邢穎 張玉瑩

【摘? 要】群體智能優(yōu)化算法具有結構較為簡單、易于實現(xiàn)等特點，被廣泛應用于復雜問題的求解中。以物聯(lián)僵尸網絡為載體的各種網絡攻擊活動是目前互聯(lián)網所面臨的最為嚴重的安全威脅之一，具有隱蔽通信特點。本文在介紹蟻群算法、粒子群算法、灰狼算法經典群體智能算法的基礎上，重點介紹了群體智能算法在物聯(lián)僵尸網絡中的應用，主要有命令控制信道構建、特征提取以及檢測，對未來研究趨勢做了展望。

【關鍵詞】群體智能;物聯(lián)僵尸網絡;檢測;網絡安全

引言

物聯(lián)網是智能設備的網絡，是21世紀重大的創(chuàng)新之一。物聯(lián)網在農業(yè)，醫(yī)療保健，食品供應管理，藥品供應管理，環(huán)境監(jiān)控和智能家居等各個領域都得到了實現(xiàn)，促進了互聯(lián)網上的機器對機器通信。Gartner報告反映出物聯(lián)網設備數(shù)量的巨大增長，到2025年物聯(lián)網設備的數(shù)量可能達到500億個。僵尸網絡（botnet）是由大量被僵尸程序所感染的主機受到攻擊者所控制而形成的以惡意活動為目的的覆蓋網絡（overlay network）。僵尸網絡控制器可以通過控制服務器操控僵尸主機發(fā)起各種類型的網絡攻擊，如分布式拒絕服務（DDoS）、垃圾郵件（spam）、網絡釣魚（phishing）、點擊欺詐（click fraud）以及竊取敏感信息（information theft）等等。以僵尸網絡為載體的各種網絡攻擊活動是目前互聯(lián)網所面臨的最為嚴重的安全威脅之一，物聯(lián)僵尸網絡是僵尸網絡的新發(fā)展。

近年來，群體智能優(yōu)化算法因具有結構較為簡單、易于實現(xiàn)等特點，被廣泛應用于復雜問題的求解中。本文重點介紹了群體智能算法在物聯(lián)僵尸網絡中的應用，主要有兩方面，一是隱蔽型命令控制信道構建，二是僵尸網絡特征提取和參數(shù)優(yōu)化，進而提升檢測準確率，降低誤報率。

1.物聯(lián)僵尸網絡

僵尸網絡的核心是通信，經典命令控制信道主要通過IRC、HTTP、SMB、P2P、自定義等協(xié)議實現(xiàn)。以 IRC 服務作為集中式命令與控制的信道易于實施，低延遲，實時性好，但是集中式拓撲容易被檢測和封鎖。采用HTTP協(xié)議來構建命令與控制信道的僵尸主機通過周期性訪問僵尸網絡控制器，獲取命令文件，解析并執(zhí)行相應的操作，能夠穿透IDS和防火墻，具備良好的通用性，隱藏性。服務器消息塊（SMB）協(xié)議是一種在家庭和企業(yè)網絡中的典型流量模式下隱藏通信的協(xié)議，主要用于局域網中的通信。采用 P2P協(xié)議構建分布式的僵尸網絡控制通道，解決了僵尸網絡控制器單點失效問題，有較好的健壯性、隱蔽性、自組織能力。缺點是易受到索引污染（index poisoning ）和Sybil攻擊、初始化脆弱性。采用自定義的協(xié)議進行通信的僵尸網絡更為隱蔽，且通信過程更不容易被檢測。隨著互聯(lián)網的發(fā)展，以物聯(lián)網、云平臺、社交平臺為代表等公共服務資源漸成為了僵尸網絡滋生的沃土，平臺更加隱蔽化，攻擊方式更加多樣化。

物聯(lián)網在農業(yè)，醫(yī)療保健，食品供應管理，藥品供應管理，環(huán)境監(jiān)控和智能家居等各個領域都得到了實現(xiàn)。物聯(lián)網設備的激增和缺乏安全性已經引起了惡意用戶的注意，它們通過創(chuàng)建大規(guī)模的物聯(lián)網僵尸網絡攻擊來執(zhí)行一系列DDoS攻擊。物聯(lián)網具有異構環(huán)境和資源限制設備，即低內存和低計算能力。僵尸網絡是由一個或多個惡意用戶控制以執(zhí)行惡意活動的受感染設備的集合，Mirai是最常見的物聯(lián)網僵尸網絡。物聯(lián)網僵尸網絡的主要特征是：大多數(shù)基于Linux，位于受損的IoT設備的RAM上，產生非常大的流量泛濫，并且受感染的IoT設備分布在世界各地。此外，在大多數(shù)情況下，物聯(lián)網僵尸網絡對受感染的物聯(lián)網設備的性能影響有限或沒有副作用，因此很難檢測到這些僵尸網絡。

