李恒武,高 勇,李漢寧,李 楊
(中國人民解放軍戰(zhàn)略支援部隊(duì)信息工程大學(xué),河南 鄭州 450001)
入侵檢測(cè)就是及時(shí)收集并對(duì)信息和數(shù)據(jù)分析,找出網(wǎng)絡(luò)通信中的惡意節(jié)點(diǎn)或判斷是否存在入侵信號(hào)。在網(wǎng)絡(luò)通信系統(tǒng)內(nèi),若無法截獲入侵信號(hào),那么勢(shì)必會(huì)造成系統(tǒng)損失。為了保證網(wǎng)絡(luò)通信系統(tǒng)的正常運(yùn)行,需要對(duì)入侵檢測(cè)方法進(jìn)行深入研究,及時(shí)檢測(cè)出入侵信號(hào)。
王德銘等[1]提出一種基于小波包跳頻網(wǎng)絡(luò)的安全信號(hào)實(shí)時(shí)監(jiān)測(cè)方法。首先,對(duì)動(dòng)態(tài)信號(hào)進(jìn)行預(yù)濾波處理,去除安全信號(hào)中的假成分,建立信號(hào)監(jiān)測(cè)模型。根據(jù)小波包跳頻估計(jì)算法對(duì)信號(hào)監(jiān)測(cè),通過傅立葉變換得到網(wǎng)絡(luò)信號(hào)的特征。模擬動(dòng)態(tài)信號(hào)的高斯隨機(jī)特性。利用高階累積量高斯加法得到實(shí)時(shí)監(jiān)測(cè)信號(hào)的幅頻響應(yīng)輸出,實(shí)現(xiàn)網(wǎng)絡(luò)安全信號(hào)檢測(cè),但是檢測(cè)精度尚未驗(yàn)證。黃春華等[2]提出一種基于卡爾曼融合濾波的預(yù)測(cè)算法,提取反映光纖網(wǎng)絡(luò)安全水平的鏈路通信信號(hào),根據(jù)經(jīng)驗(yàn)?zāi)J綄?duì)網(wǎng)絡(luò)傳輸信號(hào)進(jìn)行分解,并通過時(shí)頻分析將傳輸信號(hào)從時(shí)域轉(zhuǎn)換到頻域,提取光纖網(wǎng)絡(luò)通信信號(hào)的安全級(jí)屬性特征,采用自適應(yīng)卡爾曼融合濾波檢測(cè)方法檢測(cè)光纖網(wǎng)絡(luò)的安全級(jí)數(shù)據(jù),實(shí)現(xiàn)光纖網(wǎng)絡(luò)傳輸信道的均衡。將盲信道均衡和匹配濾波技術(shù)相結(jié)合,實(shí)現(xiàn)對(duì)光纖網(wǎng)絡(luò)安全水平的準(zhǔn)確預(yù)測(cè),但是忽略了惡意通信信號(hào)的干擾。張玉磊等[3]分析現(xiàn)有的異構(gòu)簽密方案,在5G網(wǎng)絡(luò)下,基于雙線性DiffieHellman困難假設(shè),提出一個(gè)異構(gòu)混合簽密方案,并在隨機(jī)預(yù)言模型下保證TPKC和CLPKC通信的機(jī)密性和認(rèn)證性,實(shí)現(xiàn)異構(gòu)密碼環(huán)境下數(shù)據(jù)的機(jī)密性和不可偽造性,但是其沒有涉及到惡意攻擊信號(hào)的干擾問題。
對(duì)此,本文提出一種5G環(huán)境下網(wǎng)絡(luò)獨(dú)立通信層信號(hào)安全檢測(cè)。其理論創(chuàng)新點(diǎn)在于對(duì)降低信號(hào)數(shù)據(jù)信息傳輸能耗進(jìn)行了探討,通過EMD分解得到入侵信號(hào)的閾值,將高階累積量切片因子引入分?jǐn)?shù)次冪形式的傅立葉變換中,能夠有效抑制數(shù)據(jù)鏈路層的信號(hào)噪聲,在一定程度上提高了網(wǎng)絡(luò)通信入侵檢測(cè)的準(zhǔn)確性和有效性。
