【摘要】針對(duì)戰(zhàn)術(shù)數(shù)據(jù)鏈無(wú)線網(wǎng)絡(luò)典型入侵事件，基于演化算法和神經(jīng)網(wǎng)絡(luò)提出了一種基于演化神經(jīng)網(wǎng)絡(luò)的入侵檢測(cè)

方法。通過(guò)仿真實(shí)驗(yàn)和性能對(duì)比驗(yàn)證了該方法的有效性，對(duì)戰(zhàn)術(shù)數(shù)據(jù)鏈系統(tǒng)的安全設(shè)計(jì)有一定的指導(dǎo)意義。

【關(guān)鍵詞】戰(zhàn)術(shù)數(shù)據(jù)鏈無(wú)線入侵檢測(cè)演化算法神經(jīng)網(wǎng)絡(luò)

A Tactical Datalink Wireless Intrusion Detection Method Based on an Evolutionary Neural Network

CHEN Mingde， YU Xin

（Southwest China Institute of Electronic Technology， Chengdu 610036）

Abstract： Based on the principles of evolutionary algorithms and neural networks， According to the typical intrusion event in the tactical datalink wireless network， an intrusion detection method based on an evolutionary neural network was proposed. The efficacy of the proposed method was validated via experimental results， which offered guidance to the future security design of tactical datalink systems.

Key words： Tactical Datalink， Wireless Intrusion Detection， Evolutionary Algorithms， Neural Networks

一、引言

現(xiàn)代信息化戰(zhàn)場(chǎng)上，戰(zhàn)術(shù)數(shù)據(jù)鏈在C4ISR系統(tǒng)中發(fā)揮的作用越來(lái)越重要。因此，戰(zhàn)術(shù)數(shù)據(jù)鏈無(wú)線網(wǎng)絡(luò)往往成為敵方首要攻擊目標(biāo)。目前，針對(duì)戰(zhàn)術(shù)數(shù)據(jù)鏈的攻擊已不僅僅局限于傳統(tǒng)的物理層信號(hào)干擾，還包括網(wǎng)絡(luò)干擾阻塞、信息竊取欺騙等多種無(wú)線入侵方式[1]。從國(guó)內(nèi)外研究情況來(lái)看，針對(duì)戰(zhàn)術(shù)數(shù)據(jù)鏈無(wú)線入侵的研究主要集中在物理層信號(hào)干擾上[2，3]，還沒(méi)有相關(guān)文獻(xiàn)對(duì)戰(zhàn)術(shù)數(shù)據(jù)鏈其他方面的無(wú)線入侵方式進(jìn)行詳細(xì)研究。本文針對(duì)戰(zhàn)術(shù)數(shù)據(jù)鏈無(wú)線網(wǎng)絡(luò)的典型無(wú)線入侵事件，設(shè)計(jì)了一種基于演化神經(jīng)網(wǎng)絡(luò)的檢測(cè)算法，并通過(guò)仿真驗(yàn)證了該方法的有效性。

