云網(wǎng)安全服務(wù)可視化監(jiān)測方法

楊 波,徐勝超

(廣州華商學(xué)院 數(shù)據(jù)科學(xué)學(xué)院,廣東 廣州 511300)

0 引 言

云網(wǎng)技術(shù)逐漸成為熱門領(lǐng)域,被廣泛應(yīng)用于數(shù)據(jù)優(yōu)化[1]、供應(yīng)鏈設(shè)計(jì)、移動終端等領(lǐng)域。為了創(chuàng)造安全高效的運(yùn)營環(huán)境,人們對云網(wǎng)安全服務(wù)的可視化監(jiān)測技術(shù)也提出了更高的要求,不僅要求監(jiān)測效率高,還要求其具有高效的異常類型檢測能力[2],其中的關(guān)鍵就是對可視化監(jiān)測技術(shù)做出升級和改進(jìn)。通過上述分析可知云網(wǎng)安全服務(wù)的可視化監(jiān)測技術(shù)成為目前急需解決的問題和工作人員研究的熱點(diǎn)。文獻(xiàn)[3]提出一種基于隸屬云的安全監(jiān)測異常數(shù)據(jù)識別方法,采用多重態(tài)勢優(yōu)化算法實(shí)現(xiàn)云網(wǎng)服務(wù)信息的異常可視化監(jiān)測,然后在此基礎(chǔ)上使用多重分形維度分析信息的傳播態(tài)勢,并根據(jù)后續(xù)的信息態(tài)勢數(shù)據(jù)對云網(wǎng)安全服務(wù)做出判斷,最后通過引入隸屬云發(fā)生器,結(jié)合隸屬云3b準(zhǔn)則對監(jiān)測數(shù)據(jù)進(jìn)行初篩,以監(jiān)測數(shù)據(jù)序列的期望和帶寬序列的均值構(gòu)造控制函數(shù),完成云網(wǎng)安全服務(wù)的可視化監(jiān)測。該方法沒有對云網(wǎng)流量數(shù)據(jù)做降噪處理,導(dǎo)致監(jiān)測效果差。文獻(xiàn)[4]提出一種基于OpenStack云平臺的Docker容器安全監(jiān)測方法,采用Logistic-ARMA預(yù)警模型和BERT序列標(biāo)注,采用先驗(yàn)知識訓(xùn)練出相應(yīng)的深度學(xué)習(xí)模型,可以實(shí)現(xiàn)云網(wǎng)流量的可視化預(yù)測,最后將空間特征與流量預(yù)測值相結(jié)合,完成云網(wǎng)安全服務(wù)的可視化監(jiān)測。該方法沒有對云網(wǎng)流量數(shù)據(jù)做降噪處理,導(dǎo)致監(jiān)測效果差。文獻(xiàn)[5]設(shè)計(jì)出微處理芯片-以太網(wǎng)芯片-控制器局域網(wǎng)絡(luò)構(gòu)成的云網(wǎng)監(jiān)測通信板,保證云網(wǎng)安全服務(wù)不受干擾,然后通過自回歸模型壓縮云網(wǎng)安全服務(wù),再利用滑動窗口監(jiān)測云網(wǎng)服務(wù)的異常部分,最后通過視覺傳達(dá)技術(shù)將監(jiān)測結(jié)果可視化,完成云網(wǎng)服務(wù)的可視化監(jiān)測。該方法沒有對云網(wǎng)安全服務(wù)做分區(qū)處理,導(dǎo)致方法的監(jiān)測時間過長。Venkatesan B等人提出一種基于大數(shù)據(jù)云框架的云網(wǎng)絡(luò)安全服務(wù)監(jiān)測方法[6],通過提高計(jì)算機(jī)網(wǎng)絡(luò)服務(wù)能力為用戶提供了新的、優(yōu)化的使用體驗(yàn)。本工作主要從加密技術(shù)、授權(quán)訪問、網(wǎng)絡(luò)監(jiān)控、意識覺醒等方面探討了云計(jì)算技術(shù)環(huán)境下的計(jì)算機(jī)網(wǎng)絡(luò)安全問題,以期為云計(jì)算背景下計(jì)算機(jī)網(wǎng)絡(luò)安全應(yīng)對提供指導(dǎo)和參考。但是此方法監(jiān)測效率過低。

為了提升監(jiān)測效果、縮短監(jiān)測時長,該文提出一種基于SRv6技術(shù)的云網(wǎng)安全服務(wù)可視化監(jiān)測方法,利用SRv6技術(shù)構(gòu)建云網(wǎng)架構(gòu),采用小波變換算法剔除云網(wǎng)流量數(shù)據(jù)中的噪聲,通過信息熵挖掘算法完成云網(wǎng)安全服務(wù)的可視化監(jiān)測,能夠提升監(jiān)測效果。

