周明升1,2，韓冬梅1

　?。?. 上海財(cái)經(jīng)大學(xué) 信息管理與工程學(xué)院,，上海 200433； 2. 上海外高橋保稅區(qū)聯(lián)合發(fā)展有限公司,，上海 200131）

　　摘要：傳統(tǒng)網(wǎng)絡(luò)攻擊檢測方法中,，通常使用混沌系統(tǒng)結(jié)合高斯混合模型實(shí)現(xiàn)同步控制檢測，當(dāng)待檢測的攻擊信號(hào)具有高斯線性特征時(shí),，這種方法的檢測效果理想,。隨著網(wǎng)絡(luò)攻擊信號(hào)向著非線性隨機(jī)序列方向發(fā)展，傳統(tǒng)檢測模型無法實(shí)現(xiàn)有效的攻擊檢測,。提出一種基于Rossle混沌模型的平均互信息特征潛質(zhì)挖掘算法,，并根據(jù)挖掘的互信息這種非線性特征解，實(shí)現(xiàn)對(duì)具有非線性隨機(jī)特性的網(wǎng)絡(luò)攻擊信號(hào)有效檢測,。根據(jù)Rossle混沌系統(tǒng)基礎(chǔ)模型,，采用最小均方誤差準(zhǔn)則，設(shè)計(jì)一個(gè)能去除多個(gè)已知干擾頻率成分的自適應(yīng)級(jí)聯(lián)陷波器,，實(shí)現(xiàn)對(duì)攻擊信號(hào)的濾波預(yù)處理,，提取待檢測網(wǎng)絡(luò)數(shù)據(jù)流的Rossle混沌非線性互信息特征，實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)攻擊信號(hào)的特征挖掘和檢測,。仿真實(shí)驗(yàn)表明,，采用該算法進(jìn)行網(wǎng)絡(luò)攻擊檢測,，檢測性能明顯提高，檢測概率達(dá)到97.8%,，展示了算法優(yōu)越的檢測性能和網(wǎng)絡(luò)安全防御價(jià)值。

　　關(guān)鍵詞：混沌,；互信息特征,；攻擊檢測；數(shù)據(jù)挖掘

0引言

　　隨著計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)的發(fā)展和普及,，Internet成為人類交流和生產(chǎn)生活的主要工具,，各種信息通過網(wǎng)絡(luò)傳輸和共享，給人們帶來便利的同時(shí)也帶來網(wǎng)絡(luò)安全難題［1］,，如何有效檢測攻擊成為研究熱點(diǎn),。傳統(tǒng)攻擊檢測通常是基于知識(shí)的行為異常檢測：建立攻擊模式數(shù)據(jù)庫進(jìn)行檢測，當(dāng)檢測到的信號(hào)或用戶行為與數(shù)據(jù)庫記載的具有匹配相關(guān)性時(shí),，則認(rèn)為是攻擊的,，否則認(rèn)為是合法的。這種方法的優(yōu)點(diǎn)是易于實(shí)現(xiàn)和準(zhǔn)確率高［2］,，缺點(diǎn)是開放性不強(qiáng),，不能檢測數(shù)據(jù)庫之外類別的新的攻擊信息，其有效性嚴(yán)重依賴于專家特征數(shù)據(jù)庫的更新,，現(xiàn)實(shí)中這種更新往往是滯后的 ［3］,。在傳統(tǒng)網(wǎng)絡(luò)攻擊檢測方法中，使用混沌系統(tǒng)結(jié)合高斯混合模型實(shí)現(xiàn)同步控制檢測,，隨著網(wǎng)絡(luò)攻擊信號(hào)向著非線性隨機(jī)序列方向發(fā)展,，傳統(tǒng)檢測模型無法實(shí)現(xiàn)有效攻擊檢測［45］。

　　針對(duì)上述問題,，本文提出一種基于Rossle混沌模型的互信息特征潛質(zhì)挖掘算法,，仿真實(shí)驗(yàn)驗(yàn)證了該檢測算法在隱蔽網(wǎng)絡(luò)攻擊檢測中的優(yōu)越檢測性能，能在很低的信噪比下實(shí)現(xiàn)對(duì)微弱攻擊信號(hào)的快速準(zhǔn)確檢測,，保證網(wǎng)絡(luò)安全,。

