陶慶鳳
(閩南理工學(xué)院 實(shí)踐教學(xué)中心,福建 石獅 362700)
如今,互聯(lián)網(wǎng)應(yīng)用軟件日益多樣化,吸引了越來(lái)越多的網(wǎng)絡(luò)用戶(hù)去使用[1].隨著互聯(lián)網(wǎng)用戶(hù)的快速增長(zhǎng),多種計(jì)算機(jī)病毒慢慢開(kāi)始侵蝕著網(wǎng)絡(luò)環(huán)境,木馬病毒利用互聯(lián)網(wǎng)應(yīng)用軟件對(duì)網(wǎng)絡(luò)進(jìn)行攻擊,已成為危害網(wǎng)絡(luò)環(huán)境安全的重要因素,它不僅影響著網(wǎng)絡(luò)環(huán)境的正常運(yùn)行,而且增加了用戶(hù)的個(gè)人隱私信息泄露的風(fēng)險(xiǎn),造成個(gè)人財(cái)產(chǎn)損失[2].目前的無(wú)線(xiàn)網(wǎng)絡(luò)環(huán)境具有很強(qiáng)的時(shí)變性,一般的網(wǎng)絡(luò)攻擊檢測(cè)技術(shù)很難抵御跨站的數(shù)據(jù)攻擊,對(duì)無(wú)線(xiàn)網(wǎng)絡(luò)攻擊行為也很難識(shí)別.因此,利用無(wú)線(xiàn)網(wǎng)絡(luò)攻擊行為辨識(shí)方法對(duì)無(wú)線(xiàn)網(wǎng)絡(luò)實(shí)時(shí)監(jiān)測(cè)和排查網(wǎng)絡(luò)攻擊行為,是當(dāng)前網(wǎng)絡(luò)安全領(lǐng)域的研究重點(diǎn)[3].
針對(duì)目前無(wú)線(xiàn)網(wǎng)絡(luò)攻擊行為很難準(zhǔn)確辨別等問(wèn)題,盧強(qiáng)[4]等人提出了基于自動(dòng)過(guò)濾波的防網(wǎng)絡(luò)攻擊算法,首先在無(wú)線(xiàn)網(wǎng)絡(luò)的傳輸信道對(duì)無(wú)線(xiàn)網(wǎng)絡(luò)信號(hào)源進(jìn)行采集,將采集的網(wǎng)絡(luò)信息進(jìn)行統(tǒng)一權(quán)重處理,建立網(wǎng)絡(luò)攻擊提醒模型,采用自動(dòng)過(guò)濾分析方法對(duì)網(wǎng)絡(luò)攻擊信息進(jìn)行評(píng)估,根據(jù)攻擊行為特征信息進(jìn)行網(wǎng)絡(luò)行為辨別,實(shí)驗(yàn)結(jié)果表明,利用自動(dòng)過(guò)濾波的防網(wǎng)絡(luò)攻擊算法,對(duì)于未知的網(wǎng)絡(luò)攻擊行為具有一定識(shí)別能力,相對(duì)于傳統(tǒng)的網(wǎng)絡(luò)攻擊檢測(cè)方法,更具有現(xiàn)實(shí)意義;王珂[5]等人提出了一種基于小波的無(wú)線(xiàn)網(wǎng)絡(luò)攻擊行為辨識(shí)方法,用來(lái)解決傳統(tǒng)網(wǎng)絡(luò)攻擊行為辨別算法檢測(cè)速度慢,以及對(duì)無(wú)線(xiàn)網(wǎng)絡(luò)攻擊辨別能力低等問(wèn)題,利用此方法可以提高網(wǎng)絡(luò)攻擊軟件的主動(dòng)性,對(duì)無(wú)線(xiàn)網(wǎng)絡(luò)隨機(jī)攻擊行為進(jìn)行自動(dòng)檢測(cè).