1 云網(wǎng)安全服務(wù)的預(yù)處理

1.1 基于SRv6技術(shù)的云網(wǎng)安全服務(wù)分區(qū)

基于SRv6技術(shù)構(gòu)建云網(wǎng)架構(gòu),通過設(shè)置軟件-硬件路由裝置對云網(wǎng)的安全服務(wù)做分區(qū)處理,提高云網(wǎng)安全服務(wù)的質(zhì)量,具體步驟如圖1所示。

圖1 SRv6技術(shù)的云網(wǎng)安全服務(wù)分區(qū)流程

(1)SRv6技術(shù)作為一種以編程性能為基礎(chǔ)的指令表達(dá)方式,利用SRv6技術(shù)激發(fā)云網(wǎng)的安全保護(hù)意識,并結(jié)合三維可視化監(jiān)測機(jī)制,制定出面向安全服務(wù)的異常監(jiān)測流程。

(2)SRv6可以根據(jù)云網(wǎng)中流量節(jié)點(diǎn)的不斷跳躍而變更或卸載[7]地址路徑,并在持續(xù)偏移的節(jié)點(diǎn)中實(shí)現(xiàn)逐級跳躍,從而達(dá)到對云網(wǎng)全體安全服務(wù)的兼容模式。

(3)根據(jù)備份路由的選擇機(jī)制,SRv6技術(shù)將本地云網(wǎng)與全局云網(wǎng)連接到一起,生成規(guī)范代碼[8],并提供不同的備份路徑,以此構(gòu)建云網(wǎng)架構(gòu)。

(4)云網(wǎng)安全服務(wù)的智能分區(qū)。在云網(wǎng)架構(gòu)中,SRv6技術(shù)以實(shí)現(xiàn)業(yè)務(wù)端到需求端的云網(wǎng)流量傳遞方式呈現(xiàn),優(yōu)化流量的路徑選擇機(jī)制,縮小云網(wǎng)運(yùn)行規(guī)模[9]。

(5)將云網(wǎng)視作獨(dú)立的核心云資源處理器,在多個云端口的協(xié)助下,實(shí)現(xiàn)私有云、公共云、處理云、混沌云[10]的安全服務(wù)分區(qū)。

(6)云網(wǎng)安全服務(wù)分區(qū)后,使用不同類型的安全服務(wù)策略,輔助SRv6技術(shù)提高安全服務(wù)的質(zhì)量。為了避免產(chǎn)生重復(fù)路徑,需要安全服務(wù)保護(hù)策略聯(lián)合分割[11]相交的路徑,保證路徑長度是固定的,并且具備較低的時延。

如圖2所示,云網(wǎng)中存在兩條確定型路徑d1=hg1→hg2和d2=hg3→hg2。其中d1的主路徑為q1=(hg1→qg1→S2→qg2→hg2);備份路徑為k1=(hg1→qg1→S1→qg2→hg2);d2的主路徑為q2=(hg3→qg3→qg2→hg2);備用路徑為k2=(hg3→qg3→S1→qg2→hg2)。

圖2 基于SRv6的安全服務(wù)分區(qū)策略

1.2 云網(wǎng)流量數(shù)據(jù)降噪

云網(wǎng)安全服務(wù)智能分區(qū)后,采用小波變換算法對云網(wǎng)中的流量數(shù)據(jù)實(shí)行降噪[12]處理,避免噪聲對可視化監(jiān)測過程產(chǎn)生影響,下列公式中,m表示第m個序列,m-1表示第m-1個序列,具體步驟如下:

(1)小波變換算法主要由三步構(gòu)成:分裂、預(yù)測與更新。首先采用小波變換將云網(wǎng)流量數(shù)據(jù)的序列分裂[13]成兩部分,分別是偶數(shù)序列與奇數(shù)序列。公式如下所示:

split(Lm)=(am-1,bm-1)

(1)

式中,split為分裂函數(shù);Lm表示云網(wǎng)流量數(shù)據(jù)的第m個序列;a、b分別表示奇數(shù)序列與偶數(shù)序列。

(2)奇數(shù)序列與偶數(shù)序列之間存在緊密的相關(guān)性,既可以通過奇數(shù)序列來預(yù)測偶數(shù)序列,也可通過偶數(shù)序列來預(yù)測奇數(shù)序列。需要引入預(yù)測算子作為預(yù)測方向,并通過線性搜索方法在校正方向與預(yù)測方向的多目標(biāo)成像[14]中尋找最佳預(yù)測點(diǎn)。預(yù)測公式如下所示:

(2)

其中,em-1表示第m-1個序列與原始值的誤差,e表示預(yù)測值與原始值之間的誤差;Q表示預(yù)測算子,am-1表示奇數(shù)序列的預(yù)測誤差,bm-1表示偶數(shù)序列的預(yù)測誤差。

(3)找到最佳預(yù)測點(diǎn)后,預(yù)測值與原始值之間會存在一定誤差,表示兩者之間的多尺度[15]程度,也可稱之為近似系數(shù),主要由云網(wǎng)流量數(shù)據(jù)的奇數(shù)序列組成。

(4)為了獲取原始流量的最相似表達(dá),引入相關(guān)加權(quán)函數(shù)[16],并根據(jù)相關(guān)加權(quán)函數(shù)求解結(jié)果更新近似系數(shù)。由云網(wǎng)流量數(shù)據(jù)的分布情況可知,近似系數(shù)一般由原始流量數(shù)據(jù)的偶數(shù)序列構(gòu)成。公式如下所示:

(3)

其中,F表示相關(guān)加權(quán)函數(shù)。

(5)重復(fù)執(zhí)行分裂-預(yù)測-更新步驟后,得到云網(wǎng)流量數(shù)據(jù)的多級分解,完成云網(wǎng)流量數(shù)據(jù)的降噪處理。公式如下所示:

(4)

式中,merge代表重構(gòu)函數(shù)。

就此實(shí)現(xiàn)了云網(wǎng)流量數(shù)據(jù)降噪處理。

2 可視化監(jiān)測研究

為了監(jiān)測云網(wǎng)安全服務(wù)的異常狀況,采用基于三維可視化的監(jiān)測機(jī)制,并融合信息熵挖掘算法,實(shí)現(xiàn)云網(wǎng)安全服務(wù)的可視化監(jiān)測,具體步驟如下:

(1)可視化監(jiān)測。

云網(wǎng)安全服務(wù)可視化監(jiān)測的主體是三維體式圖,立方體中的點(diǎn)由源IP、目的IP和目的端口的映射[17]三維坐標(biāo)表示。具體步驟如下:

①當(dāng)云網(wǎng)中的節(jié)點(diǎn)流量開始傳輸時,立方體中的點(diǎn)顯示;當(dāng)傳輸結(jié)束時,點(diǎn)消失。通過點(diǎn)來表達(dá)云網(wǎng)空間節(jié)點(diǎn)之間的連接關(guān)系、流量走向和安全服務(wù)監(jiān)測。

②二維可視圖包含點(diǎn)視圖和面視圖,如圖3所示。面視圖屬于體式圖的切面,可以固定三維立方體的坐標(biāo),此時面視圖中的點(diǎn)表示源IP和若干個目的源IP建立的鏈接。

圖3 面視圖與點(diǎn)視圖

③點(diǎn)視圖-面視圖重構(gòu)[18]。點(diǎn)視圖作為體視圖中的一維表達(dá)形式,由4條不相交的線構(gòu)成。點(diǎn)視圖中一條完整的折線表示一個獨(dú)立的云網(wǎng)鏈接,圖中點(diǎn)表示鏈接對應(yīng)的節(jié)點(diǎn)流量。

(2)基于可視化監(jiān)測的異常檢測。

①信息熵代表云網(wǎng)安全服務(wù)中的不確定性與雜亂性,當(dāng)安全服務(wù)信息整體有規(guī)律時,信息熵?cái)?shù)值越小;當(dāng)安全服務(wù)信息混亂無序時,信息熵?cái)?shù)值越大。在云網(wǎng)中,安全服務(wù)信息包含多種特征與屬性,這些特征和屬性的取值范圍在云網(wǎng)流量中具有相似的分布特性。當(dāng)云網(wǎng)安全服務(wù)出現(xiàn)異常時,對應(yīng)的信息熵會產(chǎn)生一定變化,因此可以通過計(jì)算云網(wǎng)節(jié)點(diǎn)流量的信息熵來預(yù)測[19]云網(wǎng)安全服務(wù)的分布特征。

②設(shè)云網(wǎng)節(jié)點(diǎn)流量特征屬性為C,則云網(wǎng)中安全服務(wù)信息屬性的信息熵計(jì)算公式如下所示:

(5)

