秦瑞峰

(呂梁學(xué)院離石師范分校學(xué)生處，山西呂梁 033000)

Internet已成為人類交流和生產(chǎn)生活的主要工具。各種數(shù)據(jù)和信息在網(wǎng)絡(luò)中不斷地傳輸和共享，與之同時(shí)帶來了網(wǎng)絡(luò)安全的問題［1］。在計(jì)算機(jī)網(wǎng)絡(luò)安全系統(tǒng)設(shè)計(jì)中，對加密數(shù)據(jù)的信息傳輸系統(tǒng)設(shè)計(jì)是整個(gè)網(wǎng)絡(luò)安全研究的重點(diǎn)，加密數(shù)據(jù)的保密性強(qiáng)，關(guān)系國家和公共安全，一旦遭受到攻擊，將帶來不可估量的后果。為提高計(jì)算機(jī)網(wǎng)絡(luò)中加密數(shù)據(jù)的傳輸性能，出現(xiàn)了網(wǎng)絡(luò)隱寫系統(tǒng)，需要加密傳輸?shù)臄?shù)據(jù)在網(wǎng)絡(luò)隱寫系統(tǒng)進(jìn)行通信和傳輸，系統(tǒng)中的數(shù)據(jù)具有高隱蔽性，由于在網(wǎng)絡(luò)隱寫系統(tǒng)中的通信數(shù)據(jù)價(jià)值高，保密性強(qiáng)，常受到竊密木馬病毒的攻擊，研究網(wǎng)絡(luò)隱寫信息傳遞系統(tǒng)的高效攻擊檢測技術(shù)對保證加密數(shù)據(jù)的傳輸安全具有重要意義。

對網(wǎng)絡(luò)隱寫系統(tǒng)的攻擊病毒木馬表現(xiàn)為一種隱蔽性較強(qiáng)的攻擊信號(hào)，傳統(tǒng)方法采用防火墻技術(shù)對其實(shí)現(xiàn)攔截和檢測，對于網(wǎng)絡(luò)隱寫信息傳遞系統(tǒng)的攻擊數(shù)據(jù)包，網(wǎng)絡(luò)防火墻數(shù)據(jù)捕獲技術(shù)主要采用基于模糊控制的數(shù)據(jù)包捕獲技術(shù)和基于信號(hào)處理的攻擊數(shù)據(jù)捕獲技術(shù)。前者主要采用線性控制和模糊網(wǎng)絡(luò)理論實(shí)現(xiàn)對攻擊數(shù)據(jù)的捕獲和檢測，提取攻擊數(shù)據(jù)的模糊代價(jià)函數(shù)特征量，構(gòu)成網(wǎng)絡(luò)Web防火墻的內(nèi)核嵌入模塊，實(shí)現(xiàn)對攻擊的攔截和捕獲。文獻(xiàn)［2］構(gòu)建分?jǐn)?shù)階傅里葉檢測算法，提取待檢測信號(hào)的頻譜特征，實(shí)現(xiàn)了Web防火墻對并行特征的匹配，提高Web防火墻對數(shù)據(jù)的并行處理和捕獲能力，實(shí)現(xiàn)對攻擊數(shù)據(jù)的檢測;文獻(xiàn)［3］提出了一種基于IDS報(bào)警日志和神經(jīng)網(wǎng)絡(luò)預(yù)測的網(wǎng)絡(luò)攻擊預(yù)測，采用神經(jīng)網(wǎng)絡(luò)對安全攻擊態(tài)勢進(jìn)行分類識(shí)別，達(dá)到預(yù)測的目的，但算法的自組織性和自適應(yīng)能力較差;文獻(xiàn)［4］提出一種基于Kalman算法的網(wǎng)絡(luò)安全態(tài)勢預(yù)測，建立Kalman動(dòng)態(tài)預(yù)測方案，對黑客攻擊數(shù)據(jù)進(jìn)行仿真分析，取得了一定的攻擊檢測效果，但算法計(jì)算量大，收斂性不好;文獻(xiàn)［5］提出一種基于日志審計(jì)和性能修正算法的網(wǎng)絡(luò)安全態(tài)勢預(yù)測算法，采用神經(jīng)自使用和自校正模型進(jìn)行預(yù)測控制，實(shí)現(xiàn)網(wǎng)絡(luò)隱寫系統(tǒng)的攻擊檢測，但算法開銷較大，應(yīng)用較困難;文獻(xiàn)［6］提出一種基于關(guān)聯(lián)維特征提取的網(wǎng)絡(luò)攻擊檢測算法;文獻(xiàn)［7］提出一種基于高階譜分析的單譜脈沖響應(yīng)信號(hào)畸變檢測方法，檢測無線傳感器組合網(wǎng)絡(luò)的時(shí)頻入侵信號(hào)特征，但對高階譜的求解困難。