針對(duì)以上方法在誤報(bào)率和辨識(shí)效率方面存在的不足,本文提出了一種新的基于人工蜂群算法的無(wú)線(xiàn)網(wǎng)絡(luò)攻擊行為辨識(shí)方法.
在無(wú)線(xiàn)網(wǎng)絡(luò)攻擊行為數(shù)據(jù)采集過(guò)程中,首先利用極值函數(shù)對(duì)惡意攻擊數(shù)據(jù)進(jìn)行獲取,再利用小波方程式[6]確定無(wú)線(xiàn)網(wǎng)絡(luò)攻擊隸屬度,然后對(duì)無(wú)線(xiàn)網(wǎng)絡(luò)攻擊行為進(jìn)行預(yù)處理,具體操作過(guò)程如下.
設(shè)X={X1,X2,…,Xn}是無(wú)線(xiàn)網(wǎng)絡(luò)攻擊行為的目標(biāo)識(shí)別數(shù)據(jù),每個(gè)攻擊行為數(shù)據(jù)的特征數(shù)為m,則可以得到無(wú)線(xiàn)網(wǎng)絡(luò)攻擊行為數(shù)據(jù)矩陣
(1)
其中,xnm表示第m個(gè)無(wú)線(xiàn)網(wǎng)絡(luò)攻擊行為對(duì)象的第n個(gè)原始信息數(shù)據(jù).利用極值函數(shù)[7]獲取無(wú)線(xiàn)網(wǎng)絡(luò)攻擊行為的特征屬性,再根據(jù)小波方程式求得攻擊行為隸屬度,當(dāng)目標(biāo)識(shí)別數(shù)據(jù)越小時(shí),xi的模糊組數(shù)據(jù)越大.利用聚類(lèi)相近指標(biāo)計(jì)算出目標(biāo)識(shí)別系數(shù)構(gòu)建相應(yīng)的目標(biāo)識(shí)別函數(shù)為
(2)
(3)
公式(3)中,λ是數(shù)據(jù)權(quán)重值,r代表惡意攻擊數(shù)據(jù)與辨別中心的最遠(yuǎn)距離值.
在無(wú)線(xiàn)網(wǎng)絡(luò)攻擊行為特征提取的基礎(chǔ)上,獲得惡意攻擊數(shù)據(jù),利用小波方程式對(duì)無(wú)線(xiàn)網(wǎng)絡(luò)攻擊行為數(shù)據(jù)進(jìn)行分析處理,計(jì)算出無(wú)線(xiàn)網(wǎng)絡(luò)惡意攻擊信息Y的變量值為
H(Y)=-∑p(yi)log2p(yi)d2(X,Y),
(4)
其中,Y={Yj,j=1,2,…}表示無(wú)線(xiàn)網(wǎng)絡(luò)惡意攻擊序列,p(yi)代表無(wú)線(xiàn)網(wǎng)絡(luò)惡意攻擊變量值Y的有效檢驗(yàn)率,利用辨別系統(tǒng)對(duì)采集的惡意攻擊數(shù)據(jù)進(jìn)行分類(lèi)辨別[8],再利用得到數(shù)據(jù)求平均攻擊數(shù)據(jù)值,就可獲得惡意攻擊序列為
(5)
根據(jù)無(wú)線(xiàn)網(wǎng)絡(luò)惡意攻擊數(shù)據(jù)Sj(ρ)計(jì)算得出,在時(shí)間值為T(mén)時(shí)的辨別結(jié)果Y(j)T,并與事先求得的目標(biāo)辨別數(shù)據(jù)進(jìn)行對(duì)比,最終根據(jù)(6)式初步獲得無(wú)線(xiàn)網(wǎng)絡(luò)攻擊行為
(6)
公式(6)中,x(t)代表無(wú)線(xiàn)網(wǎng)絡(luò)接收的網(wǎng)絡(luò)傳輸信號(hào),s(t)是在數(shù)據(jù)傳輸過(guò)程中當(dāng)有無(wú)線(xiàn)網(wǎng)絡(luò)惡意攻擊時(shí)的發(fā)射信號(hào),n(t)是代表攻擊信息的惡意目標(biāo),h是無(wú)線(xiàn)網(wǎng)絡(luò)攻擊網(wǎng)絡(luò)信道的振幅值.
