蔡 娟，蘭婭勛，劉 源

(1.廣州科技職業(yè)技術(shù)大學(xué) 信息工程學(xué)院，廣州 510005；2.南京理工大學(xué) 電子工程與光電技術(shù)學(xué)院，南京 210094)

0 引言

局域網(wǎng)是由局部地區(qū)組成的一個(gè)區(qū)域網(wǎng)絡(luò)，它的特點(diǎn)是它的分布面積是有限的，覆蓋范圍通常為方圓數(shù)公里，具有安裝方便、成本節(jié)約、擴(kuò)展方便等優(yōu)點(diǎn)，使得它在各類辦公室中得到了廣泛的應(yīng)用。在實(shí)際應(yīng)用中，對局域網(wǎng)網(wǎng)絡(luò)的安全性進(jìn)行維護(hù)，可以對數(shù)據(jù)的安全性進(jìn)行有效的保障，確保局域網(wǎng)網(wǎng)絡(luò)的正常、穩(wěn)定運(yùn)行。因?yàn)榫钟蚓W(wǎng)具有移動(dòng)性、傳輸性等特點(diǎn)，局域網(wǎng)極易遭受來自外部或網(wǎng)絡(luò)自身的攻擊，然而，在局域網(wǎng)中，常規(guī)的防火墻發(fā)揮的作用十分有限，無法對局域網(wǎng)提供良好的防護(hù)，從而使局域網(wǎng)面臨潛在的威脅[1]。為了最大程度地保證局域網(wǎng)的運(yùn)行安全，降低甚至消除非法入侵行為對局域網(wǎng)的影響，提出入侵定位與檢測方法。入侵是非授權(quán)訪問信息系統(tǒng)以及未經(jīng)允許對信息系統(tǒng)進(jìn)行操作，是對防火墻的合理補(bǔ)充，它可以幫助系統(tǒng)對付網(wǎng)絡(luò)攻擊。而入侵定位就是確定入侵攻擊源的位置，為局域網(wǎng)的攻擊防御提供輔助參考。

從目前入侵定位與檢測方法的研究情況來看，文獻(xiàn)[1]提出的基于天牛群優(yōu)化與改進(jìn)正則化極限學(xué)習(xí)機(jī)的網(wǎng)絡(luò)入侵檢測方法、文獻(xiàn)[2]提出的基于機(jī)器學(xué)習(xí)的入侵檢測技術(shù)和文獻(xiàn)[3]中提出的基于超參數(shù)自動(dòng)尋優(yōu)的入侵檢測方法發(fā)展較為成熟，其中文獻(xiàn)[1]提出的入侵檢測方法采用LU分解方法解決RELM(正則化極限學(xué)習(xí)機(jī))的權(quán)重矩陣問題，并采用BSO(天牛群優(yōu)化)方法實(shí)現(xiàn)權(quán)重與門限的聯(lián)合優(yōu)化；針對BSO方法易陷入局部極小化問題，擬采用TentMapping逆向?qū)W習(xí)、萊維飛行種群學(xué)習(xí)、動(dòng)態(tài)突變等方法，以提高BSO方法的尋優(yōu)能力。文獻(xiàn)[2]提出的入侵檢測方法應(yīng)用了機(jī)器學(xué)習(xí)算法，構(gòu)建支持向量機(jī)節(jié)點(diǎn)定位模型。確定當(dāng)前階段的網(wǎng)絡(luò)通訊狀況，建立了節(jié)點(diǎn)重要度的概念，并定義了具有較高重要度的節(jié)點(diǎn)為易受攻擊目標(biāo)，估計(jì)可能因不正常行為而導(dǎo)致的損失。而文獻(xiàn)[3]中提出的入侵檢測方法主要采用過采樣技術(shù)解決原始數(shù)據(jù)中樣本不平衡的問題.利用貝葉斯優(yōu)化方法，對層疊的長-短時(shí)內(nèi)存網(wǎng)絡(luò)進(jìn)行最優(yōu)超參數(shù)值集的求解，實(shí)現(xiàn)對入侵檢測的有效識別。將上述傳統(tǒng)入侵檢測方法應(yīng)用到局域網(wǎng)環(huán)境中，發(fā)現(xiàn)輸出結(jié)果存在明顯的入侵定位誤差與檢測錯(cuò)誤現(xiàn)象，為此引入GBDT(gradient boosting decision tree，梯度提升決策樹)優(yōu)化算法。

