基于物联网的IT多通道信息安全监控研究

2022-12-06郑俊强邵胤瞿良勇

微型电脑应用 2022年11期

郑俊强，邵胤，瞿良勇

(浙江浙能天然气运行有限公司，浙江，杭州 310000)

0 引言

互联网的迅速发展导致其安全问题日益增长。IT网络的安全问题既影响个体用户的网络环境[1-3]，又威胁企业与政府等机构的信息安全，IT网络信息安全出现问题，既会导致个体用户的个人信息遭到泄露，还会导致企业与政府等机构的机密文件外泄，严重影响企业及政府等机构的经济效益[4]。为避免出现信息安全问题，便需研究信息安全监控方法，丁桥[5]与沈卫文等[6]分别研究了IDC信息安全监测体系与数字化船舶通信网络监测信息安全方法，确保IDC业务与船舶通信网络信息的安全。物联网属于一种嵌入式芯片，具备全方位感知信息、安全可靠的信息传输与智能处理信息及执行功能，广泛应用于各个领域[7]。为此研究基于物联网的IT多通道信息安全监控方法，提升信息安全监控的准确性，及时发现并解决安全漏洞，确保IT网络环境的使用安全，避免出现信息泄露问题，为IT网络的长远发展奠定基础。

1 基于物联网的IT多通道信息安全监控方法

1.1 监控方法总体结构

利用物联网的物理安全、信息采集、传输与处理安全的特点实现IT多通道信息安全监控。基于物联网的IT多通道信息安全监控方法的总体结构如图1所示。

物联网感知层通过感知功能采集及识别信息[8]，物联网感知层主要利用射频识别技术完成IT多通道信息采集与识别等，通过融合物理方法与密码机制监控IT多通道信息采集的安全。

图1 IT多通道信息安全监控方法的总体结构

物联网网络层具备信息转发与传输功能，网络层利用互联网将感知层采集的IT多通道信息传输至应用层，为IT多通道信息安全监控的智能处理与分析提供信息传输的桥梁[9]。通过采用IPsec协议的IPv6技术对IT多通道信息数据包实施高强度安全处理，利用IPv6技术中数据源地址验证与数据机密性等安全服务监控信息传输的安全。

物联网应用层包含业务管理与安全态势评估等技术，充分融合信息技术和行业专业技术[10-11]。利用多通道信息安全态势评估方法监控信息处理的安全。

1.2 IT多通道信息安全态势评估

1.2.1 IT多通道信息安全态势指标

按照国家互联网应急中心安全态势周报内的规则划分IT多通道信息安全态势指标的类别，分类结果如图2所示。

图2 IT多通道信息安全态势指标

基于互联网病毒活动情况的指标代表因病毒与恶意软件等攻击手段互联网所承受的攻击程度；基于网站安全情况的指标代表所监控IT网站的安全情况；基于安全事件情况的指标代表受到攻击后造成互联网出现安全问题的事件总次数。

1.2.2 IT多通道信息安全态势特征提取

利用深度卷积神经网络提取多通道信息安全态势特征，深度卷积神经网络通过卷积核和前一层连接的特征完成特征提取，深度卷积神经网络的操作过程如图3所示。

图3 深度卷积神经网络的操作过程

将有关IT多通道信息安全态势数据作为输入序列B，令其与卷积核K的维度分别是(1,Sb)与(1,Sk)，深度神经网络的卷积方法如下：

(1)

式中，j表示安全态势特征位置，j的约束条件是1≤j≤Sb-Sk+1。

深度卷积神经网络通过安全态势指标的位置信息获取各指标间的联系，有效提取IT多通道信息安全态势特征。为克服深度卷积神经网络不同类指标混合的问题，在深度卷积神经网络中引入多通道机制，确保各安全态势特征的独立性与高质量[12]。

1.2.3 IT多通道信息安全态势特征融合

利用自适应加权的特征融合方案融合深度神经网络提取的IT多通道信息安全态势特征，该方案的基本思想是利用神经网络的自主学习自适应地为IT多通道安全态势特征分配权重[13]，再将初始特征与权重相乘，最后实施融合，自适应加权的特征融合方案的流程如图4所示。

