一種新的網(wǎng)絡(luò)攻擊檢測方法

趙攀，江宇波，邱玲

（四川理工學(xué)院計算機學(xué)院，四川自貢643000）

一種新的網(wǎng)絡(luò)攻擊檢測方法

趙攀，江宇波，邱玲

（四川理工學(xué)院計算機學(xué)院，四川自貢643000）

為了有效判斷網(wǎng)絡(luò)數(shù)據(jù)包是否存在被攻擊的可能性，在以往的研究基礎(chǔ)上提出了一種新的檢測算法DMPSO。該算法根據(jù)數(shù)據(jù)包屬性的離散度定義了狀態(tài)檢測指標(biāo)，并利用粒子群優(yōu)化方法給出了標(biāo)準(zhǔn)差分布的計算流程，以此判斷數(shù)據(jù)包的異常狀況。最后，進行仿真實驗，對比了與其它算法之間的性能狀況，結(jié)果表明DMPSO具有較好的適應(yīng)性。

網(wǎng)絡(luò)攻擊；檢測；變異算子；數(shù)據(jù)包；標(biāo)準(zhǔn)差；粒子群優(yōu)化

引言

越來越多的網(wǎng)絡(luò)攻擊給用戶帶來了極大的安全隱患，如何有效地檢測和防御攻擊成為當(dāng)前網(wǎng)絡(luò)安全領(lǐng)域研究的熱點和重點［1］。傳統(tǒng)的網(wǎng)絡(luò)攻擊檢測方法，主要集中在量化分析和數(shù)據(jù)統(tǒng)計方面，存在檢測精度不高、檢測方法單一等問題，正逐步顯現(xiàn)其缺點和不足［2-4］。

粒子群優(yōu)化（Particle Swarm Optimization，PSO）算法是一種基于群體智能的全局優(yōu)化進化算法，廣泛應(yīng)用于函數(shù)尋優(yōu)、神經(jīng)網(wǎng)絡(luò)訓(xùn)練、模式分類、模糊系統(tǒng)控制和工程應(yīng)用領(lǐng)域［5］。傳統(tǒng)的PSO算法在執(zhí)行后期，所有粒子方向一致速度趨近于零，導(dǎo)致局部最優(yōu)和出現(xiàn)過早收斂，進而使優(yōu)化效果無法達(dá)到最佳。很多學(xué)者對此進行研究，取得了一些改進，但效果有限。文獻(xiàn)［6］引入了基于遺傳算法中基因突變的觀點，保持粒子飛行的多樣性，但這種突變是被動的，而且會以很高的概率再次被吸引回以前的最優(yōu)解，效率低下。文獻(xiàn)［7］提出了額外生成與迭代次數(shù)相同的粒子，利用適應(yīng)度值保存粒子歷史最優(yōu)值。雖然也改善了粒子多樣性，但這種方法以顯著增加計算量和犧牲系統(tǒng)內(nèi)存為代價。文獻(xiàn)［8］基于隨機系統(tǒng)的矩方程法來分析連續(xù)型PSO算法的均方收斂性，充分考慮了隨機因素，給出了保證算法均方收斂域。文獻(xiàn)［9］將自適應(yīng)加速度系數(shù)調(diào)整策略引入到PSO中，以有效地控制全局和局部搜索，同時根據(jù)種群適應(yīng)度方差對陷入早熟收斂的粒子進行混沌擾動，提高算法收斂的精度，但誤報率有待進一步提高。

在上述研究的基礎(chǔ)上，本文基于粒子群優(yōu)化算法提出了一種新的檢測方法，即結(jié)合變異算子來改進粒子群優(yōu)化算法的缺陷，以此提高檢測網(wǎng)絡(luò)攻擊的成功率。首先結(jié)合數(shù)據(jù)包屬性的離散度給出了檢測指標(biāo)，同時通過獲得數(shù)據(jù)包屬性的標(biāo)準(zhǔn)差分布來判斷是否存在被攻擊的可能性。最后，進行仿真實驗，對比研究了該算法與其它算法之間的性能狀況。

1 網(wǎng)絡(luò)攻擊狀態(tài)檢測指標(biāo)

將HTTP協(xié)議中數(shù)據(jù)包看作遵循一定標(biāo)準(zhǔn)的字符串，具有k個通用屬性的數(shù)據(jù)域組成，令數(shù)據(jù)包Y＝［y1，y2，…，yk］，其中yk表示Data頭部，主要包括Host地址、源端IP地址、目的端IP地址等。對于n個數(shù)據(jù)包的樣本集合Z＝［Y1，Y2，…，Yn］，則可以表示為：

那么，這n個數(shù)據(jù)包第k個屬性可采用序列Zk＝［y1k，y2k，…，ynk］表示。令第k個屬性的離散度為β（Zk），則整個樣本集合的離散度β（Z）為：

