王佳欣，魏　濤

(河南工程學(xué)院 計(jì)算機(jī)學(xué)院，河南 鄭州 451191)

?

基于多源波束形成的網(wǎng)絡(luò)攻擊特征提取算法研究

王佳欣，魏濤

(河南工程學(xué)院 計(jì)算機(jī)學(xué)院，河南 鄭州 451191)

摘要：提出了一種基于多源波束形成的網(wǎng)絡(luò)攻擊特征提取算法進(jìn)行網(wǎng)絡(luò)攻擊檢測(cè)；構(gòu)建了多源分布下的網(wǎng)絡(luò)攻擊信號(hào)模型，實(shí)現(xiàn)了對(duì)網(wǎng)絡(luò)攻擊數(shù)據(jù)的采集和信號(hào)擬合；采用二階格型陷波器實(shí)現(xiàn)了對(duì)攻擊信號(hào)的抗干擾濾波處理；采用多源波束形成進(jìn)行網(wǎng)絡(luò)攻擊的包絡(luò)特征提取，提高了網(wǎng)絡(luò)攻擊信號(hào)的空間增益和在時(shí)間尺度上的指向性.仿真結(jié)果表明，采用該算法進(jìn)行網(wǎng)絡(luò)攻擊特征的提取，能有效提高對(duì)網(wǎng)絡(luò)攻擊檢測(cè)的準(zhǔn)確概率，性能優(yōu)越，在網(wǎng)絡(luò)安全防御中有重要的應(yīng)用價(jià)值.

關(guān)鍵詞：波束形成；網(wǎng)絡(luò)攻擊；特征提??；網(wǎng)絡(luò)安全

在網(wǎng)絡(luò)環(huán)境中，網(wǎng)絡(luò)攻擊者通過發(fā)送大量的攻擊數(shù)據(jù)或植入木馬病毒，實(shí)現(xiàn)對(duì)計(jì)算機(jī)用戶信息的竊取，導(dǎo)致系統(tǒng)崩潰.網(wǎng)絡(luò)攻擊數(shù)據(jù)本質(zhì)上是一組多源寬帶調(diào)頻信號(hào)，具有多源特性，在網(wǎng)絡(luò)環(huán)境中往往被合法數(shù)據(jù)掩護(hù)，背景雜波干擾較強(qiáng).當(dāng)前的信號(hào)檢測(cè)方法難以實(shí)現(xiàn)對(duì)攻擊信號(hào)的有效檢測(cè)，需要研究一種高效的網(wǎng)絡(luò)攻擊信號(hào)特征提取算法，實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)攻擊的主動(dòng)防御，提高計(jì)算機(jī)系統(tǒng)和網(wǎng)絡(luò)用戶的安全性.