图4 自适应加权的特征融合方案的流程图

自适应加权的特征融合方案的具体步骤如下。

步骤1 计算所提取的IT多通道信息安全态势特征的每个通道权重。令安全态势特征数量是L，安全态势特征通道数量是H，各特征图的尺寸是L×H，利用深度神经网络实施卷积操作，卷积操作的内容是3个特征图和卷积核尺寸是1的卷积层，卷积操作的作用是减少安全态势特征通道数量，将各特征图的尺寸变更成L×H1。在特征图的维度上，通过concat融合方式拼接3个特征图的特征通道，将各特征图的尺寸变更成L×H2，H2=3×H1；再利用一个卷积核尺寸是1的卷积层缩减目前特征图内安全态势特征通道数量[14]，获取3个通道安全态势特征所对应的3个权重值；然后计算特征图安全态势特征数量维度的平均值，获取1×3矩阵，这个矩阵内的各个值即3类安全态势特征的权重。

在深度卷积神经网络内引入一个softmax层，由soft-max函数求解的最终权重值可确保该值符合约束条件α+β+γ=1，同时α,β,γ∈[0,1]。softmax函数的表达公式如下：

(2)

利用softmax函数计算通道1的最终权重α的公式如下：

(3)

式中，1×3矩阵内原始的3个数值分别是μα、μβ与μγ；同理获取通道2与通道3的最终权重β与γ。

步骤2 3个通道的安全态势特征与最终自适应权重值相乘后，利用concat方法融合3个通道的安全态势特征。

1.2.4 评估安全态势

利用基于bagging集成的多通道-深度卷积神经网络模型评估IT多通道信息安全，评估流程如图5所示。

图5 评估流程

基于bagging集成的多通道深度卷积神经网络模型评估IT多通道信息安全的具体步骤如下。

步骤1 在融合后的IT多通道信息安全态势特征训练数据集内随机采样获取子训练数据集，子训练集的数量是n。

步骤2 在多通道-深度卷积神经网络评估模型中利用n个子训练集训练基分类器，共包含n个基分类器且这些基分类器均不相同。

(4)

(5)

2 实验分析

以某区域互联网为实验对象，该区域互联网包含3个通道，利用本文方法监控该区域IT多通道信息安全，测试本文方法的有效性与准确性。

利用本文方法采集该区域互联网有关3个通道信息安全的数据，构建数据集并划分该数据集形成3个样本，其中通道1采集基于互联网病毒活动情况的指标，通道2采集基于网站安全情况的指标，通道3采集基于安全事件情况的指标，计算各样本内3个通道的权重完成特征加权融合，再计算3个通道信息安全态势指标的安全态势值，获取安全态势分类结果即监控结果，各样本内3个通道的权重、安全态势值与安全态势分类结果如表1、表2和表3所示。

表1 各样本内3个通道的权重

表2 各样本的信息安全态势指标的安全态势值

分析表1、表2和表3可知，样本1内基于通道2的基于网站安全情况指标与通道3的基于安全事件情况指标权重值较高，说明这2个指标对IT多通道信息安全影响较大，结合表2和表3可知，样本1的整体监控结果是差，与实际监控结果一致，需要重点加强IT网站的防御建设；样本2内通道1的基于互联网病毒活动情况指标的权重最高，说明该指标对IT多通道信息安全影响最大，结合表2和表3可知，样本1的整体监控结果是优，与实际监控结果一致，需要重点加强病毒的监控与查杀功能；样本3内通道1的基于互联网病毒活动情况指标与通道2的基于网站安全情况指标的权重较高，说明这2个指标对IT多通道信息安全影响较大，结合表2和表3可知，样本3的整体监控结果是优，与实际监控结果一致，需要重点加强病毒监控及查杀和IT网站防御功能。实验证明：本文方法能够有效监控IT多通道信息安全，且准确性高。

表3 监控结果

利用本文方法与文献[5]的IDC信息安全监测方法、文献[6]的数字化船舶通信网络监测方法对该区域互联网多通道信息安全实施监控，测试3种方法监控的准确率与AUC(area under roc curve)值。其中,AUC值属于衡量监控方法好坏的一个标准，AUC值的取值区间是[0.5,1]，该值越高代表监控方法的真实性越高，测试结果如图6所示。

图6 3种方法的AUC值

分析图6可知，随着数据量的不断增加，3种方法的AUC值均呈现不同程度的下降趋势；本文方法的AUC值下降幅度均明显低于其余2种方法，本文方法的平均AUC值为0.95，其余2种方法的平均AUC值分别是0.76与0.80，AUC值越接近1，则监控方法的真实性越高，这就说明本文方法的真实性较高。实验证明：本文方法的监控具备较高的真实性。