群體智能算法在物聯(lián)僵尸網(wǎng)絡(luò)中的應(yīng)用研究

邢穎 張玉瑩

【摘? 要】群體智能優(yōu)化算法具有結(jié)構(gòu)較為簡單、易于實(shí)現(xiàn)等特點(diǎn)，被廣泛應(yīng)用于復(fù)雜問題的求解中。以物聯(lián)僵尸網(wǎng)絡(luò)為載體的各種網(wǎng)絡(luò)攻擊活動(dòng)是目前互聯(lián)網(wǎng)所面臨的最為嚴(yán)重的安全威脅之一，具有隱蔽通信特點(diǎn)。本文在介紹蟻群算法、粒子群算法、灰狼算法經(jīng)典群體智能算法的基礎(chǔ)上，重點(diǎn)介紹了群體智能算法在物聯(lián)僵尸網(wǎng)絡(luò)中的應(yīng)用，主要有命令控制信道構(gòu)建、特征提取以及檢測，對(duì)未來研究趨勢做了展望。

【關(guān)鍵詞】群體智能;物聯(lián)僵尸網(wǎng)絡(luò);檢測;網(wǎng)絡(luò)安全

引言

物聯(lián)網(wǎng)是智能設(shè)備的網(wǎng)絡(luò)，是21世紀(jì)重大的創(chuàng)新之一。物聯(lián)網(wǎng)在農(nóng)業(yè)，醫(yī)療保健，食品供應(yīng)管理，藥品供應(yīng)管理，環(huán)境監(jiān)控和智能家居等各個(gè)領(lǐng)域都得到了實(shí)現(xiàn)，促進(jìn)了互聯(lián)網(wǎng)上的機(jī)器對(duì)機(jī)器通信。Gartner報(bào)告反映出物聯(lián)網(wǎng)設(shè)備數(shù)量的巨大增長，到2025年物聯(lián)網(wǎng)設(shè)備的數(shù)量可能達(dá)到500億個(gè)。僵尸網(wǎng)絡(luò)（botnet）是由大量被僵尸程序所感染的主機(jī)受到攻擊者所控制而形成的以惡意活動(dòng)為目的的覆蓋網(wǎng)絡(luò)（overlay network）。僵尸網(wǎng)絡(luò)控制器可以通過控制服務(wù)器操控僵尸主機(jī)發(fā)起各種類型的網(wǎng)絡(luò)攻擊，如分布式拒絕服務(wù)（DDoS）、垃圾郵件（spam）、網(wǎng)絡(luò)釣魚（phishing）、點(diǎn)擊欺詐（click fraud）以及竊取敏感信息（information theft）等等。以僵尸網(wǎng)絡(luò)為載體的各種網(wǎng)絡(luò)攻擊活動(dòng)是目前互聯(lián)網(wǎng)所面臨的最為嚴(yán)重的安全威脅之一，物聯(lián)僵尸網(wǎng)絡(luò)是僵尸網(wǎng)絡(luò)的新發(fā)展。

近年來，群體智能優(yōu)化算法因具有結(jié)構(gòu)較為簡單、易于實(shí)現(xiàn)等特點(diǎn)，被廣泛應(yīng)用于復(fù)雜問題的求解中。本文重點(diǎn)介紹了群體智能算法在物聯(lián)僵尸網(wǎng)絡(luò)中的應(yīng)用，主要有兩方面，一是隱蔽型命令控制信道構(gòu)建，二是僵尸網(wǎng)絡(luò)特征提取和參數(shù)優(yōu)化，進(jìn)而提升檢測準(zhǔn)確率，降低誤報(bào)率。

1.物聯(lián)僵尸網(wǎng)絡(luò)

僵尸網(wǎng)絡(luò)的核心是通信，經(jīng)典命令控制信道主要通過IRC、HTTP、SMB、P2P、自定義等協(xié)議實(shí)現(xiàn)。以 IRC 服務(wù)作為集中式命令與控制的信道易于實(shí)施，低延遲，實(shí)時(shí)性好，但是集中式拓?fù)淙菀妆粰z測和封鎖。采用HTTP協(xié)議來構(gòu)建命令與控制信道的僵尸主機(jī)通過周期性訪問僵尸網(wǎng)絡(luò)控制器，獲取命令文件，解析并執(zhí)行相應(yīng)的操作，能夠穿透IDS和防火墻，具備良好的通用性，隱藏性。服務(wù)器消息塊（SMB）協(xié)議是一種在家庭和企業(yè)網(wǎng)絡(luò)中的典型流量模式下隱藏通信的協(xié)議，主要用于局域網(wǎng)中的通信。采用 P2P協(xié)議構(gòu)建分布式的僵尸網(wǎng)絡(luò)控制通道，解決了僵尸網(wǎng)絡(luò)控制器單點(diǎn)失效問題，有較好的健壯性、隱蔽性、自組織能力。缺點(diǎn)是易受到索引污染（index poisoning ）和Sybil攻擊、初始化脆弱性。采用自定義的協(xié)議進(jìn)行通信的僵尸網(wǎng)絡(luò)更為隱蔽，且通信過程更不容易被檢測。隨著互聯(lián)網(wǎng)的發(fā)展，以物聯(lián)網(wǎng)、云平臺(tái)、社交平臺(tái)為代表等公共服務(wù)資源漸成為了僵尸網(wǎng)絡(luò)滋生的沃土，平臺(tái)更加隱蔽化，攻擊方式更加多樣化。

