王佳欣，魏　濤

(河南工程學(xué)院 計算機學(xué)院，河南 鄭州 451191)

?

基于多源波束形成的網(wǎng)絡(luò)攻擊特征提取算法研究

王佳欣，魏濤

(河南工程學(xué)院 計算機學(xué)院，河南 鄭州 451191)

摘要：提出了一種基于多源波束形成的網(wǎng)絡(luò)攻擊特征提取算法進行網(wǎng)絡(luò)攻擊檢測；構(gòu)建了多源分布下的網(wǎng)絡(luò)攻擊信號模型，實現(xiàn)了對網(wǎng)絡(luò)攻擊數(shù)據(jù)的采集和信號擬合；采用二階格型陷波器實現(xiàn)了對攻擊信號的抗干擾濾波處理；采用多源波束形成進行網(wǎng)絡(luò)攻擊的包絡(luò)特征提取，提高了網(wǎng)絡(luò)攻擊信號的空間增益和在時間尺度上的指向性.仿真結(jié)果表明，采用該算法進行網(wǎng)絡(luò)攻擊特征的提取，能有效提高對網(wǎng)絡(luò)攻擊檢測的準確概率，性能優(yōu)越，在網(wǎng)絡(luò)安全防御中有重要的應(yīng)用價值.

關(guān)鍵詞：波束形成；網(wǎng)絡(luò)攻擊；特征提??；網(wǎng)絡(luò)安全

在網(wǎng)絡(luò)環(huán)境中，網(wǎng)絡(luò)攻擊者通過發(fā)送大量的攻擊數(shù)據(jù)或植入木馬病毒，實現(xiàn)對計算機用戶信息的竊取，導(dǎo)致系統(tǒng)崩潰.網(wǎng)絡(luò)攻擊數(shù)據(jù)本質(zhì)上是一組多源寬帶調(diào)頻信號，具有多源特性，在網(wǎng)絡(luò)環(huán)境中往往被合法數(shù)據(jù)掩護，背景雜波干擾較強.當前的信號檢測方法難以實現(xiàn)對攻擊信號的有效檢測，需要研究一種高效的網(wǎng)絡(luò)攻擊信號特征提取算法，實現(xiàn)對網(wǎng)絡(luò)攻擊的主動防御，提高計算機系統(tǒng)和網(wǎng)絡(luò)用戶的安全性.

隨著信號處理和信息加工技術(shù)的快速發(fā)展，現(xiàn)代信號與信息處理理論被引入網(wǎng)絡(luò)安全檢測中，實現(xiàn)了信號分析和數(shù)據(jù)特征的提取，提高了對網(wǎng)絡(luò)攻擊和病毒的檢測能力，相關(guān)的算法研究已取得了一定的成果.文獻[1]提出了一種基于多傳感器組網(wǎng)時頻特征盲分離和高斯級聯(lián)濾波的網(wǎng)絡(luò)攻擊檢測和特征提取算法，通過提取網(wǎng)絡(luò)攻擊信號和病毒數(shù)據(jù)的時頻特征進行子空間降維和級聯(lián)降噪，實現(xiàn)網(wǎng)絡(luò)入侵檢測，但該算法計算開銷較大，對低信噪比下網(wǎng)絡(luò)攻擊的檢測性能不好.文獻[2]提出了一種基于分數(shù)階傅里葉變換和高階累積量后置聚焦的網(wǎng)絡(luò)攻擊檢測算法，采用雙門限能量檢測進行網(wǎng)絡(luò)攻擊信號的波束特征提取，提高了攻擊檢測的指向性，但是該方法在信噪比低于先驗閾值的情況下，對自相關(guān)特征較強的攻擊信號檢測的準確概率較低，虛警概率較高[3].針對上述問題，提出了一種基于多源波束形成的網(wǎng)絡(luò)攻擊特征提取算法實現(xiàn)信號檢測.首先,構(gòu)建多源分布下的網(wǎng)絡(luò)攻擊信號模型，實現(xiàn)對網(wǎng)絡(luò)攻擊數(shù)據(jù)的采集和信號擬合，然后采用二階格型濾波算法實現(xiàn)信號的抗干擾濾波處理，采用多源波束形成算法進行信號特征的提取，根據(jù)波束形成的結(jié)果實現(xiàn)攻擊源的自適應(yīng)指向和攻擊信號的準確檢測，并通過仿真實驗驗證了本算法在提高網(wǎng)絡(luò)攻擊檢測精度方面的優(yōu)越性能.