式中,H表示云網(wǎng)安全服務(wù)屬性的信息熵;x表示云網(wǎng)流量屬性的數(shù)量;y表示屬性的范圍區(qū)間;z表示屬性種類的總數(shù)量;O表示節(jié)點(diǎn)流量;i、j均表示安全服務(wù)信息屬性。

③在云網(wǎng)安全服務(wù)信息的可視化監(jiān)測過程中,需要考慮不同流量屬性所對應(yīng)的不同信息熵,比如源IP熵、目的IP熵、源端口熵、目的端口熵等。根據(jù)云網(wǎng)節(jié)點(diǎn)流量的分布特征可知,流量會隨著時間的推移而出現(xiàn)不同的最佳近似值[20],因此根據(jù)觀察熵和推測熵的偏差來判斷云網(wǎng)安全服務(wù)信息是否出現(xiàn)異常狀況。

④采用指數(shù)加權(quán)平均算法預(yù)測下一時間間隔內(nèi)的信息熵,通過幾何非線性[21]對原始流量重新分配,得到推測值,可以消除原始流量中的冗余信息,公式如下所示:

(6)

其中,U表示指數(shù)加權(quán)平均算法;t表示時段;U'表示觀察熵;β表示平滑因子;v表示觀測熵的總權(quán)重值。

⑤采用指數(shù)加權(quán)平均算法在固定時間段中實(shí)現(xiàn)信息熵的預(yù)測,保證Pt為屬性i的時間段預(yù)測熵、Pt-1為屬性i在時間段t-1內(nèi)的預(yù)測熵。

⑥將某個時間段l內(nèi)的預(yù)測熵Pt-1,i,Pt-2,i,…,Pt-l,i極小化遞歸[22]后,可知預(yù)測熵?cái)?shù)值達(dá)到歷史觀測熵的總平均加權(quán)數(shù)值。遞推公式如下所示:

Pt,i=βPt-1,i+β(1-β)Pt-2,i+…+

β(1-β)lPt-l,i

(7)

⑦根據(jù)動態(tài)平均理論[23]可知,信息熵的正常取值范圍在區(qū)間[Pt,i-3σt,i,Pt,i+3σt,i]中,當(dāng)觀察熵與預(yù)測熵的偏差超過該區(qū)間時,表明此時云網(wǎng)的安全服務(wù)發(fā)生異常。其中,σ表示屬性信息熵的標(biāo)準(zhǔn)差,計(jì)算公式如式(8),就此實(shí)現(xiàn)云網(wǎng)安全服務(wù)的可視化監(jiān)測。

(8)

3 實(shí)驗(yàn)與性能分析

為了驗(yàn)證基于SRv6技術(shù)的云網(wǎng)安全服務(wù)可視化監(jiān)測方法的整體有效性,需要對其做出如下測試。

在MATLAB R2022a軟件中自主開發(fā)并搭建云網(wǎng)監(jiān)測模型,選取windows作為宿主機(jī),系統(tǒng)版本為win 10,系統(tǒng)規(guī)格為6核12線程4T,為各個方法的性能測試與功能測試提供硬件基礎(chǔ)。本次實(shí)驗(yàn)選取的數(shù)據(jù)集為:Machine Learning Dataset Repository。數(shù)據(jù)類型為整型,數(shù)據(jù)集截取2020-2021年間數(shù)據(jù)。將方法的監(jiān)測效果、監(jiān)測時間作為評價指標(biāo),采用基于SRv6技術(shù)的云網(wǎng)服務(wù)可視化監(jiān)測方法、文獻(xiàn)[3]方法、文獻(xiàn)[4]方法和文獻(xiàn)[5]方法完成對比測試。

(1)云網(wǎng)安全服務(wù)的可視化監(jiān)測效果。

采用文中方法、文獻(xiàn)[3]方法和文獻(xiàn)[4]方法監(jiān)測云網(wǎng)運(yùn)行情況,將安全服務(wù)對應(yīng)的流量可視化監(jiān)測結(jié)果繪制成圖以便分析,如圖4(a)～(d)所示。