1Rossle網(wǎng)絡(luò)攻擊信號(hào)混沌系統(tǒng)模型

　　1.1混沌模型構(gòu)建

　　在傳統(tǒng)網(wǎng)絡(luò)攻擊信號(hào)檢測領(lǐng)域，假設(shè)信號(hào)的時(shí)間序列是線性或高斯性的［6］,，這種假設(shè)有利于信號(hào)處理工作的開展,，但現(xiàn)實(shí)中網(wǎng)絡(luò)攻擊信號(hào)的時(shí)間序列都或多或少具有一定的非線性特征，學(xué)者們通過非線性時(shí)間序列和混沌分析方法［710］,，有效地發(fā)現(xiàn)采集信號(hào)的本質(zhì)特征,。有學(xué)者針對(duì)某類攻擊設(shè)計(jì)預(yù)防方法［11］。本文從主動(dòng)檢測出發(fā),，采用非線性時(shí)間序列分析進(jìn)行信號(hào)檢測,，構(gòu)建Rossle網(wǎng)絡(luò)攻擊信號(hào)混沌系統(tǒng)模型,。Rossle混沌系統(tǒng)是一個(gè)三維連續(xù)的典型自治系統(tǒng)，其數(shù)學(xué)模型表達(dá)式為：

　　上述Rossle混沌系統(tǒng)中,，取參數(shù)σ=30,，r=28，b=2.5,，采用四階RungeKutta法解方程式,，迭代10 000次。對(duì)混沌序列的研究,，首先需要進(jìn)行相空間重構(gòu),，采用C-C算法得到相空間重構(gòu)的最佳延遲時(shí)間和最小嵌入維數(shù)，實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)狀態(tài)特征集在混沌系統(tǒng)中的相空間重構(gòu),，假設(shè)給定的一個(gè)二進(jìn)制網(wǎng)絡(luò)入侵狀態(tài)特征向量集合表示為：

　　F={f1,f2,…,fn}(2)

　　把上述網(wǎng)絡(luò)入侵特征狀態(tài)向量嵌入Rossle混沌系統(tǒng)中,，構(gòu)建網(wǎng)絡(luò)入侵特征目標(biāo)函數(shù)，表示為：

　　θ1(k+1)=θ1(k)－μRe［y(k)φ*(k)］(3)

　　上式中,，θ1(k)表示初始狀態(tài)向量,，θ1(k+1)表示二次迭代網(wǎng)絡(luò)狀態(tài)向量，μ為相空間混沌序列重構(gòu)收縮系數(shù),。

　　通過目標(biāo)函數(shù)構(gòu)建,，得到在Rossle混沌系統(tǒng)中的采用C-C算法得到的時(shí)延參數(shù)變化曲線如圖1所示，得到最佳時(shí)延參數(shù)為20,，這為進(jìn)一步構(gòu)建網(wǎng)絡(luò)狀態(tài)特征空間奠定了數(shù)據(jù)基礎(chǔ),。

　　1.2網(wǎng)絡(luò)攻擊信號(hào)的濾波預(yù)處理

　　在Rossle混沌系統(tǒng)基礎(chǔ)模型基礎(chǔ)上，采用最小均方誤差準(zhǔn)則,，設(shè)計(jì)一個(gè)能去除多個(gè)已知干擾頻率成分的自適應(yīng)級(jí)聯(lián)陷波器,，實(shí)現(xiàn)對(duì)攻擊信號(hào)的濾波預(yù)處理，算法實(shí)現(xiàn)描述如下,。

　　在Rossle混沌系統(tǒng)中,，介入網(wǎng)絡(luò)攻擊信號(hào)，攻擊模型為一個(gè)非線性時(shí)間序列,，表示為：

　　上式是對(duì)網(wǎng)絡(luò)攻擊非線性信號(hào)進(jìn)行一階自回歸模型分析的結(jié)果,，得到級(jí)聯(lián)濾波傳輸函數(shù)為：

　　φ(z)=F(z)F(z－1)σ2n(5)

　　采用最小均方誤差準(zhǔn)則，輸入的網(wǎng)絡(luò)攻擊信號(hào)n(k)的實(shí)部nr(k)和虛部ni(k)分別為獨(dú)立的白噪聲,，且均值均為零,，方差為σ2n，在保證均方誤差收斂概率最小的前提下,，網(wǎng)絡(luò)攻擊信號(hào)的攻擊過程進(jìn)行Rossle混沌系統(tǒng)參數(shù)迭代的平均長度需要滿足：

　　ReE［n1(k)n*2(k)］=0(6)

