周麗娟

(山西財(cái)經(jīng)大學(xué)實(shí)驗(yàn)中心，山西 太原 030006)

0 引言

網(wǎng)絡(luò)入侵檢測(cè)就是在互聯(lián)網(wǎng)系統(tǒng)的關(guān)鍵節(jié)點(diǎn)上收集大量的數(shù)據(jù)，分析其是否違反了安全規(guī)則.入侵檢測(cè)系統(tǒng)按照不同的數(shù)據(jù)采集對(duì)象，可分為基于主機(jī)的入侵檢測(cè)系統(tǒng)和基于網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)[1].前一種是以主機(jī)為檢測(cè)對(duì)象，通過(guò)網(wǎng)絡(luò)采集系統(tǒng)進(jìn)行數(shù)據(jù)匹配分析；基于網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)是近年來(lái)國(guó)內(nèi)外學(xué)者研究的熱點(diǎn).伴隨著網(wǎng)絡(luò)資源和網(wǎng)絡(luò)用戶的不斷增加，由于應(yīng)用系統(tǒng)的復(fù)雜性和網(wǎng)絡(luò)的開放性而帶來(lái)的安全風(fēng)險(xiǎn)也越來(lái)越大，各種網(wǎng)絡(luò)漏洞也越來(lái)越多，網(wǎng)絡(luò)攻擊手段也越來(lái)越復(fù)雜.多種攻擊手段的融合，增加了網(wǎng)絡(luò)防御的難度.信息安全人員可以通過(guò)對(duì)網(wǎng)絡(luò)入侵所獲得的攻擊數(shù)據(jù)進(jìn)行充分的分析和挖掘，提取重要特征和相關(guān)信息，根據(jù)已有的攻擊特征和信息預(yù)測(cè)未來(lái)的攻擊或長(zhǎng)期攻擊趨勢(shì)，從而提前做出正確的響應(yīng)[2].無(wú)論何種攻擊，其攻擊方法、步驟、危害程度，甚至每次攻擊的時(shí)間、強(qiáng)度和頻率都是相似的.所以預(yù)測(cè)網(wǎng)絡(luò)攻擊的出發(fā)點(diǎn)就是分析和研究網(wǎng)絡(luò)攻擊的某些特征，挖掘這些特征的規(guī)律，并據(jù)此推斷可能的攻擊行為、趨勢(shì)和規(guī)模.

在高速網(wǎng)絡(luò)環(huán)境下，海量的網(wǎng)絡(luò)數(shù)據(jù)使得IDS難以捕獲異常包并進(jìn)行詳細(xì)分析[3].當(dāng)異常網(wǎng)絡(luò)數(shù)據(jù)被提取之后，就需要對(duì)被提取的網(wǎng)絡(luò)數(shù)據(jù)特征進(jìn)行相關(guān)數(shù)據(jù)分析.各種分析方法對(duì)網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)檢測(cè)頻率的影響程度不同.為了提高網(wǎng)絡(luò)入侵的檢測(cè)率和檢出率，提出一種基于云計(jì)算的網(wǎng)絡(luò)入侵檢測(cè)頻率智能調(diào)整算法，通過(guò)與傳統(tǒng)智能調(diào)整算法進(jìn)行比較，證明基于云計(jì)算的網(wǎng)絡(luò)入侵檢測(cè)頻率智能調(diào)整算法的檢測(cè)率和檢出率更高.

1 網(wǎng)絡(luò)入侵檢測(cè)頻率智能調(diào)整算法設(shè)計(jì)

1.1 預(yù)測(cè)網(wǎng)絡(luò)入侵檢測(cè)頻率的時(shí)序

網(wǎng)絡(luò)入侵檢測(cè)頻率表示單位時(shí)間內(nèi)發(fā)生網(wǎng)絡(luò)入侵的次數(shù)，屬于網(wǎng)絡(luò)入侵的一個(gè)時(shí)間序列.網(wǎng)絡(luò)入侵檢測(cè)頻率的高低反映了網(wǎng)絡(luò)入侵的實(shí)際數(shù)量及其在網(wǎng)絡(luò)入侵?jǐn)?shù)據(jù)中的變化趨勢(shì).如果可以準(zhǔn)確預(yù)測(cè)出網(wǎng)絡(luò)入侵檢測(cè)頻率，就能有效地把握網(wǎng)絡(luò)入侵的大規(guī)模爆發(fā)機(jī)會(huì)，從而對(duì)網(wǎng)絡(luò)入侵行為采取具有針對(duì)性的防范措施，降低網(wǎng)絡(luò)系統(tǒng)在運(yùn)行過(guò)程中的安全風(fēng)險(xiǎn).

