周明升1,2，韓冬梅1

　?。?. 上海財(cái)經(jīng)大學(xué) 信息管理與工程學(xué)院，上海 200433； 2. 上海外高橋保稅區(qū)聯(lián)合發(fā)展有限公司，上海 200131）

　　摘要：傳統(tǒng)網(wǎng)絡(luò)攻擊檢測(cè)方法中，通常使用混沌系統(tǒng)結(jié)合高斯混合模型實(shí)現(xiàn)同步控制檢測(cè)，當(dāng)待檢測(cè)的攻擊信號(hào)具有高斯線(xiàn)性特征時(shí)，這種方法的檢測(cè)效果理想。隨著網(wǎng)絡(luò)攻擊信號(hào)向著非線(xiàn)性隨機(jī)序列方向發(fā)展，傳統(tǒng)檢測(cè)模型無(wú)法實(shí)現(xiàn)有效的攻擊檢測(cè)。提出一種基于Rossle混沌模型的平均互信息特征潛質(zhì)挖掘算法，并根據(jù)挖掘的互信息這種非線(xiàn)性特征解，實(shí)現(xiàn)對(duì)具有非線(xiàn)性隨機(jī)特性的網(wǎng)絡(luò)攻擊信號(hào)有效檢測(cè)。根據(jù)Rossle混沌系統(tǒng)基礎(chǔ)模型，采用最小均方誤差準(zhǔn)則，設(shè)計(jì)一個(gè)能去除多個(gè)已知干擾頻率成分的自適應(yīng)級(jí)聯(lián)陷波器，實(shí)現(xiàn)對(duì)攻擊信號(hào)的濾波預(yù)處理，提取待檢測(cè)網(wǎng)絡(luò)數(shù)據(jù)流的Rossle混沌非線(xiàn)性互信息特征，實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)攻擊信號(hào)的特征挖掘和檢測(cè)。仿真實(shí)驗(yàn)表明，采用該算法進(jìn)行網(wǎng)絡(luò)攻擊檢測(cè)，檢測(cè)性能明顯提高，檢測(cè)概率達(dá)到97.8%，展示了算法優(yōu)越的檢測(cè)性能和網(wǎng)絡(luò)安全防御價(jià)值。

　　關(guān)鍵詞：混沌；互信息特征；攻擊檢測(cè)；數(shù)據(jù)挖掘

0引言

　　隨著計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)的發(fā)展和普及，Internet成為人類(lèi)交流和生產(chǎn)生活的主要工具，各種信息通過(guò)網(wǎng)絡(luò)傳輸和共享，給人們帶來(lái)便利的同時(shí)也帶來(lái)網(wǎng)絡(luò)安全難題［1］，如何有效檢測(cè)攻擊成為研究熱點(diǎn)。傳統(tǒng)攻擊檢測(cè)通常是基于知識(shí)的行為異常檢測(cè)：建立攻擊模式數(shù)據(jù)庫(kù)進(jìn)行檢測(cè)，當(dāng)檢測(cè)到的信號(hào)或用戶(hù)行為與數(shù)據(jù)庫(kù)記載的具有匹配相關(guān)性時(shí)，則認(rèn)為是攻擊的，否則認(rèn)為是合法的。這種方法的優(yōu)點(diǎn)是易于實(shí)現(xiàn)和準(zhǔn)確率高［2］，缺點(diǎn)是開(kāi)放性不強(qiáng)，不能檢測(cè)數(shù)據(jù)庫(kù)之外類(lèi)別的新的攻擊信息，其有效性嚴(yán)重依賴(lài)于專(zhuān)家特征數(shù)據(jù)庫(kù)的更新，現(xiàn)實(shí)中這種更新往往是滯后的 ［3］。在傳統(tǒng)網(wǎng)絡(luò)攻擊檢測(cè)方法中，使用混沌系統(tǒng)結(jié)合高斯混合模型實(shí)現(xiàn)同步控制檢測(cè)，隨著網(wǎng)絡(luò)攻擊信號(hào)向著非線(xiàn)性隨機(jī)序列方向發(fā)展，傳統(tǒng)檢測(cè)模型無(wú)法實(shí)現(xiàn)有效攻擊檢測(cè)［45］。