　　基于上述最小均方誤差準(zhǔn)則,，設(shè)計(jì)一個(gè)能去除多個(gè)已知干擾頻率成份的自適應(yīng)級(jí)聯(lián)陷波器，設(shè)計(jì)框圖如圖2所示,。

　　在Rossle混沌系統(tǒng)模型下,，引入簡化的梯度算法,，得到網(wǎng)絡(luò)攻擊模型輸出響應(yīng)函數(shù)的收斂曲線如圖3所示。

2攻擊檢測算法

　　2.1平均互信息特征挖掘算法的引入

　　在上述模型構(gòu)建和信號(hào)預(yù)處理基礎(chǔ)上,，提取攻擊信號(hào)的Rossle混沌系統(tǒng)模型下的平均互信息攻擊特征,，實(shí)現(xiàn)信號(hào)檢測，算法實(shí)現(xiàn)描述如下,。

　　使用高斯混合模型對(duì)合法的網(wǎng)絡(luò)數(shù)據(jù)進(jìn)行建模,，得到3個(gè)估計(jì)參量。對(duì)監(jiān)測到的數(shù)據(jù)參量進(jìn)行估計(jì),，以觀測是否為網(wǎng)絡(luò)攻擊,，截取一段時(shí)間的數(shù)據(jù)進(jìn)行研究分析,。如果沒有攻擊信號(hào),，則Rossle混沌系統(tǒng)可以準(zhǔn)確計(jì)算出高斯混合模型的參數(shù)值。若含有偽裝攻擊數(shù)據(jù),，估計(jì)出的參數(shù)與正常估計(jì)得到的參數(shù)會(huì)有較大差異,。均值特征向量μ能明顯反應(yīng)出高偽裝攻擊數(shù)據(jù)的特征，選擇μ作為特征量,，為同步控制量引入混沌系統(tǒng)中進(jìn)行攻擊特征檢測,。

　　設(shè)Z=(U,V)是由監(jiān)測到的網(wǎng)絡(luò)信息數(shù)據(jù)U和未監(jiān)測到的數(shù)據(jù)V組成的集合。Z被稱為完整數(shù)據(jù),，U被稱為不完整數(shù)據(jù),，Z的聯(lián)合概率密度函數(shù)定義為：p(U,V|Θ)，其中Θ為被估計(jì)的參量集合,，通過求解不完整數(shù)據(jù)的對(duì)數(shù)似然函數(shù)L(Θ|U)的最大值來得到Θ的最大似然估計(jì),。

　　模型1：網(wǎng)絡(luò)攻擊表現(xiàn)為連續(xù)隨機(jī)

　　p(U,V|Θ)L(Θ|U)=logp(U|Θ)

　　=∫Vlogp(U,V|Θ)dV(7)

　　通過E步和M步迭代，得到最大完整數(shù)據(jù)的平均互信息函數(shù)Lc(Θ|Z)的期望值,，實(shí)現(xiàn)對(duì)缺失數(shù)據(jù)的對(duì)數(shù)似然函數(shù)L(Θ|Z)的最大化,，其中：

　　Lc(Θ|Z)=logp(U,V|Θ)(8)

　　在迭代計(jì)算中，第t次迭代計(jì)算后Θ得到的估計(jì)值計(jì)為Θ(t),，在t+1次迭代中,，使用E步迭代計(jì)算得到完整數(shù)據(jù)的平均互信息函數(shù)的期望值為：

　　Q(Θ|Θ(t))=E{Lc(Θ|Z)|U;Θ(t)}(9)

　　經(jīng)過M步迭代，采用多個(gè)網(wǎng)絡(luò)攻擊模型自適應(yīng)級(jí)聯(lián)陷波器,，去除已知干擾頻率成分,，最后通過最大化函數(shù)來獲得新的Θ(t+1)。

　　模型2：網(wǎng)絡(luò)攻擊表現(xiàn)為離散隨機(jī)

　　假設(shè)網(wǎng)絡(luò)攻擊行為的分布函數(shù)為［δ1,δ2,…,δN］,，為離散函數(shù),，其中，δi=p(V=i),。由于

　　δk=G(V=k|Ui)(10)

　　其中Ui表示由第k個(gè)多維的正態(tài)分布得到的概率,。經(jīng)過第t次的迭代后,，δk變成了δik(t)：

　　δik(t)=G(V=k|Ui,Θ(t))(11)

