網(wǎng)絡(luò)入侵中邊界模糊閾值的確定

摘 ?要： 在對網(wǎng)絡(luò)入侵中邊界模糊閾值進行確定的過程中，以往都是以入侵數(shù)據(jù)的單個異常特征為檢測基礎(chǔ)，沒有考慮入侵后數(shù)據(jù)所表現(xiàn)的階躍特征，出現(xiàn)網(wǎng)絡(luò)入侵的判斷不確定性，造成獲取邊界模糊閾值不準確的問題。文章提出一種基于階躍模糊規(guī)則參數(shù)訓(xùn)練的網(wǎng)絡(luò)入侵中邊界模糊閾值的確定方法。該方法證明了網(wǎng)絡(luò)遭到入侵后，數(shù)據(jù)整體帶有階躍性特征，依據(jù)這種階躍性特征對入侵后的邊界模糊閾值進行預(yù)測，塑造模糊系統(tǒng)的if-then規(guī)則，求出模糊系統(tǒng)的閾值輸出，實現(xiàn)網(wǎng)絡(luò)入侵中邊界模糊閾值的確定。實驗結(jié)果表明，該方法能較為準確地確定入侵模糊閾值，效果明顯。

關(guān)鍵詞： 網(wǎng)絡(luò)入侵; 階躍特征; 邊界模糊閾值; 模糊if-then規(guī)則

中圖分類號：TP301.6 ? ? ? ? ?文獻標識碼：A ? ? 文章編號：1006-8228（2021）08-37-05

The determination of boundary fuzzy threshold in network intrusion

Zhang Wumei

（ZhejiangTongji Vocational College of Science and Technology， Hangzhou， Zhejiang 310023， China）

Abstract： In the process of determining the boundary fuzzy threshold in network intrusion， it used to be based on the single abnormal feature of the intrusion data， without considering the step feature of the data after the intrusion， resulting in the uncertainty of network intrusion judgment， which leads to the inaccuracy of obtaining the boundary fuzzy threshold. In this paper， a method to determine the fuzzy threshold in network intrusion based on step fuzzy rule parameter training is proposed. This method proves that the whole data has a step feature after the network is invaded. According to this step feature， the fuzzy threshold after the invasion is predicted， the if-then rules of the fuzzy system are shaped， and the threshold from the output of the fuzzy system is obtained， so as to determine the boundary fuzzy threshold in the network invasion. The experiment results show that this method can determine the fuzzy threshold in intrusion more accurately， and the effect is obvious.

Key words： network intrusion; step feature; boundary fuzzy threshold; fuzzy if-then rule

0 引言

隨著網(wǎng)絡(luò)的廣泛應(yīng)用，網(wǎng)絡(luò)入侵問題逐漸成為威脅網(wǎng)絡(luò)安全的重點問題，而確定網(wǎng)絡(luò)入侵中邊界模糊閾值是解決網(wǎng)絡(luò)入侵問題的重要途徑。

文獻[1]提出一種基于信號相位匹配原理的入侵閾值確定方法，采用該方法進行網(wǎng)絡(luò)入侵信號的特征挖掘，其挖掘性能優(yōu)于能量檢測器，但算法對單頻信號有效，在網(wǎng)絡(luò)入侵信號存在的復(fù)雜信號環(huán)境中，確定效果不佳。文獻[2]中引入DOA估計器，采用自相關(guān)預(yù)處理對時變信號進行跟蹤，提高了入侵閾值確定的性能，但算法對信號的邊緣入侵特征不能很好確定閾值，且不能滿足對攻擊信號實時檢測的要求。網(wǎng)絡(luò)入侵信號能在時頻空間中有效反映信號的邊緣特征，這點在文獻[3]中有所研究，其采用時頻域變標度脈沖壓縮方法，提高目標入侵信號特征，提高入侵閾值的準確性，但其采用多普勒維補償方式進行相位匹配，采用Fourier變換方式提取頻域特征進行頻移向量補償，對網(wǎng)絡(luò)糾纏入侵信號閾值確定的效果不佳。目前，波束域形成算法有波束域?qū)羌虞d算法[4]，前后向平滑算法，波束域特征空間法[5]等。但是，這種方法準確性不高，應(yīng)用困難。

