基于云計算的網(wǎng)絡(luò)入侵檢測頻率智能調(diào)整算法

周麗娟

(山西財經(jīng)大學(xué)實驗中心，山西 太原 030006)

0 引言

網(wǎng)絡(luò)入侵檢測就是在互聯(lián)網(wǎng)系統(tǒng)的關(guān)鍵節(jié)點上收集大量的數(shù)據(jù)，分析其是否違反了安全規(guī)則.入侵檢測系統(tǒng)按照不同的數(shù)據(jù)采集對象，可分為基于主機的入侵檢測系統(tǒng)和基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)[1].前一種是以主機為檢測對象，通過網(wǎng)絡(luò)采集系統(tǒng)進行數(shù)據(jù)匹配分析；基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)是近年來國內(nèi)外學(xué)者研究的熱點.伴隨著網(wǎng)絡(luò)資源和網(wǎng)絡(luò)用戶的不斷增加，由于應(yīng)用系統(tǒng)的復(fù)雜性和網(wǎng)絡(luò)的開放性而帶來的安全風(fēng)險也越來越大，各種網(wǎng)絡(luò)漏洞也越來越多，網(wǎng)絡(luò)攻擊手段也越來越復(fù)雜.多種攻擊手段的融合，增加了網(wǎng)絡(luò)防御的難度.信息安全人員可以通過對網(wǎng)絡(luò)入侵所獲得的攻擊數(shù)據(jù)進行充分的分析和挖掘，提取重要特征和相關(guān)信息，根據(jù)已有的攻擊特征和信息預(yù)測未來的攻擊或長期攻擊趨勢，從而提前做出正確的響應(yīng)[2].無論何種攻擊，其攻擊方法、步驟、危害程度，甚至每次攻擊的時間、強度和頻率都是相似的.所以預(yù)測網(wǎng)絡(luò)攻擊的出發(fā)點就是分析和研究網(wǎng)絡(luò)攻擊的某些特征，挖掘這些特征的規(guī)律，并據(jù)此推斷可能的攻擊行為、趨勢和規(guī)模.

在高速網(wǎng)絡(luò)環(huán)境下，海量的網(wǎng)絡(luò)數(shù)據(jù)使得IDS難以捕獲異常包并進行詳細分析[3].當(dāng)異常網(wǎng)絡(luò)數(shù)據(jù)被提取之后，就需要對被提取的網(wǎng)絡(luò)數(shù)據(jù)特征進行相關(guān)數(shù)據(jù)分析.各種分析方法對網(wǎng)絡(luò)入侵檢測系統(tǒng)檢測頻率的影響程度不同.為了提高網(wǎng)絡(luò)入侵的檢測率和檢出率，提出一種基于云計算的網(wǎng)絡(luò)入侵檢測頻率智能調(diào)整算法，通過與傳統(tǒng)智能調(diào)整算法進行比較，證明基于云計算的網(wǎng)絡(luò)入侵檢測頻率智能調(diào)整算法的檢測率和檢出率更高.

1 網(wǎng)絡(luò)入侵檢測頻率智能調(diào)整算法設(shè)計

1.1 預(yù)測網(wǎng)絡(luò)入侵檢測頻率的時序

網(wǎng)絡(luò)入侵檢測頻率表示單位時間內(nèi)發(fā)生網(wǎng)絡(luò)入侵的次數(shù)，屬于網(wǎng)絡(luò)入侵的一個時間序列.網(wǎng)絡(luò)入侵檢測頻率的高低反映了網(wǎng)絡(luò)入侵的實際數(shù)量及其在網(wǎng)絡(luò)入侵數(shù)據(jù)中的變化趨勢.如果可以準確預(yù)測出網(wǎng)絡(luò)入侵檢測頻率，就能有效地把握網(wǎng)絡(luò)入侵的大規(guī)模爆發(fā)機會，從而對網(wǎng)絡(luò)入侵行為采取具有針對性的防范措施，降低網(wǎng)絡(luò)系統(tǒng)在運行過程中的安全風(fēng)險.

