面向分布式網(wǎng)絡(luò)入侵檢測的實(shí)驗(yàn)測試仿真

徐 彬,黃春麟,吳 迪,滑 斌

(寧夏大學(xué)信息工程學(xué)院,寧夏 銀川 750021)

1 引言

網(wǎng)絡(luò)安全[1]問題日益凸顯,網(wǎng)絡(luò)危機(jī)一旦發(fā)生,將給用戶、企業(yè)甚至整個(gè)國家?guī)頍o法預(yù)估的損失,社會負(fù)面影響巨大。因此在問題出現(xiàn)之前,對網(wǎng)絡(luò)入侵進(jìn)行檢測與防御,是規(guī)避網(wǎng)絡(luò)安全威脅的重要環(huán)節(jié)。網(wǎng)絡(luò)入侵檢測[2]實(shí)驗(yàn)測試方法,是測試網(wǎng)絡(luò)入侵檢測方法性能的關(guān)鍵。

文獻(xiàn)[3]方法提出基于改進(jìn)的深度信念網(wǎng)絡(luò)的入侵檢測方法。該方法利用改進(jìn)的DBN算法對網(wǎng)絡(luò)數(shù)據(jù)進(jìn)行無監(jiān)督學(xué)習(xí);在算法中加入自適應(yīng)學(xué)習(xí)速率縮減模型訓(xùn)練時(shí)間,使用softmax分類方法對網(wǎng)絡(luò)數(shù)據(jù)進(jìn)行分類,依據(jù)分類結(jié)果識別網(wǎng)絡(luò)攻擊數(shù)據(jù),實(shí)現(xiàn)網(wǎng)絡(luò)的入侵檢測。該方法由于未能在入侵檢測前進(jìn)行數(shù)據(jù)去噪處理,導(dǎo)致該檢測方法的攻擊正確識別比例低。文獻(xiàn)[4]方法提出基于集成深度森林的入侵檢測方法。該方法首先依據(jù)卷積神經(jīng)網(wǎng)絡(luò)建立一個(gè)網(wǎng)絡(luò)檢測模型,使用Bagging集成策略分析網(wǎng)絡(luò)模型隱藏層結(jié)構(gòu),依據(jù)分析結(jié)果引入隨機(jī)森林機(jī)制,重構(gòu)模型隱藏層;再依據(jù)拼接向量機(jī)完成數(shù)據(jù)特征分類,結(jié)合優(yōu)化后的神經(jīng)網(wǎng)絡(luò)模型,完成網(wǎng)絡(luò)入侵?jǐn)?shù)據(jù)的檢測。該方法在重構(gòu)模型時(shí)存在問題,導(dǎo)致該方法的數(shù)據(jù)正確分類樣本比例低。文獻(xiàn)[5]方法提出基于支持向量機(jī)方法的網(wǎng)絡(luò)入侵檢測實(shí)驗(yàn)研究。該方法依據(jù)對網(wǎng)絡(luò)規(guī)則信息、邊界信息以及攻擊信息的界定劃分?jǐn)?shù)據(jù)攻擊類型;通過支持向量機(jī)完成網(wǎng)絡(luò)數(shù)據(jù)的分類,實(shí)現(xiàn)入侵?jǐn)?shù)據(jù)的檢測。該方法在進(jìn)行數(shù)據(jù)攻擊類型劃分時(shí)存在問題,所以該方法的檢測性能差。

為解決上述網(wǎng)絡(luò)入侵?jǐn)?shù)據(jù)檢測過程中存在的問題,提出面向分布式網(wǎng)絡(luò)入侵檢測的實(shí)驗(yàn)測試方法。

2 網(wǎng)絡(luò)入侵?jǐn)?shù)據(jù)特征提取方法

在對分布式網(wǎng)絡(luò)進(jìn)行入侵檢測前,需要通過網(wǎng)絡(luò)數(shù)據(jù)的去噪結(jié)果提取網(wǎng)絡(luò)入侵?jǐn)?shù)據(jù)特征。