1網(wǎng)絡(luò)攻擊信號模型的構(gòu)建與抗干擾濾波預(yù)處理

1.1網(wǎng)絡(luò)結(jié)構(gòu)分析與網(wǎng)絡(luò)攻擊信號模型的構(gòu)建

為了實現(xiàn)對具有全方向性分布式多進攻源的網(wǎng)絡(luò)攻擊信號的檢測，首先需要進行多源分布式攻擊下的網(wǎng)絡(luò)結(jié)構(gòu)攻擊節(jié)點和干擾節(jié)點的擬合分析，實現(xiàn)網(wǎng)絡(luò)攻擊信號模型的構(gòu)建.本研究的網(wǎng)絡(luò)環(huán)境為跨平臺網(wǎng)絡(luò)系統(tǒng)，它支持用戶在任何終端和位置分享上千臺服務(wù)器的高速運算和數(shù)據(jù)管理的成果，但同時也給網(wǎng)絡(luò)入侵帶來了漏洞.在跨平臺網(wǎng)絡(luò)環(huán)境下，通信協(xié)議存在很大的差別，導(dǎo)致攻擊源具有多重分布屬性，在網(wǎng)絡(luò)攻擊的檢測中，分析跨平臺網(wǎng)絡(luò)環(huán)境下的網(wǎng)絡(luò)攻擊節(jié)點分布,模型如圖1所示.

圖1　多源攻擊節(jié)點分布Fig.1　Distribution of multi source attack nodes

結(jié)合圖1，給定跨平臺網(wǎng)絡(luò)應(yīng)用支撐層的無向圖模型G=(V,E)，其中節(jié)點v為應(yīng)用業(yè)務(wù)層中任一節(jié)點,即v∈V；應(yīng)用業(yè)務(wù)層連邊e為網(wǎng)絡(luò)中任一連邊,即e∈E;網(wǎng)絡(luò)攻擊源在進行網(wǎng)絡(luò)攻擊過程中的信道帶寬Ts=KbTf;攻擊對象中間件的高階累積量結(jié)構(gòu)定義為Gs=(V,E);每個簇頭節(jié)點幀分為N×N單位陣，通過多源分布式病毒植入，實現(xiàn)對跨平臺網(wǎng)絡(luò)接入服務(wù)的中斷，達到病毒入侵的目的.在跨平臺網(wǎng)絡(luò)環(huán)境中，多源攻擊分布式特征的中間件為Gz=(Vz，Ez)且Gz?Gs.根據(jù)上述多源攻擊節(jié)點分布式模型的分析，在色噪聲背景干擾下進行網(wǎng)絡(luò)攻擊信號模型的構(gòu)建，網(wǎng)絡(luò)攻擊信號為一組多源寬帶調(diào)頻信號，具有時頻尺度耦合性.假設(shè)網(wǎng)絡(luò)多源攻擊系統(tǒng)是一個三維連續(xù)的MIMO系統(tǒng)，攻擊信號是時變非平穩(wěn)的，在多源攻擊節(jié)點的相位為均勻采樣時，基于時間-頻率聯(lián)合分布特征估計可得到網(wǎng)絡(luò)攻擊的單分量信號模型:

(1)

