李 梅，朱明宇

(蘇州高博軟件技術(shù)職業(yè)學(xué)院 信息與軟件學(xué)院，江蘇 蘇州 215163)

0 引言

在信息技術(shù)飛速發(fā)展的勢(shì)態(tài)下，以互聯(lián)網(wǎng)為代表的信息網(wǎng)絡(luò)發(fā)生了巨大變化，直接影響人們的生產(chǎn)和生活習(xí)慣。與此同時(shí)微電子和傳感器以及無線通信技術(shù)的快速發(fā)展，也不斷地推動(dòng)互聯(lián)網(wǎng)的迅速發(fā)展，從而產(chǎn)生了嚴(yán)重的網(wǎng)絡(luò)安全問題。由于通信網(wǎng)絡(luò)中包含有大量的數(shù)據(jù)節(jié)點(diǎn)，在數(shù)據(jù)存儲(chǔ)和數(shù)據(jù)處理中容易受到惡意節(jié)點(diǎn)的攻擊，當(dāng)通信網(wǎng)絡(luò)的性能減低時(shí)會(huì)引發(fā)網(wǎng)絡(luò)崩潰[1]，造成通信網(wǎng)絡(luò)的大面積癱瘓，因此通信網(wǎng)絡(luò)的運(yùn)行需要在極大地保障下完成工作，通信網(wǎng)絡(luò)惡意攻擊代碼檢測(cè)方法對(duì)惡意攻擊代碼的檢測(cè)和防御研究具有重要意義。國(guó)內(nèi)外眾多相關(guān)領(lǐng)域的專家非常注重惡意代碼檢測(cè)的研究，現(xiàn)階段惡意攻擊代碼的分析和檢測(cè)已經(jīng)成為被廣泛討論的話題，并從不同的角度給出了多種應(yīng)對(duì)策略，為實(shí)現(xiàn)通信網(wǎng)絡(luò)的安全運(yùn)行提供了多種技術(shù)支持。傳統(tǒng)通信網(wǎng)絡(luò)安全問題研究中通常使用硬件進(jìn)行入侵防御，文獻(xiàn)[2]研究了基于被動(dòng)分簇算法的即時(shí)通信網(wǎng)絡(luò)協(xié)議漏洞檢測(cè)，其引入了被動(dòng)分簇算法，采用該算法中先聲明者優(yōu)先機(jī)制挑選簇首，結(jié)合均衡原則明確網(wǎng)關(guān)節(jié)點(diǎn)，并且結(jié)合前向反饋網(wǎng)絡(luò)和支持向量機(jī)，構(gòu)建通信網(wǎng)絡(luò)協(xié)議漏洞檢測(cè)方法，實(shí)現(xiàn)檢測(cè)。但對(duì)于通信網(wǎng)絡(luò)的內(nèi)部攻擊沒有任何防御效果，且不能適用于通信網(wǎng)絡(luò)的動(dòng)態(tài)變化，其正確識(shí)別率較低，無法保障通信網(wǎng)絡(luò)安全。文獻(xiàn)[3]研究了一種基于多特征集成學(xué)習(xí)的惡意代碼靜態(tài)檢測(cè)框架，該方法通過提取惡意軟件的非PE結(jié)構(gòu)等特征，構(gòu)建特征相匹配模型，通過集成算法提升模型穩(wěn)定性，實(shí)現(xiàn)惡意代碼檢測(cè)。但也只能對(duì)一部分?jǐn)?shù)據(jù)進(jìn)行保護(hù)，無法完全辨別不同類型的惡意代碼，惡意代碼正確識(shí)別率低。

針對(duì)上述方法存在的問題，本文選擇PSO-KM聚類分析技術(shù)作為支撐，借助該技術(shù)的動(dòng)態(tài)特征提取優(yōu)勢(shì)確定網(wǎng)絡(luò)中是否存在惡意入侵，設(shè)計(jì)通信網(wǎng)絡(luò)的惡意攻擊代碼檢測(cè)方法，以期通過該檢測(cè)方法提高通信網(wǎng)絡(luò)的安全性。