作為一種復(fù)雜的非線性網(wǎng)絡(luò)系統(tǒng)，網(wǎng)絡(luò)入侵檢測頻率會受多種因素的共同影響，具有一定的隨機性和確定性.目前從不同的角度來預(yù)測網(wǎng)絡(luò)入侵檢測頻率的方法均來自于統(tǒng)計學(xué)領(lǐng)域.但是所有預(yù)測方法的共同特點是，當(dāng)預(yù)測網(wǎng)絡(luò)入侵檢測頻率時序時，不區(qū)分時序的數(shù)據(jù)特征是隨機的、混沌的還是確定的，而是假定它們都是在隨機過程中產(chǎn)生的，直接使用統(tǒng)計方法對其進行預(yù)測[4].由于這些方法不能準確描述網(wǎng)絡(luò)入侵檢測頻率的具體形式，使得其預(yù)測精度難以提高.基于云計算的網(wǎng)絡(luò)入侵檢測頻率時間序列的具體預(yù)測步驟如下：

Step1：收集原始網(wǎng)絡(luò)入侵檢測頻率數(shù)據(jù)，并對其進行歸一化處理；

Step2：采用相空間重構(gòu)來處理原始網(wǎng)絡(luò)入侵檢測頻率數(shù)據(jù)；

Step3：采用step2中相空間重構(gòu)得到的嵌入維數(shù)m作為訓(xùn)練網(wǎng)絡(luò)的輸入層節(jié)點數(shù)目，而網(wǎng)絡(luò)隱層的節(jié)點數(shù)目通常都采用經(jīng)驗值，輸出層的節(jié)點通常設(shè)置為1，因此先建立基于云計算的網(wǎng)絡(luò)入侵檢測頻率的預(yù)測模型；

Step4：學(xué)習(xí)階段

相空間重構(gòu)得到的m維網(wǎng)絡(luò)入侵檢測頻率數(shù)據(jù)輸入到訓(xùn)練網(wǎng)絡(luò)中，通過學(xué)習(xí)階段可以得到一個訓(xùn)練網(wǎng)絡(luò)的輸出結(jié)果，將其與網(wǎng)絡(luò)攻擊頻率數(shù)據(jù)的真實值進行比較，如果兩者之間的誤差比較大，說明學(xué)習(xí)階段沒有達到預(yù)先設(shè)定的要求，可以通過反向傳播算法來對訓(xùn)練網(wǎng)絡(luò)的權(quán)值進行修正，減小學(xué)習(xí)階段的誤差，交替進行正向輸出計算和反向權(quán)值修改兩種方式，控制學(xué)習(xí)階段的誤差在允許的控制范圍以內(nèi)；

Step5：網(wǎng)絡(luò)入侵檢測頻率的時序預(yù)測

將網(wǎng)絡(luò)入侵檢測頻率的時序預(yù)測樣本輸入到訓(xùn)練網(wǎng)絡(luò)中，通過Step4建立的學(xué)習(xí)模型來進行預(yù)測，輸出的結(jié)果就是網(wǎng)絡(luò)入侵檢測頻率的預(yù)測值.

針對網(wǎng)絡(luò)入侵檢測頻率在預(yù)測方面存在的問題，將云計算技術(shù)應(yīng)用到檢測頻率時間序列的具體預(yù)測中，完成檢測頻率的時序預(yù)測，接下來通過分析網(wǎng)絡(luò)入侵檢測頻率智能調(diào)整原理，來消除異常數(shù)據(jù)對網(wǎng)絡(luò)入侵檢測頻率調(diào)整的影響.

