陶慶鳳

(閩南理工學院 實踐教學中心，福建 石獅 362700)

如今，互聯(lián)網(wǎng)應(yīng)用軟件日益多樣化，吸引了越來越多的網(wǎng)絡(luò)用戶去使用[1].隨著互聯(lián)網(wǎng)用戶的快速增長，多種計算機病毒慢慢開始侵蝕著網(wǎng)絡(luò)環(huán)境，木馬病毒利用互聯(lián)網(wǎng)應(yīng)用軟件對網(wǎng)絡(luò)進行攻擊，已成為危害網(wǎng)絡(luò)環(huán)境安全的重要因素，它不僅影響著網(wǎng)絡(luò)環(huán)境的正常運行，而且增加了用戶的個人隱私信息泄露的風險，造成個人財產(chǎn)損失[2].目前的無線網(wǎng)絡(luò)環(huán)境具有很強的時變性，一般的網(wǎng)絡(luò)攻擊檢測技術(shù)很難抵御跨站的數(shù)據(jù)攻擊，對無線網(wǎng)絡(luò)攻擊行為也很難識別.因此，利用無線網(wǎng)絡(luò)攻擊行為辨識方法對無線網(wǎng)絡(luò)實時監(jiān)測和排查網(wǎng)絡(luò)攻擊行為，是當前網(wǎng)絡(luò)安全領(lǐng)域的研究重點[3].

針對目前無線網(wǎng)絡(luò)攻擊行為很難準確辨別等問題，盧強[4]等人提出了基于自動過濾波的防網(wǎng)絡(luò)攻擊算法，首先在無線網(wǎng)絡(luò)的傳輸信道對無線網(wǎng)絡(luò)信號源進行采集，將采集的網(wǎng)絡(luò)信息進行統(tǒng)一權(quán)重處理，建立網(wǎng)絡(luò)攻擊提醒模型，采用自動過濾分析方法對網(wǎng)絡(luò)攻擊信息進行評估，根據(jù)攻擊行為特征信息進行網(wǎng)絡(luò)行為辨別，實驗結(jié)果表明，利用自動過濾波的防網(wǎng)絡(luò)攻擊算法，對于未知的網(wǎng)絡(luò)攻擊行為具有一定識別能力，相對于傳統(tǒng)的網(wǎng)絡(luò)攻擊檢測方法，更具有現(xiàn)實意義；王珂[5]等人提出了一種基于小波的無線網(wǎng)絡(luò)攻擊行為辨識方法，用來解決傳統(tǒng)網(wǎng)絡(luò)攻擊行為辨別算法檢測速度慢，以及對無線網(wǎng)絡(luò)攻擊辨別能力低等問題，利用此方法可以提高網(wǎng)絡(luò)攻擊軟件的主動性，對無線網(wǎng)絡(luò)隨機攻擊行為進行自動檢測.

針對以上方法在誤報率和辨識效率方面存在的不足，本文提出了一種新的基于人工蜂群算法的無線網(wǎng)絡(luò)攻擊行為辨識方法.

1 基于人工蜂群算法的無線網(wǎng)絡(luò)攻擊行為辨識方法

1.1 無線網(wǎng)絡(luò)攻擊行為預(yù)處理

在無線網(wǎng)絡(luò)攻擊行為數(shù)據(jù)采集過程中，首先利用極值函數(shù)對惡意攻擊數(shù)據(jù)進行獲取，再利用小波方程式[6]確定無線網(wǎng)絡(luò)攻擊隸屬度，然后對無線網(wǎng)絡(luò)攻擊行為進行預(yù)處理，具體操作過程如下.

設(shè)X={X1,X2,…,Xn}是無線網(wǎng)絡(luò)攻擊行為的目標識別數(shù)據(jù)，每個攻擊行為數(shù)據(jù)的特征數(shù)為m，則可以得到無線網(wǎng)絡(luò)攻擊行為數(shù)據(jù)矩陣

(1)

其中，xnm表示第m個無線網(wǎng)絡(luò)攻擊行為對象的第n個原始信息數(shù)據(jù).利用極值函數(shù)[7]獲取無線網(wǎng)絡(luò)攻擊行為的特征屬性，再根據(jù)小波方程式求得攻擊行為隸屬度，當目標識別數(shù)據(jù)越小時，xi的模糊組數(shù)據(jù)越大.利用聚類相近指標計算出目標識別系數(shù)構(gòu)建相應(yīng)的目標識別函數(shù)為

(2)

(3)

公式(3)中，λ是數(shù)據(jù)權(quán)重值，r代表惡意攻擊數(shù)據(jù)與辨別中心的最遠距離值.

