呂鋒

關(guān)鍵詞：云平臺(tái);入侵人員位置;實(shí)時(shí)監(jiān)測(cè);痕跡數(shù)據(jù);粒子群多層解析法存。隨著入侵人員利用的技術(shù)與手段越來(lái)越先進(jìn)，入侵越來(lái)越具有無(wú)邊界、隱藏性與突發(fā)性等特征，云平臺(tái)所面臨的安全挑戰(zhàn)日益嚴(yán)峻。因此，網(wǎng)絡(luò)安全受到人們廣泛重視，研究云平臺(tái)下入侵檢測(cè)技術(shù)也變得十分有意義。

文獻(xiàn)[1]提出基于信道狀態(tài)信息相位差的人員入侵監(jiān)測(cè)方法。分析信道狀態(tài)信息相位差的可行性，通過(guò)輕量級(jí)指標(biāo)對(duì)無(wú)線環(huán)境狀態(tài)變化進(jìn)行感知;采用遞歸量化分析法選擇靜止環(huán)境下的子載波，使用離散小波變換獲取頻率信號(hào)，進(jìn)而判斷出是否有人員入侵以及入侵位置。文獻(xiàn)[2]提出多維測(cè)量信息的壓縮感知多目標(biāo)無(wú)源被動(dòng)定位方法。在壓縮感知架構(gòu)下通過(guò)多維測(cè)量信息頻率分集改善定位精度與魯棒性;結(jié)合鞍面模型構(gòu)建無(wú)源字典，將無(wú)源定位問(wèn)題轉(zhuǎn)換為多測(cè)量向量聯(lián)合稀疏恢復(fù)問(wèn)題;再利用多維稀疏貝葉斯學(xué)習(xí)方法估計(jì)入侵人員位置向量。但是上述兩種方法監(jiān)測(cè)入侵人員位置與實(shí)際位置吻合度較低，監(jiān)測(cè)延時(shí)較高，導(dǎo)致入侵人員位置監(jiān)測(cè)效果不理想。

針對(duì)以上方法存在的弊端，提出了一種基于痕跡數(shù)據(jù)的入侵人員位置實(shí)時(shí)監(jiān)測(cè)方法。該方法將采集到的痕跡信息變換為頻域信號(hào)，并獲取監(jiān)測(cè)信息與痕跡信息之間模糊聚類概率，結(jié)合衡量理論確保入侵人員位置信息被完整監(jiān)測(cè)。

1云平臺(tái)入侵監(jiān)測(cè)需求分析與系統(tǒng)設(shè)計(jì)

1.1監(jiān)測(cè)需求分析與模型建立

云平臺(tái)具有計(jì)算能力強(qiáng)、規(guī)模大與高性能等特征，在建立監(jiān)測(cè)系統(tǒng)模型時(shí)，需滿足如下基本要求：

（1）入侵監(jiān)測(cè)模型必須實(shí)時(shí)監(jiān)測(cè)出所有云環(huán)境下的攻擊行為特性，不但要監(jiān)測(cè)主機(jī)遭到的攻擊行為，還要監(jiān)測(cè)出云漏洞攻擊、非法訪問(wèn)等云平臺(tái)特有攻擊行為。

（2）云平臺(tái)為用戶提供的網(wǎng)絡(luò)數(shù)據(jù)是實(shí)時(shí)變化的，因此監(jiān)測(cè)模型需要具備可擴(kuò)展性，以提高對(duì)云平臺(tái)的適應(yīng)性。

（3）因?yàn)樵破脚_(tái)具有復(fù)雜性與無(wú)法預(yù)知等特點(diǎn)，入侵監(jiān)測(cè)模型需要具備自學(xué)習(xí)性，可以持續(xù)監(jiān)測(cè)新型入侵方式，這就要求設(shè)計(jì)合理的入侵監(jiān)測(cè)算法來(lái)改善監(jiān)測(cè)效率。

（4）云平臺(tái)屬于一個(gè)虛擬化、異構(gòu)化的環(huán)境，入侵人員監(jiān)測(cè)模型必須監(jiān)控虛擬網(wǎng)絡(luò)且獲取虛擬機(jī)的通信數(shù)據(jù)來(lái)全面監(jiān)測(cè)入侵行為。

（5）因?yàn)樵破脚_(tái)存在大量攻擊行為，所以每個(gè)監(jiān)測(cè)系統(tǒng)之間需要相互連通、協(xié)同合作來(lái)阻止入侵攻擊。

