趙 攀，江宇波，魏正曦

（四川理工學院 計算機系，四川 自貢643000）

0 引 言

目前，根據(jù)攻擊意圖可以將攻擊事件劃分為4大類：Denial of Service Attacks （DoS），Remote to Local Attacks（R2L），User to Root Attacks （U2R），Probes［1－6］。其 中，DoS針對網(wǎng)絡(luò)服務(wù)有效性進行破壞，使主機或網(wǎng)絡(luò)不能及時接收并處理外界請求，從而不能提供合法用戶正常的服務(wù)。根據(jù)網(wǎng)絡(luò)攻擊提出的檢測方法可以劃分為：①隱馬爾可夫模型，將每個攻擊意圖視為有限狀態(tài)機的一個狀態(tài)，通過算法計算每個狀態(tài)的概率；②貝葉斯博弈，預測攻擊者和防御者在下一個博弈階段將會選擇的攻擊和防御措施的概率；③有色時間Petri網(wǎng)，重點檢測攻擊事件；④攻擊響應事件相關(guān)性，通過分析攻擊的前后關(guān)系，預測同一攻擊者對同一個對象可能的攻擊概率。同時，由于實際流量存在分形和突發(fā)特性，而網(wǎng)絡(luò)檢測流量統(tǒng)計模型FARIMA（p，d，q）能較好地刻畫流量分形和突發(fā)特性［7，8］，因此可結(jié)合該模型對到達數(shù)據(jù)包進行分組擬合，以此分析流量的異常性。對此，國內(nèi)外學者做了大量工作。文獻 ［9］針對異常網(wǎng)絡(luò)行為會偏離正常語法規(guī)則的特點，利用改進的隱馬爾可夫模型建立了一種網(wǎng)絡(luò)攻擊檢測方法，其原理建立在正常行文樣本的學習基礎(chǔ)上。文獻 ［10］結(jié)合4種不同的檢測方法，建立了基于隱馬爾可夫的分布式拒絕服務(wù)攻擊的檢測模型，但該模型只能針對網(wǎng)絡(luò)層協(xié)議，對于應用層缺乏有效檢測機制。文獻 ［11］根據(jù)節(jié)點行為特征的多元屬性，結(jié)合精確檢測攻擊行為和對傳感數(shù)據(jù)的有效融合，建立了一種高效的網(wǎng)絡(luò)攻擊檢測方法，以達到降低網(wǎng)絡(luò)開銷和誤報率的目的。為了采用輕量級協(xié)議交互方式來獲取客戶端和服務(wù)器雙方的實時狀態(tài)信息，文獻 ［12］在對等網(wǎng)絡(luò)中建立了一種抵御DoS攻擊的自適應安全框架。文獻 ［13］基于進程異常場景自動分析攻擊載荷句法，建立了一種代碼注入攻擊自動分析和響應方法，能夠有效識別和阻斷基于同一未知漏洞的各種代碼注入攻擊，顯著地降低響應虛警概率和系統(tǒng)對外服務(wù)的響應時間。文獻 ［14］利用蝴蝶突變模型刻畫數(shù)據(jù)包異常行為，建立了一種突變級數(shù)的異常流量狀態(tài)檢測方法，但攻擊檢測的誤報率有待進一步提高。

在上述研究的基礎(chǔ)上，本文基于粒子群優(yōu)化算法提出了一種新的檢測方法，并結(jié)合數(shù)據(jù)包屬性的離散度給出了檢測指標，同時通過獲得數(shù)據(jù)包屬性的標準差分布來判斷是否存在被攻擊的可能性。最后，以O(shè)PNET和MATLAB進行仿真實驗，對比研究了該算法與其它算法之間的性能狀況。

1 網(wǎng)絡(luò)攻擊評價指標

由于HTTP協(xié)議中數(shù)據(jù)包可以看作遵循一定標準的字符串，具有k個通用屬性的數(shù)據(jù)域組成，令數(shù)據(jù)包Y＝［y1，y2，…，yk］，其中yk表示Data頭部，Host頭部，源端IP地址，目的端IP地址，等等。對于n個數(shù)據(jù)包的樣本集合Z＝ ［Y1，Y2，…，Yn］，則可以表示為