2.群體智能算法

2.1蟻群算法

蟻群優(yōu)化（ACO）指的是以生物網絡的模仿行為為模型的群體智能中的元啟發(fā)式技術的子集，1999），特別是螞蟻群體組織，自適應地尋找食物來源的最佳路徑，通過合作和集體推理依靠非常簡單的個體的能力和經驗來解決復雜的問題。在這樣的組織中，由大量的動態(tài)實體組成，每個個體都有有限的智能，而生物網絡的全局行為特征是大量的集體智能，具有管理多個目標的接近全局優(yōu)化的新興能力。在經典的蟻群場景中，螞蟻通過共享自己的知識，與鄰居共同尋找最佳解決方案，并迭代探索解決方案空間，以尋求最佳解決方案的最佳途徑。在這種基于蟻群的模型中，通過探索解空間而移動的每個螞蟻代理，都沿著其通向候選解的路徑留下了稱為“信息素”的軌跡的種類，即正在搜索“食物”。當它從探索返回到初始位置，即模型中的“巢”時，它會增加遍歷路徑上剩余的信息素的數(shù)量。蟻群算法已經被應用于解決多種組合優(yōu)化問題。

2.2粒子群算法

粒子群優(yōu)化算法（PSO），最早是由Eberhart和Kennedy于1995年提出，它的基本概念源于對鳥群捕食行為的思考。該算法將每一個優(yōu)化問題的解視為一只鳥，即稱為粒子，所有粒子均在一個N維空間進行搜索，并由一個適應值來判斷目前位置的好壞，通過迭代搜索最佳位置，群體內的信息交互實現(xiàn)問題求解的智能性。粒子具有兩個屬性：速度和位置，速度代表移動的快慢，位置代表移動的方向。每個粒子單獨搜尋的最優(yōu)解叫做個體極值，粒子群中最優(yōu)的個體極值作為當前全局最優(yōu)解。不斷迭代，更新速度和位置，最終得到滿足終止條件的最優(yōu)解。

2.3灰狼算法

灰狼優(yōu)化算法是一種近年來興趣的較新的群體智能優(yōu)化算法，具有簡單高效、需要調節(jié)的參數(shù)少、容易實現(xiàn)特點被成功應用于多個領域。算法中存在能夠進行自適應調整的收斂因子和信息反饋機制，可以在局部尋優(yōu)與全局搜索之間實現(xiàn)平衡。GWO算法的靈感來自觀察灰狼在自然界中的生活方式以及進行搜索以尋找獵物的最佳方式。GWO算法通過根據(jù)搜索者的適應性將搜索代理分為四種類型，模擬了狼在領導和狩獵中的嚴格社會等級?？沙橄鬄榻鹱炙Ｐ?，從上往下分為四層，第一層稱為種群中的領導者，稱為α。金字塔第二層是α的下屬，即智囊團隊，稱為β，主要負責協(xié)助α進行決策。金字塔第三層是δ，聽從α和β的決策命令，主要負責偵查、放哨、以及看護等事務。金字塔第四層是ω，代表個體，主要負責種群內部關系的平衡。

3.群體智能算法在物聯(lián)僵尸網絡中應用

3.1命令控制信道構建

復雜系統(tǒng)的構想，例如自組織、響應彈性和適應性，可以極大地幫助僵尸網絡通信協(xié)議和體系結構設計，確保獨立的bot代理之間進行自發(fā)的，隱式的協(xié)調與協(xié)作。根據(jù)動態(tài)構建的度約束最小生成樹，通過多個短距離跳點將控制信息傳播到任意機器人節(jié)點，提高了網絡容錯性和動態(tài)適應網絡環(huán)境的能力。像其他覆蓋網絡組織一樣，僵尸網絡具有特定的生存能力、可靠性和可用性要求，必須能夠以隱秘的方式進行操作以實現(xiàn)上述目標。

螞蟻在自然環(huán)境中的行為的觀察，可以在沒有任何主控或中央權限驅動它們的情況下，動態(tài)，自適應地將覓食對象收集并收集到它們的巢中，這為解決上述C&C魯棒性和可伸縮性問題提供了新的思路。基于蟻群算法的僵尸網絡架構可以通過定期在潛在的完全網格化動態(tài)構建最小生成樹（MST），來自適應地設置成本最低的C&C通道基礎結構，以將僵尸網絡節(jié)點互連，從而確保整個僵尸網絡的覆蓋范圍?；谌后w技術的關鍵特征是，承擔基本問題解決代理角色的單個螞蟻通過僅依靠代理之間的間接和異步通信來查找復雜問題中的候選解決方案的能力，提高了僵尸網絡通信結構的隱蔽性與智能性。

