基于FRFT的網絡流量異常數據快速捕獲方法

鐘 妮,王 劍

(1. 四川工業科技學院,四川 綿竹 618200;2. 武漢理工大學,湖北 武漢 430070)

1 引言

信息技術的迅猛進步,使高新技術與日?；顒酉嗷B透、相互融合?；ヂ摼W作為生活、工作中的重要基礎設施,在給人們生活帶來便利的同時承受著網絡攻擊[1]。網絡流量異常是一種網絡流量模式,該模式對正常使用網絡產生了巨大的影響,因此,誕生了網絡流量異常檢測技術[2],通過該項技術及時發現網絡流量異常的位置與出現時刻。網絡中生成的流量數據含有數據包截獲數據、網絡流與簡單網絡管理協議的統計數據,而針對異常檢測的不同環境,需采用不同的數據源處理技術。

隨著網絡安全問題關注度的不斷提高,網絡流量異常檢測技術得以廣泛研究。黎佳玥等人[3]利用深度學習算法的長短期記憶網絡與卷積神經網絡,構建出一種網絡流量異常預測模型,通過訓練取得數據時空特征,預測出下一時段的特征變化,識別出安全事件類型;連鴻飛等人[4]利用合成少數類過采樣技術與增強型分類算法,過采樣處理少數類樣本,經歸一化數據特征,采用卷積神經網絡學習空間特征與時序特征,根據計算得到的特征權重,取得異常流量檢測結果;孫旭日等人[5]劃分實際網絡流量為數據包與會話流,提取數據特征,經離散小波變換獲取高維特征,根據格拉布斯準則平滑處理數據,采用訓練過的長短期記憶網絡自編碼模型,重建訓練數據,明確檢測閾值,實現異常檢測。

因傳統檢測方法均存在高運算復雜度的問題,無法滿足實時性需求,因此,本文設計一種基于分數階傅里葉變換的網絡流量異常數據快速捕獲方法。自相似參數估計策略有助于提升異常數據的捕獲準確度;因本文方法省去數據包的特征匹配過程,故加快了捕獲異常數據的速度;結合自適應閾值置信范圍,縮減捕獲失誤概率。因此,本文方法會在一定程度上對網絡資源作出合理調整,確保網絡服務水平與速度,推動網絡發展,提升網絡安全程度。

2 基于分數階傅里葉變換的自相似參數估計

根據網絡流量自相似性與異常數據之間的相關性,提出一種分數階傅里葉變換下的自相似參數估計,以提升參數估計與數據捕獲精度。

2.1 分數階傅里葉變換

將角度參數α與經典傅里葉變換[6]相結合,得到分數階傅里葉變換,采用下列表達式界定分數階傅里葉變換

(1)

式中,分數階傅里葉變換的階數與核函數分別為p、Mp(t,u),階數p滿足下列條件方程組

(2)

核函數的計算公式為

Mp(t,u)=Aαexp[jπ(u2cotα-2tucscα+t2cotα)]

(3)

式中,分數階傅里葉變換幅值是Aα,下式為其數學式

(4)

其中,角度參數α滿足pπ/2,p≠2n,n是任意整數。

故推導出不同角度參數取值下的分數階傅里葉變換核函數條件方程組

(5)

利用下列表達式描述分數階傅里葉變換的逆函數k(t)

(6)

(7)

(8)

若將φv(t)替換成厄米高斯函數[7]作為上式的特征函數,則需使下列等式成立

(9)

基于傅里葉變換特征值與特征函數,推導分數階傅里葉變換特征值與特征函數。下式所示為展開后的逆函數k(t)

(10)

經分數階傅里葉變換處理上列等式的等號兩側,得到下列表達式,即分數階傅里葉變換特征值

(11)

結合核函數表達式(3),取得下式所示的分數階傅里葉變換特征函數

(12)

2.2 分數階傅里葉變換下參數估計

分數階傅里葉變換網絡流量數據,獲取分數階傅里葉變換域序列Fa(t),根據序列能量譜E[g2(j)]的對數尺度G(j)與小波關系,利用下列能量譜參數估計算法,聯立G(j)與赫斯特參數之間的相關性。

假設X(t)是一個與正交小波相互作用的自相似時間序列,當其位于2-jω0時,第j個子帶存在nj個小波系數,故該序列能量譜如下所示

(13)

同時,X(t)也屬于一種自相似階段,滿足SX(2-jω0)∝(2-jω0)-γ,因此,下列等式成立

=log2(c(2-jω0)-γ)=(2H+1)j+c′

(14)

式中,c、c′均是任意常數項。經最小均方差擬合[8]后,即可獲取到log2(SX(2-jω0))與j之間的連線,2H+1表示該直線斜率。

綜上所述,聯立出G(j)與赫斯特指數之間的相關性,關系表達式如下所示

G(j)?(2H-1)j+c

(15)

由此制定出以下基于分數階傅里葉變換的赫斯特參數估計流程:

1)采用式(1)所示的p階分數階傅里葉變換,計算初始的網絡流量數據X[n];

2)求解經過分數階傅里葉變換的序列能量譜E[g2(j)];

3)以能量譜E[g2(j)]與對數尺度G(j)之間的關系為依據,解得對數尺度G(j);

