云平台下入侵人员位置实时监测方法研究

吕锋

关键词：云平台;入侵人员位置;实时监测;痕迹数据;粒子群多层解析法存。随着入侵人员利用的技术与手段越来越先进，入侵越来越具有无边界、隐藏性与突发性等特征，云平台所面临的安全挑战日益严峻。因此，网络安全受到人们广泛重视，研究云平台下入侵检测技术也变得十分有意义。

文献[1]提出基于信道状态信息相位差的人员入侵监测方法。分析信道状态信息相位差的可行性，通过轻量级指标对无线环境状态变化进行感知;采用递归量化分析法选择静止环境下的子载波，使用离散小波变换获取频率信号，进而判断出是否有人员入侵以及入侵位置。文献[2]提出多维测量信息的压缩感知多目标无源被动定位方法。在压缩感知架构下通过多维测量信息频率分集改善定位精度与鲁棒性;结合鞍面模型构建无源字典，将无源定位问题转换为多测量向量联合稀疏恢复问题;再利用多维稀疏贝叶斯学习方法估计入侵人员位置向量。但是上述两种方法监测入侵人员位置与实际位置吻合度较低，监测延时较高，导致入侵人员位置监测效果不理想。

针对以上方法存在的弊端，提出了一种基于痕迹数据的入侵人员位置实时监测方法。该方法将采集到的痕迹信息变换为频域信号，并获取监测信息与痕迹信息之间模糊聚类概率，结合衡量理论确保入侵人员位置信息被完整监测。

1云平台入侵监测需求分析与系统设计

1.1监测需求分析与模型建立

云平台具有计算能力强、规模大与高性能等特征，在建立监测系统模型时，需满足如下基本要求：

（1）入侵监测模型必须实时监测出所有云环境下的攻击行为特性，不但要监测主机遭到的攻击行为，还要监测出云漏洞攻击、非法访问等云平台特有攻击行为。

（2）云平台为用户提供的网络数据是实时变化的，因此监测模型需要具备可扩展性，以提高对云平台的适应性。

（3）因为云平台具有復杂性与无法预知等特点，入侵监测模型需要具备自学习性，可以持续监测新型入侵方式，这就要求设计合理的入侵监测算法来改善监测效率。

（4）云平台属于一个虚拟化、异构化的环境，入侵人员监测模型必须监控虚拟网络且获取虚拟机的通信数据来全面监测入侵行为。

（5）因为云平台存在大量攻击行为，所以每个监测系统之间需要相互连通、协同合作来阻止入侵攻击。

该监测模型将云平台划分为若干区域，在不同区域中设计单独监测代理，且放置一个对每个区域进行集中管理的中央控制器。区域监测系统中包括云控制器与主机监测代理。云控制器负责对主机监测代理提交的结果进行综合分析，判定是否存在局部范围的网络入侵并提出相应措施，再将结果提交给中央控制器。

1.2入侵人员位置监测系统结构设计

虽然入侵监测系统能从不同方面划分为多种类型，但是整体结构基本相同。主要包括以下基本组件：

（1）数据源：指系统获取的初始数据，这些数据中可能含有侵入行为信息。

（2）传感器和事件分析器：传感器将数据发送到分析器，通过分析处理发现异常。

（3）安全警报：分析器将异常行为生成安全警报，警报内容一般包含入侵发生时间、入侵类型以及异常行为处理方法等信息。

（4）响应器：是整个系统的核心，负责系统整体配置。

（5）反应：系统结合响应器对入侵行为进行对应处理。

1.3系统电路与软件程序设计

综合考虑预警信号的分析、对其他设备的控制以及抗干扰等性能，前端控制器利用STC（SysTern Chip）系统微处理器。语音芯片跳线ISD1420，在遇到攻击时可以及时进行预警。

为保证系统稳定运行，在电路中设置用于掉电检测与电源切换的微处理器。前端控制中心和控制室之间的数据传输通过GSM（Global Systemfor Mobile Communications）网络进行。

后端控制设备为满足网络化要求，选择不能缺少的计算机，经过软件程序编写，使该系统具有自动处理与分析控制等功能。

控制模块软件功能是在收到报警信息后通过讯响设备通知管理员，并将入侵信息放在设计好的号码上。同时将报警数据归档存储。此外，该软件还可以对前端探测设备进行布防。

2基于痕迹数据的入侵人员位置实时监测方法研究

2.1入侵可能路径估算

使用传统方法对入侵可能路径进行预测时，不能完全排除入侵人员伪装的缺陷，降低预测精准度。基于此，本文利用粒子群多层解析方法对入侵人员可能通过的路径进行预先估计。

2.1.1入侵人员异常行为特征提取

入侵行为中包括n个变量y1，y2，…，y，其中表示标准变量，可用a对其表示，因此获得以下结论.

