基于特征加權(quán)聚合的傳感網(wǎng)絡(luò)多模式攻擊檢測方法

宋國順

當(dāng)前，攻擊模式種類繁多，特別是對儲存和使用敏感資料的計算機(jī)攻擊日益復(fù)雜［1］，使得互聯(lián)網(wǎng)的發(fā)展面臨越來越多的威脅.網(wǎng)絡(luò)安全漏洞如果不能及時發(fā)現(xiàn)和修復(fù)，網(wǎng)絡(luò)安全受到的威脅將會愈發(fā)嚴(yán)重［2］.在當(dāng)前的信息安全研究中，如何發(fā)現(xiàn)和上報用戶的行為是關(guān)鍵問題［3］.攻擊檢測技術(shù)是保護(hù)網(wǎng)絡(luò)安全的城墻壁壘，因此，檢測網(wǎng)絡(luò)的攻擊行為，對網(wǎng)絡(luò)信息安全發(fā)展具有至關(guān)重要的意義.

羅予東等［4］采用一種新的融合式網(wǎng)絡(luò)攻擊方法，解決網(wǎng)絡(luò)攻擊識別精度不高的問題.該方法采用多項式回歸方法學(xué)習(xí)多類資料，并結(jié)合多指標(biāo)遺傳算法進(jìn)行整體最優(yōu)的子集抽取，將降維的特征集合輸入到感知機(jī)器中學(xué)習(xí)，通過重力尋優(yōu)的方法檢索其參數(shù)，實(shí)現(xiàn)網(wǎng)絡(luò)攻擊檢測.實(shí)驗結(jié)果表明，該方法有效地提高了網(wǎng)絡(luò)攻擊檢測的準(zhǔn)確性.王婷等［5］采用一種新的半監(jiān)控學(xué)習(xí)算法，優(yōu)化原有的網(wǎng)絡(luò)攻擊檢測方法.首先將網(wǎng)絡(luò)初始屬性加權(quán)值矢量作為重要的權(quán)值向量，并預(yù)測網(wǎng)絡(luò)攻擊，然后結(jié)合人工神經(jīng)網(wǎng)絡(luò)構(gòu)建網(wǎng)絡(luò)安全監(jiān)控模型，預(yù)測網(wǎng)絡(luò)面臨的攻擊行為，采用無監(jiān)督的Bi-kmeans 算法對網(wǎng)絡(luò)中新的特征值矢量進(jìn)行了分類，并對將要出現(xiàn)的網(wǎng)絡(luò)攻擊類型進(jìn)行預(yù)判.實(shí)驗結(jié)果表明，該方法不僅可以有效判斷出網(wǎng)絡(luò)攻擊類型，還可以對網(wǎng)絡(luò)攻擊檢測能力進(jìn)行優(yōu)化.

基于以上研究，本文利用特征加權(quán)聚合的方法，設(shè)計一種傳感網(wǎng)絡(luò)多模式攻擊檢測方法，避免傳感網(wǎng)絡(luò)受到攻擊，保證網(wǎng)絡(luò)的安全性.

1 多模式攻擊傳感網(wǎng)絡(luò)檢測

1.1 加權(quán)融合多模式攻擊信號特征

在傳感網(wǎng)絡(luò)中，采用特征加權(quán)聚合的方式［6］，構(gòu)建傳感網(wǎng)絡(luò)多模式攻擊信號傳輸結(jié)構(gòu)模型，表示為：

其中：on(t) 表示第n條傳感網(wǎng)絡(luò)上攻擊信號的特征，un(t) 表示第n條傳感網(wǎng)絡(luò)上攻擊信號的傳輸時延，fc表示傳感網(wǎng)絡(luò)中攻擊信號的頻率，kl表示傳感網(wǎng)絡(luò)數(shù)據(jù)信號，t表示傳輸時長.

