數據挖掘的船舶通信網絡非法入侵智能檢測方法

譚韶生，夏旭

(1.中南大學，湖南 長沙 410007；2.湖南工業職業技術學院，湖南 長沙 410208；3.湖南安全技術職業學院，湖南 長沙 410151)

0 引 言

船舶通信網絡對于船舶航行安全保障產生重要影響。在網絡通信量海量提升的條件下，船舶通信網絡在實際運行過程中有較大概率受到非法入侵攻擊，由此造成船舶通信網絡安全威脅。隨著船舶航行對通信網絡依賴程度的提升，對于船舶通信網絡安全性提出更高要求。因此研究一種新的檢測方法，保障船舶通信網絡安全具有重要意義。

謝雨飛等在入侵檢測方法研究中引入隱馬爾可夫模型，該方法在實際應用過程中的誤警率較高。楊彥榮等利用生成對抗網絡與粒子群優化極限學習機算法進行網絡入侵檢測，該方法在實際應用過程具有較高的復雜度。陳卓等將卷積神經網絡引入網絡入侵檢測問題中，該方法的主要缺陷體現在不易收斂、學習效率較差兩方面。針對上述問題，研究基于數據挖掘的船舶通信網絡非法入侵智能檢測方法，并通過實驗過程研究本文方法的應用性能。

1 船舶通信網絡非法入侵智能檢測方法

1.1 基于數據挖掘的非法入侵智能檢測模型構建

根據數據挖掘技術特征與船舶通信網絡運行狀態，構建基于數據挖掘的船舶通信網絡非法入侵智能檢測模型，該模型融合了協議分析、數據挖掘與規則對比等不同技術。圖1 為基于數據挖掘的船舶通信網絡非法入侵智能檢測模型整體結構。基于數據挖掘的船舶通信網絡非法入侵智能檢測模型主要分為3 個部分，第1 部分是歷史數據處理部分、第2 部分是實時數據處理部分、第3 部分是檢測響應部分。

圖1 基于數據挖掘的船舶通信網絡非法入侵智能檢測模型整體結構Fig.1 Overall structure of intelligent detection model for illegal intrusion in ship communication network based on Data Mining

關聯規則挖掘與分類挖掘是最為關鍵的2 個環節，針對這2 個環節進行詳細分析。

1.2 非法入侵行為關聯規則挖掘

船舶通信網絡非法入侵智能檢測模型內，關聯規則挖掘的實現過程分為2 個環節，分別是規則的學習環節與運用學習到的規則進行檢測的環節。圖2 為船舶通信網絡非法入侵智能檢測模型內非法入侵行為關聯規則挖掘實現過程。

圖2 非法入侵行為關聯規則挖掘過程Fig.2 Association rule mining process of illegal intrusion

學習環節中，針對船舶通信網絡用戶數據包內所包含的用戶數據，利用數據挖掘算法中的關聯規則挖掘分析算法，挖掘船舶通信網絡用戶正常行為條件下數據間的相關性，獲取船舶通信網絡用戶數據關聯規則集。采用相應算法對關聯規則集內的各規則進行過濾處理，清除其中所包含的無用和不適用規則，提升關聯規則集對于非法入侵檢測的適用度，并以此作為船舶通信網絡非法入侵檢測的標準。

應用環節中，針對待檢測的用戶行為數據，在檢測規則集內確定是否存在符合要求的規則，以此檢測船舶通信網絡的非法入侵行為。確定符合要求的規則的過程即非法入侵檢測過程中的數據分析過程，規則有效性對于最終非法入侵檢測結果的準確性產生直接影響。

關聯規則挖掘的主要目的是在船舶通信網絡用戶數據包內挖掘數據間的關聯。關聯規則可通過下式描述：

式中：

X

和

Y

均為船舶通信網絡用戶數據，其所描述的符合

X

的條件大多也同時符合

Y

。以

I

={

i

,

i

,

i

,···,

i

}表 示項的集合，

J

表示船舶通信網絡數據庫中用戶行為數據集合，其中各用戶行為數據

R

是項的集合，

R

?

I

。各用戶行為數據均由一個標識符，以

R

IJ

表示。以

Q

表示一個船舶通信網絡用戶行為數據集合，

Q

內包含

Q

。當且僅當

Q

?

R

。基于式(1)的關聯規則表達式，其中

Q

?

I

，

B

?