2.1 基于小波變換的網(wǎng)絡(luò)數(shù)據(jù)去噪方法

首先設(shè)定網(wǎng)絡(luò)數(shù)據(jù)信號的母小波為L2(R),母小波函數(shù)為δ(x),數(shù)據(jù)信號的連續(xù)小波變換過程如下式所示

(1)

式中,網(wǎng)絡(luò)數(shù)據(jù)連續(xù)小波變換結(jié)果表述成αf(a,χ)形式,尺度因子為a,位移因子為χ,符號因子為〈f(x),δ(x)〉,小波系數(shù)用α表述。

為簡化信號變換計(jì)算流程,對獲取的信號尺度進(jìn)行二進(jìn)制離散處理,小波變換[6]的二進(jìn)制離散過程如下式所示

(2)

式中,i、k為常數(shù)。在信號處理過程中,使用Lipschitz指數(shù)計(jì)算網(wǎng)絡(luò)數(shù)據(jù)信號局部奇異值[7],過程如下式所示

|f(x)-f(x0)|=b|x-x0|β

(3)

式中,小波系數(shù)在網(wǎng)絡(luò)初始數(shù)據(jù)信號處的奇異指數(shù)標(biāo)記為β,奇異函數(shù)用|f(x)-f(x0)|表示,噪聲指數(shù)用b表述。函數(shù)平滑結(jié)果越好,說明該位置數(shù)據(jù)信號的奇異指數(shù)越高。

由于分布式網(wǎng)絡(luò)數(shù)據(jù)中白噪聲信號分布較大,且為隨機(jī)分布形式,因此設(shè)定小波系數(shù)為f(x)∈L2(R),?x∈εx0,且母小波函數(shù)滿足連續(xù)變換特性,從而獲取網(wǎng)絡(luò)數(shù)據(jù)信號的l階消失矩,結(jié)果如下式所示

(4)

式中,信號極大模值用|αf(a,x)|表述。最后依據(jù)上述計(jì)算結(jié)果完成網(wǎng)絡(luò)數(shù)據(jù)信號的小波去噪。

2.2 網(wǎng)絡(luò)數(shù)據(jù)特征提取

依據(jù)數(shù)據(jù)去噪結(jié)果,使用Fisher理論[8]提取網(wǎng)絡(luò)入侵?jǐn)?shù)據(jù)特征。

2.2.1 獲取數(shù)據(jù)Fisher分值

Fisher理論是基于樣本數(shù)據(jù)距離提取樣本數(shù)據(jù)特征的特征選擇算法,當(dāng)數(shù)據(jù)樣本特征類別距離差最大,同類數(shù)據(jù)樣本距離最小時(shí),可依據(jù)Fisher理論尋找數(shù)據(jù)的最佳樣本特征。

設(shè)定網(wǎng)絡(luò)入侵?jǐn)?shù)據(jù)訓(xùn)練集為C={(p1,q1),(p2,q2),…,(px,qx)},特征維度空間表述為d形式,通過整合,將網(wǎng)絡(luò)入侵?jǐn)?shù)據(jù)訓(xùn)練樣本集分成正負(fù)兩個(gè)數(shù)據(jù)集類別,劃分過程如下式所示

L=wb/ws

(5)

(6)

2.2.2 基于支持向量機(jī)的特征抽取

基于上述獲取的數(shù)據(jù)Fisher分值[9],使用支持向量機(jī)分類算法計(jì)算數(shù)據(jù)訓(xùn)練集,尋找網(wǎng)絡(luò)數(shù)據(jù)最佳權(quán)值e。首先依據(jù)數(shù)據(jù)Fisher分值建立網(wǎng)絡(luò)數(shù)據(jù)的權(quán)值代價(jià)函數(shù)[10],過程如下式所示

(7)