引入特征加權(quán)聚合方法［7］，對傳感網(wǎng)絡(luò)多模式攻擊信號能力進(jìn)行識別，即

其中：fj表示傳感網(wǎng)絡(luò)多模式攻擊信號第j層信號的頻率分布，?j表示通過驗證得到的傳感網(wǎng)絡(luò)攻擊信號第j層信號的能量分布.

以公式（2）為基礎(chǔ)，假設(shè)傳感網(wǎng)絡(luò)多模式攻擊路徑有p條，則傳感網(wǎng)絡(luò)在多模式攻擊環(huán)境下的多條傳遞函數(shù)為：

其中：Si表示傳感網(wǎng)絡(luò)中的遺失信號，un(t)表示傳感網(wǎng)絡(luò)中信號的傳輸時延.

利用多模式攻擊環(huán)境下的多條攻擊路徑函數(shù)，構(gòu)建傳感網(wǎng)絡(luò)多模式攻擊特征分布函數(shù)［8］，通過對傳感網(wǎng)絡(luò)攻擊信號特征分布進(jìn)行分析，得到攻擊信號的頻譜特征為：

其中：λ表示傳感網(wǎng)絡(luò)攻擊信號的樣本采集頻率，K表示網(wǎng)絡(luò)帶寬，Ax表示傳感網(wǎng)絡(luò)的時間窗口函數(shù)，y(t) 表示傳感網(wǎng)絡(luò)攻擊信號的時域，Ay(t,K)表示傳感網(wǎng)絡(luò)信號中的頻域信號.

假設(shè)|x(K)|表示傳感網(wǎng)絡(luò)攻擊信號在時間序列內(nèi)最短的時間函數(shù)，構(gòu)建傳感網(wǎng)絡(luò)攻擊信號模型為：

其中：f(?)表示傳感網(wǎng)絡(luò)攻擊信號的數(shù)量函數(shù)，εn表示傳感網(wǎng)絡(luò)攻擊信號的測量誤差值.

以傳感網(wǎng)絡(luò)多模式攻擊信號模型為基礎(chǔ)，對傳感網(wǎng)絡(luò)攻擊信號進(jìn)行空間重構(gòu)，重構(gòu)結(jié)果記為C.假設(shè)傳感網(wǎng)絡(luò)多模式攻擊信號是按線性時間序列排列的，利用重構(gòu)結(jié)構(gòu)模型［9］，可以對攻擊信號進(jìn)行抗干擾抑制，即

其中：Ai表示傳感網(wǎng)絡(luò)信號的權(quán)值，gn-i表示傳感網(wǎng)絡(luò)中帶有相同攻擊信號的特征值，Bj表示傳感網(wǎng)絡(luò)攻擊信號振蕩幅值，hn-j表示傳感網(wǎng)絡(luò)中帶有相同攻擊信號的時間序列.

干擾抑制傳感網(wǎng)絡(luò)多模式攻擊信號后，利用特征加權(quán)聚合的方法，加權(quán)融合傳感網(wǎng)絡(luò)多模式攻擊信號特征：

利用傳感網(wǎng)絡(luò)多模式攻擊信號傳輸結(jié)構(gòu)模型，建立傳感網(wǎng)絡(luò)在多模式攻擊環(huán)境下的多條傳遞函數(shù)，以傳感網(wǎng)絡(luò)多模式攻擊信號模型為基礎(chǔ)，對傳感網(wǎng)絡(luò)攻擊信號進(jìn)行空間重構(gòu)，通過攻擊信號的抗干擾抑制，加權(quán)融合傳感網(wǎng)絡(luò)多模式攻擊信號特征.

