陶慶鳳

(閩南理工學(xué)院 實(shí)踐教學(xué)中心，福建 石獅 362700)

如今，互聯(lián)網(wǎng)應(yīng)用軟件日益多樣化，吸引了越來(lái)越多的網(wǎng)絡(luò)用戶(hù)去使用[1].隨著互聯(lián)網(wǎng)用戶(hù)的快速增長(zhǎng)，多種計(jì)算機(jī)病毒慢慢開(kāi)始侵蝕著網(wǎng)絡(luò)環(huán)境，木馬病毒利用互聯(lián)網(wǎng)應(yīng)用軟件對(duì)網(wǎng)絡(luò)進(jìn)行攻擊，已成為危害網(wǎng)絡(luò)環(huán)境安全的重要因素，它不僅影響著網(wǎng)絡(luò)環(huán)境的正常運(yùn)行，而且增加了用戶(hù)的個(gè)人隱私信息泄露的風(fēng)險(xiǎn)，造成個(gè)人財(cái)產(chǎn)損失[2].目前的無(wú)線(xiàn)網(wǎng)絡(luò)環(huán)境具有很強(qiáng)的時(shí)變性，一般的網(wǎng)絡(luò)攻擊檢測(cè)技術(shù)很難抵御跨站的數(shù)據(jù)攻擊，對(duì)無(wú)線(xiàn)網(wǎng)絡(luò)攻擊行為也很難識(shí)別.因此，利用無(wú)線(xiàn)網(wǎng)絡(luò)攻擊行為辨識(shí)方法對(duì)無(wú)線(xiàn)網(wǎng)絡(luò)實(shí)時(shí)監(jiān)測(cè)和排查網(wǎng)絡(luò)攻擊行為，是當(dāng)前網(wǎng)絡(luò)安全領(lǐng)域的研究重點(diǎn)[3].

針對(duì)目前無(wú)線(xiàn)網(wǎng)絡(luò)攻擊行為很難準(zhǔn)確辨別等問(wèn)題，盧強(qiáng)[4]等人提出了基于自動(dòng)過(guò)濾波的防網(wǎng)絡(luò)攻擊算法，首先在無(wú)線(xiàn)網(wǎng)絡(luò)的傳輸信道對(duì)無(wú)線(xiàn)網(wǎng)絡(luò)信號(hào)源進(jìn)行采集，將采集的網(wǎng)絡(luò)信息進(jìn)行統(tǒng)一權(quán)重處理，建立網(wǎng)絡(luò)攻擊提醒模型，采用自動(dòng)過(guò)濾分析方法對(duì)網(wǎng)絡(luò)攻擊信息進(jìn)行評(píng)估，根據(jù)攻擊行為特征信息進(jìn)行網(wǎng)絡(luò)行為辨別，實(shí)驗(yàn)結(jié)果表明，利用自動(dòng)過(guò)濾波的防網(wǎng)絡(luò)攻擊算法，對(duì)于未知的網(wǎng)絡(luò)攻擊行為具有一定識(shí)別能力，相對(duì)于傳統(tǒng)的網(wǎng)絡(luò)攻擊檢測(cè)方法，更具有現(xiàn)實(shí)意義；王珂[5]等人提出了一種基于小波的無(wú)線(xiàn)網(wǎng)絡(luò)攻擊行為辨識(shí)方法，用來(lái)解決傳統(tǒng)網(wǎng)絡(luò)攻擊行為辨別算法檢測(cè)速度慢，以及對(duì)無(wú)線(xiàn)網(wǎng)絡(luò)攻擊辨別能力低等問(wèn)題，利用此方法可以提高網(wǎng)絡(luò)攻擊軟件的主動(dòng)性，對(duì)無(wú)線(xiàn)網(wǎng)絡(luò)隨機(jī)攻擊行為進(jìn)行自動(dòng)檢測(cè).

針對(duì)以上方法在誤報(bào)率和辨識(shí)效率方面存在的不足，本文提出了一種新的基于人工蜂群算法的無(wú)線(xiàn)網(wǎng)絡(luò)攻擊行為辨識(shí)方法.

