基于大數(shù)據(jù)的半分布式僵尸網(wǎng)絡動態(tài)抑制算法

劉張榕

(福建林業(yè)職業(yè)技術(shù)學院自動化工程系,福建 南平 353000)

0 引 言

隨著網(wǎng)絡信息傳輸技術(shù)的發(fā)展，網(wǎng)絡的安全性受到人們的極大關(guān)注，需要構(gòu)建半分布式僵尸網(wǎng)絡的特征提取模型，結(jié)合嵌入式的特征分布式檢測方法，進行半分布式僵尸網(wǎng)絡的動態(tài)抑制，提高半分布式僵尸網(wǎng)絡的安全性。在采用半分布式僵尸網(wǎng)絡進行數(shù)據(jù)傳輸過程中，受到半分布式僵尸網(wǎng)絡的環(huán)境信息干擾因素的影響[1]，導致半分布式僵尸網(wǎng)絡的安全性不好。因此，需要建立半分布式僵尸網(wǎng)絡的安全性檢測模型，結(jié)合入侵檢測和碼元分布式結(jié)構(gòu)重組方法，進行半分布式僵尸網(wǎng)絡的動態(tài)入侵抑制。對半分布式僵尸網(wǎng)絡動態(tài)信息抑制方法的相關(guān)研究受到人們的極大重視[2]。

文獻[3]提出了一種分布式實時僵尸網(wǎng)絡檢測算法，通過將Netflow組織成主機Netflow圖譜和主機關(guān)系鏈，并提取隱含的CC通信特征來檢測僵尸網(wǎng)絡；同時，基于Spark Streaming分布式實時流處理引擎，實現(xiàn)了BotScanner分布式檢測系統(tǒng)。文獻[4]提出了基于流量的P2P僵尸網(wǎng)絡檢測算法，從結(jié)構(gòu)、感染過程等方面進行分析，利用基于流量的檢測方法，通過過濾可疑流量、DNS流量檢測等，判定是否受到僵尸網(wǎng)絡攻擊，并提出避免感染僵尸網(wǎng)絡的防御措施。文獻[5]提出了SDN下基于深度學習混合模型的DDoS攻擊檢測與防御算法，在構(gòu)建深度學習模型時，輸入特征除了從數(shù)據(jù)平面提取的21個不同類型的字段外，還設(shè)計了能夠區(qū)分流類型的5個額外流表特征。實驗結(jié)果表明，該算法具有較高的精確度。可將該檢測模型部署于控制器中，利用檢測結(jié)果產(chǎn)生新的安全策略，下發(fā)到Open Flow交換機中，以實現(xiàn)對特定DDoS攻擊的防御。但是，以上3種方法在半分布式僵尸網(wǎng)絡檢測時，抑制精度較低。

文獻[6]提出了機器學習的僵尸網(wǎng)絡惡意代碼的檢測算法，將RIPPER方法與樸素貝葉斯方法綜合，利用RIPPER方法的顯性規(guī)則對潛在的惡意代碼進行檢測，利用貝葉斯方法的推導公式求解結(jié)果。通過對已有的代碼樣本集合訓練，獲得相應的僵尸網(wǎng)絡惡意代碼規(guī)則，最后將訓練好的規(guī)則應用到新的代碼監(jiān)測，獲得精準的監(jiān)測數(shù)據(jù)。文獻[7]針對僵尸網(wǎng)絡的識別和控制，提出了一種新的檢測手段。首先通過多種渠道獲取僵尸病毒域名或IP，通過對海量DNS訪問日志進行分析，得出僵尸網(wǎng)絡的分布情況，準確發(fā)現(xiàn)控制端，進而分析網(wǎng)絡整體僵尸病毒感染情況，DNS日志分析方式的僵尸網(wǎng)絡識別和控制具有良好的效果。但是，以上2種方法的半分布式僵尸網(wǎng)絡通信數(shù)據(jù)在動態(tài)傳輸時出現(xiàn)時間延遲現(xiàn)象，導致抑制時間較長。