物聯(lián)網(wǎng)在農(nóng)業(yè)，醫(yī)療保健，食品供應(yīng)管理，藥品供應(yīng)管理，環(huán)境監(jiān)控和智能家居等各個(gè)領(lǐng)域都得到了實(shí)現(xiàn)。物聯(lián)網(wǎng)設(shè)備的激增和缺乏安全性已經(jīng)引起了惡意用戶的注意，它們通過創(chuàng)建大規(guī)模的物聯(lián)網(wǎng)僵尸網(wǎng)絡(luò)攻擊來執(zhí)行一系列DDoS攻擊。物聯(lián)網(wǎng)具有異構(gòu)環(huán)境和資源限制設(shè)備，即低內(nèi)存和低計(jì)算能力。僵尸網(wǎng)絡(luò)是由一個(gè)或多個(gè)惡意用戶控制以執(zhí)行惡意活動(dòng)的受感染設(shè)備的集合，Mirai是最常見的物聯(lián)網(wǎng)僵尸網(wǎng)絡(luò)。物聯(lián)網(wǎng)僵尸網(wǎng)絡(luò)的主要特征是：大多數(shù)基于Linux，位于受損的IoT設(shè)備的RAM上，產(chǎn)生非常大的流量泛濫，并且受感染的IoT設(shè)備分布在世界各地。此外，在大多數(shù)情況下，物聯(lián)網(wǎng)僵尸網(wǎng)絡(luò)對(duì)受感染的物聯(lián)網(wǎng)設(shè)備的性能影響有限或沒有副作用，因此很難檢測到這些僵尸網(wǎng)絡(luò)。

2.群體智能算法

2.1蟻群算法

蟻群優(yōu)化（ACO）指的是以生物網(wǎng)絡(luò)的模仿行為為模型的群體智能中的元啟發(fā)式技術(shù)的子集，1999），特別是螞蟻群體組織，自適應(yīng)地尋找食物來源的最佳路徑，通過合作和集體推理依靠非常簡單的個(gè)體的能力和經(jīng)驗(yàn)來解決復(fù)雜的問題。在這樣的組織中，由大量的動(dòng)態(tài)實(shí)體組成，每個(gè)個(gè)體都有有限的智能，而生物網(wǎng)絡(luò)的全局行為特征是大量的集體智能，具有管理多個(gè)目標(biāo)的接近全局優(yōu)化的新興能力。在經(jīng)典的蟻群場景中，螞蟻通過共享自己的知識(shí)，與鄰居共同尋找最佳解決方案，并迭代探索解決方案空間，以尋求最佳解決方案的最佳途徑。在這種基于蟻群的模型中，通過探索解空間而移動(dòng)的每個(gè)螞蟻代理，都沿著其通向候選解的路徑留下了稱為“信息素”的軌跡的種類，即正在搜索“食物”。當(dāng)它從探索返回到初始位置，即模型中的“巢”時(shí)，它會(huì)增加遍歷路徑上剩余的信息素的數(shù)量。蟻群算法已經(jīng)被應(yīng)用于解決多種組合優(yōu)化問題。

2.2粒子群算法

粒子群優(yōu)化算法（PSO），最早是由Eberhart和Kennedy于1995年提出，它的基本概念源于對(duì)鳥群捕食行為的思考。該算法將每一個(gè)優(yōu)化問題的解視為一只鳥，即稱為粒子，所有粒子均在一個(gè)N維空間進(jìn)行搜索，并由一個(gè)適應(yīng)值來判斷目前位置的好壞，通過迭代搜索最佳位置，群體內(nèi)的信息交互實(shí)現(xiàn)問題求解的智能性。粒子具有兩個(gè)屬性：速度和位置，速度代表移動(dòng)的快慢，位置代表移動(dòng)的方向。每個(gè)粒子單獨(dú)搜尋的最優(yōu)解叫做個(gè)體極值，粒子群中最優(yōu)的個(gè)體極值作為當(dāng)前全局最優(yōu)解。不斷迭代，更新速度和位置，最終得到滿足終止條件的最優(yōu)解。

