基于GBDT優(yōu)化算法的局域網(wǎng)入侵定位與檢測研究

蔡 娟，蘭婭勛，劉 源

(1.廣州科技職業(yè)技術(shù)大學(xué) 信息工程學(xué)院，廣州 510005；2.南京理工大學(xué) 電子工程與光電技術(shù)學(xué)院，南京 210094)

0 引言

局域網(wǎng)是由局部地區(qū)組成的一個區(qū)域網(wǎng)絡(luò)，它的特點是它的分布面積是有限的，覆蓋范圍通常為方圓數(shù)公里，具有安裝方便、成本節(jié)約、擴展方便等優(yōu)點，使得它在各類辦公室中得到了廣泛的應(yīng)用。在實際應(yīng)用中，對局域網(wǎng)網(wǎng)絡(luò)的安全性進行維護，可以對數(shù)據(jù)的安全性進行有效的保障，確保局域網(wǎng)網(wǎng)絡(luò)的正常、穩(wěn)定運行。因為局域網(wǎng)具有移動性、傳輸性等特點，局域網(wǎng)極易遭受來自外部或網(wǎng)絡(luò)自身的攻擊，然而，在局域網(wǎng)中，常規(guī)的防火墻發(fā)揮的作用十分有限，無法對局域網(wǎng)提供良好的防護，從而使局域網(wǎng)面臨潛在的威脅[1]。為了最大程度地保證局域網(wǎng)的運行安全，降低甚至消除非法入侵行為對局域網(wǎng)的影響，提出入侵定位與檢測方法。入侵是非授權(quán)訪問信息系統(tǒng)以及未經(jīng)允許對信息系統(tǒng)進行操作，是對防火墻的合理補充，它可以幫助系統(tǒng)對付網(wǎng)絡(luò)攻擊。而入侵定位就是確定入侵攻擊源的位置，為局域網(wǎng)的攻擊防御提供輔助參考。

從目前入侵定位與檢測方法的研究情況來看，文獻[1]提出的基于天牛群優(yōu)化與改進正則化極限學(xué)習(xí)機的網(wǎng)絡(luò)入侵檢測方法、文獻[2]提出的基于機器學(xué)習(xí)的入侵檢測技術(shù)和文獻[3]中提出的基于超參數(shù)自動尋優(yōu)的入侵檢測方法發(fā)展較為成熟，其中文獻[1]提出的入侵檢測方法采用LU分解方法解決RELM(正則化極限學(xué)習(xí)機)的權(quán)重矩陣問題，并采用BSO(天牛群優(yōu)化)方法實現(xiàn)權(quán)重與門限的聯(lián)合優(yōu)化；針對BSO方法易陷入局部極小化問題，擬采用TentMapping逆向?qū)W習(xí)、萊維飛行種群學(xué)習(xí)、動態(tài)突變等方法，以提高BSO方法的尋優(yōu)能力。文獻[2]提出的入侵檢測方法應(yīng)用了機器學(xué)習(xí)算法，構(gòu)建支持向量機節(jié)點定位模型。確定當(dāng)前階段的網(wǎng)絡(luò)通訊狀況，建立了節(jié)點重要度的概念，并定義了具有較高重要度的節(jié)點為易受攻擊目標(biāo)，估計可能因不正常行為而導(dǎo)致的損失。而文獻[3]中提出的入侵檢測方法主要采用過采樣技術(shù)解決原始數(shù)據(jù)中樣本不平衡的問題.利用貝葉斯優(yōu)化方法，對層疊的長-短時內(nèi)存網(wǎng)絡(luò)進行最優(yōu)超參數(shù)值集的求解，實現(xiàn)對入侵檢測的有效識別。將上述傳統(tǒng)入侵檢測方法應(yīng)用到局域網(wǎng)環(huán)境中，發(fā)現(xiàn)輸出結(jié)果存在明顯的入侵定位誤差與檢測錯誤現(xiàn)象，為此引入GBDT(gradient boosting decision tree，梯度提升決策樹)優(yōu)化算法。

