基于物聯網的IT多通道信息安全監控研究

鄭俊強，邵胤，瞿良勇

(浙江浙能天然氣運行有限公司，浙江，杭州 310000)

0 引言

互聯網的迅速發展導致其安全問題日益增長。IT網絡的安全問題既影響個體用戶的網絡環境[1-3]，又威脅企業與政府等機構的信息安全，IT網絡信息安全出現問題，既會導致個體用戶的個人信息遭到泄露，還會導致企業與政府等機構的機密文件外泄，嚴重影響企業及政府等機構的經濟效益[4]。為避免出現信息安全問題，便需研究信息安全監控方法，丁橋[5]與沈衛文等[6]分別研究了IDC信息安全監測體系與數字化船舶通信網絡監測信息安全方法，確保IDC業務與船舶通信網絡信息的安全。物聯網屬于一種嵌入式芯片，具備全方位感知信息、安全可靠的信息傳輸與智能處理信息及執行功能，廣泛應用于各個領域[7]。為此研究基于物聯網的IT多通道信息安全監控方法，提升信息安全監控的準確性，及時發現并解決安全漏洞，確保IT網絡環境的使用安全，避免出現信息泄露問題，為IT網絡的長遠發展奠定基礎。

1 基于物聯網的IT多通道信息安全監控方法

1.1 監控方法總體結構

利用物聯網的物理安全、信息采集、傳輸與處理安全的特點實現IT多通道信息安全監控。基于物聯網的IT多通道信息安全監控方法的總體結構如圖1所示。

物聯網感知層通過感知功能采集及識別信息[8]，物聯網感知層主要利用射頻識別技術完成IT多通道信息采集與識別等，通過融合物理方法與密碼機制監控IT多通道信息采集的安全。

圖1 IT多通道信息安全監控方法的總體結構

物聯網網絡層具備信息轉發與傳輸功能，網絡層利用互聯網將感知層采集的IT多通道信息傳輸至應用層，為IT多通道信息安全監控的智能處理與分析提供信息傳輸的橋梁[9]。通過采用IPsec協議的IPv6技術對IT多通道信息數據包實施高強度安全處理，利用IPv6技術中數據源地址驗證與數據機密性等安全服務監控信息傳輸的安全。

物聯網應用層包含業務管理與安全態勢評估等技術，充分融合信息技術和行業專業技術[10-11]。利用多通道信息安全態勢評估方法監控信息處理的安全。

1.2 IT多通道信息安全態勢評估

1.2.1 IT多通道信息安全態勢指標

按照國家互聯網應急中心安全態勢周報內的規則劃分IT多通道信息安全態勢指標的類別，分類結果如圖2所示。

圖2 IT多通道信息安全態勢指標

基于互聯網病毒活動情況的指標代表因病毒與惡意軟件等攻擊手段互聯網所承受的攻擊程度；基于網站安全情況的指標代表所監控IT網站的安全情況；基于安全事件情況的指標代表受到攻擊后造成互聯網出現安全問題的事件總次數。

1.2.2 IT多通道信息安全態勢特征提取

利用深度卷積神經網絡提取多通道信息安全態勢特征，深度卷積神經網絡通過卷積核和前一層連接的特征完成特征提取，深度卷積神經網絡的操作過程如圖3所示。

圖3 深度卷積神經網絡的操作過程

將有關IT多通道信息安全態勢數據作為輸入序列B，令其與卷積核K的維度分別是(1,Sb)與(1,Sk)，深度神經網絡的卷積方法如下：

(1)

式中，j表示安全態勢特征位置，j的約束條件是1≤j≤Sb-Sk+1。

深度卷積神經網絡通過安全態勢指標的位置信息獲取各指標間的聯系，有效提取IT多通道信息安全態勢特征。為克服深度卷積神經網絡不同類指標混合的問題，在深度卷積神經網絡中引入多通道機制，確保各安全態勢特征的獨立性與高質量[12]。

1.2.3 IT多通道信息安全態勢特征融合

利用自適應加權的特征融合方案融合深度神經網絡提取的IT多通道信息安全態勢特征，該方案的基本思想是利用神經網絡的自主學習自適應地為IT多通道安全態勢特征分配權重[13]，再將初始特征與權重相乘，最后實施融合，自適應加權的特征融合方案的流程如圖4所示。

