基于統(tǒng)計(jì)學(xué)內(nèi)容與特征分析的通信信息自動(dòng)化檢測(cè)系統(tǒng)研究

魯 勇

（國(guó)網(wǎng)山南供電公司，西藏 山南 856000）

0 引 言

隨著信息技術(shù)的快速發(fā)展，互聯(lián)網(wǎng)已成為人們?nèi)粘Ｉ钪胁豢苫蛉钡囊徊糠諿1-2]。然而，互聯(lián)網(wǎng)帶來(lái)較多安全威脅，如網(wǎng)絡(luò)釣魚(yú)、網(wǎng)絡(luò)病毒、網(wǎng)絡(luò)攻擊等[3-4]。為保護(hù)通信信息的安全，國(guó)內(nèi)外研究人員陸續(xù)研究不同的異常數(shù)據(jù)檢測(cè)方法，提出如使用機(jī)器學(xué)習(xí)的自動(dòng)化檢測(cè)方法和基于數(shù)據(jù)經(jīng)驗(yàn)檢測(cè)的方法[5]。雖然這些方法取得顯著的進(jìn)展，但仍存在一些不足，如難以抵抗對(duì)抗性攻擊和實(shí)時(shí)性較差等。統(tǒng)計(jì)學(xué)作為一門(mén)應(yīng)用廣泛的學(xué)科，可以深入理解數(shù)據(jù)的分布、趨勢(shì)和異常值。而特征分析法可以提取關(guān)鍵的數(shù)據(jù)特征，用于訓(xùn)練和改進(jìn)檢測(cè)模型。因此，文章以統(tǒng)計(jì)學(xué)為出發(fā)點(diǎn)，通過(guò)統(tǒng)計(jì)學(xué)內(nèi)容與特征分析來(lái)幫助檢測(cè)系統(tǒng)識(shí)別異常的數(shù)據(jù)模式和行為，從而提高檢測(cè)的靈敏度[6-7]。文章旨在探討如何利用統(tǒng)計(jì)學(xué)和特征分析來(lái)提升通信信息自動(dòng)化檢測(cè)系統(tǒng)的能力，以更好地應(yīng)對(duì)網(wǎng)絡(luò)安全威脅。

1 基于網(wǎng)絡(luò)流量?jī)?nèi)容屬性與特征的多元相關(guān)性降維統(tǒng)計(jì)分析

統(tǒng)計(jì)分析是通過(guò)收集、整理和分析數(shù)據(jù)來(lái)找出數(shù)據(jù)背后的規(guī)律、趨勢(shì)和關(guān)系的過(guò)程[8-9]。統(tǒng)計(jì)分析可以幫助研究并理解數(shù)據(jù)所代表的現(xiàn)象，并從中得出有關(guān)該現(xiàn)象的結(jié)論。其方法主要包括描述統(tǒng)計(jì)和推斷統(tǒng)計(jì)2 個(gè)類(lèi)別，分別表示對(duì)對(duì)象內(nèi)容和特征的分析。具體的分析手段以多元統(tǒng)計(jì)分析、相關(guān)性分析和主成分分析（Principal Component Analysis，PCA）為主。多元統(tǒng)計(jì)分析研究事物中多個(gè)變量之間的相互依賴(lài)關(guān)系，相關(guān)性分析僅研究現(xiàn)象間存在的依存關(guān)系，主成分分析則是對(duì)事物對(duì)象的降維處理，以達(dá)到表征性變量分析的目的。網(wǎng)絡(luò)流量數(shù)據(jù)中的內(nèi)容屬性指網(wǎng)絡(luò)流量中的數(shù)據(jù)包的內(nèi)容，如協(xié)議類(lèi)型、數(shù)據(jù)類(lèi)型、源網(wǎng)際互連協(xié)議（Internet Protocol，IP）地址及目標(biāo)IP 地址等。特征屬性指網(wǎng)絡(luò)流量中的某些特征，如數(shù)據(jù)包的大小、延遲、帶寬等。此外，網(wǎng)絡(luò)流量是一個(gè)具有多維度的統(tǒng)計(jì)大類(lèi)。

針對(duì)多元化的網(wǎng)絡(luò)流量數(shù)據(jù)，文章利用多元相關(guān)性分析來(lái)計(jì)算網(wǎng)絡(luò)數(shù)據(jù)流量的統(tǒng)計(jì)量。統(tǒng)計(jì)量包含樣本均值、樣本方差、樣本標(biāo)準(zhǔn)差以及協(xié)方差。

樣本均值的計(jì)算式為

樣本方差的計(jì)算式為

式中：s2表示樣本方差。

樣本標(biāo)準(zhǔn)差的計(jì)算公式為

式中：s表示樣本標(biāo)準(zhǔn)差。

協(xié)方差的計(jì)算式為

結(jié)合式（1）～式（4），文章利用蒙特卡洛算法來(lái)抽取計(jì)算網(wǎng)絡(luò)流量數(shù)據(jù)中兩屬性之間的相關(guān)性。該方法的準(zhǔn)確性依賴(lài)三角形中抽樣點(diǎn)的數(shù)量，點(diǎn)數(shù)越多，估算結(jié)果通常越精確。在一個(gè)封閉區(qū)域內(nèi)，散落許多流量信息點(diǎn)。隨機(jī)抽取2 個(gè)點(diǎn)，將各自在二維空間中的橫縱坐標(biāo)取對(duì)角值，完成后進(jìn)行數(shù)值相乘，即屬性特征相乘，然后除以2 得到兩點(diǎn)屬性相關(guān)的三角形面積。三角形的面積計(jì)算公式為

