基于演化神經網絡的戰術數據鏈無線入侵檢測技術研究

【摘要】針對戰術數據鏈無線網絡典型入侵事件，基于演化算法和神經網絡提出了一種基于演化神經網絡的入侵檢測

方法。通過仿真實驗和性能對比驗證了該方法的有效性，對戰術數據鏈系統的安全設計有一定的指導意義。

【關鍵詞】戰術數據鏈無線入侵檢測演化算法神經網絡

A Tactical Datalink Wireless Intrusion Detection Method Based on an Evolutionary Neural Network

CHEN Mingde， YU Xin

（Southwest China Institute of Electronic Technology， Chengdu 610036）

Abstract： Based on the principles of evolutionary algorithms and neural networks， According to the typical intrusion event in the tactical datalink wireless network， an intrusion detection method based on an evolutionary neural network was proposed. The efficacy of the proposed method was validated via experimental results， which offered guidance to the future security design of tactical datalink systems.

Key words： Tactical Datalink， Wireless Intrusion Detection， Evolutionary Algorithms， Neural Networks

一、引言

現代信息化戰場上，戰術數據鏈在C4ISR系統中發揮的作用越來越重要。因此，戰術數據鏈無線網絡往往成為敵方首要攻擊目標。目前，針對戰術數據鏈的攻擊已不僅僅局限于傳統的物理層信號干擾，還包括網絡干擾阻塞、信息竊取欺騙等多種無線入侵方式[1]。從國內外研究情況來看，針對戰術數據鏈無線入侵的研究主要集中在物理層信號干擾上[2，3]，還沒有相關文獻對戰術數據鏈其他方面的無線入侵方式進行詳細研究。本文針對戰術數據鏈無線網絡的典型無線入侵事件，設計了一種基于演化神經網絡的檢測算法，并通過仿真驗證了該方法的有效性。

二、戰術數據鏈無線入侵典型方式

針對戰術數據鏈的無線入侵主要目的在于降低對方通過數據鏈獲取信息優勢的能力，其主要方式包括：壓制干擾、網絡干擾、信息竊取及信息欺騙四種。（1）壓制干擾是指在對方數據鏈無線通信頻率上人為地發送一定功率的干擾信號，以使對方無線鏈路接收機降低或喪失接收數據鏈信息的能力，屬于傳統的無線入侵方式。戰術數據鏈受到壓制干擾后，會導致無線鏈路中信息發送成功率突然下降，甚至鏈路完全中斷。（2）網絡干擾是指通過向對方數據鏈無線鏈路發送大量無效信息，以使對方數據鏈大量網絡資源被非法占用。戰術數據鏈在受到網絡干擾后，網絡業務流量會急劇增加，網絡中出現信息擁塞，合法網絡成員無法獲取所需的網絡資源來傳輸業務，網絡性能嚴重下降。（3）信息竊取是指偽裝對方數據鏈網絡的合法成員，企圖加入對方網絡，并從網絡中竊取收集戰場態勢、作戰計劃、指揮控制指令、作戰平臺實時位置、合法網絡成員地址等高價值信息。戰術數據鏈信息一旦被成功竊取，數據鏈網絡中的作戰平臺部署、行動計劃等關鍵信息可能會直接暴露給敵方，導致嚴重后果。（4）信息欺騙是指在基本掌握對方數據鏈網絡的工作參數的情況下，向對方數據鏈網絡發送錯誤信息，或者接收對方信息進行篡改后重新發送，這些信息一般包括：敵我雙方態勢、作戰指令等作戰關鍵信息。如果上述欺騙/篡改信息被按照正常處理，將導致執行方做出錯誤判斷和決策。

三、戰術數據鏈無線入侵檢測方法

目前，常用的網絡入侵檢測方法主要分為誤用檢測和異常檢測兩大類[4，5]。誤用檢測通常采用基于規則的方法，根據已儲備的有關已知攻擊特點的信息進行入侵檢測。這類方法在檢測已知類型的入侵時具有較高的可靠性，即較低的FP（1 positive）率。但是無法檢測未遇到過的類型的攻擊，而且當出現新類型的攻擊時，還必須手動更新已知攻擊特點信息數據庫。異常檢測使用常規入侵模式進行建模，將任何偏離模型的事件歸為異常事件。

戰術數據鏈無線網絡區別于一般的無線網絡，針對戰術數據鏈無線網絡的無線入侵還沒有已知的固定方式。因此，這里只能采用異常檢測方法對戰術數據鏈無線網絡無線入侵事件進行檢測識別。最近幾年，包括規則學習[6]、隱馬爾科夫模型[7]、支持向量機[8]以及神經網絡[9-12]等在內的機器學習方法已被成功應用于網絡入侵檢測。由于神經網絡具備從有限的、帶噪聲的以及不完整的信息中泛化出檢測模型的能力，因此該模型不僅能夠檢測出已知攻擊，而且還能夠檢測出從未遇到過的新類型的攻擊[9]。所以神經網絡被看作是一種很有潛力的入侵檢測技術。