那么這n個數(shù)據(jù)包第k個屬性可采用序列Zk＝ ［y1k，y2k，…，ynk］來表示。令第k個屬性的離散度為β（Zk），則整個樣本集合的離散度β（Z）為

λ越大意味著該數(shù)據(jù)包與標準樣本偏離越遠，越有可能被攻擊篡改信息。

針對上述評價指標，本文曾經(jīng)結(jié)合云模型建立了網(wǎng)絡(luò)攻擊檢測方法 （detection method based of cloud model，DMCM），其算法流程如圖1所示。在云模型中，將待檢測某數(shù)據(jù)包Y＝ ［y1，y2，…，yk］視作云滴，云團是由一系列云滴構(gòu)成，某個云滴代表定性對象的一次實現(xiàn)，并且云滴之間的順序是無關(guān)的。云滴根據(jù)定義的規(guī)則發(fā)生器，在域內(nèi)產(chǎn)生一個隨機確定度，通過這一隨機確定度來激活后件云發(fā)生器，以此產(chǎn)生新的云滴。但是由于云模型的不確定度量較大，使得計算量偏大。因此，本文利用粒子群優(yōu)化 （particle swarm optimization，PSO）算法來建立新的網(wǎng)絡(luò)攻擊檢測方法，以此減小計算量，同時避免陷入局部最優(yōu)。

圖1 DMCM算法流程

2 基于粒子群的攻擊檢測方法

粒子群優(yōu)化算法［15，16］是一種基于群體協(xié)作的隨機搜索算法，所有的粒子由一個優(yōu)化函數(shù)來決定其適應值。在每次迭代中，粒子通過個體極值和種群全局極值來更新狀態(tài)。但是粒子群優(yōu)化算法容易導致局部最優(yōu)，所以本文結(jié)合變異算子來改進粒子群優(yōu)化算法的缺陷，以此提高檢測網(wǎng)絡(luò)攻擊的成功率。其具體算法DMPSO （detection method based of particle swarm optimization）如下所述：

（1）在開始時刻初始化網(wǎng)絡(luò)參數(shù)，并確定粒子群規(guī)模n，產(chǎn)生粒子群的初始位置s（i，0）和初始速度v（i，0）；

（2）將待檢測某數(shù)據(jù)包Y＝ ［y1，y2，…，yk］視作粒子i，判斷當前粒子i的標準差λ是否小于閾值λmax，如果不滿足則根據(jù)式 （4）和式 （5）所示的變異算子替換s（i，0），否則保持不變

式中：s（max，t）和s（min，t）——粒子位置s（i，t）的邊界，φ——變異分布指數(shù)，rand （）—— （0，1）之間的隨機數(shù)；

（3）按照式 （5）所示的適應度函數(shù)計算粒子i的適應值f（λ），并將粒子i的最佳位置sopt確定為當前位置，同時暫時令sopt為種群的最佳位置s

（4）根據(jù)當前最佳位置sopt，結(jié)合式 （6）和式 （7）更新粒子的位置和速度

式中：η——狀態(tài)更新參數(shù)，η＞0；

（5）如果粒子i的標準差λ小于閾值λmax則跳轉(zhuǎn)到步驟（6），否則以s（i，t）作為初始點，采用變異算子計算的結(jié)果替換s（i，t），并重新計算其適應度；

（6）判斷粒子i的適應度是否優(yōu)于sopt的適應度，如果是則令sopt為粒子i的適應值；

（7）判斷粒子i的適應度是否優(yōu)于s的適應度，如果是則令s為粒子i的適應值；

（8）輸出當前粒子的標準差λ（i），并令i＝i＋1，跳轉(zhuǎn)到步驟 （2）重復計算，直至獲得所有粒子標準差分布λ＝［λ（1），λ（2），…，λ（k）］，同時判斷每個λ（i）是否超出規(guī)定閾值，如果超出在存在被攻擊的可能性；

