王莉莉 張建軍

摘 ?要： 為了提高網(wǎng)絡(luò)入侵的檢測(cè)能力和盲取證能力，進(jìn)行網(wǎng)絡(luò)入侵節(jié)點(diǎn)的盲取證技術(shù)研究，提出基于分組鏈路轉(zhuǎn)發(fā)協(xié)議融合的網(wǎng)絡(luò)入侵節(jié)點(diǎn)的盲取證技術(shù)。構(gòu)建入侵網(wǎng)絡(luò)節(jié)點(diǎn)的分組鏈路轉(zhuǎn)發(fā)模型，采用融合濾波控制方法進(jìn)行網(wǎng)絡(luò)入侵節(jié)點(diǎn)的差異性特征提取，根據(jù)提取入侵節(jié)點(diǎn)的差異性譜特征量進(jìn)行盲源定位，采用自相關(guān)檢測(cè)器進(jìn)行網(wǎng)絡(luò)入侵節(jié)點(diǎn)的可靠性分離，結(jié)合模糊決策方法構(gòu)建入侵節(jié)點(diǎn)盲取證的判決統(tǒng)計(jì)量，采用門限閾值判斷方法，結(jié)合分組鏈路轉(zhuǎn)發(fā)協(xié)議實(shí)現(xiàn)路由融合，從而完成入侵節(jié)點(diǎn)的準(zhǔn)確定位和盲取證。仿真結(jié)果表明，采用該方法進(jìn)行網(wǎng)絡(luò)入侵節(jié)點(diǎn)的盲取證，對(duì)入侵節(jié)點(diǎn)的定位性能較好，提高了網(wǎng)絡(luò)入侵的檢測(cè)能力，確保網(wǎng)絡(luò)安全。

關(guān)鍵詞： 網(wǎng)絡(luò)入侵; 節(jié)點(diǎn); 盲取證; 盲源定位; 分組轉(zhuǎn)發(fā)協(xié)議; 模糊決策方法

中圖分類號(hào)： TN915.08?34; TP393 ? ? ? ? ? ? ? ? ?文獻(xiàn)標(biāo)識(shí)碼： A ? ? ? ? ? ? ? ? ? 文章編號(hào)： 1004?373X（2019）09?0051?04

Research and simulation of blind forensics technology for network intrusion node

WANG Lili， ZHANG Jianjun

（Youth College of Political Science of Inner Mongolia Normal University， Hohhot 010000， China）

Abstract： In order to improve the abilities of network intrusion detection and blind forensics， the blind forensics technology of network intrusion node is studied， and the blind forensics technology of network intrusion node is proposed on the basis of packet link forwarding protocol fusion. The packet link forwarding model of the network intrusion node is constructed. The fusion filtering control method is used to extract the difference feature of the network intrusion node. The blind source location is carried out according to the extracted difference spectrum characteristic quantity of the intrusion node. The self?correlation detector is adopted to perform the reliability separation of the network intrusion nodes， and combined with the fuzzy decision method to construct the decision statistics of blind forensics of the intrusion nodes. The threshold judgment method is adopted and combined with the packet link forwarding protocol to realize the routing fusion， and complete the accurate location and blind forensics of intrusion node. The simulation results show that the proposed method used for blind forensics of network intrusion node has higher localization performance， and can improve the detection ability of network intrusion， and ensure the network security.

Keywords： network intrusion; node; blind forensics; blind source location; packet forwarding protocol; fuzzy decision method

0 ?引 ?言

隨著網(wǎng)絡(luò)對(duì)抗的不斷升級(jí)，網(wǎng)絡(luò)入侵的隱蔽性越來越強(qiáng)，在分布式的多源組網(wǎng)環(huán)境下，網(wǎng)絡(luò)入侵節(jié)點(diǎn)具有很強(qiáng)的關(guān)聯(lián)耦合性和不可逆性，對(duì)網(wǎng)絡(luò)入侵節(jié)點(diǎn)的檢測(cè)難度較大，需要研究一種有效的網(wǎng)絡(luò)入侵節(jié)點(diǎn)的檢測(cè)和取證方法，提高網(wǎng)絡(luò)入侵的安全防御能力。研究在多源分布網(wǎng)絡(luò)環(huán)境下的網(wǎng)絡(luò)入侵節(jié)點(diǎn)的盲取證方法，將在網(wǎng)絡(luò)安全檢測(cè)領(lǐng)域具有很好的應(yīng)用價(jià)值[1]。