　　第t+1次估計(jì)，求解網(wǎng)絡(luò)攻擊模型Rossle混沌系統(tǒng)的全局平均互信息特征向量,，迭代求解過程為：

　　上式中,，Ui為網(wǎng)絡(luò)特征子集，μk為慣性權(quán)重,，δik(t)為混沌相空間空間維數(shù),，N為迭代步數(shù)。通過上述迭代,，實(shí)現(xiàn)對(duì)平均互信息特征潛質(zhì)挖掘,。

　　2.2基于平均互信息特征挖掘算法的攻擊檢測算法

　　通過連續(xù)型和離散型網(wǎng)絡(luò)攻擊行為的平均互信息特征計(jì)算，實(shí)現(xiàn)對(duì)基于Rossle混沌模型的非線性網(wǎng)絡(luò)攻擊混沌特征挖掘,，根據(jù)挖掘的互信息這種非線性特征解,，實(shí)現(xiàn)對(duì)具有非線性隨機(jī)特性的網(wǎng)絡(luò)攻擊信號(hào)有效檢測，過程如下,。

　　采用一個(gè)二階級(jí)聯(lián)陷波器從復(fù)雜的網(wǎng)絡(luò)背景環(huán)境中提取一組網(wǎng)絡(luò)信號(hào),，根據(jù)Rossle混沌系統(tǒng)基礎(chǔ)模型，采用最小均方誤差準(zhǔn)則設(shè)計(jì)一個(gè)能去除多個(gè)已知干擾頻率成分的自適應(yīng)級(jí)聯(lián)陷波器,，進(jìn)行預(yù)處理,，得到輸出信號(hào)結(jié)果為：

　　其中，n(k)為背景合法網(wǎng)絡(luò)信號(hào)的干擾,，Ai為級(jí)聯(lián)系數(shù),，設(shè)定其門限值為αFA,它可以根據(jù)網(wǎng)絡(luò)數(shù)據(jù)和信息流的實(shí)際情況確定。信息數(shù)據(jù)信號(hào)經(jīng)過上述方法得到混沌平均互信息特征,，經(jīng)過混沌同步處理得到輸出的數(shù)據(jù)信號(hào)與門限αFA進(jìn)行比較,。

　　如果：

　　則判決為監(jiān)測信號(hào)為攻擊信號(hào)；否則,，為合法信號(hào),。從而實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)信號(hào)攻擊檢測。

3仿真結(jié)果與分析

　　為了驗(yàn)證本文提出的網(wǎng)絡(luò)攻擊檢測算法的有效性,，采用實(shí)際網(wǎng)絡(luò)信號(hào)采集和仿真測試的方法進(jìn)行實(shí)驗(yàn),，采用MATLAB進(jìn)行編程實(shí)現(xiàn)，網(wǎng)絡(luò)信號(hào)采集于KDD Cup2012網(wǎng)絡(luò)病毒數(shù)據(jù)庫,，網(wǎng)絡(luò)攻擊類型為DoS攻擊,、Probe攻擊和ipsweep，每類包括50個(gè)樣本,，每個(gè)樣本有4個(gè)屬性,，設(shè)置檢測起點(diǎn)和檢測終點(diǎn)，對(duì)計(jì)算機(jī)系統(tǒng)進(jìn)行持續(xù)攻擊,，采集信號(hào)特征,。

　　在不同特征子集和網(wǎng)絡(luò)攻擊樣本下,，采用Rossle混沌模型進(jìn)行攻擊特征建模，實(shí)現(xiàn)對(duì)非線性隨機(jī)特性網(wǎng)絡(luò)攻擊信號(hào)的有效檢測,。采集到的某組樣本原始數(shù)據(jù)序列如圖4所示,。

　　采用最小均方誤差準(zhǔn)則設(shè)計(jì)自適應(yīng)級(jí)聯(lián)陷波器對(duì)信號(hào)進(jìn)行預(yù)處理，得到濾波輸出結(jié)果如圖5所示,。

　　通過提取待檢測網(wǎng)絡(luò)數(shù)據(jù)流的Rossle混沌非線性互信息特征,，實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)攻擊信號(hào)的特征挖掘和檢測，檢測到的攻擊信號(hào)頻譜圖如圖6所示,。通過對(duì)實(shí)驗(yàn)采集的多組攻擊樣本進(jìn)行蒙特卡洛實(shí)驗(yàn),，得到檢測概率為97.8%，展示出算法優(yōu)越的檢測性能,，該算法能準(zhǔn)確有效地定位檢測攻擊信號(hào),。