與現(xiàn)有的4G技術(shù)相比,5G網(wǎng)絡(luò)對(duì)性能提出了更為激進(jìn)的要求。為了滿足5G的需求,需要進(jìn)行巨大的變革和更多的新技術(shù),為了驗(yàn)證這些變革和新技術(shù)是否符合5G的要求,相應(yīng)的測(cè)試和測(cè)量技術(shù)不僅促進(jìn)網(wǎng)絡(luò)研發(fā),而且對(duì)未來的網(wǎng)絡(luò)部署也具有重要意義。
充分考慮網(wǎng)絡(luò)體系結(jié)構(gòu)的兼容性,將網(wǎng)絡(luò)體系結(jié)構(gòu)分層。網(wǎng)絡(luò)層利用資源中心網(wǎng)絡(luò)協(xié)議,通過數(shù)據(jù)鏈路層和物理層進(jìn)一步傳輸。在原有基于TCP/IP協(xié)議的分組數(shù)據(jù)通信方式上,嵌入資源中心網(wǎng)絡(luò)架構(gòu)的網(wǎng)絡(luò)層,改變網(wǎng)絡(luò)層架構(gòu),從而提供更好的服務(wù)質(zhì)量[4]。如圖1所示。
圖1 5G系統(tǒng)體系架構(gòu)
由于應(yīng)用層、數(shù)據(jù)鏈路層等層的數(shù)據(jù)傳輸過程與IP網(wǎng)絡(luò)的數(shù)據(jù)傳輸過程一致,5G系統(tǒng)的分組域通信過程如圖2所示。
圖2 5G系統(tǒng)的分組域通信過程
當(dāng)用戶發(fā)出興趣請(qǐng)求時(shí),數(shù)據(jù)傳輸過程為:
1)在興趣包中封裝興趣請(qǐng)求的主要內(nèi)容,并將其發(fā)送到資源中心網(wǎng)絡(luò);
2)當(dāng)網(wǎng)絡(luò)中的路由器接收到感興趣的興趣包時(shí),以內(nèi)容為中心的網(wǎng)絡(luò)協(xié)議會(huì)轉(zhuǎn)發(fā)其處理感興趣請(qǐng)求的策略和工作流;
3)如果請(qǐng)求與前一請(qǐng)求不同,將更換其它連接方式,把相應(yīng)的興趣包發(fā)送至數(shù)據(jù)源;
4)數(shù)據(jù)源將相應(yīng)的內(nèi)容封裝到數(shù)據(jù)包內(nèi),當(dāng)發(fā)現(xiàn)興趣包后,需要按照原始路徑將數(shù)據(jù)包返回給用戶。
網(wǎng)絡(luò)的安全問題一直存在很大的漏洞,其安全性主要容易受到攻擊,在沒有輸入密碼的情況下配置接入點(diǎn),使入侵者可以通過新的無線客戶端和接入點(diǎn)之間的通信節(jié)點(diǎn)連接到內(nèi)部網(wǎng)絡(luò)。攻擊者利用特定的設(shè)備來監(jiān)視無線通信,然后利用被監(jiān)控的信息偽裝成合法用戶來劫持真實(shí)用戶的信息,并執(zhí)行一些未經(jīng)授權(quán)的命令。
