網絡被入侵后的信號檢測系統設計與優化

李威　顧海林　黃興

摘 要： 針對當前對網絡入侵異常檢測精度不高的問題，進行網絡被入侵后的異常信號檢測系統優化設計，提出基于高階時頻譜分析的網絡入侵異常信號檢測算法，首先對信號檢測算法進行改進設計，構建網絡入侵信號模型，對入侵后的網絡異常信號做非平穩信號經驗模態分解和高階時頻譜特征提取；然后進行信號檢測系統的開發；最后通過仿真實驗進行性能測試。仿真結果表明，采用該信號檢測系統能準確檢測網絡被入侵后的異常信號，且準確檢測概率高于傳統方法。

關鍵詞： 網絡入侵； 信號檢測； 譜分析； 經驗模態分解

中圖分類號： TN911.23?34； TP393 文獻標識碼： A 文章編號： 1004?373X（2017）03?0058?04

Design and optimization of signal detection system after network intrusion

LI Wei， GU Hailin， HUANG Xing

（Information and Communication Engineering Center， Information Communication Branch Company of

State Grid Liaoning Electric Power Co.， Ltd.， Shenyang 110006， China）

Abstract： Since the accuracy of the current network intrusion anomaly detection is low， the optimization design for the abnormal signal detection system after network intrusion was performed， and the network intrusion abnormal signal detection algorithm based on higher?order time?spectrum analysis is proposed. The improvement design for the signal detection algorithm was conducted， and the network intrusion signal model was constructed to decompose the non?stationary signal empirical mode and extract the higher?order time?spectrum feature of the network anomaly signal after network intrusion. The signal detection system was developed， and its performance was test with simulation experiment. The simulation results show that the signal detection system can accurately detect the abnormal signal after network intrusion， and its accurate detection probability is higher than that of the traditional method.

Keywords： network intrusion； signal detection； spectrum analysis； empirical mode decomposition

0 引 言

隨著計算機技術和網絡技術的快速發展，網絡運行的速度不斷增快，網絡傳輸和處理的數據信息不斷增多，網絡安全受到管理者和用戶的重視[1?2]。網絡安全主要包括網絡的物理安全、網絡拓撲結構安全、網絡系統安全等。網絡入侵通過病毒植入，實現非法存取、拒絕服務和網絡資源非法占用等，達到攻擊用戶私密信息的目的。網絡被入侵后會出現異常信號，通過對網絡被入侵后的入侵信號進行檢測，保障網絡安全，研究相關的信號檢測算法和系統受到人們的極大關注[3?4]。

針對當前對網絡入侵異常檢測精度不高的問題，提出基于高階時頻譜分析的網絡入侵異常信號檢測算法，并通過仿真實驗進行性能測試。

1 算法設計

1.1 信號模型構建與分析

首先對網絡被入侵后的異常信號模型進行構建和特征分析，網絡被入侵后的數據傳輸節點分布為一個寬平穩的隨機信道模型，異常信號分布在一個多徑時變的非平穩傳輸信道中，采用短時傅里葉變換構建網絡被入侵后的異常信號傳輸的信道模型描述為[5?6]：

[x（t）=Rean（t）e-j2πfcτn（t）slt-τn（t）e-j2πfct] （1）

式中：網絡被入侵后異常信號的加窗函數[x（t）]在時間[t]的短時傅里葉變換就是[x（t）]乘上一個以[t]為中心的“分析窗”，由于短時傅里葉變換，在所有窗函數里建立時間窗。

當短時傅里葉變換為一種線性變換，輸出的信號沖激響應為[γ*（t-t），]根據網絡被入侵后異常信號的時頻分辨率不變性，信號短時譜定義為：

[STFT（γ）x（t， f）=-∞∞[x（t）γ*（t-t）]e-j2πftdt] （2）

采用短時傅里葉變換使得網絡入侵信號的短時傅里葉基數STFT保持信號[x（t）]的頻移特性，網絡被入侵的時間尺度脈沖響應為：

[c（τ，t）=nan（t）e-j2πfcτn（t）δ（t-τn（t））] （3）

式中：[an（t）]是第[n]條網絡傳輸信道上的異常信號的單分量主頻特征；[τn（t）]為第[n]條垂直無窮長窗函數的時延；[fc]為網絡被入侵的信道調制頻率。

設網絡被入侵數據傳輸節點的傳遞路徑有[P]條，采用頻率分辨率調制濾波[7]，得到網絡被入侵后的異常信號傳輸的多徑信道傳遞函數為：

[h（t）=i=1Paip（t-τi）] （4）

式中：[ai]和[τi]分別是時間分辨率和傳播損失。

網絡被入侵后數據傳輸的信道特征分布函數為：

[y（t）=x（t-t0）?Wy（t，v）=Wx（t-t0，v）y（t）=x（t）ej2πv0t?Wy（t，v）=Wx（t，v-v0）] （5）

對于兩個能量相同的信號，定義窗函數的時寬[Δt]為：

[Δt2=t2G（t）2dtG（t）2dt] （6）

通過時頻伸縮，可得網絡被入侵后異常信號的頻譜特征為：

[y（t）=kx（kt）， k>0，Wy（t，v）=Wx（kt，vk）] （7）

式中：[k]表示時間分辨采樣頻率；[v]表示網絡被入侵后輸出信道的帶寬；[Wx]為時間窗口函數，式（7）表示網絡被入侵的信道中的時域和頻域的伸縮尺度。時間分辨率和頻率分辨率在頻譜寬度一致性特征的情況下，構建網絡入侵的異常信號模型為：