隨著信號(hào)處理和信息加工技術(shù)的快速發(fā)展，現(xiàn)代信號(hào)與信息處理理論被引入網(wǎng)絡(luò)安全檢測(cè)中，實(shí)現(xiàn)了信號(hào)分析和數(shù)據(jù)特征的提取，提高了對(duì)網(wǎng)絡(luò)攻擊和病毒的檢測(cè)能力，相關(guān)的算法研究已取得了一定的成果.文獻(xiàn)[1]提出了一種基于多傳感器組網(wǎng)時(shí)頻特征盲分離和高斯級(jí)聯(lián)濾波的網(wǎng)絡(luò)攻擊檢測(cè)和特征提取算法，通過提取網(wǎng)絡(luò)攻擊信號(hào)和病毒數(shù)據(jù)的時(shí)頻特征進(jìn)行子空間降維和級(jí)聯(lián)降噪，實(shí)現(xiàn)網(wǎng)絡(luò)入侵檢測(cè)，但該算法計(jì)算開銷較大，對(duì)低信噪比下網(wǎng)絡(luò)攻擊的檢測(cè)性能不好.文獻(xiàn)[2]提出了一種基于分?jǐn)?shù)階傅里葉變換和高階累積量后置聚焦的網(wǎng)絡(luò)攻擊檢測(cè)算法，采用雙門限能量檢測(cè)進(jìn)行網(wǎng)絡(luò)攻擊信號(hào)的波束特征提取，提高了攻擊檢測(cè)的指向性，但是該方法在信噪比低于先驗(yàn)閾值的情況下，對(duì)自相關(guān)特征較強(qiáng)的攻擊信號(hào)檢測(cè)的準(zhǔn)確概率較低，虛警概率較高[3].針對(duì)上述問題，提出了一種基于多源波束形成的網(wǎng)絡(luò)攻擊特征提取算法實(shí)現(xiàn)信號(hào)檢測(cè).首先,構(gòu)建多源分布下的網(wǎng)絡(luò)攻擊信號(hào)模型，實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)攻擊數(shù)據(jù)的采集和信號(hào)擬合，然后采用二階格型濾波算法實(shí)現(xiàn)信號(hào)的抗干擾濾波處理，采用多源波束形成算法進(jìn)行信號(hào)特征的提取，根據(jù)波束形成的結(jié)果實(shí)現(xiàn)攻擊源的自適應(yīng)指向和攻擊信號(hào)的準(zhǔn)確檢測(cè)，并通過仿真實(shí)驗(yàn)驗(yàn)證了本算法在提高網(wǎng)絡(luò)攻擊檢測(cè)精度方面的優(yōu)越性能.

1網(wǎng)絡(luò)攻擊信號(hào)模型的構(gòu)建與抗干擾濾波預(yù)處理

1.1網(wǎng)絡(luò)結(jié)構(gòu)分析與網(wǎng)絡(luò)攻擊信號(hào)模型的構(gòu)建

為了實(shí)現(xiàn)對(duì)具有全方向性分布式多進(jìn)攻源的網(wǎng)絡(luò)攻擊信號(hào)的檢測(cè)，首先需要進(jìn)行多源分布式攻擊下的網(wǎng)絡(luò)結(jié)構(gòu)攻擊節(jié)點(diǎn)和干擾節(jié)點(diǎn)的擬合分析，實(shí)現(xiàn)網(wǎng)絡(luò)攻擊信號(hào)模型的構(gòu)建.本研究的網(wǎng)絡(luò)環(huán)境為跨平臺(tái)網(wǎng)絡(luò)系統(tǒng)，它支持用戶在任何終端和位置分享上千臺(tái)服務(wù)器的高速運(yùn)算和數(shù)據(jù)管理的成果，但同時(shí)也給網(wǎng)絡(luò)入侵帶來了漏洞.在跨平臺(tái)網(wǎng)絡(luò)環(huán)境下，通信協(xié)議存在很大的差別，導(dǎo)致攻擊源具有多重分布屬性，在網(wǎng)絡(luò)攻擊的檢測(cè)中，分析跨平臺(tái)網(wǎng)絡(luò)環(huán)境下的網(wǎng)絡(luò)攻擊節(jié)點(diǎn)分布,模型如圖1所示.