采用連續(xù)小波變化對網(wǎng)絡(luò)攻擊信號進行經(jīng)驗?zāi)B(tài)特征分解，得到一組表征網(wǎng)絡(luò)攻擊信號內(nèi)部細節(jié)特征的時間尺度a和時間平移b的二維函數(shù).采用的小波函數(shù)為母小波ψ(t)，對網(wǎng)絡(luò)攻擊信號進行小波分解的變換過程表達式為

(2)

式中:小波函數(shù)族ψa,b由ψ(t)執(zhí)行更新平滑，時頻面內(nèi)旋轉(zhuǎn)任意相位角度，當采集的網(wǎng)絡(luò)攻擊信號x(k)=s(k)+w(k)是準平穩(wěn)隨機信號時，在有限的信噪比作用下，網(wǎng)絡(luò)攻擊信號的尺度仿射變換為

(3)

(4)

通過上述處理可知，采用小波尺度分解結(jié)合仿射變化實現(xiàn)對網(wǎng)絡(luò)攻擊信號的數(shù)學(xué)模型構(gòu)建，將保持原有的分布特性，使網(wǎng)絡(luò)攻擊信號在小波基函數(shù)的時頻空間中保持最佳的沖擊脈沖函數(shù).將網(wǎng)絡(luò)攻擊信號作為母小波函數(shù)，保證了網(wǎng)絡(luò)攻擊信號多源波束的聚焦指向性，為實現(xiàn)網(wǎng)絡(luò)攻擊的特征提取和準確檢測奠定了基礎(chǔ).

1.2信號濾波抗干擾預(yù)處理

采用自適應(yīng)IIR陷波器原理構(gòu)建二階格型陷波器結(jié)構(gòu)，由于自適應(yīng)IIR陷波能有效實現(xiàn)對網(wǎng)絡(luò)攻擊信號的譜增強和噪聲抵消，在網(wǎng)絡(luò)攻擊檢測濾波中具有較好的應(yīng)用價值[4]，二階格型陷波器結(jié)構(gòu)如圖2所示.

圖2　二階格型陷波器結(jié)構(gòu)Fig.2　Block diagram of the two order lattice notch filter

θ1(k+1)=θ1(k)-μRe[y(k)φ*(k)],

(5)

式中:μ是網(wǎng)絡(luò)攻擊檢測的離散時間線性系統(tǒng)收斂控制參數(shù)，稱為步長；φ(k)是輸出期望響應(yīng)信號y(k)對參數(shù)θ1(k)的差分，稱為沖擊響應(yīng)信號，它是由輸入信號u(k)按一定準則進行線性時變處理得到的.通過上述分析，得到陷波器的傳輸函數(shù)

(6)

式中：

(7)

輸入的網(wǎng)絡(luò)攻擊信號u(k)經(jīng)過自適應(yīng)IIR處理后，輸出信號與期望響應(yīng)信號之間的誤差達到最小，令d(k)代表所期望的抗干擾濾波輸出響應(yīng)，得到誤差信號

(8)

式(8)兩邊取數(shù)學(xué)期望，實現(xiàn)對攻擊信號的抗干擾濾波處理，使均方誤差函數(shù)的梯度最小，提高了信號的純度，有利于提高檢測精度.

2波束形成與網(wǎng)絡(luò)攻擊特征提取改進算法的實現(xiàn)

2.1多源波束形成算法

在網(wǎng)絡(luò)攻擊信號模型構(gòu)建和濾波預(yù)處理的基礎(chǔ)上，進行網(wǎng)絡(luò)攻擊的特征提取和檢測.如果給定N個網(wǎng)絡(luò)攻擊信號的采樣數(shù)據(jù)x(n)，n=1,2,…,N，采用雙線性變換方法處理網(wǎng)絡(luò)攻擊信號的幅度和頻率在s域和z域上的對應(yīng)關(guān)系，進行頻譜混迭，計算出網(wǎng)絡(luò)攻擊信號的矩形包絡(luò)，得到雙線性變換后的網(wǎng)絡(luò)攻擊信號形式：

(9)