作為一種復(fù)雜的非線性網(wǎng)絡(luò)系統(tǒng)，網(wǎng)絡(luò)入侵檢測(cè)頻率會(huì)受多種因素的共同影響，具有一定的隨機(jī)性和確定性.目前從不同的角度來(lái)預(yù)測(cè)網(wǎng)絡(luò)入侵檢測(cè)頻率的方法均來(lái)自于統(tǒng)計(jì)學(xué)領(lǐng)域.但是所有預(yù)測(cè)方法的共同特點(diǎn)是，當(dāng)預(yù)測(cè)網(wǎng)絡(luò)入侵檢測(cè)頻率時(shí)序時(shí)，不區(qū)分時(shí)序的數(shù)據(jù)特征是隨機(jī)的、混沌的還是確定的，而是假定它們都是在隨機(jī)過(guò)程中產(chǎn)生的，直接使用統(tǒng)計(jì)方法對(duì)其進(jìn)行預(yù)測(cè)[4].由于這些方法不能準(zhǔn)確描述網(wǎng)絡(luò)入侵檢測(cè)頻率的具體形式，使得其預(yù)測(cè)精度難以提高.基于云計(jì)算的網(wǎng)絡(luò)入侵檢測(cè)頻率時(shí)間序列的具體預(yù)測(cè)步驟如下：

Step1：收集原始網(wǎng)絡(luò)入侵檢測(cè)頻率數(shù)據(jù)，并對(duì)其進(jìn)行歸一化處理；

Step2：采用相空間重構(gòu)來(lái)處理原始網(wǎng)絡(luò)入侵檢測(cè)頻率數(shù)據(jù)；

Step3：采用step2中相空間重構(gòu)得到的嵌入維數(shù)m作為訓(xùn)練網(wǎng)絡(luò)的輸入層節(jié)點(diǎn)數(shù)目，而網(wǎng)絡(luò)隱層的節(jié)點(diǎn)數(shù)目通常都采用經(jīng)驗(yàn)值，輸出層的節(jié)點(diǎn)通常設(shè)置為1，因此先建立基于云計(jì)算的網(wǎng)絡(luò)入侵檢測(cè)頻率的預(yù)測(cè)模型；

Step4：學(xué)習(xí)階段

相空間重構(gòu)得到的m維網(wǎng)絡(luò)入侵檢測(cè)頻率數(shù)據(jù)輸入到訓(xùn)練網(wǎng)絡(luò)中，通過(guò)學(xué)習(xí)階段可以得到一個(gè)訓(xùn)練網(wǎng)絡(luò)的輸出結(jié)果，將其與網(wǎng)絡(luò)攻擊頻率數(shù)據(jù)的真實(shí)值進(jìn)行比較，如果兩者之間的誤差比較大，說(shuō)明學(xué)習(xí)階段沒有達(dá)到預(yù)先設(shè)定的要求，可以通過(guò)反向傳播算法來(lái)對(duì)訓(xùn)練網(wǎng)絡(luò)的權(quán)值進(jìn)行修正，減小學(xué)習(xí)階段的誤差，交替進(jìn)行正向輸出計(jì)算和反向權(quán)值修改兩種方式，控制學(xué)習(xí)階段的誤差在允許的控制范圍以內(nèi)；

Step5：網(wǎng)絡(luò)入侵檢測(cè)頻率的時(shí)序預(yù)測(cè)

將網(wǎng)絡(luò)入侵檢測(cè)頻率的時(shí)序預(yù)測(cè)樣本輸入到訓(xùn)練網(wǎng)絡(luò)中，通過(guò)Step4建立的學(xué)習(xí)模型來(lái)進(jìn)行預(yù)測(cè)，輸出的結(jié)果就是網(wǎng)絡(luò)入侵檢測(cè)頻率的預(yù)測(cè)值.

針對(duì)網(wǎng)絡(luò)入侵檢測(cè)頻率在預(yù)測(cè)方面存在的問(wèn)題，將云計(jì)算技術(shù)應(yīng)用到檢測(cè)頻率時(shí)間序列的具體預(yù)測(cè)中，完成檢測(cè)頻率的時(shí)序預(yù)測(cè)，接下來(lái)通過(guò)分析網(wǎng)絡(luò)入侵檢測(cè)頻率智能調(diào)整原理，來(lái)消除異常數(shù)據(jù)對(duì)網(wǎng)絡(luò)入侵檢測(cè)頻率調(diào)整的影響.