GBDT優(yōu)化算法又稱梯度提升決策樹優(yōu)化算法，它是一種將多個決策樹組合在一起，然后將每一個決策樹的結(jié)果相加得到最后的結(jié)果。GBDT最優(yōu)算法的基本思想是使得它在尋找多個可區(qū)分的特征及其組合方面有著天然的優(yōu)勢。利用GBDT優(yōu)化算法，以局域網(wǎng)作為研究對象，優(yōu)化設(shè)計入侵定位與檢測方法，以期能夠提升對局域網(wǎng)入侵行為的檢測精度，間接的提高局域網(wǎng)的運行安全。

1 局域網(wǎng)入侵定位與檢測方法設(shè)計

入侵檢測是用來發(fā)現(xiàn)外部攻擊與合法用戶濫用特權(quán)的一種方法。局域網(wǎng)入侵定位與檢測方法的運行原理如圖1所示。

圖1 局域網(wǎng)入侵定位與檢測原理圖

在圖1所示的原理的支持下，局域網(wǎng)入侵檢測的工作流程大體可以分為3個步驟，分別為數(shù)據(jù)收集、數(shù)據(jù)分析以及結(jié)果處理，通過當(dāng)前局域網(wǎng)運行數(shù)據(jù)特征與不同入侵攻擊下數(shù)據(jù)運行的標(biāo)準(zhǔn)特征進行匹配，確定當(dāng)前局域網(wǎng)是否存在入侵行為，識別入侵類型以及入侵點位置。

1.1 建立局域網(wǎng)數(shù)學(xué)模型

從組成結(jié)構(gòu)方面來看，局域網(wǎng)由網(wǎng)卡、網(wǎng)絡(luò)終端、接入節(jié)點等部分組成。局域網(wǎng)大多采用聚類分層連接結(jié)構(gòu)，網(wǎng)絡(luò)由幾個簇組成，每一個簇都包含了一個簇首和多個簇成員，簇頭是由節(jié)點利用分簇算法自動選舉產(chǎn)生的[2]。假設(shè)局域網(wǎng)中存在np個節(jié)點，任意兩個節(jié)點之間存在連接鏈路，那么局域網(wǎng)中的鏈路數(shù)量可以表示為：

(1)

構(gòu)建的局域網(wǎng)數(shù)學(xué)模型設(shè)置IEEE802.11g協(xié)議作為數(shù)據(jù)傳輸協(xié)議，采用了正交頻分多路復(fù)用OFDM編碼技術(shù)，以克服傳統(tǒng) DSSS編碼方案中存在的多徑衰減問題。不僅能滿足2.4 GHz頻段的數(shù)據(jù)傳輸速率，而且能保證與同樣數(shù)量的機器設(shè)備相兼容。將傳輸協(xié)議融合到局域網(wǎng)結(jié)構(gòu)模型中，得出局域網(wǎng)數(shù)學(xué)模型的構(gòu)建結(jié)果。

1.2 設(shè)置局域網(wǎng)入侵檢測標(biāo)準(zhǔn)

在構(gòu)建的局域網(wǎng)數(shù)學(xué)模型下，通過模擬多種典型的網(wǎng)絡(luò)入侵行為，確定不同入侵類型的作用原理，并將不同入侵行為下局域網(wǎng)實時數(shù)據(jù)的變化特征作為入侵檢測的判定標(biāo)準(zhǔn)[3]。根據(jù)入侵攻擊行為的后果，可以將入侵類型分為：拒絕服務(wù)攻擊、中間人攻擊、重放攻擊等，其中局域網(wǎng)的拒絕服務(wù)攻擊原理如圖2所示。