式中,建立的網(wǎng)絡(luò)數(shù)據(jù)權(quán)值代價(jià)函數(shù)用ming(e)表述,網(wǎng)絡(luò)入侵?jǐn)?shù)據(jù)分別表述成qi、pi形式。通過函數(shù)轉(zhuǎn)換,將網(wǎng)絡(luò)入侵?jǐn)?shù)據(jù)的二次規(guī)劃問題,轉(zhuǎn)換成數(shù)據(jù)的對偶問題,轉(zhuǎn)換過程如下式所示

(8)

式中,數(shù)據(jù)的對偶函數(shù)標(biāo)記為minE(φ),對偶因子標(biāo)記為μi。最后基于上述計(jì)算結(jié)果,獲取數(shù)據(jù)的最優(yōu)分類函數(shù),完成數(shù)據(jù)的特征抽取,過程如下式所示

(9)

3 基于隱馬爾可夫模型的網(wǎng)絡(luò)入侵?jǐn)?shù)據(jù)檢測

通過上述網(wǎng)絡(luò)入侵?jǐn)?shù)據(jù)特征的提取,建立網(wǎng)絡(luò)入侵?jǐn)?shù)據(jù)的馬爾可夫檢測模型[11],依據(jù)數(shù)據(jù)的訓(xùn)練結(jié)果,確定數(shù)據(jù)的攻擊行為,并使用該模型完成網(wǎng)絡(luò)數(shù)據(jù)的入侵檢測。

3.1 建立隱馬爾可夫模型

設(shè)定網(wǎng)絡(luò)數(shù)據(jù)入侵特征為r,數(shù)據(jù)訓(xùn)練樣本標(biāo)記為A=A1+A2,且A1為正常樣本數(shù)據(jù),A2為入侵樣本數(shù)據(jù),基于隱馬爾可夫模型固定語法,建立隱馬爾可夫模型,標(biāo)記為M=(W,H,K),其中,數(shù)據(jù)狀態(tài)集表述成W形式,狀態(tài)轉(zhuǎn)移矩陣表述成H,狀態(tài)輸出矩陣表述成K形式,模型輸出概率獲取結(jié)果如下式所示

P(sH|M)=∑wT∈Wsp(L-w1)

p(w1↑s1)p(w1-x2)…p(wM↑sM)

(10)

式中,WT為數(shù)據(jù)狀態(tài)序列值,狀態(tài)集合標(biāo)記成Ws。

3.2 模型訓(xùn)練

基于貝葉斯原理[12],設(shè)定模型得到最大后驗(yàn)概率為P(M|A),依據(jù)相關(guān)模型語法完成后驗(yàn)概率的獲取,過程如下式所示

(11)

若式中模型概率已知,通過計(jì)算可獲取數(shù)據(jù)集A的元素概率乘積P(ai|M),結(jié)果如下式所示

(12)

由于模型的復(fù)雜度會影響模型狀態(tài)以及狀態(tài)轉(zhuǎn)移數(shù)據(jù)量的大小,所以要通過對P(M)=(N+1)NH+NK的計(jì)算獲取模型的最佳先驗(yàn)概率值。其中,模型最佳狀態(tài)值標(biāo)記為N,狀態(tài)轉(zhuǎn)移向量表述成NH形式,狀態(tài)輸出標(biāo)記為NK。

基于上述分析結(jié)果可知,模型的求解問題可看作為模型的迭代過程,通過整合獲取的模型狀態(tài)向量值,完成模型的求解。設(shè)定模型迭代序列為{M1,M2,…,Mk,Mk+1},通過迭代計(jì)算,尋找出模型的最佳狀態(tài),實(shí)現(xiàn)模型的訓(xùn)練。

3.3 獲取網(wǎng)絡(luò)異常數(shù)據(jù)閾值

設(shè)定模型的異常測度為sH,獲取結(jié)果如下式所示

η(sH)=-lnP(sH|M)

(13)

式中,獲取的數(shù)據(jù)異常測度標(biāo)記為η(sH),網(wǎng)絡(luò)數(shù)據(jù)的狀態(tài)概率用P(sH|M)表述。設(shè)定網(wǎng)絡(luò)數(shù)據(jù)狀態(tài)概率P(sH|M)的最佳取值范圍為[0,1],異常測度值為[0,∞],以此獲取數(shù)據(jù)的異常類型值,過程如下式所示