1.2 分析網(wǎng)絡(luò)入侵檢測頻率智能調(diào)整原理

在分析網(wǎng)絡(luò)入侵檢測頻率智能調(diào)整原理時，與云計算技術(shù)進行了有效聯(lián)合，將網(wǎng)絡(luò)入侵檢測系統(tǒng)的頻率特征作為選取智能調(diào)整特征的目標(biāo)函數(shù)，將網(wǎng)絡(luò)的當(dāng)前狀態(tài)看作是約束條件，在此基礎(chǔ)上，建立網(wǎng)絡(luò)入侵特征的數(shù)學(xué)模型[5].將粒子群算法引入到網(wǎng)絡(luò)入侵特征數(shù)學(xué)模型的求解中，根據(jù)粒子群算法中最優(yōu)粒子，求解得到網(wǎng)絡(luò)系統(tǒng)的最優(yōu)特征子集，然后訓(xùn)練開始獲得的最優(yōu)網(wǎng)絡(luò)入侵檢測特征子集，基于粒子群算法和支持向量機，建立網(wǎng)絡(luò)入侵檢測模型，檢測建模的具體過程如下：S={s1,…,sn}為網(wǎng)絡(luò)入侵檢測頻率特征，n表示檢測頻率特征數(shù)量，選取網(wǎng)絡(luò)入侵檢測的頻率特征可以簡化網(wǎng)絡(luò)入侵檢測頻率的調(diào)整步驟，從而有效提高網(wǎng)絡(luò)入侵的檢測率和檢出率[6].以網(wǎng)絡(luò)的當(dāng)前狀態(tài)為約束條件時，構(gòu)建檢測頻率特征模型，表示為：

maxSG(S)s.t.S={s1,…,sn}

(1)

在檢測頻率不變或者升高的情況下，選取網(wǎng)絡(luò)入侵檢測的頻率特征數(shù)量是最少的，這時可以利用粒子群算法來計算求解網(wǎng)絡(luò)入侵檢測頻率特征的數(shù)學(xué)模型，因此，可以得到粒子群的適應(yīng)度函數(shù)，即：

(2)

其中，ωa和ωf表示權(quán)重系數(shù)，兩個權(quán)重系數(shù)都可以用于描述粒子群的適應(yīng)度函數(shù)，p表示網(wǎng)絡(luò)入侵檢測的檢測率，f表示網(wǎng)絡(luò)入侵檢測頻率的特征選取狀態(tài)，用公式(3)來求解網(wǎng)絡(luò)入侵檢測頻率的特征選取狀態(tài)，即：

(3)

在公式(3)的基礎(chǔ)上，可以提取出網(wǎng)絡(luò)入侵檢測頻率的狀態(tài)特征，并對最優(yōu)粒子搜索過程中的每一個粒子進行綜合性評價，通過粒子之間的變異操作和交叉操作，來更新最優(yōu)粒子的最優(yōu)位置，根據(jù)最優(yōu)粒子的具體位置，獲得最優(yōu)檢測頻率特征子集，利用支持向量機訓(xùn)練最優(yōu)網(wǎng)絡(luò)入侵檢測頻率特征子集，公式(4)展示了最優(yōu)網(wǎng)絡(luò)入侵檢測頻率特征的超平面，表示為：

y=ωTΦ(x)+b

(4)

其中，ωT表示可以調(diào)節(jié)的權(quán)值向量矩陣，b表示偏置值，x表示輸入網(wǎng)絡(luò)入侵檢測頻率的特征向量，ω表示可以調(diào)節(jié)的權(quán)值向量，引入云計算技術(shù)中的拉格朗日乘子[7]，來求解公式(4)的對偶問題，最終得到網(wǎng)絡(luò)入侵檢測頻率特征的分類決策函數(shù)，將其表示為：

(5)

(6)

其中，αi表示引入的云計算技術(shù)中的拉格朗日乘子，xi和xj表示網(wǎng)絡(luò)入侵檢測頻率的特征向量.

以上根據(jù)網(wǎng)絡(luò)入侵檢測建模的具體過程，構(gòu)建了網(wǎng)絡(luò)入侵檢測頻率特征的數(shù)學(xué)模型，通過引入云計算技術(shù)中的拉格朗日乘子，得到網(wǎng)絡(luò)入侵檢測頻率特征的分類決策函數(shù)，完成網(wǎng)絡(luò)入侵檢測頻率智能調(diào)整原理的分析.