3.2檢測

（1）PSO。文獻[1]將粒子群優(yōu)化（PSO）算法與投票系統(tǒng)（BD-PSO-V）結合使用，PSO算法將每個特征看成粒子，進行搜索，用于網絡流數(shù)據(jù)特征選擇。投票系統(tǒng)包括深層神經網絡算法，支持向量機（SVM）和決策樹C4.5，采用基于最大投票數(shù)，用于識別僵尸網絡樣本進行分類，大大提升了檢測模型的準確率。

算法具體分為三步，第一步，將數(shù)據(jù)集導入原始計算機網絡系統(tǒng)，使用X均值聚類算法對數(shù)據(jù)進行預處理，為后續(xù)處理做準備。第二級對輸入到PSO算法的數(shù)據(jù)進行了預處理。PSO算法 提取攻擊檢測有效特征的子集，最后選擇最佳特征。PSO優(yōu)化算法的使用可確保功能很少對僵尸網絡檢測的影響未在主流處理中使用。將具有多個優(yōu)化特征的數(shù)據(jù)集輸入到投票系統(tǒng)中。第三，投票系統(tǒng)由三種機器學習算法組成，所有機器學習算法都會生成一個模型，然后將測試數(shù)據(jù)應用于每個模型。

數(shù)據(jù)挖掘和機器學習技術在物聯(lián)網僵尸網絡檢測領域有著重要的作用。Habib M等人針對物聯(lián)網總僵尸網絡檢測，提出基于多目標粒子群優(yōu)化（MOPSO）的檢測模型，用于識別批量網絡流量中的惡意行為。針對多目標非支配排序遺傳算法、常用的傳統(tǒng)機器學習算法和一些傳統(tǒng)的基于過濾的特征選擇方法，驗證了該算法的性能。

（2）GWO。Al Shorman等人基于灰狼優(yōu)化算法提出了一種新的無監(jiān)督進化式物聯(lián)網僵尸網絡檢測智能系統(tǒng)。該方法的主要貢獻首次將GWO與OCSVM相結合，應用于物聯(lián)網僵尸網絡攻擊的檢測，利用遺傳算法優(yōu)化OCSVM超參數(shù)，同時進行特征選擇。為了證明所提方法的有效性，使用典型的異常檢測評估方法對實際基準數(shù)據(jù)集的新版本進行了性能評估。

該算法檢測受損的物聯(lián)網設備的優(yōu)點是：第一，它處理異質特性，與傳統(tǒng)的計算環(huán)境相比，物聯(lián)網環(huán)境的多樣性非常高。通過分別對每種設備類型進行建模，該算法克服了物聯(lián)網設備不斷增長的異構性。第二，算法是無監(jiān)督的?？梢詸z測到已知和未知的僵尸網絡攻擊。第三，模型位于路由器網關上，因此可以在受限的物聯(lián)網設備上維護能源，計算和內存資源。

3.總結

群體智能算法進行信息優(yōu)化，有助于提高物聯(lián)僵尸網絡檢測系統(tǒng)性能，得到較好檢測效果，提升可靠性和穩(wěn)定性。隨著部署的在線物聯(lián)網設備數(shù)量急劇增加，這些設備缺乏安全性以及受感染的IoT設備可能未顯示任何明顯的感染癥狀，加大了檢測難度。將群智能優(yōu)化算法應用于僵尸網絡檢測的未來趨勢是，第一，多種群體智能算法的組合優(yōu)化，結合各自優(yōu)點進行整合，取長補短，提高算法收斂速度，提升全局尋優(yōu)效果。第二，如何適應海量并且高速物聯(lián)網設備的實時檢測，結合人工智能的方法提高檢測效率，是一個重要的研究方向。

參考文獻

[1]M. Asadi， M.A.J. Jamali， S. Parsa et al.， Detecting botnet by using particle swarm optimization algorithm based on voting system， Future Generation Computer Systems （2020）

項目編號：2018年度河南省高等學校重點科研項目，《基于生物智能的物聯(lián)網中繼節(jié)點自動化部署方案》，編號18B520045。

作者簡介：邢穎（1985-），河南沈丘人，講師，碩士研究生，研究方向為信息安全。