邢穎 張玉瑩
【摘? 要】群體智能優(yōu)化算法具有結(jié)構(gòu)較為簡(jiǎn)單、易于實(shí)現(xiàn)等特點(diǎn),被廣泛應(yīng)用于復(fù)雜問題的求解中。以物聯(lián)僵尸網(wǎng)絡(luò)為載體的各種網(wǎng)絡(luò)攻擊活動(dòng)是目前互聯(lián)網(wǎng)所面臨的最為嚴(yán)重的安全威脅之一,具有隱蔽通信特點(diǎn)。本文在介紹蟻群算法、粒子群算法、灰狼算法經(jīng)典群體智能算法的基礎(chǔ)上,重點(diǎn)介紹了群體智能算法在物聯(lián)僵尸網(wǎng)絡(luò)中的應(yīng)用,主要有命令控制信道構(gòu)建、特征提取以及檢測(cè),對(duì)未來研究趨勢(shì)做了展望。
【關(guān)鍵詞】群體智能;物聯(lián)僵尸網(wǎng)絡(luò);檢測(cè);網(wǎng)絡(luò)安全
引言
物聯(lián)網(wǎng)是智能設(shè)備的網(wǎng)絡(luò),是21世紀(jì)重大的創(chuàng)新之一。物聯(lián)網(wǎng)在農(nóng)業(yè),醫(yī)療保健,食品供應(yīng)管理,藥品供應(yīng)管理,環(huán)境監(jiān)控和智能家居等各個(gè)領(lǐng)域都得到了實(shí)現(xiàn),促進(jìn)了互聯(lián)網(wǎng)上的機(jī)器對(duì)機(jī)器通信。Gartner報(bào)告反映出物聯(lián)網(wǎng)設(shè)備數(shù)量的巨大增長(zhǎng),到2025年物聯(lián)網(wǎng)設(shè)備的數(shù)量可能達(dá)到500億個(gè)。僵尸網(wǎng)絡(luò)(botnet)是由大量被僵尸程序所感染的主機(jī)受到攻擊者所控制而形成的以惡意活動(dòng)為目的的覆蓋網(wǎng)絡(luò)(overlay network)。僵尸網(wǎng)絡(luò)控制器可以通過控制服務(wù)器操控僵尸主機(jī)發(fā)起各種類型的網(wǎng)絡(luò)攻擊,如分布式拒絕服務(wù)(DDoS)、垃圾郵件(spam)、網(wǎng)絡(luò)釣魚(phishing)、點(diǎn)擊欺詐(click fraud)以及竊取敏感信息(information theft)等等。以僵尸網(wǎng)絡(luò)為載體的各種網(wǎng)絡(luò)攻擊活動(dòng)是目前互聯(lián)網(wǎng)所面臨的最為嚴(yán)重的安全威脅之一,物聯(lián)僵尸網(wǎng)絡(luò)是僵尸網(wǎng)絡(luò)的新發(fā)展。
近年來,群體智能優(yōu)化算法因具有結(jié)構(gòu)較為簡(jiǎn)單、易于實(shí)現(xiàn)等特點(diǎn),被廣泛應(yīng)用于復(fù)雜問題的求解中。本文重點(diǎn)介紹了群體智能算法在物聯(lián)僵尸網(wǎng)絡(luò)中的應(yīng)用,主要有兩方面,一是隱蔽型命令控制信道構(gòu)建,二是僵尸網(wǎng)絡(luò)特征提取和參數(shù)優(yōu)化,進(jìn)而提升檢測(cè)準(zhǔn)確率,降低誤報(bào)率。
1.物聯(lián)僵尸網(wǎng)絡(luò)