　　針對(duì)上述問(wèn)題，本文提出一種基于Rossle混沌模型的互信息特征潛質(zhì)挖掘算法，仿真實(shí)驗(yàn)驗(yàn)證了該檢測(cè)算法在隱蔽網(wǎng)絡(luò)攻擊檢測(cè)中的優(yōu)越檢測(cè)性能，能在很低的信噪比下實(shí)現(xiàn)對(duì)微弱攻擊信號(hào)的快速準(zhǔn)確檢測(cè)，保證網(wǎng)絡(luò)安全。

1Rossle網(wǎng)絡(luò)攻擊信號(hào)混沌系統(tǒng)模型

　　1.1混沌模型構(gòu)建

　　在傳統(tǒng)網(wǎng)絡(luò)攻擊信號(hào)檢測(cè)領(lǐng)域，假設(shè)信號(hào)的時(shí)間序列是線(xiàn)性或高斯性的［6］，這種假設(shè)有利于信號(hào)處理工作的開(kāi)展，但現(xiàn)實(shí)中網(wǎng)絡(luò)攻擊信號(hào)的時(shí)間序列都或多或少具有一定的非線(xiàn)性特征，學(xué)者們通過(guò)非線(xiàn)性時(shí)間序列和混沌分析方法［710］，有效地發(fā)現(xiàn)采集信號(hào)的本質(zhì)特征。有學(xué)者針對(duì)某類(lèi)攻擊設(shè)計(jì)預(yù)防方法［11］。本文從主動(dòng)檢測(cè)出發(fā)，采用非線(xiàn)性時(shí)間序列分析進(jìn)行信號(hào)檢測(cè)，構(gòu)建Rossle網(wǎng)絡(luò)攻擊信號(hào)混沌系統(tǒng)模型。Rossle混沌系統(tǒng)是一個(gè)三維連續(xù)的典型自治系統(tǒng)，其數(shù)學(xué)模型表達(dá)式為：

　　上述Rossle混沌系統(tǒng)中，取參數(shù)σ=30，r=28，b=2.5，采用四階RungeKutta法解方程式，迭代10 000次。對(duì)混沌序列的研究，首先需要進(jìn)行相空間重構(gòu)，采用C-C算法得到相空間重構(gòu)的最佳延遲時(shí)間和最小嵌入維數(shù)，實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)狀態(tài)特征集在混沌系統(tǒng)中的相空間重構(gòu)，假設(shè)給定的一個(gè)二進(jìn)制網(wǎng)絡(luò)入侵狀態(tài)特征向量集合表示為：

　　F={f1,f2,…,fn}(2)

　　把上述網(wǎng)絡(luò)入侵特征狀態(tài)向量嵌入Rossle混沌系統(tǒng)中，構(gòu)建網(wǎng)絡(luò)入侵特征目標(biāo)函數(shù)，表示為：

　　θ1(k+1)=θ1(k)－μRe［y(k)φ*(k)］(3)

　　上式中，θ1(k)表示初始狀態(tài)向量，θ1(k+1)表示二次迭代網(wǎng)絡(luò)狀態(tài)向量，μ為相空間混沌序列重構(gòu)收縮系數(shù)。

　　通過(guò)目標(biāo)函數(shù)構(gòu)建，得到在Rossle混沌系統(tǒng)中的采用C-C算法得到的時(shí)延參數(shù)變化曲線(xiàn)如圖1所示，得到最佳時(shí)延參數(shù)為20，這為進(jìn)一步構(gòu)建網(wǎng)絡(luò)狀態(tài)特征空間奠定了數(shù)據(jù)基礎(chǔ)。