圖1　多源攻擊節(jié)點(diǎn)分布Fig.1　Distribution of multi source attack nodes

結(jié)合圖1，給定跨平臺(tái)網(wǎng)絡(luò)應(yīng)用支撐層的無向圖模型G=(V,E)，其中節(jié)點(diǎn)v為應(yīng)用業(yè)務(wù)層中任一節(jié)點(diǎn),即v∈V；應(yīng)用業(yè)務(wù)層連邊e為網(wǎng)絡(luò)中任一連邊,即e∈E;網(wǎng)絡(luò)攻擊源在進(jìn)行網(wǎng)絡(luò)攻擊過程中的信道帶寬Ts=KbTf;攻擊對(duì)象中間件的高階累積量結(jié)構(gòu)定義為Gs=(V,E);每個(gè)簇頭節(jié)點(diǎn)幀分為N×N單位陣，通過多源分布式病毒植入，實(shí)現(xiàn)對(duì)跨平臺(tái)網(wǎng)絡(luò)接入服務(wù)的中斷，達(dá)到病毒入侵的目的.在跨平臺(tái)網(wǎng)絡(luò)環(huán)境中，多源攻擊分布式特征的中間件為Gz=(Vz，Ez)且Gz?Gs.根據(jù)上述多源攻擊節(jié)點(diǎn)分布式模型的分析，在色噪聲背景干擾下進(jìn)行網(wǎng)絡(luò)攻擊信號(hào)模型的構(gòu)建，網(wǎng)絡(luò)攻擊信號(hào)為一組多源寬帶調(diào)頻信號(hào)，具有時(shí)頻尺度耦合性.假設(shè)網(wǎng)絡(luò)多源攻擊系統(tǒng)是一個(gè)三維連續(xù)的MIMO系統(tǒng)，攻擊信號(hào)是時(shí)變非平穩(wěn)的，在多源攻擊節(jié)點(diǎn)的相位為均勻采樣時(shí)，基于時(shí)間-頻率聯(lián)合分布特征估計(jì)可得到網(wǎng)絡(luò)攻擊的單分量信號(hào)模型:

(1)

采用連續(xù)小波變化對(duì)網(wǎng)絡(luò)攻擊信號(hào)進(jìn)行經(jīng)驗(yàn)?zāi)B(tài)特征分解，得到一組表征網(wǎng)絡(luò)攻擊信號(hào)內(nèi)部細(xì)節(jié)特征的時(shí)間尺度a和時(shí)間平移b的二維函數(shù).采用的小波函數(shù)為母小波ψ(t)，對(duì)網(wǎng)絡(luò)攻擊信號(hào)進(jìn)行小波分解的變換過程表達(dá)式為

(2)

式中:小波函數(shù)族ψa,b由ψ(t)執(zhí)行更新平滑，時(shí)頻面內(nèi)旋轉(zhuǎn)任意相位角度，當(dāng)采集的網(wǎng)絡(luò)攻擊信號(hào)x(k)=s(k)+w(k)是準(zhǔn)平穩(wěn)隨機(jī)信號(hào)時(shí)，在有限的信噪比作用下，網(wǎng)絡(luò)攻擊信號(hào)的尺度仿射變換為

(3)

(4)

通過上述處理可知，采用小波尺度分解結(jié)合仿射變化實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)攻擊信號(hào)的數(shù)學(xué)模型構(gòu)建，將保持原有的分布特性，使網(wǎng)絡(luò)攻擊信號(hào)在小波基函數(shù)的時(shí)頻空間中保持最佳的沖擊脈沖函數(shù).將網(wǎng)絡(luò)攻擊信號(hào)作為母小波函數(shù)，保證了網(wǎng)絡(luò)攻擊信號(hào)多源波束的聚焦指向性，為實(shí)現(xiàn)網(wǎng)絡(luò)攻擊的特征提取和準(zhǔn)確檢測(cè)奠定了基礎(chǔ).

1.2信號(hào)濾波抗干擾預(yù)處理

采用自適應(yīng)IIR陷波器原理構(gòu)建二階格型陷波器結(jié)構(gòu)，由于自適應(yīng)IIR陷波能有效實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)攻擊信號(hào)的譜增強(qiáng)和噪聲抵消，在網(wǎng)絡(luò)攻擊檢測(cè)濾波中具有較好的應(yīng)用價(jià)值[4]，二階格型陷波器結(jié)構(gòu)如圖2所示.