僵尸網(wǎng)絡(luò)的核心是通信,經(jīng)典命令控制信道主要通過IRC、HTTP、SMB、P2P、自定義等協(xié)議實(shí)現(xiàn)。以 IRC 服務(wù)作為集中式命令與控制的信道易于實(shí)施,低延遲,實(shí)時(shí)性好,但是集中式拓?fù)淙菀妆粰z測(cè)和封鎖。采用HTTP協(xié)議來構(gòu)建命令與控制信道的僵尸主機(jī)通過周期性訪問僵尸網(wǎng)絡(luò)控制器,獲取命令文件,解析并執(zhí)行相應(yīng)的操作,能夠穿透IDS和防火墻,具備良好的通用性,隱藏性。服務(wù)器消息塊(SMB)協(xié)議是一種在家庭和企業(yè)網(wǎng)絡(luò)中的典型流量模式下隱藏通信的協(xié)議,主要用于局域網(wǎng)中的通信。采用 P2P協(xié)議構(gòu)建分布式的僵尸網(wǎng)絡(luò)控制通道,解決了僵尸網(wǎng)絡(luò)控制器單點(diǎn)失效問題,有較好的健壯性、隱蔽性、自組織能力。缺點(diǎn)是易受到索引污染(index poisoning )和Sybil攻擊、初始化脆弱性。采用自定義的協(xié)議進(jìn)行通信的僵尸網(wǎng)絡(luò)更為隱蔽,且通信過程更不容易被檢測(cè)。隨著互聯(lián)網(wǎng)的發(fā)展,以物聯(lián)網(wǎng)、云平臺(tái)、社交平臺(tái)為代表等公共服務(wù)資源漸成為了僵尸網(wǎng)絡(luò)滋生的沃土,平臺(tái)更加隱蔽化,攻擊方式更加多樣化。
物聯(lián)網(wǎng)在農(nóng)業(yè),醫(yī)療保健,食品供應(yīng)管理,藥品供應(yīng)管理,環(huán)境監(jiān)控和智能家居等各個(gè)領(lǐng)域都得到了實(shí)現(xiàn)。物聯(lián)網(wǎng)設(shè)備的激增和缺乏安全性已經(jīng)引起了惡意用戶的注意,它們通過創(chuàng)建大規(guī)模的物聯(lián)網(wǎng)僵尸網(wǎng)絡(luò)攻擊來執(zhí)行一系列DDoS攻擊。物聯(lián)網(wǎng)具有異構(gòu)環(huán)境和資源限制設(shè)備,即低內(nèi)存和低計(jì)算能力。僵尸網(wǎng)絡(luò)是由一個(gè)或多個(gè)惡意用戶控制以執(zhí)行惡意活動(dòng)的受感染設(shè)備的集合,Mirai是最常見的物聯(lián)網(wǎng)僵尸網(wǎng)絡(luò)。物聯(lián)網(wǎng)僵尸網(wǎng)絡(luò)的主要特征是:大多數(shù)基于Linux,位于受損的IoT設(shè)備的RAM上,產(chǎn)生非常大的流量泛濫,并且受感染的IoT設(shè)備分布在世界各地。此外,在大多數(shù)情況下,物聯(lián)網(wǎng)僵尸網(wǎng)絡(luò)對(duì)受感染的物聯(lián)網(wǎng)設(shè)備的性能影響有限或沒有副作用,因此很難檢測(cè)到這些僵尸網(wǎng)絡(luò)。
2.群體智能算法
2.1蟻群算法
蟻群優(yōu)化(ACO)指的是以生物網(wǎng)絡(luò)的模仿行為為模型的群體智能中的元啟發(fā)式技術(shù)的子集,1999),特別是螞蟻群體組織,自適應(yīng)地尋找食物來源的最佳路徑,通過合作和集體推理依靠非常簡(jiǎn)單的個(gè)體的能力和經(jīng)驗(yàn)來解決復(fù)雜的問題。在這樣的組織中,由大量的動(dòng)態(tài)實(shí)體組成,每個(gè)個(gè)體都有有限的智能,而生物網(wǎng)絡(luò)的全局行為特征是大量的集體智能,具有管理多個(gè)目標(biāo)的接近全局優(yōu)化的新興能力。