在無線網(wǎng)絡(luò)攻擊行為特征提取的基礎(chǔ)上，獲得惡意攻擊數(shù)據(jù)，利用小波方程式對無線網(wǎng)絡(luò)攻擊行為數(shù)據(jù)進行分析處理，計算出無線網(wǎng)絡(luò)惡意攻擊信息Y的變量值為

H(Y)=-∑p(yi)log2p(yi)d2(X,Y)，

(4)

其中，Y={Yj,j=1,2,…}表示無線網(wǎng)絡(luò)惡意攻擊序列，p(yi)代表無線網(wǎng)絡(luò)惡意攻擊變量值Y的有效檢驗率，利用辨別系統(tǒng)對采集的惡意攻擊數(shù)據(jù)進行分類辨別[8]，再利用得到數(shù)據(jù)求平均攻擊數(shù)據(jù)值，就可獲得惡意攻擊序列為

(5)

根據(jù)無線網(wǎng)絡(luò)惡意攻擊數(shù)據(jù)Sj(ρ)計算得出，在時間值為T時的辨別結(jié)果Y(j)T，并與事先求得的目標辨別數(shù)據(jù)進行對比，最終根據(jù)(6)式初步獲得無線網(wǎng)絡(luò)攻擊行為

(6)

公式(6)中，x(t)代表無線網(wǎng)絡(luò)接收的網(wǎng)絡(luò)傳輸信號，s(t)是在數(shù)據(jù)傳輸過程中當有無線網(wǎng)絡(luò)惡意攻擊時的發(fā)射信號，n(t)是代表攻擊信息的惡意目標，h是無線網(wǎng)絡(luò)攻擊網(wǎng)絡(luò)信道的振幅值.

1.2 提取無線網(wǎng)絡(luò)攻擊行為特征

根據(jù)無線網(wǎng)絡(luò)攻擊行為的預(yù)處理結(jié)果，提取無線網(wǎng)絡(luò)攻擊行為特征，具體過程如下.

采用z=(z1,z2,…,zp)T來描述無線網(wǎng)絡(luò)的節(jié)點特征分量，W(w1,w2,…,wq)表示節(jié)點分布區(qū)域，那么可以得到無線網(wǎng)絡(luò)不同節(jié)點對比結(jié)果，即

(7)

其中，z的取值為

z=WTz=(WT)-1a.

(8)

采用人工蜂群算法[9]可以計算出無線網(wǎng)絡(luò)節(jié)點權(quán)值系數(shù)，公式為

(9)

其中，ak表示無線網(wǎng)絡(luò)節(jié)點的權(quán)值，dk表示無線網(wǎng)絡(luò)攻擊行為節(jié)點的權(quán)值.

根據(jù)無線網(wǎng)絡(luò)節(jié)點的權(quán)值系數(shù)[10]，計算無線網(wǎng)絡(luò)攻擊行為的特征提取殘差參數(shù)，公式為

(10)

其中，G在無線網(wǎng)絡(luò)攻擊行為特征提取時的一個常數(shù).

(11)

其中，Ez表示無線網(wǎng)絡(luò)節(jié)點之間的特征值，wk表示無線網(wǎng)絡(luò)節(jié)點的權(quán)值.

Ezwk=vkwk，

(12)

其中，vk表示無線網(wǎng)絡(luò)攻擊行為的特征值.

根據(jù)以上分析，得到無線網(wǎng)絡(luò)攻擊行為特征的提取結(jié)果，表示為

(13)

1.3 構(gòu)建無線網(wǎng)絡(luò)攻擊行為辨識模型

在辨識無線網(wǎng)絡(luò)攻擊行為時，假設(shè)無線網(wǎng)絡(luò)攻擊行為數(shù)據(jù)都是由一個個線性相關(guān)的時間序列組成[11]，采用人工蜂群算法對無線網(wǎng)絡(luò)攻擊行為進行干擾抑制，即

(14)

其中，a0表示無線網(wǎng)絡(luò)攻擊行為的初始采樣賦值，ai表示無線網(wǎng)絡(luò)中某一個階段攻擊行為的采樣賦值，ηn-j表示無線網(wǎng)絡(luò)攻擊行為特征的時變瞬時頻率，MMA表示無線網(wǎng)絡(luò)的攻擊行為辨識的短時窗函數(shù)，MAR表示無線網(wǎng)絡(luò)攻擊行為辨識的多元數(shù)量值函數(shù)，xn-i表示均值和方差相同的無線網(wǎng)絡(luò)攻擊行為特征序列，bj表示無線網(wǎng)絡(luò)攻擊行為的振蕩賦值.采用人工蜂群算法[12]分析無線網(wǎng)絡(luò)的攻擊行為，獲取無線網(wǎng)絡(luò)攻擊過程中的振蕩衰減，即

(15)

其中，mt表示無線網(wǎng)絡(luò)攻擊行為在單分量上的傳遞信息，a表示無線網(wǎng)絡(luò)攻擊行為的域間方差系數(shù)，BH(t)表示無線網(wǎng)絡(luò)攻擊行為識別的相關(guān)函數(shù)，通過采用人工蜂群算法分析與處理[13]，得到無線網(wǎng)絡(luò)攻擊行為的輸出解析模型，表示為

(16)

無線網(wǎng)絡(luò)數(shù)據(jù)在傳輸過程中，采用人工蜂群算法識別無線網(wǎng)絡(luò)攻擊行為特征[14]，計算無線網(wǎng)絡(luò)攻擊行為的累積量切片，即

(17)

(18)

其中，vx(t)表示攻擊行為特征的頻率交叉項，XP(u)表示時間尺度脈沖響應(yīng)，v0表示無線網(wǎng)絡(luò)數(shù)據(jù)傳輸初始階段的頻率交叉項，YP(u)表示辨識輸出中心矩.