式中，和分別表示第i條網(wǎng)絡(luò)流量中第j個(gè)和第k個(gè)特征。由此可知，當(dāng)j=k時(shí)，二維空間中兩特征處于同一方向位置，夾角為0。此時(shí)的面積為0，橫縱坐標(biāo)對(duì)角線上的相關(guān)點(diǎn)數(shù)即為0，表示無(wú)相關(guān)性。

為求解更高維度的網(wǎng)絡(luò)流量，研究通過(guò)PCA 進(jìn)行冗余數(shù)據(jù)剔除和數(shù)據(jù)降維，PCA 數(shù)據(jù)標(biāo)準(zhǔn)化的計(jì)算公式為

式中：X'表示原始數(shù)據(jù)；μ表示均值；σ表示標(biāo)準(zhǔn)差。通過(guò)式（6）使不同的流量特征具有相同的向量表示。完成數(shù)據(jù)降維后，將數(shù)據(jù)輸入?yún)f(xié)方差方程中進(jìn)行主成分求解，選擇其中特征值最大的特征向量。重復(fù)該操作，直到將所有的流量數(shù)據(jù)進(jìn)行求解，最后構(gòu)建成一個(gè)新的特征空間。

2 基于改進(jìn)支持向量機(jī)的通信信息自動(dòng)化檢測(cè)算法

結(jié)合降維后的通信數(shù)據(jù)流量，研究引入支持向量機(jī)（Support Vector Machine，SVM）進(jìn)行具體的流量特征分類(lèi)工作。SVM 屬于一種深受統(tǒng)計(jì)學(xué)原理和方法影響的機(jī)器學(xué)習(xí)工具，通過(guò)這些統(tǒng)計(jì)學(xué)原理，SVM 能夠有效處理高維數(shù)據(jù)。考慮異常數(shù)據(jù)特征混入特征數(shù)據(jù)庫(kù)會(huì)導(dǎo)致流量特征檢測(cè)性能下降或失敗的問(wèn)題，研究引入孤立森林（Isolation Forest，IF）算法對(duì)SVM 進(jìn)行改進(jìn)，提出一種孤立森林-支持向量機(jī)（Isolation Forest-Support Vector Machine，IF-SVM）分類(lèi)算法。首先，對(duì)輸入的流量樣本數(shù)據(jù)進(jìn)行歸一化處理，通過(guò)IF 算法計(jì)算這些流量數(shù)據(jù)中的異常點(diǎn)數(shù)。其次，通過(guò)變更點(diǎn)檢測(cè)的方式剔除這些異常點(diǎn)。最后，將這些異常點(diǎn)的特征作為標(biāo)簽進(jìn)行高維空間數(shù)據(jù)的距離分割[10-11]。該過(guò)程中IF 檢測(cè)流量異常點(diǎn)的公式為

式中：S'i'表示正常流量數(shù)據(jù)點(diǎn)的個(gè)數(shù)；x'表示預(yù)處理后的初始數(shù)據(jù)集；n'表示輸入數(shù)據(jù)的大小；s'表示異常數(shù)據(jù)點(diǎn)的存在概率。由此可知，當(dāng)S'i'從大到小排序后，其值最小時(shí)的s'(x',n')就是異常值。

文章構(gòu)建基于多元統(tǒng)計(jì)相關(guān)性降維分析和IFSVM 算法的通信信息自動(dòng)化檢測(cè)模型，如圖1 所示。

圖1 文章設(shè)計(jì)的通信信息自動(dòng)化檢測(cè)模型

由圖1 可知，首先獲取初始通信流量數(shù)據(jù)樣本，并輸入系統(tǒng)進(jìn)行數(shù)據(jù)預(yù)處理，即數(shù)據(jù)清洗和數(shù)據(jù)存儲(chǔ)，其次根據(jù)流量數(shù)據(jù)內(nèi)容和特征分別運(yùn)用統(tǒng)計(jì)學(xué)進(jìn)行統(tǒng)計(jì)量計(jì)算，并添加多元統(tǒng)計(jì)相關(guān)性分析和降維分析，最后構(gòu)建一個(gè)流量特征數(shù)據(jù)庫(kù)。該數(shù)據(jù)直接指導(dǎo)后續(xù)的流量特征檢測(cè)，通過(guò)IF-SVM 算法對(duì)檢測(cè)流量和特征庫(kù)流量進(jìn)行對(duì)比檢測(cè)，以達(dá)到數(shù)據(jù)區(qū)分的目的。