A1=arg min[P(A0|A1,τ)+P(A1|A0,τ)]

(14)

式中,劃分系數(shù)標(biāo)記為τ,數(shù)據(jù)異常概率值標(biāo)記為P(A1|A0,τ),正常概率標(biāo)記為P(A0|A1,τ)。

3.4 入侵檢測流程

分布式網(wǎng)絡(luò)的入侵?jǐn)?shù)據(jù)檢測[13,14]流程如下:

1)采集分布式網(wǎng)絡(luò)數(shù)據(jù),使用小波變換方法獲取數(shù)據(jù)信號奇異值,完成數(shù)據(jù)信號的去噪處理。

2)使用Fisher理論提取網(wǎng)絡(luò)入侵?jǐn)?shù)據(jù)特征。

3)通過上述網(wǎng)絡(luò)入侵?jǐn)?shù)據(jù)特征[15]的提取,建立網(wǎng)絡(luò)入侵?jǐn)?shù)據(jù)的馬爾可夫檢測模型。

4)通過對模型先驗(yàn)概率以及后驗(yàn)概率的獲取,完成模型的訓(xùn)練。

5)將網(wǎng)絡(luò)數(shù)據(jù)放入訓(xùn)練好的模型中進(jìn)行分類,尋找其中的網(wǎng)絡(luò)入侵?jǐn)?shù)據(jù),完成網(wǎng)絡(luò)入侵檢測。

4 實(shí)驗(yàn)

為了驗(yàn)證上述分布式網(wǎng)絡(luò)入侵檢測方法的整體有效性,需要對此方法進(jìn)行測試。

4.1 實(shí)驗(yàn)結(jié)果及分析

分別采用面向分布式網(wǎng)絡(luò)入侵檢測的實(shí)驗(yàn)測試方法(所提方法)、基于改進(jìn)的深度信念網(wǎng)絡(luò)的入侵檢測方法(文獻(xiàn)[3]方法)、基于集成深度森林的入侵檢測方法(文獻(xiàn)[4]方法)進(jìn)行測試。

在進(jìn)行分布式網(wǎng)絡(luò)入侵檢測時(shí),可依據(jù)檢測到的網(wǎng)絡(luò)異常數(shù)據(jù)量以及正常數(shù)據(jù)量完成檢測方法的檢測性能。通過網(wǎng)絡(luò)入侵檢測時(shí)網(wǎng)絡(luò)攻擊的精準(zhǔn)檢測數(shù)量σ、正確數(shù)據(jù)誤報(bào)數(shù)量ω、檢測正確數(shù)量η以及錯(cuò)誤攻擊節(jié)點(diǎn)估計(jì)成正常節(jié)點(diǎn)數(shù)量λ的整合,獲取網(wǎng)絡(luò)入侵?jǐn)?shù)據(jù)異常檢測方法的性能檢測指標(biāo),分別為網(wǎng)絡(luò)數(shù)據(jù)遭受攻擊時(shí)的正確識別比例(DR),數(shù)據(jù)正確分類樣本比例(Accuracy)以及檢測出的攻擊數(shù)據(jù)中真正產(chǎn)生攻擊行為的數(shù)據(jù)比例(precision),獲取過程如下式所示

(15)

采用上述三種網(wǎng)絡(luò)入侵檢測方法進(jìn)行網(wǎng)絡(luò)入侵檢測,基于上述三種性能檢測指標(biāo),完成檢測方法的檢測性能測試。

1)檢測方法的DR值對比

DR指標(biāo)是測試網(wǎng)絡(luò)入侵檢測方法檢測性能的重要指標(biāo)之一。DR值越大,說明檢測方法的檢測性能越好,反之則越差。采用上述三種網(wǎng)絡(luò)入侵檢測方法進(jìn)行網(wǎng)絡(luò)入侵檢測時(shí),測試三種方法的DR值,檢測結(jié)果如圖1所示。