在無線網(wǎng)絡(luò)攻擊行為所處的時間序列中，如果噪聲項屬于高斯噪聲，那么存在

(19)

綜上所述，采用人工蜂群算法對無線網(wǎng)絡(luò)攻擊行為進行干擾抑制，得到無線網(wǎng)絡(luò)攻擊的振蕩衰減，利用無線網(wǎng)絡(luò)攻擊行為的輸出解析模型，計算無線網(wǎng)絡(luò)攻擊行為的累積量切片，根據(jù)無線網(wǎng)絡(luò)攻擊行為數(shù)據(jù)特征的分離過程，對無線網(wǎng)絡(luò)攻擊行為特征進行搜索，實現(xiàn)無線網(wǎng)絡(luò)攻擊行為的辨識.

2 實驗對比分析

為了驗證基于人工蜂群算法的無線網(wǎng)絡(luò)攻擊行為辨識方法在誤報率和辨識效率方面的性能，實驗過程中采用KDD99實驗數(shù)據(jù)集，其中每一條連接記錄都包含攻擊行為和正常行為，選取20% KDD99數(shù)據(jù)集中攻擊行為和正常行為各900個進行平等劃分，引入文獻[4]的無線網(wǎng)絡(luò)攻擊行為辨識方法和文獻[5]的無線網(wǎng)絡(luò)攻擊行為辨識方法進行對比，得到了以下實驗測試結(jié)果.

三種無線網(wǎng)絡(luò)攻擊行為辨識方法的無線網(wǎng)絡(luò)攻擊行為誤報率測試結(jié)果如圖1所示.

圖1 無線網(wǎng)絡(luò)攻擊行為誤報率測試結(jié)果

從圖1的結(jié)果可以看出，隨著無線網(wǎng)絡(luò)攻擊行為數(shù)量越來越多，基于人工蜂群算法的無線網(wǎng)絡(luò)攻擊行為辨識方法和文獻[5]的無線網(wǎng)絡(luò)攻擊行為辨識方法都維持在一個比較低的無線網(wǎng)絡(luò)攻擊行為誤報率，但是基于人工蜂群算法的無線網(wǎng)絡(luò)攻擊行為辨識方法的無線網(wǎng)絡(luò)攻擊行為誤報率更低，大約在5%以內(nèi)；而文獻[4]的無線網(wǎng)絡(luò)攻擊行為辨識方法將自適應(yīng)卷積濾波作為約束條件，由于無線網(wǎng)絡(luò)攻擊行為特征存在噪聲點，沒有對其進行預(yù)處理，影響最后的無線網(wǎng)絡(luò)攻擊行為辨識效果.

三種無線網(wǎng)絡(luò)攻擊行為辨識方法的無線網(wǎng)絡(luò)攻擊行為辨識效率測試結(jié)果如圖2所示.

圖2 無線網(wǎng)絡(luò)攻擊行為辨識效率測試結(jié)果

從圖2的結(jié)果可以看出，采用無線網(wǎng)絡(luò)攻擊行為辨識耗費時間來衡量無線網(wǎng)絡(luò)攻擊行為辨識效率，在不同的干擾項和迭代次數(shù)下，基于人工蜂群算法的無線網(wǎng)絡(luò)攻擊行為辨識方法中的無線網(wǎng)絡(luò)攻擊行為辨識效率遠遠高于文獻[4]和文獻[5]中的方法，原因是本文設(shè)計的無線網(wǎng)絡(luò)攻擊行為辨識方法在辨識無線網(wǎng)絡(luò)攻擊行為之前，采用人工蜂群算法對無線網(wǎng)絡(luò)攻擊行為進行了預(yù)處理，提高了無線網(wǎng)絡(luò)攻擊行為的辨識效率.

3 結(jié)束語

針對當前無線網(wǎng)絡(luò)攻擊行為辨識方法存在的多種問題，本文提出了一種基于人工蜂群算法的無線網(wǎng)絡(luò)攻擊行為辨識方法，通過預(yù)處理無線網(wǎng)絡(luò)攻擊行為，提取出無線網(wǎng)絡(luò)攻擊行為特征，結(jié)合人工蜂群算法實現(xiàn)了無線網(wǎng)絡(luò)攻擊行為的辨識.實驗結(jié)果顯示，該辨識方法在誤報率和辨識效率方面具有很好的效果，可以在實際中得到進一步推廣.