（9）算法結(jié)束。

3 數(shù)學仿真

針對上述改進的DMPSO算法，本文利用OPNET和MATLAB進行仿真實驗來驗證其有效性。這里基于OPNET建立如圖2所示的仿真拓撲結(jié)構(gòu)，其網(wǎng)絡(luò)參數(shù)設(shè)置為：每個數(shù)據(jù)包大小為512b，鏈路帶寬為20M，每個網(wǎng)絡(luò)節(jié)點緩沖區(qū)為1024kb，延時10ms。其中，節(jié)點S作為數(shù)據(jù)源端 （IP地址設(shè)為192.168.1.1），節(jié)點D作為數(shù)據(jù)接收端 （IP地址設(shè)為192.168.1.100），節(jié)點f為攻擊源 （IP地址設(shè)為192.168.1.2），不定期向網(wǎng)絡(luò)中發(fā)動攻擊 （包括DoS、Probe、R2L和U2R等），其余為中轉(zhuǎn)節(jié)點 （從節(jié)點a 到節(jié)點g的IP地址分別設(shè)為 192.168.1.3 到192.168.1.9）。設(shè)置粒子群規(guī)模n＝100，變異分布指數(shù)φ＝0.5，狀態(tài)更新參數(shù)η＝2。令節(jié)點S處每秒發(fā)送1000個數(shù)據(jù)包到節(jié)點D，每個數(shù)據(jù)包Y＝ ［y1，y2，y3］，y1表示數(shù)據(jù)包長度，y2表示數(shù)據(jù)包時間戳，y3表示數(shù)據(jù)包源端地址。在節(jié)點D處設(shè)置監(jiān)聽，收集從節(jié)點S發(fā)送的數(shù)據(jù)包并進行狀態(tài)分析，令節(jié)點f發(fā)動DoS攻擊。這里將DMPSO算法、DMCM算法、文獻 ［9］提出的IHMM （improved HMM model based method for detecting attacks）算法以及節(jié)點D處實際監(jiān)聽的結(jié)果進行對比，圖3中顯示了其數(shù)據(jù)包長度檢測的情況。從圖3可以看出，DMPSO算法檢測的數(shù)據(jù)包長度狀態(tài)y1與節(jié)點D處實際監(jiān)聽結(jié)合比較接近，其次是DMCM算法。對檢測數(shù)據(jù)進行數(shù)據(jù)分析，DMPSO、DMCM、IHMM 與實際結(jié) 果的誤差分 別 為：3.62%、5.05%和8.28%。

其次，在圖4中給出了在上述仿真環(huán)境下，DMPSO、DMCM和IHMM這3種算法的數(shù)據(jù)包長度標準差λ變化情況。從圖4可以看出，在實驗進入平穩(wěn)過程后 （仿真時間15s后），DMPSO所對應曲線的標準差小于其余2種算法。并且從標準差的抖動情況來看，DMPSO也趨于穩(wěn)定，而IHMM對應曲線的抖動較大。

并且，在表1中顯示了當節(jié)點f分別發(fā)動DoS、Probe、R2L和U2R攻擊下，DMPSO、DMCM和IHMM算法的檢測成功率、漏報率以及誤報率對比情況。從表1可以看出，本文改進的DMPSO算法性能較DMCM和RETMMAD算法有了明顯的提高。

表1 不同攻擊種類下檢測結(jié)果比較

同時，為了進一步研究DMPSO算法性能，這里對關(guān)鍵參數(shù)進行分析。假設(shè)令節(jié)點f仍然發(fā)動DoS攻擊。圖5給出了不同變異分布指數(shù)φ下數(shù)據(jù)包長度標準差λ的變化情況。從圖5可以看出，在仿真初期，變異分布指數(shù)φ越小對應曲線的標準差越小，而在仿真后期，變異分布指數(shù)φ越大對應曲線的標準差越小。由于前期在節(jié)點D處聚集的數(shù)據(jù)包較少，標準差λ小于閾值λmax的粒子數(shù)量較少，此時較小的變異分布指數(shù)φ就能獲得最佳位置s（i，0）和較優(yōu)的適應值f（λ），從而使得數(shù)據(jù)包長度標準差λ較小；而隨著節(jié)點D處聚集的數(shù)據(jù)包增多，標準差λ小于閾值λmax的粒子數(shù)量較多，需要較大的變異分布指數(shù)φ才能獲得最佳位置s（i，0）和較優(yōu)的適應值f（λ），因此此時變異分布指數(shù)φ越大對應曲線的標準差越小。