圖2　二階格型陷波器結(jié)構(gòu)Fig.2　Block diagram of the two order lattice notch filter

θ1(k+1)=θ1(k)-μRe[y(k)φ*(k)],

(5)

式中:μ是網(wǎng)絡(luò)攻擊檢測(cè)的離散時(shí)間線性系統(tǒng)收斂控制參數(shù)，稱為步長(zhǎng)；φ(k)是輸出期望響應(yīng)信號(hào)y(k)對(duì)參數(shù)θ1(k)的差分，稱為沖擊響應(yīng)信號(hào)，它是由輸入信號(hào)u(k)按一定準(zhǔn)則進(jìn)行線性時(shí)變處理得到的.通過上述分析，得到陷波器的傳輸函數(shù)

(6)

式中：

(7)

輸入的網(wǎng)絡(luò)攻擊信號(hào)u(k)經(jīng)過自適應(yīng)IIR處理后，輸出信號(hào)與期望響應(yīng)信號(hào)之間的誤差達(dá)到最小，令d(k)代表所期望的抗干擾濾波輸出響應(yīng)，得到誤差信號(hào)

(8)

式(8)兩邊取數(shù)學(xué)期望，實(shí)現(xiàn)對(duì)攻擊信號(hào)的抗干擾濾波處理，使均方誤差函數(shù)的梯度最小，提高了信號(hào)的純度，有利于提高檢測(cè)精度.

2波束形成與網(wǎng)絡(luò)攻擊特征提取改進(jìn)算法的實(shí)現(xiàn)

2.1多源波束形成算法

在網(wǎng)絡(luò)攻擊信號(hào)模型構(gòu)建和濾波預(yù)處理的基礎(chǔ)上，進(jìn)行網(wǎng)絡(luò)攻擊的特征提取和檢測(cè).如果給定N個(gè)網(wǎng)絡(luò)攻擊信號(hào)的采樣數(shù)據(jù)x(n)，n=1,2,…,N，采用雙線性變換方法處理網(wǎng)絡(luò)攻擊信號(hào)的幅度和頻率在s域和z域上的對(duì)應(yīng)關(guān)系，進(jìn)行頻譜混迭，計(jì)算出網(wǎng)絡(luò)攻擊信號(hào)的矩形包絡(luò)，得到雙線性變換后的網(wǎng)絡(luò)攻擊信號(hào)形式：

(9)

式中:Φk為瞬時(shí)頻率，ζ(n)為兩個(gè)時(shí)間點(diǎn)之間的歐氏距離，pk為尺度參數(shù).頻譜畸變部分估計(jì)為

(10)

式中:bk為信號(hào)幅值，φ為相位角，m為期望的響應(yīng)，ck為梯度下降系數(shù).式(10)表示的是在已知干擾線譜中的多源攻擊特征的高維特征矢量，對(duì)上述高維特征矢量進(jìn)行多源波束形成處理，采用自適應(yīng)波束形成器[5]，得到輸出的多源波束包絡(luò)形式為

(11)

(12)

2.2網(wǎng)絡(luò)攻擊信號(hào)的特征提取和檢測(cè)算法的實(shí)現(xiàn)

在進(jìn)行上述網(wǎng)絡(luò)攻擊信號(hào)的多源波束形成的基礎(chǔ)上，進(jìn)行波束包絡(luò)的特征提取和信號(hào)檢測(cè)，分析多源波束形成輸出的頻譜畸變關(guān)系，利用網(wǎng)絡(luò)攻擊信號(hào)的多維相空間的指向性波束特征得到網(wǎng)絡(luò)攻擊信號(hào)幅頻響應(yīng)特征的非均勻采樣輸出為

(13)