該監(jiān)測(cè)模型將云平臺(tái)劃分為若干區(qū)域，在不同區(qū)域中設(shè)計(jì)單獨(dú)監(jiān)測(cè)代理，且放置一個(gè)對(duì)每個(gè)區(qū)域進(jìn)行集中管理的中央控制器。區(qū)域監(jiān)測(cè)系統(tǒng)中包括云控制器與主機(jī)監(jiān)測(cè)代理。云控制器負(fù)責(zé)對(duì)主機(jī)監(jiān)測(cè)代理提交的結(jié)果進(jìn)行綜合分析，判定是否存在局部范圍的網(wǎng)絡(luò)入侵并提出相應(yīng)措施，再將結(jié)果提交給中央控制器。

1.2入侵人員位置監(jiān)測(cè)系統(tǒng)結(jié)構(gòu)設(shè)計(jì)

雖然入侵監(jiān)測(cè)系統(tǒng)能從不同方面劃分為多種類型，但是整體結(jié)構(gòu)基本相同。主要包括以下基本組件：

（1）數(shù)據(jù)源：指系統(tǒng)獲取的初始數(shù)據(jù)，這些數(shù)據(jù)中可能含有侵入行為信息。

（2）傳感器和事件分析器：傳感器將數(shù)據(jù)發(fā)送到分析器，通過(guò)分析處理發(fā)現(xiàn)異常。

（3）安全警報(bào)：分析器將異常行為生成安全警報(bào)，警報(bào)內(nèi)容一般包含入侵發(fā)生時(shí)間、入侵類型以及異常行為處理方法等信息。

（4）響應(yīng)器：是整個(gè)系統(tǒng)的核心，負(fù)責(zé)系統(tǒng)整體配置。

（5）反應(yīng)：系統(tǒng)結(jié)合響應(yīng)器對(duì)入侵行為進(jìn)行對(duì)應(yīng)處理。

1.3系統(tǒng)電路與軟件程序設(shè)計(jì)

綜合考慮預(yù)警信號(hào)的分析、對(duì)其他設(shè)備的控制以及抗干擾等性能，前端控制器利用STC（SysTern Chip）系統(tǒng)微處理器。語(yǔ)音芯片跳線ISD1420，在遇到攻擊時(shí)可以及時(shí)進(jìn)行預(yù)警。

為保證系統(tǒng)穩(wěn)定運(yùn)行，在電路中設(shè)置用于掉電檢測(cè)與電源切換的微處理器。前端控制中心和控制室之間的數(shù)據(jù)傳輸通過(guò)GSM（Global Systemfor Mobile Communications）網(wǎng)絡(luò)進(jìn)行。

后端控制設(shè)備為滿足網(wǎng)絡(luò)化要求，選擇不能缺少的計(jì)算機(jī)，經(jīng)過(guò)軟件程序編寫，使該系統(tǒng)具有自動(dòng)處理與分析控制等功能。

控制模塊軟件功能是在收到報(bào)警信息后通過(guò)訊響設(shè)備通知管理員，并將入侵信息放在設(shè)計(jì)好的號(hào)碼上。同時(shí)將報(bào)警數(shù)據(jù)歸檔存儲(chǔ)。此外，該軟件還可以對(duì)前端探測(cè)設(shè)備進(jìn)行布防。

2基于痕跡數(shù)據(jù)的入侵人員位置實(shí)時(shí)監(jiān)測(cè)方法研究

2.1入侵可能路徑估算

使用傳統(tǒng)方法對(duì)入侵可能路徑進(jìn)行預(yù)測(cè)時(shí)，不能完全排除入侵人員偽裝的缺陷，降低預(yù)測(cè)精準(zhǔn)度?；诖?，本文利用粒子群多層解析方法對(duì)入侵人員可能通過(guò)的路徑進(jìn)行預(yù)先估計(jì)。

2.1.1入侵人員異常行為特征提取

入侵行為中包括n個(gè)變量y1，y2，…，y，其中表示標(biāo)準(zhǔn)變量，可用a對(duì)其表示，因此獲得以下結(jié)論.