1 基于人工蜂群算法的無(wú)線(xiàn)網(wǎng)絡(luò)攻擊行為辨識(shí)方法

1.1 無(wú)線(xiàn)網(wǎng)絡(luò)攻擊行為預(yù)處理

在無(wú)線(xiàn)網(wǎng)絡(luò)攻擊行為數(shù)據(jù)采集過(guò)程中，首先利用極值函數(shù)對(duì)惡意攻擊數(shù)據(jù)進(jìn)行獲取，再利用小波方程式[6]確定無(wú)線(xiàn)網(wǎng)絡(luò)攻擊隸屬度，然后對(duì)無(wú)線(xiàn)網(wǎng)絡(luò)攻擊行為進(jìn)行預(yù)處理，具體操作過(guò)程如下.

設(shè)X={X1,X2,…,Xn}是無(wú)線(xiàn)網(wǎng)絡(luò)攻擊行為的目標(biāo)識(shí)別數(shù)據(jù)，每個(gè)攻擊行為數(shù)據(jù)的特征數(shù)為m，則可以得到無(wú)線(xiàn)網(wǎng)絡(luò)攻擊行為數(shù)據(jù)矩陣

(1)

其中，xnm表示第m個(gè)無(wú)線(xiàn)網(wǎng)絡(luò)攻擊行為對(duì)象的第n個(gè)原始信息數(shù)據(jù).利用極值函數(shù)[7]獲取無(wú)線(xiàn)網(wǎng)絡(luò)攻擊行為的特征屬性，再根據(jù)小波方程式求得攻擊行為隸屬度，當(dāng)目標(biāo)識(shí)別數(shù)據(jù)越小時(shí)，xi的模糊組數(shù)據(jù)越大.利用聚類(lèi)相近指標(biāo)計(jì)算出目標(biāo)識(shí)別系數(shù)構(gòu)建相應(yīng)的目標(biāo)識(shí)別函數(shù)為

(2)

(3)

公式(3)中，λ是數(shù)據(jù)權(quán)重值，r代表惡意攻擊數(shù)據(jù)與辨別中心的最遠(yuǎn)距離值.

在無(wú)線(xiàn)網(wǎng)絡(luò)攻擊行為特征提取的基礎(chǔ)上，獲得惡意攻擊數(shù)據(jù)，利用小波方程式對(duì)無(wú)線(xiàn)網(wǎng)絡(luò)攻擊行為數(shù)據(jù)進(jìn)行分析處理，計(jì)算出無(wú)線(xiàn)網(wǎng)絡(luò)惡意攻擊信息Y的變量值為

H(Y)=-∑p(yi)log2p(yi)d2(X,Y)，

(4)

其中，Y={Yj,j=1,2,…}表示無(wú)線(xiàn)網(wǎng)絡(luò)惡意攻擊序列，p(yi)代表無(wú)線(xiàn)網(wǎng)絡(luò)惡意攻擊變量值Y的有效檢驗(yàn)率，利用辨別系統(tǒng)對(duì)采集的惡意攻擊數(shù)據(jù)進(jìn)行分類(lèi)辨別[8]，再利用得到數(shù)據(jù)求平均攻擊數(shù)據(jù)值，就可獲得惡意攻擊序列為

(5)

根據(jù)無(wú)線(xiàn)網(wǎng)絡(luò)惡意攻擊數(shù)據(jù)Sj(ρ)計(jì)算得出，在時(shí)間值為T(mén)時(shí)的辨別結(jié)果Y(j)T，并與事先求得的目標(biāo)辨別數(shù)據(jù)進(jìn)行對(duì)比，最終根據(jù)(6)式初步獲得無(wú)線(xiàn)網(wǎng)絡(luò)攻擊行為

(6)

公式(6)中，x(t)代表無(wú)線(xiàn)網(wǎng)絡(luò)接收的網(wǎng)絡(luò)傳輸信號(hào)，s(t)是在數(shù)據(jù)傳輸過(guò)程中當(dāng)有無(wú)線(xiàn)網(wǎng)絡(luò)惡意攻擊時(shí)的發(fā)射信號(hào)，n(t)是代表攻擊信息的惡意目標(biāo)，h是無(wú)線(xiàn)網(wǎng)絡(luò)攻擊網(wǎng)絡(luò)信道的振幅值.