1 確定通信網(wǎng)絡(luò)流動(dòng)軌跡中惡意攻擊行為特征

隨著通信能力的逐漸增強(qiáng)網(wǎng)絡(luò)中各個(gè)節(jié)點(diǎn)的功能發(fā)生巨大轉(zhuǎn)變，通信節(jié)點(diǎn)從單純的信息采集擴(kuò)展到網(wǎng)絡(luò)系統(tǒng)的數(shù)據(jù)處理以及存儲(chǔ)等更多任務(wù)，因此用于通信網(wǎng)絡(luò)系統(tǒng)數(shù)據(jù)處理的節(jié)點(diǎn)經(jīng)常受到惡意攻擊引起網(wǎng)絡(luò)故障。為保證數(shù)據(jù)不被竊取和篡改以及丟失等要求，需要對(duì)通信網(wǎng)絡(luò)數(shù)據(jù)的流動(dòng)軌跡的行為特征進(jìn)行分析，以無線傳感器節(jié)點(diǎn)為通信網(wǎng)絡(luò)的數(shù)據(jù)處理主模塊，主要監(jiān)測(cè)通信網(wǎng)絡(luò)數(shù)據(jù)流轉(zhuǎn)區(qū)域內(nèi)的數(shù)據(jù)采集和轉(zhuǎn)換，對(duì)其基本體系結(jié)構(gòu)進(jìn)行分析，如圖1所示。

根據(jù)圖1內(nèi)容所示，通信網(wǎng)絡(luò)中的無線傳感器體系結(jié)構(gòu)可以分為網(wǎng)絡(luò)通信協(xié)議、網(wǎng)絡(luò)數(shù)據(jù)管理和應(yīng)用支撐3個(gè)部分，其中最主要的網(wǎng)絡(luò)通信協(xié)議層級(jí)，該層包含數(shù)據(jù)的鏈路層和傳輸層，由于數(shù)據(jù)鏈路和傳輸在該層，則此處是惡意攻擊重點(diǎn)關(guān)注位置，因此容易產(chǎn)生惡意攻擊行為[4]。對(duì)其進(jìn)行具體功能劃分：網(wǎng)絡(luò)通信協(xié)議中物理層，其主要借助無線電和紅外線等傳輸媒介，完成節(jié)點(diǎn)信號(hào)的調(diào)制和數(shù)據(jù)的收發(fā)。數(shù)據(jù)鏈路層實(shí)現(xiàn)數(shù)據(jù)信息的成幀檢測(cè)以及錯(cuò)誤控制，網(wǎng)絡(luò)層是對(duì)路由的控制和維護(hù)，傳輸層用來控制通信數(shù)據(jù)信息流的傳輸，應(yīng)用層則是連接網(wǎng)絡(luò)平臺(tái)中的對(duì)應(yīng)軟件。

針對(duì)通信網(wǎng)絡(luò)的基本體系結(jié)構(gòu)，將其放置于在MFAB-NB框架內(nèi)具體分析惡意攻擊的具體類型，可以大體上劃分為：對(duì)網(wǎng)絡(luò)協(xié)議層的攻擊、對(duì)機(jī)密性和認(rèn)證性數(shù)據(jù)的攻擊、以及對(duì)數(shù)據(jù)服務(wù)完整性的攻擊，由于網(wǎng)絡(luò)協(xié)議層為主要的數(shù)據(jù)流動(dòng)軌跡，直接對(duì)網(wǎng)絡(luò)協(xié)議層進(jìn)行分析，將其受到的惡意攻擊行為特征進(jìn)行類型劃分，按照物理層惡意攻擊、鏈路層惡意攻擊、網(wǎng)絡(luò)層惡意攻擊以及傳輸層惡意攻擊進(jìn)行展示，具體如表1所示[5]。

表1 網(wǎng)絡(luò)協(xié)議層中流動(dòng)軌跡惡意攻擊行為特征分類

根據(jù)表中內(nèi)容所示對(duì)不同的層級(jí)攻擊行為進(jìn)行分析，如以物理層來講擁塞攻擊主要是在通信網(wǎng)絡(luò)鏈路中不間斷的發(fā)送干擾信號(hào)，造成通信節(jié)點(diǎn)不能正常進(jìn)行數(shù)據(jù)傳輸從而破壞網(wǎng)絡(luò)，物理攻擊則是將正常節(jié)點(diǎn)進(jìn)行偽裝，從正常節(jié)點(diǎn)的位置中發(fā)起攻擊對(duì)網(wǎng)絡(luò)安全造成威脅[6]。其他協(xié)議層中的攻擊手段也不盡相同，基本上都是在鏈路中直接對(duì)節(jié)點(diǎn)產(chǎn)生攻擊，消耗網(wǎng)絡(luò)通信量的基礎(chǔ)上造成正常節(jié)點(diǎn)的死亡，以此攻擊方能夠在數(shù)據(jù)融合過程中導(dǎo)入虛假數(shù)據(jù)。在此基礎(chǔ)上選擇歸一化算法對(duì)特征歸類，計(jì)算不同惡意攻擊行為的特征值，判斷鏈路中出現(xiàn)攻擊行為的可能性。