[z（t）=x（t）+iy（t）=a（t）eiθ（t）] （8）

式中：[z（t）]表示入侵后的異常信號；[x（t）]表示殘余函數；[y（t）]表示網絡入侵后異常信號的殘余量；[a（t）]表示非線性、非平穩的多分量信號的上下包絡線；[θ（t）]表示入侵偏移相位。

通過單分量信號的尺度分解將原始信號分解為多個低頻分量之和，得到網絡入侵后的異常信號的包絡特征為：

[a（t）=x2（t）+y2（t）， θ（t）=arctany（t）x（t）] （9）

式中：[a（t）]和[θ（t）]分別是網絡被入侵后異常信號的高頻特征分量的包絡和相位。

1.2 信號檢測算法實現

定義[D=（dγ）γ∈Γ]為網絡入侵異常信號分布特征空間[H]中的入侵數據向量組成的基函數集，在對受到強雜波背景干擾下入侵后的網絡異常信號[x（t）]進行經驗模態分解，每層分解的誤差分量表示為：

[xmin， j=maxxmin， j，xg， j-ρ（xmax， j-xmin， j）] （10）

[xmax， j=minxmax， j，xg， j+ρ（xmax， j-xmin， j）] （11）

入侵特征檢測的偏移量頻譜區間在[[xmin， j，xmax， j]]內構成局部時間尺度分量的滑動時間窗口，[ρ]為網絡入侵異常信號屬性特征調整系數，定義為：

[ρ=o∈Nk-dist（p）lrdk（o）lrdk（p）Nk-dist（p）] （12）

采用頻率調制對信號進行高階譜特征提取，以過零點定義的IMF函數為一個采樣特征區間，表示為：[Yk=yk1，yk2，…，ykj，…，ykJ， k=1，2，…，N] （13）

通過頻率調制去除網絡被入侵后異常信號的虛假分量，在對網絡入侵后異常信號的局部均值進行后置聚焦檢測后，采用時頻特征分析方法進行網絡被入侵后的異常信號的時域特征分解，得到頻譜偏移量為：

[fi（n）=ln[λi（n）]2πΔt] （14）

式中[Δt]表示信號采樣時間間隔。

由此計算網絡被入侵后異常信號的穩態概率：

[WDx（t，f）=xt+τ2x*t-τ2e-j2πftdτ] （15）

式中：[f]表示異常信號的頻域瞬態函數；[x*]表示對原始信號取卷積。

選擇時間?頻率聯合特征匹配方法，得到網絡被入侵后的異常信號差異函數[f]和基[dγ0]之間的匹配程度為：

[λn（dγ0）=-∞+∞f（t）d*γ0（t）dt] （16）

采用自適應級聯濾波方法進行信號濾波，得到異常信號檢測的一組極大線性無關組，[dγ]的邊緣特性解向量[L2（R）]是稠密的，得到網絡入侵后的異常信號的能量密度滿足：

[f，dγ0≥asupγ∈Γf，dγ] （17）

準確檢測概率滿足：

[f=f，dγ0dγ0+Rf] （18）

2 系統硬件設計與軟件開發

2.1 信號檢測系統的硬件設計

系統的模塊化設計主要包括濾波電路模塊、信號采樣A/D電路模塊、DSP集成處理主控模塊和檢測輸出模塊等，首先構建信號濾波器電路，進行網絡被入侵后異常信號的檢測濾波，濾波結構模型如圖1所示。

以網絡被入侵后異常信號的A/D數據采集作為原始輸入，給出級聯自適應濾波器形式為：

[H（z）=N（z）D（z）] （19）

式中：[N（z）]是異常信號檢測系統的低通信道函數，它的零點在[z=e±jω0]處；[D（z）]為盲源分離狀態函數。

由濾波器的控制篩分參數[a]和帶寬參數[r]確定自適應級聯濾波器的階數和調制頻率，初始頻率為：

[ω0=arccos（-a2）] （20）

在前饋放大約束下，通過抽頭加權得到入侵后的異常信號檢測濾波器低通響應特征函數為：

[ejπ=V（ejω0）=sinθ2+sinθ1（1+sinθ2）ejω0+ej2ω01+sinθ1（1+sinθ2）ejω0+sinθ2ej2ω0] （21）

網絡被入侵后異常信號檢測系統的信號濾波器的傳遞函數為：

[H（z）=121+V（z）V（ejω）+ejΦ（ω）] （22）

根據濾波傳遞函數，采用DSP信號處理器和PCI總線進行電路設計，得到濾波電路設計如圖2所示。

信號采樣A/D電路模塊實現網絡入侵后的異常信號檢測原始數據采樣和數模轉換功能，采用16位定點DSP作為控制芯片，采用FLASH中的應用程序bootloader自動調整系統的放大倍數，從片內ROM的0FF80H起執行程序，控制A/D轉換器進行正常采樣，得到信號檢測系統的信號采樣A/D電路設計如圖3所示。