而圖6中給出了不同狀態(tài)更新參數(shù)η下數(shù)據(jù)包長度標準差λ的變化情況。類似于圖5中的現(xiàn)象，曲線出現(xiàn)了突變。在仿真初期狀態(tài)更新參數(shù)η越小對應曲線的標準差越小，而在仿真后期狀態(tài)更新參數(shù)η越大對應曲線的標準差越小。其原因在于，仿真初期節(jié)點D處聚集數(shù)據(jù)包較少，并且粒子群整體性能較低，稍微調(diào)整狀態(tài)更新參數(shù)η將對粒子的位置和速度起到非常明顯的作用，從而比較容易獲得全局最優(yōu)，而此時狀態(tài)更新參數(shù)η越大反而會加大系統(tǒng)開銷，不利于全局尋優(yōu)操作；而仿真后期隨著聚集數(shù)據(jù)包增加以及粒子群整體性能的提高，如果要明顯改善粒子群性能，需要相對較大的狀態(tài)更新參數(shù)η，此時表現(xiàn)出狀態(tài)更新參數(shù)η越大對應曲線的標準差越小。

圖7 給出了數(shù)據(jù)包長度標準差λ與粒子群初始速度v之間的變化關(guān)系。從圖7可以看出，隨著粒子群初始速度v的增加，標準差呈現(xiàn)出先降低后遞增的趨勢。這一點容易理解，在初始階段粒子群整體性能偏低，此時加大粒子尋優(yōu)的初始速度有利于更快收斂并獲得全局最優(yōu)，此時標準差呈現(xiàn)降低趨勢；但是達到極值后，粒子群整體性能處于較優(yōu)程度，進一步增加初始速度v只能使系統(tǒng)開銷增加，不能達到提高性能的目的，從而標準差呈現(xiàn)遞增趨勢。

4 結(jié)束語

為了有效判斷網(wǎng)絡(luò)是否存在被攻擊現(xiàn)象，本文在以往研究的基礎(chǔ)上利用粒子群優(yōu)化算法提出了一種新的檢測算法DMPSO。首先該算法結(jié)合數(shù)據(jù)包屬性的離散度和標準差定義了數(shù)據(jù)包樣本判別指標，同時基于粒子群優(yōu)化算法給出了其標準差分布的計算流程。最后，以O(shè)PNET和MATLAB進行仿真實驗，對比研究了該算法與DMCM算法、IHMM算法在不同攻擊種類下的性能狀況，結(jié)果發(fā)現(xiàn)DMPSO具有較好的適應性。在后續(xù)研究中，可以考慮結(jié)合多種網(wǎng)絡(luò)環(huán)境來建立諸如DoS、Probe、R2L和U2R等各類攻擊的檢測方法。

［1］Liu Peng，Zang Wanyu，Yu Meng.Incentive－based modeling and inference of attacker intent，objectives，and strategies ［J］.ACM Transactions on Information and System Security，2005，8 （1）：78－118.

［2］Wang Wei，Daniels E.A graph based approach toward network forensics analysis ［J］.ACM Transactions on Information and System Security，2008，12 （1）：1－33.

［3］Qiu Xiangqun，Paterson R.An innovative network security vulnerability modeling method and tool［J］.IEEE Communications Magazine，2010，48 （1）：104－108.

［4］HAO Ming，XIONG Xingzhong，QIU Ling.A wireless positioning method based on time－reversal ［J］.Journal of Sichuan University of Science ＆ Engineering（Natural Science Edition），2012，25 （6）：22－26 （in Chinese）.［郝明，熊興中，邱玲.一種基于時間反轉(zhuǎn)的無線定位方法 ［J］.四川理工學院學報：自然科學版，2012，25 （6）：22－26.］

［5］YANG Weijian，WANG Meiying.Research on ultra－low power wireless sensor nodes in energy technology ［J］.Journal of Sichuan University of Science ＆ Engineering （Natural Science Edition），2010，23 （1）：44－47 （in Chinese）.［楊維劍，王梅英.無線網(wǎng)絡(luò)傳感器中超低功耗節(jié)點能源技術(shù)研究 ［J］.四川理工學院學報 （自然科學版），2010，23 （1）：44－47.］

［6］Qiu Xiangqun，Paterson R.An innovative network security vulnerability modeling method and tool［J］.IEEE Communications Magazine，2010，48 （1）：104－108.