對(duì)網(wǎng)絡(luò)入侵節(jié)點(diǎn)的盲取證研究建立在網(wǎng)絡(luò)入侵的信號(hào)特征分析和特征提取基礎(chǔ)上，通過構(gòu)建網(wǎng)絡(luò)入侵的檢測(cè)統(tǒng)計(jì)量模型，結(jié)合統(tǒng)計(jì)特征分析方法實(shí)現(xiàn)網(wǎng)絡(luò)入侵節(jié)點(diǎn)的盲源定位和檢測(cè)，具有很好的取證效果。傳統(tǒng)方法主要有Cache一致性檢測(cè)方法、二維譜峰搜索方法、自相關(guān)取證檢測(cè)方法、編碼取證方法等[2?4]，通過提取網(wǎng)絡(luò)入侵特征分布的樣本序列，結(jié)合融合濾波和自相關(guān)特征匹配方法實(shí)現(xiàn)網(wǎng)絡(luò)入侵檢測(cè)，具有很好的檢測(cè)性能，但上述方法進(jìn)行網(wǎng)絡(luò)入侵節(jié)點(diǎn)的盲取證過程容易受到節(jié)點(diǎn)與節(jié)點(diǎn)的干擾作用，導(dǎo)致對(duì)入侵節(jié)點(diǎn)的盲取證準(zhǔn)確性不好。文獻(xiàn)[5]提出最小均方誤差準(zhǔn)則的網(wǎng)絡(luò)入侵節(jié)點(diǎn)的倒追檢測(cè)和盲取證方法，采用能量融合信道均衡方法進(jìn)行路由節(jié)點(diǎn)分發(fā)控制，提高入侵節(jié)點(diǎn)檢測(cè)中的自適應(yīng)轉(zhuǎn)發(fā)控制能力。文獻(xiàn)[6]提出一種基于節(jié)點(diǎn)自身的剩余能量均衡控制博弈的入侵檢測(cè)方法，實(shí)現(xiàn)入侵節(jié)點(diǎn)的盲源定位和特征分離，該方法進(jìn)行入侵節(jié)點(diǎn)的盲取證過程存在計(jì)算開銷過大的問題。

針對(duì)上述問題，本文提出基于分組鏈路轉(zhuǎn)發(fā)協(xié)議融合的網(wǎng)絡(luò)入侵節(jié)點(diǎn)的盲取證技術(shù)，構(gòu)建入侵網(wǎng)絡(luò)節(jié)點(diǎn)的分組鏈路轉(zhuǎn)發(fā)模型，根據(jù)提取到入侵節(jié)點(diǎn)的差異性譜特征量進(jìn)行盲源定位，采用自相關(guān)檢測(cè)器進(jìn)行網(wǎng)絡(luò)入侵節(jié)點(diǎn)的可靠性分離。結(jié)合模糊決策方法構(gòu)建入侵節(jié)點(diǎn)盲取證的判決統(tǒng)計(jì)量，實(shí)現(xiàn)網(wǎng)絡(luò)入侵節(jié)點(diǎn)的盲取證優(yōu)化，最后進(jìn)行仿真測(cè)試，展示了本文方法在提高網(wǎng)絡(luò)入侵節(jié)點(diǎn)盲取證和檢測(cè)中的優(yōu)越性能。

