前言:想要寫出一篇引人入勝的文章?我們特意為您整理了數(shù)據(jù)挖掘下軌道交通信息安全檢測淺析范文,希望能給你帶來靈感和參考,敬請閱讀。
摘要:針對列車運(yùn)行控制系統(tǒng)的通信網(wǎng)絡(luò)安全問題,提出了一種基于數(shù)據(jù)挖掘的信息安全檢測方案。以數(shù)據(jù)流為研究對象,結(jié)合軌道交通信息系統(tǒng)中異常數(shù)據(jù)占比少的特點(diǎn),提出單分類支持向量機(jī)模型,采用超平面法,將正常數(shù)據(jù)和入侵?jǐn)?shù)據(jù)進(jìn)行分類,實(shí)現(xiàn)網(wǎng)絡(luò)入侵行為的有效檢測。仿真結(jié)果表明,在不同數(shù)據(jù)流量情況下,檢測模型均能表現(xiàn)出較強(qiáng)的檢測能力。
關(guān)鍵詞:數(shù)據(jù)挖掘;網(wǎng)絡(luò)安全;軌道交通;檢測;支持向量機(jī)
0引言
隨著計(jì)算機(jī)、通信網(wǎng)絡(luò)、控制技術(shù)的發(fā)展,列車運(yùn)行控制系統(tǒng)(communicationsbasedtraincontrolsystem,CBTC)融入了更多的外圍設(shè)備,自動化和信息化水平提高的同時(shí),其網(wǎng)絡(luò)安全防護(hù)系統(tǒng)面臨著更高的挑戰(zhàn)[1]。由于城市軌道交通的數(shù)據(jù)通信系統(tǒng)(datacommunicationsystem,DCS)與傳統(tǒng)網(wǎng)絡(luò)系統(tǒng)的應(yīng)用特性存在差異,傳統(tǒng)IT網(wǎng)絡(luò)入侵檢測方案無法完全滿足軌道交通信息安全要求,目前對CBTC系統(tǒng)的網(wǎng)絡(luò)入侵檢測問題的研究仍不夠成熟。文中結(jié)合軌道交通信息系統(tǒng)中異常數(shù)據(jù)占比少的特點(diǎn),提出了一種基于單分類支持向量機(jī)(oneclasssupportvectormachines,OCSVM)的分類模型,可有效實(shí)現(xiàn)正常數(shù)據(jù)和入侵?jǐn)?shù)據(jù)的準(zhǔn)確分離識別。
1數(shù)據(jù)通信網(wǎng)絡(luò)結(jié)構(gòu)
DCS是列車運(yùn)行自動控制系統(tǒng)的重要子系統(tǒng)之一,保障DCS系統(tǒng)的信息安全對軌道交通系統(tǒng)安全運(yùn)行具有重要意義。DCS系統(tǒng)主要由骨干網(wǎng)絡(luò)和無線網(wǎng)絡(luò)2部分構(gòu)成,其網(wǎng)絡(luò)結(jié)構(gòu)[2]如圖1所示。其中,骨干網(wǎng)絡(luò)主要負(fù)責(zé)為地面設(shè)備提供信息數(shù)據(jù)傳輸?shù)耐ǖ?,一般可采取同步序列組網(wǎng),或者利用交換技術(shù)構(gòu)成環(huán)形網(wǎng)絡(luò)。無線網(wǎng)絡(luò)利用空間媒介進(jìn)行信息傳輸,一般使用WLAN設(shè)備實(shí)現(xiàn)無線網(wǎng)絡(luò)接入,通信協(xié)議采用IEEE802.11,實(shí)現(xiàn)數(shù)據(jù)的高速雙向?qū)崟r(shí)傳輸。為了保證通信的穩(wěn)定性和安全性,DCS通信網(wǎng)絡(luò)多采取冗余環(huán)形結(jié)構(gòu),若一個(gè)子網(wǎng)絡(luò)發(fā)生數(shù)據(jù)傳輸故障時(shí),數(shù)據(jù)仍可以利用其它子網(wǎng)絡(luò)進(jìn)行傳輸,以保證網(wǎng)絡(luò)系統(tǒng)的正常運(yùn)行。