圖1 不同檢測方法的DR值測試結(jié)果

分析圖1可知,網(wǎng)絡(luò)數(shù)據(jù)量的增加會影響檢測方法的DR值。所提方法在進(jìn)行網(wǎng)絡(luò)入侵檢測時(shí),檢測出的DR值高于文獻(xiàn)[3]方法以及文獻(xiàn)[4]方法的DR值測試結(jié)果,文獻(xiàn)[3]方法測試結(jié)果遠(yuǎn)低于所提方法,略高于文獻(xiàn)[4]方法測試結(jié)果,文獻(xiàn)[4]方法的測試結(jié)果不理想。這主要是因?yàn)樗岱椒ㄔ谶M(jìn)行網(wǎng)絡(luò)入侵檢測前,使用小波變換方法對網(wǎng)絡(luò)數(shù)據(jù)進(jìn)行了去噪處理,所以該方法進(jìn)行網(wǎng)絡(luò)入侵檢測時(shí)的DR值高。

2)檢測方法的Accuracy值對比

在進(jìn)行網(wǎng)絡(luò)入侵檢測時(shí),Accuracy值同樣為檢測性能的重要指標(biāo),檢測方法的Accuracy值越高,說明檢測方法的檢測性能越好,反之則越差。基于上述三種檢測方法進(jìn)行網(wǎng)絡(luò)入侵檢測,對比三種方法的Accuracy值,測試結(jié)果如圖2所示。

圖2 不同檢測方法的Accuracy值測試結(jié)果

分析圖2可知,數(shù)據(jù)量的增加會降低檢測方法的Accuracy值。所提方法測試出的Accuracy值會隨著測試數(shù)據(jù)量的增加而有所下降,但是當(dāng)數(shù)據(jù)量超出一定范圍后,所提方法會將Accuracy值測試結(jié)果穩(wěn)定在固定范圍內(nèi)。文獻(xiàn)[3]方法在測試前期測試結(jié)果高于文獻(xiàn)[4]方法的測試結(jié)果,但是隨著測試的進(jìn)行,當(dāng)網(wǎng)絡(luò)數(shù)據(jù)增加至30萬條時(shí),文獻(xiàn)[4]方法測試結(jié)果反超文獻(xiàn)[3]方法,僅次于所提方法。由此可知,所提方法進(jìn)行網(wǎng)絡(luò)入侵檢測時(shí)的Accuracy值高。

3)檢測方法的precision值對比

使用所提方法、文獻(xiàn)[3]方法以及文獻(xiàn)[4]方法進(jìn)行網(wǎng)絡(luò)入侵檢測,測試三種檢測方法的precision值,測試結(jié)果如圖3所示。

圖3 不同檢測方法的precision值對比結(jié)果

分析圖3可知,隨著數(shù)據(jù)量的增加,三種檢測方法的precision值都出現(xiàn)了不同程度的下降趨勢。所提方法測試出的precision值高于文獻(xiàn)[3]方法以及文獻(xiàn)[4]方法測試結(jié)果,文獻(xiàn)[3]方法略低于所提方法,高于文獻(xiàn)[4]方法測試結(jié)果,文獻(xiàn)[4]方法測試結(jié)果最差。由此可知所提方法進(jìn)行網(wǎng)絡(luò)入侵檢測時(shí)的precision值高。

5 結(jié)束語

針對傳統(tǒng)網(wǎng)絡(luò)入侵檢測方法中存在的問題,提出面向分布式網(wǎng)絡(luò)入侵檢測的實(shí)驗(yàn)測試方法。該方法首先依據(jù)數(shù)據(jù)去噪結(jié)果提取數(shù)據(jù)特征值;再使用隱馬爾可夫理論建立網(wǎng)絡(luò)入侵檢測模型;最后通過該模型完成網(wǎng)絡(luò)的異常數(shù)據(jù)識別,實(shí)現(xiàn)網(wǎng)絡(luò)的入侵檢測。經(jīng)過實(shí)驗(yàn)驗(yàn)證,得出所提方法具有較好的檢測性能。