云网安全服务可视化监测方法

杨 波,徐胜超

(广州华商学院 数据科学学院,广东 广州 511300)

0 引 言

云网技术逐渐成为热门领域,被广泛应用于数据优化[1]、供应链设计、移动终端等领域。为了创造安全高效的运营环境,人们对云网安全服务的可视化监测技术也提出了更高的要求,不仅要求监测效率高,还要求其具有高效的异常类型检测能力[2],其中的关键就是对可视化监测技术做出升级和改进。通过上述分析可知云网安全服务的可视化监测技术成为目前急需解决的问题和工作人员研究的热点。文献[3]提出一种基于隶属云的安全监测异常数据识别方法,采用多重态势优化算法实现云网服务信息的异常可视化监测,然后在此基础上使用多重分形维度分析信息的传播态势,并根据后续的信息态势数据对云网安全服务做出判断,最后通过引入隶属云发生器,结合隶属云3b准则对监测数据进行初筛,以监测数据序列的期望和带宽序列的均值构造控制函数,完成云网安全服务的可视化监测。该方法没有对云网流量数据做降噪处理,导致监测效果差。文献[4]提出一种基于OpenStack云平台的Docker容器安全监测方法,采用Logistic-ARMA预警模型和BERT序列标注,采用先验知识训练出相应的深度学习模型,可以实现云网流量的可视化预测,最后将空间特征与流量预测值相结合,完成云网安全服务的可视化监测。该方法没有对云网流量数据做降噪处理,导致监测效果差。文献[5]设计出微处理芯片-以太网芯片-控制器局域网络构成的云网监测通信板,保证云网安全服务不受干扰,然后通过自回归模型压缩云网安全服务,再利用滑动窗口监测云网服务的异常部分,最后通过视觉传达技术将监测结果可视化,完成云网服务的可视化监测。该方法没有对云网安全服务做分区处理,导致方法的监测时间过长。Venkatesan B等人提出一种基于大数据云框架的云网络安全服务监测方法[6],通过提高计算机网络服务能力为用户提供了新的、优化的使用体验。本工作主要从加密技术、授权访问、网络监控、意识觉醒等方面探讨了云计算技术环境下的计算机网络安全问题,以期为云计算背景下计算机网络安全应对提供指导和参考。但是此方法监测效率过低。

为了提升监测效果、缩短监测时长,该文提出一种基于SRv6技术的云网安全服务可视化监测方法,利用SRv6技术构建云网架构,采用小波变换算法剔除云网流量数据中的噪声,通过信息熵挖掘算法完成云网安全服务的可视化监测,能够提升监测效果。

1 云网安全服务的预处理

1.1 基于SRv6技术的云网安全服务分区

基于SRv6技术构建云网架构,通过设置软件-硬件路由装置对云网的安全服务做分区处理,提高云网安全服务的质量,具体步骤如图1所示。

图1 SRv6技术的云网安全服务分区流程

(1)SRv6技术作为一种以编程性能为基础的指令表达方式,利用SRv6技术激发云网的安全保护意识,并结合三维可视化监测机制,制定出面向安全服务的异常监测流程。

(2)SRv6可以根据云网中流量节点的不断跳跃而变更或卸载[7]地址路径,并在持续偏移的节点中实现逐级跳跃,从而达到对云网全体安全服务的兼容模式。

(3)根据备份路由的选择机制,SRv6技术将本地云网与全局云网连接到一起,生成规范代码[8],并提供不同的备份路径,以此构建云网架构。

(4)云网安全服务的智能分区。在云网架构中,SRv6技术以实现业务端到需求端的云网流量传递方式呈现,优化流量的路径选择机制,缩小云网运行规模[9]。

(5)将云网视作独立的核心云资源处理器,在多个云端口的协助下,实现私有云、公共云、处理云、混沌云[10]的安全服务分区。

(6)云网安全服务分区后,使用不同类型的安全服务策略,辅助SRv6技术提高安全服务的质量。为了避免产生重复路径,需要安全服务保护策略联合分割[11]相交的路径,保证路径长度是固定的,并且具备较低的时延。

如图2所示,云网中存在两条确定型路径d1=hg1→hg2和d2=hg3→hg2。其中d1的主路径为q1=(hg1→qg1→S2→qg2→hg2);备份路径为k1=(hg1→qg1→S1→qg2→hg2);d2的主路径为q2=(hg3→qg3→qg2→hg2);备用路径为k2=(hg3→qg3→S1→qg2→hg2)。