1.2 判定傳感網(wǎng)絡(luò)多模式攻擊行為

傳感網(wǎng)絡(luò)節(jié)點(diǎn)之間的連接呈現(xiàn)出擇優(yōu)化［10］的特征，總體上各節(jié)點(diǎn)之間有著緊密的聯(lián)系，但這些聯(lián)系并不均衡.為了增強(qiáng)對傳感網(wǎng)絡(luò)攻擊行為檢測的精度，在傳感器網(wǎng)絡(luò)中引入平面Ω，用來劃分二維向量構(gòu)成的多個非交叉子區(qū)域，表示為：

其中：N表示傳感網(wǎng)絡(luò)的攻擊信號總量，表示攻擊信號所處位置的坐標(biāo)，ns表示沒有交集的子區(qū)域數(shù)量.

降維映射處理各個子區(qū)域的傳感網(wǎng)絡(luò)攻擊信號，實(shí)現(xiàn)網(wǎng)絡(luò)數(shù)據(jù)的非線性關(guān)系向線性關(guān)系的轉(zhuǎn)換，即

其中：ωi表示傳感網(wǎng)絡(luò)數(shù)據(jù)的權(quán)重，T表示傳感網(wǎng)絡(luò)數(shù)據(jù)初始特征值，表示傳感網(wǎng)絡(luò)數(shù)據(jù)特征，py表示攻擊信號偏移量，χ表示網(wǎng)絡(luò)攻擊行為的構(gòu)成.

為滿足傳感網(wǎng)絡(luò)攻擊檢測過程的需要，首先建立風(fēng)險評估函數(shù)［11］，為了確保評估結(jié)果的準(zhǔn)確度，需先設(shè)計一個風(fēng)險函數(shù)R(ξ)，表達(dá)式為：

其中：ξ表示傳感網(wǎng)絡(luò)攻擊風(fēng)險系數(shù)［12］，n表示常數(shù)，n=1，2，…，i，…，n，Xij表示第i個傳感網(wǎng)絡(luò)攻擊樣本數(shù)據(jù)j的特征值，μ表示風(fēng)險評估的誤差值.

利用上式得到的風(fēng)險函數(shù)，能夠獲取傳感網(wǎng)絡(luò)多模式攻擊范圍的各個節(jié)點(diǎn)，表示為：

其中：J表示傳感網(wǎng)絡(luò)多模式攻擊行為的聚類中心，M*表示任意兩個傳感網(wǎng)絡(luò)攻擊節(jié)點(diǎn)之間歐氏距離，表示攻擊行為的攻擊信號集，Lz表示所有攻擊狀態(tài)種類，j表示攻擊樣本數(shù)據(jù).

根據(jù)傳感網(wǎng)絡(luò)多模式攻擊行為的分布狀況［13］，計算不同攻擊行為之間的攻擊關(guān)聯(lián)度，公式為：

其中：表示攻擊行為G1與G2的傳感網(wǎng)絡(luò)攻擊集，M表示需要預(yù)警的攻擊行為數(shù)量.

如果?表示一個受到攻擊的傳感網(wǎng)絡(luò)數(shù)據(jù)檢測序列，X*為受攻擊數(shù)據(jù)所在子區(qū)域的距離序列，利用式（13）對傳感網(wǎng)絡(luò)的攻擊行為進(jìn)行初步判斷，

其中：Q表示傳感網(wǎng)絡(luò)多模式攻擊行為的種類集合［14］.

通過將網(wǎng)絡(luò)數(shù)據(jù)的非線性關(guān)系轉(zhuǎn)換為線性關(guān)系，建立風(fēng)險評估函數(shù)，根據(jù)傳感網(wǎng)絡(luò)多模式攻擊行為的分布狀況，計算不同攻擊行為之間的攻擊關(guān)聯(lián)度，完成傳感網(wǎng)絡(luò)多模式攻擊行為的判定.