3 模型性能測(cè)試

文章采用Windows 10 的操作系統(tǒng)，中央處理器（Central Processing Unit，CPU）為Intel Core 2.5 Hz雙核，內(nèi)存為16 GB，利用MATLAB 軟件實(shí)現(xiàn)建模。引入DARPA IDS 數(shù)據(jù)集和KDD Cup 1999 數(shù)據(jù)集作為測(cè)試數(shù)據(jù)來(lái)源。兩類(lèi)數(shù)據(jù)集內(nèi)容相似，都是用于入侵檢測(cè)系統(tǒng)的數(shù)據(jù)集，分別包含約50 000 條和20 000 條網(wǎng)絡(luò)通信數(shù)據(jù)，用于研究網(wǎng)絡(luò)入侵檢測(cè)和網(wǎng)絡(luò)安全的相關(guān)問(wèn)題。同時(shí)，引入同類(lèi)型較為流行的數(shù)據(jù)統(tǒng)計(jì)降維方法，如線性判別分析法、因子分析法和獨(dú)立成分分析法，與文章提出的多元統(tǒng)計(jì)相關(guān)性降維分析方法進(jìn)行對(duì)比測(cè)試。針對(duì)相關(guān)性降維分析進(jìn)行對(duì)比測(cè)試，繪制統(tǒng)計(jì)分析空間分布圖，如圖2 所示。圖2（a）為DARPA IDS 數(shù)據(jù)集數(shù)據(jù)下的性能測(cè)試結(jié)果，圖2（b）為KDD Cup 1999 數(shù)據(jù)集數(shù)據(jù)下的性能測(cè)試結(jié)果。

圖2 不同數(shù)據(jù)統(tǒng)計(jì)降維方法的測(cè)試對(duì)比結(jié)果

由圖2 可知，兩類(lèi)數(shù)據(jù)集下，獨(dú)立成分分析法的流量數(shù)據(jù)維度最高，且流量數(shù)據(jù)多處于高離散程度，該狀態(tài)表明降維算法可能需要更多的維度來(lái)捕獲數(shù)據(jù)的多樣性和變化。綜合來(lái)看，文章提出的多元統(tǒng)計(jì)相關(guān)性降維分析下的數(shù)據(jù)內(nèi)容和數(shù)據(jù)特征都表現(xiàn)出較優(yōu)的統(tǒng)計(jì)和降維性能，且更適應(yīng)大數(shù)據(jù)內(nèi)容和數(shù)據(jù)特征的網(wǎng)絡(luò)信息檢測(cè)。

為量化信息檢測(cè)模型的性能效果，研究引入同類(lèi)型較為流行的檢測(cè)模型，如樸素貝葉斯模型、閾值模型和支持向量機(jī)模型與所提的IF-SVM 模型進(jìn)行對(duì)比。以準(zhǔn)確率、召回率、F1值及誤報(bào)率為測(cè)試指標(biāo)，對(duì)這些模型分別進(jìn)行檢測(cè)，測(cè)試結(jié)果如表1 所示。

表1 不同通信信息檢測(cè)模型的指標(biāo)測(cè)試結(jié)果

由表1 可知，兩類(lèi)不同的數(shù)據(jù)集中，綜合性能表現(xiàn)最差的是閾值模型，表現(xiàn)最佳的是文章所提的模型。其準(zhǔn)確率最高為92.4%，召回率最高為85.7%，F(xiàn)1值最高為89.1%，誤報(bào)率最低為8.4%。

由圖2 內(nèi)容和表1 數(shù)據(jù)可知，文章設(shè)計(jì)的基于多元統(tǒng)計(jì)相關(guān)性降維分析和IF-SVM 算法通信信息自動(dòng)化檢測(cè)模型具有明顯的優(yōu)越性，適合現(xiàn)階段的通信信息攻擊自動(dòng)化檢測(cè)。

4 結(jié) 論

文章借鑒統(tǒng)計(jì)學(xué)理論，聯(lián)合使用統(tǒng)計(jì)學(xué)理論中的多元統(tǒng)計(jì)分析、相關(guān)性分析和主成分分析，對(duì)通信數(shù)據(jù)流量進(jìn)行統(tǒng)計(jì)降維，同時(shí)引入IF-SVM 分類(lèi)算法模型，提出一種新型通信信息自動(dòng)化檢測(cè)模型。實(shí)驗(yàn)結(jié)果表明，多元統(tǒng)計(jì)相關(guān)性降維分析下的數(shù)據(jù)具有更低的維度和離散程度，數(shù)據(jù)狀態(tài)明顯優(yōu)于其他模型。此外，文章所提的IF-SVM 模型的準(zhǔn)確率最高為92.4%，召回率最高為85.7%，F(xiàn)1值最高為89.1%，誤報(bào)率最低為8.4%，遠(yuǎn)超于同類(lèi)型較為流行的其他模型。由此表明，文章所提的方法對(duì)提高通信信息自動(dòng)化檢測(cè)的性能具有正向作用，同時(shí)為網(wǎng)絡(luò)安全領(lǐng)域的進(jìn)一步研究提供參考。然而，此次研究暫未涉及對(duì)該模型的泛化性能測(cè)試，后續(xù)研究可設(shè)置不同的測(cè)試環(huán)境和條件，以探索該模型的最佳表現(xiàn)。