陳升智 羅蓓蓓

摘要：本文首先簡(jiǎn)要分析了航海安全識(shí)別的目的，探討了航海安全識(shí)別的工作原理，最后探討了模式識(shí)別在日志分析中的實(shí)際應(yīng)用，望能為此領(lǐng)域研究有所借鑒。

關(guān)鍵詞：模式識(shí)別；航海安全；數(shù)據(jù)挖掘

中圖分類號(hào)：TP391.4 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1007-9416（2018）08-0099-02

各船企對(duì)應(yīng)用日志、系統(tǒng)日志的管理觀念正發(fā)生著較大程度改變，從起初的日志僅被用作明確系統(tǒng)正常與否，到現(xiàn)階段借助于集中監(jiān)控平臺(tái)，實(shí)施監(jiān)控日志，且對(duì)關(guān)鍵詞進(jìn)行準(zhǔn)確識(shí)別，及時(shí)發(fā)出價(jià)值警告，保證航海安全。近年來(lái)，伴隨航海日志量及數(shù)據(jù)量的不斷增多，日志內(nèi)容的日趨豐富，許多船舶企業(yè)從航海日志中發(fā)現(xiàn)，其中蘊(yùn)含著十分豐富且有價(jià)值的信息，可以在航海安全中得到更好應(yīng)用。本文就模式識(shí)別在航海安全中的應(yīng)用作一探討與剖析。

1 航海安全識(shí)別的目的

針對(duì)模式識(shí)別而言，一般情況下，其所指的是人們?cè)诟鞣N現(xiàn)象或事物進(jìn)行觀察時(shí)，從中找尋其與其它事物間，或者是與其它現(xiàn)象之間，所存在的差異性與相同點(diǎn)，而且在實(shí)際操作中，還需根據(jù)現(xiàn)實(shí)需要，將各相似但是卻并不完全相同的現(xiàn)象或事物，以一種合理、恰當(dāng)?shù)姆绞浇M合在一起。為了能夠更好從部分事物或現(xiàn)象當(dāng)中，將事物或現(xiàn)象的總體突出出來(lái)，將這樣一些個(gè)別的現(xiàn)象或事物作為基本模式。

1.1 在航海安全中應(yīng)用模式識(shí)別的基本目的

（1）在數(shù)量龐大的航海日志流當(dāng)中，將簡(jiǎn)單、重復(fù)的相關(guān)事件找出來(lái)。（2）構(gòu)建模式基線，此些基線能夠?qū)⒄５氖录鞅硎境鰜?lái)，且過(guò)濾那些匹配的事件。（3）以過(guò)濾之后所得到事件為對(duì)象，開(kāi)展系統(tǒng)化分析，從中把那些比較有價(jià)值、有意義的信息找出來(lái)。借助于此方法，對(duì)那些沒(méi)有被關(guān)注的新型事件，開(kāi)展深層次、全面性、系統(tǒng)化的挖掘與研究，或者根據(jù)現(xiàn)實(shí)情況，從中找出那些仍然充斥著許多未知內(nèi)容的事件。對(duì)于日志模式識(shí)別來(lái)考量，其應(yīng)用在安全事件鑒別上，尤其是航海安全事件鑒別中，能夠從中獲得更多信息，而且此些信息更具價(jià)值性，因而可以從中得到更多的收益。針對(duì)模式識(shí)別來(lái)講，其能夠根據(jù)現(xiàn)實(shí)情況及需要，以一種自動(dòng)方式，對(duì)那些微小的或長(zhǎng)期性的模式檢測(cè)出來(lái)，此些模式在傳統(tǒng)的日志檢測(cè)中往往較大被發(fā)現(xiàn)。