λ越大意味著該數(shù)據(jù)包與標(biāo)準(zhǔn)樣本偏離越遠(yuǎn)，越有可能被攻擊篡改信息。

2 算法描述

具體算法DMPSO（Detection Method based of Particle Swarm Optimization）如下所述：

（1）在開始時刻初始化網(wǎng)絡(luò)參數(shù)，并確定粒子群規(guī)模n，產(chǎn)生粒子群的初始位置s（i，0）和初始速度v（i，0）。

（2）將待檢測某數(shù)據(jù)包Y＝［y1，y2，…，yk］視作粒子i，判斷當(dāng)前粒子i的標(biāo)準(zhǔn)差λ是否小于閾值λmax，如果不滿足則根據(jù)式（4）和式（5）所示的變異算子替換s（i，0），否則保持不變。

其中，s（max，t）和s（min，t）分別為粒子位置s（i，t）的邊界，φ為變異分布指數(shù)，rand（）為（0，1）之間的隨機數(shù)。

（3）按照式（5）所示的適應(yīng)度函數(shù)計算粒子i的適應(yīng)值f（λ），并將粒子i的最佳位置sopt確定為當(dāng)前位置，同時暫時令sopt為種群的最佳位置s。

（4）根據(jù)當(dāng)前最佳位置sopt，結(jié)合式（6）和式（7）更新粒子的位置和速度，

其中，η為狀態(tài)更新參數(shù)，η＞0。

（5）如果粒子i的標(biāo)準(zhǔn)差λ小于閾值λmax則跳轉(zhuǎn)到步驟（6），否則以s（i，t）作為初始點，采用變異算子計算的結(jié)果替換s（i，t），并重新計算其適應(yīng)度。

（6）判斷粒子i的適應(yīng)度是否優(yōu)于sopt的適應(yīng)度，如果是則令sopt為粒子i的適應(yīng)值。

（7）判斷粒子i的適應(yīng)度是否優(yōu)于s的適應(yīng)度，如果是則令s為粒子i的適應(yīng)值。

（8）輸出當(dāng)前粒子的標(biāo)準(zhǔn)差λ（i），并令i＝i＋1，跳轉(zhuǎn)到步驟（2）重復(fù)計算，直至獲得所有粒子標(biāo)準(zhǔn)差分布λ＝［λ（1），λ（2），…，λ（k）］，同時判斷每個λ（i）是否超出規(guī)定閾值，如果超出在存在被攻擊的可能性。

（9）算法結(jié)束。

3 仿真實驗

針對上述改進的DMPSO算法，本文利用OPNET和MATLAB進行仿真實驗來驗證其有效性。這里基于OPNET建立如圖1所示的仿真拓?fù)浣Y(jié)構(gòu)，其網(wǎng)絡(luò)參數(shù)設(shè)置為：每個數(shù)據(jù)包大小為512 b，鏈路帶寬為20 M，每個網(wǎng)絡(luò)節(jié)點緩沖區(qū)為1024 Kb，延時10 ms。其中，節(jié)點S作為數(shù)據(jù)源端（IP地址設(shè)為192.168.0.1），節(jié)點D作為數(shù)據(jù)接收端（IP地址設(shè)為192.168.0.100），節(jié)點f為攻擊源（IP地址設(shè)為192.168.0.2），不定期向網(wǎng)絡(luò)中發(fā)動攻擊（包括DoS、Probe、R2L和U2R等），其余為中轉(zhuǎn)節(jié)點（從節(jié)點a到節(jié)點g的IP地址分別設(shè)為192.168.0.3到192.168.0.9）。設(shè)置粒子群規(guī)模n＝100，變異分布指數(shù)φ＝0.5，狀態(tài)更新參數(shù)η＝2。令節(jié)點S處每秒發(fā)送1000個數(shù)據(jù)包到節(jié)點D，每個數(shù)據(jù)包Y＝［y1，y2，y3］，其中，y1表示數(shù)據(jù)包長度，y2表示數(shù)據(jù)包時間戳，y3表示數(shù)據(jù)包源端地址。在節(jié)點D處設(shè)置監(jiān)聽，收集從節(jié)點S發(fā)送的數(shù)據(jù)包并進行狀態(tài)分析，令節(jié)點f發(fā)動DoS攻擊。

將DMPSO算法、DMCM算法、文獻(xiàn)［10］提出的IHMM算法以及節(jié)點D處實際監(jiān)聽的結(jié)果進行對比，圖2顯示了其數(shù)據(jù)包長度檢測的情況。從圖2可以看出，DMPSO算法檢測的數(shù)據(jù)包長度狀態(tài)y1與節(jié)點D處實際監(jiān)聽結(jié)合比較接近，其次是DMCM算法。對檢測數(shù)據(jù)進行數(shù)據(jù)分析，DMPSO、DMCM、IHMM與實際結(jié)果的誤差分別為：3.62%、5.05%和8.28%。

其次，圖3給出了在上述仿真環(huán)境下，DMPSO、DMCM和IHMM這三種算法的數(shù)據(jù)包長度標(biāo)準(zhǔn)差λ變化情況。從圖3可以看出，在實驗進入平穩(wěn)過程后（仿真時間15 s后），DMPSO所對應(yīng)曲線的標(biāo)準(zhǔn)差小于其余兩種算法。并且從標(biāo)準(zhǔn)差的抖動情況來看，DMPSO也趨于穩(wěn)定，而IHMM對應(yīng)曲線的抖動較大。