2 歸一化處理通信網(wǎng)絡(luò)惡意攻擊行為特征

無論哪一種通信網(wǎng)絡(luò)攻擊均含有多重身份ID，其ID數(shù)據(jù)可以是偽造的，也可以直接盜用正常節(jié)點(diǎn)，一旦惡意攻擊代碼形成，則通信網(wǎng)絡(luò)中的數(shù)據(jù)運(yùn)行機(jī)制會(huì)遭受嚴(yán)重破壞，對(duì)數(shù)據(jù)的存儲(chǔ)和處理以及分配均會(huì)產(chǎn)生影響[7]。在有限條件下對(duì)惡意攻擊代碼進(jìn)行特征計(jì)算，將惡意攻擊行為進(jìn)行歸一化處理，通過惡意攻擊代碼的接受信號(hào)強(qiáng)度指標(biāo)，對(duì)不同的攻擊行為進(jìn)行信道監(jiān)測(cè)[8]。信號(hào)強(qiáng)度指標(biāo)能夠比較節(jié)點(diǎn)接收數(shù)據(jù)的功率大小，通過功率比值對(duì)信號(hào)源節(jié)點(diǎn)進(jìn)行監(jiān)測(cè)，計(jì)算節(jié)點(diǎn)中是否存在大于其自身的能力優(yōu)勢(shì)。利用普通節(jié)點(diǎn)m和n進(jìn)行比較，設(shè)定被惡意攻擊代碼選擇的節(jié)點(diǎn)為簇頭節(jié)點(diǎn)b，則：

(1)

公式中：節(jié)點(diǎn)m的接收信號(hào)強(qiáng)度為RSSIm。節(jié)點(diǎn)n的接收信號(hào)強(qiáng)度為RSSIn。簇頭節(jié)點(diǎn)b的接收信號(hào)強(qiáng)度為RSSIb[9]。閾值為v。強(qiáng)度比例為χ。簇頭距離為c。以公式可知惡意攻擊代碼的節(jié)點(diǎn)選擇原則，只與其到簇頭的距離相關(guān)。假定惡意節(jié)點(diǎn)中存在良好總身份ID，分別為x1和x2，與其相關(guān)的存在有4組普通節(jié)點(diǎn)為z1、z2、z3、z4，則形成判斷公式如下：

(2)

若公式中x1和x2到z1、z2、z3、z44組節(jié)點(diǎn)的距離相等，則可以得出x1和x2同時(shí)處于同一物理位置，即x1和x2為同一個(gè)節(jié)點(diǎn)，但由于身份ID不同，則說明在該節(jié)點(diǎn)處存在有惡意攻擊代碼[10]，并且不同的信號(hào)強(qiáng)度下消耗節(jié)點(diǎn)資源也不同，一般情況下，惡意攻擊的主要目的是消耗服務(wù)器的資源。在完成節(jié)點(diǎn)位置初步確定后，為進(jìn)一步提高位置確定的準(zhǔn)確性，以歸一化處理方式假定攻擊原理，設(shè)定不同的攻擊行為特征進(jìn)行初始位置，kl={kl1，kl2，...，klj}表示為代碼初始位置，l表示初始位置，hl={hl1，hl2，...，hlj}表示初始攻擊速度，代碼的個(gè)體極值可表示為gf={gf1，gf2，...，gfj}，能夠被找到的全局極值表示為gd={gd1，gd2，...，gdj}[11]。結(jié)合PSO算法，確定代碼惡意攻擊行為特征的攻擊速度以及位置，計(jì)算公式如下：

hls(a)=δhls(a-1)β1rand(a)(gf(a)-kls(a))+

β2rand(a)(gf(a)-kls(a))

(3)

kls(a)=kls(a-1)+hls(a)

(4)

上式種(3)為惡意攻擊代碼的速度更新方式，公式(4)表示惡意攻擊代碼位置的更新方式[12]。其中s=1，2，...，j、l=1，2，...，p，p為攻擊代碼數(shù)量。δ表示攻擊代碼飛行過程中的慣性系數(shù)，當(dāng)δ越大時(shí)表示攻擊代碼的運(yùn)行速度就越大，產(chǎn)生的破壞能力就越強(qiáng)，反之當(dāng)δ值越小說明其搜索能力越弱，并且δ可以為定值也可以為變值。系數(shù)β1和β2表示攻擊代碼的學(xué)習(xí)因子，學(xué)習(xí)因子描述代碼對(duì)整個(gè)攻擊過程的認(rèn)知程度，在β1取值較小時(shí)，即β1≤0.1，代碼會(huì)偏移向攻擊區(qū)域，β2較大時(shí)，即β2≥1.0，代碼可以迅速到達(dá)指定目標(biāo)區(qū)域。rand(a)表示隨機(jī)函數(shù)，a表示(0，1)之間的數(shù)值[13]。kls(a)表示攻擊代碼目前的位置。kls(a-1)表示歷史攻擊中尋找到的最優(yōu)位置。hls(a)表示惡意攻擊代碼目前的攻擊速度。