1.2 分析網(wǎng)絡(luò)入侵檢測(cè)頻率智能調(diào)整原理

在分析網(wǎng)絡(luò)入侵檢測(cè)頻率智能調(diào)整原理時(shí)，與云計(jì)算技術(shù)進(jìn)行了有效聯(lián)合，將網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)的頻率特征作為選取智能調(diào)整特征的目標(biāo)函數(shù)，將網(wǎng)絡(luò)的當(dāng)前狀態(tài)看作是約束條件，在此基礎(chǔ)上，建立網(wǎng)絡(luò)入侵特征的數(shù)學(xué)模型[5].將粒子群算法引入到網(wǎng)絡(luò)入侵特征數(shù)學(xué)模型的求解中，根據(jù)粒子群算法中最優(yōu)粒子，求解得到網(wǎng)絡(luò)系統(tǒng)的最優(yōu)特征子集，然后訓(xùn)練開始獲得的最優(yōu)網(wǎng)絡(luò)入侵檢測(cè)特征子集，基于粒子群算法和支持向量機(jī)，建立網(wǎng)絡(luò)入侵檢測(cè)模型，檢測(cè)建模的具體過(guò)程如下：S={s1,…,sn}為網(wǎng)絡(luò)入侵檢測(cè)頻率特征，n表示檢測(cè)頻率特征數(shù)量，選取網(wǎng)絡(luò)入侵檢測(cè)的頻率特征可以簡(jiǎn)化網(wǎng)絡(luò)入侵檢測(cè)頻率的調(diào)整步驟，從而有效提高網(wǎng)絡(luò)入侵的檢測(cè)率和檢出率[6].以網(wǎng)絡(luò)的當(dāng)前狀態(tài)為約束條件時(shí)，構(gòu)建檢測(cè)頻率特征模型，表示為：

maxSG(S)s.t.S={s1,…,sn}

(1)

在檢測(cè)頻率不變或者升高的情況下，選取網(wǎng)絡(luò)入侵檢測(cè)的頻率特征數(shù)量是最少的，這時(shí)可以利用粒子群算法來(lái)計(jì)算求解網(wǎng)絡(luò)入侵檢測(cè)頻率特征的數(shù)學(xué)模型，因此，可以得到粒子群的適應(yīng)度函數(shù)，即：

(2)

其中，ωa和ωf表示權(quán)重系數(shù)，兩個(gè)權(quán)重系數(shù)都可以用于描述粒子群的適應(yīng)度函數(shù)，p表示網(wǎng)絡(luò)入侵檢測(cè)的檢測(cè)率，f表示網(wǎng)絡(luò)入侵檢測(cè)頻率的特征選取狀態(tài)，用公式(3)來(lái)求解網(wǎng)絡(luò)入侵檢測(cè)頻率的特征選取狀態(tài)，即：

(3)

在公式(3)的基礎(chǔ)上，可以提取出網(wǎng)絡(luò)入侵檢測(cè)頻率的狀態(tài)特征，并對(duì)最優(yōu)粒子搜索過(guò)程中的每一個(gè)粒子進(jìn)行綜合性評(píng)價(jià)，通過(guò)粒子之間的變異操作和交叉操作，來(lái)更新最優(yōu)粒子的最優(yōu)位置，根據(jù)最優(yōu)粒子的具體位置，獲得最優(yōu)檢測(cè)頻率特征子集，利用支持向量機(jī)訓(xùn)練最優(yōu)網(wǎng)絡(luò)入侵檢測(cè)頻率特征子集，公式(4)展示了最優(yōu)網(wǎng)絡(luò)入侵檢測(cè)頻率特征的超平面，表示為：

y=ωTΦ(x)+b

(4)

其中，ωT表示可以調(diào)節(jié)的權(quán)值向量矩陣，b表示偏置值，x表示輸入網(wǎng)絡(luò)入侵檢測(cè)頻率的特征向量，ω表示可以調(diào)節(jié)的權(quán)值向量，引入云計(jì)算技術(shù)中的拉格朗日乘子[7]，來(lái)求解公式(4)的對(duì)偶問(wèn)題，最終得到網(wǎng)絡(luò)入侵檢測(cè)頻率特征的分類決策函數(shù)，將其表示為：

(5)

(6)

其中，αi表示引入的云計(jì)算技術(shù)中的拉格朗日乘子，xi和xj表示網(wǎng)絡(luò)入侵檢測(cè)頻率的特征向量.

以上根據(jù)網(wǎng)絡(luò)入侵檢測(cè)建模的具體過(guò)程，構(gòu)建了網(wǎng)絡(luò)入侵檢測(cè)頻率特征的數(shù)學(xué)模型，通過(guò)引入云計(jì)算技術(shù)中的拉格朗日乘子，得到網(wǎng)絡(luò)入侵檢測(cè)頻率特征的分類決策函數(shù)，完成網(wǎng)絡(luò)入侵檢測(cè)頻率智能調(diào)整原理的分析.