1.3 傳感網(wǎng)絡(luò)多模式攻擊檢測算法設(shè)計

假設(shè)I表示傳感網(wǎng)絡(luò)多模式攻擊狀態(tài)集合，γ表示攻擊狀態(tài)轉(zhuǎn)換集合，a0表示傳感網(wǎng)絡(luò)的初始狀態(tài)，IG表示攻擊狀態(tài)下的傳感網(wǎng)絡(luò)集合，則利用式（14）定義傳感網(wǎng)絡(luò)攻擊圖：

利用傳感網(wǎng)絡(luò)攻擊圖［15-16］，計算傳感網(wǎng)絡(luò)異常入侵的攻擊壓力，公式為：

其中：Fj表示傳感網(wǎng)絡(luò)遭受攻擊的輸入口，Zd表示正在遭受攻擊的主機(jī)，Se表示已經(jīng)響應(yīng)的受攻擊主機(jī)，rs表示傳感網(wǎng)絡(luò)攻擊行為，e*表示網(wǎng)絡(luò)攻擊行為的最優(yōu)信道.

如果將攻擊者和防御者在博弈過程中的預(yù)期收益分別定義為和，則在博弈場景［17］中的總收益為rp，根據(jù)傳感網(wǎng)絡(luò)異常入侵的攻擊壓力，構(gòu)建攻擊者和防御者在傳感網(wǎng)絡(luò)中的博弈矩陣：

其中：ψy表示傳感網(wǎng)絡(luò)攻擊策略向量，ey表示防御檢測策略向量.

假設(shè)fg和gu分別表示傳感網(wǎng)絡(luò)遭受攻擊時攻擊者和防御檢測者的混合策略，則利用式（17）計算出多模式下攻擊者和防御檢測者的收益：

其中I?表示傳感網(wǎng)絡(luò)遭受攻擊時檢測成功所獲得的回報［18］.

基于以上計算設(shè)計了傳感網(wǎng)絡(luò)多模式攻擊檢測算法的流程，具體如下：

Step2：映射處理待檢測的網(wǎng)絡(luò)信號，計算出各個狀態(tài)下最大映射系數(shù)對應(yīng)的聚合函數(shù).

Step3：通過最大映射系數(shù)，構(gòu)建相應(yīng)的特征加權(quán)聚合函數(shù)，確定傳感網(wǎng)絡(luò)多模式下的攻擊信號.

Step4：利用動態(tài)時域連接［19］，形成跨時域的傳感網(wǎng)絡(luò)攻擊信號分解分量.

Step5：從待檢測的傳感網(wǎng)絡(luò)信號中，減去需要分解信號的分量，獲得分解信號.

Step6：比較分解信號的能量與初始閾值，若前者大于后者，則將分解信號繼續(xù)分解，直至小于預(yù)設(shè)閾值，停止分解.

Step7：比較分解后的信號特征與網(wǎng)絡(luò)攻擊信號特征，從而完成網(wǎng)絡(luò)攻擊信號的檢測.

綜上所述，通過對比分解后的信號特征與網(wǎng)絡(luò)攻擊信號特征的差別，檢測傳感網(wǎng)絡(luò)的多模式攻擊.

2 實(shí)驗分析

2.1 實(shí)驗環(huán)境

為了驗證文中方法檢測傳感網(wǎng)絡(luò)多模式攻擊的性能，利用MATLAB 7.2 軟件搭建了實(shí)驗平臺，在Intel（R）Core（TM）i7-3770 6.40 GHz CPU、8 G 內(nèi)存、Windows 7 操作系統(tǒng)下進(jìn)行驗證.

2.2 實(shí)驗數(shù)據(jù)集

為了使網(wǎng)絡(luò)攻擊檢測更加真實(shí)，本文選擇的實(shí)驗數(shù)據(jù)集為KDD Cup99 數(shù)據(jù)集，其中包括兩種類型，分別是具有標(biāo)識的訓(xùn)練集和無標(biāo)識的測試集（表1）.數(shù)據(jù)集中包括4 種攻擊類型，分別是Probe、Dos、R2L 和U2R，其中訓(xùn)練集包括15 種攻擊類型，測試集包括6 種攻擊類型.