I

(

B

為另一個船舶通信網絡用戶行為數據集合)，同時

Q

∩

B

=Φ。船舶通信網絡用戶行為數據集

J

內規則

Q

?

B

成立，若

J

內不僅存在

Q

內的船舶通信網絡用戶行為數據，還存在

B

內的船舶通信網絡用戶行為數據，那么可通過

P

(

B

|

Q

)表示條件概率。

s

和

c

分別表示支持度話閾值和置信度閉值，同時符合

s

和

c

的規則即為強規則。

1.3 基于樸素貝葉斯算法的非法入侵分類器構建

由于船舶通信網絡用戶數據規模較小，因此選用以古典數據概率為基礎的樸素貝葉斯算法對用戶數據進行分類，實現非法入侵用戶分類檢測。樸素貝葉斯分類算法針對待分類的船舶通信網絡用戶數據，確定在此數據產生的條件下產生不同類別的概率，產生概率最大的概率即為該船舶通信網絡用戶數據所屬類別?；跇闼刎惾~斯分類算法的船舶通信網絡用戶數據的分類過程實現可分為3 個環節，具體描述如圖3所示。

圖3 樸素貝葉斯分類算法處理數據流程Fig.3 Data processing flow of naive Bayesian classification algorithm

第1 環節是樸素貝葉斯分類算法實現的基礎，具體功能為依照實際狀態判斷特征屬性，同時分類部分待分類船舶通信網絡用戶數據，構建訓練樣本集合。此環節對船舶通信網絡用戶數據分類的影響較為顯著。所生成分類器的質量受特征屬性與訓練樣本質量影響顯著。

第2 環節的主要工作為生成分類器，確定不同非法入侵行為類別在訓練樣本內的出現概率和不同特征屬性對不同非法入侵行為類別的條件概率，同時存儲結果。

第3 環節中通過所構建的貝葉斯分類器對待分類的船舶通信網絡用戶數據實施分類，輸入的是分類器與待分類的船舶通信網絡用戶數據，輸出待分類的船舶通信網絡用戶數據同非法入侵行為類別間的映射關系。

2 結果與分析

為驗證本文所研究的基于數據挖掘的船舶通信網絡非法入侵智能檢測方法在實際非法入侵監測中的應用效果，以某型號遠洋船舶為研究對象，采集研究對象2019 年、2020 年和2021 年的通信網絡用戶數據，生成3 個數據集合。采用本文方法對3 個測試集合內的數據進行分析，檢測其中所包含的非法入侵行為。

2.1 測試集合介紹

各數據集內均包含80 000 條研究對象通信網絡用戶數據，圖4 為3 個數據集合內數據信息的具體情況。

圖4 各數據集合內數據信息清理Fig.4 Data information cleaning in each data set

以2019 年、2020 年的數據集合為訓練集，將2021 年的數據集合作為測試集，圖5 為各數據集內非法入侵行為劃分情況。

圖5 各數據集內非法入侵行為劃分Fig.5 Classification of illegal intrusion behaviors in each data set

2.2 實驗結果

在測試集內隨機選取12 條數據，采用本文方法對所選數據進行非法入侵行為智能檢測，將本文方法檢測結果與這些數據實際非法入侵行為類型進行對比，所得結果如表1 所示。分析表1 可得，采用本文方法對所選數據的行為類別進行檢測時，除第8 條數據檢測結果有所偏差外，其余數據檢測檢測全部正確。

表1 非法入侵行為檢測結果Tab.1 Illegal intrusion detection results

為充分說明本文方法的應用性能，采用本文方法對測試集中全部數據進行監測，所得結果如表2 所示。分析表2 能夠得到，采用本文方法對測試集內的數據進行檢測，對正常行為與非法入侵行為的檢測準確度分別為98.98%和98.25%，而針對不同非法入侵類別的檢測精度均高于97%。由此可知，本文方法對于研究對象通信網絡非法入侵具有較高的檢測精度。

表2 測試集數據檢測結果Tab.2 Test results of test set data

3 結 語

本文研究基于數據挖掘的船舶通信網絡非法入侵智能檢測方法，利用數據挖掘技術中的關聯規則挖掘算法與分類挖掘算法挖掘船舶通信網絡用戶行為數據間的關聯性與非法入侵行為類別。實驗結果表明，本文方法具有較好的應用性能。當前本文方法應用中的關鍵技術還需深度分析，數據挖掘技術在入侵檢測中的應用具有一定的復雜性，在后續的研究中需逐步完善。