式中：τ為采樣時(shí)延，ck為高階譜，φ為采樣間隔的相位差，bk為加權(quán)權(quán)重.假設(shè)y(k)為多維參量混合估計(jì)后得到的近似統(tǒng)計(jì)平均值，根據(jù)攻擊信號(hào)高斯隨機(jī)線性分離不變特性，結(jié)合多源波束形成后輸出的本征波時(shí)頻特征進(jìn)行網(wǎng)絡(luò)攻擊信號(hào)的頻譜檢測(cè)，自相關(guān)變量X由隨機(jī)獨(dú)立變量Si(i=1,2,…,N)隨機(jī)組合而成.這些隨機(jī)分離變量的方差和均值服從于高斯分布，在信號(hào)檢測(cè)過程中，通過非高斯函數(shù)極限幅頻特性可以最大限度地對(duì)各獨(dú)立的變量進(jìn)行包絡(luò)特征檢測(cè)，提高信號(hào)的頻域聚焦能力.網(wǎng)絡(luò)攻擊信號(hào)的時(shí)移不變性和頻移不變性特征表達(dá)式為

(14)

式中：x(t)為原始信號(hào)，t0為初始采樣時(shí)間點(diǎn)，Wy(t,v)為時(shí)頻伸縮量，v0為功率頻率，v為色噪聲強(qiáng)度.攻擊信號(hào)在時(shí)間尺度上的伸縮變化可以用時(shí)間平移關(guān)系描述為

(15)

(16)

通過上述分析可知，采用多源波束形成提高了網(wǎng)絡(luò)攻擊信號(hào)的空間增益和在時(shí)間尺度上的指向性，從而提高了信號(hào)檢測(cè)性能，由此實(shí)現(xiàn)了算法改進(jìn).

3仿真實(shí)驗(yàn)與結(jié)果分析

為了測(cè)試本算法在實(shí)現(xiàn)多源網(wǎng)絡(luò)攻擊的特征提取和信號(hào)檢測(cè)中的性能，進(jìn)行仿真實(shí)驗(yàn).網(wǎng)絡(luò)攻擊數(shù)據(jù)樣本采集于MIT林肯實(shí)驗(yàn)室的KDDCup2015病毒數(shù)據(jù)庫(kù)，在攻擊樣本數(shù)據(jù)的采集過程中，離散采樣率為fs=10*f0=10kHz，樣本長(zhǎng)度為2 018，對(duì)病毒數(shù)據(jù)庫(kù)的訪問次數(shù)為102 498次，攻擊信號(hào)樣本數(shù)為998.使用上述數(shù)據(jù)采集結(jié)果進(jìn)行信號(hào)模型構(gòu)建，得到網(wǎng)絡(luò)攻擊信號(hào)的帶寬B=1 000Hz,二階格型陷波器的權(quán)重系數(shù)μ0=0.001，θ2=0.45π，自適應(yīng)步長(zhǎng)參數(shù)μ=0.000 2，干擾為n(k)=nr(k)+jni(k)，其中nr(k)和ni(k)是均值為0、方差為1的高斯色噪聲，信噪比為-12dB，信號(hào)幅值取為A1=A2=A3=1，初始值選為θ1=-0.3π.在上述仿真環(huán)境和參數(shù)設(shè)定的基礎(chǔ)上進(jìn)行網(wǎng)絡(luò)攻擊的特征提取和檢測(cè)，首先要進(jìn)行攻擊信號(hào)模型的構(gòu)建，得到10個(gè)攻擊源陣列上攻擊信號(hào)的時(shí)域波形，如圖3所示.

以上述攻擊信號(hào)為測(cè)試樣本和研究對(duì)象，進(jìn)行攻擊信號(hào)的波束形成處理和特征提取，采用本設(shè)計(jì)的二階格型陷波器進(jìn)行抗干擾濾波，得到濾波前后的攻擊信號(hào)多源波束形成歸一化幅值，如圖4所示.