文獻[8]提出一種基于最近鄰規(guī)則欠抽樣方法和ADASYN(Adaptive Synthetic Sampling)結(jié)合的不均衡數(shù)據(jù)SVM分類算法，應用于P2P僵尸網(wǎng)絡檢測。實驗結(jié)果表明，無論是僵尸網(wǎng)絡還是正常的流量，該方法都具有很高的正確率，并能在短時間內(nèi)達到很好的分類效果。文獻[9]提出了一種基于網(wǎng)絡行為特征和Dezert-Smarandache理論的P2P僵尸檢測方法。首先，利用局部奇異性和信息熵對網(wǎng)絡行為特征進行多方面的描述；然后，利用卡爾曼濾波器對網(wǎng)絡行為特性進行異常檢測；最后，用Dezert-Smarandache理論對上述檢測結(jié)果進行融合，以得到最終檢測結(jié)果。但是，以上2種方法的網(wǎng)絡輸出誤碼率較高，導致半分布式僵尸網(wǎng)絡安全性能較差。

針對上述方法存在的問題，本文提出一種基于大數(shù)據(jù)的半分布式僵尸網(wǎng)絡動態(tài)抑制算法。首先，采用波特間隔均衡控制方法，對半分布式僵尸網(wǎng)絡動態(tài)特征信息進行采樣，并提取半分布式僵尸網(wǎng)絡的統(tǒng)計特征量；然后，采用大數(shù)據(jù)尋優(yōu)計算方法，獲取真正的半分布式僵尸網(wǎng)絡最優(yōu)抑制參數(shù)，實現(xiàn)網(wǎng)絡動態(tài)抑制；最后，進行仿真測試分析，得出有效性結(jié)論。

1 動態(tài)特征信息采樣及統(tǒng)計特征量提取

1.1 構(gòu)建動態(tài)特征信息采樣模型

本文構(gòu)建半分布式僵尸網(wǎng)絡的傳輸碼元序列分布式采樣模型來進行半分布式僵尸網(wǎng)絡動態(tài)信息采樣。經(jīng)過多次迭代的模糊特征檢測的計算式為：

(1)

其中，D(di，dj)表示半分布式僵尸網(wǎng)絡動態(tài)特征迭代次數(shù)；di表示數(shù)據(jù)調(diào)度點i到點0的距離；dj表示數(shù)據(jù)調(diào)度點j到點0的距離。分析半分布式僵尸網(wǎng)絡多樣性反饋控制模型[10]，采用統(tǒng)計信息分析方法，建立半分布式僵尸網(wǎng)絡動態(tài)特征信息挖掘的模糊特征分布集P(K=T|R=1)，得到：

(2)

其中：

(3)

(4)

(5)

上式中，P為預測特征分布數(shù)據(jù)集，K為訓練數(shù)據(jù)，T為采集時間段，R為采集頻率，NB為半分布式僵尸網(wǎng)絡動態(tài)特征量，C為半分布式僵尸網(wǎng)絡動態(tài)特征運維管理的維數(shù)，NS為模糊域S中的慣性特征分布系數(shù)。采用模糊度特征檢測方法，提取半分布式僵尸網(wǎng)絡動態(tài)特征信息的關(guān)聯(lián)規(guī)則集，通過模糊關(guān)聯(lián)規(guī)則調(diào)度方法進行半分布式僵尸網(wǎng)絡動態(tài)特征信息檢測和挖掘，構(gòu)建半分布式僵尸網(wǎng)絡動態(tài)特征信息的融合聚類模型，根據(jù)半分布式僵尸網(wǎng)絡動態(tài)特征信息的模糊聚類結(jié)果，得到特征聚類的分塊匹配函數(shù)為：

(6)

其中，N表示數(shù)據(jù)調(diào)度點數(shù)，Mi表示半分布式僵尸網(wǎng)絡動態(tài)特征信息抑制的遞歸熵分布中位數(shù)，Lm為半分布式僵尸網(wǎng)絡動態(tài)特征采樣的最小閾值，fm為半分布式僵尸網(wǎng)絡動態(tài)特征信息的中位數(shù)，fless表示最小采樣時間間隔[11]。采用波特間隔均衡控制方法，進行半分布式僵尸網(wǎng)絡的動態(tài)特征補償，構(gòu)建半分布式僵尸網(wǎng)絡動態(tài)特征信息采樣模型：