針對上述問題，提出一種基于多路復(fù)用波束域約束指向形成的網(wǎng)絡(luò)隱寫信息傳遞系統(tǒng)的高效攻擊檢測算法，首先構(gòu)建網(wǎng)絡(luò)隱寫信息傳遞系統(tǒng)和網(wǎng)絡(luò)攻擊信號(hào)模型，采用多路復(fù)用波束域約束指向形成算法實(shí)現(xiàn)對檢測算法的改進(jìn)，仿真實(shí)驗(yàn)驗(yàn)證了算法的優(yōu)越性能。

1 信息傳遞系統(tǒng)與攻擊信號(hào)模型

1.1 網(wǎng)絡(luò)隱寫信息傳遞系統(tǒng)模型

構(gòu)建網(wǎng)絡(luò)隱寫信息傳遞系統(tǒng)模型，在網(wǎng)絡(luò)隱寫信息傳遞系統(tǒng)中，構(gòu)建在大規(guī)模網(wǎng)絡(luò)基站模型中，基站作為中心節(jié)點(diǎn)，向輻射在周邊的用戶節(jié)點(diǎn)發(fā)送和接收數(shù)據(jù)，進(jìn)行數(shù)據(jù)交互和傳輸。系統(tǒng)中對加密數(shù)據(jù)進(jìn)行數(shù)據(jù)通信傳輸，在這個(gè)過程中，產(chǎn)生這個(gè)數(shù)據(jù)存儲(chǔ)的隱通道中產(chǎn)生大量的隱寫數(shù)據(jù)，對其進(jìn)行加密傳輸［8］，得到網(wǎng)絡(luò)隱寫信息傳遞通道如圖1所示。

圖1 網(wǎng)絡(luò)隱寫信息傳遞通道示意圖

在圖1所示的網(wǎng)絡(luò)隱寫信息傳遞系統(tǒng)中，對網(wǎng)絡(luò)結(jié)果實(shí)現(xiàn)拓?fù)浞治?，拓?fù)浣Y(jié)構(gòu)分為3個(gè)區(qū)域，最終建立起一個(gè)3跳梯度的環(huán)狀網(wǎng)絡(luò)，且網(wǎng)絡(luò)中所有節(jié)點(diǎn)均有一條與sink節(jié)點(diǎn)相連的最少跳數(shù)通信路徑，通過sink節(jié)點(diǎn)與周邊節(jié)點(diǎn)相連，進(jìn)行隱寫信息的傳遞和通信［9］。網(wǎng)絡(luò)在遭受攻擊信號(hào)入侵過程中，把網(wǎng)絡(luò)隱寫信息傳遞模型在計(jì)算機(jī)系統(tǒng)中從上到下分解為應(yīng)用層、表示層、會(huì)話層、傳輸層、計(jì)算機(jī)層、鏈路層和物理層，以上7層網(wǎng)絡(luò)模型受到攻擊信號(hào)的層析分解后攻擊時(shí)，需要對攻擊信號(hào)進(jìn)行檢測。攻擊信號(hào)對于每層的詳細(xì)計(jì)算機(jī)攻擊模式主要體現(xiàn)為應(yīng)用層受到計(jì)算機(jī)攻擊:通常會(huì)是黑客計(jì)算機(jī)攻擊或其他的非法調(diào)用，在黑客計(jì)算機(jī)攻擊時(shí)，會(huì)切入用戶的電腦，竊取信息，然后進(jìn)行不正當(dāng)?shù)挠?jì)算機(jī)攻擊操作。

綜上分析可見，網(wǎng)絡(luò)隱寫信息傳遞網(wǎng)絡(luò)主要有3個(gè)組件:轉(zhuǎn)發(fā)信息表FIB、內(nèi)容存儲(chǔ)CS和PIT表。當(dāng)某個(gè)功率自激網(wǎng)絡(luò)路由器無法滿足某個(gè)Interest報(bào)文時(shí)，該路由器就會(huì)將該Interest報(bào)文所請求的內(nèi)容名以及其到達(dá)的端口信息記錄在PIT表中。攻擊信號(hào)對網(wǎng)絡(luò)隱寫信息傳遞系統(tǒng)的攻擊主要實(shí)現(xiàn)對DOM函數(shù)的修改，eval()、setTimeout()、setInterval()等直接執(zhí)行腳本函數(shù)中的安全漏洞得到過濾，最后基于路由交換數(shù)據(jù)在線復(fù)雜度預(yù)測，設(shè)計(jì)DOM XSS漏洞檢測系統(tǒng)DOM－XSScaner，其中DOM－XSScaner漏洞檢測系統(tǒng)主要由網(wǎng)頁爬取分析模塊、腳本注入模塊和驗(yàn)證模塊。網(wǎng)絡(luò)隱寫信息傳遞系統(tǒng)的攻擊檢測系統(tǒng)如圖2所示。