根據(jù)無(wú)線(xiàn)網(wǎng)絡(luò)攻擊行為的預(yù)處理結(jié)果,提取無(wú)線(xiàn)網(wǎng)絡(luò)攻擊行為特征,具體過(guò)程如下.
采用z=(z1,z2,…,zp)T來(lái)描述無(wú)線(xiàn)網(wǎng)絡(luò)的節(jié)點(diǎn)特征分量,W(w1,w2,…,wq)表示節(jié)點(diǎn)分布區(qū)域,那么可以得到無(wú)線(xiàn)網(wǎng)絡(luò)不同節(jié)點(diǎn)對(duì)比結(jié)果,即
(7)
其中,z的取值為
z=WTz=(WT)-1a.
(8)
采用人工蜂群算法[9]可以計(jì)算出無(wú)線(xiàn)網(wǎng)絡(luò)節(jié)點(diǎn)權(quán)值系數(shù),公式為
(9)
其中,ak表示無(wú)線(xiàn)網(wǎng)絡(luò)節(jié)點(diǎn)的權(quán)值,dk表示無(wú)線(xiàn)網(wǎng)絡(luò)攻擊行為節(jié)點(diǎn)的權(quán)值.
根據(jù)無(wú)線(xiàn)網(wǎng)絡(luò)節(jié)點(diǎn)的權(quán)值系數(shù)[10],計(jì)算無(wú)線(xiàn)網(wǎng)絡(luò)攻擊行為的特征提取殘差參數(shù),公式為
(10)
其中,G在無(wú)線(xiàn)網(wǎng)絡(luò)攻擊行為特征提取時(shí)的一個(gè)常數(shù).
(11)
其中,Ez表示無(wú)線(xiàn)網(wǎng)絡(luò)節(jié)點(diǎn)之間的特征值,wk表示無(wú)線(xiàn)網(wǎng)絡(luò)節(jié)點(diǎn)的權(quán)值.
Ezwk=vkwk,
(12)
其中,vk表示無(wú)線(xiàn)網(wǎng)絡(luò)攻擊行為的特征值.
根據(jù)以上分析,得到無(wú)線(xiàn)網(wǎng)絡(luò)攻擊行為特征的提取結(jié)果,表示為
(13)
在辨識(shí)無(wú)線(xiàn)網(wǎng)絡(luò)攻擊行為時(shí),假設(shè)無(wú)線(xiàn)網(wǎng)絡(luò)攻擊行為數(shù)據(jù)都是由一個(gè)個(gè)線(xiàn)性相關(guān)的時(shí)間序列組成[11],采用人工蜂群算法對(duì)無(wú)線(xiàn)網(wǎng)絡(luò)攻擊行為進(jìn)行干擾抑制,即
(14)
其中,a0表示無(wú)線(xiàn)網(wǎng)絡(luò)攻擊行為的初始采樣賦值,ai表示無(wú)線(xiàn)網(wǎng)絡(luò)中某一個(gè)階段攻擊行為的采樣賦值,ηn-j表示無(wú)線(xiàn)網(wǎng)絡(luò)攻擊行為特征的時(shí)變瞬時(shí)頻率,MMA表示無(wú)線(xiàn)網(wǎng)絡(luò)的攻擊行為辨識(shí)的短時(shí)窗函數(shù),MAR表示無(wú)線(xiàn)網(wǎng)絡(luò)攻擊行為辨識(shí)的多元數(shù)量值函數(shù),xn-i表示均值和方差相同的無(wú)線(xiàn)網(wǎng)絡(luò)攻擊行為特征序列,bj表示無(wú)線(xiàn)網(wǎng)絡(luò)攻擊行為的振蕩賦值.采用人工蜂群算法[12]分析無(wú)線(xiàn)網(wǎng)絡(luò)的攻擊行為,獲取無(wú)線(xiàn)網(wǎng)絡(luò)攻擊過(guò)程中的振蕩衰減,即