(7)

其中，X表示采樣集合；diN表示數(shù)據(jù)調(diào)度點i到點N的總距離，nN表示半分布式僵尸網(wǎng)絡動態(tài)特征信息采樣總數(shù)量；di1表示數(shù)據(jù)調(diào)度點i到點1的距離，n1表示采樣數(shù)量。

1.2 提取統(tǒng)計特征量

在上述構(gòu)建半分布式僵尸網(wǎng)絡動態(tài)特征信息采樣模型的基礎(chǔ)上，提取半分布式僵尸網(wǎng)絡的統(tǒng)計特征量[12-13]。采用判決均衡方法，對采集到的半分布式僵尸網(wǎng)絡動態(tài)特征信息進行定量遞歸分析，其表達式為：

R(k)=Akexp (jφk)Mi×D(di,dj)

(8)

其中,R(k)為半分布式僵尸網(wǎng)絡動態(tài)特征信息；φk為網(wǎng)絡動態(tài)負載輸出擴展相位；Ak為同頻窗口函數(shù)。采用模糊特征檢測方法，提取半分布式僵尸網(wǎng)絡動態(tài)特征信息的關(guān)聯(lián)規(guī)則集，其表達式為：

D(xi,Aj(L))=min {D(xi,Aj(L))}

(9)

其中，xi表示半分布式僵尸網(wǎng)絡動態(tài)自適應調(diào)制系數(shù)；Aj(L)表示半分布式僵尸網(wǎng)絡的傳輸鏈路偏移幅值；min {D(xi,Aj(L))}表示最小可信度的關(guān)聯(lián)規(guī)則。在最佳尋優(yōu)模式下，得到半分布式僵尸網(wǎng)絡動態(tài)特征信息模糊度調(diào)度函數(shù)C(l)的表達式為：

(10)

(11)

(12)

式中，xi表示半分布式僵尸網(wǎng)絡動態(tài)自適應調(diào)制系數(shù)。根據(jù)式(12)，采用分集判決反饋抑制技術(shù)[17-18]，得到半分布式僵尸網(wǎng)絡傳輸?shù)倪w移調(diào)度集子序列v(k)的表達式為：

(13)

對式(13)進行(N-1)/2點傅里葉變換，采用自適應相關(guān)性特征提取方法，提取半分布式僵尸網(wǎng)絡的統(tǒng)計特征量z0的表達式為：

(14)

2 基于大數(shù)據(jù)的半分布式僵尸網(wǎng)絡動態(tài)抑制

2.1 大數(shù)據(jù)尋優(yōu)計算方法

根據(jù)提取到的半分布式僵尸網(wǎng)絡的統(tǒng)計特征量，采用大數(shù)據(jù)尋優(yōu)計算方法，獲取真正半分布式僵尸網(wǎng)絡的最優(yōu)抑制參數(shù)。設(shè)訓練數(shù)據(jù)為T，預測數(shù)據(jù)為P，則得到訓練后的參數(shù)組合表達式為：

(15)

將a、b、c看作半分布式僵尸網(wǎng)絡中各參數(shù)組合的基于數(shù)據(jù)的抑制評價指標，建立半分布式僵尸網(wǎng)絡抑制數(shù)據(jù)評價指標MSE與參數(shù)組合的關(guān)系式為：

MSE=U(ai,bi,ci)

(16)

基于上一過程建立的抑制評價指標MSE與參數(shù)組合U的關(guān)系模型，對半分布式僵尸網(wǎng)絡中抑制參數(shù)全組合進行預測，得到新的半分布式僵尸網(wǎng)絡抑制數(shù)據(jù)評價指標MSE′，將MSE′作為半分布式僵尸網(wǎng)絡實際抑制值，經(jīng)過多次迭代，對MSE′進行留一法訓練尋優(yōu)，找到最優(yōu)的半分布式僵尸網(wǎng)絡抑制參數(shù)組合，其表達式為：

(17)

式中，t表示半分布式僵尸網(wǎng)絡中抑制參數(shù)全組合的預測時間。

2.2 半分布式僵尸網(wǎng)絡動態(tài)抑制

(18)