二、戰(zhàn)術(shù)數(shù)據(jù)鏈無(wú)線入侵典型方式

針對(duì)戰(zhàn)術(shù)數(shù)據(jù)鏈的無(wú)線入侵主要目的在于降低對(duì)方通過(guò)數(shù)據(jù)鏈獲取信息優(yōu)勢(shì)的能力，其主要方式包括：壓制干擾、網(wǎng)絡(luò)干擾、信息竊取及信息欺騙四種。（1）壓制干擾是指在對(duì)方數(shù)據(jù)鏈無(wú)線通信頻率上人為地發(fā)送一定功率的干擾信號(hào)，以使對(duì)方無(wú)線鏈路接收機(jī)降低或喪失接收數(shù)據(jù)鏈信息的能力，屬于傳統(tǒng)的無(wú)線入侵方式。戰(zhàn)術(shù)數(shù)據(jù)鏈?zhǔn)艿綁褐聘蓴_后，會(huì)導(dǎo)致無(wú)線鏈路中信息發(fā)送成功率突然下降，甚至鏈路完全中斷。（2）網(wǎng)絡(luò)干擾是指通過(guò)向?qū)Ψ綌?shù)據(jù)鏈無(wú)線鏈路發(fā)送大量無(wú)效信息，以使對(duì)方數(shù)據(jù)鏈大量網(wǎng)絡(luò)資源被非法占用。戰(zhàn)術(shù)數(shù)據(jù)鏈在受到網(wǎng)絡(luò)干擾后，網(wǎng)絡(luò)業(yè)務(wù)流量會(huì)急劇增加，網(wǎng)絡(luò)中出現(xiàn)信息擁塞，合法網(wǎng)絡(luò)成員無(wú)法獲取所需的網(wǎng)絡(luò)資源來(lái)傳輸業(yè)務(wù)，網(wǎng)絡(luò)性能嚴(yán)重下降。（3）信息竊取是指?jìng)窝b對(duì)方數(shù)據(jù)鏈網(wǎng)絡(luò)的合法成員，企圖加入對(duì)方網(wǎng)絡(luò)，并從網(wǎng)絡(luò)中竊取收集戰(zhàn)場(chǎng)態(tài)勢(shì)、作戰(zhàn)計(jì)劃、指揮控制指令、作戰(zhàn)平臺(tái)實(shí)時(shí)位置、合法網(wǎng)絡(luò)成員地址等高價(jià)值信息。戰(zhàn)術(shù)數(shù)據(jù)鏈信息一旦被成功竊取，數(shù)據(jù)鏈網(wǎng)絡(luò)中的作戰(zhàn)平臺(tái)部署、行動(dòng)計(jì)劃等關(guān)鍵信息可能會(huì)直接暴露給敵方，導(dǎo)致嚴(yán)重后果。（4）信息欺騙是指在基本掌握對(duì)方數(shù)據(jù)鏈網(wǎng)絡(luò)的工作參數(shù)的情況下，向?qū)Ψ綌?shù)據(jù)鏈網(wǎng)絡(luò)發(fā)送錯(cuò)誤信息，或者接收對(duì)方信息進(jìn)行篡改后重新發(fā)送，這些信息一般包括：敵我雙方態(tài)勢(shì)、作戰(zhàn)指令等作戰(zhàn)關(guān)鍵信息。如果上述欺騙/篡改信息被按照正常處理，將導(dǎo)致執(zhí)行方做出錯(cuò)誤判斷和決策。

三、戰(zhàn)術(shù)數(shù)據(jù)鏈無(wú)線入侵檢測(cè)方法

目前，常用的網(wǎng)絡(luò)入侵檢測(cè)方法主要分為誤用檢測(cè)和異常檢測(cè)兩大類[4，5]。誤用檢測(cè)通常采用基于規(guī)則的方法，根據(jù)已儲(chǔ)備的有關(guān)已知攻擊特點(diǎn)的信息進(jìn)行入侵檢測(cè)。這類方法在檢測(cè)已知類型的入侵時(shí)具有較高的可靠性，即較低的FP（1 positive）率。但是無(wú)法檢測(cè)未遇到過(guò)的類型的攻擊，而且當(dāng)出現(xiàn)新類型的攻擊時(shí)，還必須手動(dòng)更新已知攻擊特點(diǎn)信息數(shù)據(jù)庫(kù)。異常檢測(cè)使用常規(guī)入侵模式進(jìn)行建模，將任何偏離模型的事件歸為異常事件。