(15)
其中,mt表示無(wú)線(xiàn)網(wǎng)絡(luò)攻擊行為在單分量上的傳遞信息,a表示無(wú)線(xiàn)網(wǎng)絡(luò)攻擊行為的域間方差系數(shù),BH(t)表示無(wú)線(xiàn)網(wǎng)絡(luò)攻擊行為識(shí)別的相關(guān)函數(shù),通過(guò)采用人工蜂群算法分析與處理[13],得到無(wú)線(xiàn)網(wǎng)絡(luò)攻擊行為的輸出解析模型,表示為
(16)
無(wú)線(xiàn)網(wǎng)絡(luò)數(shù)據(jù)在傳輸過(guò)程中,采用人工蜂群算法識(shí)別無(wú)線(xiàn)網(wǎng)絡(luò)攻擊行為特征[14],計(jì)算無(wú)線(xiàn)網(wǎng)絡(luò)攻擊行為的累積量切片,即
(17)
(18)
其中,vx(t)表示攻擊行為特征的頻率交叉項(xiàng),XP(u)表示時(shí)間尺度脈沖響應(yīng),v0表示無(wú)線(xiàn)網(wǎng)絡(luò)數(shù)據(jù)傳輸初始階段的頻率交叉項(xiàng),YP(u)表示辨識(shí)輸出中心矩.
在無(wú)線(xiàn)網(wǎng)絡(luò)攻擊行為所處的時(shí)間序列中,如果噪聲項(xiàng)屬于高斯噪聲,那么存在
(19)
綜上所述,采用人工蜂群算法對(duì)無(wú)線(xiàn)網(wǎng)絡(luò)攻擊行為進(jìn)行干擾抑制,得到無(wú)線(xiàn)網(wǎng)絡(luò)攻擊的振蕩衰減,利用無(wú)線(xiàn)網(wǎng)絡(luò)攻擊行為的輸出解析模型,計(jì)算無(wú)線(xiàn)網(wǎng)絡(luò)攻擊行為的累積量切片,根據(jù)無(wú)線(xiàn)網(wǎng)絡(luò)攻擊行為數(shù)據(jù)特征的分離過(guò)程,對(duì)無(wú)線(xiàn)網(wǎng)絡(luò)攻擊行為特征進(jìn)行搜索,實(shí)現(xiàn)無(wú)線(xiàn)網(wǎng)絡(luò)攻擊行為的辨識(shí).
為了驗(yàn)證基于人工蜂群算法的無(wú)線(xiàn)網(wǎng)絡(luò)攻擊行為辨識(shí)方法在誤報(bào)率和辨識(shí)效率方面的性能,實(shí)驗(yàn)過(guò)程中采用KDD99實(shí)驗(yàn)數(shù)據(jù)集,其中每一條連接記錄都包含攻擊行為和正常行為,選取20% KDD99數(shù)據(jù)集中攻擊行為和正常行為各900個(gè)進(jìn)行平等劃分,引入文獻(xiàn)[4]的無(wú)線(xiàn)網(wǎng)絡(luò)攻擊行為辨識(shí)方法和文獻(xiàn)[5]的無(wú)線(xiàn)網(wǎng)絡(luò)攻擊行為辨識(shí)方法進(jìn)行對(duì)比,得到了以下實(shí)驗(yàn)測(cè)試結(jié)果.
三種無(wú)線(xiàn)網(wǎng)絡(luò)攻擊行為辨識(shí)方法的無(wú)線(xiàn)網(wǎng)絡(luò)攻擊行為誤報(bào)率測(cè)試結(jié)果如圖1所示.