GBDT優(yōu)化算法又稱梯度提升決策樹優(yōu)化算法，它是一種將多個(gè)決策樹組合在一起，然后將每一個(gè)決策樹的結(jié)果相加得到最后的結(jié)果。GBDT最優(yōu)算法的基本思想是使得它在尋找多個(gè)可區(qū)分的特征及其組合方面有著天然的優(yōu)勢。利用GBDT優(yōu)化算法，以局域網(wǎng)作為研究對象，優(yōu)化設(shè)計(jì)入侵定位與檢測方法，以期能夠提升對局域網(wǎng)入侵行為的檢測精度，間接的提高局域網(wǎng)的運(yùn)行安全。

1 局域網(wǎng)入侵定位與檢測方法設(shè)計(jì)

入侵檢測是用來發(fā)現(xiàn)外部攻擊與合法用戶濫用特權(quán)的一種方法。局域網(wǎng)入侵定位與檢測方法的運(yùn)行原理如圖1所示。

圖1 局域網(wǎng)入侵定位與檢測原理圖

在圖1所示的原理的支持下，局域網(wǎng)入侵檢測的工作流程大體可以分為3個(gè)步驟，分別為數(shù)據(jù)收集、數(shù)據(jù)分析以及結(jié)果處理，通過當(dāng)前局域網(wǎng)運(yùn)行數(shù)據(jù)特征與不同入侵攻擊下數(shù)據(jù)運(yùn)行的標(biāo)準(zhǔn)特征進(jìn)行匹配，確定當(dāng)前局域網(wǎng)是否存在入侵行為，識別入侵類型以及入侵點(diǎn)位置。

1.1 建立局域網(wǎng)數(shù)學(xué)模型

從組成結(jié)構(gòu)方面來看，局域網(wǎng)由網(wǎng)卡、網(wǎng)絡(luò)終端、接入節(jié)點(diǎn)等部分組成。局域網(wǎng)大多采用聚類分層連接結(jié)構(gòu)，網(wǎng)絡(luò)由幾個(gè)簇組成，每一個(gè)簇都包含了一個(gè)簇首和多個(gè)簇成員，簇頭是由節(jié)點(diǎn)利用分簇算法自動(dòng)選舉產(chǎn)生的[2]。假設(shè)局域網(wǎng)中存在np個(gè)節(jié)點(diǎn)，任意兩個(gè)節(jié)點(diǎn)之間存在連接鏈路，那么局域網(wǎng)中的鏈路數(shù)量可以表示為：

(1)

構(gòu)建的局域網(wǎng)數(shù)學(xué)模型設(shè)置IEEE802.11g協(xié)議作為數(shù)據(jù)傳輸協(xié)議，采用了正交頻分多路復(fù)用OFDM編碼技術(shù)，以克服傳統(tǒng) DSSS編碼方案中存在的多徑衰減問題。不僅能滿足2.4 GHz頻段的數(shù)據(jù)傳輸速率，而且能保證與同樣數(shù)量的機(jī)器設(shè)備相兼容。將傳輸協(xié)議融合到局域網(wǎng)結(jié)構(gòu)模型中，得出局域網(wǎng)數(shù)學(xué)模型的構(gòu)建結(jié)果。

1.2 設(shè)置局域網(wǎng)入侵檢測標(biāo)準(zhǔn)

在構(gòu)建的局域網(wǎng)數(shù)學(xué)模型下，通過模擬多種典型的網(wǎng)絡(luò)入侵行為，確定不同入侵類型的作用原理，并將不同入侵行為下局域網(wǎng)實(shí)時(shí)數(shù)據(jù)的變化特征作為入侵檢測的判定標(biāo)準(zhǔn)[3]。根據(jù)入侵攻擊行為的后果，可以將入侵類型分為：拒絕服務(wù)攻擊、中間人攻擊、重放攻擊等，其中局域網(wǎng)的拒絕服務(wù)攻擊原理如圖2所示。