圖2 網(wǎng)絡(luò)隱寫信息傳遞系統(tǒng)的攻擊檢測系統(tǒng)模型

1.2 攻擊信號(hào)模型構(gòu)建

對網(wǎng)絡(luò)隱寫信息傳遞系統(tǒng)攻擊信號(hào)的檢測研究中，頻譜檢測是基礎(chǔ)，通過對時(shí)變非平穩(wěn)攻擊信號(hào)進(jìn)行頻譜檢測，提取信號(hào)的本征頻率、群延遲和包絡(luò)等信號(hào)特征，實(shí)現(xiàn)對攻擊信號(hào)預(yù)測攔截和濾波檢測。因此，研究時(shí)變非平穩(wěn)攻擊信號(hào)頻譜檢測算法是關(guān)鍵，需要構(gòu)建攻擊信號(hào)模型。假設(shè)網(wǎng)絡(luò)隱寫信息傳遞系統(tǒng)的攻擊信號(hào)系統(tǒng)是一個(gè)三維連續(xù)的典型自治系統(tǒng)，其數(shù)學(xué)模型表達(dá)式為

上述攻擊系統(tǒng)中數(shù)學(xué)模型，取參數(shù)σ=10，r=28，b=8/3采用4階Runge－Kutta法解方程，得到攻擊信號(hào)的離散分解形式。采用脈沖壓縮二次調(diào)頻時(shí)間分布方法調(diào)節(jié)系統(tǒng)參數(shù)a，b，得到非平穩(wěn)時(shí)變攻擊信號(hào)可采用一個(gè)具有非線性調(diào)制規(guī)律的非線性調(diào)頻信號(hào)z(t)=p ejφ(t)描述，其中以此得到攻擊信號(hào)的頻譜分離表達(dá)式為

式(2)中，{u(·)}表示攻擊信號(hào)的s平面部分的包絡(luò)延拓成分;{ζ(·)}表示干擾色噪聲。令Rd×L為d×L維數(shù)的矩陣，構(gòu)建無向圖G=(V，E)中，用dG(u，v)表示圖G中從u到v最小跳數(shù)，求得信號(hào)的本征波信號(hào)頻率{ωk}，然后在雙線性Hough變換映射軸中鏡像恢復(fù)相位為{Φk}和幅度為{pk}的頻譜畸變部分，得到攻擊信號(hào)的時(shí)間序列模型表達(dá)式為

2 高效攻擊檢測算法改進(jìn)與實(shí)現(xiàn)

2.1 多路復(fù)用波束域約束指向形成算法

針對傳統(tǒng)方法對攻擊信號(hào)進(jìn)行檢測出現(xiàn)檢測概率低的問題，對傳統(tǒng)的攻擊檢測算法進(jìn)行了改進(jìn)，假設(shè)信號(hào)的多路復(fù)用波束域約束相空間中平面有3個(gè)時(shí)間點(diǎn)和8個(gè)頻率點(diǎn)，當(dāng)Δ→∞，為實(shí)現(xiàn)攻擊信號(hào)的多路復(fù)用波束域約束指向形成，進(jìn)行相空間重構(gòu)設(shè)計(jì)，假設(shè)攻擊信號(hào)的狀態(tài)相空間 si=(xi，xi+τ，…，xi+(m－1)τ)T。在相空間中，多路復(fù)用相軌跡從xn→xn+1的演化反映了網(wǎng)絡(luò)攻擊信號(hào)時(shí)間序列的預(yù)測演化模型，表現(xiàn)為zn→zn+1或z(t)→z(t+1)，在對攻擊信號(hào)相空間重構(gòu)中，網(wǎng)絡(luò)隱寫通道的相位信息使用平均互信息法計(jì)算得到相空間重構(gòu)時(shí)延τ，采用虛假最近鄰點(diǎn)法求得攻擊信號(hào)相空間重構(gòu)的嵌入維數(shù)m。得到對與攻擊信號(hào)時(shí)間序列{x(t0+iΔt)}，i=0，1，…，N －1，其相空間重構(gòu)軌跡為