图2 基于SRv6的安全服务分区策略

1.2 云网流量数据降噪

云网安全服务智能分区后,采用小波变换算法对云网中的流量数据实行降噪[12]处理,避免噪声对可视化监测过程产生影响,下列公式中,m表示第m个序列,m-1表示第m-1个序列,具体步骤如下:

(1)小波变换算法主要由三步构成:分裂、预测与更新。首先采用小波变换将云网流量数据的序列分裂[13]成两部分,分别是偶数序列与奇数序列。公式如下所示:

split(Lm)=(am-1,bm-1)

(1)

式中,split为分裂函数;Lm表示云网流量数据的第m个序列;a、b分别表示奇数序列与偶数序列。

(2)奇数序列与偶数序列之间存在紧密的相关性,既可以通过奇数序列来预测偶数序列,也可通过偶数序列来预测奇数序列。需要引入预测算子作为预测方向,并通过线性搜索方法在校正方向与预测方向的多目标成像[14]中寻找最佳预测点。预测公式如下所示:

(2)

其中,em-1表示第m-1个序列与原始值的误差,e表示预测值与原始值之间的误差;Q表示预测算子,am-1表示奇数序列的预测误差,bm-1表示偶数序列的预测误差。

(3)找到最佳预测点后,预测值与原始值之间会存在一定误差,表示两者之间的多尺度[15]程度,也可称之为近似系数,主要由云网流量数据的奇数序列组成。

(4)为了获取原始流量的最相似表达,引入相关加权函数[16],并根据相关加权函数求解结果更新近似系数。由云网流量数据的分布情况可知,近似系数一般由原始流量数据的偶数序列构成。公式如下所示:

(3)

其中,F表示相关加权函数。

(5)重复执行分裂-预测-更新步骤后,得到云网流量数据的多级分解,完成云网流量数据的降噪处理。公式如下所示:

(4)

式中,merge代表重构函数。

就此实现了云网流量数据降噪处理。

2 可视化监测研究

为了监测云网安全服务的异常状况,采用基于三维可视化的监测机制,并融合信息熵挖掘算法,实现云网安全服务的可视化监测,具体步骤如下:

(1)可视化监测。

云网安全服务可视化监测的主体是三维体式图,立方体中的点由源IP、目的IP和目的端口的映射[17]三维坐标表示。具体步骤如下:

①当云网中的节点流量开始传输时,立方体中的点显示;当传输结束时,点消失。通过点来表达云网空间节点之间的连接关系、流量走向和安全服务监测。

②二维可视图包含点视图和面视图,如图3所示。面视图属于体式图的切面,可以固定三维立方体的坐标,此时面视图中的点表示源IP和若干个目的源IP建立的链接。

图3 面视图与点视图

③点视图-面视图重构[18]。点视图作为体视图中的一维表达形式,由4条不相交的线构成。点视图中一条完整的折线表示一个独立的云网链接,图中点表示链接对应的节点流量。

(2)基于可视化监测的异常检测。

①信息熵代表云网安全服务中的不确定性与杂乱性,当安全服务信息整体有规律时,信息熵数值越小;当安全服务信息混乱无序时,信息熵数值越大。在云网中,安全服务信息包含多种特征与属性,这些特征和属性的取值范围在云网流量中具有相似的分布特性。当云网安全服务出现异常时,对应的信息熵会产生一定变化,因此可以通过计算云网节点流量的信息熵来预测[19]云网安全服务的分布特征。

②设云网节点流量特征属性为C,则云网中安全服务信息属性的信息熵计算公式如下所示:

(5)

式中,H表示云网安全服务属性的信息熵;x表示云网流量属性的数量;y表示属性的范围区间;z表示属性种类的总数量;O表示节点流量;i、j均表示安全服务信息属性。

③在云网安全服务信息的可视化监测过程中,需要考虑不同流量属性所对应的不同信息熵,比如源IP熵、目的IP熵、源端口熵、目的端口熵等。根据云网节点流量的分布特征可知,流量会随着时间的推移而出现不同的最佳近似值[20],因此根据观察熵和推测熵的偏差来判断云网安全服务信息是否出现异常状况。

④采用指数加权平均算法预测下一时间间隔内的信息熵,通过几何非线性[21]对原始流量重新分配,得到推测值,可以消除原始流量中的冗余信息,公式如下所示:

(6)

其中,U表示指数加权平均算法;t表示时段;U'表示观察熵;β表示平滑因子;v表示观测熵的总权重值。

⑤采用指数加权平均算法在固定时间段中实现信息熵的预测,保证Pt为属性i的时间段预测熵、Pt-1为属性i在时间段t-1内的预测熵。

⑥将某个时间段l内的预测熵Pt-1,i,Pt-2,i,…,Pt-l,i极小化递归[22]后,可知预测熵数值达到历史观测熵的总平均加权数值。递推公式如下所示:

Pt,i=βPt-1,i+β(1-β)Pt-2,i+…+

β(1-β)lPt-l,i

(7)

⑦根据动态平均理论[23]可知,信息熵的正常取值范围在区间[Pt,i-3σt,i,Pt,i+3σt,i]中,当观察熵与预测熵的偏差超过该区间时,表明此时云网的安全服务发生异常。其中,σ表示属性信息熵的标准差,计算公式如式(8),就此实现云网安全服务的可视化监测。

(8)

3 实验与性能分析

为了验证基于SRv6技术的云网安全服务可视化监测方法的整体有效性,需要对其做出如下测试。

在MATLAB R2022a软件中自主开发并搭建云网监测模型,选取windows作为宿主机,系统版本为win 10,系统规格为6核12线程4T,为各个方法的性能测试与功能测试提供硬件基础。本次实验选取的数据集为:Machine Learning Dataset Repository。数据类型为整型,数据集截取2020-2021年间数据。将方法的监测效果、监测时间作为评价指标,采用基于SRv6技术的云网服务可视化监测方法、文献[3]方法、文献[4]方法和文献[5]方法完成对比测试。

(1)云网安全服务的可视化监测效果。

采用文中方法、文献[3]方法和文献[4]方法监测云网运行情况,将安全服务对应的流量可视化监测结果绘制成图以便分析,如图4(a)～(d)所示。

(a)安全服务实际流量

分析图4可知,系统运行时间为8:00时,安全服务实际流量为50 KB/s,文中方法可视化监测的流量为50 KB/s,文献[3]方法的可视化监测流量为53 KB/s,文献[4]方法的可视化监测流量为52 KB/s;系统运行时间为16:00时,安全服务实际流量为45 KB/s,文中方法可视化监测流量为45 KB/s,文献[3]方法的可视化监测流量为39 KB/s,文献[4]方法的可视化监测流量为51 KB/s;在云网安全服务可视化监测过程中,文中方法监测的安全服务流量与实际流量基本一致;文献[3]方法与文献[4]方法监测的流量与实际流量相差甚远。说明文中方法的安全服务监测效果强于文献[3]方法与文献[4]方法的监测效果。

文中方法在云网安全服务可视化监测过程中,采用提升小波算法剔除了云网流量数据中的噪声,避免噪声对监测过程产生影响,通过三维可视化的监测机制,与信息熵挖掘算法相结合,进而提高了方法的检测效果。

(2)可视化监测时间。

采用文中方法、文献[3]方法和文献[5]方法监测云网安全服务,对比不同方法的监测时间,时间越长、表明方法的效率越低;时间越短、表明方法的效率越高。可视化监测时间从服务器开启时刻与获得监测结果结束时刻的时间差为实际的监测时间,最终统计不同方法所用的可视化监测时间,如表1所示。

表1 不同方法的可视化监测时间

分析表1中的数据可知,安全服务的数量为10条,文中方法的云网安全服务可视化监测时间为3 s,文献[3]方法的云网安全服务可视化监测时间为6 s,文献[5]方法的云网安全服务可视化监测时间为5 s。安全服务的数量为30条,文中方法的云网安全服务可视化监测时间为7 s,文献[3]方法的云网安全服务监测时间为17 s,文献[5]方法的云网安全服务可视化监测时间为13 s。

综合以上结果可知,监测时间与安全服务数量之间呈正比,随着安全服务数量的增加,文中方法、文献[3]方法和文献[5]方法所用的监测时间不断增加,在相同安全服务数量下,文中方法所用的监测时间均低于文献[3]方法和文献[5]方法的可视化监测时间,表明针对云网安全服务的可视化监测,文中方法具有较高的监测效率。这是因为文中方法利用SRv6技术构建云网架构,通过分区处理提高云网安全服务质量,结合信息熵挖掘算法,提升了网安全服务的可视化监测效率。

4 结束语

目前云网安全服务的可视化监测方法存在监测效果差、监测时间长等问题,为此提出基于SRv6的云网安全服务可视化监测方法。首先,通过SRv6技术构建云网架构,提高云网安全服务的质量;其次,采用提升小波变换算法剔除云网流量数据中的噪声,避免噪声对可视化监测过程产生影响;最后,采用基于三维可视化的监测机制,并结合信息熵挖掘算法,完成云网安全服务的可视化监测。该方法在提高监测效果的同时,一定程度上也降低了方法的监测时间,对云网监测技术有很好的参考价值。