表1給出了當(dāng)節(jié)點f分別發(fā)動DoS、Probe、R2L和U2R攻擊下，DMPSO、DMCM和IHMM算法的檢測成功率、漏報率以及誤報率對比情況。從表1可以看出，本文改進的DMPSO算法性能較DMCM和RETMMAD算法有了明顯的提高。

4 結(jié)束語

為了有效判斷網(wǎng)絡(luò)是否存在被攻擊現(xiàn)象，本文在以往研究的基礎(chǔ)上利用粒子群優(yōu)化算法提出了一種新的檢測算法DMPSO。首先該算法結(jié)合數(shù)據(jù)包屬性的離散度和標(biāo)準(zhǔn)差定義了數(shù)據(jù)包樣本判別指標(biāo)，同時基于粒子群優(yōu)化算法給出了其標(biāo)準(zhǔn)差分布的計算流程。最后，通過仿真實驗對比研究了該算法與DMCM算法、IHMM算法在不同攻擊種類下的性能狀況，結(jié)果發(fā)現(xiàn)DMPSO具有較好的適應(yīng)性。在后續(xù)研究中，可以考慮結(jié)合多種網(wǎng)絡(luò)環(huán)境來建立諸如DoS、Probe、R2L和U2R等各類攻擊的檢測方法，以此建立完善的評價體系結(jié)構(gòu)。

［1］Wang W,Daniels E.A graph based approach toward network forensics analysis［J］.ACM Transactions on Information and System Security,2008,12（1）：1-33.

［2］Claudno E C,Abaelouahab z,Teixeira M M.Management and integration of information in intrusion detection system：data integration system for IDS based multi-agent systems［C］//Proceeding of 2006 IEEE/W IC/ACM International Conferences on Web Intelligence and Intelligent Agent Technology Workshops,Hong Kong,December 18-22,2006：49-52.

［3］全亮亮,吳衛(wèi)東.基于支持向量機和貝葉斯分類的異常檢測模型［J］.計算機應(yīng)用,2012,32（6）：1632-1635.

［4］周東清,張海峰,張紹武,等.基于HMM的分布式拒絕服務(wù)攻擊檢測方法［J］.計算機研究與發(fā)展,2005, 42（9）：1594-1599.

［5］Yamille D V,Ganesh K V.Particle swarm optimization：basic concepts,variants and applications in power systems［J］.IEEE Transactions on Evolutionary Computation,2008,12（2）：171-195.

［6］Asanga R,Samna K H.Self-organizing hierarchical particle swarm optimizer w ith time-varying acceleration coefficients［J］.IEEE Transactions on Evolutionary Computation,2004,8（3）：240-255.

［7］師彪,李郁俠.基于改進粒子群-模糊神經(jīng)網(wǎng)絡(luò)的短期電力負(fù)荷預(yù)測［J］.系統(tǒng)工程理論與實踐,2010,30（1）：157-166.

［8］羅金炎.連續(xù)型粒子群優(yōu)化算法的均方收斂性分析［J］.電子學(xué)報,2012,40（7）：1364-1367.

［9］孫勇,章衛(wèi)國,章萌,等.基于改進粒子群算法的飛行控制器參數(shù)尋優(yōu)［J］.系統(tǒng)仿真學(xué)報,2010,22（5）：1222-1225.

［10］楊曉峰,孫明明,胡雪蕾,等.基于改進隱馬爾可夫模型的網(wǎng)絡(luò)攻擊檢測方法［J］.通信學(xué)報,2010,31（3）：95-101.

A New Detection Method of Network Attacks

ZHAO Pan，JIANG Yubo，QIU Ling（School of Computer Science，Sichuan University of Science＆Engineering，Zigong 643000，China）

In order to effectively determine the possibility of attacks for network data packets，a new detection algorithm DMPSO（Detection Method based of Particle Swarm Optimization）is proposed based previous studies.The state indicators are defined with the discreteness of packet characteristic in this algorithm，and the calculation process of standard deviation distribution is presented to judge the anomaly of packet by particle swarm optimization.Finally，a simulation is conducted. Compared to the performances of other algorithms，the results show that DMPSO has better adaptability.

cyber attack；detection；mutation operator；date packet；standard deviation；particle swarm optimization

TP393

A

1673-1549（2014）04-0021-04

10.11863／j.suse.2014.04.06

2014-05-04

四川省教育廳重點項目（13ZA0118）；人工智能四川省重點實驗室開放基金項目（2012RYY02）；四川理工學(xué)院培育項目（2012PY13）；企業(yè)信息化與物聯(lián)網(wǎng)檢測技術(shù)四川省高校重點實驗室項目（2013WYJ01）

趙攀（1976-），男，四川自貢人，副教授，碩士，主要從事計算機網(wǎng)絡(luò)通信與數(shù)據(jù)處理方面的研究，（E-mail）zhaopan827＠gmail.com