1 ?網(wǎng)絡(luò)節(jié)點(diǎn)分布模型

1.1 ?網(wǎng)絡(luò)節(jié)點(diǎn)的分組鏈路轉(zhuǎn)發(fā)模型

假設(shè)在網(wǎng)絡(luò)節(jié)點(diǎn)的陣元分布區(qū)域中，節(jié)點(diǎn)的分布模型用二元有向圖表示為[G=（V，E）]，用分布式網(wǎng)絡(luò)分簇協(xié)議進(jìn)行網(wǎng)絡(luò)節(jié)點(diǎn)的盲取證和定位，假設(shè)分組路由轉(zhuǎn)發(fā)網(wǎng)絡(luò)的[N]個(gè)節(jié)點(diǎn)，在超寬帶傳輸控制下，根據(jù)能量均衡博弈進(jìn)行網(wǎng)絡(luò)節(jié)點(diǎn)的比特率和能量關(guān)系分析，得到入侵節(jié)點(diǎn)的關(guān)聯(lián)分布特征量滿足：[F=i=1N+1-Li2log1+pi-j=1N+1mjDj]。在最小代價(jià)約束下，入侵節(jié)點(diǎn)的自適應(yīng)轉(zhuǎn)發(fā)控制協(xié)議為[c=a⊕b]，使用負(fù)載均衡（Load?Balancing）策略進(jìn)行網(wǎng)絡(luò)入侵節(jié)點(diǎn)的邊緣特征檢測(cè)[7]。當(dāng)入侵節(jié)點(diǎn)的支配點(diǎn)集的邊向量為[u]，在入侵位置采用譜特征檢測(cè)方法得到節(jié)點(diǎn)的入侵位置為[ηn∈Ωη，n=1，2，…，N]，在網(wǎng)絡(luò)入侵節(jié)點(diǎn)的有向向量集中，在最短路徑和最小跳數(shù)約束下，得到網(wǎng)絡(luò)入侵節(jié)點(diǎn)的博弈均衡控制矩陣為[P*=[p1，p2，…，pmax]T]，在滿足凸優(yōu)化條件下得到入侵節(jié)點(diǎn)的路由[n]的位置為[xηn]，根據(jù)路由轉(zhuǎn)發(fā)位置進(jìn)行分組交換設(shè)計(jì)[8]，由此得到網(wǎng)絡(luò)入侵下的節(jié)點(diǎn)分布模型如圖1所示。

在圖1所示的節(jié)點(diǎn)拓?fù)浣Y(jié)構(gòu)模型中，網(wǎng)絡(luò)路由節(jié)點(diǎn)分別為[p]和[q]，鏈路分布距離[l]的兩個(gè)節(jié)點(diǎn)之間的關(guān)聯(lián)特征量為：

根據(jù)節(jié)點(diǎn)的活躍度進(jìn)行節(jié)點(diǎn)入侵的可靠性評(píng)估，可靠性評(píng)估系數(shù)[Fi1=1Pi1]，由此構(gòu)建網(wǎng)絡(luò)節(jié)點(diǎn)的分組鏈路轉(zhuǎn)發(fā)模型，路由協(xié)議可描述為如下形式：

在多重節(jié)點(diǎn)分布模式下，采用匯聚鏈路控制方法進(jìn)行節(jié)點(diǎn)的分組檢測(cè)和信息融合，提高對(duì)網(wǎng)絡(luò)入侵節(jié)點(diǎn)的定位和取證能力[9]。

圖1 ?網(wǎng)絡(luò)入侵下的節(jié)點(diǎn)分布模型

1.2 ?網(wǎng)絡(luò)入侵節(jié)點(diǎn)的差異性特征提取

采用融合濾波控制方法進(jìn)行網(wǎng)絡(luò)入侵節(jié)點(diǎn)的差異性特征提取，初始化網(wǎng)絡(luò)節(jié)點(diǎn)的位置[p∈][[0，p1，p2，…，pmax]]，采用隨機(jī)抽取方法進(jìn)行網(wǎng)絡(luò)入侵節(jié)點(diǎn)的敏感性分析，初始敏感值為[CHi（i∈C）]，簇首節(jié)點(diǎn)的靈敏度系數(shù)為[l=0]。令[fpi=-Li2log1+pi]，根據(jù)節(jié)點(diǎn)連通的優(yōu)先級(jí)[E=E1?E2?E3]得到鄰居節(jié)點(diǎn)作為入侵節(jié)點(diǎn)的概率分布統(tǒng)計(jì)量為：