戰(zhàn)術(shù)數(shù)據(jù)鏈無(wú)線網(wǎng)絡(luò)區(qū)別于一般的無(wú)線網(wǎng)絡(luò)，針對(duì)戰(zhàn)術(shù)數(shù)據(jù)鏈無(wú)線網(wǎng)絡(luò)的無(wú)線入侵還沒(méi)有已知的固定方式。因此，這里只能采用異常檢測(cè)方法對(duì)戰(zhàn)術(shù)數(shù)據(jù)鏈無(wú)線網(wǎng)絡(luò)無(wú)線入侵事件進(jìn)行檢測(cè)識(shí)別。最近幾年，包括規(guī)則學(xué)習(xí)[6]、隱馬爾科夫模型[7]、支持向量機(jī)[8]以及神經(jīng)網(wǎng)絡(luò)[9-12]等在內(nèi)的機(jī)器學(xué)習(xí)方法已被成功應(yīng)用于網(wǎng)絡(luò)入侵檢測(cè)。由于神經(jīng)網(wǎng)絡(luò)具備從有限的、帶噪聲的以及不完整的信息中泛化出檢測(cè)模型的能力，因此該模型不僅能夠檢測(cè)出已知攻擊，而且還能夠檢測(cè)出從未遇到過(guò)的新類型的攻擊[9]。所以神經(jīng)網(wǎng)絡(luò)被看作是一種很有潛力的入侵檢測(cè)技術(shù)。

四、基于演化神經(jīng)網(wǎng)絡(luò)的戰(zhàn)術(shù)數(shù)據(jù)鏈無(wú)線入侵檢測(cè)算法

神經(jīng)網(wǎng)絡(luò)在應(yīng)用時(shí)需要完成三個(gè)關(guān)鍵步驟，即特征選擇、結(jié)構(gòu)設(shè)計(jì)和權(quán)值調(diào)整[9]。通常來(lái)說(shuō)，特征選擇和結(jié)構(gòu)設(shè)計(jì)是單獨(dú)進(jìn)行的。但是，輸入特征子集和神經(jīng)網(wǎng)絡(luò)的結(jié)構(gòu)是相關(guān)的，對(duì)神經(jīng)網(wǎng)絡(luò)的性能具有聯(lián)合的貢獻(xiàn)。若同時(shí)優(yōu)化輸入特征和網(wǎng)絡(luò)結(jié)構(gòu)，為了評(píng)估選擇的特征和網(wǎng)絡(luò)結(jié)構(gòu)帶來(lái)的聯(lián)合優(yōu)勢(shì)，必須在找到近似最優(yōu)的特征子集和網(wǎng)絡(luò)結(jié)構(gòu)以后學(xué)習(xí)連接權(quán)值。但是該方法會(huì)給適應(yīng)度評(píng)估帶來(lái)噪聲，從而使優(yōu)化效率降低，優(yōu)化精度下降。因此，本文設(shè)計(jì)的演化神經(jīng)網(wǎng)絡(luò)能夠同時(shí)利用演化算法優(yōu)化輸入特征、網(wǎng)絡(luò)結(jié)構(gòu)和連接權(quán)值。

具體來(lái)說(shuō)，初始神經(jīng)網(wǎng)絡(luò)種群通過(guò)隨機(jī)權(quán)值以及全連接生成。首先，評(píng)估所有初始或者被選出的個(gè)體的適應(yīng)度值，然后從父代和子代個(gè)體中選出最好的部分個(gè)體，并對(duì)這部分個(gè)體執(zhí)行子網(wǎng)交叉算子，最后再執(zhí)行啟發(fā)式變異算子。神經(jīng)網(wǎng)絡(luò)演化過(guò)程如表1所示。

4.1特征選擇

特征選擇是指從原始特征集中選擇使某種評(píng)估標(biāo)準(zhǔn)最優(yōu)的特征子集。其目的是根據(jù)一些準(zhǔn)則選出最小的特征子集，使得任務(wù)如分類、回歸等達(dá)到和特征選擇前近似甚至更好的效果。通過(guò)特征選擇，一些和任務(wù)無(wú)關(guān)或者冗余的特征被刪除，簡(jiǎn)化的數(shù)據(jù)集常常會(huì)得到更精確的模型，也更容易理解[14]。

