张 登

（国家广播电视总局二九一台，甘肃 兰州 730000）

0 引言

网络安全是整个广播电视网络系统的重要组成部分。随着广播电视网络系统的网络化发展，广播电视网络系统的体系框架越来越复杂、数据量越来越大，涉及的范围也越来越广。目前，网络攻击的形式更加多样化、频次日益增多、破坏程度也越来越严重。广播电视网络资源是国家重要的信息化设施，具有丰富的资源和众多的用户，是关乎国家安全的组成部分，所以网络完全问题显得尤为重要，一旦遭受攻击、破坏、造成安全事故，将危害国家安全体系。

如何检测对广播电视网络系统的攻击行为，保护网络安全基础，是保护广播电视网络系统安全，构建广播电视网络安全体系框架的重要环节[1]。入侵检测是一种网络安全的重要防护手段，能弥补防火墙的不足。许多学者采用机器学习方法，智能地对网络攻击进行入侵检测，实现入侵检测智能化、迅速化和高效化，降低了入侵检测的失误率、漏检率和误检率。

该文首先介绍了广播电视网络系统框架，然后介绍了一部分常用的深度学习算法，比较各个算法在网络安全入侵检测应用中的优缺点，最终选择K-means 算法用于广播电视网络系统的入侵检测。最后提出了基于K-means 聚类方法的广播电视网络安全系统框架，为获得性能良好的网络入侵检测体系和广播电视网络安全系统奠定基础。

1 广播电视网络安全系统框架研究

广播电视网络信息系统以具体业务为基础对象，在系统内各个模块建立合理的功能安全区域，并在功能区安全模块的基础上按照严格的准则等级设置不同层级的安全功能功能模块[2]。进入广播电视信息系统访问的事件操作，必须要经过广播电视网络安全子系统的入侵检测，而且整个访问过程的数据以及流程全过程会受到安全子系统的监察，记录都会被留在日志记录中。

广播电视网络安全子系统对广播电视网络信息系统进行多方向、多层面的防护，首先广播电视网络系统框架安全保护的核心就是广播电视安全子系统对主体访问客体事件的合法性进行检测和判断，分为前置检测和中间检测。安全子系统经常用规则来定义条件，在符合规则的条件下允许主体对客体进行访问。子系统通过对访问事件提取特征值、划分访问事件类来判断访问事件，允许或者制止访问事件的进行。对访问事件的控制、身份鉴别、入侵检测、加密等都是安全子系统对网络防范的功能技术，这些技术用来实现安全策略，一般通过策略模块的方式来实现。具体如图1 所示。

图1 广播电视网络安全系统结构

2 机器学习方法在网络入侵检测中的应用

该文选择机器学习方法用于网络入侵检测智能训练，机器学习的算法的大多数用途是处理分类问题。该算法可以将网络攻击事件划分为不同的类别，并且通过训练和学习，还可以提高分类的性能。这样的自主学习和分类正适合面对复杂多样的网络环境。将机器学习算法引入网络入侵检测系统中，会提高网络安全系统检测网络入侵的准确率。

2.1 机器学习方法介绍

机器学习被认为是一个系统的自我改进过程。机器学习所处理的问题通常被归结为搜索问题，即对处理的问题不断分类搜索的过程，以确定符合条件和假设的最佳数据结果。机器学习主要用于检测网络入侵检测的算法包括决策树、神经网络和K-means 算法等[3]。

2.1.1 决策树

决策树算法简单快捷，能够在短时间内处理数据集。将该算法用于网络入侵检测系统中，判断网络行为是否为网络攻击行为或属于哪种攻击行为，并对过程进行预测，可提高网络入侵检测的速率和准确率。国内外学者将决策树用于网络入侵检测系统。一些学者提出了一种实时检测方法，用决策树算法对网络数据进行分类。分类结果显示输出结果可以分成不同的类别。但是该模型并不能检测未知的入侵攻击。