針對上述問題的產(chǎn)生，提出基于階躍模糊規(guī)則參數(shù)訓(xùn)練的網(wǎng)絡(luò)入侵中邊界模糊閾值的確定方法。證明了網(wǎng)絡(luò)遭到入侵后，數(shù)據(jù)整體帶有階躍性特征。依據(jù)網(wǎng)絡(luò)入侵后的閾值對未來時刻的邊界模糊閾值進行預(yù)測，塑造網(wǎng)絡(luò)入侵邊界估計模型，求出模糊估計算子，確定模糊規(guī)則的前件與后件參數(shù)、模糊規(guī)則的個數(shù)，實現(xiàn)網(wǎng)絡(luò)入侵中邊界模糊閾值的確定。

1 網(wǎng)絡(luò)入侵狀態(tài)下的數(shù)據(jù)階躍性證明

網(wǎng)絡(luò)入侵檢測通過判斷數(shù)據(jù)與入侵閾值的關(guān)系完成，對入侵數(shù)據(jù)的采集由各個服務(wù)器通過服務(wù)鏈路的數(shù)據(jù)采集協(xié)作完成。一般的網(wǎng)絡(luò)入侵檢測系統(tǒng)中，一旦發(fā)生網(wǎng)絡(luò)數(shù)據(jù)異常入侵，直接的后果是數(shù)據(jù)特征的異常，導(dǎo)致網(wǎng)絡(luò)節(jié)點發(fā)生不間斷重傳。如果發(fā)生了網(wǎng)絡(luò)數(shù)據(jù)的異常入侵，那么在信道通信的過程中，信息傳輸過程將受到影響，通信任務(wù)發(fā)生異常。由于大型的網(wǎng)絡(luò)控制結(jié)構(gòu)多采用冗余結(jié)構(gòu)設(shè)計，所以，網(wǎng)絡(luò)入侵行為具有很強的非線性，難以建立準確的數(shù)學(xué)模型來描述入侵特性。因此，在出現(xiàn)網(wǎng)絡(luò)入侵行為時，假設(shè)只是造成了一定程度的網(wǎng)絡(luò)數(shù)據(jù)傳輸滯后，則需要根據(jù)數(shù)據(jù)傳輸?shù)臏蟪潭冗M行補償;假設(shè)造成整個網(wǎng)絡(luò)難以正常工作，則需要進行網(wǎng)絡(luò)傳輸數(shù)據(jù)誤差補償處理。在網(wǎng)絡(luò)數(shù)據(jù)傳輸?shù)倪^程中，網(wǎng)絡(luò)操作行為分為數(shù)據(jù)輸入，數(shù)據(jù)等待，數(shù)據(jù)計算和數(shù)據(jù)傳輸?shù)炔襟E。在網(wǎng)絡(luò)數(shù)據(jù)傳遞的過程中，需要將數(shù)據(jù)傳輸?shù)竭B續(xù)的網(wǎng)絡(luò)節(jié)點中，假設(shè)存在網(wǎng)絡(luò)入侵，不同的網(wǎng)絡(luò)入侵行為對于網(wǎng)絡(luò)數(shù)據(jù)傳輸?shù)挠绊懯谴嬖诓町惖?，其詳細?nèi)容如表1所示。

