云平臺下入侵人員位置實時監測方法研究

呂鋒

關鍵詞：云平臺;入侵人員位置;實時監測;痕跡數據;粒子群多層解析法存。隨著入侵人員利用的技術與手段越來越先進，入侵越來越具有無邊界、隱藏性與突發性等特征，云平臺所面臨的安全挑戰日益嚴峻。因此，網絡安全受到人們廣泛重視，研究云平臺下入侵檢測技術也變得十分有意義。

文獻[1]提出基于信道狀態信息相位差的人員入侵監測方法。分析信道狀態信息相位差的可行性，通過輕量級指標對無線環境狀態變化進行感知;采用遞歸量化分析法選擇靜止環境下的子載波，使用離散小波變換獲取頻率信號，進而判斷出是否有人員入侵以及入侵位置。文獻[2]提出多維測量信息的壓縮感知多目標無源被動定位方法。在壓縮感知架構下通過多維測量信息頻率分集改善定位精度與魯棒性;結合鞍面模型構建無源字典，將無源定位問題轉換為多測量向量聯合稀疏恢復問題;再利用多維稀疏貝葉斯學習方法估計入侵人員位置向量。但是上述兩種方法監測入侵人員位置與實際位置吻合度較低，監測延時較高，導致入侵人員位置監測效果不理想。

針對以上方法存在的弊端，提出了一種基于痕跡數據的入侵人員位置實時監測方法。該方法將采集到的痕跡信息變換為頻域信號，并獲取監測信息與痕跡信息之間模糊聚類概率，結合衡量理論確保入侵人員位置信息被完整監測。

1云平臺入侵監測需求分析與系統設計

1.1監測需求分析與模型建立

云平臺具有計算能力強、規模大與高性能等特征，在建立監測系統模型時，需滿足如下基本要求：

（1）入侵監測模型必須實時監測出所有云環境下的攻擊行為特性，不但要監測主機遭到的攻擊行為，還要監測出云漏洞攻擊、非法訪問等云平臺特有攻擊行為。

（2）云平臺為用戶提供的網絡數據是實時變化的，因此監測模型需要具備可擴展性，以提高對云平臺的適應性。

（3）因為云平臺具有復雜性與無法預知等特點，入侵監測模型需要具備自學習性，可以持續監測新型入侵方式，這就要求設計合理的入侵監測算法來改善監測效率。

（4）云平臺屬于一個虛擬化、異構化的環境，入侵人員監測模型必須監控虛擬網絡且獲取虛擬機的通信數據來全面監測入侵行為。

（5）因為云平臺存在大量攻擊行為，所以每個監測系統之間需要相互連通、協同合作來阻止入侵攻擊。

該監測模型將云平臺劃分為若干區域，在不同區域中設計單獨監測代理，且放置一個對每個區域進行集中管理的中央控制器。區域監測系統中包括云控制器與主機監測代理。云控制器負責對主機監測代理提交的結果進行綜合分析，判定是否存在局部范圍的網絡入侵并提出相應措施，再將結果提交給中央控制器。

1.2入侵人員位置監測系統結構設計

雖然入侵監測系統能從不同方面劃分為多種類型，但是整體結構基本相同。主要包括以下基本組件：

（1）數據源：指系統獲取的初始數據，這些數據中可能含有侵入行為信息。

（2）傳感器和事件分析器：傳感器將數據發送到分析器，通過分析處理發現異常。

（3）安全警報：分析器將異常行為生成安全警報，警報內容一般包含入侵發生時間、入侵類型以及異常行為處理方法等信息。

（4）響應器：是整個系統的核心，負責系統整體配置。

（5）反應：系統結合響應器對入侵行為進行對應處理。

1.3系統電路與軟件程序設計

綜合考慮預警信號的分析、對其他設備的控制以及抗干擾等性能，前端控制器利用STC（SysTern Chip）系統微處理器。語音芯片跳線ISD1420，在遇到攻擊時可以及時進行預警。

為保證系統穩定運行，在電路中設置用于掉電檢測與電源切換的微處理器。前端控制中心和控制室之間的數據傳輸通過GSM（Global Systemfor Mobile Communications）網絡進行。

后端控制設備為滿足網絡化要求，選擇不能缺少的計算機，經過軟件程序編寫，使該系統具有自動處理與分析控制等功能。

控制模塊軟件功能是在收到報警信息后通過訊響設備通知管理員，并將入侵信息放在設計好的號碼上。同時將報警數據歸檔存儲。此外，該軟件還可以對前端探測設備進行布防。

2基于痕跡數據的入侵人員位置實時監測方法研究

2.1入侵可能路徑估算

使用傳統方法對入侵可能路徑進行預測時，不能完全排除入侵人員偽裝的缺陷，降低預測精準度。基于此，本文利用粒子群多層解析方法對入侵人員可能通過的路徑進行預先估計。

2.1.1入侵人員異常行為特征提取

入侵行為中包括n個變量y1，y2，…，y，其中表示標準變量，可用a對其表示，因此獲得以下結論.

