李威　顧海林　黃興

摘 要： 針對(duì)當(dāng)前對(duì)網(wǎng)絡(luò)入侵異常檢測(cè)精度不高的問(wèn)題，進(jìn)行網(wǎng)絡(luò)被入侵后的異常信號(hào)檢測(cè)系統(tǒng)優(yōu)化設(shè)計(jì)，提出基于高階時(shí)頻譜分析的網(wǎng)絡(luò)入侵異常信號(hào)檢測(cè)算法，首先對(duì)信號(hào)檢測(cè)算法進(jìn)行改進(jìn)設(shè)計(jì)，構(gòu)建網(wǎng)絡(luò)入侵信號(hào)模型，對(duì)入侵后的網(wǎng)絡(luò)異常信號(hào)做非平穩(wěn)信號(hào)經(jīng)驗(yàn)?zāi)B(tài)分解和高階時(shí)頻譜特征提??；然后進(jìn)行信號(hào)檢測(cè)系統(tǒng)的開(kāi)發(fā)；最后通過(guò)仿真實(shí)驗(yàn)進(jìn)行性能測(cè)試。仿真結(jié)果表明，采用該信號(hào)檢測(cè)系統(tǒng)能準(zhǔn)確檢測(cè)網(wǎng)絡(luò)被入侵后的異常信號(hào)，且準(zhǔn)確檢測(cè)概率高于傳統(tǒng)方法。

關(guān)鍵詞： 網(wǎng)絡(luò)入侵； 信號(hào)檢測(cè)； 譜分析； 經(jīng)驗(yàn)?zāi)B(tài)分解

中圖分類號(hào)： TN911.23?34； TP393 文獻(xiàn)標(biāo)識(shí)碼： A 文章編號(hào)： 1004?373X（2017）03?0058?04

Design and optimization of signal detection system after network intrusion

LI Wei， GU Hailin， HUANG Xing

（Information and Communication Engineering Center， Information Communication Branch Company of

State Grid Liaoning Electric Power Co.， Ltd.， Shenyang 110006， China）

Abstract： Since the accuracy of the current network intrusion anomaly detection is low， the optimization design for the abnormal signal detection system after network intrusion was performed， and the network intrusion abnormal signal detection algorithm based on higher?order time?spectrum analysis is proposed. The improvement design for the signal detection algorithm was conducted， and the network intrusion signal model was constructed to decompose the non?stationary signal empirical mode and extract the higher?order time?spectrum feature of the network anomaly signal after network intrusion. The signal detection system was developed， and its performance was test with simulation experiment. The simulation results show that the signal detection system can accurately detect the abnormal signal after network intrusion， and its accurate detection probability is higher than that of the traditional method.

Keywords： network intrusion； signal detection； spectrum analysis； empirical mode decomposition

0 引 言

隨著計(jì)算機(jī)技術(shù)和網(wǎng)絡(luò)技術(shù)的快速發(fā)展，網(wǎng)絡(luò)運(yùn)行的速度不斷增快，網(wǎng)絡(luò)傳輸和處理的數(shù)據(jù)信息不斷增多，網(wǎng)絡(luò)安全受到管理者和用戶的重視[1?2]。網(wǎng)絡(luò)安全主要包括網(wǎng)絡(luò)的物理安全、網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)安全、網(wǎng)絡(luò)系統(tǒng)安全等。網(wǎng)絡(luò)入侵通過(guò)病毒植入，實(shí)現(xiàn)非法存取、拒絕服務(wù)和網(wǎng)絡(luò)資源非法占用等，達(dá)到攻擊用戶私密信息的目的。網(wǎng)絡(luò)被入侵后會(huì)出現(xiàn)異常信號(hào)，通過(guò)對(duì)網(wǎng)絡(luò)被入侵后的入侵信號(hào)進(jìn)行檢測(cè)，保障網(wǎng)絡(luò)安全，研究相關(guān)的信號(hào)檢測(cè)算法和系統(tǒng)受到人們的極大關(guān)注[3?4]。

針對(duì)當(dāng)前對(duì)網(wǎng)絡(luò)入侵異常檢測(cè)精度不高的問(wèn)題，提出基于高階時(shí)頻譜分析的網(wǎng)絡(luò)入侵異常信號(hào)檢測(cè)算法，并通過(guò)仿真實(shí)驗(yàn)進(jìn)行性能測(cè)試。

1 算法設(shè)計(jì)