圖2 ?網(wǎng)絡(luò)入侵節(jié)點(diǎn)定位鏈路模型

在圖2所示的鏈路模型中，采用融合濾波控制方法進(jìn)行網(wǎng)絡(luò)入侵節(jié)點(diǎn)的差異性特征提取，得到特征提取結(jié)果為[W（p）=GTp2-Cp+αT]，[W（p）]是關(guān)于節(jié)點(diǎn)的自由鏈路集[p]的二次函數(shù)。

2 ?網(wǎng)絡(luò)入侵節(jié)點(diǎn)的盲取證算法設(shè)計(jì)

2.1 ?入侵節(jié)點(diǎn)模糊決策

構(gòu)建入侵網(wǎng)絡(luò)節(jié)點(diǎn)的分組鏈路轉(zhuǎn)發(fā)模型，采用融合濾波控制方法進(jìn)行網(wǎng)絡(luò)入侵節(jié)點(diǎn)的差異性特征提取，根據(jù)提取到的入侵節(jié)點(diǎn)的差異性譜特征量進(jìn)行盲源定位[10?12]，得到節(jié)點(diǎn)入侵的盲取證判決統(tǒng)計(jì)量為：

當(dāng)入侵節(jié)點(diǎn)的最小化均方根誤差[MSE=][Ee（n）2>K]時(shí)，取較小的[α2]和[β2]進(jìn)行差異性譜特征分析，進(jìn)行入侵節(jié)點(diǎn)的輸出譜特征量的差異化補(bǔ)償[13]，采用盲均衡方法進(jìn)行入侵節(jié)點(diǎn)的特征分解，盲均衡器如圖3所示。

圖3 ?網(wǎng)絡(luò)入侵檢測(cè)的盲均衡器

2.2 ?入侵節(jié)點(diǎn)及盲取證

采用自相關(guān)檢測(cè)器進(jìn)行網(wǎng)絡(luò)入侵節(jié)點(diǎn)的可靠性分離，結(jié)合模糊決策方法構(gòu)建入侵節(jié)點(diǎn)盲取證的判決統(tǒng)計(jì)量，網(wǎng)絡(luò)入侵節(jié)點(diǎn)的分離輸出為：

式中：[Newi=（ei，1，ei2，…，eiD）]，提取網(wǎng)絡(luò)入侵節(jié)點(diǎn)在單鏈路傳輸下的能量譜特征[ht=iaitδt-iTS]，根據(jù)提取的特征量進(jìn)行路由沖突重組，采用門限閾值判斷方法[14]，結(jié)合分組鏈路轉(zhuǎn)發(fā)協(xié)議實(shí)現(xiàn)路由融合，實(shí)現(xiàn)節(jié)點(diǎn)盲取證，步驟描述如下：

步驟1：路由沖突時(shí)隙初始化和節(jié)點(diǎn)初始化，[X（k+1k）=f（X（kk））]。

步驟2：計(jì)算簇首節(jié)點(diǎn)的能量譜，得到在網(wǎng)絡(luò)入侵下的第[j]個(gè)路由探測(cè)協(xié)議。

步驟3：在節(jié)點(diǎn)匯聚鏈路中進(jìn)行信息增強(qiáng)，提取到入侵節(jié)點(diǎn)的差異性譜特征量進(jìn)行盲源定位，得到入侵節(jié)點(diǎn)定位的覆蓋點(diǎn)集。

步驟4：使用接納控制后得到SINR值，得到簇首節(jié)點(diǎn)發(fā)射功率[Ωi（t）=γthσ2hi[G-（N（l）-1）γth]]。

步驟5：在鄰居節(jié)點(diǎn)[PN×1]中計(jì)算輸出增益值[hi=hmin（l）]且[Γi≤γth]，則令[pi（l+1）=0]，結(jié)合自適應(yīng)路由均衡控制方法，得到輸出鏈路集[pi（l+1）=min（pmax，Ωi（l+1））]，如果剩余活動(dòng)節(jié)點(diǎn)的譜分量增益值[hi≠hmin（l）]且[Ωi（l）>0]，得到的入侵節(jié)點(diǎn)的定位結(jié)果為求[pi]的一階偏導(dǎo)數(shù)：