　　1.2網(wǎng)絡(luò)攻擊信號(hào)的濾波預(yù)處理

　　在Rossle混沌系統(tǒng)基礎(chǔ)模型基礎(chǔ)上，采用最小均方誤差準(zhǔn)則，設(shè)計(jì)一個(gè)能去除多個(gè)已知干擾頻率成分的自適應(yīng)級(jí)聯(lián)陷波器，實(shí)現(xiàn)對(duì)攻擊信號(hào)的濾波預(yù)處理，算法實(shí)現(xiàn)描述如下。

　　在Rossle混沌系統(tǒng)中，介入網(wǎng)絡(luò)攻擊信號(hào)，攻擊模型為一個(gè)非線(xiàn)性時(shí)間序列，表示為：

　　上式是對(duì)網(wǎng)絡(luò)攻擊非線(xiàn)性信號(hào)進(jìn)行一階自回歸模型分析的結(jié)果，得到級(jí)聯(lián)濾波傳輸函數(shù)為：

　　φ(z)=F(z)F(z－1)σ2n(5)

　　采用最小均方誤差準(zhǔn)則，輸入的網(wǎng)絡(luò)攻擊信號(hào)n(k)的實(shí)部nr(k)和虛部ni(k)分別為獨(dú)立的白噪聲，且均值均為零，方差為σ2n，在保證均方誤差收斂概率最小的前提下，網(wǎng)絡(luò)攻擊信號(hào)的攻擊過(guò)程進(jìn)行Rossle混沌系統(tǒng)參數(shù)迭代的平均長(zhǎng)度需要滿(mǎn)足：

　　ReE［n1(k)n*2(k)］=0(6)

　　基于上述最小均方誤差準(zhǔn)則，設(shè)計(jì)一個(gè)能去除多個(gè)已知干擾頻率成份的自適應(yīng)級(jí)聯(lián)陷波器，設(shè)計(jì)框圖如圖2所示。

　　在Rossle混沌系統(tǒng)模型下，引入簡(jiǎn)化的梯度算法，得到網(wǎng)絡(luò)攻擊模型輸出響應(yīng)函數(shù)的收斂曲線(xiàn)如圖3所示。

2攻擊檢測(cè)算法

　　2.1平均互信息特征挖掘算法的引入

　　在上述模型構(gòu)建和信號(hào)預(yù)處理基礎(chǔ)上，提取攻擊信號(hào)的Rossle混沌系統(tǒng)模型下的平均互信息攻擊特征，實(shí)現(xiàn)信號(hào)檢測(cè)，算法實(shí)現(xiàn)描述如下。

　　使用高斯混合模型對(duì)合法的網(wǎng)絡(luò)數(shù)據(jù)進(jìn)行建模，得到3個(gè)估計(jì)參量。對(duì)監(jiān)測(cè)到的數(shù)據(jù)參量進(jìn)行估計(jì)，以觀(guān)測(cè)是否為網(wǎng)絡(luò)攻擊，截取一段時(shí)間的數(shù)據(jù)進(jìn)行研究分析。如果沒(méi)有攻擊信號(hào)，則Rossle混沌系統(tǒng)可以準(zhǔn)確計(jì)算出高斯混合模型的參數(shù)值。若含有偽裝攻擊數(shù)據(jù)，估計(jì)出的參數(shù)與正常估計(jì)得到的參數(shù)會(huì)有較大差異。均值特征向量μ能明顯反應(yīng)出高偽裝攻擊數(shù)據(jù)的特征，選擇μ作為特征量，為同步控制量引入混沌系統(tǒng)中進(jìn)行攻擊特征檢測(cè)。