2.3灰狼算法

灰狼優(yōu)化算法是一種近年來興趣的較新的群體智能優(yōu)化算法，具有簡單高效、需要調(diào)節(jié)的參數(shù)少、容易實(shí)現(xiàn)特點(diǎn)被成功應(yīng)用于多個(gè)領(lǐng)域。算法中存在能夠進(jìn)行自適應(yīng)調(diào)整的收斂因子和信息反饋機(jī)制，可以在局部尋優(yōu)與全局搜索之間實(shí)現(xiàn)平衡。GWO算法的靈感來自觀察灰狼在自然界中的生活方式以及進(jìn)行搜索以尋找獵物的最佳方式。GWO算法通過根據(jù)搜索者的適應(yīng)性將搜索代理分為四種類型，模擬了狼在領(lǐng)導(dǎo)和狩獵中的嚴(yán)格社會(huì)等級(jí)?？沙橄鬄榻鹱炙Ｐ停瑥纳贤路譃樗膶?，第一層稱為種群中的領(lǐng)導(dǎo)者，稱為α。金字塔第二層是α的下屬，即智囊團(tuán)隊(duì)，稱為β，主要負(fù)責(zé)協(xié)助α進(jìn)行決策。金字塔第三層是δ，聽從α和β的決策命令，主要負(fù)責(zé)偵查、放哨、以及看護(hù)等事務(wù)。金字塔第四層是ω，代表個(gè)體，主要負(fù)責(zé)種群內(nèi)部關(guān)系的平衡。

3.群體智能算法在物聯(lián)僵尸網(wǎng)絡(luò)中應(yīng)用

3.1命令控制信道構(gòu)建

復(fù)雜系統(tǒng)的構(gòu)想，例如自組織、響應(yīng)彈性和適應(yīng)性，可以極大地幫助僵尸網(wǎng)絡(luò)通信協(xié)議和體系結(jié)構(gòu)設(shè)計(jì)，確保獨(dú)立的bot代理之間進(jìn)行自發(fā)的，隱式的協(xié)調(diào)與協(xié)作。根據(jù)動(dòng)態(tài)構(gòu)建的度約束最小生成樹，通過多個(gè)短距離跳點(diǎn)將控制信息傳播到任意機(jī)器人節(jié)點(diǎn)，提高了網(wǎng)絡(luò)容錯(cuò)性和動(dòng)態(tài)適應(yīng)網(wǎng)絡(luò)環(huán)境的能力。像其他覆蓋網(wǎng)絡(luò)組織一樣，僵尸網(wǎng)絡(luò)具有特定的生存能力、可靠性和可用性要求，必須能夠以隱秘的方式進(jìn)行操作以實(shí)現(xiàn)上述目標(biāo)。

螞蟻在自然環(huán)境中的行為的觀察，可以在沒有任何主控或中央權(quán)限驅(qū)動(dòng)它們的情況下，動(dòng)態(tài)，自適應(yīng)地將覓食對(duì)象收集并收集到它們的巢中，這為解決上述C&C魯棒性和可伸縮性問題提供了新的思路?；谙伻核惴ǖ慕┦W(wǎng)絡(luò)架構(gòu)可以通過定期在潛在的完全網(wǎng)格化動(dòng)態(tài)構(gòu)建最小生成樹（MST），來自適應(yīng)地設(shè)置成本最低的C&C通道基礎(chǔ)結(jié)構(gòu)，以將僵尸網(wǎng)絡(luò)節(jié)點(diǎn)互連，從而確保整個(gè)僵尸網(wǎng)絡(luò)的覆蓋范圍?；谌后w技術(shù)的關(guān)鍵特征是，承擔(dān)基本問題解決代理角色的單個(gè)螞蟻通過僅依靠代理之間的間接和異步通信來查找復(fù)雜問題中的候選解決方案的能力，提高了僵尸網(wǎng)絡(luò)通信結(jié)構(gòu)的隱蔽性與智能性。

3.2檢測

（1）PSO。文獻(xiàn)[1]將粒子群優(yōu)化（PSO）算法與投票系統(tǒng)（BD-PSO-V）結(jié)合使用，PSO算法將每個(gè)特征看成粒子，進(jìn)行搜索，用于網(wǎng)絡(luò)流數(shù)據(jù)特征選擇。投票系統(tǒng)包括深層神經(jīng)網(wǎng)絡(luò)算法，支持向量機(jī)（SVM）和決策樹C4.5，采用基于最大投票數(shù)，用于識(shí)別僵尸網(wǎng)絡(luò)樣本進(jìn)行分類，大大提升了檢測模型的準(zhǔn)確率。