(a)安全服務(wù)實(shí)際流量

分析圖4可知,系統(tǒng)運(yùn)行時間為8:00時,安全服務(wù)實(shí)際流量為50 KB/s,文中方法可視化監(jiān)測的流量為50 KB/s,文獻(xiàn)[3]方法的可視化監(jiān)測流量為53 KB/s,文獻(xiàn)[4]方法的可視化監(jiān)測流量為52 KB/s;系統(tǒng)運(yùn)行時間為16:00時,安全服務(wù)實(shí)際流量為45 KB/s,文中方法可視化監(jiān)測流量為45 KB/s,文獻(xiàn)[3]方法的可視化監(jiān)測流量為39 KB/s,文獻(xiàn)[4]方法的可視化監(jiān)測流量為51 KB/s;在云網(wǎng)安全服務(wù)可視化監(jiān)測過程中,文中方法監(jiān)測的安全服務(wù)流量與實(shí)際流量基本一致;文獻(xiàn)[3]方法與文獻(xiàn)[4]方法監(jiān)測的流量與實(shí)際流量相差甚遠(yuǎn)。說明文中方法的安全服務(wù)監(jiān)測效果強(qiáng)于文獻(xiàn)[3]方法與文獻(xiàn)[4]方法的監(jiān)測效果。

文中方法在云網(wǎng)安全服務(wù)可視化監(jiān)測過程中,采用提升小波算法剔除了云網(wǎng)流量數(shù)據(jù)中的噪聲,避免噪聲對監(jiān)測過程產(chǎn)生影響,通過三維可視化的監(jiān)測機(jī)制,與信息熵挖掘算法相結(jié)合,進(jìn)而提高了方法的檢測效果。

(2)可視化監(jiān)測時間。

采用文中方法、文獻(xiàn)[3]方法和文獻(xiàn)[5]方法監(jiān)測云網(wǎng)安全服務(wù),對比不同方法的監(jiān)測時間,時間越長、表明方法的效率越低;時間越短、表明方法的效率越高。可視化監(jiān)測時間從服務(wù)器開啟時刻與獲得監(jiān)測結(jié)果結(jié)束時刻的時間差為實(shí)際的監(jiān)測時間,最終統(tǒng)計(jì)不同方法所用的可視化監(jiān)測時間,如表1所示。

表1 不同方法的可視化監(jiān)測時間

分析表1中的數(shù)據(jù)可知,安全服務(wù)的數(shù)量為10條,文中方法的云網(wǎng)安全服務(wù)可視化監(jiān)測時間為3 s,文獻(xiàn)[3]方法的云網(wǎng)安全服務(wù)可視化監(jiān)測時間為6 s,文獻(xiàn)[5]方法的云網(wǎng)安全服務(wù)可視化監(jiān)測時間為5 s。安全服務(wù)的數(shù)量為30條,文中方法的云網(wǎng)安全服務(wù)可視化監(jiān)測時間為7 s,文獻(xiàn)[3]方法的云網(wǎng)安全服務(wù)監(jiān)測時間為17 s,文獻(xiàn)[5]方法的云網(wǎng)安全服務(wù)可視化監(jiān)測時間為13 s。

綜合以上結(jié)果可知,監(jiān)測時間與安全服務(wù)數(shù)量之間呈正比,隨著安全服務(wù)數(shù)量的增加,文中方法、文獻(xiàn)[3]方法和文獻(xiàn)[5]方法所用的監(jiān)測時間不斷增加,在相同安全服務(wù)數(shù)量下,文中方法所用的監(jiān)測時間均低于文獻(xiàn)[3]方法和文獻(xiàn)[5]方法的可視化監(jiān)測時間,表明針對云網(wǎng)安全服務(wù)的可視化監(jiān)測,文中方法具有較高的監(jiān)測效率。這是因?yàn)槲闹蟹椒ɡ肧Rv6技術(shù)構(gòu)建云網(wǎng)架構(gòu),通過分區(qū)處理提高云網(wǎng)安全服務(wù)質(zhì)量,結(jié)合信息熵挖掘算法,提升了網(wǎng)安全服務(wù)的可視化監(jiān)測效率。

4 結(jié)束語

目前云網(wǎng)安全服務(wù)的可視化監(jiān)測方法存在監(jiān)測效果差、監(jiān)測時間長等問題,為此提出基于SRv6的云網(wǎng)安全服務(wù)可視化監(jiān)測方法。首先,通過SRv6技術(shù)構(gòu)建云網(wǎng)架構(gòu),提高云網(wǎng)安全服務(wù)的質(zhì)量;其次,采用提升小波變換算法剔除云網(wǎng)流量數(shù)據(jù)中的噪聲,避免噪聲對可視化監(jiān)測過程產(chǎn)生影響;最后,采用基于三維可視化的監(jiān)測機(jī)制,并結(jié)合信息熵挖掘算法,完成云網(wǎng)安全服務(wù)的可視化監(jiān)測。該方法在提高監(jiān)測效果的同時,一定程度上也降低了方法的監(jiān)測時間,對云網(wǎng)監(jiān)測技術(shù)有很好的參考價值。