1.2 借助模式檢查可實(shí)現(xiàn)內(nèi)容

（1） 零日攻擊檢測(cè)。所謂零日漏洞，從根本上來(lái)講，就是被發(fā)現(xiàn)后，會(huì)在較短時(shí)間內(nèi)被惡意利用，因而引發(fā)不同程度的安全缺陷，針對(duì)此種攻擊而言，其通過(guò)鉆廠商系統(tǒng)所存在的漏洞與不懂，趁虛而入，破壞數(shù)據(jù)與信息，噪聲數(shù)據(jù)丟失，此種攻擊便是在航海業(yè)內(nèi)經(jīng)常提到的“零日攻擊”。對(duì)于模式發(fā)現(xiàn)來(lái)講，其可以根據(jù)實(shí)際需要，將那些歷史模式信息記錄下來(lái)，構(gòu)建起更加全面、豐富且實(shí)用的模式基線，因此，能夠從中發(fā)現(xiàn)那些之前并沒(méi)有被發(fā)現(xiàn)的行為模式，對(duì)此，航海人員對(duì)于那些存在異常的行為日志，可以更加及時(shí)、準(zhǔn)確的找出來(lái)。（2）慢攻擊檢測(cè)。慢速攻擊與海量流量、快速的傳統(tǒng)攻擊方式存在本質(zhì)區(qū)別，通常是反其道而行，是在一段比較長(zhǎng)的時(shí)間內(nèi)，以一種比較緩慢的方式來(lái)開(kāi)展行為攻擊。此種攻擊方式往往存在比較明顯的隱蔽性，因異常時(shí)間多分布于比較長(zhǎng)的時(shí)間段內(nèi)，所以，對(duì)于攻擊系統(tǒng)而言，在還沒(méi)有被攻陷前，很難找出或發(fā)現(xiàn)此些異常行為。而借助于長(zhǎng)時(shí)間的模式識(shí)別技術(shù)，便能及時(shí)且準(zhǔn)確的找出此些攻擊。（3）以一種自動(dòng)方式，完成日志分析規(guī)則的創(chuàng)建。針對(duì)那些已經(jīng)完成構(gòu)建或在航海安全中已經(jīng)得到廣泛應(yīng)用的日志分析規(guī)則，通過(guò)結(jié)合現(xiàn)實(shí)情況及需要，以一種恰當(dāng)方式與模式識(shí)別相結(jié)合，能夠把所需要的一些新模式，不斷向分析規(guī)則進(jìn)行轉(zhuǎn)換，能獲得更為精確的自動(dòng)化日志分析策略。（4）從中發(fā)現(xiàn)正常的行為模式，比如基于當(dāng)前的航海安全通訊日志，從中找尋出新的且更具價(jià)值性的網(wǎng)絡(luò)通訊關(guān)系，由航海人員以一種高效方式再次進(jìn)行篩選與甄別，最終找出潛在的風(fēng)險(xiǎn)。（5）合理、準(zhǔn)確保存歷史威脅模式。對(duì)于模式識(shí)別來(lái)考量，其可結(jié)合現(xiàn)實(shí)情況，借助信息系統(tǒng)，利用其所給出的具體的事件模式，開(kāi)展全局性、有目的性的歸類。比如通過(guò)對(duì)模式識(shí)別進(jìn)行合理化應(yīng)用，圍繞系統(tǒng)，從中找出其所持有的異常行為模式，且對(duì)此系統(tǒng)上所存在的某個(gè)后門(mén)漏洞加以確認(rèn)，此行為模式多由后門(mén)漏洞所致，那么可以把此異常行為模式予以保存，且加以標(biāo)記。針對(duì)另外一個(gè)系統(tǒng)而言，如果其中也發(fā)現(xiàn)有此行為模式，那么便可以根據(jù)實(shí)際情況及需要，此系統(tǒng)有可能存在的相同的后門(mén)漏洞，對(duì)此，需及時(shí)進(jìn)行查找與判斷，這對(duì)于航海人員而言，便會(huì)帶來(lái)比較嚴(yán)重的安全威脅。

2 航海安全識(shí)別的工作原理

比如某個(gè)模式識(shí)別實(shí)例，在對(duì)黃油進(jìn)行采購(gòu)的同時(shí)，還采購(gòu)果醬與面包，吹此之外，餅干與牛奶也在本次采購(gòu)之內(nèi)，在整個(gè)采購(gòu)過(guò)程中，面包+果醬共出現(xiàn)了3次，而牛奶+餅干出現(xiàn)了2次，黃油+果醬+面包出現(xiàn)了2次。由此可知，在具體的采購(gòu)事務(wù)方面，共有3種模式。對(duì)于分析者而言，其會(huì)對(duì)此些模式進(jìn)行推導(dǎo)，得出如下信息：（1）針對(duì)采購(gòu)者來(lái)講，其更加傾向于對(duì)早餐食品的購(gòu)買(mǎi)；（2）對(duì)于采購(gòu)者而言，其更傾向于將餅干或烤面包作為早產(chǎn)的主要食物。其中，針對(duì)面包+果醬的組合而言，其在兩個(gè)模式中均有出現(xiàn)，可將其當(dāng)作一個(gè)子模式。如圖1所示。

借助于此實(shí)例，便能對(duì)模式識(shí)別有一比較清晰且全面的認(rèn)識(shí)，從模式當(dāng)中可以行為的目的推導(dǎo)出來(lái)。而后續(xù)工作就是在航海安全日志中，準(zhǔn)確、高效的識(shí)別模式。首先，將事件流作為基本對(duì)象，依據(jù)一定規(guī)則，將其進(jìn)行細(xì)致劃分，使之成為各自獨(dú)立的事務(wù)，然后根據(jù)現(xiàn)實(shí)情況，圍繞多個(gè)事務(wù)當(dāng)中所發(fā)生的事件，對(duì)其開(kāi)展準(zhǔn)確、全面且有目的性的識(shí)別與分組。針對(duì)此些事件而言，其便成為子集，且成為support level。對(duì)于后者來(lái)講而言，其數(shù)字越大，則證明其有著越加頻繁的事件模式。