利用主成分分析法分析入侵人員行為特性，可構(gòu)建特征權(quán)值系數(shù)矩陣，以此獲取能真實(shí)體現(xiàn)特征參數(shù)的多個(gè)主成分。實(shí)現(xiàn)步驟為：

步驟一：采集原始入侵信息，對(duì)其做規(guī)范化處理，獲取準(zhǔn)確數(shù)據(jù)基礎(chǔ);

步驟二：通過(guò)計(jì)算獲得入侵人員異常行為特征權(quán)值矩陣;

步驟三：獲得所有矩陣中的特征值，并計(jì)算與其相對(duì)的特征分量;

步驟四：得到網(wǎng)絡(luò)中入侵人員特征主成分，對(duì)其進(jìn)行規(guī)范化，得到最終結(jié)果。

對(duì)入侵人員行為特征規(guī)范化處理流程如下：

通過(guò)下述公式計(jì)算入侵特征權(quán)值系數(shù)矩陣內(nèi)存在的對(duì)角元素：

結(jié)合上述路徑構(gòu)建原始種群，獲取種群適應(yīng)程度函數(shù)，對(duì)于種群中全部可能入侵的路徑做交叉與變異運(yùn)算，以此獲得可能入侵路徑的預(yù)測(cè)結(jié)果。

2.2痕跡數(shù)據(jù)的頻域變換

對(duì)云平臺(tái)入侵人員痕跡數(shù)據(jù)進(jìn)行監(jiān)測(cè)之前，將痕跡數(shù)據(jù)變換為頻域信號(hào)，并對(duì)其進(jìn)行頻譜分析。頻譜分析的主要根據(jù)是頻率中心、均方根頻率以及跟方差，公式分別如下所示：74E84B52-77D2-44D7-A66C-1BCDE3321CD9

任意一個(gè)痕跡數(shù)據(jù)的頻域特性都能利用一個(gè)特征矢量對(duì)其進(jìn)行表示，特征向量組成的空間稱為特征空間。代表x的某個(gè)痕跡信息信號(hào)樣本集合，經(jīng)立非線性H將樣本信息信號(hào)從空間R映射到高隹特征空間R，再對(duì)該高維空間進(jìn)行主成分分析。

2.3云平臺(tái)下入侵人員位置實(shí)時(shí)監(jiān)測(cè)

在對(duì)云平臺(tái)入侵人員位置實(shí)時(shí)監(jiān)測(cè)過(guò)程中，最為重要的環(huán)節(jié)就是計(jì)算待監(jiān)測(cè)信息和痕跡信息之間的特征模糊聚類機(jī)率，需要在上述采集的痕跡信息特征基礎(chǔ)上，建立能夠描述模糊聚類概率的數(shù)學(xué)模型，此模型包括n個(gè)待檢測(cè)信息和p條相關(guān)程度較高的痕跡信息，構(gòu)建一個(gè)n×p的矩陣，利用對(duì)其表示：

為獲得云平臺(tái)入侵過(guò)程的待監(jiān)測(cè)信息與痕跡信息之間存在的聯(lián)系，對(duì)計(jì)算過(guò)程進(jìn)行精簡(jiǎn)，提高運(yùn)算效率，因此對(duì)協(xié)方差矩陣做降維運(yùn)算：

上述公式中，a表示矩陣相關(guān)程度系數(shù)，是權(quán)值系數(shù)。如果在滿足以上條件基礎(chǔ)上，z與（B）無(wú)限接近，則也無(wú)限接近。實(shí)現(xiàn)矩陣降維處理后，可獲得監(jiān)測(cè)痕跡信息有關(guān)的節(jié)點(diǎn)數(shù)據(jù)，去除一些冗余數(shù)據(jù)，提高位置信息監(jiān)測(cè)效率。

利用p代表云平臺(tái)人員入侵的痕跡信息數(shù)量，作為第k個(gè)掃描節(jié)點(diǎn)。結(jié)合相關(guān)程度把痕跡信息分為L(zhǎng)個(gè)種類，其特征表示為網(wǎng)絡(luò)數(shù)據(jù)，則表示全部待檢測(cè)數(shù)據(jù)。

在判定數(shù)據(jù)是否為人侵人員位置信息時(shí)，需利用下述公式計(jì)算待監(jiān)測(cè)信息與痕跡信息的特征模糊聚類概率：

公式中，q（q）表示不同類型待監(jiān)測(cè)信息在監(jiān)測(cè)過(guò)程中，獲得的數(shù)據(jù)與痕跡數(shù)據(jù)的特征匹配情況，q為待監(jiān)測(cè)信息和入侵信息之間的匹配程度，屬于常量，能調(diào)整概率參數(shù)。如果監(jiān)測(cè)信息一致，則q維持不變。以上變量的表達(dá)式分別為：