根據(jù)上述分析，基于多樣性反饋濾波檢測方法，得到半分布式僵尸網(wǎng)絡負載均衡的輸出沖激響應y(t)，根據(jù)半分布式僵尸網(wǎng)絡的沖激響應，在半分布式僵尸網(wǎng)絡的鏈路分配區(qū)域，得到半分布式僵尸網(wǎng)絡動態(tài)遷移的正態(tài)分布，在多徑干擾下，進行半分布式僵尸網(wǎng)絡的輸出動態(tài)特征融合處理，得到融合結(jié)果Wy(t,v)的表達式為：

(19)

其中，k表示半分布式僵尸網(wǎng)絡的特征分辨率，v表示調(diào)制頻率，Wx為半分布式僵尸網(wǎng)絡遷移負載聯(lián)合狀態(tài)估計。計算半分布式僵尸網(wǎng)絡通信數(shù)據(jù)動態(tài)遷移負載響應Φ(ω)，在嵌入式環(huán)境下，將半分布式僵尸網(wǎng)絡的最優(yōu)抑制參數(shù)和遷移負載響應結(jié)果相結(jié)合，得到半分布式僵尸網(wǎng)絡的動態(tài)抑制E(t)的表達式為：

(20)

其中，Δx表示半分布式僵尸網(wǎng)絡動態(tài)信息的輸出統(tǒng)計峰值，c表示基于數(shù)據(jù)的抑制評價指標。綜上分析，完成半分布式僵尸網(wǎng)絡動態(tài)抑制。

3 仿真實驗與結(jié)果分析

3.1 實驗環(huán)境設(shè)置

為了驗證本文方法在實現(xiàn)半分布式僵尸網(wǎng)絡動態(tài)抑制的應用性能，利用Matlab仿真工具，在Microsoft Windows XP操作系統(tǒng)，Intel(R)Celeron(R) 2.6 GHz處理器、24 GB內(nèi)存的環(huán)境下進行仿真實驗分析。實驗中所使用的數(shù)據(jù)來源于計算機科學數(shù)據(jù)庫(http://www.stat.wisc.edu/～reinsel/bjr-data/)，共采集數(shù)據(jù)5000個，進行50組實驗，每次使用100個數(shù)據(jù)。

3.2 實驗指標

本文以半分布式僵尸網(wǎng)絡動態(tài)抑制精度、抑制時間和誤碼率為實驗指標，將分別來自文獻[3-9]的方法和本文方法進行對比實驗。

1)抑制精度。精度為驗證檢測結(jié)果的準確性，由于受到半分布式僵尸網(wǎng)絡的環(huán)境信息干擾因素的影響，導致半分布式僵尸網(wǎng)絡的安全性不好，所以對半分布式僵尸網(wǎng)絡進行動態(tài)抑制，抑制精度越高，說明網(wǎng)絡越安全。由此，將本文方法與文獻[3]方法、文獻[4]方法、文獻[5]方法進行對比分析。

2)抑制時間。半分布式僵尸網(wǎng)絡通信數(shù)據(jù)在動態(tài)傳輸時出現(xiàn)時間延遲現(xiàn)象，能夠?qū)σ种菩十a(chǎn)生影響。因此將本文方法與文獻[5]方法、文獻[6]方法、文獻[7]方法進行半分布式僵尸網(wǎng)絡動態(tài)抑制時間對比分析。

3)誤碼率。誤碼率是衡量數(shù)據(jù)在規(guī)定時間內(nèi)數(shù)據(jù)傳輸精確性的指標，誤碼的產(chǎn)生是由于在信號傳輸中，衰變改變了信號的電壓，致使信號在傳輸中遭到破壞，產(chǎn)生誤碼，誤碼率越低，抑制效果越好。將本文方法與文獻[7]方法、文獻[8]方法、文獻[9]方法進行對比分析。