3 模式識(shí)別在日志分析中的應(yīng)用

在整個(gè)日志分析系統(tǒng)架構(gòu)當(dāng)中，通過(guò)根據(jù)實(shí)際需要，設(shè)置好所需要的日志過(guò)濾條件，也就是以防火墻為對(duì)象，就其允許時(shí)間進(jìn)行設(shè)置，將其當(dāng)做目的端口，目標(biāo)設(shè)置為目的地址，源設(shè)置為源地址，模式最少出現(xiàn)2次，最短模式的長(zhǎng)度是5，時(shí)間跨度為5min?；谏鲜雠渲每芍?，在5min內(nèi)，由外部對(duì)內(nèi)部進(jìn)行訪問(wèn)，針對(duì)目地址而言，其與訪問(wèn)源相同，而且還根據(jù)實(shí)際需要，設(shè)置有諸多訪問(wèn)端口。通過(guò)對(duì)此模式識(shí)別策略的有效應(yīng)用，從中所發(fā)現(xiàn)的端口訪問(wèn)模式，借助于點(diǎn)擊鉆取，可以對(duì)詳細(xì)的端口列表進(jìn)行查看，并能獲得源和目的地址，除此之外，還能得到具體的訪問(wèn)時(shí)間。針對(duì)航海安全管理人員而言，其借助于此類模式，對(duì)非法與合法的系統(tǒng)訪問(wèn)進(jìn)行甄別，以此來(lái)最大程度提高網(wǎng)絡(luò)航海運(yùn)行安全，除此之外，還能提升數(shù)據(jù)的安全性。對(duì)于傳統(tǒng)的非法訪問(wèn)來(lái)講，可以結(jié)合現(xiàn)實(shí)情況及相關(guān)需要，設(shè)計(jì)基本模式識(shí)別，即“慢速嘗試服務(wù)器用戶口令”。針對(duì)那些傳統(tǒng)暴力破解來(lái)考量，其多借助于工具來(lái)實(shí)現(xiàn)，而且還可以在比較短的時(shí)間內(nèi)，完成快速登錄。

識(shí)別設(shè)置慢速嘗試服務(wù)器用戶口令模式，對(duì)于日志過(guò)濾條件來(lái)分析，其實(shí)際就是登錄失敗事件，針對(duì)“源端口”來(lái)講，從基礎(chǔ)層面來(lái)分析，其即為事件字段，而對(duì)于“源地址”而言，其就是源設(shè)置，另外，對(duì)于“目的地址”，其可以理解為目標(biāo)設(shè)置，模式最少出現(xiàn)2次，最短模式長(zhǎng)度是2，事件跨度為8h。比如1796、1792端口序列，如果“支持=4”，那么其意思就是錯(cuò)誤登錄次數(shù)為4次，而如果“支持=2”，其所表示的是第二個(gè)4次，即經(jīng)1792端口，共出現(xiàn)4次訪問(wèn)記錄，而經(jīng)1796端口，也出現(xiàn)4次訪問(wèn)。經(jīng)鉆取，用原始日志信息變可以將源與目的地址找出來(lái)，還能快速定位至終端位置。

4 結(jié)語(yǔ)

綜上，現(xiàn)階段，關(guān)于航海安全的日志分析經(jīng)較為常見(jiàn)，也有把日志分析融入到大數(shù)據(jù)分析的實(shí)踐操作，但需要指出的是，諸多統(tǒng)計(jì)分析，仍然圍繞歷史日志來(lái)開(kāi)展，而把模式識(shí)別應(yīng)用到航海安全當(dāng)中卻并不多見(jiàn)。航海安全的模式識(shí)別在我國(guó)航海安全領(lǐng)域得到廣泛應(yīng)用，隨著其技術(shù)體制的日漸完善，其功能將會(huì)得到持續(xù)擴(kuò)展，安全性及運(yùn)維能力也會(huì)得到明顯提高，因而有著廣泛、高質(zhì)量的應(yīng)用價(jià)值。

參考文獻(xiàn)

[1]劉用功，陳丹涌.LMS算法在船舶航行危險(xiǎn)評(píng)估中的應(yīng)用[J].山東交通學(xué)院學(xué)報(bào)，2016， 24（2）：71-74.

[2]孫林華，付金沐.模式識(shí)別方法在奎河氮磷環(huán)境背景值研究中的應(yīng)用[J].安全與環(huán)境學(xué)報(bào)，2014，14（5）：302-306.

[3]王廣偉，李強(qiáng)，徐海峰.遺傳算法在結(jié)構(gòu)損傷模式識(shí)別中的應(yīng)用[J].浙江海洋學(xué)院學(xué)報(bào)（自然科學(xué)版），2008，27（3）：335-339.

[4]尹建川，胡江強(qiáng)，何慶華.變結(jié)構(gòu)徑向基函數(shù)網(wǎng)絡(luò)及其在混沌序列在線預(yù)測(cè)中的應(yīng)用[J]. 模式識(shí)別與人工智能，2010，23（6）：000874-879.

[5]魏照坤，周康，魏明，等.基于AIS數(shù)據(jù)的船舶運(yùn)動(dòng)模式識(shí)別與應(yīng)用[J].上海海事大學(xué)學(xué)報(bào)， 2016，37（2）：17-22.