4)通過設計的能量譜參數估計算法,獲取尺度[j1,j2]范圍內的赫斯特參數估值。

3 基于FRFT的網絡流量異常數據快速捕獲

若時段[1,n]的赫斯特指數是H={Hk,k∈1,2,…p,…,n},[1,p]時段中網絡流量不存在異常數據,H′={H′k,k∈1,2,…p}呈正態分布[9]情況,則采用下列表達式界定H′概率密度

(16)

(17)

(18)

(19)

當下一刻的網絡流量赫斯特預估結果Hp+1滿足Hp+1∈[U1,U2]時,認為該參數對應的數據為正常數據;反之,則判定為異常數據,實施捕獲。

基于分數階傅里葉變換的網絡流量異常數據快速捕獲流程具體如下所述:

1)針對初始數據X[n],依據赫斯特參數的估算均值與極值,結合式(19),設定初始閾值范圍[Uini＿min,Uini＿max],與閾值計數Ce;

2)將獲得的網絡流量特征儲存至特征庫內;

3)解析特征庫的流量特征,求解赫斯特參數Hc;

4)根據閾值范圍判定赫斯特參數Hc對應數據,當在閾值范圍內時,網絡流量屬于正常數據,存儲至更新判定單元,增加計數;反之,則屬于異常數據,執行捕獲命令。

4 網絡流量異常數據快速捕獲仿真

4.1 實驗準備階段

基于某企業網絡環境,從企業網VLAN1、VLAN2中分別選取103.106.72.246到103.106.72.305地址、103.106.72.1到103.106.72.10地址作為實驗對象,其中,VLAN1包含面向公眾網的代理服務器、DNS服務器、FTP服務器等,網絡流量規模較大;VLAN2由10臺主機構成,包含1臺面向外網的交換機與9臺正常工作站,負責提供FTP、HTTP等網絡服務,網絡流量規模較小。企業網網絡流量運行較為平穩,主機類別間存在較大網絡流量差異,符合捕獲方法檢驗需求。

為驗證方法的捕獲性能,采用開源的網絡攻擊模擬工具Infection Monkey,仿真兩企業網在表1所示的各類形式攻擊下,本文方法對異常數據的捕獲效果。

表1 網絡攻擊種類

設定捕獲數據參數,解析捕獲的數據包為包含攻擊時間、攻擊發起IP、攻擊目標IP等信息的會話記錄,對捕獲的攻擊數據做種類標記,用0表示正常數據,表1的攻擊序號表示對應形式攻擊。

4.2 在不同攻擊種類下網絡流量異常數據捕獲性能

在開展仿真前,對兩個企業網分別進行了大量的訓練試驗,以取得高可靠度的實驗結果。通過訓練試驗發現,網絡攻擊形式中除Land攻擊、Ddos攻擊、弱口令掃描以及傳輸控制協議connect掃描等四種攻擊種類之外,其余六種均是發生過的攻擊類型,故認為四種攻擊類型是未知攻擊種類,其余的是已知攻擊種類。

針對已知攻擊種類、未知攻擊種類以及異常數據捕獲耗時等方面展開分析,仿真結果如圖1所示。其中,圖1(a)所示為企業網VLAN1主機利用六種已知攻擊類型攻擊VLAN2網絡主機的異常數據捕獲結果;圖1(b)所示為VLAN1主機發起未知攻擊過程中的異常數據捕獲結果;圖1(c)所示為已知攻擊與未知攻擊發起階段的異常數據捕獲耗時。

圖1 網絡流量異常數據捕獲示意圖

從網絡流量異常數據捕獲示意圖1可以看出,本文方法在經典傅里葉變換中引入角度參數,得到分數階傅里葉變換方法,經推導出其相關核函數、逆函數以及特征值、特征函數等參數,通過分數階傅里葉變換網絡流量數據,獲取了變換域序列,根據網絡流量自相似性與異常數據之間的相關性,采用設計的自相似參數估計策略,為參數估計與數據捕獲提供了良好的參考依據,利用兩個離散時間序列與赫斯特參數變度,精準地確定了赫斯特閾值的置信范圍,因此,能夠準確捕獲到各類攻擊形式,且捕獲時長也較為理想,極大程度實現了本文方法的研究目標。雖然在一定程度上受到先驗知識影響,但該方法仍然可以滿足實際應用的精準度與實時性需求。

5 結論

互聯網時代的來臨極大程度壯大了網絡規模,使網絡中有了更多的參與個體,隨著國民經濟的增長,逐漸演變為當前社會生產與生活中的主要角色,盡管網絡技術為人們的日?；顒訋砹饲八从械闹T多便利,但與此同時,也隱藏著潛在的信息安全問題。為迅速發現網絡異常所在,本文基于傅里葉變換算法,提出一種分數階傅里葉變換下的網絡流量異常數據快速捕獲策略。需將本文方法應用于不同類型的網絡中來探索方法的實時性,并深入學習流量采樣技術相關知識,進一步提升異常數據的捕獲速率;在未來的研究工作中,應就此方法建立一種捕獲系統,通過硬件流量處理平臺,獲取更理想的實時性;網絡異常數據的成因除網絡攻擊外,還有異常操作、網絡濫用、蠕蟲病毒以及錯誤配置等因素,需分解、協議解析具體的流量數據包,區分異常數據具體誘因,擴展方法實用性;實際應用中通常是多樣本數據、少異常數據,極易造成部分異常數據被忽略,故將捕獲少量異常數據作為接下來的研究重點。