采用多尺度小波包分析方法,以節(jié)點(diǎn)的形式對(duì)網(wǎng)絡(luò)中的分布式鏈路流量進(jìn)行分析,得到鏈路不同異常頻帶下的流量重構(gòu)信號(hào)。根據(jù)網(wǎng)絡(luò)空間的分布形式重建信號(hào),利用密度估計(jì)方法對(duì)異常重建信號(hào)進(jìn)行評(píng)估,將這一頻段中網(wǎng)絡(luò)高維空間點(diǎn)的異?,F(xiàn)象作為判斷隱藏異常檢測(cè)的主要因素[5]。
選取有限長尺度函數(shù)φ(t)與小波函數(shù)Ψ(t),對(duì)網(wǎng)絡(luò)節(jié)點(diǎn)中的直接分布式鏈路流量進(jìn)行小波分析處理,公式如下
φj,k(t)=2j/2φ(t)
(1)
Ψj,k(t)=2j/2Ψ(t)
(2)
式中,k作為暫態(tài)信號(hào),j作為時(shí)間采樣基,φj,k(t)與Ψj,k(t)進(jìn)行組合形成正交小波基L2(R)。由φ(t)產(chǎn)生的L2(R)中多分辨率分析是Vj,Wj作為Vj的正交互補(bǔ)空間,即Vj-1=Vj⊕Wj,網(wǎng)絡(luò)信號(hào)y(t)∈VM的小波分解形式由下式表示
(3)
(4)
(5)
在式(4)和式(5)中,hk與gk作為與網(wǎng)絡(luò)通信空間信號(hào)尺度函數(shù)φ(t)相關(guān)聯(lián)的濾波器,u2t(t)與u2t+1(t)作為網(wǎng)絡(luò)細(xì)節(jié)空間內(nèi)的基礎(chǔ)函數(shù),t作為分解時(shí)間參數(shù),小波包用于繼續(xù)分解網(wǎng)絡(luò)細(xì)節(jié)的子空間Wj完成了網(wǎng)絡(luò)信號(hào)y(t)的更詳細(xì)的分析。
設(shè)定X′作為d維隨機(jī)變量,x1,…,xn作為X′的樣品,網(wǎng)絡(luò)流量樣本的核密度估計(jì)如下式
(6)
其中i∈h所描述的是網(wǎng)絡(luò)帶寬,n所描述的是網(wǎng)絡(luò)流量樣本容量,K所描述的是核函數(shù),高斯核的表達(dá)式為
(7)
在獲得網(wǎng)絡(luò)通信信道中,相同節(jié)點(diǎn)的多個(gè)業(yè)務(wù)量異常重構(gòu)信號(hào)偏差分?jǐn)?shù)ex時(shí),將此時(shí)段的偏差分?jǐn)?shù)作為網(wǎng)絡(luò)空間內(nèi)單個(gè)樣品數(shù)據(jù)點(diǎn),然后由式(8)定義網(wǎng)絡(luò)通信鏈路多個(gè)業(yè)務(wù)采樣點(diǎn)xi的異常程度,其公式為
I(xi)=1-ex
(8)
通過上述公式,敘述網(wǎng)絡(luò)分布式隱藏異常流量檢測(cè)的原理,可以檢測(cè)網(wǎng)絡(luò)通信信息傳輸?shù)陌踩阅躘6]。
在5G網(wǎng)絡(luò)中,入侵信號(hào)的檢測(cè)采用3α原則,其通常用于入侵信號(hào)的檢測(cè)。在正態(tài)分布中,α表示標(biāo)準(zhǔn)差,μ表示平均值。一組近似或服從正態(tài)分布(μ-3α,μ+3α)數(shù)據(jù)樣本。當(dāng)信號(hào)信息超過此范圍時(shí),就認(rèn)為是入侵干擾信號(hào)。
利用EMD對(duì)信號(hào)信息進(jìn)行分解,得到IMF的上包絡(luò)數(shù)據(jù)。在此基礎(chǔ)上,應(yīng)用3α原理對(duì)網(wǎng)絡(luò)中的信息實(shí)施準(zhǔn)確的監(jiān)控,獲取到其閾值,從而判斷出網(wǎng)絡(luò)內(nèi)是否存在入侵信息[7-8]。