圖3　不同攻擊源的信號(hào)時(shí)域波形Fig.3　Signal time domain waveform of different attack sources

圖4　濾波前后的波束形成歸一化幅值Fig.4　Normalized amplitude of beam forming before and after filtering

從圖4可見，采用本算法進(jìn)行網(wǎng)絡(luò)攻擊信號(hào)的抗干擾濾波，實(shí)現(xiàn)了信號(hào)的波束形成和特征提取，具有較好的抗干擾性能，有效抑制了旁瓣波束的干擾，提高了波束的指向性，改善了波束包絡(luò)特征的準(zhǔn)確性，從而提高了網(wǎng)絡(luò)攻擊的檢測(cè)性能.為了定量分析本算法在實(shí)現(xiàn)攻擊檢測(cè)中的性能，采用本算法和時(shí)頻分析方法進(jìn)行了攻擊檢測(cè)的對(duì)比，在信噪比為-20～10dB時(shí)，通過10 000次MonteCarlo實(shí)驗(yàn)，得到的檢測(cè)性能曲線如圖5所示.從圖5可見，采用本算法進(jìn)行網(wǎng)絡(luò)攻擊的多源波束形成，實(shí)現(xiàn)了包絡(luò)的特征提取，檢測(cè)概率比傳統(tǒng)方法高很多，檢測(cè)性能優(yōu)越.

圖5　性能對(duì)比Fig.5　Performance comparison

4結(jié)語

提出了一種基于多源波束形成的網(wǎng)絡(luò)攻擊特征提取算法，進(jìn)行網(wǎng)絡(luò)攻擊信號(hào)的檢測(cè)，利用該算法進(jìn)行網(wǎng)絡(luò)攻擊包絡(luò)特征的提取，提高了對(duì)攻擊源時(shí)頻特征的包絡(luò)指向性，改善了檢測(cè)性能.仿真結(jié)果表明，采用該算法進(jìn)行攻擊信號(hào)的特征提取和檢測(cè)，指向性較好，準(zhǔn)確檢測(cè)的概率較高，保障了網(wǎng)絡(luò)安全.

參考文獻(xiàn)：

[1]張輝.自體集網(wǎng)絡(luò)攻擊檢測(cè)中的高效尋優(yōu)算法仿真[J].計(jì)算機(jī)仿真，2013,30(8):297-300.

[2]章武媚,陳慶章.引入偏移量遞階控制的網(wǎng)絡(luò)入侵HHT檢測(cè)算法[J].計(jì)算機(jī)科學(xué),2014,41(12):107-111.

[3]張永錚,肖軍,云曉春，等.DDoS攻擊檢測(cè)和控制[J].軟件學(xué)報(bào),2012,23(8):2258-2072.

[4]夏秦，王志文，盧柯.入侵檢測(cè)系統(tǒng)利用信息熵檢測(cè)網(wǎng)絡(luò)攻擊的方法[J].西安交通大學(xué)學(xué)報(bào)：自然科學(xué)版,2013,47(2):14-19.

[5]葉青,黃炎磊.非均勻分布入侵檢測(cè)模型的研究與仿真[J].科技通報(bào),2013,29(8):169-171.

Research on feature extraction algorithm of network attack based on multi source beamforming

WANG Jiaxin，WEI Tao

(CollegeofComputer,HenanUniversityofEngineering,Zhengzhou451191,China)

Abstract:A new method of network attack feature extraction based on multi source beamforming is proposed. The model of network attack signal is constructed, which is based on the data of network attack, and the two order lattice notch filter is applied in signal filtering. The envelope of the signal is extracted by using multi source beamforming. The spatial gain of the signal and the direction of the time scale are improved. The simulation results show that the algorithm can effectively improve the accuracy of the detection of network attacks, and has an important application value in the network security defense.

Key words:beamforming; network attack; feature extraction; network security

中圖分類號(hào)：TP393

文獻(xiàn)標(biāo)志碼：A

文章編號(hào)：1674-330X(2016)01-0069-05

作者簡(jiǎn)介：王佳欣(1983-)，男，河南洛陽人，講師，主要從事計(jì)算機(jī)應(yīng)用方面的研究.

基金項(xiàng)目：河南省教育廳科學(xué)技術(shù)研究重點(diǎn)項(xiàng)目(15A520055)

收稿日期：2015-11-20