DSP集成處理主控模塊是網絡被入侵后異常信號檢測系統的核心模塊，主控模塊的時鐘頻率為33 MHz或66 MHz，DSP集成處理環境下異常信號處理程序是在CCS 2.20開發平臺下進行，DSP通過雙端口RAM（IDT70V28）進行數據通信，DSP信號處理器設計主要包括5409A引腳設置、JTAG設計，地址總線LA[16：1]，檢測輸出模塊選擇引腳、時鐘信號輸入引腳，通過CPLD編程ADM706SAR進行系統復位，得到主控模塊的DSP接口連線如圖4所示。

2.2 系統的軟件開發實現

網絡被入侵后異常信號檢測系統的軟件開發處理程序在CCS 2.20開發平臺下進行。采用C5409A XDS510 Emulator仿真器進行檢測算法編程設計，采用程序加載電路進行異常信號檢測算法的寫入和數據讀取，處理程序都是用ASM語言編寫，與VB，VC等可視化開發平臺進行匯編，鏈接生成.out文件，代碼設計時把應用程序轉換成.hex格式代碼，把loader和用戶程序都燒寫到FLASH中，在0FF81H處寫loader程序的入口地址，得到網絡被入侵后異常信號檢測系統的程序設計流程如圖5所示。

3 性能的測試

首先對SPCR1（串口接收控制寄存器）和SPCR2（串口發送控制寄存器）進行復位串口配置，配置PCR（串口控制引腳寄存器）的FSXM=1，進行網絡入侵采樣，采樣的樣本數為1 024，采用網絡爬蟲技術進行病毒入侵的數據爬取，爬取次數為100 598次，啟動串口0的采樣率，得到兩個幀同步之間的異常信號。網絡入侵異常信號的中心采用頻率為[f0=1 000]Hz，接收器和發送器的激活頻率為[fs=10] kHz，信號的采樣帶寬[B=1 000]Hz，其調頻率[k=BT=13.8] Hz，信號檢測過程中的干擾信噪比為-30 dB，根據上述仿真環境和參數設定，進行網絡被入侵后的異常信號檢測仿真，得到采樣的原始網絡信號如圖6所示。

以上述采樣信號為測試對象，輸入到本文設計的異常信號檢測系統中，得到檢測輸出的高階時頻譜如圖7所示。

從圖7可見，本文設計的信號檢測系統能準確檢測到異常信號的頻譜特征，對低頻干擾信號的抑制性能較好，檢測輸出的峰度聚焦性較好，展示了較高的檢測性能，為了對比，采用本文方法和傳統方法，以準確檢測概率為測試指標，得到的結果如圖8所示。從圖8可見，采用本文系統進行網絡入侵后異常信號檢測的準確檢測概率較高，且性能優于傳統方法。

4 結 語

網絡被入侵后會出現異常信號，通過對網絡被入侵后的入侵信號檢測，保障網絡安全。本文提出基于高階時頻譜分析的網絡入侵異常信號檢測算法，仿真結果表明，本文算法的準確檢測概率高于傳統方法，具有較高的應用價值。

參考文獻

[1] 陸興華，陳平華.基于定量遞歸聯合熵特征重構的緩沖區流量預測算法[J].計算機科學，2015，42（4）：68?71.

[2] 楊雷，李貴鵬，張萍.改進的Wolf一步預測的網絡異常流量檢測[J].科技通報，2014，30（2）：47?49.

[3] 周煜，張萬冰，杜發榮，等.散亂點云數據的曲率精簡算法[J].北京理工大學學報，2010，30（7）：785?790.

[4] MERNIK M， LIU S H， KARABOGA M D， et al. On clarifying misconceptions when comparing variants of the Artificial Bee Colony Algorithm by offering a new implementation [J]. Information sciences， 2015， 291（C）： 115?127.

[5] 沈淵.基于入侵關聯跟蹤的P2P網絡入侵檢測方法[J].科技通報，2013，29（6）：32?34.

[6] 章武媚，陳慶章.引入偏移量遞階控制的網絡入侵HHT檢測算法[J].計算機科學，2014，41（12）：107?111.

[7] HSIEH T J. A bacterial gene recombination algorithm for sol?ving constrained optimization problems [J]. Applied mathema?tics and computation， 2014， 231： 187?204.