基于活跃-空闲能耗的云主机访问监控算法

李东林

(首都医科大学附属北京朝阳医院 宣传中心,北京 100020)

0 引 言

网络信息安全隐患给现代网络技术应用带来了信息泄露、系统破坏等威胁[1]。访问控制技术是实现安全操作和运行系统的关键技术。近几年,互联网的安全问题日益突出,对网页访问受到的攻击越来越多。因此,在网络安全测试中,如何对网页安全检测是一个非常重要课题[2]。目前,互联网的安全已经不再局限于病毒、黑客等,互联网接入引起的安全问题也越来越突出。

余剑[3]通过计算分层异构网络传感器链路层内信噪比,明确交互安全,利用特征模糊算法实行安全监控,运用神经网络对多节点数据检测,实现网络监控。孟远等[4]利用深度学习算法处理Q值过度预测物联网问题,得到最佳伪装攻击测试极值,通过阈值完成安全监控。但上述监控算法存在较大漏检情况,因此,笔者提出了一种基于活跃能耗与空闲能耗的云主机访问安全监控算法。

将云主机访问时的攻击信息预处理,数据分为不同聚合组,分析网络节点活跃与空闲能耗,均衡能量负载,构建安全访问多角度模型,利用处理节点处理器使用率算法监控云主机安全。笔者所提方法能及时发现问题,有效降低误报率,精准度较高,且避免能量消耗,保证使用过程安全。

1 信息预处理

在访问云主机中会出现攻击特征,利用离散小波变换[5]方法对云主机访问页面入侵信息实行预处理。按照信息论的原则,计算网页入侵信息变量Y的信息熵[6]为

(1)

其中p(yi)表示云主机入侵信息变量Y的全部组成分量yi的先验概率[7],X表示带监控目标,i表示正整数。利用网络内网页入侵信息的自相似性,得到入侵信息的自相关函数。

自相似性描述为一种随机事件在每段时间中存在同等的统计特征,表示在繁琐[8]的网络中的整体与局部或局部之间的精致组成或本质包含的类似性[9],或在全局内提取出部分可展现总体的基础特点,即在各种放大倍数中的雷同性。

针对协方差稳定的云主机访问页面入侵,利用T′={Tt,t=1,2,…}表示随机的入侵序列。在网络分析过程中,Tt表示在t时间内入侵总数。T′经过存在不变的平均数μ=E[Tt]与有限制方差σ2=E⎣(Tt-μ)2」。该自相关函数为

(2)

从而获得字相似函数原则为

(3)

其中m表示加权指数,r表示常数。运用小波系数的能量谱[10]预估自相似参变量,得到小波能量谱对尺度j的线性拟合[11]nj,获得小波能量函数为

(4)

其中n表示拟合因子,q表示函数运算。一个云主机访问页面入侵序列Y={Yj,j=1,2,3,…},选择随意正整数m并将此序列划分为各种m大小模块,将分割好的数据归类成不同聚合组合,计算出对应平均数,获得聚合序列为

(5)

利用离散小波变换法,对云主机访问页面入侵信息实行预处理。输入云主机访问页面入侵数值,滤波器能获得在时间t中的滤波情况,通过和先前设定的阈值对比,最终目标利用

(6)

得到。其中x(t)表示云主机网络接收信号;s(t)表示云主机网络数据入侵发射信号;n(t)表示附带高斯[12]白噪声,h表示云主机网络信道振幅增益。

2 活跃能耗与空闲能耗

云主机网络节点的能耗主要体现在两方面:一种是工作的活跃能耗EW; 另一种为休眠的空闲能耗ES。因此节点总能量消耗Etotal如下:

Etotal=EW+ES。

(7)

节点在活跃情况下执行感知[13]、数据采集、处理与通信等应用,实现这些功能均会出现能量消耗,且通过节点的传感、处理与通信模块分类承担。设置一定时间段内节点传输与接收数据的能量消耗用UMS与UMR描述; 访问消息所用平均时间间隔为TTI; 单位时间内数据采集与处理的能量消耗用UWG与UWP描述; 采集的时间用TWG描述,处理的时间用TWP描述; 节点的总生命周期用T描述,则活跃时的总能量消耗是采集、处理与通信能量相加,如下:

(8)

网络节点在空闲情况下仅具有定时模块,设空闲时间段的能量消耗表示为US,空间所用时长表示为TS,则空闲状态损耗的能量为

ES=USTS。

(9)

将式(8)与式(9)代入式(7)中,得到:

(10)

通过式(10)能观察到,网络节点活跃与空闲两种情况的时间是相互独立的,这表明一个节点在同一时间仅能呈现出一种情形。且按照节点的活跃调度维持一段时间。因此,云主机网络内的节点若布局完成,则网络节点的总能量消耗也就确定,不会发生变化。在此前提下,尽可能保证网络的寿命周期延长[14]。

能量感知与空闲延长预期值为

(11)

3 安全监控

目前根据云主机安全访问的多角度模型制定按照访问情况能划分成W、A与W/A,其中W表示共享模型设计,A表示共享模型分析。在实行访问过程中,按照云主机网络访问目的与权限,网络状态的正负属性[15],将网络访问细微特点简单构成云主机网络的多角度分析模型。具体步骤为

1) 对云主机网络安全访问模型M实行特征识别,得到网络访问的特征集合F={f1,f2,…,fn}与全部特征种类θ(fi)。

2) 按照访问目的R与特征集合内全部特征种类θ(fi),明确所有模型的特征功能与处理形式。

3) 通过F内选择特征功能表示为A的特征子集FA∪FW/A,根据特征将分析的相关内容按重要情况实行从大到小排序,随后选取功能为W的子集FW,重新建立模型序列为FW、FA∪FW/A,并按照特征序列互相变换准则,获得全部云主机网络访问特点的有效域数据。