為了更準(zhǔn)確的檢測(cè)入侵事件，我們選擇了戰(zhàn)術(shù)數(shù)據(jù)鏈無(wú)線網(wǎng)絡(luò)的一些性能指標(biāo)的統(tǒng)計(jì)量，以及一些典型的網(wǎng)絡(luò)異常事件作為候選特征，包括（但不局限于以下所列條目）：（a）網(wǎng)絡(luò)業(yè)務(wù)流量；（b）接收信號(hào)強(qiáng)度；（c）無(wú)線丟包率；（d）指令傳輸時(shí)延；（e）網(wǎng)內(nèi)重復(fù)成員；（f）網(wǎng)內(nèi)不明成員；（g）不明入網(wǎng)申請(qǐng)；（h）消息計(jì)數(shù)器異常；（i）消息幀結(jié)構(gòu)錯(cuò)誤；（j）消息格式錯(cuò)誤。

4.2編碼表示

我們使用前饋神經(jīng)網(wǎng)絡(luò)結(jié)構(gòu)。為了同時(shí)執(zhí)行特征選擇、結(jié)構(gòu)優(yōu)化以及連接權(quán)值訓(xùn)練，我們使用了一種混合的編碼方式[13]，即用1個(gè)連接矩陣和1個(gè)節(jié)點(diǎn)向量表示1個(gè)個(gè)體，如圖1所示。連接矩陣如圖1（a）所示，規(guī)模為（h+n）×（m+h），其中m和h分別表示輸入節(jié)點(diǎn)和隱節(jié)點(diǎn)的最大數(shù)目，n表示輸出節(jié)點(diǎn)的數(shù)目。矩陣第i行第j列元素wij為一實(shí)數(shù)，表示從節(jié)點(diǎn)j到節(jié)點(diǎn)m+i的權(quán)值，wij=0表示從節(jié)點(diǎn)j到節(jié)點(diǎn)m+i沒(méi)有連接。由于前饋神經(jīng)網(wǎng)絡(luò)只有1條直接連接，所以最右上三角矩陣元素值都為0。

節(jié)點(diǎn)向量如圖1（b）所示，規(guī)模為m+h維，向量中元素值只能取0或1，用于表示元素所在向量中的索引對(duì)應(yīng)的節(jié)點(diǎn)是否可用（1可用，0不可用）。前m個(gè)元素表示輸入節(jié)點(diǎn)，后h個(gè)元素表示隱節(jié)點(diǎn)。

如前一小節(jié)所示，特征輸入候選集包括網(wǎng)絡(luò)業(yè)務(wù)流量、接收信號(hào)強(qiáng)度和無(wú)線丟包率等共10種，即前饋神經(jīng)網(wǎng)絡(luò)中的輸入節(jié)點(diǎn)的最大數(shù)目m=10。編碼方式中節(jié)點(diǎn)向量前m個(gè)輸入節(jié)點(diǎn)位按照上一小節(jié)候選特征從（a）到（j）的順序排列。例如，編碼1010010110表示選擇了候選特征集中的網(wǎng)絡(luò)業(yè)務(wù)流量、無(wú)線丟包率、網(wǎng)內(nèi)不明成員、消息計(jì)數(shù)器異常和消息幀結(jié)構(gòu)錯(cuò)誤。

4.3適應(yīng)度評(píng)估

為了同時(shí)演化輸入特征和網(wǎng)絡(luò)結(jié)構(gòu)，適應(yīng)度函數(shù)不僅考慮了檢測(cè)準(zhǔn)確率，而且還包含了輸入節(jié)點(diǎn)數(shù)目懲罰因子和隱節(jié)點(diǎn)數(shù)目懲罰因子。某個(gè)個(gè)體a的適應(yīng)度函數(shù)fit（a）定義如下：

fit（a）=ρ（a）×ψ（a）×φ（a）

其中，ρ表示檢測(cè)準(zhǔn)確率，ψ表示輸入節(jié)點(diǎn)數(shù)目的懲罰因子，φ表示隱節(jié)點(diǎn)數(shù)目的懲罰因子。個(gè)體a的檢測(cè)準(zhǔn)確率定義如下：