至此完成歸一化處理通信網(wǎng)絡(luò)惡意攻擊行為特征，確定了通信網(wǎng)絡(luò)惡意攻擊行為的攻擊速度和位置。但是在多個(gè)變量的影響下攻擊代碼會(huì)逐漸靠近正常節(jié)點(diǎn)，此時(shí)，需要采用適用度函數(shù)計(jì)算其最優(yōu)解，預(yù)先判斷其最佳攻擊位置。

3 粒子群優(yōu)化算法尋找惡意攻擊代碼更新最優(yōu)解

在第2章節(jié)通過歸一化處理通信網(wǎng)絡(luò)惡攻擊意行為特征，獲取高質(zhì)量特征數(shù)據(jù)后，引入粒子群優(yōu)化算法(PSO)，尋找惡意代碼更新最優(yōu)解。在獲取攻擊節(jié)點(diǎn)與正常節(jié)點(diǎn)距離關(guān)系的基礎(chǔ)上，分類不同攻擊行為，由攻擊行為組成的特征集合遠(yuǎn)離正常特征集合，通過不同的特征類型區(qū)分攻擊行為和正常行為[14]。劃分通信網(wǎng)絡(luò)中的若干組行為為i個(gè)類型，各組類型中的特征相似度較高，而不同類特征之間的相似度較低。隨機(jī)將i個(gè)類型作為初始中心，分別計(jì)算剩余類與設(shè)定中心的距離，將距離較近的類規(guī)劃為一個(gè)族群，并重新計(jì)算初始中心，在不斷地收斂過程中以均方誤差作為標(biāo)準(zhǔn)函數(shù)，獲取最佳的中心搜索位置：

(5)

(6)

公式中：fit為粒子群優(yōu)化算法適用度函數(shù)[17]。當(dāng)mse，mse′值越小時(shí)表示攻擊代碼粒子的適用度值越大，則其尋找到的粒子位置就越容易攻擊正常節(jié)點(diǎn)，即可將其確定為攻擊代碼的優(yōu)先選擇的位置，否則當(dāng)適用度值越小，則表示該粒子位置比攻擊代碼經(jīng)過的所有位置都不適合攻擊，即該粒子當(dāng)前位置為安全位置，代碼重新選擇位置進(jìn)行攻擊，因此，可以通過計(jì)算惡意攻擊代碼的適用度值來確定其攻擊的最佳粒子位置，獲得最優(yōu)解。具體最優(yōu)解尋找過程如圖2所示。

圖2 粒子群優(yōu)化算法的最優(yōu)解尋找過程示意圖

根據(jù)圖2內(nèi)容所示，將粒子群優(yōu)化算法與攻擊原理相結(jié)合，通過該算法中的適用度函數(shù)能夠判斷惡意攻擊代碼的粒子個(gè)體極值與全局極值，并且隨著適用度函數(shù)的不斷變化，粒子的兩個(gè)極值會(huì)進(jìn)行更新，最后得到的粒子最優(yōu)解即為惡意代碼確定的攻擊位置[18]。以惡意攻擊代碼的適應(yīng)度數(shù)值判斷攻擊粒子的位置，能夠有效區(qū)分正常行為代碼粒子位置和惡意攻擊代碼粒子位置，

(7)

(8)

以公式(7)和公式(8)獲取的惡意攻擊代碼粒子的攻擊速度和粒子位置為基礎(chǔ)，構(gòu)建惡意攻擊代碼特征集，即最終的最優(yōu)解，公式為：

(9)

至此實(shí)現(xiàn)惡意攻擊代碼更新最優(yōu)解獲取，為檢測(cè)惡意攻擊代碼奠定基礎(chǔ)。

4 基于PSO-KM聚類分析檢測(cè)惡意攻擊代碼

上述完成了PSO算法尋找惡意攻擊代碼更新最優(yōu)解，但是此時(shí)判斷出的惡意攻擊代碼粒子位置和速度仍存在一定的誤差，直接應(yīng)用的話，無法達(dá)到最佳效果，因此，為了進(jìn)一步提高惡意攻擊代碼檢測(cè)的準(zhǔn)確性，在上述PSO算法尋找惡意攻擊代碼更新最優(yōu)解的基礎(chǔ)上，引入KM聚類分析，檢測(cè)惡意攻擊代碼。在檢測(cè)過程中，外在網(wǎng)絡(luò)行為特征提取是檢測(cè)重點(diǎn)，將上文劃分的網(wǎng)絡(luò)通信協(xié)議層存在的攻擊代碼按照4種形式進(jìn)行劃分，劃分后的惡意攻擊代碼可以表示為活躍代碼、故障代碼、掃描代碼以及頁面代碼。通過4種網(wǎng)絡(luò)代碼特征對(duì)惡意代碼進(jìn)行聚類分析，將其作為檢測(cè)前提記錄原始數(shù)據(jù)層的網(wǎng)絡(luò)數(shù)據(jù)流[19]。