圖2 局域網(wǎng)拒絕服務(wù)攻擊原理圖

在拒絕服務(wù)攻擊中，攻擊者首先選取多臺存在安全缺陷的主機(jī)作為主控主機(jī)，然后對其進(jìn)行訪問。在確定代理主機(jī)時(shí)，采用了與確定主主機(jī)相似的方式，不同之處在于，攻擊者可以通過主機(jī)來間接地進(jìn)行入侵。非法用戶為了加強(qiáng)對局域網(wǎng)的攻擊強(qiáng)度，會盡量增加局域網(wǎng)中傀儡主機(jī)和代理主機(jī)的數(shù)量，并在入侵攻擊時(shí)向目標(biāo)主機(jī)發(fā)送大量的惡意攻擊程序與指令，促使代理主機(jī)執(zhí)行實(shí)際的DDoS攻擊任務(wù)[4]。在DDoS攻擊程序下，傀儡主機(jī)包括主控主機(jī)和代理主機(jī)兩個(gè)部分，并由此形成攻擊對象的傀儡網(wǎng)絡(luò)，傀儡網(wǎng)絡(luò)一般都處于被攻擊方或被攻擊方之外。攻擊者在選定了主服務(wù)器和代理服務(wù)器之后，就可以通過對這些服務(wù)器的通訊進(jìn)行攻擊。另外，局域網(wǎng)的中間人攻擊是指在通信雙方的中間有一個(gè)偵聽者，通信雙方一直都以為他們是在直接通信，但實(shí)際上，他們所有交換的數(shù)據(jù)都是由這個(gè)偵聽者轉(zhuǎn)發(fā)的，即他們發(fā)出的消息，先發(fā)送到中間的偵聽者，偵聽者修改消息后再轉(zhuǎn)發(fā)，一般情況下，攻擊者會使用該方法獲取用戶名和密碼等關(guān)鍵信息，再利用這些信息連接到合法AP[5]。同理可以得出其他入侵攻擊的模擬結(jié)果，并在入侵攻擊程序下，實(shí)時(shí)采集局域網(wǎng)的實(shí)時(shí)運(yùn)行數(shù)據(jù)，提取任意入侵攻擊下的運(yùn)行特征，將i類入侵攻擊下的數(shù)據(jù)運(yùn)行標(biāo)準(zhǔn)特征標(biāo)記為λstandard(i)，以此作為局域網(wǎng)入侵攻擊行為的檢測標(biāo)準(zhǔn)。

1.3 局域網(wǎng)實(shí)時(shí)運(yùn)行數(shù)據(jù)采集與預(yù)處理

采用BPF技術(shù)截獲局域網(wǎng)的實(shí)時(shí)運(yùn)行數(shù)據(jù)包，BPF技術(shù)由網(wǎng)絡(luò)接口和數(shù)據(jù)包過濾器兩部分組成，網(wǎng)絡(luò)接口的實(shí)現(xiàn)是由網(wǎng)絡(luò)驅(qū)動(dòng)來完成對網(wǎng)卡的傳輸，然后將傳輸?shù)酱幚淼南到y(tǒng)中。然后，分組過濾器根據(jù)用戶自定義的對應(yīng)規(guī)則，將不需要的分組剔除，以避免分組進(jìn)入用戶空間。利用包過濾來緩存有效的包，以供用戶使用。BPF的主要作用是實(shí)現(xiàn)對局域網(wǎng)傳輸數(shù)據(jù)包的攔截和篩選，然后將經(jīng)過篩選的報(bào)文緩存到系統(tǒng)內(nèi)核中，供用戶從所提供的應(yīng)用程序接口進(jìn)行調(diào)用[6]。局域網(wǎng)傳輸數(shù)據(jù)包的具體截獲過程如圖3所示。

圖3 局域網(wǎng)傳輸數(shù)據(jù)包截獲流程圖

在入侵定位與檢測過程中，需要對局域網(wǎng)中的數(shù)據(jù)變化情況進(jìn)行分析，因此需要足夠數(shù)量的數(shù)據(jù)作為支持，最終得出的局域網(wǎng)數(shù)據(jù)截獲結(jié)果可以表示為：

NLAN(x)=f·Δtcatch

(2)

其中：f為局域網(wǎng)數(shù)據(jù)的截獲頻率，Δtcatch表示局域網(wǎng)運(yùn)行數(shù)據(jù)的采集時(shí)間，公式(2)的輸出結(jié)果NLAN(x)即為以x為傳輸內(nèi)容的截獲數(shù)據(jù)量[7]。為保證優(yōu)化設(shè)計(jì)方法的入侵定位與檢測精度，需要對初始截獲的局域網(wǎng)數(shù)據(jù)進(jìn)行預(yù)處理，預(yù)處理內(nèi)容具體包括：冗余數(shù)據(jù)過濾、缺失數(shù)據(jù)補(bǔ)償以及數(shù)據(jù)歸一化，在冗余數(shù)據(jù)過濾過程中，首先計(jì)算初始捕獲的任意兩個(gè)數(shù)據(jù)之間的冗余度，計(jì)算公式如下：

(3)

式(3)中，變量xi和xj分別為初始捕獲數(shù)據(jù)中的第i和j個(gè)數(shù)據(jù)。若式(3)中的計(jì)算結(jié)果r(xi，xj)，高于設(shè)置閾值r0，則說明xi與xj之間為冗余數(shù)據(jù)，需要?jiǎng)h除其中任意一個(gè)數(shù)據(jù)，否則認(rèn)為兩者不為冗余數(shù)據(jù)，不需要執(zhí)行過濾處理[8]。初始截獲局域網(wǎng)傳輸數(shù)據(jù)中缺失部分的補(bǔ)償過程可以量化描述為：

(4)

(5)