　　設(shè)Z=(U,V)是由監(jiān)測(cè)到的網(wǎng)絡(luò)信息數(shù)據(jù)U和未監(jiān)測(cè)到的數(shù)據(jù)V組成的集合。Z被稱(chēng)為完整數(shù)據(jù)，U被稱(chēng)為不完整數(shù)據(jù)，Z的聯(lián)合概率密度函數(shù)定義為：p(U,V|Θ)，其中Θ為被估計(jì)的參量集合，通過(guò)求解不完整數(shù)據(jù)的對(duì)數(shù)似然函數(shù)L(Θ|U)的最大值來(lái)得到Θ的最大似然估計(jì)。

　　模型1：網(wǎng)絡(luò)攻擊表現(xiàn)為連續(xù)隨機(jī)

　　p(U,V|Θ)L(Θ|U)=logp(U|Θ)

　　=∫Vlogp(U,V|Θ)dV(7)

　　通過(guò)E步和M步迭代，得到最大完整數(shù)據(jù)的平均互信息函數(shù)Lc(Θ|Z)的期望值，實(shí)現(xiàn)對(duì)缺失數(shù)據(jù)的對(duì)數(shù)似然函數(shù)L(Θ|Z)的最大化，其中：

　　Lc(Θ|Z)=logp(U,V|Θ)(8)

　　在迭代計(jì)算中，第t次迭代計(jì)算后Θ得到的估計(jì)值計(jì)為Θ(t)，在t+1次迭代中，使用E步迭代計(jì)算得到完整數(shù)據(jù)的平均互信息函數(shù)的期望值為：

　　Q(Θ|Θ(t))=E{Lc(Θ|Z)|U;Θ(t)}(9)

　　經(jīng)過(guò)M步迭代，采用多個(gè)網(wǎng)絡(luò)攻擊模型自適應(yīng)級(jí)聯(lián)陷波器，去除已知干擾頻率成分，最后通過(guò)最大化函數(shù)來(lái)獲得新的Θ(t+1)。

　　模型2：網(wǎng)絡(luò)攻擊表現(xiàn)為離散隨機(jī)

　　假設(shè)網(wǎng)絡(luò)攻擊行為的分布函數(shù)為［δ1,δ2,…,δN］，為離散函數(shù)，其中，δi=p(V=i)。由于

　　δk=G(V=k|Ui)(10)

　　其中Ui表示由第k個(gè)多維的正態(tài)分布得到的概率。經(jīng)過(guò)第t次的迭代后，δk變成了δik(t)：

　　δik(t)=G(V=k|Ui,Θ(t))(11)

　　第t+1次估計(jì)，求解網(wǎng)絡(luò)攻擊模型Rossle混沌系統(tǒng)的全局平均互信息特征向量，迭代求解過(guò)程為：

　　上式中，Ui為網(wǎng)絡(luò)特征子集，μk為慣性權(quán)重，δik(t)為混沌相空間空間維數(shù)，N為迭代步數(shù)。通過(guò)上述迭代，實(shí)現(xiàn)對(duì)平均互信息特征潛質(zhì)挖掘。

　　2.2基于平均互信息特征挖掘算法的攻擊檢測(cè)算法

　　通過(guò)連續(xù)型和離散型網(wǎng)絡(luò)攻擊行為的平均互信息特征計(jì)算，實(shí)現(xiàn)對(duì)基于Rossle混沌模型的非線(xiàn)性網(wǎng)絡(luò)攻擊混沌特征挖掘，根據(jù)挖掘的互信息這種非線(xiàn)性特征解，實(shí)現(xiàn)對(duì)具有非線(xiàn)性隨機(jī)特性的網(wǎng)絡(luò)攻擊信號(hào)有效檢測(cè)，過(guò)程如下。

　　采用一個(gè)二階級(jí)聯(lián)陷波器從復(fù)雜的網(wǎng)絡(luò)背景環(huán)境中提取一組網(wǎng)絡(luò)信號(hào)，根據(jù)Rossle混沌系統(tǒng)基礎(chǔ)模型，采用最小均方誤差準(zhǔn)則設(shè)計(jì)一個(gè)能去除多個(gè)已知干擾頻率成分的自適應(yīng)級(jí)聯(lián)陷波器，進(jìn)行預(yù)處理，得到輸出信號(hào)結(jié)果為：