由于網(wǎng)絡(luò)數(shù)據(jù)流具有粒度特性，在記錄和存儲(chǔ)通信數(shù)據(jù)時(shí)，其操作包含傳輸時(shí)間、IP源地址、IP目的地址、IP端口和故障信號(hào)這5個(gè)屬性。不同數(shù)據(jù)處理過程中均可以確定IP地址的分類情況，將局域網(wǎng)的IP地址定義為審計(jì)地址，對(duì)可疑的外網(wǎng)位置定義為檢測(cè)地址。以連接信號(hào)確定地址的所屬關(guān)系類型，如下：

(10)

式中，φ表示孤立判斷閾值。wanIPfail表示不活躍的外網(wǎng)IP地址[20]。wanIPact表示活躍的外網(wǎng)IP地址。wanIP表示所有可疑的外網(wǎng)IP地址。根據(jù)網(wǎng)絡(luò)行為特性類型設(shè)定特征提取模塊，分別為數(shù)據(jù)獲取模塊和網(wǎng)絡(luò)行為特征提取模塊，對(duì)IP地址是否為攻擊源頭進(jìn)行判斷。

(11)

(12)

式中，Y表示特征集合中的數(shù)據(jù)的中位數(shù)[21]。上式(8)表示W(wǎng)為奇數(shù)時(shí)的排序方式，否則通過公式(9)計(jì)算。在聚類中心的排序?yàn)閨R1|<|R2|<|R3|<，...，<|RT|情況下，設(shè)定惡意代碼慣性系數(shù)的動(dòng)態(tài)權(quán)重，平衡惡意代碼的全局檢測(cè)：

(13)

式中，慣性系數(shù)的動(dòng)態(tài)權(quán)重上下限分別為δmax和δmin。U表示孤立點(diǎn)樣本。Umax表示樣本最大值。基于此對(duì)IP地址中的惡意代碼網(wǎng)絡(luò)行為特征進(jìn)行跟蹤，結(jié)合PSO算法尋找惡意攻擊代碼更新最優(yōu)解，實(shí)現(xiàn)惡意代碼最終位置I的檢測(cè)：

(14)

式中，HTG表示第T條流量中第G個(gè)網(wǎng)絡(luò)行為的特征集合。RT為第T個(gè)聚類中心。DIS(RT，HTG)表示數(shù)據(jù)矢量HTG和RT之間的距離。FT為單個(gè)數(shù)據(jù)集合數(shù)目。A為集群的數(shù)目。γ為轉(zhuǎn)換系數(shù)。FC為單個(gè)惡意攻擊代碼數(shù)據(jù)集合數(shù)目。RC為第C個(gè)聚類中心。根據(jù)聚類結(jié)果區(qū)分惡意攻擊代碼和正常數(shù)據(jù)，即檢測(cè)出惡意攻擊代碼。至此，基于PSO-KM聚類分析方法實(shí)現(xiàn)通信網(wǎng)絡(luò)惡意攻擊代碼檢測(cè)方法設(shè)計(jì)。該方法為了確保檢測(cè)數(shù)據(jù)準(zhǔn)確性，確定了通信網(wǎng)絡(luò)流動(dòng)軌跡中惡意攻擊行為特征，并且歸一化處理通信網(wǎng)絡(luò)惡意攻擊行為特征，在此基礎(chǔ)上，引入了PSO算法，通過該算法尋找惡意攻擊代碼更新最優(yōu)解，為了提高檢測(cè)準(zhǔn)確性和效率，再次引入了KM聚類分析算法，通過KM聚類優(yōu)化PSO算法，構(gòu)建了PSO-KM聚類分析方法的惡意攻擊代碼檢測(cè)方法。該方法具備了多個(gè)算法的優(yōu)點(diǎn)，有效提高了檢測(cè)準(zhǔn)確性，降低檢測(cè)誤報(bào)率。

5 實(shí)驗(yàn)測(cè)試分析

5.1 實(shí)驗(yàn)方案

為了驗(yàn)證設(shè)計(jì)方法的有效性和應(yīng)用性能，設(shè)計(jì)對(duì)比分析實(shí)驗(yàn)。考慮實(shí)驗(yàn)的有效性，設(shè)計(jì)實(shí)驗(yàn)方案，具體方案如下所示：