1.1 信號(hào)模型構(gòu)建與分析

首先對(duì)網(wǎng)絡(luò)被入侵后的異常信號(hào)模型進(jìn)行構(gòu)建和特征分析，網(wǎng)絡(luò)被入侵后的數(shù)據(jù)傳輸節(jié)點(diǎn)分布為一個(gè)寬平穩(wěn)的隨機(jī)信道模型，異常信號(hào)分布在一個(gè)多徑時(shí)變的非平穩(wěn)傳輸信道中，采用短時(shí)傅里葉變換構(gòu)建網(wǎng)絡(luò)被入侵后的異常信號(hào)傳輸?shù)男诺滥Ｐ兔枋鰹閇5?6]：

[x（t）=Rean（t）e-j2πfcτn（t）slt-τn（t）e-j2πfct] （1）

式中：網(wǎng)絡(luò)被入侵后異常信號(hào)的加窗函數(shù)[x（t）]在時(shí)間[t]的短時(shí)傅里葉變換就是[x（t）]乘上一個(gè)以[t]為中心的“分析窗”，由于短時(shí)傅里葉變換，在所有窗函數(shù)里建立時(shí)間窗。

當(dāng)短時(shí)傅里葉變換為一種線性變換，輸出的信號(hào)沖激響應(yīng)為[γ*（t-t），]根據(jù)網(wǎng)絡(luò)被入侵后異常信號(hào)的時(shí)頻分辨率不變性，信號(hào)短時(shí)譜定義為：

[STFT（γ）x（t， f）=-∞∞[x（t）γ*（t-t）]e-j2πftdt] （2）

采用短時(shí)傅里葉變換使得網(wǎng)絡(luò)入侵信號(hào)的短時(shí)傅里葉基數(shù)STFT保持信號(hào)[x（t）]的頻移特性，網(wǎng)絡(luò)被入侵的時(shí)間尺度脈沖響應(yīng)為：

[c（τ，t）=nan（t）e-j2πfcτn（t）δ（t-τn（t））] （3）

式中：[an（t）]是第[n]條網(wǎng)絡(luò)傳輸信道上的異常信號(hào)的單分量主頻特征；[τn（t）]為第[n]條垂直無(wú)窮長(zhǎng)窗函數(shù)的時(shí)延；[fc]為網(wǎng)絡(luò)被入侵的信道調(diào)制頻率。

設(shè)網(wǎng)絡(luò)被入侵?jǐn)?shù)據(jù)傳輸節(jié)點(diǎn)的傳遞路徑有[P]條，采用頻率分辨率調(diào)制濾波[7]，得到網(wǎng)絡(luò)被入侵后的異常信號(hào)傳輸?shù)亩鄰叫诺纻鬟f函數(shù)為：

[h（t）=i=1Paip（t-τi）] （4）

式中：[ai]和[τi]分別是時(shí)間分辨率和傳播損失。

網(wǎng)絡(luò)被入侵后數(shù)據(jù)傳輸?shù)男诺捞卣鞣植己瘮?shù)為：

[y（t）=x（t-t0）?Wy（t，v）=Wx（t-t0，v）y（t）=x（t）ej2πv0t?Wy（t，v）=Wx（t，v-v0）] （5）

對(duì)于兩個(gè)能量相同的信號(hào)，定義窗函數(shù)的時(shí)寬[Δt]為：

[Δt2=t2G（t）2dtG（t）2dt] （6）

通過(guò)時(shí)頻伸縮，可得網(wǎng)絡(luò)被入侵后異常信號(hào)的頻譜特征為：

[y（t）=kx（kt）， k>0，Wy（t，v）=Wx（kt，vk）] （7）

式中：[k]表示時(shí)間分辨采樣頻率；[v]表示網(wǎng)絡(luò)被入侵后輸出信道的帶寬；[Wx]為時(shí)間窗口函數(shù)，式（7）表示網(wǎng)絡(luò)被入侵的信道中的時(shí)域和頻域的伸縮尺度。時(shí)間分辨率和頻率分辨率在頻譜寬度一致性特征的情況下，構(gòu)建網(wǎng)絡(luò)入侵的異常信號(hào)模型為：

[z（t）=x（t）+iy（t）=a（t）eiθ（t）] （8）

式中：[z（t）]表示入侵后的異常信號(hào)；[x（t）]表示殘余函數(shù)；[y（t）]表示網(wǎng)絡(luò)入侵后異常信號(hào)的殘余量；[a（t）]表示非線性、非平穩(wěn)的多分量信號(hào)的上下包絡(luò)線；[θ（t）]表示入侵偏移相位。