利用主成分分析法分析入侵人員行為特性，可構建特征權值系數矩陣，以此獲取能真實體現特征參數的多個主成分。實現步驟為：

步驟一：采集原始入侵信息，對其做規范化處理，獲取準確數據基礎;

步驟二：通過計算獲得入侵人員異常行為特征權值矩陣;

步驟三：獲得所有矩陣中的特征值，并計算與其相對的特征分量;

步驟四：得到網絡中入侵人員特征主成分，對其進行規范化，得到最終結果。

對入侵人員行為特征規范化處理流程如下：

通過下述公式計算入侵特征權值系數矩陣內存在的對角元素：

結合上述路徑構建原始種群，獲取種群適應程度函數，對于種群中全部可能入侵的路徑做交叉與變異運算，以此獲得可能入侵路徑的預測結果。

2.2痕跡數據的頻域變換

對云平臺入侵人員痕跡數據進行監測之前，將痕跡數據變換為頻域信號，并對其進行頻譜分析。頻譜分析的主要根據是頻率中心、均方根頻率以及跟方差，公式分別如下所示：74E84B52-77D2-44D7-A66C-1BCDE3321CD9

任意一個痕跡數據的頻域特性都能利用一個特征矢量對其進行表示，特征向量組成的空間稱為特征空間。代表x的某個痕跡信息信號樣本集合，經立非線性H將樣本信息信號從空間R映射到高隹特征空間R，再對該高維空間進行主成分分析。

2.3云平臺下入侵人員位置實時監測

在對云平臺入侵人員位置實時監測過程中，最為重要的環節就是計算待監測信息和痕跡信息之間的特征模糊聚類機率，需要在上述采集的痕跡信息特征基礎上，建立能夠描述模糊聚類概率的數學模型，此模型包括n個待檢測信息和p條相關程度較高的痕跡信息，構建一個n×p的矩陣，利用對其表示：

為獲得云平臺入侵過程的待監測信息與痕跡信息之間存在的聯系，對計算過程進行精簡，提高運算效率，因此對協方差矩陣做降維運算：

上述公式中，a表示矩陣相關程度系數，是權值系數。如果在滿足以上條件基礎上，z與（B）無限接近，則也無限接近。實現矩陣降維處理后，可獲得監測痕跡信息有關的節點數據，去除一些冗余數據，提高位置信息監測效率。

利用p代表云平臺人員入侵的痕跡信息數量，作為第k個掃描節點。結合相關程度把痕跡信息分為L個種類，其特征表示為網絡數據，則表示全部待檢測數據。

在判定數據是否為人侵人員位置信息時，需利用下述公式計算待監測信息與痕跡信息的特征模糊聚類概率：

公式中，q（q）表示不同類型待監測信息在監測過程中，獲得的數據與痕跡數據的特征匹配情況，q為待監測信息和入侵信息之間的匹配程度，屬于常量，能調整概率參數。如果監測信息一致，則q維持不變。以上變量的表達式分別為：

公式中，T表示中痕跡信息總量，T則表示待監測測集合中屬于痕跡信息的數量，j是待監測樣本數量。將超出設定閾值的Q數據作為入侵位置信息，以此實現入侵人員位置實時監測。

為確保入侵人員位置信息被完全監測，必須結合衡量理論進行對比分析，使其符合以下條件：

公式中，a表示痕跡信息衡量標準，在對入侵位置實時監測過程中，痕跡信息與其他信息相關程度概率之和為1，又可描述為：

實現對a的優化后，如果q（f=cosx）無限接近于1，則獲取的痕跡數據越準確，對入侵人員位置實時監測效果越好。

3仿真實驗分析

為驗證本文提出的云平臺下入侵人員位置實時監測方法在實際應用中的性能，進行一次仿真實驗分析，仿真實驗設備如圖1所示。

結合云平臺應用實際狀況，人員入侵通過傳感器光纖形成的信號波形圖如圖2所示。

經過分析，人員入侵具有如下特征：每次入侵的時間周期大約在0.5～0.6s;每次入侵持續時間在0.35s左右。

為證明痕跡數據對入侵人員位置實時監測的可重復性，在相同位置進行多次實驗，并將本文方法與文獻[1]、文獻[2]進行對比，結果如圖3所示。

從實驗結果對比圖中可以看出，本文方法監測到的位置信息與實際位置最為接近，而其他兩種方法監測到的位置和真實位置有較大差距。這是因為，在監測過程中，其方法會造成監測中斷，而本文方法監測持續性較好，能提高位置監測準確度。此外對三種方法監測延時進行對比，對比結果如表1所示。

由表1可知，本文方法對入侵人員位置監測實時性較好，在多次實驗過程中，每次延時都能控制在0.2s之內，而文獻[2]方法最高延時達到0.7s。主要是因為，本文方法監測流程簡便，減少計算量，減少延時。

4結論

隨著云平臺數據海量增長，入侵監測系統需要處理的數據是海量且高維的。為獲取入侵者更多信息，本文利用痕跡數據對云平臺入侵人員位置進行實時監測。仿真實驗證明，該方法能夠準確獲得入侵者真實位置信息，實現實時監測。在今后的研究中，將屬性約簡方法和所提方法相結合應用到入侵監測系統中，進一步控制監測誤差與實時性，使云平臺更加安全可靠。74E84B52-77D2-44D7-A66C-1BCDE3321CD9