圖4 自適應加權的特征融合方案的流程圖

自適應加權的特征融合方案的具體步驟如下。

步驟1 計算所提取的IT多通道信息安全態勢特征的每個通道權重。令安全態勢特征數量是L，安全態勢特征通道數量是H，各特征圖的尺寸是L×H，利用深度神經網絡實施卷積操作，卷積操作的內容是3個特征圖和卷積核尺寸是1的卷積層，卷積操作的作用是減少安全態勢特征通道數量，將各特征圖的尺寸變更成L×H1。在特征圖的維度上，通過concat融合方式拼接3個特征圖的特征通道，將各特征圖的尺寸變更成L×H2，H2=3×H1；再利用一個卷積核尺寸是1的卷積層縮減目前特征圖內安全態勢特征通道數量[14]，獲取3個通道安全態勢特征所對應的3個權重值；然后計算特征圖安全態勢特征數量維度的平均值，獲取1×3矩陣，這個矩陣內的各個值即3類安全態勢特征的權重。

在深度卷積神經網絡內引入一個softmax層，由soft-max函數求解的最終權重值可確保該值符合約束條件α+β+γ=1，同時α,β,γ∈[0,1]。softmax函數的表達公式如下：

(2)

利用softmax函數計算通道1的最終權重α的公式如下：

(3)

式中，1×3矩陣內原始的3個數值分別是μα、μβ與μγ；同理獲取通道2與通道3的最終權重β與γ。

步驟2 3個通道的安全態勢特征與最終自適應權重值相乘后，利用concat方法融合3個通道的安全態勢特征。

1.2.4 評估安全態勢

利用基于bagging集成的多通道-深度卷積神經網絡模型評估IT多通道信息安全，評估流程如圖5所示。

圖5 評估流程

基于bagging集成的多通道深度卷積神經網絡模型評估IT多通道信息安全的具體步驟如下。

步驟1 在融合后的IT多通道信息安全態勢特征訓練數據集內隨機采樣獲取子訓練數據集，子訓練集的數量是n。

步驟2 在多通道-深度卷積神經網絡評估模型中利用n個子訓練集訓練基分類器，共包含n個基分類器且這些基分類器均不相同。

(4)

(5)

2 實驗分析

以某區域互聯網為實驗對象，該區域互聯網包含3個通道，利用本文方法監控該區域IT多通道信息安全，測試本文方法的有效性與準確性。

利用本文方法采集該區域互聯網有關3個通道信息安全的數據，構建數據集并劃分該數據集形成3個樣本，其中通道1采集基于互聯網病毒活動情況的指標，通道2采集基于網站安全情況的指標，通道3采集基于安全事件情況的指標，計算各樣本內3個通道的權重完成特征加權融合，再計算3個通道信息安全態勢指標的安全態勢值，獲取安全態勢分類結果即監控結果，各樣本內3個通道的權重、安全態勢值與安全態勢分類結果如表1、表2和表3所示。

表1 各樣本內3個通道的權重

表2 各樣本的信息安全態勢指標的安全態勢值

分析表1、表2和表3可知，樣本1內基于通道2的基于網站安全情況指標與通道3的基于安全事件情況指標權重值較高，說明這2個指標對IT多通道信息安全影響較大，結合表2和表3可知，樣本1的整體監控結果是差，與實際監控結果一致，需要重點加強IT網站的防御建設；樣本2內通道1的基于互聯網病毒活動情況指標的權重最高，說明該指標對IT多通道信息安全影響最大，結合表2和表3可知，樣本1的整體監控結果是優，與實際監控結果一致，需要重點加強病毒的監控與查殺功能；樣本3內通道1的基于互聯網病毒活動情況指標與通道2的基于網站安全情況指標的權重較高，說明這2個指標對IT多通道信息安全影響較大，結合表2和表3可知，樣本3的整體監控結果是優，與實際監控結果一致，需要重點加強病毒監控及查殺和IT網站防御功能。實驗證明：本文方法能夠有效監控IT多通道信息安全，且準確性高。

表3 監控結果

利用本文方法與文獻[5]的IDC信息安全監測方法、文獻[6]的數字化船舶通信網絡監測方法對該區域互聯網多通道信息安全實施監控，測試3種方法監控的準確率與AUC(area under roc curve)值。其中,AUC值屬于衡量監控方法好壞的一個標準，AUC值的取值區間是[0.5,1]，該值越高代表監控方法的真實性越高，測試結果如圖6所示。

圖6 3種方法的AUC值

分析圖6可知，隨著數據量的不斷增加，3種方法的AUC值均呈現不同程度的下降趨勢；本文方法的AUC值下降幅度均明顯低于其余2種方法，本文方法的平均AUC值為0.95，其余2種方法的平均AUC值分別是0.76與0.80，AUC值越接近1，則監控方法的真實性越高，這就說明本文方法的真實性較高。實驗證明：本文方法的監控具備較高的真實性。

3 總結

IT網絡多通道信息安全研究工作處于發展狀態，人們對IT網絡的實際需求不斷擴大，導致更多的安全隱患出現，這就需要時刻監控其信息安全，研究基于物聯網的IT多通道信息安全監控方法，提升信息安全監控的準確性，及時發現安全問題，防止信息泄露，確保信息安全，促進IT網絡的穩定發展。