圖2 局域網(wǎng)拒絕服務(wù)攻擊原理圖

在拒絕服務(wù)攻擊中，攻擊者首先選取多臺存在安全缺陷的主機作為主控主機，然后對其進行訪問。在確定代理主機時，采用了與確定主主機相似的方式，不同之處在于，攻擊者可以通過主機來間接地進行入侵。非法用戶為了加強對局域網(wǎng)的攻擊強度，會盡量增加局域網(wǎng)中傀儡主機和代理主機的數(shù)量，并在入侵攻擊時向目標(biāo)主機發(fā)送大量的惡意攻擊程序與指令，促使代理主機執(zhí)行實際的DDoS攻擊任務(wù)[4]。在DDoS攻擊程序下，傀儡主機包括主控主機和代理主機兩個部分，并由此形成攻擊對象的傀儡網(wǎng)絡(luò)，傀儡網(wǎng)絡(luò)一般都處于被攻擊方或被攻擊方之外。攻擊者在選定了主服務(wù)器和代理服務(wù)器之后，就可以通過對這些服務(wù)器的通訊進行攻擊。另外，局域網(wǎng)的中間人攻擊是指在通信雙方的中間有一個偵聽者，通信雙方一直都以為他們是在直接通信，但實際上，他們所有交換的數(shù)據(jù)都是由這個偵聽者轉(zhuǎn)發(fā)的，即他們發(fā)出的消息，先發(fā)送到中間的偵聽者，偵聽者修改消息后再轉(zhuǎn)發(fā)，一般情況下，攻擊者會使用該方法獲取用戶名和密碼等關(guān)鍵信息，再利用這些信息連接到合法AP[5]。同理可以得出其他入侵攻擊的模擬結(jié)果，并在入侵攻擊程序下，實時采集局域網(wǎng)的實時運行數(shù)據(jù)，提取任意入侵攻擊下的運行特征，將i類入侵攻擊下的數(shù)據(jù)運行標(biāo)準(zhǔn)特征標(biāo)記為λstandard(i)，以此作為局域網(wǎng)入侵攻擊行為的檢測標(biāo)準(zhǔn)。

1.3 局域網(wǎng)實時運行數(shù)據(jù)采集與預(yù)處理

采用BPF技術(shù)截獲局域網(wǎng)的實時運行數(shù)據(jù)包，BPF技術(shù)由網(wǎng)絡(luò)接口和數(shù)據(jù)包過濾器兩部分組成，網(wǎng)絡(luò)接口的實現(xiàn)是由網(wǎng)絡(luò)驅(qū)動來完成對網(wǎng)卡的傳輸，然后將傳輸?shù)酱幚淼南到y(tǒng)中。然后，分組過濾器根據(jù)用戶自定義的對應(yīng)規(guī)則，將不需要的分組剔除，以避免分組進入用戶空間。利用包過濾來緩存有效的包，以供用戶使用。BPF的主要作用是實現(xiàn)對局域網(wǎng)傳輸數(shù)據(jù)包的攔截和篩選，然后將經(jīng)過篩選的報文緩存到系統(tǒng)內(nèi)核中，供用戶從所提供的應(yīng)用程序接口進行調(diào)用[6]。局域網(wǎng)傳輸數(shù)據(jù)包的具體截獲過程如圖3所示。

圖3 局域網(wǎng)傳輸數(shù)據(jù)包截獲流程圖

在入侵定位與檢測過程中，需要對局域網(wǎng)中的數(shù)據(jù)變化情況進行分析，因此需要足夠數(shù)量的數(shù)據(jù)作為支持，最終得出的局域網(wǎng)數(shù)據(jù)截獲結(jié)果可以表示為：

NLAN(x)=f·Δtcatch

(2)

其中：f為局域網(wǎng)數(shù)據(jù)的截獲頻率，Δtcatch表示局域網(wǎng)運行數(shù)據(jù)的采集時間，公式(2)的輸出結(jié)果NLAN(x)即為以x為傳輸內(nèi)容的截獲數(shù)據(jù)量[7]。為保證優(yōu)化設(shè)計方法的入侵定位與檢測精度，需要對初始截獲的局域網(wǎng)數(shù)據(jù)進行預(yù)處理，預(yù)處理內(nèi)容具體包括：冗余數(shù)據(jù)過濾、缺失數(shù)據(jù)補償以及數(shù)據(jù)歸一化，在冗余數(shù)據(jù)過濾過程中，首先計算初始捕獲的任意兩個數(shù)據(jù)之間的冗余度，計算公式如下：

(3)

式(3)中，變量xi和xj分別為初始捕獲數(shù)據(jù)中的第i和j個數(shù)據(jù)。若式(3)中的計算結(jié)果r(xi，xj)，高于設(shè)置閾值r0，則說明xi與xj之間為冗余數(shù)據(jù)，需要刪除其中任意一個數(shù)據(jù)，否則認為兩者不為冗余數(shù)據(jù)，不需要執(zhí)行過濾處理[8]。初始截獲局域網(wǎng)傳輸數(shù)據(jù)中缺失部分的補償過程可以量化描述為：