　　為了進(jìn)一步驗(yàn)證本文算法的優(yōu)越性，針對(duì)3類攻擊類型數(shù)據(jù)集,，隨機(jī)抽取10個(gè)數(shù)據(jù)進(jìn)行攻擊準(zhǔn)確度檢測,，檢測準(zhǔn)確率結(jié)果如圖7所示,。

　　本文算法在選擇合適的平均互信息特征和適應(yīng)度函數(shù)后,，能夠準(zhǔn)確地對(duì)網(wǎng)絡(luò)攻擊信號(hào)進(jìn)行檢測，檢測準(zhǔn)確率高達(dá)95%以上,，比傳統(tǒng)系統(tǒng)準(zhǔn)確率提高35%左右,，滿足了網(wǎng)絡(luò)安全要求，應(yīng)用價(jià)值廣闊,。

4結(jié)論

　　為有效實(shí)現(xiàn)網(wǎng)絡(luò)攻擊信號(hào)的檢測,，本文提出一種基于Rossle混沌模型的平均互信息特征潛質(zhì)挖掘算法，根據(jù)挖掘的互信息這種非線性特征解,，實(shí)現(xiàn)對(duì)具有非線性隨機(jī)特性的網(wǎng)絡(luò)攻擊信號(hào)的有效檢測,。采用最小均方誤差準(zhǔn)則，設(shè)計(jì)一個(gè)能去除多個(gè)已知干擾頻率成分的自適應(yīng)級(jí)聯(lián)陷波器,，實(shí)現(xiàn)對(duì)攻擊信號(hào)的濾波預(yù)處理,，提取待檢測網(wǎng)絡(luò)數(shù)據(jù)流的Rossle混沌非線性互信息特征，構(gòu)建判斷規(guī)則,，實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)攻擊信號(hào)的特征挖掘和檢測,。仿真實(shí)驗(yàn)表明，該算法的檢測性能明顯提高,，檢測概率達(dá)到97.8%,，準(zhǔn)確率較傳統(tǒng)算法也有明顯優(yōu)勢。

參考文獻(xiàn)

　?。?］ 蔣蕓,，陳娜等. 基于Bagging的概率神經(jīng)網(wǎng)絡(luò)集成分類算法［J］.計(jì)算機(jī)科學(xué),，2013，40（5）：242246.

　?。?］ Ye Qing, Huang Yanlei. Nonuniform distribution intrusion detection research and simulation of the model［J］. Bulletin of Science and Technology, 2013, 29(8): 169171.

　?。?］ Luo Liming, Zhou Zhen. IPV6 based network security intrusion detection technology research［J］. Bulletin of Science and Technology, 2012, 28(4): 114115, 140.

　　［4］ Deng Bing, Tao Ran, Ping Dianfa, et al. Movingtargetdetection algorithm with compensation for Doppler migration based on FRFT［J］. Acta Armamentarii, 2009, 30(10), 13031309.

　?。?］ 赫然,，王永吉，王青,，等.一種改進(jìn)的自適應(yīng)逃逸微粒群算法及實(shí)驗(yàn)分析［J］.軟件學(xué)報(bào),，2005，16（12）：20362044.

　?。?］ 劉在英,，楊平，張麗曉. 基于膚色模型和高斯分布的多人臉檢測方法［J］.計(jì)算機(jī)與現(xiàn)代化,，2013（10）：3034.

　?。?］ Cheng Dongnian, Wang Binqiang, Wang Baojin. Preliminary study on the connotation of flexibility in dynamically reconfigurable networks［J］. Journals of Communications, 2012, 33(8): 214222.

　　［8］ Ou Shifeng, Gao Ying, Zhao Xiaohui. Adaptive combination algorithm and its modified scheme for blind source separation［J］. Journal of Electronic & Information Technology, 2011, 33(5): 12431247.

　?。?］ Chen Huilin, Xia Daoxun. Applied research on data mining based on CART decision tree algorithm［J］. Coal Technology, 2011, 30(10): 164166.

　?。?0］ 武妍，徐敏.一種改進(jìn)的粒子群優(yōu)化算法［J］.計(jì)算機(jī)工程與應(yīng)用,，2006,，42（33）：4043.

　　［11］ 張祖蓮,，王命全,，李景林，等.一種自定義動(dòng)態(tài)密鑰預(yù)防DDoS攻擊的算法［J］.微型機(jī)與應(yīng)用,，2013,32（20）：7779.