表1 KDD Cup99 數(shù)據(jù)集的攻擊標(biāo)識

從KDD Cup99 數(shù)據(jù)集中隨機(jī)選取1 000 條傳感網(wǎng)絡(luò)操作數(shù)據(jù)，其中具有不同攻擊標(biāo)識的攻擊數(shù)據(jù)186 條，其余數(shù)據(jù)為正常網(wǎng)絡(luò)操作數(shù)據(jù).

2.3 傳感網(wǎng)絡(luò)信號的時域分析

在KDD Cup99 數(shù)據(jù)集中隨機(jī)選擇一個攻擊信號，通過對信號特征進(jìn)行加權(quán)融合處理，得到該信號的波形和頻率，如圖1 和圖2 所示.

圖1 網(wǎng)絡(luò)攻擊信號的時域波形

圖2 網(wǎng)絡(luò)攻擊信號的時域頻譜

根據(jù)傳感網(wǎng)絡(luò)信號的時域分析，發(fā)現(xiàn)信號的時域波形比較穩(wěn)定，能量主要集中在3~6 GHz 之間，表現(xiàn)出顯著的非平穩(wěn)性，因此驗證了文中方法能夠檢測出傳感網(wǎng)絡(luò)的攻擊信號.

2.4 結(jié)果分析

實(shí)驗引入文獻(xiàn)［4］基于人工神經(jīng)網(wǎng)絡(luò)和遺傳算法的檢測方法，以及文獻(xiàn)［5］基于半監(jiān)督學(xué)習(xí)的檢測方法作對比，測試了傳感網(wǎng)絡(luò)多模式攻擊的誤檢率和漏檢率，結(jié)果如圖3 和圖4 所示.

圖3 傳感網(wǎng)絡(luò)多模式攻擊的誤檢率

圖4 傳感網(wǎng)絡(luò)多模式攻擊的漏檢率

根據(jù)圖3 的結(jié)果可知，采用基于人工神經(jīng)網(wǎng)絡(luò)和遺傳算法，以及基于半監(jiān)督學(xué)習(xí)的檢測方法時，對傳感網(wǎng)絡(luò)多模式攻擊的誤檢率在10%~15%之間，無法滿足傳感網(wǎng)絡(luò)攻擊5%誤檢率要求；采用文中方法時，對四類攻擊的誤檢率分別為2.5%、1.5%、1%、2%，能夠準(zhǔn)確檢測傳感網(wǎng)絡(luò)遭受攻擊的類型，從而保證傳感網(wǎng)絡(luò)的安全性.

從圖4 的結(jié)果可以看出，基于人工神經(jīng)網(wǎng)絡(luò)和遺傳算法，以及基于半監(jiān)督學(xué)習(xí)的檢測方法對四種類型網(wǎng)絡(luò)攻擊的漏檢率都超過了20%，而文中方法在檢測傳感網(wǎng)絡(luò)四種攻擊類型的漏檢率分別為5%、4%、3.5%、4.5%，具有更高的檢測成功率.

3 結(jié)語

本文研究利用特征加權(quán)聚合提出一種傳感網(wǎng)絡(luò)多模式攻擊檢測方法.在多模式攻擊信號特征加權(quán)融合的基礎(chǔ)上，判定傳感網(wǎng)絡(luò)多模式攻擊行為，通過設(shè)計的傳感網(wǎng)絡(luò)多模式攻擊檢測算法，實(shí)現(xiàn)多模式攻擊檢測.實(shí)驗測試表明，該方法不僅能夠準(zhǔn)確檢測傳感網(wǎng)絡(luò)遭受攻擊的類型，還可以提高檢測的成功率.在今后的研究中，將引入雙模調(diào)頻分解理論，分解網(wǎng)絡(luò)攻擊信號過濾掉殘余信號，進(jìn)一步提高網(wǎng)絡(luò)攻擊的檢測準(zhǔn)確率.