(4)

(5)

式中，xmax和xmin為初始捕獲局域網(wǎng)運行數(shù)據(jù)中的最大值和最小值[9]。將所有的局域網(wǎng)傳輸數(shù)據(jù)捕獲結(jié)果依次代入到式(3)～(5)中，完成局域網(wǎng)實時運行數(shù)據(jù)的預(yù)處理，將最終的預(yù)處理結(jié)果幅值給初始截獲數(shù)據(jù)。

1.4 提取局域網(wǎng)運行數(shù)據(jù)特征

以局域網(wǎng)傳輸數(shù)據(jù)的截獲與預(yù)處理結(jié)果為處理對象，從時域和頻域兩個方面提取局域網(wǎng)的運行特征。設(shè)置局域網(wǎng)運行特征的提取向量為流量均值、流量峰值、流量波動因子等，其中流量均值的提取結(jié)果如下：

(6)

另外局域網(wǎng)流量峰值特征與流量波動因子特征的提取結(jié)果為：

(7)

式中，變量χ和σ分別為方根幅值和絕對平均值，上述變量的求解公式為：

(8)

將式(8)的計算結(jié)果代入到式(7)中，即可得出局域網(wǎng)運行流量峰值與波動因子特征的提取結(jié)果。同理可以得出其他所有局域網(wǎng)運行時域特征向量的提取結(jié)果。局域網(wǎng)運行數(shù)據(jù)的頻域特征提取就是通過小波分解，提取局域網(wǎng)運行能量特征[10]。在實際的局域網(wǎng)頻域特征提取過程中，首先利用離散小波變換技術(shù)對初始捕獲數(shù)據(jù)進行c層分解，分解結(jié)果如下：

(9)

式中，κwavelet和κapproximate分別為小波系數(shù)和近似系數(shù)，xlow(t)和xtall(t)為初始采集傳輸數(shù)據(jù)中的低頻部分和高頻部分，則局域網(wǎng)能量特征的提取結(jié)果為：

(10)

其中：L(t)為t時刻局域網(wǎng)運行數(shù)據(jù)的信號長度。為方便局域網(wǎng)運行數(shù)據(jù)特征的統(tǒng)一處理與匹配，對提取的時域與頻域特征作融合處理，最終得出的綜合特征提取結(jié)果如下：

λdraw=?1λE+?2λmean value+?3λmax+?4λundulate

(11)

式中，?1、?2、?3和?4分別對應(yīng)的是流量均值、流量峰值、流量波動因子以及能量特征向量對應(yīng)的權(quán)重值[11]。由于局域網(wǎng)中的傳輸數(shù)據(jù)處于動態(tài)變化的狀態(tài)，因此需要根據(jù)數(shù)據(jù)的采集頻率對提取特征進行實時更新。

1.5 利用GBDT優(yōu)化算法構(gòu)建局域網(wǎng)入侵分類器

局域網(wǎng)入侵分類器構(gòu)建的目的是為局域網(wǎng)入侵狀態(tài)以及入侵類型的檢測提供運行環(huán)境，為保證局域網(wǎng)入侵分類器輸出的入侵類型檢測結(jié)果，利用GBDT優(yōu)化算法對分類器進行優(yōu)化構(gòu)建[12]。GBDT優(yōu)化算法是一種綜合模式，其預(yù)測方法是將各個子樹的預(yù)測值相加。GBDT算法逐步產(chǎn)生一個決策子樹來產(chǎn)生整片森林，并根據(jù)樣本標(biāo)簽和現(xiàn)有林分預(yù)報結(jié)果的殘差來構(gòu)造新的子樹。GBDT優(yōu)化算法的運行原理如圖4所示。

圖4 GBDT優(yōu)化算法原理圖

GBDT優(yōu)化算法的運行大體可以分為決策樹生成、負梯度擬合等步驟，如圖4所示。定義提取的局域網(wǎng)運行數(shù)據(jù)特征作為GBDT優(yōu)化算法的訓(xùn)練樣本，在訓(xùn)練樣本所在的輸入空間中，對訓(xùn)練樣本進行遞歸式分割，確定各子域的輸出值，從而構(gòu)造出一棵二叉決策樹[13]。在決策樹生成過程中，首先選擇最優(yōu)切分變量和切分點，分別標(biāo)記為b和q，用選定的(b，q)劃分區(qū)域并決定相應(yīng)的輸出值：