1.2 提取無(wú)線(xiàn)網(wǎng)絡(luò)攻擊行為特征

根據(jù)無(wú)線(xiàn)網(wǎng)絡(luò)攻擊行為的預(yù)處理結(jié)果，提取無(wú)線(xiàn)網(wǎng)絡(luò)攻擊行為特征，具體過(guò)程如下.

采用z=(z1,z2,…,zp)T來(lái)描述無(wú)線(xiàn)網(wǎng)絡(luò)的節(jié)點(diǎn)特征分量，W(w1,w2,…,wq)表示節(jié)點(diǎn)分布區(qū)域，那么可以得到無(wú)線(xiàn)網(wǎng)絡(luò)不同節(jié)點(diǎn)對(duì)比結(jié)果，即

(7)

其中，z的取值為

z=WTz=(WT)-1a.

(8)

采用人工蜂群算法[9]可以計(jì)算出無(wú)線(xiàn)網(wǎng)絡(luò)節(jié)點(diǎn)權(quán)值系數(shù)，公式為

(9)

其中，ak表示無(wú)線(xiàn)網(wǎng)絡(luò)節(jié)點(diǎn)的權(quán)值，dk表示無(wú)線(xiàn)網(wǎng)絡(luò)攻擊行為節(jié)點(diǎn)的權(quán)值.

根據(jù)無(wú)線(xiàn)網(wǎng)絡(luò)節(jié)點(diǎn)的權(quán)值系數(shù)[10]，計(jì)算無(wú)線(xiàn)網(wǎng)絡(luò)攻擊行為的特征提取殘差參數(shù)，公式為

(10)

其中，G在無(wú)線(xiàn)網(wǎng)絡(luò)攻擊行為特征提取時(shí)的一個(gè)常數(shù).

(11)

其中，Ez表示無(wú)線(xiàn)網(wǎng)絡(luò)節(jié)點(diǎn)之間的特征值，wk表示無(wú)線(xiàn)網(wǎng)絡(luò)節(jié)點(diǎn)的權(quán)值.

Ezwk=vkwk，

(12)

其中，vk表示無(wú)線(xiàn)網(wǎng)絡(luò)攻擊行為的特征值.

根據(jù)以上分析，得到無(wú)線(xiàn)網(wǎng)絡(luò)攻擊行為特征的提取結(jié)果，表示為

(13)

1.3 構(gòu)建無(wú)線(xiàn)網(wǎng)絡(luò)攻擊行為辨識(shí)模型

在辨識(shí)無(wú)線(xiàn)網(wǎng)絡(luò)攻擊行為時(shí)，假設(shè)無(wú)線(xiàn)網(wǎng)絡(luò)攻擊行為數(shù)據(jù)都是由一個(gè)個(gè)線(xiàn)性相關(guān)的時(shí)間序列組成[11]，采用人工蜂群算法對(duì)無(wú)線(xiàn)網(wǎng)絡(luò)攻擊行為進(jìn)行干擾抑制，即

(14)

其中，a0表示無(wú)線(xiàn)網(wǎng)絡(luò)攻擊行為的初始采樣賦值，ai表示無(wú)線(xiàn)網(wǎng)絡(luò)中某一個(gè)階段攻擊行為的采樣賦值，ηn-j表示無(wú)線(xiàn)網(wǎng)絡(luò)攻擊行為特征的時(shí)變瞬時(shí)頻率，MMA表示無(wú)線(xiàn)網(wǎng)絡(luò)的攻擊行為辨識(shí)的短時(shí)窗函數(shù)，MAR表示無(wú)線(xiàn)網(wǎng)絡(luò)攻擊行為辨識(shí)的多元數(shù)量值函數(shù)，xn-i表示均值和方差相同的無(wú)線(xiàn)網(wǎng)絡(luò)攻擊行為特征序列，bj表示無(wú)線(xiàn)網(wǎng)絡(luò)攻擊行為的振蕩賦值.采用人工蜂群算法[12]分析無(wú)線(xiàn)網(wǎng)絡(luò)的攻擊行為，獲取無(wú)線(xiàn)網(wǎng)絡(luò)攻擊過(guò)程中的振蕩衰減，即