通過(guò)單分量信號(hào)的尺度分解將原始信號(hào)分解為多個(gè)低頻分量之和，得到網(wǎng)絡(luò)入侵后的異常信號(hào)的包絡(luò)特征為：

[a（t）=x2（t）+y2（t）， θ（t）=arctany（t）x（t）] （9）

式中：[a（t）]和[θ（t）]分別是網(wǎng)絡(luò)被入侵后異常信號(hào)的高頻特征分量的包絡(luò)和相位。

1.2 信號(hào)檢測(cè)算法實(shí)現(xiàn)

定義[D=（dγ）γ∈Γ]為網(wǎng)絡(luò)入侵異常信號(hào)分布特征空間[H]中的入侵?jǐn)?shù)據(jù)向量組成的基函數(shù)集，在對(duì)受到強(qiáng)雜波背景干擾下入侵后的網(wǎng)絡(luò)異常信號(hào)[x（t）]進(jìn)行經(jīng)驗(yàn)?zāi)B(tài)分解，每層分解的誤差分量表示為：

[xmin， j=maxxmin， j，xg， j-ρ（xmax， j-xmin， j）] （10）

[xmax， j=minxmax， j，xg， j+ρ（xmax， j-xmin， j）] （11）

入侵特征檢測(cè)的偏移量頻譜區(qū)間在[[xmin， j，xmax， j]]內(nèi)構(gòu)成局部時(shí)間尺度分量的滑動(dòng)時(shí)間窗口，[ρ]為網(wǎng)絡(luò)入侵異常信號(hào)屬性特征調(diào)整系數(shù)，定義為：

[ρ=o∈Nk-dist（p）lrdk（o）lrdk（p）Nk-dist（p）] （12）

采用頻率調(diào)制對(duì)信號(hào)進(jìn)行高階譜特征提取，以過(guò)零點(diǎn)定義的IMF函數(shù)為一個(gè)采樣特征區(qū)間，表示為：[Yk=yk1，yk2，…，ykj，…，ykJ， k=1，2，…，N] （13）

通過(guò)頻率調(diào)制去除網(wǎng)絡(luò)被入侵后異常信號(hào)的虛假分量，在對(duì)網(wǎng)絡(luò)入侵后異常信號(hào)的局部均值進(jìn)行后置聚焦檢測(cè)后，采用時(shí)頻特征分析方法進(jìn)行網(wǎng)絡(luò)被入侵后的異常信號(hào)的時(shí)域特征分解，得到頻譜偏移量為：

[fi（n）=ln[λi（n）]2πΔt] （14）

式中[Δt]表示信號(hào)采樣時(shí)間間隔。

由此計(jì)算網(wǎng)絡(luò)被入侵后異常信號(hào)的穩(wěn)態(tài)概率：

[WDx（t，f）=xt+τ2x*t-τ2e-j2πftdτ] （15）

式中：[f]表示異常信號(hào)的頻域瞬態(tài)函數(shù)；[x*]表示對(duì)原始信號(hào)取卷積。

選擇時(shí)間?頻率聯(lián)合特征匹配方法，得到網(wǎng)絡(luò)被入侵后的異常信號(hào)差異函數(shù)[f]和基[dγ0]之間的匹配程度為：

[λn（dγ0）=-∞+∞f（t）d*γ0（t）dt] （16）

采用自適應(yīng)級(jí)聯(lián)濾波方法進(jìn)行信號(hào)濾波，得到異常信號(hào)檢測(cè)的一組極大線性無(wú)關(guān)組，[dγ]的邊緣特性解向量[L2（R）]是稠密的，得到網(wǎng)絡(luò)入侵后的異常信號(hào)的能量密度滿足：

[f，dγ0≥asupγ∈Γf，dγ] （17）

準(zhǔn)確檢測(cè)概率滿足：

[f=f，dγ0dγ0+Rf] （18）

2 系統(tǒng)硬件設(shè)計(jì)與軟件開(kāi)發(fā)

2.1 信號(hào)檢測(cè)系統(tǒng)的硬件設(shè)計(jì)

系統(tǒng)的模塊化設(shè)計(jì)主要包括濾波電路模塊、信號(hào)采樣A/D電路模塊、DSP集成處理主控模塊和檢測(cè)輸出模塊等，首先構(gòu)建信號(hào)濾波器電路，進(jìn)行網(wǎng)絡(luò)被入侵后異常信號(hào)的檢測(cè)濾波，濾波結(jié)構(gòu)模型如圖1所示。