1.3 設(shè)計網(wǎng)絡(luò)入侵檢測頻率智能調(diào)整算法

利用概率統(tǒng)計的方法將網(wǎng)絡(luò)入侵信號的頻譜特征提取出來，并計算其在網(wǎng)絡(luò)中對應(yīng)幅度的總概率.用經(jīng)驗?zāi)B(tài)分解法將干擾信號的諧波成分分離出來，并給出了網(wǎng)絡(luò)入侵風(fēng)險信號諧波成分在時頻域的能量分布特征[8].基于這種差異，設(shè)計了網(wǎng)絡(luò)入侵檢測頻率的調(diào)節(jié)閾值，它直接影響著網(wǎng)絡(luò)入侵檢測頻率的調(diào)節(jié)[9].

網(wǎng)絡(luò)入侵檢測頻率智能調(diào)整算法的具體實現(xiàn)過程如下：

n表示網(wǎng)絡(luò)入侵檢測頻率的信號數(shù)量，根據(jù)網(wǎng)絡(luò)入侵檢測頻率信號的傳輸速率恒定原則，可以得到如下關(guān)系：

m=n*lo+(la-lo) *k

(7)

其中，k表示網(wǎng)絡(luò)入侵的數(shù)據(jù)包數(shù)量，lo表示網(wǎng)絡(luò)入侵檢測對低危信號的檢測頻率，la表示網(wǎng)絡(luò)入侵檢測對高危信號的檢測頻率，m表示采集到的網(wǎng)絡(luò)入侵檢測數(shù)據(jù)包.

當(dāng)網(wǎng)絡(luò)入侵檢測頻率智能調(diào)整在有限網(wǎng)絡(luò)資源的約束下，增加網(wǎng)絡(luò)入侵檢測頻率的數(shù)據(jù)數(shù)量，根據(jù)高危信號與低危信號之間的采集頻率差異，設(shè)計了網(wǎng)絡(luò)入侵檢測頻率的智能調(diào)整閾值，即：

(8)

綜上所述，在云計算技術(shù)的基礎(chǔ)上，預(yù)測了網(wǎng)絡(luò)入侵檢測頻率的時序，通過分析網(wǎng)絡(luò)入侵檢測頻率智能調(diào)整原理，設(shè)計了網(wǎng)絡(luò)入侵檢測頻率智能調(diào)整算法，實現(xiàn)網(wǎng)絡(luò)入侵檢測頻率的智能調(diào)整.

2 實驗對比分析

為了驗證基于云計算的網(wǎng)絡(luò)入侵檢測頻率智能調(diào)整算法的有效性，本實驗采用傳統(tǒng)網(wǎng)絡(luò)入侵檢測頻率智能調(diào)整算法為對比對象，測試了網(wǎng)絡(luò)入侵的檢測率，結(jié)果如表1所示.

表1 網(wǎng)絡(luò)入侵檢測率對比測試結(jié)果 %

從表1的實驗結(jié)果可以看出，采用基于云計算的網(wǎng)絡(luò)入侵檢測頻率智能調(diào)整算法來調(diào)整網(wǎng)絡(luò)入侵檢測頻率時，可以有效提高網(wǎng)絡(luò)入侵的檢測率，經(jīng)計算，網(wǎng)絡(luò)入侵檢測率的平均值為85.508%，而采用傳統(tǒng)網(wǎng)絡(luò)入侵檢測頻率智能調(diào)整算法來調(diào)整網(wǎng)絡(luò)入侵檢測頻率時，得到的檢測率結(jié)果很低，經(jīng)計算，網(wǎng)絡(luò)入侵檢測率的平均值為50.819%，因此，可以得到基于云計算的網(wǎng)絡(luò)入侵檢測頻率智能調(diào)整算法可以有效提高網(wǎng)路入侵的檢測率.

3 結(jié)束語

本文提出了基于云計算的網(wǎng)絡(luò)入侵檢測頻率智能調(diào)整算法，結(jié)果顯示該方法可以實現(xiàn)網(wǎng)絡(luò)入侵檢測頻率的有效調(diào)整，從而提高網(wǎng)絡(luò)入侵的檢測率.