地面設(shè)備的骨干網(wǎng)絡(luò)同樣分為多個(gè)不同類型的子網(wǎng)絡(luò),其中包括2個(gè)信號網(wǎng)絡(luò),2個(gè)ATS網(wǎng),1個(gè)維護(hù)網(wǎng),信號網(wǎng)絡(luò)和ATS網(wǎng)絡(luò)均進(jìn)行了冗余設(shè)計(jì)。DCS網(wǎng)絡(luò)安全隱患主要來源于網(wǎng)絡(luò)設(shè)備、操作系統(tǒng)和通信協(xié)議等,主要受到的網(wǎng)絡(luò)攻擊可分為DOS攻擊和數(shù)據(jù)欺騙,DOS攻擊主要是指對服務(wù)器進(jìn)行攻擊,致使其無法正常運(yùn)行,例如語義攻擊和暴力攻擊。數(shù)據(jù)欺騙主要是利于系統(tǒng)和通信協(xié)議的漏洞,通過信息欺騙的方式竊取數(shù)據(jù)信息,或者進(jìn)行惡意的信息篡改。
2基于數(shù)據(jù)挖掘的信息檢測
數(shù)據(jù)挖掘主要是指利用數(shù)據(jù)處理算法從大量數(shù)據(jù)中發(fā)掘隱含信息,其在特征提取方面表現(xiàn)出良好的性能,在信息安全檢測方面得到廣泛應(yīng)用。通過數(shù)據(jù)挖掘檢測方法對大量的網(wǎng)絡(luò)數(shù)據(jù)和訪問記錄進(jìn)行訓(xùn)練,實(shí)現(xiàn)檢測模型的建模和參數(shù)整定,利用訓(xùn)練獲得的檢測模型對實(shí)時(shí)數(shù)據(jù)進(jìn)行檢測篩選,挖掘出隱藏的網(wǎng)絡(luò)入侵行為[3]。數(shù)據(jù)挖掘是以數(shù)據(jù)流量為研究對象,通過對正常數(shù)據(jù)和異常數(shù)據(jù)的分析,提取出隱藏在數(shù)據(jù)中的規(guī)律,從而實(shí)現(xiàn)對入侵行為的辨別,網(wǎng)絡(luò)入侵檢測流程如圖2所示。常用的檢測算法包括分類、關(guān)聯(lián)分析、聚類等。其中,分類算法主要原理是利用分類模型對數(shù)據(jù)進(jìn)行預(yù)測,將數(shù)據(jù)分割判定為正?;蛘弋惓深悾潢P(guān)鍵問題在于分類模型的構(gòu)建和參數(shù)整定,常用的分類方法包括最近鄰分類、決策樹分類、人工神經(jīng)網(wǎng)絡(luò)、支持向量機(jī)等[4]。由于軌道交通網(wǎng)絡(luò)通信中,正常數(shù)據(jù)占有的比例非常大,入侵?jǐn)?shù)據(jù)僅占有極少的比例,訓(xùn)練樣本具有數(shù)據(jù)量小的特點(diǎn),而基于支持向量機(jī)的分類模型無需大容量的訓(xùn)練數(shù)據(jù),更適用于軌道交通網(wǎng)絡(luò)的通信數(shù)據(jù)特點(diǎn)。
3基于OCSVM算法的分類模型
DCS信息網(wǎng)絡(luò)系統(tǒng)的數(shù)據(jù)流和通信周期比較穩(wěn)定,并且具備一定的規(guī)律性,采集到的數(shù)據(jù)大多為正常的數(shù)據(jù),僅有非常小的數(shù)據(jù)量為異常的數(shù)據(jù),這一特點(diǎn)為異常檢測提供了比較好的檢測環(huán)境,如果能夠?qū)φ?shù)據(jù)量構(gòu)建準(zhǔn)確的模型,即可實(shí)現(xiàn)對異常行為的檢測。單分類支持向量機(jī)(OCS-VM)算法是一種基于支持向量機(jī)的特殊二分類模型,主要通過尋找一個(gè)超平面實(shí)現(xiàn)精準(zhǔn)分類,只需具備一類樣本即可實(shí)現(xiàn)模型訓(xùn)練[5]。