從表1可知，出現(xiàn)網(wǎng)絡(luò)入侵行為后，需要針對網(wǎng)絡(luò)傳輸數(shù)據(jù)進行重新傳輸、部分重新傳輸、滯后性補償和誤差補償?shù)??？梢葬槍σ唤M網(wǎng)絡(luò)傳輸數(shù)據(jù)進行處理，也可以針對單一網(wǎng)絡(luò)傳輸數(shù)據(jù)進行處理。網(wǎng)絡(luò)傳輸數(shù)據(jù)滯后性補償，是指針對網(wǎng)絡(luò)入侵后，網(wǎng)絡(luò)傳輸數(shù)據(jù)存在的滯后性進行補償，將受到影響的網(wǎng)絡(luò)傳輸流程重新構(gòu)建，實現(xiàn)網(wǎng)絡(luò)數(shù)據(jù)的準確傳遞。由于部分重新傳輸可看作是大量單一網(wǎng)絡(luò)傳輸數(shù)據(jù)的滯后性補償，因此，可以將網(wǎng)絡(luò)傳輸數(shù)據(jù)的滯后性補償作為重點課題。在存在網(wǎng)絡(luò)入侵的情況下，在網(wǎng)絡(luò)入侵的初始階段，網(wǎng)絡(luò)僅僅是小范圍的數(shù)據(jù)傳輸受到了影響，只需要針對少量數(shù)據(jù)進行滯后性補償、誤差補償、部分重新傳輸和重新傳輸。假設(shè)大量的網(wǎng)絡(luò)傳輸數(shù)據(jù)都需要進行滯后性補償、誤差補償、部分重新傳輸和重新傳輸，將造成網(wǎng)絡(luò)入侵行為出現(xiàn)的隨機性極大地提升。而這樣造成網(wǎng)絡(luò)傳輸數(shù)據(jù)在傳輸?shù)倪^程中存在極大的干擾。由于這種干擾與實際的干擾之間存在較大的差異，因此，將上述干擾過程稱為偽干擾過程。網(wǎng)絡(luò)傳輸數(shù)據(jù)的偽干擾過程在數(shù)學(xué)上能夠用混沌性進行表示。在網(wǎng)絡(luò)入侵行為出現(xiàn)早期，網(wǎng)絡(luò)傳輸數(shù)據(jù)存在一定程度的混沌性。

當(dāng)網(wǎng)絡(luò)中存在入侵行為時，網(wǎng)絡(luò)傳輸數(shù)據(jù)具有混沌性，能夠用上述網(wǎng)絡(luò)傳輸數(shù)據(jù)的最大Lyapunov指數(shù)是否大于0進行檢驗。利用圖1（a）（b）能夠描述在存在網(wǎng)絡(luò)入侵的情況下，運用MATLAB軟件針對獲取的網(wǎng)絡(luò)傳輸數(shù)據(jù)進Lyapunov指數(shù)圖仿真的結(jié)果。

根據(jù)圖1可知，在網(wǎng)絡(luò)入侵的情況下，網(wǎng)絡(luò)傳輸數(shù)據(jù)序列最大lyapunov指數(shù)大于0，所以，能夠說明在網(wǎng)絡(luò)入侵早期，網(wǎng)絡(luò)傳輸數(shù)據(jù)序列具有混沌性。

2 基于階躍模糊規(guī)則參數(shù)訓(xùn)練的閾值確定方法

2.1 預(yù)測模型的設(shè)計

2.2 模糊估計函數(shù)的設(shè)計

建立預(yù)測模型之后需要獲得模糊估計函數(shù)。通常情況下，上述分析的模型是由一組if-then模糊規(guī)則組成的，其數(shù)學(xué)形式為：

其中，i=1，2，…，C;C表示規(guī)則的總個數(shù);A_j^i表示第i條規(guī)則R^i中x_j所隸屬的模糊集合;x表示輸入向量，x=（x_1，x_2，…，x_M），M表示輸入向量的維數(shù);a^i表示模糊規(guī)則的后件參數(shù)，a^i=（a_0^i，a_1^i，…，a_M^i）;f_i （x，a^i）表示網(wǎng)絡(luò)依據(jù)規(guī)則R^i獲取的相應(yīng)閾值。依據(jù)模糊推理，可將網(wǎng)絡(luò)入侵中邊界模糊估計函數(shù)描述成：

其中，c表示均值，δ表示方差，其為模糊規(guī)則的后件參數(shù)。綜上所述，通過模糊估計函數(shù)的確立為模糊規(guī)則的優(yōu)化提供了準確條件依據(jù)。