在經(jīng)典的蟻群場(chǎng)景中,螞蟻通過共享自己的知識(shí),與鄰居共同尋找最佳解決方案,并迭代探索解決方案空間,以尋求最佳解決方案的最佳途徑。在這種基于蟻群的模型中,通過探索解空間而移動(dòng)的每個(gè)螞蟻代理,都沿著其通向候選解的路徑留下了稱為“信息素”的軌跡的種類,即正在搜索“食物”。當(dāng)它從探索返回到初始位置,即模型中的“巢”時(shí),它會(huì)增加遍歷路徑上剩余的信息素的數(shù)量。蟻群算法已經(jīng)被應(yīng)用于解決多種組合優(yōu)化問題。
2.2粒子群算法
粒子群優(yōu)化算法(PSO),最早是由Eberhart和Kennedy于1995年提出,它的基本概念源于對(duì)鳥群捕食行為的思考。該算法將每一個(gè)優(yōu)化問題的解視為一只鳥,即稱為粒子,所有粒子均在一個(gè)N維空間進(jìn)行搜索,并由一個(gè)適應(yīng)值來判斷目前位置的好壞,通過迭代搜索最佳位置,群體內(nèi)的信息交互實(shí)現(xiàn)問題求解的智能性。粒子具有兩個(gè)屬性:速度和位置,速度代表移動(dòng)的快慢,位置代表移動(dòng)的方向。每個(gè)粒子單獨(dú)搜尋的最優(yōu)解叫做個(gè)體極值,粒子群中最優(yōu)的個(gè)體極值作為當(dāng)前全局最優(yōu)解。不斷迭代,更新速度和位置,最終得到滿足終止條件的最優(yōu)解。
2.3灰狼算法
灰狼優(yōu)化算法是一種近年來興趣的較新的群體智能優(yōu)化算法,具有簡(jiǎn)單高效、需要調(diào)節(jié)的參數(shù)少、容易實(shí)現(xiàn)特點(diǎn)被成功應(yīng)用于多個(gè)領(lǐng)域。算法中存在能夠進(jìn)行自適應(yīng)調(diào)整的收斂因子和信息反饋機(jī)制,可以在局部尋優(yōu)與全局搜索之間實(shí)現(xiàn)平衡。GWO算法的靈感來自觀察灰狼在自然界中的生活方式以及進(jìn)行搜索以尋找獵物的最佳方式。GWO算法通過根據(jù)搜索者的適應(yīng)性將搜索代理分為四種類型,模擬了狼在領(lǐng)導(dǎo)和狩獵中的嚴(yán)格社會(huì)等級(jí)。可抽象為金字塔模型,從上往下分為四層,第一層稱為種群中的領(lǐng)導(dǎo)者,稱為α。金字塔第二層是α的下屬,即智囊團(tuán)隊(duì),稱為β,主要負(fù)責(zé)協(xié)助α進(jìn)行決策。金字塔第三層是δ,聽從α和β的決策命令,主要負(fù)責(zé)偵查、放哨、以及看護(hù)等事務(wù)。金字塔第四層是ω,代表個(gè)體,主要負(fù)責(zé)種群內(nèi)部關(guān)系的平衡。
3.群體智能算法在物聯(lián)僵尸網(wǎng)絡(luò)中應(yīng)用
3.1命令控制信道構(gòu)建
復(fù)雜系統(tǒng)的構(gòu)想,例如自組織、響應(yīng)彈性和適應(yīng)性,可以極大地幫助僵尸網(wǎng)絡(luò)通信協(xié)議和體系結(jié)構(gòu)設(shè)計(jì),確保獨(dú)立的bot代理之間進(jìn)行自發(fā)的,隱式的協(xié)調(diào)與協(xié)作。根據(jù)動(dòng)態(tài)構(gòu)建的度約束最小生成樹,通過多個(gè)短距離跳點(diǎn)將控制信息傳播到任意機(jī)器人節(jié)點(diǎn),提高了網(wǎng)絡(luò)容錯(cuò)性和動(dòng)態(tài)適應(yīng)網(wǎng)絡(luò)環(huán)境的能力。像其他覆蓋網(wǎng)絡(luò)組織一樣,僵尸網(wǎng)絡(luò)具有特定的生存能力、可靠性和可用性要求,必須能夠以隱秘的方式進(jìn)行操作以實(shí)現(xiàn)上述目標(biāo)。