1)選擇惡意攻擊數(shù)據(jù)。明確研究對(duì)象，即惡意代碼攻擊樣本集，并且給出訓(xùn)練集合和測(cè)試集合分類信息；

2)實(shí)驗(yàn)參數(shù)設(shè)置。實(shí)驗(yàn)參數(shù)的不同有可能影響實(shí)驗(yàn)結(jié)果，因此，為了避免實(shí)驗(yàn)參數(shù)的影響，提前設(shè)置設(shè)計(jì)方法的實(shí)驗(yàn)參數(shù)具體數(shù)值；

3)實(shí)驗(yàn)性能指標(biāo)。驗(yàn)證設(shè)計(jì)方法的性能，需要具體的實(shí)驗(yàn)性能指標(biāo)，通過具體指標(biāo)反映方法的性能，該實(shí)驗(yàn)以惡意代碼檢測(cè)個(gè)數(shù)統(tǒng)計(jì)結(jié)果和檢測(cè)效果為性能指標(biāo)，其中，檢測(cè)效果分為識(shí)別率和誤報(bào)率，并且給出具體計(jì)算公式；

4)分析惡意代碼檢測(cè)結(jié)果。通過上述指標(biāo)，以擇基于遺傳算法的檢測(cè)方法、基于灰狼算法的檢測(cè)方法以及基于規(guī)則庫(kù)的檢測(cè)方法作為對(duì)照組，與本文方法進(jìn)行對(duì)比分析。

按照上述設(shè)計(jì)的實(shí)驗(yàn)方案開展實(shí)驗(yàn)。

5.2 選擇惡意攻擊數(shù)據(jù)

上文中通過PSO-KM聚類分析方法設(shè)計(jì)了一個(gè)新的檢測(cè)方法，為驗(yàn)證該方法能夠完成通信網(wǎng)絡(luò)惡意攻擊代碼的有效檢測(cè)，采用對(duì)比測(cè)試方法進(jìn)行論證。分別選擇基于遺傳算法的檢測(cè)方法、基于灰狼算法的檢測(cè)方法以及基于規(guī)則庫(kù)的檢測(cè)方法作為對(duì)照組，分別與本文方法進(jìn)行比較，在不同類型的數(shù)據(jù)包樣本中完成測(cè)試。

為保證測(cè)試的準(zhǔn)確性和真實(shí)性，以通信網(wǎng)絡(luò)中實(shí)時(shí)采集的數(shù)據(jù)作為測(cè)試樣本，選擇20 000組正常數(shù)據(jù)作為請(qǐng)求集合，43 008組數(shù)據(jù)作為攻擊樣本請(qǐng)求集合，對(duì)43 008條攻擊樣本訓(xùn)練集中的代碼進(jìn)行統(tǒng)計(jì)，惡意攻擊代碼具體情況如表2所示。

表2 惡意代碼攻擊樣本集合

根據(jù)表2內(nèi)容所示，不同類型惡意攻擊代碼的數(shù)量有所不同，對(duì)惡意攻擊樣本集合中的攻擊代碼進(jìn)行分詞，提取關(guān)鍵的攻擊代碼構(gòu)建詞組集合，并將其放置在ACUNETIX-VULNERABILITY-SCANNER漏洞掃描器進(jìn)行跟蹤，建立一個(gè)純度較高的訓(xùn)練樣本集合。通過SKLEARN.

CROSS-VALIDATION模塊隨機(jī)選擇10 000組樣本分類樣本集合(14類惡意攻擊代碼)，訓(xùn)練集合和測(cè)試集合的隨機(jī)分類情況如下：