四、基于演化神經網絡的戰術數據鏈無線入侵檢測算法

神經網絡在應用時需要完成三個關鍵步驟，即特征選擇、結構設計和權值調整[9]。通常來說，特征選擇和結構設計是單獨進行的。但是，輸入特征子集和神經網絡的結構是相關的，對神經網絡的性能具有聯合的貢獻。若同時優化輸入特征和網絡結構，為了評估選擇的特征和網絡結構帶來的聯合優勢，必須在找到近似最優的特征子集和網絡結構以后學習連接權值。但是該方法會給適應度評估帶來噪聲，從而使優化效率降低，優化精度下降。因此，本文設計的演化神經網絡能夠同時利用演化算法優化輸入特征、網絡結構和連接權值。

具體來說，初始神經網絡種群通過隨機權值以及全連接生成。首先，評估所有初始或者被選出的個體的適應度值，然后從父代和子代個體中選出最好的部分個體，并對這部分個體執行子網交叉算子，最后再執行啟發式變異算子。神經網絡演化過程如表1所示。

4.1特征選擇

特征選擇是指從原始特征集中選擇使某種評估標準最優的特征子集。其目的是根據一些準則選出最小的特征子集，使得任務如分類、回歸等達到和特征選擇前近似甚至更好的效果。通過特征選擇，一些和任務無關或者冗余的特征被刪除，簡化的數據集常常會得到更精確的模型，也更容易理解[14]。

為了更準確的檢測入侵事件，我們選擇了戰術數據鏈無線網絡的一些性能指標的統計量，以及一些典型的網絡異常事件作為候選特征，包括（但不局限于以下所列條目）：（a）網絡業務流量；（b）接收信號強度；（c）無線丟包率；（d）指令傳輸時延；（e）網內重復成員；（f）網內不明成員；（g）不明入網申請；（h）消息計數器異常；（i）消息幀結構錯誤；（j）消息格式錯誤。

4.2編碼表示

我們使用前饋神經網絡結構。為了同時執行特征選擇、結構優化以及連接權值訓練，我們使用了一種混合的編碼方式[13]，即用1個連接矩陣和1個節點向量表示1個個體，如圖1所示。連接矩陣如圖1（a）所示，規模為（h+n）×（m+h），其中m和h分別表示輸入節點和隱節點的最大數目，n表示輸出節點的數目。矩陣第i行第j列元素wij為一實數，表示從節點j到節點m+i的權值，wij=0表示從節點j到節點m+i沒有連接。由于前饋神經網絡只有1條直接連接，所以最右上三角矩陣元素值都為0。

節點向量如圖1（b）所示，規模為m+h維，向量中元素值只能取0或1，用于表示元素所在向量中的索引對應的節點是否可用（1可用，0不可用）。前m個元素表示輸入節點，后h個元素表示隱節點。

如前一小節所示，特征輸入候選集包括網絡業務流量、接收信號強度和無線丟包率等共10種，即前饋神經網絡中的輸入節點的最大數目m=10。編碼方式中節點向量前m個輸入節點位按照上一小節候選特征從（a）到（j）的順序排列。例如，編碼1010010110表示選擇了候選特征集中的網絡業務流量、無線丟包率、網內不明成員、消息計數器異常和消息幀結構錯誤。

4.3適應度評估

為了同時演化輸入特征和網絡結構，適應度函數不僅考慮了檢測準確率，而且還包含了輸入節點數目懲罰因子和隱節點數目懲罰因子。某個個體a的適應度函數fit（a）定義如下：