(12)

式中，yselect為最優(yōu)切分變量和切分點選擇的最優(yōu)求解函數(shù)，Nβ代表區(qū)域劃分數(shù)量，ξ為區(qū)域劃分的輸出值，重復(fù)切分點選擇、空間劃分步驟，直至滿足停止條件，將輸入到GBDT優(yōu)化算法中的局域網(wǎng)運行數(shù)據(jù)特征空間的劃分成多個區(qū)域，并由此得出決策樹的構(gòu)建結(jié)果，可以量化表示為：

(13)

按照上述流程得出決策樹的構(gòu)建結(jié)果。采用加法模型和正向逐步算法來實現(xiàn)學(xué)習(xí)的優(yōu)化過程。GBDT優(yōu)化算法通過對邏輯回歸中的對數(shù)損失函數(shù)來實現(xiàn)分類工作[14]。為解決GBDT優(yōu)化算法學(xué)習(xí)過程中存在的損失函數(shù)擬合的問題，用損失函數(shù)的負梯度擬合出一個回歸樹。如果損失函數(shù)是二次損失，那么這個負梯度就是目前分類器的殘差值，因此，在損失函數(shù)是其他函數(shù)時，可以使用這負梯度來近似目前分類器的殘差值[15]。第k輪的第i個樣本的損失函數(shù)的負梯度表示為：

(14)

式中，ystudy()為任意一輪決策樹的學(xué)習(xí)函數(shù)。通過損失函數(shù)的負梯度來擬合，解決分類器運行過程中的分類回歸問題[16]。根據(jù)上述GBDT優(yōu)化算法得出局域網(wǎng)入侵分類器的構(gòu)建結(jié)果，構(gòu)建分類器的工作邏輯如圖5所示。

圖5 局域網(wǎng)入侵分類器工作邏輯圖

局域網(wǎng)入侵分類器的數(shù)學(xué)表達式為：

F=argminβ(b，q)+δ

(15)

將GBDT優(yōu)化算法的學(xué)習(xí)結(jié)果以及相關(guān)運行參數(shù)代入到公式(15)中，即可得出局域網(wǎng)入侵分類器的最終構(gòu)建結(jié)果。

1.6 匹配局域網(wǎng)運行數(shù)據(jù)特征

在構(gòu)建局域網(wǎng)入侵分類器的支持下，通過提取局域網(wǎng)運行數(shù)據(jù)特征與設(shè)置入侵特征之間的匹配，判斷當(dāng)前局域網(wǎng)是否存在入侵攻擊行為，并確定當(dāng)前局域網(wǎng)的入侵攻擊類型。局域網(wǎng)運行狀態(tài)的特征匹配結(jié)果如下：

(16)

將i類入侵攻擊特征與當(dāng)前局域網(wǎng)的提取特征代入到公式(16)中，即可得出當(dāng)前局域網(wǎng)與i類入侵攻擊的匹配系數(shù)求解結(jié)果[17]。若計算得出匹配系數(shù)γ，高于閾值γ0，說明當(dāng)前局域網(wǎng)存在入侵攻擊，且入侵類型為i，否則進行下一入侵攻擊類型的匹配，直到滿足特征匹配條件為止，若當(dāng)前局域網(wǎng)運行特征不與設(shè)置的任意一個入侵類型相匹配，則說明當(dāng)前局域網(wǎng)不處于入侵攻擊狀態(tài)。

1.7 追蹤局域網(wǎng)入侵源位置

針對處于入侵攻擊狀態(tài)下的局域網(wǎng)，需要確定入侵源的具體位置，并根據(jù)入侵源的移動情況進行追蹤。采用距離向量技術(shù)執(zhí)行局域網(wǎng)入侵源定位操作，即采用平均每跳距離來估算實際距離。首先將一個包含跳躍數(shù)段的數(shù)據(jù)包發(fā)送給鄰接節(jié)點，并將該數(shù)據(jù)包發(fā)送給該鄰接節(jié)點。一個被攻擊的目標(biāo)節(jié)點，其到每一個被攻擊的節(jié)點都有一個最小的跳，并且被忽略掉了[18]。這個跳躍值被添加到1，并被發(fā)送到鄰近的節(jié)點。利用這種方式，局域網(wǎng)中的全部結(jié)點都可以記錄到攻擊結(jié)點的最小距離。入侵攻擊節(jié)點的平均跳距可以表示為：