步驟6：根據(jù)判決門限進(jìn)行自適應(yīng)迭代，直到滿足收斂準(zhǔn)則，結(jié)束。

綜上分析，得到本文設(shè)計(jì)的網(wǎng)絡(luò)入侵節(jié)點(diǎn)的盲取證實(shí)現(xiàn)流程如圖4所示。

圖4 ?網(wǎng)絡(luò)入侵節(jié)點(diǎn)的盲取證實(shí)現(xiàn)流程圖

3 ?仿真測(cè)試

通過仿真實(shí)驗(yàn)測(cè)試本文方法進(jìn)行網(wǎng)絡(luò)入侵節(jié)點(diǎn)的盲取證和檢測(cè)中的應(yīng)用性能，設(shè)置網(wǎng)絡(luò)的節(jié)點(diǎn)分布區(qū)域?yàn)?50×250，節(jié)點(diǎn)的初始發(fā)射功率為[Pe=0.18]，對(duì)網(wǎng)絡(luò)入侵節(jié)點(diǎn)的初始檢測(cè)概率為[Pd=0.90]，網(wǎng)絡(luò)的分布層數(shù)設(shè)定為[m=3]，對(duì)節(jié)點(diǎn)的輸出信息的采樣頻率為100 kHz，測(cè)試數(shù)據(jù)集的長(zhǎng)度為1 024，根據(jù)上述仿真參量設(shè)定，得到入侵節(jié)點(diǎn)的輸出數(shù)據(jù)采樣結(jié)果如圖5所示。

圖5 ?入侵節(jié)點(diǎn)的輸出數(shù)據(jù)采樣結(jié)果

以圖5的采樣數(shù)據(jù)作為研究對(duì)象，采用本文方法進(jìn)行入侵節(jié)點(diǎn)的盲取證，得到入侵節(jié)點(diǎn)定位盲取證結(jié)果如圖6所示。

圖6 ?入侵節(jié)點(diǎn)定位盲取證結(jié)果

分析圖6得知，采用本文方法進(jìn)行入侵節(jié)點(diǎn)盲取證，對(duì)入侵節(jié)點(diǎn)的分類識(shí)別和定位準(zhǔn)確性較好，測(cè)試入侵檢測(cè)性能，得到對(duì)比結(jié)果見表1，分析得知，本文方法進(jìn)行入侵節(jié)點(diǎn)的盲取證，對(duì)入侵檢測(cè)的準(zhǔn)確率較高，性能較好。

表1 ?入侵檢測(cè)準(zhǔn)確性對(duì)比

4 ?結(jié) ?語

本文設(shè)計(jì)了一種有效的網(wǎng)絡(luò)入侵節(jié)點(diǎn)的檢測(cè)和取證方法，提高了網(wǎng)絡(luò)入侵的安全防御能力。構(gòu)建網(wǎng)絡(luò)入侵的檢測(cè)統(tǒng)計(jì)量模型，結(jié)合統(tǒng)計(jì)特征分析方法實(shí)現(xiàn)網(wǎng)絡(luò)入侵節(jié)點(diǎn)的盲源定位和檢測(cè)。基于分組鏈路轉(zhuǎn)發(fā)協(xié)議融合的網(wǎng)絡(luò)入侵節(jié)點(diǎn)的盲取證技術(shù)，提取入侵節(jié)點(diǎn)的差異性譜特征量進(jìn)行盲源定位，結(jié)合模糊決策方法構(gòu)建入侵節(jié)點(diǎn)盲取證的判決統(tǒng)計(jì)量，實(shí)現(xiàn)入侵節(jié)點(diǎn)準(zhǔn)確定位和盲取證。研究得知，本文方法進(jìn)行入侵節(jié)點(diǎn)盲取證能提高入侵檢測(cè)能力。

參考文獻(xiàn)

[1] 章武媚，陳慶章.引入偏移量遞階控制的網(wǎng)絡(luò)入侵HHT檢測(cè)算法[J].計(jì)算機(jī)科學(xué)，2014，41（12）：107?111.