其中，K=N－(m－1)τ，由此得到多路復(fù)用波束域約束指向形成的輸出結(jié)果為

對鏈路層中的加密數(shù)據(jù)進(jìn)行塊內(nèi)頻率檢測，二項(xiàng)式和Sn可表示為

為提高檢測概率，對提取得到的多路復(fù)用波束域約束指向輸出結(jié)果進(jìn)行頻分復(fù)用分解，使之服從最大整數(shù)qi為奇數(shù)的均勻分布，令

考慮一種簡單的匹配濾波器形式

式(9)中，輸入數(shù)據(jù)序列為u(n)，輸出為x(n)的離散線性系統(tǒng)。

2.2 檢測實(shí)現(xiàn)

根據(jù)多路復(fù)用波束域約束指向形成算法，利用相空間重構(gòu)軌跡矩陣L和最佳嵌入維數(shù)m求得維數(shù)為N×m子空間矩陣X

其中，N(z)是分子多項(xiàng)式，它的零點(diǎn)在 z=e±jω0處，D(z)為分母多項(xiàng)式，其根在 z=e±jω0附近，式(8)是對網(wǎng)絡(luò)攻擊非線性信號(hào)進(jìn)行一階自回歸模型分析的結(jié)果，根據(jù)最小均方誤差準(zhǔn)則，得到在網(wǎng)絡(luò)隱寫信息傳遞系統(tǒng)中攻擊信號(hào)預(yù)處理后的檢測輸出為

式(11)中，J(xN)通過J(xiN)正交變換得到，假設(shè)攻擊信號(hào)的波束形成傳遞函數(shù)服從參數(shù)為(α，β)的 Weibull分布，隨機(jī)變量滿足，設(shè)置一個(gè)預(yù)估計(jì)器來計(jì)算J(x1)，為

對于攻擊信號(hào)重組相空間中的任意一點(diǎn)Xn，其的最近鄰點(diǎn)表示為 Xη(n)，定義 Rmn為 Xn與 Xη(n)兩點(diǎn)之間的距離，用歐式距離表示為

稱Xη(n)為Xn的低維軌線上正交頻譜分量，隨著m增加到m+1，兩點(diǎn)之間的正交頻譜分量相應(yīng)為

當(dāng)R(m+1)n比Rmn要大得多的情況下，認(rèn)為是由于高維吸引子中兩個(gè)不相鄰的點(diǎn)投影，由此實(shí)現(xiàn)正交頻譜分離，抑制了干擾噪聲，實(shí)現(xiàn)對攻擊信號(hào)的高效檢測。

3 實(shí)驗(yàn)與分析

為驗(yàn)證本文檢測算法的性能，進(jìn)行仿真實(shí)驗(yàn)，實(shí)驗(yàn)仿真平臺(tái)的操作系統(tǒng)為Ubuntu12.04，構(gòu)建網(wǎng)絡(luò)隱寫信息傳遞系統(tǒng)，Hadoop云平臺(tái)版本為1.1.2，實(shí)驗(yàn)程序采用Java程序設(shè)計(jì)語言編寫，采用C/S架構(gòu)，設(shè)計(jì)隱寫傳遞系統(tǒng)的發(fā)送端和接收端，進(jìn)行網(wǎng)絡(luò)通信。仿真實(shí)驗(yàn)在Windows 7環(huán)境下進(jìn)行了測試。硬件實(shí)驗(yàn)平臺(tái)構(gòu)建為:理器 VS2008，CPU X6300，內(nèi)存 2 GDDR，Win 7操作系統(tǒng)。

實(shí)驗(yàn)中，取某一段時(shí)間內(nèi)100天的網(wǎng)絡(luò)攻擊數(shù)據(jù)集對服務(wù)層、主機(jī)層和系統(tǒng)層進(jìn)行層次化攻擊，作為攻擊數(shù)據(jù)集測試網(wǎng)絡(luò)威脅和安全態(tài)勢值的數(shù)據(jù)源，主機(jī)的安全威脅重要性指數(shù)分別設(shè)定為0.8，0.4 和0.5，網(wǎng)絡(luò)攻擊過程中，黑客攻擊模式包括 syn flood，land，teardrop等數(shù)18種攻擊模式。主成分網(wǎng)絡(luò)攻擊數(shù)據(jù)集采用Honeynet組織手機(jī)的黑客攻擊數(shù)據(jù)作為攻擊源，得到攻擊信號(hào)的原始波形如圖3所示。從圖3可知，原始攻擊信號(hào)對網(wǎng)絡(luò)隱寫信息傳遞系統(tǒng)進(jìn)行攻擊過程中，攻擊信號(hào)幾乎完全淹沒在噪聲背景中，無法有效攔截和識(shí)別攻擊信號(hào)。