采集信息數(shù)據(jù)x(t),設(shè)定長度為N的滑動(dòng)窗口,并根據(jù)FOFI結(jié)構(gòu)更新滑動(dòng)窗口中的信息數(shù)據(jù)。在此基礎(chǔ)上,利用EMD分解滑動(dòng)窗口中的信息數(shù)據(jù),從而激活k階IMF上的包絡(luò)信息數(shù)據(jù)ek(t)和平均值sh,將信息數(shù)據(jù)帶入方程(9)中,用于3α原則判別。
設(shè)定di代表第i5G網(wǎng)絡(luò)節(jié)點(diǎn)的決策結(jié)果,當(dāng)比值c大于4時(shí),將其視為入侵干擾信號(hào),di決策為0,否則為正常信號(hào)信息,di決策為1。此時(shí),將節(jié)點(diǎn)的判斷結(jié)果發(fā)送給信息數(shù)據(jù)的協(xié)調(diào)者,經(jīng)過多數(shù)表決,最終得到全局判斷結(jié)果,從而判斷是否為5G網(wǎng)絡(luò)通信的入侵干擾信號(hào)[9]。
(9)
在數(shù)據(jù)鏈路層的碰撞攻擊中,采用分?jǐn)?shù)次冪形式進(jìn)行傅立葉變換,碰撞信號(hào)作為參考變量旋轉(zhuǎn)角度。在復(fù)雜的5G網(wǎng)絡(luò)中,信號(hào)采集只需要一個(gè)分?jǐn)?shù)階傅里葉變換。當(dāng)數(shù)據(jù)鏈路層的碰撞攻擊發(fā)生多次變化時(shí),由于網(wǎng)絡(luò)數(shù)據(jù)鏈路層檢測(cè)中的低信噪比,網(wǎng)絡(luò)數(shù)據(jù)鏈路層無法對(duì)信號(hào)進(jìn)行分層分類[10]。很難準(zhǔn)確檢測(cè)到碰撞攻擊,保證整個(gè)5G網(wǎng)絡(luò)數(shù)據(jù)鏈路層的安全。
在5G網(wǎng)絡(luò)數(shù)據(jù)鏈路層碰撞攻擊信號(hào)檢測(cè)過程中,引入了高階累積量的切片因子,避免了數(shù)據(jù)鏈路層碰撞攻擊信號(hào)準(zhǔn)確分類的困難,使碰撞攻擊檢測(cè)無缺陷,增強(qiáng)了5G網(wǎng)絡(luò)的性能指標(biāo)。
在檢測(cè)過程中,通過高階累積量切片因子采集網(wǎng)絡(luò)碰撞攻擊的能量,生成分?jǐn)?shù)次傅立葉變換,對(duì)無法分層分類的碰撞攻擊信號(hào)均衡放大處理,需要去除5G網(wǎng)絡(luò)數(shù)據(jù)鏈路層存在的噪聲干擾現(xiàn)象。t(u)代表網(wǎng)絡(luò)碰撞攻擊信號(hào),將難以分層分類的碰撞攻擊信號(hào)實(shí)施傅立葉變換處理,可獲得階分?jǐn)?shù)次冪。
在網(wǎng)絡(luò)的數(shù)據(jù)鏈路層再次采集碰撞攻擊信號(hào),完成對(duì)網(wǎng)絡(luò)數(shù)據(jù)鏈路層碰撞攻擊脈沖信號(hào)的檢測(cè)。在數(shù)據(jù)鏈路層碰撞攻擊的聚集過程中,p(u)所描述的是噪聲,碰撞攻擊檢測(cè)時(shí),分?jǐn)?shù)次傅立葉變換域中噪聲信號(hào)的信號(hào)聚集不顯著[11]。