1)A1分類：70%的訓(xùn)練樣本集合，30%的測(cè)試樣本集合。

2)A2分類：90%的訓(xùn)練樣本集合，10%的測(cè)試樣本集合。

3)A3分類：10%的訓(xùn)練樣本集合，90%的測(cè)試樣本集合。

4)A4分類：30%的訓(xùn)練樣本集合，70%的測(cè)試樣本集合。

將上述分類完畢的樣本集合導(dǎo)入至Matlab測(cè)試平臺(tái)中，分別連接選擇的四組檢測(cè)方法，按照兩個(gè)階段完成測(cè)試：第一階段驗(yàn)證不同方法的識(shí)別量，即每組檢測(cè)方法在對(duì)惡意代碼攻擊檢測(cè)時(shí)識(shí)別出的具體數(shù)量，一般情況下認(rèn)定能夠在較少識(shí)別個(gè)數(shù)下完成惡意攻擊代碼識(shí)別，則表明該檢測(cè)方法的檢測(cè)效率高。并統(tǒng)計(jì)檢測(cè)方法未識(shí)別出的惡意代碼數(shù)量，其未識(shí)別的惡意代碼數(shù)量越少，則說明檢測(cè)方法更加有效。第二階段驗(yàn)證不同方法的識(shí)別率和誤報(bào)率，即對(duì)所有識(shí)別出來的代碼進(jìn)行對(duì)照，驗(yàn)證在所有識(shí)別出來的代碼中，是否為真正的攻擊代碼，當(dāng)識(shí)別率越高說明檢測(cè)方法的準(zhǔn)確率就越高，誤報(bào)率越低也能夠說明檢測(cè)方法的準(zhǔn)確性越好。按照不同的測(cè)試階段完成檢測(cè)，驗(yàn)證不同方法的有效性。

5.3 實(shí)驗(yàn)參數(shù)設(shè)置

實(shí)驗(yàn)參數(shù)的設(shè)置在實(shí)驗(yàn)中占據(jù)重要位置，這是因?yàn)閷?shí)驗(yàn)參數(shù)數(shù)據(jù)可能影響實(shí)驗(yàn)結(jié)果，導(dǎo)致實(shí)驗(yàn)分析不準(zhǔn)確，因此，為了避免影響，設(shè)置準(zhǔn)確的實(shí)驗(yàn)參數(shù)，具體如表3所示。

表3 實(shí)驗(yàn)參數(shù)

按照上述數(shù)據(jù)設(shè)置實(shí)驗(yàn)過程的參數(shù)。

5.4 實(shí)驗(yàn)性能指標(biāo)

實(shí)驗(yàn)過程選擇惡意代碼檢測(cè)個(gè)數(shù)統(tǒng)計(jì)結(jié)果和檢測(cè)效果作為具體的實(shí)驗(yàn)性能指標(biāo)，其中惡意代碼檢測(cè)個(gè)數(shù)統(tǒng)計(jì)結(jié)果按照不同的分類情況對(duì)各組檢測(cè)方法下識(shí)別的惡意代碼個(gè)數(shù)和未識(shí)別的代碼個(gè)數(shù)進(jìn)行統(tǒng)計(jì)，對(duì)比分析不同方法的識(shí)別個(gè)數(shù)與未識(shí)別個(gè)數(shù)，該指標(biāo)通過計(jì)算機(jī)自帶軟禁直接統(tǒng)計(jì)。檢測(cè)效果分為識(shí)別率和誤報(bào)率，計(jì)算公式為：

1)識(shí)別率：

(15)

式中，q表示識(shí)別率；w表示正確識(shí)別的代碼數(shù)量；e為惡意攻擊代碼的總計(jì)數(shù)量。

2)誤報(bào)率：

(16)

式中，r表示誤報(bào)率；t表示將正常數(shù)據(jù)判斷為惡意攻擊代碼的數(shù)量。

上述實(shí)驗(yàn)指標(biāo)中，惡意代碼檢測(cè)個(gè)數(shù)統(tǒng)計(jì)結(jié)果的惡意代碼個(gè)數(shù)和檢測(cè)效果的識(shí)別率越高，則說明檢測(cè)方法的性能越好，惡意代碼檢測(cè)個(gè)數(shù)統(tǒng)計(jì)結(jié)果的未識(shí)別個(gè)數(shù)和檢測(cè)效果的誤報(bào)率越低，則說明檢測(cè)方法的應(yīng)用效果越佳。

5.5 分析惡意代碼檢測(cè)結(jié)果

根據(jù)上文中設(shè)定的內(nèi)容，按照不同的分類情況對(duì)各組檢測(cè)方法下識(shí)別的惡意代碼個(gè)數(shù)和未識(shí)別的代碼個(gè)數(shù)進(jìn)行統(tǒng)計(jì)，如圖3所示。

圖3 惡意代碼檢測(cè)個(gè)數(shù)統(tǒng)計(jì)結(jié)果

根據(jù)表中內(nèi)容所示應(yīng)用不同的檢測(cè)方法后，對(duì)惡意代碼的識(shí)別結(jié)果各不相同，其中本文方法只需要較少的時(shí)間就可以完成較多惡意攻擊代碼的識(shí)別，在5中分類中，基本在30 s內(nèi)完成惡意攻擊代碼檢查，并且識(shí)別的總惡意攻擊代碼數(shù)量最多，其中A2分類下，惡意攻擊代碼檢測(cè)數(shù)量基本達(dá)到了1 000個(gè)，其他分類下，檢測(cè)出來的數(shù)量與實(shí)際數(shù)量基本一致。而對(duì)比另外3種方法可知，其他方法均與實(shí)際需要識(shí)別的惡意攻擊代碼數(shù)量差距較大，僅本文方法的識(shí)別數(shù)量與實(shí)際數(shù)量趨近，甚至全部識(shí)別出所有惡意攻擊代碼，3種方法的識(shí)別時(shí)間大概在60 s左右，60 s以后識(shí)別出的惡意攻擊代碼數(shù)量基本不在增加。綜合比較下，本文方法的效率更佳，并且識(shí)別惡意攻擊代碼的數(shù)量最多。