3.3 實驗結(jié)果

圖1 半分布式僵尸網(wǎng)絡的動態(tài)負載大數(shù)據(jù)采樣

將半分布式僵尸網(wǎng)絡的動態(tài)信息采樣的載波頻率設(shè)置為380 kHz，網(wǎng)絡空間信息采樣的載波頻率設(shè)置為4.5 kHz，信道的傳輸帶寬設(shè)置為24 dB，為信息采樣長度的10倍，根據(jù)上述仿真環(huán)境和參量設(shè)定，進行級聯(lián)半分布式僵尸網(wǎng)絡動態(tài)特征抑制仿真，得到半分布式僵尸網(wǎng)絡的動態(tài)負載大數(shù)據(jù)采樣結(jié)果如圖1所示。

以圖1的數(shù)據(jù)為研究對象，提取半分布式僵尸網(wǎng)絡動態(tài)特征量，并對半分布式僵尸網(wǎng)絡動態(tài)進行抑制，得到實際抑制結(jié)果如圖2所示。

圖2 實際抑制輸出

將本文方法、文獻[3]方法、文獻[4]方法和文獻[5]方法的半分布式僵尸網(wǎng)絡動態(tài)抑制結(jié)果與實際抑制結(jié)果進行擬合度對比，結(jié)果如圖3所示。

圖3 4種方法的抑制結(jié)果

分析圖3可知，本文方法的半分布式僵尸網(wǎng)絡動態(tài)抑制結(jié)果與實際抑制結(jié)果的擬合度為100%，而文獻方法與實際抑制結(jié)果相差較大，說明本文方法的半分布式僵尸網(wǎng)絡動態(tài)抑制精度較高，這是因為本文方法結(jié)合了大數(shù)據(jù)尋優(yōu)的計算方法來實現(xiàn)半分布式僵尸網(wǎng)絡動態(tài)抑制。

為了進一步驗證本文方法的有效性，將本文方法、文獻[5]方法、文獻[6]方法和文獻[7]方法進行半分布式僵尸網(wǎng)絡動態(tài)抑制時間對比分析，對比結(jié)果如圖4所示。

圖4 4種方法的抑制時間對比

根據(jù)圖4可知，本文方法的半分布式僵尸網(wǎng)絡動態(tài)抑制時間在實驗次數(shù)為40次時，開始呈現(xiàn)穩(wěn)定狀態(tài)，當實驗次數(shù)為60次時，本文方法的抑制時間為25 s，而文獻[5]方法、文獻[6]方法和文獻[7]方法的半分布式僵尸網(wǎng)絡動態(tài)抑制時間分別為92 s、89 s和66 s，本文方法的半分布式僵尸網(wǎng)絡動態(tài)抑制時間為最低。

將本文方法與文獻[7]方法、文獻[8]方法、文獻[9]方法進行半分布式僵尸網(wǎng)絡動態(tài)后的輸出誤碼率對比，得到結(jié)果見表1。

表1 誤碼率測試對比 單位：%

分析表1得知，隨著迭代次數(shù)的增長，4種方法的誤碼率呈現(xiàn)逐漸遞減的狀態(tài)，而當?shù)?00次時，本文方法的誤碼率為0，比文獻[7]方法、文獻[8]方法、文獻[9]方法的誤碼率低。說明本文方法通過半分布式僵尸網(wǎng)絡動態(tài)抑制，降低了網(wǎng)絡的輸出誤碼率。

4 結(jié)束語

結(jié)合嵌入式的特征分布式檢測方法，進行半分布式僵尸網(wǎng)絡的動態(tài)抑制，提高半分布式僵尸網(wǎng)絡的安全性，本文提出了一種基于大數(shù)據(jù)的半分布式僵尸網(wǎng)絡動態(tài)抑制算法。采用波特間隔均衡控制方法，構(gòu)建半分布式僵尸網(wǎng)絡動態(tài)特征信息采樣模型，提取半分布式僵尸網(wǎng)絡的統(tǒng)計特征量；利用大數(shù)據(jù)尋優(yōu)計算方法，獲取半分布式僵尸網(wǎng)絡最優(yōu)抑制參數(shù)，實現(xiàn)半分布式僵尸網(wǎng)絡動態(tài)抑制。對實驗結(jié)果分析得知，本文方法進行半分布式僵尸網(wǎng)絡動態(tài)抑制的精度較高，抑制時間較短，降低了輸出誤碼率。