圖3 攻擊信號(hào)

需要對圖3的攻擊信號(hào)進(jìn)行檢測，采用本文算法和傳統(tǒng)算法進(jìn)行攻擊信號(hào)檢測結(jié)果如圖4所示，對比可見，采用本文算法，能有效檢測出攻擊信號(hào)波峰明顯，而傳統(tǒng)算法在信噪比較低的情況下無法有效實(shí)現(xiàn)對攻擊信號(hào)的檢測，檢測峰值湮沒在噪聲中。

圖4 網(wǎng)絡(luò)隱寫信息傳遞系統(tǒng)攻擊信號(hào)檢測結(jié)果

采用蒙特卡洛實(shí)驗(yàn)，定量分析檢測性能可知，新算法能在－15 dB低信噪比背景下，傳統(tǒng)算法的檢測概率為63%，本文改進(jìn)算法的檢測概率為92%，正確檢測概率提升明顯，改進(jìn)算法的檢測性能整體比傳統(tǒng)算法優(yōu)越。研究成果展示了本文算法對攻擊信號(hào)優(yōu)越的檢測性能。

4 結(jié)束語

對加密數(shù)據(jù)的信息傳輸系統(tǒng)設(shè)計(jì)是整個(gè)網(wǎng)絡(luò)安全研究的重點(diǎn)，加密數(shù)據(jù)的保密性強(qiáng)，關(guān)系國家和公共安全，設(shè)計(jì)網(wǎng)絡(luò)隱寫信息傳遞系統(tǒng)實(shí)現(xiàn)對保密數(shù)據(jù)的傳輸通信。在網(wǎng)絡(luò)隱寫信息傳遞系統(tǒng)中，信息傳輸具有隱蔽性，多應(yīng)用在多加密信息的傳輸上，安全保密性較高，因此常遭到竊密木馬病毒的攻擊，研究網(wǎng)絡(luò)隱寫信息傳遞系統(tǒng)的高效攻擊檢測技術(shù)對保證加密數(shù)據(jù)的傳輸安全具有重要意義。提出一種基于多路復(fù)用波束域約束指向形成的網(wǎng)絡(luò)隱寫信息傳遞系統(tǒng)的高效攻擊檢測算法，構(gòu)建信號(hào)模型和系統(tǒng)模型進(jìn)行算法改進(jìn)設(shè)計(jì)，實(shí)驗(yàn)證明，本文算法能有效檢測出攻擊信號(hào)波峰明顯，抗噪能力強(qiáng)，檢測概率高，在網(wǎng)絡(luò)安全設(shè)計(jì)和信號(hào)檢測等領(lǐng)域都具有較為優(yōu)越的應(yīng)用價(jià)值。

［1］靳曉艷，周希元，張琬琳.多徑衰落信道中基于自適應(yīng)MCMC 的調(diào)制識(shí)別［J］.北京郵電大學(xué)學(xué)報(bào)，2014，37(1):31－34.

［2］饒雨泰，楊凡.網(wǎng)絡(luò)入侵?jǐn)噭?dòng)下的網(wǎng)絡(luò)失穩(wěn)控 制方法研究［J］.科技通報(bào)，2014，30(1):185 －188.

［3］ZHU Q Y，YANG X F，YANG L X，et al.Optimal control of computer virus under a delayed model［J］.Applied Mathematics and Computation，2012，218(23):11613 －11619.

［4］鄧兵，陶然，平殿發(fā)，等.基于分?jǐn)?shù)階傅里葉變換補(bǔ)償多普勒徙動(dòng)的動(dòng)目標(biāo)檢測算法［J］.兵工學(xué)報(bào)，2009，30(10):1034－1039.

［5］葉青，黃炎磊.非均勻分布入侵檢測模型的研究與仿真［J］.科技通報(bào)，2013，29(8):169 －171.

［6］趙鵬軍，邵澤軍.一種新的改進(jìn)的混合蛙跳算法［J］.計(jì)算機(jī)工程與應(yīng)用，2012，48(8):48 －50.

［7］夏秦，王志文，盧柯.入侵檢測系統(tǒng)利用信息熵檢測網(wǎng)絡(luò)攻擊的方法［J］.西安交通大學(xué)學(xué)報(bào)，2013，47(2):14－19.

［8］吳春瓊.基于特征選擇的網(wǎng)絡(luò)入侵檢測模型［J］.計(jì)算機(jī)仿真，2012，29(6):136 －139.

［9］王睿.一種基于回溯的Web上應(yīng)用層DDOS檢測防范機(jī)制［J］.計(jì)算機(jī)科學(xué)，2013，40(S2):175 －177.