(17)

式中，(xi，yi)和(xj，yj)分別為局域網(wǎng)中任意節(jié)點i和j的坐標(biāo)，lmin為局域網(wǎng)節(jié)點i和j之間的最小跳數(shù)，Npanel point表示局域網(wǎng)中包含的節(jié)點數(shù)量。每個攻擊點在得到平均跳躍距離之后，會直接或間接地向外廣播含有該平均跳躍距離的信息，而被接收到的信息只會被保存在它接收到的最初跳躍距離中[19]。接著，該未知節(jié)點將接收到的平均跳距之和乘以與之相連的任何一個攻擊節(jié)點的最小跳數(shù)，從而獲得該未知節(jié)點與之相連的任何一個攻擊節(jié)點的估算距離，則未知入侵攻擊節(jié)點與已知節(jié)點之間的距離可以表示為：

d(i，g)=lig×npace+l0

(18)

其中：l0為首次接收到的平均跳距，g為未知攻擊節(jié)點，npace為節(jié)點i與攻擊節(jié)點之間需要的步數(shù)。那么根據(jù)入侵攻擊節(jié)點與已知局域網(wǎng)節(jié)點之間的攻擊關(guān)系，可以得出入侵節(jié)點的攻擊結(jié)果為：

(19)

式中，dx(i，g)和dy(i，g)分別為節(jié)點間距離在水平和豎直方向上的分量，通過公式(19)的求解，即可得出當(dāng)前局域網(wǎng)入侵源位置的定位結(jié)果。結(jié)合局域網(wǎng)實時運行數(shù)據(jù)的采集頻率，重復(fù)上述入侵源定位流程，完成局域網(wǎng)入侵源的追蹤與更新。

1.8 實現(xiàn)局域網(wǎng)入侵定位與檢測

由于不同的入侵攻擊類型的作用原理不同，因此產(chǎn)生的局域網(wǎng)運行特征存在明顯區(qū)別，部分入侵可能不會對局域網(wǎng)的運行流量產(chǎn)生影響，而直接作用在網(wǎng)絡(luò)傳輸協(xié)議上，因此除上述過程外，還需要對局域網(wǎng)的運行協(xié)議進行檢測，主要就是對局域網(wǎng)傳輸數(shù)據(jù)的結(jié)構(gòu)進行檢測，最終將局域網(wǎng)入侵位置、類型的檢測結(jié)果以可視化的形式輸出，輸出結(jié)果如下：

W=(Z(γ)，(xg，yg))

(20)

式中，Z(γ)為經(jīng)特征匹配得出的局域網(wǎng)入侵狀態(tài)檢測結(jié)果[20]。按照上述流程，完成局域網(wǎng)入侵定位與檢測工作。

2 性能測試實驗分析

為了驗證優(yōu)化設(shè)計基于GBDT優(yōu)化算法的局域網(wǎng)入侵定位與檢測方法的定位與檢測性能，以白盒測試為測試方式，設(shè)計性能測試實驗。此次性能測試實驗的基本思路為：在局域網(wǎng)測試環(huán)境下，設(shè)置入侵攻擊點，以多個不同類型、不同強度的執(zhí)行入侵攻擊任務(wù)，利用優(yōu)化設(shè)計的局域網(wǎng)入侵定位與檢測方法輸出檢測結(jié)果，與設(shè)置的入侵攻擊任務(wù)參數(shù)進行比對，驗證優(yōu)化設(shè)計方法輸出結(jié)果與實際入侵情況之間的差距。