ρ（a）=pos（a）/S

其中，pos表示正確的檢測(cè)分類數(shù)目，S表示包括正常和異常實(shí)例在內(nèi)的檢測(cè)總數(shù)目。

懲罰因子ψ定義如下：

ψ（a）=1-（num_in（a）-min_in）×para_in

其中，num_in表示輸入節(jié)點(diǎn)數(shù)目，min_in表示輸入節(jié)點(diǎn)的最小數(shù)目，para_in為用戶定義的參數(shù)，用于控制輸入節(jié)點(diǎn)數(shù)目對(duì)適應(yīng)度函數(shù)的影響程度。

懲罰因子φ定義如下：

φ（a）=1-（num_hid（a）-min_hid）×para_hid

其中num_hid表示隱節(jié)點(diǎn)數(shù)目，min_hid表示隱節(jié)點(diǎn)的最小數(shù)目，para_hid為用戶定義的參數(shù)，用于控制隱節(jié)點(diǎn)數(shù)目對(duì)適應(yīng)度函數(shù)的影響。

4.4子網(wǎng)交叉算子

節(jié)點(diǎn)i生成的子網(wǎng)Gen（i）定義如下：

其中，M為輸入節(jié)點(diǎn)集合，H為隱節(jié)點(diǎn)集合，P為輸出節(jié)點(diǎn)集合，ConIn（i）表示節(jié)點(diǎn)i的所有輸入連接集合，ConOut（i）表示節(jié)點(diǎn)i的所有輸出連接集合。

其中，w_adapt表示連接權(quán)值調(diào)整，node_del表示節(jié)點(diǎn)刪除，node_add表示節(jié)點(diǎn)添加，pm表示變異概率，pWA和pND為用戶定義參數(shù)并且滿足0

五、仿真和驗(yàn)證

5.1數(shù)據(jù)集

我們使用KDD Cup 1999的部分?jǐn)?shù)據(jù)集驗(yàn)證演化神經(jīng)網(wǎng)絡(luò)進(jìn)行入侵檢測(cè)時(shí)的有效性，共包含4大類：正常事件、拒絕服務(wù)攻擊（DOS，Denial of Service）、遠(yuǎn)程用戶到本地的非授權(quán)訪問(wèn)（R2L，Remote to Local）和探測(cè)攻擊（Probe）。此外，我們模擬戰(zhàn)術(shù)數(shù)據(jù)鏈無(wú)線網(wǎng)絡(luò)中的典型入侵事件對(duì)某數(shù)據(jù)鏈網(wǎng)絡(luò)實(shí)施入侵，并生成相關(guān)數(shù)據(jù)集，記為REAL。這些事件主要包括：網(wǎng)絡(luò)干擾、信息竊取、信息欺騙等。

訓(xùn)練數(shù)據(jù)集中的10%用于訓(xùn)練神經(jīng)網(wǎng)絡(luò)，各類訓(xùn)練集樣本數(shù)目如表3所示。神經(jīng)網(wǎng)絡(luò)演化完后，我們從種群中選出最好的個(gè)體并使用標(biāo)記過(guò)的測(cè)試集進(jìn)行測(cè)試，各類測(cè)試集樣本數(shù)目如表4所示，其中“已知”表示攻擊類型存在于訓(xùn)練集中，“未知”表示攻擊類型不存在于訓(xùn)練集中。

5.2結(jié)果和分析

用EvoNN表示演化神經(jīng)網(wǎng)絡(luò)入侵檢測(cè)方法，實(shí)驗(yàn)時(shí)還比較了與其它基于神經(jīng)網(wǎng)絡(luò)的方法之間的性能，這些方法包括RWNN[10]、BMPNN[11]和ENN[12]。實(shí)驗(yàn)結(jié)果如表5所示。從結(jié)果可以發(fā)現(xiàn)，除了在R2L上的檢測(cè)率低于RWNN以外，EvoNN在所有測(cè)試上均達(dá)到了最高的檢測(cè)率，此外，EvoNN還具備最低的FP率。