螞蟻在自然環(huán)境中的行為的觀察,可以在沒有任何主控或中央權(quán)限驅(qū)動(dòng)它們的情況下,動(dòng)態(tài),自適應(yīng)地將覓食對(duì)象收集并收集到它們的巢中,這為解決上述C&C魯棒性和可伸縮性問題提供了新的思路?;谙伻核惴ǖ慕┦W(wǎng)絡(luò)架構(gòu)可以通過定期在潛在的完全網(wǎng)格化動(dòng)態(tài)構(gòu)建最小生成樹(MST),來自適應(yīng)地設(shè)置成本最低的C&C通道基礎(chǔ)結(jié)構(gòu),以將僵尸網(wǎng)絡(luò)節(jié)點(diǎn)互連,從而確保整個(gè)僵尸網(wǎng)絡(luò)的覆蓋范圍。基于群體技術(shù)的關(guān)鍵特征是,承擔(dān)基本問題解決代理角色的單個(gè)螞蟻通過僅依靠代理之間的間接和異步通信來查找復(fù)雜問題中的候選解決方案的能力,提高了僵尸網(wǎng)絡(luò)通信結(jié)構(gòu)的隱蔽性與智能性。
3.2檢測(cè)
(1)PSO。文獻(xiàn)[1]將粒子群優(yōu)化(PSO)算法與投票系統(tǒng)(BD-PSO-V)結(jié)合使用,PSO算法將每個(gè)特征看成粒子,進(jìn)行搜索,用于網(wǎng)絡(luò)流數(shù)據(jù)特征選擇。投票系統(tǒng)包括深層神經(jīng)網(wǎng)絡(luò)算法,支持向量機(jī)(SVM)和決策樹C4.5,采用基于最大投票數(shù),用于識(shí)別僵尸網(wǎng)絡(luò)樣本進(jìn)行分類,大大提升了檢測(cè)模型的準(zhǔn)確率。
算法具體分為三步,第一步,將數(shù)據(jù)集導(dǎo)入原始計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng),使用X均值聚類算法對(duì)數(shù)據(jù)進(jìn)行預(yù)處理,為后續(xù)處理做準(zhǔn)備。第二級(jí)對(duì)輸入到PSO算法的數(shù)據(jù)進(jìn)行了預(yù)處理。PSO算法 提取攻擊檢測(cè)有效特征的子集,最后選擇最佳特征。PSO優(yōu)化算法的使用可確保功能很少對(duì)僵尸網(wǎng)絡(luò)檢測(cè)的影響未在主流處理中使用。將具有多個(gè)優(yōu)化特征的數(shù)據(jù)集輸入到投票系統(tǒng)中。第三,投票系統(tǒng)由三種機(jī)器學(xué)習(xí)算法組成,所有機(jī)器學(xué)習(xí)算法都會(huì)生成一個(gè)模型,然后將測(cè)試數(shù)據(jù)應(yīng)用于每個(gè)模型。
數(shù)據(jù)挖掘和機(jī)器學(xué)習(xí)技術(shù)在物聯(lián)網(wǎng)僵尸網(wǎng)絡(luò)檢測(cè)領(lǐng)域有著重要的作用。Habib M等人針對(duì)物聯(lián)網(wǎng)總僵尸網(wǎng)絡(luò)檢測(cè),提出基于多目標(biāo)粒子群優(yōu)化(MOPSO)的檢測(cè)模型,用于識(shí)別批量網(wǎng)絡(luò)流量中的惡意行為。針對(duì)多目標(biāo)非支配排序遺傳算法、常用的傳統(tǒng)機(jī)器學(xué)習(xí)算法和一些傳統(tǒng)的基于過濾的特征選擇方法,驗(yàn)證了該算法的性能。