(12)

(13)

(14)

通常,正常节点的处理器使用率小于80%。但在访问量较多时,有可能会大于80%。但维持的时长短。由于入侵节点要求处理大量协议并访问,因此工作任务较重,处理器在此时间段会明显应用频繁。由此,若在处理器在一个期间内急速升高并维持较长时间,则云主机极有可能出现安全问题。

为能及时了解处理器的运用状况,利用多角度模型监控处理器在一定时间段的应用率。详细模型为

(15)

其中xia(tjb)表示节点ia在jb时处理器应用率; 所有横列表示一个节点在m1不同时间处理应用概率; 所有竖列表示n1节点在同一时间处理器应用概率。

(16)

其中Q表示变点,f0(·)表示空闲时的概率函数密度[17],f1(·)表示活跃时的概率函数密度,令f0(·)≠f1(·)。

kia=f1(x)/f0(x),ia≥1,

(17)

(18)

根据上述模型,要求给出对应的f0(x)与f1(x)表示处理器在各种情况下的运行状态。若在云主机网络访问过程中未遭到任何入侵,则全部节点的处理器使用状况较为稳定,并且能耗相对均衡。为此,节点能量处理器的应用率服从均匀布局条件[18]:

(19)

f0(X)=1/X。

(20)

若访问节点被恶意入侵,则处理器应用率迅速提高,服从指数分布为

(21)

若Kia>u表示云主机在访问时遭受入侵,其中u表示入侵阈值。阈值u的选择要合适:若比较小,系统容易将安全访问节点认定是入侵节点; 若比较大,会导致监控时间增加。假设一个正常的节点,其处理器使用率是一定会突发性提高,则误以为访问安全受到威胁。为使误差降低到最小,对算法给出两点建议:

1) 式(19)利用Xia替换xia能大幅度减少此状况出现,通过算出上一时间与此时间的平均数,获得较为稳定处理应用率;

2)Kia等同于是一个累计数据库,将运用率大于ω的状况相加,若超过设定阈值,则视为云主机访问安全出现问题。

4 仿真实验

为证明活跃能耗与空闲能耗的云主机访问安全监控算法(所提算法)能否实现访问安全监控,需要与特征模糊算法和深度学习算法进行对比实验。标准的网络入侵样本库数量较少,DARPA(Defense Advanced Research Projects Agency)与KDDCup99数据集仅具有些许攻击,同时数据收集时间较早,无法验证所提算法,因此利用log数据。通过人工与程序辅助的检查,用于实验的数据集含有大量的恶意攻击访问,其中包括跨站脚本攻击、文件包含、漏洞溢出等。文献[3]的特征模糊算法和文献[4]的深度学习算法作为对照方法,3种算法监控能量消耗对比如图1所示。

图1 3种算法监控能量消耗

通过图1可看出,在相同监控时间段内,特征模糊与深度学习算法的能量消耗较多,在前4 h特征模糊算法能耗上升快,后续呈现缓慢升高趋势,在12 h时能耗已经达到92 J; 深度学习算法在监控9 h前,能耗比特征模糊算法少,随后能量消耗增加,最大消耗为98 J; 从图1可看出,笔者算法总体能耗较低,在8 h后能耗呈稳定趋势,波动较小,说明笔者算法在访问监控过程中,能耗调节适宜,避免过度浪费。

为更好地监测访问状况,设定3组数据集,如表1所示,数据集1样本数最小,正常的样本格式规整、结构较为简单; 数据集2中存在较多的攻击样本,入侵数量几乎和正常的样本数量不多; 数据集3的样本总量最大,但攻击样本的比率最低。

表1 实验数据集

利用特征模糊算法、深度学习算法和笔者算法对比不同数据库的误报情况,如图2所示。从图2可看出,笔者算法有着较高的检出率与很低的误报率,在3种数据集上的性能都呈现的较为稳定,检出率与误报率基本未发生改变。

图2 1、2、3数据库误报情况

深度学习算法的性能按照数据集的各种波动较大,尤其是存在较多攻击样本的数据集2上。证明深度学习算法对正常样本的形式要求极高,在正常样本形式简单与规则的前提下性能较好,否则监控状况会急剧降低。

特征模糊算法在数据集1与2上的状况基本相似,但此算法极易出现较高的误报率。原因是由于特征模糊算法不具有泛化功能,仅能简单记载训练过的样本,遇到新的样本会将其认定是异常数据。特征模糊算法在数据集3上呈现为持续上升趋势,误报率与检出率同时增加,证明该算法对数据集3识别没有出现异常。

笔者算法在3个数据集内都呈现出最高的检出率与基本为零的误报率,证明了笔者方法的有效性。在数据集2上存在较多的攻击样本,攻击与正常样本的比例极高,但笔者算法依旧能精准检出测,误报率极低。

综上所述,笔者算法在实验中相比其他两种算法监控情况表现明显较好,检出率高、误报率小、稳定性好,并没有经过预先学习。这是由于算法利用数据预处理,得知安全与入侵状态,从而实现安全监控。

5 结 语

随着信息技术的日新月异发展,人们对其安全性的关注也越来越多。对其存在的安全问题,采取相应的对策和方法,才能不断地改善其安全性,尽量降低其发生的风险,这既是信息技术发展的需要,也是建设和谐社会的需要。因此笔者提出了一种基于活跃能耗与空闲能耗的云主机访问安全监控算法。在避免能量过度消耗的同时,监控网络情况,及时发现问题,保证访问安全。但攻击样本设置有限,在未来研究中,还需加入更多入侵数据,寻找更精准监控算法。