式中:Φk為瞬時頻率，ζ(n)為兩個時間點之間的歐氏距離，pk為尺度參數(shù).頻譜畸變部分估計為

(10)

式中:bk為信號幅值，φ為相位角，m為期望的響應(yīng)，ck為梯度下降系數(shù).式(10)表示的是在已知干擾線譜中的多源攻擊特征的高維特征矢量，對上述高維特征矢量進行多源波束形成處理，采用自適應(yīng)波束形成器[5]，得到輸出的多源波束包絡(luò)形式為

(11)

(12)

2.2網(wǎng)絡(luò)攻擊信號的特征提取和檢測算法的實現(xiàn)

在進行上述網(wǎng)絡(luò)攻擊信號的多源波束形成的基礎(chǔ)上，進行波束包絡(luò)的特征提取和信號檢測，分析多源波束形成輸出的頻譜畸變關(guān)系，利用網(wǎng)絡(luò)攻擊信號的多維相空間的指向性波束特征得到網(wǎng)絡(luò)攻擊信號幅頻響應(yīng)特征的非均勻采樣輸出為

(13)

式中：τ為采樣時延，ck為高階譜，φ為采樣間隔的相位差，bk為加權(quán)權(quán)重.假設(shè)y(k)為多維參量混合估計后得到的近似統(tǒng)計平均值，根據(jù)攻擊信號高斯隨機線性分離不變特性，結(jié)合多源波束形成后輸出的本征波時頻特征進行網(wǎng)絡(luò)攻擊信號的頻譜檢測，自相關(guān)變量X由隨機獨立變量Si(i=1,2,…,N)隨機組合而成.這些隨機分離變量的方差和均值服從于高斯分布，在信號檢測過程中，通過非高斯函數(shù)極限幅頻特性可以最大限度地對各獨立的變量進行包絡(luò)特征檢測，提高信號的頻域聚焦能力.網(wǎng)絡(luò)攻擊信號的時移不變性和頻移不變性特征表達式為

(14)

式中：x(t)為原始信號，t0為初始采樣時間點，Wy(t,v)為時頻伸縮量，v0為功率頻率，v為色噪聲強度.攻擊信號在時間尺度上的伸縮變化可以用時間平移關(guān)系描述為

(15)

(16)

通過上述分析可知，采用多源波束形成提高了網(wǎng)絡(luò)攻擊信號的空間增益和在時間尺度上的指向性，從而提高了信號檢測性能，由此實現(xiàn)了算法改進.

3仿真實驗與結(jié)果分析

為了測試本算法在實現(xiàn)多源網(wǎng)絡(luò)攻擊的特征提取和信號檢測中的性能，進行仿真實驗.網(wǎng)絡(luò)攻擊數(shù)據(jù)樣本采集于MIT林肯實驗室的KDDCup2015病毒數(shù)據(jù)庫，在攻擊樣本數(shù)據(jù)的采集過程中，離散采樣率為fs=10*f0=10kHz，樣本長度為2 018，對病毒數(shù)據(jù)庫的訪問次數(shù)為102 498次，攻擊信號樣本數(shù)為998.使用上述數(shù)據(jù)采集結(jié)果進行信號模型構(gòu)建，得到網(wǎng)絡(luò)攻擊信號的帶寬B=1 000Hz,二階格型陷波器的權(quán)重系數(shù)μ0=0.001，θ2=0.45π，自適應(yīng)步長參數(shù)μ=0.000 2，干擾為n(k)=nr(k)+jni(k)，其中nr(k)和ni(k)是均值為0、方差為1的高斯色噪聲，信噪比為-12dB，信號幅值取為A1=A2=A3=1，初始值選為θ1=-0.3π.在上述仿真環(huán)境和參數(shù)設(shè)定的基礎(chǔ)上進行網(wǎng)絡(luò)攻擊的特征提取和檢測，首先要進行攻擊信號模型的構(gòu)建，得到10個攻擊源陣列上攻擊信號的時域波形，如圖3所示.