［7］YANG Shuangmao，GUO Wei，TANG Wei.Network traffic prediction based on FARIMA－GARCH model ［J］.Journal on Communications，2013，34 （3）：23－31 （in Chinese）.［楊雙懋，郭偉，唐偉.基于FARIMA－GARCH模型的網(wǎng)絡(luò)業(yè)務(wù)預測算法 ［J］.通信學報，2013，34 （3）：23－31.］

［8］CHEN Xiaotian，LIU Jingxian.Network traffic prediction based on wavelet transformation and FARIIMA ［J］.Journal on Communications，2011，32 （4）：153－157 （in Chinese）.［陳曉天，劉靜嫻.改進的基于小波變換和FARIMA模型的網(wǎng)絡(luò)流量預測算法 ［J］.通信學報，2011，32 （4）：153－157.］

［9］YANG Xiaofeng，SUN Mingming，HU Xuelei，et al.Improved HMM model based method for detecting cyber attacks［J］.Journal on Communications，2010，31 （3）：95－101 （in Chinese）.［楊曉峰，孫明明，胡雪蕾，等.基于改進隱馬爾可夫模型的網(wǎng)絡(luò)攻擊檢測方法 ［J］.通信學報，2010，31 （3）：95－101.］

［10］ZHOU Dongqing，ZHANG Haifeng，ZHANG Shaowu，et al.A DDos attack detection method based on hidden Markov model［J］.Journal of Computer Research and Development，2005，42 （9）：1594－1599 （in Chinese）.［周東清，張海峰，張紹武，等.基于HMM的分布式拒絕服務(wù)攻擊檢測方法［J］.計算機研究與發(fā)展，2005，42 （9）：1594－1599.］

［11］CHENG Hongbing，RONG Chunming，HUANG Xiao，et al.Efficient attack detection and data aggregation algorithm［J］.Journal on Communications，2012，33 （9）：85－94 （in Chinese）.［程宏兵，容淳銘，黃曉，等.高效的攻擊檢測與數(shù)據(jù)融合算法 ［J］.通信學報，2012，33 （9）：85－94.］

［12］CHEN Ruichuan，GUO Wenjia，TANG Liyong，et al.Adaptive client puzzle scheme against denial－of－service attacks ［J］.Journal of Software，2009，20 （9）：2558－2573 （in Chinese）.［陳瑞川，郭文嘉，唐禮勇，等.一種抵御拒絕服務(wù)攻擊的自適應客戶端難題 ［J］.軟件學報，2009，20 （9）：2558－2573.］

［13］LI Wen，DAI Yingxia，LIAN Yifeng，et al.Code－injection attack automatic analyses and response system based on abnormal scene diagnose ［J］.Journal of Software，2008，19 （6）：1519－1532（in Chinese）.［李聞，戴英俠，連一峰，等.基于異常診斷的代碼注入攻擊自動分析和響應系統(tǒng) ［J］.軟件學報，2008，19 （6）：1519－1532.］

［14］XIONG Wei，HU Hanping，WANG Zuxi，et al.Network traffic anomaly detection method based on catastrophe progression ［J］.Journal of Huazhong University of Science and Technology （Natural Science Edition），2011，39 （1）：28－31（in Chinese）.［熊偉，胡漢平，王祖喜，等.基于突變級數(shù)的網(wǎng)絡(luò)流量異常檢測 ［J］.華中科技大學學報 （自然科學版），2011，39 （1）：28－31.］

［15］LUO Jinyan.The analysis of continuous particle swarm optimization algorithms mean square convergence ［J］.ACTA Electronica Sinica，2012，40 （7）：1364－1367 （in Chinese）.［羅金炎.連續(xù)型粒子群優(yōu)化算法的均方收斂性分析 ［J］.電子學報，2012，40 （7）：1364－1367.］

［16］LI Yingqiu，CHI Yuhong，WEN Tao.A dynamic boundary based particle swarm optimization ［J］.ACTA Electronica Sinica，2013，41 （5）：865－870 （in Chinese）.［李迎秋，遲玉紅，溫濤.一種基于動態(tài)邊界的粒子群優(yōu)化算法 ［J］.電子學報，2013，41 （5）：865－870.］