1.3 設(shè)計(jì)網(wǎng)絡(luò)入侵檢測(cè)頻率智能調(diào)整算法

利用概率統(tǒng)計(jì)的方法將網(wǎng)絡(luò)入侵信號(hào)的頻譜特征提取出來(lái)，并計(jì)算其在網(wǎng)絡(luò)中對(duì)應(yīng)幅度的總概率.用經(jīng)驗(yàn)?zāi)B(tài)分解法將干擾信號(hào)的諧波成分分離出來(lái)，并給出了網(wǎng)絡(luò)入侵風(fēng)險(xiǎn)信號(hào)諧波成分在時(shí)頻域的能量分布特征[8].基于這種差異，設(shè)計(jì)了網(wǎng)絡(luò)入侵檢測(cè)頻率的調(diào)節(jié)閾值，它直接影響著網(wǎng)絡(luò)入侵檢測(cè)頻率的調(diào)節(jié)[9].

網(wǎng)絡(luò)入侵檢測(cè)頻率智能調(diào)整算法的具體實(shí)現(xiàn)過(guò)程如下：

n表示網(wǎng)絡(luò)入侵檢測(cè)頻率的信號(hào)數(shù)量，根據(jù)網(wǎng)絡(luò)入侵檢測(cè)頻率信號(hào)的傳輸速率恒定原則，可以得到如下關(guān)系：

m=n*lo+(la-lo) *k

(7)

其中，k表示網(wǎng)絡(luò)入侵的數(shù)據(jù)包數(shù)量，lo表示網(wǎng)絡(luò)入侵檢測(cè)對(duì)低危信號(hào)的檢測(cè)頻率，la表示網(wǎng)絡(luò)入侵檢測(cè)對(duì)高危信號(hào)的檢測(cè)頻率，m表示采集到的網(wǎng)絡(luò)入侵檢測(cè)數(shù)據(jù)包.

當(dāng)網(wǎng)絡(luò)入侵檢測(cè)頻率智能調(diào)整在有限網(wǎng)絡(luò)資源的約束下，增加網(wǎng)絡(luò)入侵檢測(cè)頻率的數(shù)據(jù)數(shù)量，根據(jù)高危信號(hào)與低危信號(hào)之間的采集頻率差異，設(shè)計(jì)了網(wǎng)絡(luò)入侵檢測(cè)頻率的智能調(diào)整閾值，即：

(8)

綜上所述，在云計(jì)算技術(shù)的基礎(chǔ)上，預(yù)測(cè)了網(wǎng)絡(luò)入侵檢測(cè)頻率的時(shí)序，通過(guò)分析網(wǎng)絡(luò)入侵檢測(cè)頻率智能調(diào)整原理，設(shè)計(jì)了網(wǎng)絡(luò)入侵檢測(cè)頻率智能調(diào)整算法，實(shí)現(xiàn)網(wǎng)絡(luò)入侵檢測(cè)頻率的智能調(diào)整.

2 實(shí)驗(yàn)對(duì)比分析

為了驗(yàn)證基于云計(jì)算的網(wǎng)絡(luò)入侵檢測(cè)頻率智能調(diào)整算法的有效性，本實(shí)驗(yàn)采用傳統(tǒng)網(wǎng)絡(luò)入侵檢測(cè)頻率智能調(diào)整算法為對(duì)比對(duì)象，測(cè)試了網(wǎng)絡(luò)入侵的檢測(cè)率，結(jié)果如表1所示.

表1 網(wǎng)絡(luò)入侵檢測(cè)率對(duì)比測(cè)試結(jié)果 %

從表1的實(shí)驗(yàn)結(jié)果可以看出，采用基于云計(jì)算的網(wǎng)絡(luò)入侵檢測(cè)頻率智能調(diào)整算法來(lái)調(diào)整網(wǎng)絡(luò)入侵檢測(cè)頻率時(shí)，可以有效提高網(wǎng)絡(luò)入侵的檢測(cè)率，經(jīng)計(jì)算，網(wǎng)絡(luò)入侵檢測(cè)率的平均值為85.508%，而采用傳統(tǒng)網(wǎng)絡(luò)入侵檢測(cè)頻率智能調(diào)整算法來(lái)調(diào)整網(wǎng)絡(luò)入侵檢測(cè)頻率時(shí)，得到的檢測(cè)率結(jié)果很低，經(jīng)計(jì)算，網(wǎng)絡(luò)入侵檢測(cè)率的平均值為50.819%，因此，可以得到基于云計(jì)算的網(wǎng)絡(luò)入侵檢測(cè)頻率智能調(diào)整算法可以有效提高網(wǎng)路入侵的檢測(cè)率.

3 結(jié)束語(yǔ)

本文提出了基于云計(jì)算的網(wǎng)絡(luò)入侵檢測(cè)頻率智能調(diào)整算法，結(jié)果顯示該方法可以實(shí)現(xiàn)網(wǎng)絡(luò)入侵檢測(cè)頻率的有效調(diào)整，從而提高網(wǎng)絡(luò)入侵的檢測(cè)率.