2.1 布設(shè)局域網(wǎng)測試環(huán)境

此次實驗選擇的局域網(wǎng)由250臺主機和3臺路由器組成。其中1臺用來作為分析主機，能夠執(zhí)行優(yōu)化設(shè)計的基于GBDT優(yōu)化算法的局域網(wǎng)入侵定位與檢測方法，另外隨機選擇局域網(wǎng)中的任意一臺主機作為攻擊主機，執(zhí)行編寫的攻擊程序，對局域網(wǎng)中的其他節(jié)點主機進行入侵攻擊。為了避免誤差，無論是合法主機還是攻擊主機，都使用了同樣的硬件配置，使用的都是WindowsX的SP2操作系統(tǒng)。同時，兩者均采用了Realtek10/100 M的適配網(wǎng)絡(luò)卡，并采用了TP-鏈接10/100 M的快速適配開關(guān)。

2.2 編寫局域網(wǎng)入侵攻擊程序

利用MDK3工具模擬局域網(wǎng)入侵攻擊程序，該工具支持DDOS攻擊、洪水攻擊、中間人攻擊等入侵程序。在MDK3工具支持下，DDoS攻擊程序的運行情況如圖6所示。

圖6 局域網(wǎng)入侵攻擊程序運行圖

通過無線網(wǎng)卡發(fā)射隨機偽造的攻擊信號，并根據(jù)需要設(shè)定攻擊信號的工作頻道，執(zhí)行相應(yīng)的攻擊指令。為保證實驗結(jié)果的可信度，此次性能測試實驗設(shè)置多個入侵攻擊任務(wù)，部分任務(wù)的設(shè)置情況如表1所示。

表1 局域網(wǎng)入侵攻擊任務(wù)表

除表1中的入侵攻擊任務(wù)信息外，還需要確定入侵節(jié)點的位置，實驗共設(shè)置200個入侵攻擊任務(wù)，其中攻擊強度等級為I級和II級的任務(wù)均為100個。在局域網(wǎng)入侵攻擊程序編寫與運行過程中，確定局域網(wǎng)的入侵目標(biāo)節(jié)點。另外，在入侵攻擊程序編寫過程中，需要添加強制控制指令，保證入侵攻擊程序的可控性。

2.3 準(zhǔn)備局域網(wǎng)運行數(shù)據(jù)樣本

在不啟動入侵攻擊程序的情況下，將局域網(wǎng)調(diào)整至運行狀態(tài)，執(zhí)行多個數(shù)據(jù)通信與傳輸任務(wù)，通過iptables獲取局域網(wǎng)的實時運行數(shù)據(jù)包，作為局域網(wǎng)入侵檢測的參考數(shù)據(jù)。在此基礎(chǔ)上，啟動編寫的入侵攻擊程序，重復(fù)執(zhí)行局域網(wǎng)的通信傳輸任務(wù)，按照相同的數(shù)據(jù)采集方式獲取運行數(shù)據(jù)，作為入侵檢測的測試數(shù)據(jù)。

2.4 實驗結(jié)果與分析

利用編程工具對優(yōu)化設(shè)計的基于GBDT優(yōu)化算法的局域網(wǎng)入侵定位與檢測方法進行開發(fā)，并將準(zhǔn)備的局域網(wǎng)運行數(shù)據(jù)樣本輸入到優(yōu)化設(shè)計方法對應(yīng)的運行程序中，通過決策樹的構(gòu)建與學(xué)習(xí)、特征提取與匹配等步驟，得出當(dāng)前局域網(wǎng)入侵定位與檢測結(jié)果。圖7表示的是局域網(wǎng)執(zhí)行1號入侵攻擊任務(wù)時輸出的入侵定位與檢測結(jié)果。

圖7 局域網(wǎng)入侵定位與檢測結(jié)果

按照上述方式可以得出所有入侵攻擊任務(wù)下的定位與檢測結(jié)果，將優(yōu)化設(shè)計方法的輸出結(jié)果與設(shè)置攻擊任務(wù)信息進行比對，判斷優(yōu)化設(shè)計方法輸出結(jié)果是否準(zhǔn)確。為了體現(xiàn)出優(yōu)化設(shè)計方法在定位與檢測性能方面的優(yōu)勢，設(shè)置傳統(tǒng)的基于天牛群優(yōu)化與改進正則化極限學(xué)習(xí)機的網(wǎng)絡(luò)入侵檢測方法和基于機器學(xué)習(xí)的無線傳感網(wǎng)絡(luò)通信異常入侵檢測方法作為實驗的對比方法，按照上述流程完成對比方法的開發(fā)與運行，并得出相應(yīng)的輸出結(jié)果。