fit（a）=ρ（a）×ψ（a）×φ（a）

其中，ρ表示檢測準確率，ψ表示輸入節點數目的懲罰因子，φ表示隱節點數目的懲罰因子。個體a的檢測準確率定義如下：

ρ（a）=pos（a）/S

其中，pos表示正確的檢測分類數目，S表示包括正常和異常實例在內的檢測總數目。

懲罰因子ψ定義如下：

ψ（a）=1-（num_in（a）-min_in）×para_in

其中，num_in表示輸入節點數目，min_in表示輸入節點的最小數目，para_in為用戶定義的參數，用于控制輸入節點數目對適應度函數的影響程度。

懲罰因子φ定義如下：

φ（a）=1-（num_hid（a）-min_hid）×para_hid

其中num_hid表示隱節點數目，min_hid表示隱節點的最小數目，para_hid為用戶定義的參數，用于控制隱節點數目對適應度函數的影響。

4.4子網交叉算子

節點i生成的子網Gen（i）定義如下：

其中，M為輸入節點集合，H為隱節點集合，P為輸出節點集合，ConIn（i）表示節點i的所有輸入連接集合，ConOut（i）表示節點i的所有輸出連接集合。

其中，w_adapt表示連接權值調整，node_del表示節點刪除，node_add表示節點添加，pm表示變異概率，pWA和pND為用戶定義參數并且滿足0

五、仿真和驗證

5.1數據集

我們使用KDD Cup 1999的部分數據集驗證演化神經網絡進行入侵檢測時的有效性，共包含4大類：正常事件、拒絕服務攻擊（DOS，Denial of Service）、遠程用戶到本地的非授權訪問（R2L，Remote to Local）和探測攻擊（Probe）。此外，我們模擬戰術數據鏈無線網絡中的典型入侵事件對某數據鏈網絡實施入侵，并生成相關數據集，記為REAL。這些事件主要包括：網絡干擾、信息竊取、信息欺騙等。

訓練數據集中的10%用于訓練神經網絡，各類訓練集樣本數目如表3所示。神經網絡演化完后，我們從種群中選出最好的個體并使用標記過的測試集進行測試，各類測試集樣本數目如表4所示，其中“已知”表示攻擊類型存在于訓練集中，“未知”表示攻擊類型不存在于訓練集中。

5.2結果和分析

用EvoNN表示演化神經網絡入侵檢測方法，實驗時還比較了與其它基于神經網絡的方法之間的性能，這些方法包括RWNN[10]、BMPNN[11]和ENN[12]。實驗結果如表5所示。從結果可以發現，除了在R2L上的檢測率低于RWNN以外，EvoNN在所有測試上均達到了最高的檢測率，此外，EvoNN還具備最低的FP率。

此外，表6給出了EvoNN針對不同測試集，獲得表5中結果時最終演化選擇的特征子集：

六、結論

本文對戰術數據鏈無線入侵檢測技術進行了研究，提出了一種基于演化神經網絡的入侵檢測方法，并通過仿真實驗驗證了該方法的有效性。未來信息化戰場條件下，戰術數據鏈將面臨敵方各種各樣惡意無線入侵攻擊。本文提出的入侵檢測方法戰術數據鏈系統的安全防護設計有一定的參考意義。

參考文獻

[1]袁秀麗，周洪宇，周谷.世界網絡戰發展現狀的初步研究[J].信息化研究， 2010，（08）：20-21.

[2]殷璐，嚴建鋼，樊嚴. Link-16戰術數據鏈抗干擾性能評估與仿真[J].航天電子對抗， 2007，（03）：40-42.

[3]林茂森，殷璐，李相全. JTIDS抗干擾性能與仿真[J].通信對抗， 2007，（01）：36-39.

[4]唐正軍.入侵檢測技術導論.北京：機械工業出版社，2004.16-85.

[5]王利平.無線局域網入侵檢測技術研究[D].華中科技大學， 2008：15-17.

[6] L. Li， D. Yang， F. Shen. A novel rule-based intrusion detection system using data mining [C] // Proceedings of 2010 IEEE International Conference on Computer Science and Information Technology， 2010， 6： 169-172.

[7] S. B. Cho. Incorporating soft computing techniques into a probabilistic intrusion detection system [J]. IEEE Transactions on Systems， Man， and Cybernetics， Part C： Applications and Reviews， 2002， 32（2）： 154-160.

[8] G. Zhu， J. Liao. Research of intrusion detection based on support vector machine [C] // Proceedings of International Conference on Advanced Computer Theory and Engineering， 2008， 434-438.

[9] S. J. Han， S. B. Cho. Evolutionary neural networks for anomaly detection based on the behavior of a program [J]. IEEE Transactions on Systems， Man， and Cybernetics， Part B， 2006， 36（3）： 559-570.

[10] L. Yu， B. Chen， J. Xiao. An integrated system of intrusion detection based on rough set and wavelet neural network [C] // Proceedings of the Third International Conference on Natural Computation， 2007， 3： 194-199.

[11] T. P. Tran， T. Jan. Boosted modified probabilistic neural network （BMPNN） for network intrusion detection [C] // Proceedings of International Joint Conference on Neural Networks， 2006， 2354-2361.

[12] E. Michailidis， S. K. Katsikas， E. Georgopoulos. Intrusion detection using evolutionary neural networks [C] // Proceedings of Panhellenic Conference on Informatics， 2008， 8-12.

[13]李寧，謝振華，謝俊元，陳世福. SEFNN：一種基于結構進化的前饋神經網絡設計算法[J].計算機研究與發展， 2006， 43（10）： 1713-1718.

[14] H. Liu， H. Motoda. Feature selection for knowledge discovery and data mining[M]. Boston： Kluwer Academic Publishers， 1998.