式中，xmax和xmin為初始捕獲局域網(wǎng)運(yùn)行數(shù)據(jù)中的最大值和最小值[9]。將所有的局域網(wǎng)傳輸數(shù)據(jù)捕獲結(jié)果依次代入到式(3)～(5)中，完成局域網(wǎng)實(shí)時(shí)運(yùn)行數(shù)據(jù)的預(yù)處理，將最終的預(yù)處理結(jié)果幅值給初始截獲數(shù)據(jù)。

1.4 提取局域網(wǎng)運(yùn)行數(shù)據(jù)特征

以局域網(wǎng)傳輸數(shù)據(jù)的截獲與預(yù)處理結(jié)果為處理對象，從時(shí)域和頻域兩個(gè)方面提取局域網(wǎng)的運(yùn)行特征。設(shè)置局域網(wǎng)運(yùn)行特征的提取向量為流量均值、流量峰值、流量波動(dòng)因子等，其中流量均值的提取結(jié)果如下：

(6)

另外局域網(wǎng)流量峰值特征與流量波動(dòng)因子特征的提取結(jié)果為：

(7)

式中，變量χ和σ分別為方根幅值和絕對平均值，上述變量的求解公式為：

(8)

將式(8)的計(jì)算結(jié)果代入到式(7)中，即可得出局域網(wǎng)運(yùn)行流量峰值與波動(dòng)因子特征的提取結(jié)果。同理可以得出其他所有局域網(wǎng)運(yùn)行時(shí)域特征向量的提取結(jié)果。局域網(wǎng)運(yùn)行數(shù)據(jù)的頻域特征提取就是通過小波分解，提取局域網(wǎng)運(yùn)行能量特征[10]。在實(shí)際的局域網(wǎng)頻域特征提取過程中，首先利用離散小波變換技術(shù)對初始捕獲數(shù)據(jù)進(jìn)行c層分解，分解結(jié)果如下：

(9)

式中，κwavelet和κapproximate分別為小波系數(shù)和近似系數(shù)，xlow(t)和xtall(t)為初始采集傳輸數(shù)據(jù)中的低頻部分和高頻部分，則局域網(wǎng)能量特征的提取結(jié)果為：

(10)

其中：L(t)為t時(shí)刻局域網(wǎng)運(yùn)行數(shù)據(jù)的信號長度。為方便局域網(wǎng)運(yùn)行數(shù)據(jù)特征的統(tǒng)一處理與匹配，對提取的時(shí)域與頻域特征作融合處理，最終得出的綜合特征提取結(jié)果如下：

λdraw=?1λE+?2λmean value+?3λmax+?4λundulate

(11)

式中，?1、?2、?3和?4分別對應(yīng)的是流量均值、流量峰值、流量波動(dòng)因子以及能量特征向量對應(yīng)的權(quán)重值[11]。由于局域網(wǎng)中的傳輸數(shù)據(jù)處于動(dòng)態(tài)變化的狀態(tài)，因此需要根據(jù)數(shù)據(jù)的采集頻率對提取特征進(jìn)行實(shí)時(shí)更新。

1.5 利用GBDT優(yōu)化算法構(gòu)建局域網(wǎng)入侵分類器

局域網(wǎng)入侵分類器構(gòu)建的目的是為局域網(wǎng)入侵狀態(tài)以及入侵類型的檢測提供運(yùn)行環(huán)境，為保證局域網(wǎng)入侵分類器輸出的入侵類型檢測結(jié)果，利用GBDT優(yōu)化算法對分類器進(jìn)行優(yōu)化構(gòu)建[12]。GBDT優(yōu)化算法是一種綜合模式，其預(yù)測方法是將各個(gè)子樹的預(yù)測值相加。GBDT算法逐步產(chǎn)生一個(gè)決策子樹來產(chǎn)生整片森林，并根據(jù)樣本標(biāo)簽和現(xiàn)有林分預(yù)報(bào)結(jié)果的殘差來構(gòu)造新的子樹。GBDT優(yōu)化算法的運(yùn)行原理如圖4所示。

圖4 GBDT優(yōu)化算法原理圖

GBDT優(yōu)化算法的運(yùn)行大體可以分為決策樹生成、負(fù)梯度擬合等步驟，如圖4所示。定義提取的局域網(wǎng)運(yùn)行數(shù)據(jù)特征作為GBDT優(yōu)化算法的訓(xùn)練樣本，在訓(xùn)練樣本所在的輸入空間中，對訓(xùn)練樣本進(jìn)行遞歸式分割，確定各子域的輸出值，從而構(gòu)造出一棵二叉決策樹[13]。在決策樹生成過程中，首先選擇最優(yōu)切分變量和切分點(diǎn)，分別標(biāo)記為b和q，用選定的(b，q)劃分區(qū)域并決定相應(yīng)的輸出值：

(12)