(2)GWO。Al Shorman等人基于灰狼優(yōu)化算法提出了一種新的無監(jiān)督進(jìn)化式物聯(lián)網(wǎng)僵尸網(wǎng)絡(luò)檢測(cè)智能系統(tǒng)。該方法的主要貢獻(xiàn)首次將GWO與OCSVM相結(jié)合,應(yīng)用于物聯(lián)網(wǎng)僵尸網(wǎng)絡(luò)攻擊的檢測(cè),利用遺傳算法優(yōu)化OCSVM超參數(shù),同時(shí)進(jìn)行特征選擇。為了證明所提方法的有效性,使用典型的異常檢測(cè)評(píng)估方法對(duì)實(shí)際基準(zhǔn)數(shù)據(jù)集的新版本進(jìn)行了性能評(píng)估。
該算法檢測(cè)受損的物聯(lián)網(wǎng)設(shè)備的優(yōu)點(diǎn)是:第一,它處理異質(zhì)特性,與傳統(tǒng)的計(jì)算環(huán)境相比,物聯(lián)網(wǎng)環(huán)境的多樣性非常高。通過分別對(duì)每種設(shè)備類型進(jìn)行建模,該算法克服了物聯(lián)網(wǎng)設(shè)備不斷增長(zhǎng)的異構(gòu)性。第二,算法是無監(jiān)督的??梢詸z測(cè)到已知和未知的僵尸網(wǎng)絡(luò)攻擊。第三,模型位于路由器網(wǎng)關(guān)上,因此可以在受限的物聯(lián)網(wǎng)設(shè)備上維護(hù)能源,計(jì)算和內(nèi)存資源。
3.總結(jié)
群體智能算法進(jìn)行信息優(yōu)化,有助于提高物聯(lián)僵尸網(wǎng)絡(luò)檢測(cè)系統(tǒng)性能,得到較好檢測(cè)效果,提升可靠性和穩(wěn)定性。隨著部署的在線物聯(lián)網(wǎng)設(shè)備數(shù)量急劇增加,這些設(shè)備缺乏安全性以及受感染的IoT設(shè)備可能未顯示任何明顯的感染癥狀,加大了檢測(cè)難度。將群智能優(yōu)化算法應(yīng)用于僵尸網(wǎng)絡(luò)檢測(cè)的未來趨勢(shì)是,第一,多種群體智能算法的組合優(yōu)化,結(jié)合各自優(yōu)點(diǎn)進(jìn)行整合,取長(zhǎng)補(bǔ)短,提高算法收斂速度,提升全局尋優(yōu)效果。第二,如何適應(yīng)海量并且高速物聯(lián)網(wǎng)設(shè)備的實(shí)時(shí)檢測(cè),結(jié)合人工智能的方法提高檢測(cè)效率,是一個(gè)重要的研究方向。
參考文獻(xiàn)
[1]M. Asadi, M.A.J. Jamali, S. Parsa et al., Detecting botnet by using particle swarm optimization algorithm based on voting system, Future Generation Computer Systems (2020)
項(xiàng)目編號(hào):2018年度河南省高等學(xué)校重點(diǎn)科研項(xiàng)目,《基于生物智能的物聯(lián)網(wǎng)中繼節(jié)點(diǎn)自動(dòng)化部署方案》,編號(hào)18B520045。
作者簡(jiǎn)介:邢穎(1985-),河南沈丘人,講師,碩士研究生,研究方向?yàn)樾畔踩?/p>