(15)

其中，mt表示無(wú)線(xiàn)網(wǎng)絡(luò)攻擊行為在單分量上的傳遞信息，a表示無(wú)線(xiàn)網(wǎng)絡(luò)攻擊行為的域間方差系數(shù)，BH(t)表示無(wú)線(xiàn)網(wǎng)絡(luò)攻擊行為識(shí)別的相關(guān)函數(shù)，通過(guò)采用人工蜂群算法分析與處理[13]，得到無(wú)線(xiàn)網(wǎng)絡(luò)攻擊行為的輸出解析模型，表示為

(16)

無(wú)線(xiàn)網(wǎng)絡(luò)數(shù)據(jù)在傳輸過(guò)程中，采用人工蜂群算法識(shí)別無(wú)線(xiàn)網(wǎng)絡(luò)攻擊行為特征[14]，計(jì)算無(wú)線(xiàn)網(wǎng)絡(luò)攻擊行為的累積量切片，即

(17)

(18)

其中，vx(t)表示攻擊行為特征的頻率交叉項(xiàng)，XP(u)表示時(shí)間尺度脈沖響應(yīng)，v0表示無(wú)線(xiàn)網(wǎng)絡(luò)數(shù)據(jù)傳輸初始階段的頻率交叉項(xiàng)，YP(u)表示辨識(shí)輸出中心矩.

在無(wú)線(xiàn)網(wǎng)絡(luò)攻擊行為所處的時(shí)間序列中，如果噪聲項(xiàng)屬于高斯噪聲，那么存在

(19)

綜上所述，采用人工蜂群算法對(duì)無(wú)線(xiàn)網(wǎng)絡(luò)攻擊行為進(jìn)行干擾抑制，得到無(wú)線(xiàn)網(wǎng)絡(luò)攻擊的振蕩衰減，利用無(wú)線(xiàn)網(wǎng)絡(luò)攻擊行為的輸出解析模型，計(jì)算無(wú)線(xiàn)網(wǎng)絡(luò)攻擊行為的累積量切片，根據(jù)無(wú)線(xiàn)網(wǎng)絡(luò)攻擊行為數(shù)據(jù)特征的分離過(guò)程，對(duì)無(wú)線(xiàn)網(wǎng)絡(luò)攻擊行為特征進(jìn)行搜索，實(shí)現(xiàn)無(wú)線(xiàn)網(wǎng)絡(luò)攻擊行為的辨識(shí).

2 實(shí)驗(yàn)對(duì)比分析

為了驗(yàn)證基于人工蜂群算法的無(wú)線(xiàn)網(wǎng)絡(luò)攻擊行為辨識(shí)方法在誤報(bào)率和辨識(shí)效率方面的性能，實(shí)驗(yàn)過(guò)程中采用KDD99實(shí)驗(yàn)數(shù)據(jù)集，其中每一條連接記錄都包含攻擊行為和正常行為，選取20% KDD99數(shù)據(jù)集中攻擊行為和正常行為各900個(gè)進(jìn)行平等劃分，引入文獻(xiàn)[4]的無(wú)線(xiàn)網(wǎng)絡(luò)攻擊行為辨識(shí)方法和文獻(xiàn)[5]的無(wú)線(xiàn)網(wǎng)絡(luò)攻擊行為辨識(shí)方法進(jìn)行對(duì)比，得到了以下實(shí)驗(yàn)測(cè)試結(jié)果.

三種無(wú)線(xiàn)網(wǎng)絡(luò)攻擊行為辨識(shí)方法的無(wú)線(xiàn)網(wǎng)絡(luò)攻擊行為誤報(bào)率測(cè)試結(jié)果如圖1所示.