圖1 無(wú)線(xiàn)網(wǎng)絡(luò)攻擊行為誤報(bào)率測(cè)試結(jié)果
從圖1的結(jié)果可以看出,隨著無(wú)線(xiàn)網(wǎng)絡(luò)攻擊行為數(shù)量越來(lái)越多,基于人工蜂群算法的無(wú)線(xiàn)網(wǎng)絡(luò)攻擊行為辨識(shí)方法和文獻(xiàn)[5]的無(wú)線(xiàn)網(wǎng)絡(luò)攻擊行為辨識(shí)方法都維持在一個(gè)比較低的無(wú)線(xiàn)網(wǎng)絡(luò)攻擊行為誤報(bào)率,但是基于人工蜂群算法的無(wú)線(xiàn)網(wǎng)絡(luò)攻擊行為辨識(shí)方法的無(wú)線(xiàn)網(wǎng)絡(luò)攻擊行為誤報(bào)率更低,大約在5%以?xún)?nèi);而文獻(xiàn)[4]的無(wú)線(xiàn)網(wǎng)絡(luò)攻擊行為辨識(shí)方法將自適應(yīng)卷積濾波作為約束條件,由于無(wú)線(xiàn)網(wǎng)絡(luò)攻擊行為特征存在噪聲點(diǎn),沒(méi)有對(duì)其進(jìn)行預(yù)處理,影響最后的無(wú)線(xiàn)網(wǎng)絡(luò)攻擊行為辨識(shí)效果.
三種無(wú)線(xiàn)網(wǎng)絡(luò)攻擊行為辨識(shí)方法的無(wú)線(xiàn)網(wǎng)絡(luò)攻擊行為辨識(shí)效率測(cè)試結(jié)果如圖2所示.
圖2 無(wú)線(xiàn)網(wǎng)絡(luò)攻擊行為辨識(shí)效率測(cè)試結(jié)果
從圖2的結(jié)果可以看出,采用無(wú)線(xiàn)網(wǎng)絡(luò)攻擊行為辨識(shí)耗費(fèi)時(shí)間來(lái)衡量無(wú)線(xiàn)網(wǎng)絡(luò)攻擊行為辨識(shí)效率,在不同的干擾項(xiàng)和迭代次數(shù)下,基于人工蜂群算法的無(wú)線(xiàn)網(wǎng)絡(luò)攻擊行為辨識(shí)方法中的無(wú)線(xiàn)網(wǎng)絡(luò)攻擊行為辨識(shí)效率遠(yuǎn)遠(yuǎn)高于文獻(xiàn)[4]和文獻(xiàn)[5]中的方法,原因是本文設(shè)計(jì)的無(wú)線(xiàn)網(wǎng)絡(luò)攻擊行為辨識(shí)方法在辨識(shí)無(wú)線(xiàn)網(wǎng)絡(luò)攻擊行為之前,采用人工蜂群算法對(duì)無(wú)線(xiàn)網(wǎng)絡(luò)攻擊行為進(jìn)行了預(yù)處理,提高了無(wú)線(xiàn)網(wǎng)絡(luò)攻擊行為的辨識(shí)效率.
針對(duì)當(dāng)前無(wú)線(xiàn)網(wǎng)絡(luò)攻擊行為辨識(shí)方法存在的多種問(wèn)題,本文提出了一種基于人工蜂群算法的無(wú)線(xiàn)網(wǎng)絡(luò)攻擊行為辨識(shí)方法,通過(guò)預(yù)處理無(wú)線(xiàn)網(wǎng)絡(luò)攻擊行為,提取出無(wú)線(xiàn)網(wǎng)絡(luò)攻擊行為特征,結(jié)合人工蜂群算法實(shí)現(xiàn)了無(wú)線(xiàn)網(wǎng)絡(luò)攻擊行為的辨識(shí).實(shí)驗(yàn)結(jié)果顯示,該辨識(shí)方法在誤報(bào)率和辨識(shí)效率方面具有很好的效果,可以在實(shí)際中得到進(jìn)一步推廣.