ZHANG Wumei， CHEN Qingzhang. Network intrusion detection algorithm based on HHT with shift hierarchical control [J]. Computer science， 2014， 41（12）： 107?111.

[2] MARIMON M C， TANGONAN G， LIBATIQUE N J， et al. Development and evaluation of wave sensor nodes for ocean wave monitoring [J]. IEEE systems journal， 2015， 9（1）： 292?302.

[3] JEON W S， HAN J A， DONG G J. A novel MAC scheme for multichannel cognitive radio Ad Hoc networks [J]. IEEE tran?sactions on mobile computing， 2012， 11（6）： 922?934.

[4] AHSEN M， HASSAN S A. A Poisson point process model for coverage analysis of multi?hop cooperative networks [C]// Proceedings of the 2015 International Wireless Communications and Mobile Computing Conference. Dubrovnik： IEEE， 2015： 442?447.

[5] GENNARELLI G， SOLDOVIERI F. Multipath ghosts in radar imaging： physical insight and mitigation strategies [J]. IEEE journal of selected topics in applied earth observations and remote sensing， 2014， 8（3）： 1078?1086.

[6] XIU C， BA F. Target tracking based on the improved Camshift method [C]// Proceedings of the 2016 Chinese Control and Decision Conference. Yinchuan， China： IEEE， 2016： 3600?3604.

[7] 李梓楊，于炯，卞琛，等.基于負(fù)載感知的數(shù)據(jù)流動(dòng)態(tài)負(fù)載均衡策略[J].計(jì)算機(jī)應(yīng)用，2017，37（10）：2760?2766.

LI Ziyang， YU Jiong， BIAN Chen， et al. Dynamic data stream load balancing strategy based on load awareness [J]. Journal of computer applications， 2017， 37（10）： 2760?2766.

[8] SHI Zhan， XIN Yu， SUN Yue， et al. Task allocation mechanism for crowdsourcing system based on reliability of users [J]. Journal of computer applications， 2017， 37（9）： 2449?2453.

[9] CHEUNG M H， SOUTHWELL R， HOU F， et al. Distributed time?sensitive task selection in mobile crowdsensing [C]// Proceedings of the 16th ACM International Symposium on Mobile Ad Hoc Networking and Computing. New York： ACM， 2015： 157?166.

[10] 秦寧寧，余穎華，吳德恩.移動(dòng)混合傳感網(wǎng)中節(jié)點(diǎn)自主部署算法[J].電子與信息學(xué)報(bào)，2016，38（7）：1838?1842.

QIN Ningning， YU Yinghua， WU Deen. Autonomous deployment algorithm in mobile heterogeneous networks [J]. Journal of electronic and information technology， 2016， 38（7）： 1838?1842.

[11] MAHBOUBI H， MOEZZI K， AGHDAM A G， et al. Distributed deployment algorithms for improved coverage in a network of wireless mobile sensors [J]. IEEE transactions on industrial informatics， 2014， 10（1）： 163?174.

[12] MAHBOUBI H. Distributed deployment algorithms for efficient coverage in a network of mobile sensors with nonidentical sensing capabilities [J]. IEEE transactions on vehicular technology， 2014， 63（8）： 3998?4016.

[13] 陳凱，許海銘，徐震，等.適用于移動(dòng)云計(jì)算的抗中間人攻擊的SSP方案[J].電子學(xué)報(bào)，2016，44（8）：1806?1813.

CHEN Kai， XU Haiming， XU Zhen， et al. Hash?based secure simple pairing for preventing man?in?the?middle attacks in mobile cloud computing [J]. Acta electronica Sinica， 2016， 44（8）： 1806?1813.

[14] AREFI M M， ZAREI J， KARIMI H R. Adaptive output feedback neural network control of uncertain non?affine systems with unknown control direction [J]. Journal of the Franklin Institute， 2014， 351（8）： 4302?4316.