公式中，T表示中痕跡信息總量，T則表示待監(jiān)測(cè)測(cè)集合中屬于痕跡信息的數(shù)量，j是待監(jiān)測(cè)樣本數(shù)量。將超出設(shè)定閾值的Q數(shù)據(jù)作為入侵位置信息，以此實(shí)現(xiàn)入侵人員位置實(shí)時(shí)監(jiān)測(cè)。

為確保入侵人員位置信息被完全監(jiān)測(cè)，必須結(jié)合衡量理論進(jìn)行對(duì)比分析，使其符合以下條件：

公式中，a表示痕跡信息衡量標(biāo)準(zhǔn)，在對(duì)入侵位置實(shí)時(shí)監(jiān)測(cè)過(guò)程中，痕跡信息與其他信息相關(guān)程度概率之和為1，又可描述為：

實(shí)現(xiàn)對(duì)a的優(yōu)化后，如果q（f=cosx）無(wú)限接近于1，則獲取的痕跡數(shù)據(jù)越準(zhǔn)確，對(duì)入侵人員位置實(shí)時(shí)監(jiān)測(cè)效果越好。

3仿真實(shí)驗(yàn)分析

為驗(yàn)證本文提出的云平臺(tái)下入侵人員位置實(shí)時(shí)監(jiān)測(cè)方法在實(shí)際應(yīng)用中的性能，進(jìn)行一次仿真實(shí)驗(yàn)分析，仿真實(shí)驗(yàn)設(shè)備如圖1所示。

結(jié)合云平臺(tái)應(yīng)用實(shí)際狀況，人員入侵通過(guò)傳感器光纖形成的信號(hào)波形圖如圖2所示。

經(jīng)過(guò)分析，人員入侵具有如下特征：每次入侵的時(shí)間周期大約在0.5～0.6s;每次入侵持續(xù)時(shí)間在0.35s左右。

為證明痕跡數(shù)據(jù)對(duì)入侵人員位置實(shí)時(shí)監(jiān)測(cè)的可重復(fù)性，在相同位置進(jìn)行多次實(shí)驗(yàn)，并將本文方法與文獻(xiàn)[1]、文獻(xiàn)[2]進(jìn)行對(duì)比，結(jié)果如圖3所示。

從實(shí)驗(yàn)結(jié)果對(duì)比圖中可以看出，本文方法監(jiān)測(cè)到的位置信息與實(shí)際位置最為接近，而其他兩種方法監(jiān)測(cè)到的位置和真實(shí)位置有較大差距。這是因?yàn)?，在監(jiān)測(cè)過(guò)程中，其方法會(huì)造成監(jiān)測(cè)中斷，而本文方法監(jiān)測(cè)持續(xù)性較好，能提高位置監(jiān)測(cè)準(zhǔn)確度。此外對(duì)三種方法監(jiān)測(cè)延時(shí)進(jìn)行對(duì)比，對(duì)比結(jié)果如表1所示。

由表1可知，本文方法對(duì)入侵人員位置監(jiān)測(cè)實(shí)時(shí)性較好，在多次實(shí)驗(yàn)過(guò)程中，每次延時(shí)都能控制在0.2s之內(nèi)，而文獻(xiàn)[2]方法最高延時(shí)達(dá)到0.7s。主要是因?yàn)?，本文方法監(jiān)測(cè)流程簡(jiǎn)便，減少計(jì)算量，減少延時(shí)。

4結(jié)論

隨著云平臺(tái)數(shù)據(jù)海量增長(zhǎng)，入侵監(jiān)測(cè)系統(tǒng)需要處理的數(shù)據(jù)是海量且高維的。為獲取入侵者更多信息，本文利用痕跡數(shù)據(jù)對(duì)云平臺(tái)入侵人員位置進(jìn)行實(shí)時(shí)監(jiān)測(cè)。仿真實(shí)驗(yàn)證明，該方法能夠準(zhǔn)確獲得入侵者真實(shí)位置信息，實(shí)現(xiàn)實(shí)時(shí)監(jiān)測(cè)。在今后的研究中，將屬性約簡(jiǎn)方法和所提方法相結(jié)合應(yīng)用到入侵監(jiān)測(cè)系統(tǒng)中，進(jìn)一步控制監(jiān)測(cè)誤差與實(shí)時(shí)性，使云平臺(tái)更加安全可靠。74E84B52-77D2-44D7-A66C-1BCDE3321CD9