算法具體分為三步，第一步，將數(shù)據(jù)集導(dǎo)入原始計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)，使用X均值聚類算法對(duì)數(shù)據(jù)進(jìn)行預(yù)處理，為后續(xù)處理做準(zhǔn)備。第二級(jí)對(duì)輸入到PSO算法的數(shù)據(jù)進(jìn)行了預(yù)處理。PSO算法 提取攻擊檢測有效特征的子集，最后選擇最佳特征。PSO優(yōu)化算法的使用可確保功能很少對(duì)僵尸網(wǎng)絡(luò)檢測的影響未在主流處理中使用。將具有多個(gè)優(yōu)化特征的數(shù)據(jù)集輸入到投票系統(tǒng)中。第三，投票系統(tǒng)由三種機(jī)器學(xué)習(xí)算法組成，所有機(jī)器學(xué)習(xí)算法都會(huì)生成一個(gè)模型，然后將測試數(shù)據(jù)應(yīng)用于每個(gè)模型。

數(shù)據(jù)挖掘和機(jī)器學(xué)習(xí)技術(shù)在物聯(lián)網(wǎng)僵尸網(wǎng)絡(luò)檢測領(lǐng)域有著重要的作用。Habib M等人針對(duì)物聯(lián)網(wǎng)總僵尸網(wǎng)絡(luò)檢測，提出基于多目標(biāo)粒子群優(yōu)化（MOPSO）的檢測模型，用于識(shí)別批量網(wǎng)絡(luò)流量中的惡意行為。針對(duì)多目標(biāo)非支配排序遺傳算法、常用的傳統(tǒng)機(jī)器學(xué)習(xí)算法和一些傳統(tǒng)的基于過濾的特征選擇方法，驗(yàn)證了該算法的性能。

（2）GWO。Al Shorman等人基于灰狼優(yōu)化算法提出了一種新的無監(jiān)督進(jìn)化式物聯(lián)網(wǎng)僵尸網(wǎng)絡(luò)檢測智能系統(tǒng)。該方法的主要貢獻(xiàn)首次將GWO與OCSVM相結(jié)合，應(yīng)用于物聯(lián)網(wǎng)僵尸網(wǎng)絡(luò)攻擊的檢測，利用遺傳算法優(yōu)化OCSVM超參數(shù)，同時(shí)進(jìn)行特征選擇。為了證明所提方法的有效性，使用典型的異常檢測評(píng)估方法對(duì)實(shí)際基準(zhǔn)數(shù)據(jù)集的新版本進(jìn)行了性能評(píng)估。

該算法檢測受損的物聯(lián)網(wǎng)設(shè)備的優(yōu)點(diǎn)是：第一，它處理異質(zhì)特性，與傳統(tǒng)的計(jì)算環(huán)境相比，物聯(lián)網(wǎng)環(huán)境的多樣性非常高。通過分別對(duì)每種設(shè)備類型進(jìn)行建模，該算法克服了物聯(lián)網(wǎng)設(shè)備不斷增長的異構(gòu)性。第二，算法是無監(jiān)督的。可以檢測到已知和未知的僵尸網(wǎng)絡(luò)攻擊。第三，模型位于路由器網(wǎng)關(guān)上，因此可以在受限的物聯(lián)網(wǎng)設(shè)備上維護(hù)能源，計(jì)算和內(nèi)存資源。

3.總結(jié)

群體智能算法進(jìn)行信息優(yōu)化，有助于提高物聯(lián)僵尸網(wǎng)絡(luò)檢測系統(tǒng)性能，得到較好檢測效果，提升可靠性和穩(wěn)定性。隨著部署的在線物聯(lián)網(wǎng)設(shè)備數(shù)量急劇增加，這些設(shè)備缺乏安全性以及受感染的IoT設(shè)備可能未顯示任何明顯的感染癥狀，加大了檢測難度。將群智能優(yōu)化算法應(yīng)用于僵尸網(wǎng)絡(luò)檢測的未來趨勢是，第一，多種群體智能算法的組合優(yōu)化，結(jié)合各自優(yōu)點(diǎn)進(jìn)行整合，取長補(bǔ)短，提高算法收斂速度，提升全局尋優(yōu)效果。第二，如何適應(yīng)海量并且高速物聯(lián)網(wǎng)設(shè)備的實(shí)時(shí)檢測，結(jié)合人工智能的方法提高檢測效率，是一個(gè)重要的研究方向。

參考文獻(xiàn)

[1]M. Asadi， M.A.J. Jamali， S. Parsa et al.， Detecting botnet by using particle swarm optimization algorithm based on voting system， Future Generation Computer Systems （2020）

項(xiàng)目編號(hào)：2018年度河南省高等學(xué)校重點(diǎn)科研項(xiàng)目，《基于生物智能的物聯(lián)網(wǎng)中繼節(jié)點(diǎn)自動(dòng)化部署方案》，編號(hào)18B520045。

作者簡介：邢穎（1985-），河南沈丘人，講師，碩士研究生，研究方向?yàn)樾畔踩?/p>