　　其中，n(k)為背景合法網(wǎng)絡(luò)信號(hào)的干擾，Ai為級(jí)聯(lián)系數(shù)，設(shè)定其門(mén)限值為αFA,它可以根據(jù)網(wǎng)絡(luò)數(shù)據(jù)和信息流的實(shí)際情況確定。信息數(shù)據(jù)信號(hào)經(jīng)過(guò)上述方法得到混沌平均互信息特征，經(jīng)過(guò)混沌同步處理得到輸出的數(shù)據(jù)信號(hào)與門(mén)限αFA進(jìn)行比較。

　　如果：

　　則判決為監(jiān)測(cè)信號(hào)為攻擊信號(hào)；否則，為合法信號(hào)。從而實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)信號(hào)攻擊檢測(cè)。

3仿真結(jié)果與分析

　　為了驗(yàn)證本文提出的網(wǎng)絡(luò)攻擊檢測(cè)算法的有效性，采用實(shí)際網(wǎng)絡(luò)信號(hào)采集和仿真測(cè)試的方法進(jìn)行實(shí)驗(yàn)，采用MATLAB進(jìn)行編程實(shí)現(xiàn)，網(wǎng)絡(luò)信號(hào)采集于KDD Cup2012網(wǎng)絡(luò)病毒數(shù)據(jù)庫(kù)，網(wǎng)絡(luò)攻擊類(lèi)型為DoS攻擊、Probe攻擊和ipsweep，每類(lèi)包括50個(gè)樣本，每個(gè)樣本有4個(gè)屬性，設(shè)置檢測(cè)起點(diǎn)和檢測(cè)終點(diǎn)，對(duì)計(jì)算機(jī)系統(tǒng)進(jìn)行持續(xù)攻擊，采集信號(hào)特征。

　　在不同特征子集和網(wǎng)絡(luò)攻擊樣本下，采用Rossle混沌模型進(jìn)行攻擊特征建模，實(shí)現(xiàn)對(duì)非線(xiàn)性隨機(jī)特性網(wǎng)絡(luò)攻擊信號(hào)的有效檢測(cè)。采集到的某組樣本原始數(shù)據(jù)序列如圖4所示。

　　采用最小均方誤差準(zhǔn)則設(shè)計(jì)自適應(yīng)級(jí)聯(lián)陷波器對(duì)信號(hào)進(jìn)行預(yù)處理，得到濾波輸出結(jié)果如圖5所示。

　　通過(guò)提取待檢測(cè)網(wǎng)絡(luò)數(shù)據(jù)流的Rossle混沌非線(xiàn)性互信息特征，實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)攻擊信號(hào)的特征挖掘和檢測(cè)，檢測(cè)到的攻擊信號(hào)頻譜圖如圖6所示。通過(guò)對(duì)實(shí)驗(yàn)采集的多組攻擊樣本進(jìn)行蒙特卡洛實(shí)驗(yàn)，得到檢測(cè)概率為97.8%，展示出算法優(yōu)越的檢測(cè)性能，該算法能準(zhǔn)確有效地定位檢測(cè)攻擊信號(hào)。

　　為了進(jìn)一步驗(yàn)證本文算法的優(yōu)越性，針對(duì)3類(lèi)攻擊類(lèi)型數(shù)據(jù)集，隨機(jī)抽取10個(gè)數(shù)據(jù)進(jìn)行攻擊準(zhǔn)確度檢測(cè)，檢測(cè)準(zhǔn)確率結(jié)果如圖7所示。

　　本文算法在選擇合適的平均互信息特征和適應(yīng)度函數(shù)后，能夠準(zhǔn)確地對(duì)網(wǎng)絡(luò)攻擊信號(hào)進(jìn)行檢測(cè)，檢測(cè)準(zhǔn)確率高達(dá)95%以上，比傳統(tǒng)系統(tǒng)準(zhǔn)確率提高35%左右，滿(mǎn)足了網(wǎng)絡(luò)安全要求，應(yīng)用價(jià)值廣闊。