以網(wǎng)絡(luò)被入侵后異常信號(hào)的A/D數(shù)據(jù)采集作為原始輸入，給出級(jí)聯(lián)自適應(yīng)濾波器形式為：

[H（z）=N（z）D（z）] （19）

式中：[N（z）]是異常信號(hào)檢測(cè)系統(tǒng)的低通信道函數(shù)，它的零點(diǎn)在[z=e±jω0]處；[D（z）]為盲源分離狀態(tài)函數(shù)。

由濾波器的控制篩分參數(shù)[a]和帶寬參數(shù)[r]確定自適應(yīng)級(jí)聯(lián)濾波器的階數(shù)和調(diào)制頻率，初始頻率為：

[ω0=arccos（-a2）] （20）

在前饋放大約束下，通過(guò)抽頭加權(quán)得到入侵后的異常信號(hào)檢測(cè)濾波器低通響應(yīng)特征函數(shù)為：

[ejπ=V（ejω0）=sinθ2+sinθ1（1+sinθ2）ejω0+ej2ω01+sinθ1（1+sinθ2）ejω0+sinθ2ej2ω0] （21）

網(wǎng)絡(luò)被入侵后異常信號(hào)檢測(cè)系統(tǒng)的信號(hào)濾波器的傳遞函數(shù)為：

[H（z）=121+V（z）V（ejω）+ejΦ（ω）] （22）

根據(jù)濾波傳遞函數(shù)，采用DSP信號(hào)處理器和PCI總線進(jìn)行電路設(shè)計(jì)，得到濾波電路設(shè)計(jì)如圖2所示。

信號(hào)采樣A/D電路模塊實(shí)現(xiàn)網(wǎng)絡(luò)入侵后的異常信號(hào)檢測(cè)原始數(shù)據(jù)采樣和數(shù)模轉(zhuǎn)換功能，采用16位定點(diǎn)DSP作為控制芯片，采用FLASH中的應(yīng)用程序bootloader自動(dòng)調(diào)整系統(tǒng)的放大倍數(shù)，從片內(nèi)ROM的0FF80H起執(zhí)行程序，控制A/D轉(zhuǎn)換器進(jìn)行正常采樣，得到信號(hào)檢測(cè)系統(tǒng)的信號(hào)采樣A/D電路設(shè)計(jì)如圖3所示。

DSP集成處理主控模塊是網(wǎng)絡(luò)被入侵后異常信號(hào)檢測(cè)系統(tǒng)的核心模塊，主控模塊的時(shí)鐘頻率為33 MHz或66 MHz，DSP集成處理環(huán)境下異常信號(hào)處理程序是在CCS 2.20開(kāi)發(fā)平臺(tái)下進(jìn)行，DSP通過(guò)雙端口RAM（IDT70V28）進(jìn)行數(shù)據(jù)通信，DSP信號(hào)處理器設(shè)計(jì)主要包括5409A引腳設(shè)置、JTAG設(shè)計(jì)，地址總線LA[16：1]，檢測(cè)輸出模塊選擇引腳、時(shí)鐘信號(hào)輸入引腳，通過(guò)CPLD編程ADM706SAR進(jìn)行系統(tǒng)復(fù)位，得到主控模塊的DSP接口連線如圖4所示。

2.2 系統(tǒng)的軟件開(kāi)發(fā)實(shí)現(xiàn)

網(wǎng)絡(luò)被入侵后異常信號(hào)檢測(cè)系統(tǒng)的軟件開(kāi)發(fā)處理程序在CCS 2.20開(kāi)發(fā)平臺(tái)下進(jìn)行。采用C5409A XDS510 Emulator仿真器進(jìn)行檢測(cè)算法編程設(shè)計(jì)，采用程序加載電路進(jìn)行異常信號(hào)檢測(cè)算法的寫入和數(shù)據(jù)讀取，處理程序都是用ASM語(yǔ)言編寫，與VB，VC等可視化開(kāi)發(fā)平臺(tái)進(jìn)行匯編，鏈接生成.out文件，代碼設(shè)計(jì)時(shí)把應(yīng)用程序轉(zhuǎn)換成.hex格式代碼，把loader和用戶程序都燒寫到FLASH中，在0FF81H處寫loader程序的入口地址，得到網(wǎng)絡(luò)被入侵后異常信號(hào)檢測(cè)系統(tǒng)的程序設(shè)計(jì)流程如圖5所示。