以上述攻擊信號為測試樣本和研究對象，進行攻擊信號的波束形成處理和特征提取，采用本設(shè)計的二階格型陷波器進行抗干擾濾波，得到濾波前后的攻擊信號多源波束形成歸一化幅值，如圖4所示.

圖3　不同攻擊源的信號時域波形Fig.3　Signal time domain waveform of different attack sources

圖4　濾波前后的波束形成歸一化幅值Fig.4　Normalized amplitude of beam forming before and after filtering

從圖4可見，采用本算法進行網(wǎng)絡(luò)攻擊信號的抗干擾濾波，實現(xiàn)了信號的波束形成和特征提取，具有較好的抗干擾性能，有效抑制了旁瓣波束的干擾，提高了波束的指向性，改善了波束包絡(luò)特征的準確性，從而提高了網(wǎng)絡(luò)攻擊的檢測性能.為了定量分析本算法在實現(xiàn)攻擊檢測中的性能，采用本算法和時頻分析方法進行了攻擊檢測的對比，在信噪比為-20～10dB時，通過10 000次MonteCarlo實驗，得到的檢測性能曲線如圖5所示.從圖5可見，采用本算法進行網(wǎng)絡(luò)攻擊的多源波束形成，實現(xiàn)了包絡(luò)的特征提取，檢測概率比傳統(tǒng)方法高很多，檢測性能優(yōu)越.

圖5　性能對比Fig.5　Performance comparison

4結(jié)語

提出了一種基于多源波束形成的網(wǎng)絡(luò)攻擊特征提取算法，進行網(wǎng)絡(luò)攻擊信號的檢測，利用該算法進行網(wǎng)絡(luò)攻擊包絡(luò)特征的提取，提高了對攻擊源時頻特征的包絡(luò)指向性，改善了檢測性能.仿真結(jié)果表明，采用該算法進行攻擊信號的特征提取和檢測，指向性較好，準確檢測的概率較高，保障了網(wǎng)絡(luò)安全.

參考文獻：

[1]張輝.自體集網(wǎng)絡(luò)攻擊檢測中的高效尋優(yōu)算法仿真[J].計算機仿真，2013,30(8):297-300.

[2]章武媚,陳慶章.引入偏移量遞階控制的網(wǎng)絡(luò)入侵HHT檢測算法[J].計算機科學(xué),2014,41(12):107-111.

[3]張永錚,肖軍,云曉春，等.DDoS攻擊檢測和控制[J].軟件學(xué)報,2012,23(8):2258-2072.

[4]夏秦，王志文，盧柯.入侵檢測系統(tǒng)利用信息熵檢測網(wǎng)絡(luò)攻擊的方法[J].西安交通大學(xué)學(xué)報：自然科學(xué)版,2013,47(2):14-19.

[5]葉青,黃炎磊.非均勻分布入侵檢測模型的研究與仿真[J].科技通報,2013,29(8):169-171.

Research on feature extraction algorithm of network attack based on multi source beamforming

WANG Jiaxin，WEI Tao

(CollegeofComputer,HenanUniversityofEngineering,Zhengzhou451191,China)

Abstract:A new method of network attack feature extraction based on multi source beamforming is proposed. The model of network attack signal is constructed, which is based on the data of network attack, and the two order lattice notch filter is applied in signal filtering. The envelope of the signal is extracted by using multi source beamforming. The spatial gain of the signal and the direction of the time scale are improved. The simulation results show that the algorithm can effectively improve the accuracy of the detection of network attacks, and has an important application value in the network security defense.

Key words:beamforming; network attack; feature extraction; network security

中圖分類號：TP393

文獻標志碼：A

文章編號：1674-330X(2016)01-0069-05

作者簡介：王佳欣(1983-)，男，河南洛陽人，講師，主要從事計算機應(yīng)用方面的研究.

基金項目：河南省教育廳科學(xué)技術(shù)研究重點項目(15A520055)

收稿日期：2015-11-20