng)絡(luò)數(shù)據(jù)進(jìn)行分類。分類結(jié)果顯示輸出結(jié)果可以分成不同的類別。但是該模型并不能檢測(cè)未知的入侵攻擊。

2.1.2 神經(jīng)網(wǎng)絡(luò)

神經(jīng)網(wǎng)絡(luò)是一個(gè)由互相連接的神經(jīng)元組成的算法結(jié)構(gòu)，各神經(jīng)元之間的相互連接，使神經(jīng)網(wǎng)絡(luò)算法可以實(shí)現(xiàn)并行計(jì)算，提高處理問(wèn)題的效率。將神經(jīng)網(wǎng)絡(luò)算法應(yīng)用于網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)中，解決傳統(tǒng)檢測(cè)中入侵檢測(cè)的中央節(jié)點(diǎn)負(fù)荷過(guò)多的問(wèn)題，能夠處理大規(guī)模的入侵檢測(cè)和數(shù)據(jù)，為大數(shù)據(jù)環(huán)境下的網(wǎng)絡(luò)入侵檢測(cè)提供網(wǎng)絡(luò)安全保障。有學(xué)者將神經(jīng)網(wǎng)絡(luò)算法用于網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)中，并進(jìn)行智能的實(shí)時(shí)入侵并發(fā)檢測(cè)。該檢測(cè)方式首先預(yù)處理實(shí)時(shí)流量數(shù)據(jù)，提取數(shù)據(jù)特征，將其轉(zhuǎn)換成準(zhǔn)化數(shù)據(jù)形式，然后將輸出結(jié)果寫入日志。神經(jīng)網(wǎng)絡(luò)聚類算法還可以解決未知的攻擊手段，被聚集在一起的單元模塊可以表示已知的攻擊或未知的攻擊。

2.1.3 K-means算法

K-means 算法是將數(shù)據(jù)識(shí)別成不同的類（被稱為簇），是一種基于距離的聚類算法，該算法通過(guò)不斷地獲取離種子點(diǎn)最近的均值來(lái)劃分?jǐn)?shù)據(jù)聚集。該算法認(rèn)為離種子點(diǎn)越近，與種子點(diǎn)的相似性越高，其在一個(gè)簇中的相似度越高，屬于無(wú)監(jiān)督機(jī)器學(xué)習(xí)方法。K-means 聚類是將數(shù)據(jù)對(duì)象分組成有一定相似特征子類的算法，一些學(xué)者將該算法應(yīng)用于SOM 網(wǎng)絡(luò)中，先用SOM 獲得初步的集群和中心點(diǎn)，再用K-means 算法改進(jìn)集群。K-means 算法屬于無(wú)監(jiān)督學(xué)習(xí)方法范疇，該算法易操作，數(shù)據(jù)分類快，可對(duì)未知類型的入侵類別實(shí)施分類措施。在入侵檢測(cè)中，經(jīng)常被用于進(jìn)行日志數(shù)據(jù)檢測(cè)和網(wǎng)絡(luò)入侵檢測(cè)分類。

2.2 3種算法在在系統(tǒng)網(wǎng)路入侵中的應(yīng)用的比較

決策樹、神經(jīng)網(wǎng)絡(luò)和K-means 這3 種算法是3 種不同的機(jī)器學(xué)習(xí)算法，分別被用在網(wǎng)絡(luò)入侵檢測(cè)中，且各有利弊。下面就分別對(duì)這3 種算法各自的優(yōu)缺點(diǎn)進(jìn)行介紹，具體見(jiàn)表1。

表1 3 種算法的優(yōu)缺點(diǎn)對(duì)比

這3 種算法用于網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)中都有各自的優(yōu)缺點(diǎn)，運(yùn)用時(shí)應(yīng)按照數(shù)據(jù)集的具體情況進(jìn)行判斷。廣播電視網(wǎng)絡(luò)系統(tǒng)的網(wǎng)絡(luò)入侵?jǐn)?shù)據(jù)集具有數(shù)據(jù)結(jié)構(gòu)復(fù)雜、數(shù)據(jù)量大的特點(diǎn)，所以對(duì)算法的效率性和聚類的準(zhǔn)確性有較高的需求，且入侵?jǐn)?shù)據(jù)結(jié)構(gòu)復(fù)雜，未知攻擊占據(jù)很大比例。K-means是無(wú)監(jiān)督學(xué)習(xí)方法，在劃分入侵攻擊類型時(shí)對(duì)于未知攻擊的處理更規(guī)范，已知類型的攻擊聚類效果好、效率高。所以選擇K-means 算法來(lái)對(duì)廣播電視網(wǎng)絡(luò)安全系統(tǒng)進(jìn)行入侵檢測(cè)。

3 K-means算法在廣播電視網(wǎng)絡(luò)安全系統(tǒng)框架中的應(yīng)用

3.1 基于K-means算法的入侵檢測(cè)模型

網(wǎng)絡(luò)入侵檢測(cè)模型最早由學(xué)者Dorothy Denning 提出。目前檢測(cè)技術(shù)及其體系均是在最初入侵檢測(cè)模型的基礎(chǔ)上進(jìn)行了不同程度的擴(kuò)展和細(xì)化。該文將K-means 算法用于網(wǎng)絡(luò)安全入侵檢測(cè)中，構(gòu)建基于K-means 算法的入侵檢測(cè)模型?；贙-means 聚類算法的模型首先由事件產(chǎn)生器接受事件，再通過(guò)K-means 聚類算法規(guī)則聚類，算法本身可以修改、刪除、增加規(guī)則。其整個(gè)過(guò)程都由活動(dòng)記錄動(dòng)態(tài)地記錄整個(gè)過(guò)程，記錄活動(dòng)和K-means 聚類算法規(guī)則集之間也相互更新、匹配。

3.2 基于K-means算法的廣播電視網(wǎng)絡(luò)安全系統(tǒng)框架模型

圖2 基于K-means 算法的廣播電視網(wǎng)絡(luò)安全系統(tǒng)框架模型

將基于K-means 算法的入侵檢測(cè)模型用于廣播電視網(wǎng)絡(luò)安全子系統(tǒng)中，使網(wǎng)絡(luò)系統(tǒng)在受到入侵攻擊時(shí)，能夠判斷和檢測(cè)入侵事件的合法性?；贙-means 算法的入侵檢測(cè)模型子系統(tǒng)通過(guò)提取入侵訪問(wèn)的特征值、劃分訪問(wèn)事件類別來(lái)判斷訪問(wèn)事件，允許或者制止訪問(wèn)事件的進(jìn)行。首先對(duì)用戶和外部邊界的入侵操作進(jìn)行安全功能模塊的初步判定，其次由基于K-means 算法的入侵檢測(cè)模型對(duì)入侵進(jìn)行分類，判定結(jié)果。最后對(duì)結(jié)果進(jìn)行操作，使具體事件進(jìn)入廣播電視網(wǎng)絡(luò)域。具體如圖2 所示。

廣播電視網(wǎng)絡(luò)安全子系統(tǒng)是一個(gè)比較獨(dú)立的安全子模塊、子系統(tǒng)，因此需要一個(gè)管理中心用來(lái)管理該子系統(tǒng)的事物。基于K-means 算法的廣播電視網(wǎng)絡(luò)安全系統(tǒng)框架模型，為廣播電視網(wǎng)絡(luò)安全系統(tǒng)建立了 一個(gè)有效的檢測(cè)平臺(tái)，為廣播電視網(wǎng)絡(luò)系統(tǒng)安全的研究提供了一個(gè)新方法。