式中，yselect為最優(yōu)切分變量和切分點(diǎn)選擇的最優(yōu)求解函數(shù)，Nβ代表區(qū)域劃分?jǐn)?shù)量，ξ為區(qū)域劃分的輸出值，重復(fù)切分點(diǎn)選擇、空間劃分步驟，直至滿足停止條件，將輸入到GBDT優(yōu)化算法中的局域網(wǎng)運(yùn)行數(shù)據(jù)特征空間的劃分成多個(gè)區(qū)域，并由此得出決策樹的構(gòu)建結(jié)果，可以量化表示為：

(13)

按照上述流程得出決策樹的構(gòu)建結(jié)果。采用加法模型和正向逐步算法來實(shí)現(xiàn)學(xué)習(xí)的優(yōu)化過程。GBDT優(yōu)化算法通過對邏輯回歸中的對數(shù)損失函數(shù)來實(shí)現(xiàn)分類工作[14]。為解決GBDT優(yōu)化算法學(xué)習(xí)過程中存在的損失函數(shù)擬合的問題，用損失函數(shù)的負(fù)梯度擬合出一個(gè)回歸樹。如果損失函數(shù)是二次損失，那么這個(gè)負(fù)梯度就是目前分類器的殘差值，因此，在損失函數(shù)是其他函數(shù)時(shí)，可以使用這負(fù)梯度來近似目前分類器的殘差值[15]。第k輪的第i個(gè)樣本的損失函數(shù)的負(fù)梯度表示為：

(14)

式中，ystudy()為任意一輪決策樹的學(xué)習(xí)函數(shù)。通過損失函數(shù)的負(fù)梯度來擬合，解決分類器運(yùn)行過程中的分類回歸問題[16]。根據(jù)上述GBDT優(yōu)化算法得出局域網(wǎng)入侵分類器的構(gòu)建結(jié)果，構(gòu)建分類器的工作邏輯如圖5所示。

圖5 局域網(wǎng)入侵分類器工作邏輯圖

局域網(wǎng)入侵分類器的數(shù)學(xué)表達(dá)式為：

F=argminβ(b，q)+δ

(15)

將GBDT優(yōu)化算法的學(xué)習(xí)結(jié)果以及相關(guān)運(yùn)行參數(shù)代入到公式(15)中，即可得出局域網(wǎng)入侵分類器的最終構(gòu)建結(jié)果。

1.6 匹配局域網(wǎng)運(yùn)行數(shù)據(jù)特征

在構(gòu)建局域網(wǎng)入侵分類器的支持下，通過提取局域網(wǎng)運(yùn)行數(shù)據(jù)特征與設(shè)置入侵特征之間的匹配，判斷當(dāng)前局域網(wǎng)是否存在入侵攻擊行為，并確定當(dāng)前局域網(wǎng)的入侵攻擊類型。局域網(wǎng)運(yùn)行狀態(tài)的特征匹配結(jié)果如下：

(16)

將i類入侵攻擊特征與當(dāng)前局域網(wǎng)的提取特征代入到公式(16)中，即可得出當(dāng)前局域網(wǎng)與i類入侵攻擊的匹配系數(shù)求解結(jié)果[17]。若計(jì)算得出匹配系數(shù)γ，高于閾值γ0，說明當(dāng)前局域網(wǎng)存在入侵攻擊，且入侵類型為i，否則進(jìn)行下一入侵攻擊類型的匹配，直到滿足特征匹配條件為止，若當(dāng)前局域網(wǎng)運(yùn)行特征不與設(shè)置的任意一個(gè)入侵類型相匹配，則說明當(dāng)前局域網(wǎng)不處于入侵攻擊狀態(tài)。

1.7 追蹤局域網(wǎng)入侵源位置

針對處于入侵攻擊狀態(tài)下的局域網(wǎng)，需要確定入侵源的具體位置，并根據(jù)入侵源的移動(dòng)情況進(jìn)行追蹤。采用距離向量技術(shù)執(zhí)行局域網(wǎng)入侵源定位操作，即采用平均每跳距離來估算實(shí)際距離。首先將一個(gè)包含跳躍數(shù)段的數(shù)據(jù)包發(fā)送給鄰接節(jié)點(diǎn)，并將該數(shù)據(jù)包發(fā)送給該鄰接節(jié)點(diǎn)。一個(gè)被攻擊的目標(biāo)節(jié)點(diǎn)，其到每一個(gè)被攻擊的節(jié)點(diǎn)都有一個(gè)最小的跳，并且被忽略掉了[18]。這個(gè)跳躍值被添加到1，并被發(fā)送到鄰近的節(jié)點(diǎn)。利用這種方式，局域網(wǎng)中的全部結(jié)點(diǎn)都可以記錄到攻擊結(jié)點(diǎn)的最小距離。入侵攻擊節(jié)點(diǎn)的平均跳距可以表示為：