通過高階累積量切片因子的引入,網(wǎng)絡(luò)數(shù)據(jù)鏈路層的工作信號(hào)不斷增加,在一定程度上抑制了網(wǎng)絡(luò)數(shù)據(jù)鏈路層信號(hào)中存在的噪聲,為5G環(huán)境下網(wǎng)絡(luò)數(shù)據(jù)鏈路層碰撞攻擊信號(hào)的檢測(cè)提供了重要依據(jù)。
使用敏感數(shù)據(jù)檢測(cè)方法,可以從5G網(wǎng)絡(luò)數(shù)據(jù)鏈路層的大量操作信號(hào)中檢測(cè)出碰撞攻擊信號(hào)[12],提高網(wǎng)絡(luò)的安全性。具體內(nèi)容如下:
5G網(wǎng)絡(luò)數(shù)據(jù)鏈路層中碰撞攻擊信號(hào)的敏感度可以隨著碰撞攻擊信號(hào)的變化而變化。沖擊攻擊敏感度的變化率可通過以下公式計(jì)算
(10)
(11)
式中,根據(jù)上述方程,分析碰撞攻擊的特點(diǎn)D(zk)與敏感度,獲得碰撞攻擊的敏感度特征。利用碰撞攻擊的敏感度值G(zk),能夠計(jì)算出碰撞攻擊的隸屬度
(12)
由于鏈路層碰撞攻擊的特征相關(guān)性Dn(m)較差,可以將上述所有特征組合成一個(gè)成員函數(shù),如下所示
(13)
通過敏感數(shù)據(jù)法具體運(yùn)算過程,檢測(cè)出網(wǎng)絡(luò)中存在攻擊信號(hào),可識(shí)別出惡意攻擊現(xiàn)象,保障了網(wǎng)絡(luò)的安全性能。
在MATLAB環(huán)境下,建立移動(dòng)網(wǎng)絡(luò)通信入侵信號(hào)最優(yōu)檢測(cè)實(shí)驗(yàn)平臺(tái)。數(shù)據(jù)來源為UCI MachineLearning Repository (https:∥archive.ics.uci.edu/ml/datasets.html)。實(shí)驗(yàn)中,跳頻點(diǎn)數(shù)為50,跳頻速度為65跳/s,固定頻率信號(hào)的頻率點(diǎn)數(shù)為35,整段數(shù)據(jù)長度為20667,采樣頻率為67.4MHz,通濾波器帶寬為45MHz。通信入侵信號(hào)自相關(guān)檢測(cè)的觀測(cè)時(shí)間為T=7TH,在此觀測(cè)時(shí)間內(nèi),通信入侵信號(hào)的頻率為50MHz-500MHz。模擬如圖3所示。
圖3 通信入侵干擾信號(hào)時(shí)的信號(hào)時(shí)頻分布
將文獻(xiàn)[1]方法、文獻(xiàn)[2]方法和文獻(xiàn)[3]與本文檢測(cè)方法分別用于網(wǎng)絡(luò)獨(dú)立通信層信號(hào)安全檢測(cè)實(shí)驗(yàn)當(dāng)中,通過檢測(cè)其運(yùn)行時(shí)間來表明其穩(wěn)定性,比較了不同方法對(duì)移動(dòng)網(wǎng)絡(luò)通信入侵信號(hào)檢測(cè)的準(zhǔn)確性和穩(wěn)定性。具體內(nèi)容如圖4所示。
圖4 干擾信號(hào)檢測(cè)穩(wěn)定性對(duì)比圖