圖1 無(wú)線(xiàn)網(wǎng)絡(luò)攻擊行為誤報(bào)率測(cè)試結(jié)果

從圖1的結(jié)果可以看出，隨著無(wú)線(xiàn)網(wǎng)絡(luò)攻擊行為數(shù)量越來(lái)越多，基于人工蜂群算法的無(wú)線(xiàn)網(wǎng)絡(luò)攻擊行為辨識(shí)方法和文獻(xiàn)[5]的無(wú)線(xiàn)網(wǎng)絡(luò)攻擊行為辨識(shí)方法都維持在一個(gè)比較低的無(wú)線(xiàn)網(wǎng)絡(luò)攻擊行為誤報(bào)率，但是基于人工蜂群算法的無(wú)線(xiàn)網(wǎng)絡(luò)攻擊行為辨識(shí)方法的無(wú)線(xiàn)網(wǎng)絡(luò)攻擊行為誤報(bào)率更低，大約在5%以?xún)?nèi)；而文獻(xiàn)[4]的無(wú)線(xiàn)網(wǎng)絡(luò)攻擊行為辨識(shí)方法將自適應(yīng)卷積濾波作為約束條件，由于無(wú)線(xiàn)網(wǎng)絡(luò)攻擊行為特征存在噪聲點(diǎn)，沒(méi)有對(duì)其進(jìn)行預(yù)處理，影響最后的無(wú)線(xiàn)網(wǎng)絡(luò)攻擊行為辨識(shí)效果.

三種無(wú)線(xiàn)網(wǎng)絡(luò)攻擊行為辨識(shí)方法的無(wú)線(xiàn)網(wǎng)絡(luò)攻擊行為辨識(shí)效率測(cè)試結(jié)果如圖2所示.

圖2 無(wú)線(xiàn)網(wǎng)絡(luò)攻擊行為辨識(shí)效率測(cè)試結(jié)果

從圖2的結(jié)果可以看出，采用無(wú)線(xiàn)網(wǎng)絡(luò)攻擊行為辨識(shí)耗費(fèi)時(shí)間來(lái)衡量無(wú)線(xiàn)網(wǎng)絡(luò)攻擊行為辨識(shí)效率，在不同的干擾項(xiàng)和迭代次數(shù)下，基于人工蜂群算法的無(wú)線(xiàn)網(wǎng)絡(luò)攻擊行為辨識(shí)方法中的無(wú)線(xiàn)網(wǎng)絡(luò)攻擊行為辨識(shí)效率遠(yuǎn)遠(yuǎn)高于文獻(xiàn)[4]和文獻(xiàn)[5]中的方法，原因是本文設(shè)計(jì)的無(wú)線(xiàn)網(wǎng)絡(luò)攻擊行為辨識(shí)方法在辨識(shí)無(wú)線(xiàn)網(wǎng)絡(luò)攻擊行為之前，采用人工蜂群算法對(duì)無(wú)線(xiàn)網(wǎng)絡(luò)攻擊行為進(jìn)行了預(yù)處理，提高了無(wú)線(xiàn)網(wǎng)絡(luò)攻擊行為的辨識(shí)效率.

3 結(jié)束語(yǔ)

針對(duì)當(dāng)前無(wú)線(xiàn)網(wǎng)絡(luò)攻擊行為辨識(shí)方法存在的多種問(wèn)題，本文提出了一種基于人工蜂群算法的無(wú)線(xiàn)網(wǎng)絡(luò)攻擊行為辨識(shí)方法，通過(guò)預(yù)處理無(wú)線(xiàn)網(wǎng)絡(luò)攻擊行為，提取出無(wú)線(xiàn)網(wǎng)絡(luò)攻擊行為特征，結(jié)合人工蜂群算法實(shí)現(xiàn)了無(wú)線(xiàn)網(wǎng)絡(luò)攻擊行為的辨識(shí).實(shí)驗(yàn)結(jié)果顯示，該辨識(shí)方法在誤報(bào)率和辨識(shí)效率方面具有很好的效果，可以在實(shí)際中得到進(jìn)一步推廣.