(17)

式中，(xi，yi)和(xj，yj)分別為局域網(wǎng)中任意節(jié)點(diǎn)i和j的坐標(biāo)，lmin為局域網(wǎng)節(jié)點(diǎn)i和j之間的最小跳數(shù)，Npanel point表示局域網(wǎng)中包含的節(jié)點(diǎn)數(shù)量。每個(gè)攻擊點(diǎn)在得到平均跳躍距離之后，會直接或間接地向外廣播含有該平均跳躍距離的信息，而被接收到的信息只會被保存在它接收到的最初跳躍距離中[19]。接著，該未知節(jié)點(diǎn)將接收到的平均跳距之和乘以與之相連的任何一個(gè)攻擊節(jié)點(diǎn)的最小跳數(shù)，從而獲得該未知節(jié)點(diǎn)與之相連的任何一個(gè)攻擊節(jié)點(diǎn)的估算距離，則未知入侵攻擊節(jié)點(diǎn)與已知節(jié)點(diǎn)之間的距離可以表示為：

d(i，g)=lig×npace+l0

(18)

其中：l0為首次接收到的平均跳距，g為未知攻擊節(jié)點(diǎn)，npace為節(jié)點(diǎn)i與攻擊節(jié)點(diǎn)之間需要的步數(shù)。那么根據(jù)入侵攻擊節(jié)點(diǎn)與已知局域網(wǎng)節(jié)點(diǎn)之間的攻擊關(guān)系，可以得出入侵節(jié)點(diǎn)的攻擊結(jié)果為：

(19)

式中，dx(i，g)和dy(i，g)分別為節(jié)點(diǎn)間距離在水平和豎直方向上的分量，通過公式(19)的求解，即可得出當(dāng)前局域網(wǎng)入侵源位置的定位結(jié)果。結(jié)合局域網(wǎng)實(shí)時(shí)運(yùn)行數(shù)據(jù)的采集頻率，重復(fù)上述入侵源定位流程，完成局域網(wǎng)入侵源的追蹤與更新。

1.8 實(shí)現(xiàn)局域網(wǎng)入侵定位與檢測

由于不同的入侵攻擊類型的作用原理不同，因此產(chǎn)生的局域網(wǎng)運(yùn)行特征存在明顯區(qū)別，部分入侵可能不會對局域網(wǎng)的運(yùn)行流量產(chǎn)生影響，而直接作用在網(wǎng)絡(luò)傳輸協(xié)議上，因此除上述過程外，還需要對局域網(wǎng)的運(yùn)行協(xié)議進(jìn)行檢測，主要就是對局域網(wǎng)傳輸數(shù)據(jù)的結(jié)構(gòu)進(jìn)行檢測，最終將局域網(wǎng)入侵位置、類型的檢測結(jié)果以可視化的形式輸出，輸出結(jié)果如下：

W=(Z(γ)，(xg，yg))

(20)

式中，Z(γ)為經(jīng)特征匹配得出的局域網(wǎng)入侵狀態(tài)檢測結(jié)果[20]。按照上述流程，完成局域網(wǎng)入侵定位與檢測工作。

2 性能測試實(shí)驗(yàn)分析

為了驗(yàn)證優(yōu)化設(shè)計(jì)基于GBDT優(yōu)化算法的局域網(wǎng)入侵定位與檢測方法的定位與檢測性能，以白盒測試為測試方式，設(shè)計(jì)性能測試實(shí)驗(yàn)。此次性能測試實(shí)驗(yàn)的基本思路為：在局域網(wǎng)測試環(huán)境下，設(shè)置入侵攻擊點(diǎn)，以多個(gè)不同類型、不同強(qiáng)度的執(zhí)行入侵攻擊任務(wù)，利用優(yōu)化設(shè)計(jì)的局域網(wǎng)入侵定位與檢測方法輸出檢測結(jié)果，與設(shè)置的入侵攻擊任務(wù)參數(shù)進(jìn)行比對，驗(yàn)證優(yōu)化設(shè)計(jì)方法輸出結(jié)果與實(shí)際入侵情況之間的差距。

2.1 布設(shè)局域網(wǎng)測試環(huán)境

此次實(shí)驗(yàn)選擇的局域網(wǎng)由250臺主機(jī)和3臺路由器組成。其中1臺用來作為分析主機(jī)，能夠執(zhí)行優(yōu)化設(shè)計(jì)的基于GBDT優(yōu)化算法的局域網(wǎng)入侵定位與檢測方法，另外隨機(jī)選擇局域網(wǎng)中的任意一臺主機(jī)作為攻擊主機(jī)，執(zhí)行編寫的攻擊程序，對局域網(wǎng)中的其他節(jié)點(diǎn)主機(jī)進(jìn)行入侵攻擊。為了避免誤差，無論是合法主機(jī)還是攻擊主機(jī)，都使用了同樣的硬件配置，使用的都是WindowsX的SP2操作系統(tǒng)。同時(shí)，兩者均采用了Realtek10/100 M的適配網(wǎng)絡(luò)卡，并采用了TP-鏈接10/100 M的快速適配開關(guān)。