2.3 模糊規(guī)則的優(yōu)化設(shè)計

一般情況下，需確定階躍條件下的入侵閾值模糊規(guī)則的前件與后件參數(shù)、模糊規(guī)則的個數(shù)，可采用粒子群優(yōu)化算法與遞歸最小二乘估計算法對模糊規(guī)則參數(shù)進行訓(xùn)練。以保證規(guī)則的最優(yōu)性。

采用PSO算法（粒子群優(yōu)化算法）對階躍模糊規(guī)則的前件高斯函數(shù)參數(shù)進行改進，其一般形式為：

如果采用矩陣形式描述，則最小二乘問題可描述成：

Aθ=y ⑽

其中，A表示m×n階矩陣;θ=（θ_1，θ_2，…，θ_n ）^T，表示n維參數(shù)向量; y=（y_1，y_2，…，y_m ）^T，表示m維輸出向量。則最小二乘估計算子可描述成：

θ=（A^T A）^（-1） A^T y ? ? ⑾

應(yīng)不斷對后件參數(shù)進行更新，則最小二乘問題可描述成：

P_（k+1）=P_k-（P_k b_（k+1） b_（K+1）^T P_k ） （1+b_（k+1）^T P_k b_（k+1） ）^（-1） ⑿

θ_（k+1）=θ_k+P_（k+1） b_（k+1） （y_（k+1）-b_（k+1）^T θ_k ） ⒀

其中，P_k表示增益矩陣，θ_k表示第k次迭代的參數(shù)向量。為了實現(xiàn)最小二乘算法，本文將θ_0初始化成零矩陣，則P_0=aI，α=〖10〗^9，I表示單位矩陣。綜上所述，通過搞死函數(shù)參數(shù)的改進，可以更好的確定矩陣參數(shù)，進而達到對模糊規(guī)則的優(yōu)化效果。

2.4 對閾值的模糊化輸出

對模糊規(guī)則的前件參數(shù)進行更新，算法中的最佳位置gbest即為最優(yōu)參數(shù)值;同樣地，采用RLSE算法來確定模糊規(guī)則的后件參數(shù)。式⑿和⒀中的b_（k+1）與θ可描述成：

b_（k+1）=[d^1 （k+1）…d^k （k+1）]

d^i （k+1）=[1x_1^i （k+1）…x_m^i （k+1）] ? ⒁

θ=[τ^1 τ^2…τ^k ] τ^i=[a_0^i a_1^i…a_m^i]

其中，i=1，2，…，K ， k=0，1，…，m。

模糊系統(tǒng)的輸出過程如下：

⑴ 對入侵階躍數(shù)據(jù)的模糊規(guī)則前件參數(shù)（也就是PSO 算法中的粒子群）進行初始化操作，獲取邊界模糊閾值所隸屬的所有模糊集合的高斯隸屬度函數(shù);

⑵ 根據(jù)訓(xùn)練數(shù)據(jù)集通過RLSE算法求出模糊規(guī)則的后件參數(shù)，塑造模糊系統(tǒng)的if-then規(guī)則;

⑶ 求出模糊系統(tǒng)的輸出，通過RMSE對PSO算法中粒子的適應(yīng)值進行計算，對粒子群中粒子的速度與位置進行更新;

⑷ 判斷是否符合終止條件，若符合則結(jié)束迭代，輸出閾值結(jié)果，若不符合，則重新進行步驟⑵。

3 仿真實驗分析

為了驗證改進方法的有效性，需進行相關(guān)的實驗分析。實驗在Matlab環(huán)境下進行，采用Simulink塑造仿真模型[6]，分別采用模糊規(guī)則方法、波束域特征空間法和頻域變標度脈沖壓縮法對網(wǎng)絡(luò)入侵中邊界模糊閾值的確定進行仿真，共進行10組實驗。圖2描述的是10組實驗中，采用改進方法和傳統(tǒng)方法對網(wǎng)絡(luò)入侵中邊界模糊閾值進行確定所需的時間比較結(jié)果。