超平面法是利用核函數(shù)將輸入數(shù)據(jù)空間映射到高斯空間中,在映射的高斯空間中尋找超平面,較理想的超平面應(yīng)最大限度將樣本點(diǎn)和原點(diǎn)進(jìn)行分開,超平面示意圖[6-7]見圖3。超平面的求解式為式(1),設(shè)輸入的訓(xùn)練樣本為x1,…,xl∈X,其中X→H表示輸入空間向高斯空間進(jìn)行映射,ω表示超平面的法向量,ρ表示圖3超平面法超平面的偏移量,ξ表示松弛系數(shù),反應(yīng)樣本符合約束條件的程度。v為權(quán)衡系數(shù),取值范圍為(0,1],用于對支持向量的比例進(jìn)行調(diào)節(jié)。另外加入Lagrange算子實(shí)現(xiàn)對超平面的求解[6],La-grange算子[8]見式(2),選用的高斯核函數(shù)為式(3):K(xi,xj)=〈φ(xi),φ(xj)〉=exp(-gxi-xj2)(3)通過計(jì)算得到最終的決策函數(shù)為式(4),將采集到的數(shù)據(jù)作為樣本輸入到上述檢測模型,訓(xùn)練流程如圖4所示。其中,數(shù)據(jù)預(yù)處理環(huán)節(jié)主要是對原始數(shù)據(jù)進(jìn)行特征提取和歸一化處理,使得數(shù)據(jù)格式符合算法數(shù)據(jù)格式要求。其次是對數(shù)據(jù)降維處理,提取出具備統(tǒng)計(jì)意義的特征,降低數(shù)據(jù)冗余性,從而提升訓(xùn)練速度[9-10]。然后是對模型參數(shù)進(jìn)行優(yōu)化調(diào)整,特別是v和ρ2個(gè)最為重要的參數(shù),其對模型準(zhǔn)確性的影響非常大。最后,利用測試數(shù)據(jù)集對訓(xùn)練所得到的模型進(jìn)行驗(yàn)證。
4仿真結(jié)果
由于軌道交通客流量分早晚高峰期和平峰期,列車的發(fā)車時(shí)間間隔也隨客流量變化而發(fā)生變化,不同客流量期間的數(shù)據(jù)通信流量也是動態(tài)變化的。為了模擬不同發(fā)車時(shí)間的間隔中對數(shù)據(jù)流量的檢測,模擬了3組不同發(fā)車時(shí)間間隔的數(shù)據(jù)樣本,并在樣本中加入了洪水攻擊型數(shù)據(jù),數(shù)據(jù)樣本如表1所示。將3組數(shù)據(jù)綜合在一起構(gòu)成數(shù)據(jù)輸入集合,將綜合后的數(shù)據(jù)一部分用于訓(xùn)練,另一部分作為測試集合,按照異常檢測模型流程對模型進(jìn)行訓(xùn)練并驗(yàn)證。將3組數(shù)據(jù)輸入訓(xùn)練獲得的檢測模型,測試仿真結(jié)果見表2。由仿真結(jié)果可見,在不同數(shù)據(jù)流量情況下,檢測模型均能表現(xiàn)出較強(qiáng)的檢測能力,對攻擊數(shù)據(jù)無漏檢情況,對正常數(shù)據(jù)的平均誤報(bào)率僅為1.01%,平均檢測時(shí)間為4.61ms,滿足網(wǎng)絡(luò)信息安全檢測指標(biāo)要求,驗(yàn)證了模型的可靠性和高效性。
5總結(jié)
城市軌道交通信息安全是列車正常安全運(yùn)行和信息數(shù)據(jù)安全的有力保障,其中網(wǎng)絡(luò)入侵行為檢測是信息安全系統(tǒng)中最為重要的問題之一,目前對其檢測方法的研究仍不夠完善?;跀?shù)據(jù)挖掘的檢測方案可作為傳統(tǒng)網(wǎng)絡(luò)安全防護(hù)的補(bǔ)充,以提升網(wǎng)絡(luò)信息系統(tǒng)抵御網(wǎng)絡(luò)入侵能力,通過優(yōu)化OCSVM模型參數(shù)可進(jìn)一步降低其誤報(bào)率,可對該問題作進(jìn)一步深入研究,以提升檢測性能。
作者:王瑋 龐婷婷 單位:西安交通工程學(xué)院交通運(yùn)輸學(xué)院