首先，根據(jù)實驗?zāi)康姆謩e從入侵定位和入侵檢測兩個方面設(shè)置性能量化測試指標(biāo)，其中入侵定位性能的測試指標(biāo)為入侵定位誤差，其數(shù)值結(jié)果為：

εseat=|xg-xset|+|yg-yset|

(21)

式中，(xset，yset)為設(shè)置入侵攻擊源的實際位置，根據(jù)局域網(wǎng)的規(guī)模，局域網(wǎng)入侵位置以米為計量單位。統(tǒng)計優(yōu)化設(shè)計方法輸出的入侵源定位結(jié)果，通過與設(shè)置入侵原位置的對比，得出反映入侵定位性能的測試結(jié)果。表2表示的是1號入侵攻擊任務(wù)下入侵節(jié)點定位性能的測試結(jié)果。

表2 局域網(wǎng)入侵定位性能測試數(shù)據(jù)表

基于公式(21)計算節(jié)點位置偏差，統(tǒng)計結(jié)果如表3所示。

表3 各算法的節(jié)點位置偏差值統(tǒng)計 m

將表2中的數(shù)據(jù)代入到式(21)中，得出兩種對比方法的平均入侵定位誤差分別為9.2 m和4.7 m，優(yōu)化設(shè)計方法輸出入侵定位誤差的平均值為1.2 m。

其次，設(shè)定入侵檢測性能的測試指標(biāo)分別為：入侵類型正確檢測率和入侵數(shù)量正確檢測率，上述指標(biāo)的測試結(jié)果如下：

(22)

式(22)中，變量ntype和ntask分別表示的是正確檢測的入侵類型數(shù)量和設(shè)置的入侵任務(wù)總數(shù)量，nAttack Node和npanel point對應(yīng)的是成功識別出的入侵節(jié)點數(shù)量以及設(shè)置入侵節(jié)點的總數(shù)量。最終計算得出入侵定位誤差越小、入侵類型正確檢測率和入侵數(shù)量正確檢測率越高，說明對應(yīng)方法的定位與檢測性能越優(yōu)。通過公式(22)的計算，得出入侵類型正確檢測率和入侵數(shù)量正確檢測率的測試對比結(jié)果，如圖8所示。

圖8 局域網(wǎng)入侵類型與數(shù)量檢測性能測試對比結(jié)果

從圖8中可以直觀地看出，與傳統(tǒng)入侵定位與檢測方法相比，優(yōu)化設(shè)計方法的入侵類型正確檢測率和入侵數(shù)量正確檢測率更高，入侵類型正確檢測率提高約13.8%，入侵數(shù)量正確檢測率提高約15.4%。

3 結(jié)束語

在非法攻擊迅速發(fā)展的大背景下，攻擊種類及其破壞程度急劇增加，為滿足局域網(wǎng)在安全方面的需求，提出了局域網(wǎng)的主動防御技術(shù)，它的技術(shù)核心就是通過動態(tài)保護措施來保證系統(tǒng)的安全，從而能夠及時地發(fā)現(xiàn)可局域網(wǎng)的異常運行情況，并針對入侵攻擊進行控制和反擊。該方法最大的優(yōu)點是能夠?qū)π碌墓暨M行自適應(yīng)地分析和學(xué)習(xí)。在主動防御技術(shù)中，入侵檢測是一個非常重要的組成部分，它是通過從計算機網(wǎng)絡(luò)或主機系統(tǒng)的關(guān)鍵點上收集信息，并對這些關(guān)鍵點信息展開分析，從而識別出局域網(wǎng)是否有存在企圖入侵、正在進行入侵或已經(jīng)入侵的行為。在未來，入侵檢測方法將會向著高速實時化、智能化等方向發(fā)展。在此次研究中，通過GBDT優(yōu)化算法的應(yīng)用，實現(xiàn)局域網(wǎng)入侵定位與檢測方法的優(yōu)化。從實驗結(jié)果中可以看出，優(yōu)化設(shè)計方法具有更高的定位精度和檢測精度，對于提高局域網(wǎng)的主動防御水平以及網(wǎng)絡(luò)運行安全性能具有重要意義。