前言:想要寫出一篇引人入勝的文章?我們特意為您整理了數(shù)據(jù)挖掘下軌道交通信息安全檢測淺析范文,希望能給你帶來靈感和參考,敬請閱讀。
摘要:針對列車運行控制系統(tǒng)的通信網(wǎng)絡(luò)安全問題,提出了一種基于數(shù)據(jù)挖掘的信息安全檢測方案。以數(shù)據(jù)流為研究對象,結(jié)合軌道交通信息系統(tǒng)中異常數(shù)據(jù)占比少的特點,提出單分類支持向量機模型,采用超平面法,將正常數(shù)據(jù)和入侵?jǐn)?shù)據(jù)進行分類,實現(xiàn)網(wǎng)絡(luò)入侵行為的有效檢測。仿真結(jié)果表明,在不同數(shù)據(jù)流量情況下,檢測模型均能表現(xiàn)出較強的檢測能力。
關(guān)鍵詞:數(shù)據(jù)挖掘;網(wǎng)絡(luò)安全;軌道交通;檢測;支持向量機
0引言
隨著計算機、通信網(wǎng)絡(luò)、控制技術(shù)的發(fā)展,列車運行控制系統(tǒng)(communicationsbasedtraincontrolsystem,CBTC)融入了更多的外圍設(shè)備,自動化和信息化水平提高的同時,其網(wǎng)絡(luò)安全防護系統(tǒng)面臨著更高的挑戰(zhàn)[1]。由于城市軌道交通的數(shù)據(jù)通信系統(tǒng)(datacommunicationsystem,DCS)與傳統(tǒng)網(wǎng)絡(luò)系統(tǒng)的應(yīng)用特性存在差異,傳統(tǒng)IT網(wǎng)絡(luò)入侵檢測方案無法完全滿足軌道交通信息安全要求,目前對CBTC系統(tǒng)的網(wǎng)絡(luò)入侵檢測問題的研究仍不夠成熟。文中結(jié)合軌道交通信息系統(tǒng)中異常數(shù)據(jù)占比少的特點,提出了一種基于單分類支持向量機(oneclasssupportvectormachines,OCSVM)的分類模型,可有效實現(xiàn)正常數(shù)據(jù)和入侵?jǐn)?shù)據(jù)的準(zhǔn)確分離識別。
1數(shù)據(jù)通信網(wǎng)絡(luò)結(jié)構(gòu)
DCS是列車運行自動控制系統(tǒng)的重要子系統(tǒng)之一,保障DCS系統(tǒng)的信息安全對軌道交通系統(tǒng)安全運行具有重要意義。DCS系統(tǒng)主要由骨干網(wǎng)絡(luò)和無線網(wǎng)絡(luò)2部分構(gòu)成,其網(wǎng)絡(luò)結(jié)構(gòu)[2]如圖1所示。其中,骨干網(wǎng)絡(luò)主要負(fù)責(zé)為地面設(shè)備提供信息數(shù)據(jù)傳輸?shù)耐ǖ?,一般可采取同步序列組網(wǎng),或者利用交換技術(shù)構(gòu)成環(huán)形網(wǎng)絡(luò)。無線網(wǎng)絡(luò)利用空間媒介進行信息傳輸,一般使用WLAN設(shè)備實現(xiàn)無線網(wǎng)絡(luò)接入,通信協(xié)議采用IEEE802.11,實現(xiàn)數(shù)據(jù)的高速雙向?qū)崟r傳輸。為了保證通信的穩(wěn)定性和安全性,DCS通信網(wǎng)絡(luò)多采取冗余環(huán)形結(jié)構(gòu),若一個子網(wǎng)絡(luò)發(fā)生數(shù)據(jù)傳輸故障時,數(shù)據(jù)仍可以利用其它子網(wǎng)絡(luò)進行傳輸,以保證網(wǎng)絡(luò)系統(tǒng)的正常運行。