2.2 編寫局域網(wǎng)入侵攻擊程序

利用MDK3工具模擬局域網(wǎng)入侵攻擊程序，該工具支持DDOS攻擊、洪水攻擊、中間人攻擊等入侵程序。在MDK3工具支持下，DDoS攻擊程序的運(yùn)行情況如圖6所示。

圖6 局域網(wǎng)入侵攻擊程序運(yùn)行圖

通過無線網(wǎng)卡發(fā)射隨機(jī)偽造的攻擊信號，并根據(jù)需要設(shè)定攻擊信號的工作頻道，執(zhí)行相應(yīng)的攻擊指令。為保證實(shí)驗(yàn)結(jié)果的可信度，此次性能測試實(shí)驗(yàn)設(shè)置多個(gè)入侵攻擊任務(wù)，部分任務(wù)的設(shè)置情況如表1所示。

表1 局域網(wǎng)入侵攻擊任務(wù)表

除表1中的入侵攻擊任務(wù)信息外，還需要確定入侵節(jié)點(diǎn)的位置，實(shí)驗(yàn)共設(shè)置200個(gè)入侵攻擊任務(wù)，其中攻擊強(qiáng)度等級為I級和II級的任務(wù)均為100個(gè)。在局域網(wǎng)入侵攻擊程序編寫與運(yùn)行過程中，確定局域網(wǎng)的入侵目標(biāo)節(jié)點(diǎn)。另外，在入侵攻擊程序編寫過程中，需要添加強(qiáng)制控制指令，保證入侵攻擊程序的可控性。

2.3 準(zhǔn)備局域網(wǎng)運(yùn)行數(shù)據(jù)樣本

在不啟動(dòng)入侵攻擊程序的情況下，將局域網(wǎng)調(diào)整至運(yùn)行狀態(tài)，執(zhí)行多個(gè)數(shù)據(jù)通信與傳輸任務(wù)，通過iptables獲取局域網(wǎng)的實(shí)時(shí)運(yùn)行數(shù)據(jù)包，作為局域網(wǎng)入侵檢測的參考數(shù)據(jù)。在此基礎(chǔ)上，啟動(dòng)編寫的入侵攻擊程序，重復(fù)執(zhí)行局域網(wǎng)的通信傳輸任務(wù)，按照相同的數(shù)據(jù)采集方式獲取運(yùn)行數(shù)據(jù)，作為入侵檢測的測試數(shù)據(jù)。

2.4 實(shí)驗(yàn)結(jié)果與分析

利用編程工具對優(yōu)化設(shè)計(jì)的基于GBDT優(yōu)化算法的局域網(wǎng)入侵定位與檢測方法進(jìn)行開發(fā)，并將準(zhǔn)備的局域網(wǎng)運(yùn)行數(shù)據(jù)樣本輸入到優(yōu)化設(shè)計(jì)方法對應(yīng)的運(yùn)行程序中，通過決策樹的構(gòu)建與學(xué)習(xí)、特征提取與匹配等步驟，得出當(dāng)前局域網(wǎng)入侵定位與檢測結(jié)果。圖7表示的是局域網(wǎng)執(zhí)行1號入侵攻擊任務(wù)時(shí)輸出的入侵定位與檢測結(jié)果。

圖7 局域網(wǎng)入侵定位與檢測結(jié)果

按照上述方式可以得出所有入侵攻擊任務(wù)下的定位與檢測結(jié)果，將優(yōu)化設(shè)計(jì)方法的輸出結(jié)果與設(shè)置攻擊任務(wù)信息進(jìn)行比對，判斷優(yōu)化設(shè)計(jì)方法輸出結(jié)果是否準(zhǔn)確。為了體現(xiàn)出優(yōu)化設(shè)計(jì)方法在定位與檢測性能方面的優(yōu)勢，設(shè)置傳統(tǒng)的基于天牛群優(yōu)化與改進(jìn)正則化極限學(xué)習(xí)機(jī)的網(wǎng)絡(luò)入侵檢測方法和基于機(jī)器學(xué)習(xí)的無線傳感網(wǎng)絡(luò)通信異常入侵檢測方法作為實(shí)驗(yàn)的對比方法，按照上述流程完成對比方法的開發(fā)與運(yùn)行，并得出相應(yīng)的輸出結(jié)果。