分析圖2可以看出，與傳統(tǒng)方法相比，采用改進方法對網(wǎng)絡(luò)入侵中邊界模糊閾值進行確定所消耗的時間明顯降低，且一直低于傳統(tǒng)方法，這是因為改進方法采用兩種方法結(jié)合的方法，提高了整體效率，驗證了改進方法的高效性。

為了進一步驗證改進方法的有效性，分別對改進方法和傳統(tǒng)方法的入侵準確率進行統(tǒng)計，獲取的比較結(jié)果用圖3進行描述。

分析圖3可知，采用改進方法對網(wǎng)絡(luò)入侵中邊界模糊閾值進行確定獲取的準確率一直高于傳統(tǒng)方法，同時改進方法的曲線一直較平穩(wěn)，改進方法的準確率相比傳統(tǒng)方法提高了15%，說明改進方法具有很高的準確性與穩(wěn)定性。

將上述實驗過程中的相關(guān)數(shù)據(jù)進行整理分析，得到表2和表3中的實驗結(jié)果。從實驗結(jié)果可知，使用模糊規(guī)則方法、波束域特征空間法和頻域變標度脈沖壓縮法對網(wǎng)絡(luò)入侵中邊界模糊閾值的確定時，模糊規(guī)則方法獲取的耗時與準確性實驗結(jié)果都明顯優(yōu)于波束域特征空間法和頻域變標度脈沖壓縮法，充分表明了基于階躍模糊規(guī)則參數(shù)訓(xùn)練的網(wǎng)絡(luò)入侵中邊界模糊閾值確定方法的優(yōu)越性。

4 結(jié)論

本文提出了一種基于階躍模糊規(guī)則參數(shù)訓(xùn)練的網(wǎng)絡(luò)入侵中邊界模糊閾值的確定方法。依據(jù)網(wǎng)絡(luò)入侵后的閾值對未來時刻的邊界模糊閾值進行預(yù)測，塑造網(wǎng)絡(luò)入侵邊界估計模型，求出模糊估計算子，確定模糊規(guī)則的前件與后件參數(shù)、模糊規(guī)則的個數(shù)，采用粒子群優(yōu)化算法與遞歸最小二乘估計算法對模糊規(guī)則參數(shù)進行訓(xùn)練。對模糊規(guī)則的前件參數(shù)做初始化操作，塑造模糊系統(tǒng)的if-then規(guī)則，求出模糊系統(tǒng)的輸出，通過RMSE對PSO算法中粒子的適應(yīng)值進行計算，對粒子群中粒子的速度與位置進行更新，實現(xiàn)網(wǎng)絡(luò)入侵中邊界模糊閾值的確定。仿真實驗結(jié)果表明，所提方法具有很高的高效性及穩(wěn)定性。

參考文獻（References）：

[1] 宋佳聲，胡國清基于時空嫡分析的組合高斯背景建模方法[J].田華南理工大學(xué)學(xué)報：自然科學(xué)版，2012.40（9）：116-122

[2] 謝克明，馬小軍.模糊預(yù)測控制的實現(xiàn)形式[J].太原理工大學(xué)學(xué)報，1999.30（6）：575-579

[3] 師黎，王江濤.模糊預(yù)測-PID復(fù)合控制在高速列車制動中的應(yīng)用[J].計算機工程與應(yīng)用，2010.46（31）：228-231

[4] 吳亞軍，項英，張秀忠，等.DBBC數(shù)字部分控制功能的設(shè)計與實現(xiàn)[J].中國科學(xué)院上海天文臺年刊，2009：51-59

[5] 紀威.基于高速網(wǎng)絡(luò)環(huán)境的入侵檢測系統(tǒng)分析研究[J].計算機與網(wǎng)絡(luò)，2012.38（21）：68-71

[6] 王一帆，諶紹洪.無線傳感網(wǎng)第三方入侵檢測系統(tǒng)[J].無線互聯(lián)科技，2012.10（12）：77-77

收稿日期：2021-03-10

基金項目：浙江水利科技計劃項目（No.RC1974）

作者簡介：章武媚（1971-），女，浙江永康人，碩士，教授，主要研究方向：計算機應(yīng)用技術(shù)研究。