在此基礎(chǔ)上，分析各組檢測(cè)方法的惡意代碼識(shí)別率和誤報(bào)率。以圖3中給出的識(shí)別個(gè)數(shù)計(jì)算各組方法的識(shí)別率和誤報(bào)率，結(jié)果如圖4所示。

圖4 不同方法下檢測(cè)效果

根據(jù)圖4內(nèi)容所示，僅本文方法的識(shí)別率在95.0%以上，且識(shí)別率最高值接近99.7%，而檢測(cè)的誤報(bào)率可以控制在0.4%之內(nèi)，并且綜合圖3中的識(shí)別數(shù)量，說明本文方法更具有泛化能力，能夠在較少的識(shí)別數(shù)據(jù)量中完成惡意代碼的檢測(cè)，具有較高精確度?；谝?guī)則庫(kù)檢測(cè)方法和基于遺傳算法檢測(cè)方法包含有非攻擊代碼，兩者的誤報(bào)率較大，均在20%以上，并且最高識(shí)別率僅為80.0%，基于灰狼算法檢測(cè)方法由于識(shí)別的個(gè)數(shù)較多，在進(jìn)行樣本訓(xùn)練和獲取中概率值范圍變寬，則誤報(bào)率也較低，但與本文方法相比仍存在一定差距，其識(shí)別率最高僅為88.2%，并且誤報(bào)率最低為12.7%。對(duì)比4種方法，本文方法的識(shí)別率提高了6.0%以上，并且誤報(bào)率降低了10.0%以上，由此可知，本文方法有效提高了惡意攻擊代碼的識(shí)率，降低了誤報(bào)率，從而提高了應(yīng)用性能。

綜合結(jié)果可知：本文方法能夠?qū)阂夤舸a進(jìn)行特征分析，將同屬于某個(gè)類型的惡意攻擊代碼進(jìn)行識(shí)別和分類。在對(duì)安全測(cè)試中的惡意攻擊代碼進(jìn)行關(guān)聯(lián)分析后獲取特征集合，加強(qiáng)了惡意代碼的特征描述，提高了惡意攻擊行為檢測(cè)的識(shí)別率，降低了惡意攻擊行為代碼的誤報(bào)率，從而保證了檢測(cè)效果，具有應(yīng)用價(jià)值，應(yīng)用價(jià)值主要體現(xiàn)在電力通信網(wǎng)絡(luò)、航海導(dǎo)航、廣播電視等領(lǐng)域。

6 結(jié)束語

為了提高通信網(wǎng)絡(luò)的惡意代碼檢測(cè)效果，并且考慮PSO-KM聚類分析的優(yōu)異性和適用性，本文引入了PSO-KM聚類分析，設(shè)計(jì)了一種新的通信網(wǎng)絡(luò)惡意攻擊代碼檢測(cè)方法。該方法在引入PSO-KM聚類分析前，為了提高檢測(cè)準(zhǔn)確性，確定了通信網(wǎng)絡(luò)流動(dòng)軌跡中惡意攻擊行為特征，歸一化處理通信網(wǎng)絡(luò)惡意行為特征，并且通過適應(yīng)度函數(shù)尋找攻擊代碼更新最優(yōu)解，結(jié)合PSO-KM聚類分析實(shí)現(xiàn)惡意代碼檢測(cè)。同時(shí)，在實(shí)驗(yàn)論證的基礎(chǔ)上檢驗(yàn)了新方法應(yīng)用的效果，具有高度準(zhǔn)確性和較低的誤報(bào)率，其中識(shí)別率達(dá)到了95.0%以上，誤報(bào)率最高值僅為0.4%，與對(duì)比方法相比，本文方法的識(shí)別率提高了6.0%以上，誤報(bào)率降低了10.0%以上，該方法有效提高了識(shí)別率和降低了誤報(bào)率。但由于本文研究時(shí)間有限，在測(cè)試過程中仍存在少許不足之處，主要是惡意代碼的特征數(shù)量選取有限，對(duì)比測(cè)試中的數(shù)據(jù)準(zhǔn)備不夠充足，后續(xù)研究中會(huì)設(shè)定更多的惡意代碼，為檢測(cè)方法的全面性應(yīng)用提供理論支持。