2.1.2 神经网络

神经网络是一个由互相连接的神经元组成的算法结构，各神经元之间的相互连接，使神经网络算法可以实现并行计算，提高处理问题的效率。将神经网络算法应用于网络入侵检测系统中，解决传统检测中入侵检测的中央节点负荷过多的问题，能够处理大规模的入侵检测和数据，为大数据环境下的网络入侵检测提供网络安全保障。有学者将神经网络算法用于网络入侵检测系统中，并进行智能的实时入侵并发检测。该检测方式首先预处理实时流量数据，提取数据特征，将其转换成准化数据形式，然后将输出结果写入日志。神经网络聚类算法还可以解决未知的攻击手段，被聚集在一起的单元模块可以表示已知的攻击或未知的攻击。

2.1.3 K-means算法

K-means 算法是将数据识别成不同的类（被称为簇），是一种基于距离的聚类算法，该算法通过不断地获取离种子点最近的均值来划分数据聚集。该算法认为离种子点越近，与种子点的相似性越高，其在一个簇中的相似度越高，属于无监督机器学习方法。K-means 聚类是将数据对象分组成有一定相似特征子类的算法，一些学者将该算法应用于SOM 网络中，先用SOM 获得初步的集群和中心点，再用K-means 算法改进集群。K-means 算法属于无监督学习方法范畴，该算法易操作，数据分类快，可对未知类型的入侵类别实施分类措施。在入侵检测中，经常被用于进行日志数据检测和网络入侵检测分类。

2.2 3种算法在在系统网路入侵中的应用的比较

决策树、神经网络和K-means 这3 种算法是3 种不同的机器学习算法，分别被用在网络入侵检测中，且各有利弊。下面就分别对这3 种算法各自的优缺点进行介绍，具体见表1。

表1 3 种算法的优缺点对比

这3 种算法用于网络入侵检测系统中都有各自的优缺点，运用时应按照数据集的具体情况进行判断。广播电视网络系统的网络入侵数据集具有数据结构复杂、数据量大的特点，所以对算法的效率性和聚类的准确性有较高的需求，且入侵数据结构复杂，未知攻击占据很大比例。K-means是无监督学习方法，在划分入侵攻击类型时对于未知攻击的处理更规范，已知类型的攻击聚类效果好、效率高。所以选择K-means 算法来对广播电视网络安全系统进行入侵检测。

3 K-means算法在广播电视网络安全系统框架中的应用

3.1 基于K-means算法的入侵检测模型

网络入侵检测模型最早由学者Dorothy Denning 提出。目前检测技术及其体系均是在最初入侵检测模型的基础上进行了不同程度的扩展和细化。该文将K-means 算法用于网络安全入侵检测中，构建基于K-means 算法的入侵检测模型。基于K-means 聚类算法的模型首先由事件产生器接受事件，再通过K-means 聚类算法规则聚类，算法本身可以修改、删除、增加规则。其整个过程都由活动记录动态地记录整个过程，记录活动和K-means 聚类算法规则集之间也相互更新、匹配。

3.2 基于K-means算法的广播电视网络安全系统框架模型

图2 基于K-means 算法的广播电视网络安全系统框架模型

将基于K-means 算法的入侵检测模型用于广播电视网络安全子系统中，使网络系统在受到入侵攻击时，能够判断和检测入侵事件的合法性。基于K-means 算法的入侵检测模型子系统通过提取入侵访问的特征值、划分访问事件类别来判断访问事件，允许或者制止访问事件的进行。首先对用户和外部边界的入侵操作进行安全功能模块的初步判定，其次由基于K-means 算法的入侵检测模型对入侵进行分类，判定结果。最后对结果进行操作，使具体事件进入广播电视网络域。具体如图2 所示。

广播电视网络安全子系统是一个比较独立的安全子模块、子系统，因此需要一个管理中心用来管理该子系统的事物。基于K-means 算法的广播电视网络安全系统框架模型，为广播电视网络安全系统建立了 一个有效的检测平台，为广播电视网络系统安全的研究提供了一个新方法。