從圖4中可知,文獻(xiàn)[1]、文獻(xiàn)[2]和文獻(xiàn)[3]方法的最高檢測(cè)時(shí)間分別為40ms、60ms和42ms,而本文檢測(cè)時(shí)間最高為11ms且時(shí)間曲線較為平穩(wěn),這是因?yàn)楸疚姆椒ㄊ峭ㄟ^高速得出計(jì)算結(jié)果,以應(yīng)對(duì)各類突發(fā)事件所產(chǎn)生的耗時(shí),保證通信信號(hào)的穩(wěn)定,但是其它文獻(xiàn)方法在實(shí)際應(yīng)用過程中,也已經(jīng)遠(yuǎn)遠(yuǎn)超出應(yīng)用自求,因此,本文方法的優(yōu)勢(shì)更多體現(xiàn)在網(wǎng)絡(luò)穩(wěn)定性上。
但保證網(wǎng)絡(luò)信號(hào)穩(wěn)定性往往不夠,還需對(duì)網(wǎng)絡(luò)通信精度進(jìn)行分析,防止出現(xiàn)檢測(cè)誤差,導(dǎo)致通信質(zhì)量降低的現(xiàn)象。不同方法干擾信號(hào)檢測(cè)精度對(duì)比如圖5所示。
圖5 干擾信號(hào)檢測(cè)精度對(duì)比圖
由圖5中的仿真結(jié)果可知,與文獻(xiàn)[1]和文獻(xiàn)[2]和文獻(xiàn)[3]方法相比,本文方法檢測(cè)誤差較低,最高僅為1%,這是因?yàn)楸疚姆椒ㄍㄟ^EMD分解信號(hào)信息確定網(wǎng)絡(luò)通信入侵干擾信號(hào)閾值,并將其作為獲得網(wǎng)絡(luò)攻擊信號(hào)的檢測(cè)依據(jù),在不會(huì)影響正常通信的同時(shí)提高檢測(cè)精度。
網(wǎng)絡(luò)通信信息傳輸?shù)陌踩珕栴}通常發(fā)生在同一時(shí)間段的多個(gè)鏈接上,且在大規(guī)模的網(wǎng)絡(luò)環(huán)境中,異常流非常隱蔽,而有效消除移動(dòng)網(wǎng)絡(luò)下的通信干擾異常流有利于監(jiān)視網(wǎng)絡(luò)通信,因此對(duì)比測(cè)試異常流挖掘效果。測(cè)試結(jié)果如圖6所示。
圖6 不同方法異常流挖掘結(jié)果對(duì)比
由圖6可知,盡管本文設(shè)計(jì)下的異常流挖掘程度在第四次迭代時(shí)的挖掘個(gè)數(shù)低于文獻(xiàn)[2]方法,但是整體水平較高,一直保持在30-40之間,說明在使用相應(yīng)的工具和設(shè)備情況下,本文方法將高階累積量切片因子引入分?jǐn)?shù)次冪形式的傅立葉變換中,實(shí)現(xiàn)了數(shù)據(jù)鏈路層信號(hào)噪聲的抑制,可以及時(shí)挽救通信系統(tǒng)損失。
1)意攻擊程度大的特點(diǎn),結(jié)合相關(guān)信號(hào),提出一種5G環(huán)境下網(wǎng)絡(luò)獨(dú)立通信層信號(hào)安全檢測(cè),通過EMD分解信號(hào)信息確定網(wǎng)絡(luò)通信入侵干擾信號(hào)閾值,
2)本文方法檢測(cè)誤差較低,最高僅為1%,檢測(cè)時(shí)間最高為11ms,提高傳感器網(wǎng)絡(luò)數(shù)據(jù)鏈路層的檢測(cè)精度,降低碰撞攻擊虛警率,充分展示了分?jǐn)?shù)冪法在網(wǎng)絡(luò)數(shù)據(jù)鏈路層碰撞攻擊中的優(yōu)越性。
3)利用敏感數(shù)據(jù)檢測(cè)法,有效識(shí)別網(wǎng)絡(luò)的惡意攻擊行為,確保網(wǎng)絡(luò)獨(dú)立通信層信號(hào)安全性,其對(duì)異常流的挖掘程度較高,保持在30-40之間,加強(qiáng)網(wǎng)絡(luò)通信信號(hào)安全性。