利用主成分分析法分析入侵人员行为特性，可构建特征权值系数矩阵，以此获取能真实体现特征参数的多个主成分。实现步骤为：

步骤一：采集原始入侵信息，对其做规范化处理，获取准确数据基础;

步骤二：通过计算获得入侵人员异常行为特征权值矩阵;

步骤三：获得所有矩阵中的特征值，并计算与其相对的特征分量;

步骤四：得到网络中入侵人员特征主成分，对其进行规范化，得到最终结果。

对入侵人员行为特征规范化处理流程如下：

通过下述公式计算入侵特征权值系数矩阵内存在的对角元素：

结合上述路径构建原始种群，获取种群适应程度函数，对于种群中全部可能入侵的路径做交叉与变异运算，以此获得可能入侵路径的预测结果。

2.2痕迹数据的频域变换

对云平台入侵人员痕迹数据进行监测之前，将痕迹数据变换为频域信号，并对其进行频谱分析。频谱分析的主要根据是频率中心、均方根频率以及跟方差，公式分别如下所示：74E84B52-77D2-44D7-A66C-1BCDE3321CD9

任意一个痕迹数据的频域特性都能利用一个特征矢量对其进行表示，特征向量组成的空间称为特征空间。代表x的某个痕迹信息信号样本集合，经立非线性H将样本信息信号从空间R映射到高隹特征空间R，再对该高维空间进行主成分分析。

2.3云平台下入侵人员位置实时监测

在对云平台入侵人员位置实时监测过程中，最为重要的环节就是计算待监测信息和痕迹信息之间的特征模糊聚类机率，需要在上述采集的痕迹信息特征基础上，建立能够描述模糊聚类概率的数学模型，此模型包括n个待检测信息和p条相关程度较高的痕迹信息，构建一个n×p的矩阵，利用对其表示：

为获得云平台入侵过程的待监测信息与痕迹信息之间存在的联系，对计算过程进行精简，提高运算效率，因此对协方差矩阵做降维运算：

上述公式中，a表示矩阵相关程度系数，是权值系数。如果在满足以上条件基础上，z与（B）无限接近，则也无限接近。实现矩阵降维处理后，可获得监测痕迹信息有关的节点数据，去除一些冗余数据，提高位置信息监测效率。

利用p代表云平台人员入侵的痕迹信息数量，作为第k个扫描节点。结合相关程度把痕迹信息分为L个种类，其特征表示为网络数据，则表示全部待检测数据。

在判定數据是否为人侵人员位置信息时，需利用下述公式计算待监测信息与痕迹信息的特征模糊聚类概率：

公式中，q（q）表示不同类型待监测信息在监测过程中，获得的数据与痕迹数据的特征匹配情况，q为待监测信息和入侵信息之间的匹配程度，属于常量，能调整概率参数。如果监测信息一致，则q维持不变。以上变量的表达式分别为：

公式中，T表示中痕迹信息总量，T则表示待监测测集合中属于痕迹信息的数量，j是待监测样本数量。将超出设定阈值的Q数据作为入侵位置信息，以此实现入侵人员位置实时监测。

为确保入侵人员位置信息被完全监测，必须结合衡量理论进行对比分析，使其符合以下条件：

公式中，a表示痕迹信息衡量标准，在对入侵位置实时监测过程中，痕迹信息与其他信息相关程度概率之和为1，又可描述为：

实现对a的优化后，如果q（f=cosx）无限接近于1，则获取的痕迹数据越准确，对入侵人员位置实时监测效果越好。

3仿真实验分析

为验证本文提出的云平台下入侵人员位置实时监测方法在实际应用中的性能，进行一次仿真实验分析，仿真实验设备如图1所示。

结合云平台应用实际状况，人员入侵通过传感器光纤形成的信号波形图如图2所示。

经过分析，人员入侵具有如下特征：每次入侵的时间周期大约在0.5～0.6s;每次入侵持续时间在0.35s左右。

为证明痕迹数据对入侵人员位置实时监测的可重复性，在相同位置进行多次实验，并将本文方法与文献[1]、文献[2]进行对比，结果如图3所示。

从实验结果对比图中可以看出，本文方法监测到的位置信息与实际位置最为接近，而其他两种方法监测到的位置和真实位置有较大差距。这是因为，在监测过程中，其方法会造成监测中断，而本文方法监测持续性较好，能提高位置监测准确度。此外对三种方法监测延时进行对比，对比结果如表1所示。

由表1可知，本文方法对入侵人员位置监测实时性较好，在多次实验过程中，每次延时都能控制在0.2s之内，而文献[2]方法最高延时达到0.7s。主要是因为，本文方法监测流程简便，减少计算量，减少延时。

4结论

随着云平台数据海量增长，入侵监测系统需要处理的数据是海量且高维的。为获取入侵者更多信息，本文利用痕迹数据对云平台入侵人员位置进行实时监测。仿真实验证明，该方法能够准确获得入侵者真实位置信息，实现实时监测。在今后的研究中，将属性约简方法和所提方法相结合应用到入侵监测系统中，进一步控制监测误差与实时性，使云平台更加安全可靠。74E84B52-77D2-44D7-A66C-1BCDE3321CD9