首先，根據(jù)實(shí)驗(yàn)?zāi)康姆謩e從入侵定位和入侵檢測兩個(gè)方面設(shè)置性能量化測試指標(biāo)，其中入侵定位性能的測試指標(biāo)為入侵定位誤差，其數(shù)值結(jié)果為：

εseat=|xg-xset|+|yg-yset|

(21)

式中，(xset，yset)為設(shè)置入侵攻擊源的實(shí)際位置，根據(jù)局域網(wǎng)的規(guī)模，局域網(wǎng)入侵位置以米為計(jì)量單位。統(tǒng)計(jì)優(yōu)化設(shè)計(jì)方法輸出的入侵源定位結(jié)果，通過與設(shè)置入侵原位置的對比，得出反映入侵定位性能的測試結(jié)果。表2表示的是1號入侵攻擊任務(wù)下入侵節(jié)點(diǎn)定位性能的測試結(jié)果。

表2 局域網(wǎng)入侵定位性能測試數(shù)據(jù)表

基于公式(21)計(jì)算節(jié)點(diǎn)位置偏差，統(tǒng)計(jì)結(jié)果如表3所示。

表3 各算法的節(jié)點(diǎn)位置偏差值統(tǒng)計(jì) m

將表2中的數(shù)據(jù)代入到式(21)中，得出兩種對比方法的平均入侵定位誤差分別為9.2 m和4.7 m，優(yōu)化設(shè)計(jì)方法輸出入侵定位誤差的平均值為1.2 m。

其次，設(shè)定入侵檢測性能的測試指標(biāo)分別為：入侵類型正確檢測率和入侵?jǐn)?shù)量正確檢測率，上述指標(biāo)的測試結(jié)果如下：

(22)

式(22)中，變量ntype和ntask分別表示的是正確檢測的入侵類型數(shù)量和設(shè)置的入侵任務(wù)總數(shù)量，nAttack Node和npanel point對應(yīng)的是成功識別出的入侵節(jié)點(diǎn)數(shù)量以及設(shè)置入侵節(jié)點(diǎn)的總數(shù)量。最終計(jì)算得出入侵定位誤差越小、入侵類型正確檢測率和入侵?jǐn)?shù)量正確檢測率越高，說明對應(yīng)方法的定位與檢測性能越優(yōu)。通過公式(22)的計(jì)算，得出入侵類型正確檢測率和入侵?jǐn)?shù)量正確檢測率的測試對比結(jié)果，如圖8所示。

圖8 局域網(wǎng)入侵類型與數(shù)量檢測性能測試對比結(jié)果

從圖8中可以直觀地看出，與傳統(tǒng)入侵定位與檢測方法相比，優(yōu)化設(shè)計(jì)方法的入侵類型正確檢測率和入侵?jǐn)?shù)量正確檢測率更高，入侵類型正確檢測率提高約13.8%，入侵?jǐn)?shù)量正確檢測率提高約15.4%。

3 結(jié)束語

在非法攻擊迅速發(fā)展的大背景下，攻擊種類及其破壞程度急劇增加，為滿足局域網(wǎng)在安全方面的需求，提出了局域網(wǎng)的主動(dòng)防御技術(shù)，它的技術(shù)核心就是通過動(dòng)態(tài)保護(hù)措施來保證系統(tǒng)的安全，從而能夠及時(shí)地發(fā)現(xiàn)可局域網(wǎng)的異常運(yùn)行情況，并針對入侵攻擊進(jìn)行控制和反擊。該方法最大的優(yōu)點(diǎn)是能夠?qū)π碌墓暨M(jìn)行自適應(yīng)地分析和學(xué)習(xí)。在主動(dòng)防御技術(shù)中，入侵檢測是一個(gè)非常重要的組成部分，它是通過從計(jì)算機(jī)網(wǎng)絡(luò)或主機(jī)系統(tǒng)的關(guān)鍵點(diǎn)上收集信息，并對這些關(guān)鍵點(diǎn)信息展開分析，從而識別出局域網(wǎng)是否有存在企圖入侵、正在進(jìn)行入侵或已經(jīng)入侵的行為。在未來，入侵檢測方法將會向著高速實(shí)時(shí)化、智能化等方向發(fā)展。在此次研究中，通過GBDT優(yōu)化算法的應(yīng)用，實(shí)現(xiàn)局域網(wǎng)入侵定位與檢測方法的優(yōu)化。從實(shí)驗(yàn)結(jié)果中可以看出，優(yōu)化設(shè)計(jì)方法具有更高的定位精度和檢測精度，對于提高局域網(wǎng)的主動(dòng)防御水平以及網(wǎng)絡(luò)運(yùn)行安全性能具有重要意義。