4結(jié)論

　　為有效實(shí)現(xiàn)網(wǎng)絡(luò)攻擊信號(hào)的檢測(cè)，本文提出一種基于Rossle混沌模型的平均互信息特征潛質(zhì)挖掘算法，根據(jù)挖掘的互信息這種非線(xiàn)性特征解，實(shí)現(xiàn)對(duì)具有非線(xiàn)性隨機(jī)特性的網(wǎng)絡(luò)攻擊信號(hào)的有效檢測(cè)。采用最小均方誤差準(zhǔn)則，設(shè)計(jì)一個(gè)能去除多個(gè)已知干擾頻率成分的自適應(yīng)級(jí)聯(lián)陷波器，實(shí)現(xiàn)對(duì)攻擊信號(hào)的濾波預(yù)處理，提取待檢測(cè)網(wǎng)絡(luò)數(shù)據(jù)流的Rossle混沌非線(xiàn)性互信息特征，構(gòu)建判斷規(guī)則，實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)攻擊信號(hào)的特征挖掘和檢測(cè)。仿真實(shí)驗(yàn)表明，該算法的檢測(cè)性能明顯提高，檢測(cè)概率達(dá)到97.8%，準(zhǔn)確率較傳統(tǒng)算法也有明顯優(yōu)勢(shì)。

參考文獻(xiàn)

　?。?］ 蔣蕓，陳娜等. 基于Bagging的概率神經(jīng)網(wǎng)絡(luò)集成分類(lèi)算法［J］.計(jì)算機(jī)科學(xué)，2013，40（5）：242246.

　?。?］ Ye Qing, Huang Yanlei. Nonuniform distribution intrusion detection research and simulation of the model［J］. Bulletin of Science and Technology, 2013, 29(8): 169171.

　?。?］ Luo Liming, Zhou Zhen. IPV6 based network security intrusion detection technology research［J］. Bulletin of Science and Technology, 2012, 28(4): 114115, 140.

　?。?］ Deng Bing, Tao Ran, Ping Dianfa, et al. Movingtargetdetection algorithm with compensation for Doppler migration based on FRFT［J］. Acta Armamentarii, 2009, 30(10), 13031309.

　　［5］ 赫然，王永吉，王青，等.一種改進(jìn)的自適應(yīng)逃逸微粒群算法及實(shí)驗(yàn)分析［J］.軟件學(xué)報(bào)，2005，16（12）：20362044.

　?。?］ 劉在英，楊平，張麗曉. 基于膚色模型和高斯分布的多人臉檢測(cè)方法［J］.計(jì)算機(jī)與現(xiàn)代化，2013（10）：3034.

　　［7］ Cheng Dongnian, Wang Binqiang, Wang Baojin. Preliminary study on the connotation of flexibility in dynamically reconfigurable networks［J］. Journals of Communications, 2012, 33(8): 214222.

　?。?］ Ou Shifeng, Gao Ying, Zhao Xiaohui. Adaptive combination algorithm and its modified scheme for blind source separation［J］. Journal of Electronic & Information Technology, 2011, 33(5): 12431247.

　?。?］ Chen Huilin, Xia Daoxun. Applied research on data mining based on CART decision tree algorithm［J］. Coal Technology, 2011, 30(10): 164166.

　　［10］ 武妍，徐敏.一種改進(jìn)的粒子群優(yōu)化算法［J］.計(jì)算機(jī)工程與應(yīng)用，2006，42（33）：4043.

　?。?1］ 張祖蓮，王命全，李景林，等.一種自定義動(dòng)態(tài)密鑰預(yù)防DDoS攻擊的算法［J］.微型機(jī)與應(yīng)用，2013,32（20）：7779.