地面設(shè)備的骨干網(wǎng)絡(luò)同樣分為多個不同類型的子網(wǎng)絡(luò),其中包括2個信號網(wǎng)絡(luò),2個ATS網(wǎng),1個維護網(wǎng),信號網(wǎng)絡(luò)和ATS網(wǎng)絡(luò)均進行了冗余設(shè)計。DCS網(wǎng)絡(luò)安全隱患主要來源于網(wǎng)絡(luò)設(shè)備、操作系統(tǒng)和通信協(xié)議等,主要受到的網(wǎng)絡(luò)攻擊可分為DOS攻擊和數(shù)據(jù)欺騙,DOS攻擊主要是指對服務(wù)器進行攻擊,致使其無法正常運行,例如語義攻擊和暴力攻擊。數(shù)據(jù)欺騙主要是利于系統(tǒng)和通信協(xié)議的漏洞,通過信息欺騙的方式竊取數(shù)據(jù)信息,或者進行惡意的信息篡改。
2基于數(shù)據(jù)挖掘的信息檢測
數(shù)據(jù)挖掘主要是指利用數(shù)據(jù)處理算法從大量數(shù)據(jù)中發(fā)掘隱含信息,其在特征提取方面表現(xiàn)出良好的性能,在信息安全檢測方面得到廣泛應(yīng)用。通過數(shù)據(jù)挖掘檢測方法對大量的網(wǎng)絡(luò)數(shù)據(jù)和訪問記錄進行訓(xùn)練,實現(xiàn)檢測模型的建模和參數(shù)整定,利用訓(xùn)練獲得的檢測模型對實時數(shù)據(jù)進行檢測篩選,挖掘出隱藏的網(wǎng)絡(luò)入侵行為[3]。數(shù)據(jù)挖掘是以數(shù)據(jù)流量為研究對象,通過對正常數(shù)據(jù)和異常數(shù)據(jù)的分析,提取出隱藏在數(shù)據(jù)中的規(guī)律,從而實現(xiàn)對入侵行為的辨別,網(wǎng)絡(luò)入侵檢測流程如圖2所示。常用的檢測算法包括分類、關(guān)聯(lián)分析、聚類等。其中,分類算法主要原理是利用分類模型對數(shù)據(jù)進行預(yù)測,將數(shù)據(jù)分割判定為正?;蛘弋惓深?,其關(guān)鍵問題在于分類模型的構(gòu)建和參數(shù)整定,常用的分類方法包括最近鄰分類、決策樹分類、人工神經(jīng)網(wǎng)絡(luò)、支持向量機等[4]。由于軌道交通網(wǎng)絡(luò)通信中,正常數(shù)據(jù)占有的比例非常大,入侵?jǐn)?shù)據(jù)僅占有極少的比例,訓(xùn)練樣本具有數(shù)據(jù)量小的特點,而基于支持向量機的分類模型無需大容量的訓(xùn)練數(shù)據(jù),更適用于軌道交通網(wǎng)絡(luò)的通信數(shù)據(jù)特點。
3基于OCSVM算法的分類模型
DCS信息網(wǎng)絡(luò)系統(tǒng)的數(shù)據(jù)流和通信周期比較穩(wěn)定,并且具備一定的規(guī)律性,采集到的數(shù)據(jù)大多為正常的數(shù)據(jù),僅有非常小的數(shù)據(jù)量為異常的數(shù)據(jù),這一特點為異常檢測提供了比較好的檢測環(huán)境,如果能夠?qū)φ?shù)據(jù)量構(gòu)建準(zhǔn)確的模型,即可實現(xiàn)對異常行為的檢測。單分類支持向量機(OCS-VM)算法是一種基于支持向量機的特殊二分類模型,主要通過尋找一個超平面實現(xiàn)精準(zhǔn)分類,只需具備一類樣本即可實現(xiàn)模型訓(xùn)練[5]。