此外，表6給出了EvoNN針對(duì)不同測(cè)試集，獲得表5中結(jié)果時(shí)最終演化選擇的特征子集：

六、結(jié)論

本文對(duì)戰(zhàn)術(shù)數(shù)據(jù)鏈無(wú)線入侵檢測(cè)技術(shù)進(jìn)行了研究，提出了一種基于演化神經(jīng)網(wǎng)絡(luò)的入侵檢測(cè)方法，并通過(guò)仿真實(shí)驗(yàn)驗(yàn)證了該方法的有效性。未來(lái)信息化戰(zhàn)場(chǎng)條件下，戰(zhàn)術(shù)數(shù)據(jù)鏈將面臨敵方各種各樣惡意無(wú)線入侵攻擊。本文提出的入侵檢測(cè)方法戰(zhàn)術(shù)數(shù)據(jù)鏈系統(tǒng)的安全防護(hù)設(shè)計(jì)有一定的參考意義。

參考文獻(xiàn)

[1]袁秀麗，周洪宇，周谷.世界網(wǎng)絡(luò)戰(zhàn)發(fā)展現(xiàn)狀的初步研究[J].信息化研究， 2010，（08）：20-21.

[2]殷璐，嚴(yán)建鋼，樊嚴(yán). Link-16戰(zhàn)術(shù)數(shù)據(jù)鏈抗干擾性能評(píng)估與仿真[J].航天電子對(duì)抗， 2007，（03）：40-42.

[3]林茂森，殷璐，李相全. JTIDS抗干擾性能與仿真[J].通信對(duì)抗， 2007，（01）：36-39.

[4]唐正軍.入侵檢測(cè)技術(shù)導(dǎo)論.北京：機(jī)械工業(yè)出版社，2004.16-85.

[5]王利平.無(wú)線局域網(wǎng)入侵檢測(cè)技術(shù)研究[D].華中科技大學(xué)， 2008：15-17.

[6] L. Li， D. Yang， F. Shen. A novel rule-based intrusion detection system using data mining [C] // Proceedings of 2010 IEEE International Conference on Computer Science and Information Technology， 2010， 6： 169-172.

[7] S. B. Cho. Incorporating soft computing techniques into a probabilistic intrusion detection system [J]. IEEE Transactions on Systems， Man， and Cybernetics， Part C： Applications and Reviews， 2002， 32（2）： 154-160.

[8] G. Zhu， J. Liao. Research of intrusion detection based on support vector machine [C] // Proceedings of International Conference on Advanced Computer Theory and Engineering， 2008， 434-438.

[9] S. J. Han， S. B. Cho. Evolutionary neural networks for anomaly detection based on the behavior of a program [J]. IEEE Transactions on Systems， Man， and Cybernetics， Part B， 2006， 36（3）： 559-570.

[10] L. Yu， B. Chen， J. Xiao. An integrated system of intrusion detection based on rough set and wavelet neural network [C] // Proceedings of the Third International Conference on Natural Computation， 2007， 3： 194-199.

[11] T. P. Tran， T. Jan. Boosted modified probabilistic neural network （BMPNN） for network intrusion detection [C] // Proceedings of International Joint Conference on Neural Networks， 2006， 2354-2361.

[12] E. Michailidis， S. K. Katsikas， E. Georgopoulos. Intrusion detection using evolutionary neural networks [C] // Proceedings of Panhellenic Conference on Informatics， 2008， 8-12.

[13]李寧，謝振華，謝俊元，陳世福. SEFNN：一種基于結(jié)構(gòu)進(jìn)化的前饋神經(jīng)網(wǎng)絡(luò)設(shè)計(jì)算法[J].計(jì)算機(jī)研究與發(fā)展， 2006， 43（10）： 1713-1718.

[14] H. Liu， H. Motoda. Feature selection for knowledge discovery and data mining[M]. Boston： Kluwer Academic Publishers， 1998.