3 性能的測(cè)試

首先對(duì)SPCR1（串口接收控制寄存器）和SPCR2（串口發(fā)送控制寄存器）進(jìn)行復(fù)位串口配置，配置PCR（串口控制引腳寄存器）的FSXM=1，進(jìn)行網(wǎng)絡(luò)入侵采樣，采樣的樣本數(shù)為1 024，采用網(wǎng)絡(luò)爬蟲技術(shù)進(jìn)行病毒入侵的數(shù)據(jù)爬取，爬取次數(shù)為100 598次，啟動(dòng)串口0的采樣率，得到兩個(gè)幀同步之間的異常信號(hào)。網(wǎng)絡(luò)入侵異常信號(hào)的中心采用頻率為[f0=1 000]Hz，接收器和發(fā)送器的激活頻率為[fs=10] kHz，信號(hào)的采樣帶寬[B=1 000]Hz，其調(diào)頻率[k=BT=13.8] Hz，信號(hào)檢測(cè)過(guò)程中的干擾信噪比為-30 dB，根據(jù)上述仿真環(huán)境和參數(shù)設(shè)定，進(jìn)行網(wǎng)絡(luò)被入侵后的異常信號(hào)檢測(cè)仿真，得到采樣的原始網(wǎng)絡(luò)信號(hào)如圖6所示。

以上述采樣信號(hào)為測(cè)試對(duì)象，輸入到本文設(shè)計(jì)的異常信號(hào)檢測(cè)系統(tǒng)中，得到檢測(cè)輸出的高階時(shí)頻譜如圖7所示。

從圖7可見(jiàn)，本文設(shè)計(jì)的信號(hào)檢測(cè)系統(tǒng)能準(zhǔn)確檢測(cè)到異常信號(hào)的頻譜特征，對(duì)低頻干擾信號(hào)的抑制性能較好，檢測(cè)輸出的峰度聚焦性較好，展示了較高的檢測(cè)性能，為了對(duì)比，采用本文方法和傳統(tǒng)方法，以準(zhǔn)確檢測(cè)概率為測(cè)試指標(biāo)，得到的結(jié)果如圖8所示。從圖8可見(jiàn)，采用本文系統(tǒng)進(jìn)行網(wǎng)絡(luò)入侵后異常信號(hào)檢測(cè)的準(zhǔn)確檢測(cè)概率較高，且性能優(yōu)于傳統(tǒng)方法。

4 結(jié) 語(yǔ)

網(wǎng)絡(luò)被入侵后會(huì)出現(xiàn)異常信號(hào)，通過(guò)對(duì)網(wǎng)絡(luò)被入侵后的入侵信號(hào)檢測(cè)，保障網(wǎng)絡(luò)安全。本文提出基于高階時(shí)頻譜分析的網(wǎng)絡(luò)入侵異常信號(hào)檢測(cè)算法，仿真結(jié)果表明，本文算法的準(zhǔn)確檢測(cè)概率高于傳統(tǒng)方法，具有較高的應(yīng)用價(jià)值。

參考文獻(xiàn)

[1] 陸興華，陳平華.基于定量遞歸聯(lián)合熵特征重構(gòu)的緩沖區(qū)流量預(yù)測(cè)算法[J].計(jì)算機(jī)科學(xué)，2015，42（4）：68?71.

[2] 楊雷，李貴鵬，張萍.改進(jìn)的Wolf一步預(yù)測(cè)的網(wǎng)絡(luò)異常流量檢測(cè)[J].科技通報(bào)，2014，30（2）：47?49.

[3] 周煜，張萬(wàn)冰，杜發(fā)榮，等.散亂點(diǎn)云數(shù)據(jù)的曲率精簡(jiǎn)算法[J].北京理工大學(xué)學(xué)報(bào)，2010，30（7）：785?790.

[4] MERNIK M， LIU S H， KARABOGA M D， et al. On clarifying misconceptions when comparing variants of the Artificial Bee Colony Algorithm by offering a new implementation [J]. Information sciences， 2015， 291（C）： 115?127.

[5] 沈淵.基于入侵關(guān)聯(lián)跟蹤的P2P網(wǎng)絡(luò)入侵檢測(cè)方法[J].科技通報(bào)，2013，29（6）：32?34.

[6] 章武媚，陳慶章.引入偏移量遞階控制的網(wǎng)絡(luò)入侵HHT檢測(cè)算法[J].計(jì)算機(jī)科學(xué)，2014，41（12）：107?111.

[7] HSIEH T J. A bacterial gene recombination algorithm for sol?ving constrained optimization problems [J]. Applied mathema?tics and computation， 2014， 231： 187?204.