超平面法是利用核函數(shù)將輸入數(shù)據(jù)空間映射到高斯空間中,在映射的高斯空間中尋找超平面,較理想的超平面應(yīng)最大限度將樣本點和原點進行分開,超平面示意圖[6-7]見圖3。超平面的求解式為式(1),設(shè)輸入的訓(xùn)練樣本為x1,…,xl∈X,其中X→H表示輸入空間向高斯空間進行映射,ω表示超平面的法向量,ρ表示圖3超平面法超平面的偏移量,ξ表示松弛系數(shù),反應(yīng)樣本符合約束條件的程度。v為權(quán)衡系數(shù),取值范圍為(0,1],用于對支持向量的比例進行調(diào)節(jié)。另外加入Lagrange算子實現(xiàn)對超平面的求解[6],La-grange算子[8]見式(2),選用的高斯核函數(shù)為式(3):K(xi,xj)=〈φ(xi),φ(xj)〉=exp(-gxi-xj2)(3)通過計算得到最終的決策函數(shù)為式(4),將采集到的數(shù)據(jù)作為樣本輸入到上述檢測模型,訓(xùn)練流程如圖4所示。其中,數(shù)據(jù)預(yù)處理環(huán)節(jié)主要是對原始數(shù)據(jù)進行特征提取和歸一化處理,使得數(shù)據(jù)格式符合算法數(shù)據(jù)格式要求。其次是對數(shù)據(jù)降維處理,提取出具備統(tǒng)計意義的特征,降低數(shù)據(jù)冗余性,從而提升訓(xùn)練速度[9-10]。然后是對模型參數(shù)進行優(yōu)化調(diào)整,特別是v和ρ2個最為重要的參數(shù),其對模型準(zhǔn)確性的影響非常大。最后,利用測試數(shù)據(jù)集對訓(xùn)練所得到的模型進行驗證。
4仿真結(jié)果
由于軌道交通客流量分早晚高峰期和平峰期,列車的發(fā)車時間間隔也隨客流量變化而發(fā)生變化,不同客流量期間的數(shù)據(jù)通信流量也是動態(tài)變化的。為了模擬不同發(fā)車時間的間隔中對數(shù)據(jù)流量的檢測,模擬了3組不同發(fā)車時間間隔的數(shù)據(jù)樣本,并在樣本中加入了洪水攻擊型數(shù)據(jù),數(shù)據(jù)樣本如表1所示。將3組數(shù)據(jù)綜合在一起構(gòu)成數(shù)據(jù)輸入集合,將綜合后的數(shù)據(jù)一部分用于訓(xùn)練,另一部分作為測試集合,按照異常檢測模型流程對模型進行訓(xùn)練并驗證。將3組數(shù)據(jù)輸入訓(xùn)練獲得的檢測模型,測試仿真結(jié)果見表2。由仿真結(jié)果可見,在不同數(shù)據(jù)流量情況下,檢測模型均能表現(xiàn)出較強的檢測能力,對攻擊數(shù)據(jù)無漏檢情況,對正常數(shù)據(jù)的平均誤報率僅為1.01%,平均檢測時間為4.61ms,滿足網(wǎng)絡(luò)信息安全檢測指標(biāo)要求,驗證了模型的可靠性和高效性。
5總結(jié)
城市軌道交通信息安全是列車正常安全運行和信息數(shù)據(jù)安全的有力保障,其中網(wǎng)絡(luò)入侵行為檢測是信息安全系統(tǒng)中最為重要的問題之一,目前對其檢測方法的研究仍不夠完善?;跀?shù)據(jù)挖掘的檢測方案可作為傳統(tǒng)網(wǎng)絡(luò)安全防護的補充,以提升網(wǎng)絡(luò)信息系統(tǒng)抵御網(wǎng)絡(luò)入侵能力,通過優(yōu)化OCSVM模型參數(shù)可進一步降低其誤報率,可對該問題作進一步深入研究,以提升檢測性能。
作者:王瑋 龐婷婷 單位:西安交通工程學(xué)院交通運輸學(xué)院