基于非平穩(wěn)信號時(shí)頻分析的網(wǎng)絡(luò)攻擊檢測算法

朱亞東 高翠芳

1(江蘇聯(lián)合職業(yè)技術(shù)學(xué)院信息中心 江蘇 南京 211135)2(江南大學(xué)理學(xué)院 江蘇 無錫 214122)

基于非平穩(wěn)信號時(shí)頻分析的網(wǎng)絡(luò)攻擊檢測算法

朱亞東1高翠芳2

1(江蘇聯(lián)合職業(yè)技術(shù)學(xué)院信息中心 江蘇 南京 211135)2(江南大學(xué)理學(xué)院 江蘇 無錫 214122)

在復(fù)雜網(wǎng)絡(luò)環(huán)境下，網(wǎng)絡(luò)攻擊特征信息通常表現(xiàn)為一組非平穩(wěn)寬帶信號，通過信號檢測方法實(shí)現(xiàn)網(wǎng)絡(luò)攻擊檢測，保證網(wǎng)絡(luò)安全。傳統(tǒng)方法采用傅里葉變換方法進(jìn)行網(wǎng)絡(luò)攻擊的非平穩(wěn)信號檢測，由于傅里葉變換的時(shí)變性會引起較大的包絡(luò)振蕩，檢測性能不好，提出一種基于非平穩(wěn)信號時(shí)頻分析的網(wǎng)絡(luò)攻擊檢測算法。構(gòu)建了復(fù)雜干擾環(huán)境下的網(wǎng)絡(luò)攻擊信號模型，提取網(wǎng)絡(luò)攻擊非平穩(wěn)寬帶信號的時(shí)頻特征。采用WVD-Hough時(shí)頻變換實(shí)現(xiàn)對網(wǎng)絡(luò)攻擊非平穩(wěn)寬帶信號的時(shí)頻聚集，采用混疊譜模糊度函數(shù)分析頻譜特征。得到網(wǎng)絡(luò)攻擊信號的瞬時(shí)頻率估計(jì)結(jié)果，設(shè)計(jì)匹配濾波算法進(jìn)行信號抗干擾設(shè)計(jì)，最后輸出檢測結(jié)果。仿真實(shí)驗(yàn)表明，采用該算法進(jìn)行網(wǎng)絡(luò)攻擊檢測，準(zhǔn)確檢測概率較高，檢測性能優(yōu)越。

網(wǎng)絡(luò)攻擊 信號檢測 時(shí)頻分析 頻率估計(jì)

0 引 言

隨著計(jì)算機(jī)和網(wǎng)絡(luò)信息服務(wù)的快速發(fā)展，計(jì)算機(jī)網(wǎng)絡(luò)安全問題受到了人們的極大關(guān)注，出現(xiàn)“陷門”、病毒、非法存取、拒絕服務(wù)和網(wǎng)絡(luò)資源非法占用等網(wǎng)絡(luò)安全行為，極大威脅著網(wǎng)絡(luò)管理者和用戶，導(dǎo)致用戶的資料泄露和網(wǎng)絡(luò)癱瘓。網(wǎng)絡(luò)安全問題猶如家庭的防火防盜問題一般重要，網(wǎng)絡(luò)安全從宏觀上說，包含了系統(tǒng)安全、信息傳播安全、網(wǎng)絡(luò)信息數(shù)據(jù)安全和信息內(nèi)容安全等各個(gè)方面，網(wǎng)絡(luò)攻擊對網(wǎng)絡(luò)安全帶來了極大的挑戰(zhàn)，網(wǎng)絡(luò)攻擊通過滲入威脅和植入威脅，攻擊和控制網(wǎng)絡(luò)用戶。因此，需要對網(wǎng)絡(luò)攻擊進(jìn)行主動積極的檢測，提高網(wǎng)絡(luò)安全的防范能力。在復(fù)雜網(wǎng)絡(luò)環(huán)境下，網(wǎng)絡(luò)攻擊特征信息通常表現(xiàn)為一組非平穩(wěn)寬帶信號，通過信號檢測方法實(shí)現(xiàn)網(wǎng)絡(luò)攻擊檢測，保證網(wǎng)絡(luò)安全。研究網(wǎng)絡(luò)攻擊的檢測算法具有重要意義，相關(guān)的算法研究受到人們的極大重視。

在傳統(tǒng)的網(wǎng)絡(luò)攻擊非平穩(wěn)寬帶信號處理中，人們分析和處理網(wǎng)絡(luò)攻擊非平穩(wěn)寬帶信號最常用的方法主要有傅立葉變換方法、統(tǒng)計(jì)信號分析方法、神經(jīng)網(wǎng)絡(luò)控制方法和信號時(shí)域或頻域的轉(zhuǎn)換方法等，其中傅立葉變換方法較為常用，通過傅立葉變換建立了網(wǎng)絡(luò)攻擊非平穩(wěn)寬帶信號時(shí)域與頻域之間變換的橋梁，實(shí)現(xiàn)對網(wǎng)絡(luò)攻擊信號的準(zhǔn)確檢測[1-3]。對此，相關(guān)的文獻(xiàn)也進(jìn)行了比較詳細(xì)的闡述，其中，文獻(xiàn)[4]提出一種基于分?jǐn)?shù)階傅里葉變換的網(wǎng)絡(luò)入侵檢測算法，將大數(shù)據(jù)環(huán)境下云計(jì)算網(wǎng)絡(luò)的入侵信號的幅頻特性轉(zhuǎn)換到分?jǐn)?shù)階傅里葉域進(jìn)行聚焦，實(shí)現(xiàn)網(wǎng)絡(luò)攻擊的檢測，但是該算法存在計(jì)算量大，檢測模型構(gòu)成復(fù)雜的問題，且抗干擾性能不好；文獻(xiàn)[5]提出一種基于希爾伯特變換HHT的網(wǎng)絡(luò)攻擊免疫檢測方法，構(gòu)建網(wǎng)絡(luò)入侵的主動防御系統(tǒng)，采用希爾伯特變換變換方法分析攻擊信號的單譜特征，進(jìn)行瞬時(shí)頻率估計(jì)，進(jìn)行網(wǎng)絡(luò)攻擊的非平穩(wěn)寬帶信號檢測，檢測性能得到一定的提高，但是該算法在信噪比低的環(huán)境下容易產(chǎn)生信息畸變，導(dǎo)致包絡(luò)振蕩，該方法采用傅里葉變換方法進(jìn)行網(wǎng)絡(luò)攻擊的非平穩(wěn)信號檢測，由于傅里葉變換的時(shí)變性會引起較大的包絡(luò)振蕩，檢測性能不好[6-8]。針對上述問題，本文提出一種基于非平穩(wěn)信號時(shí)頻分析的網(wǎng)絡(luò)攻擊檢測算法。首先構(gòu)建了復(fù)雜干擾環(huán)境下的網(wǎng)絡(luò)攻擊信號模型，提取網(wǎng)絡(luò)攻擊非平穩(wěn)寬帶信號的時(shí)頻特征，采用WVD-Hough這一改進(jìn)的時(shí)頻變換實(shí)現(xiàn)對網(wǎng)絡(luò)攻擊這類非平穩(wěn)寬帶信號的時(shí)頻聚集，輸出檢測結(jié)果。仿真實(shí)驗(yàn)表明，采用本文算法進(jìn)行網(wǎng)絡(luò)攻擊檢測，具有較好的優(yōu)越性。最后得出有效性結(jié)論。

1 網(wǎng)絡(luò)攻擊信號模型構(gòu)建和時(shí)頻特征提取

1.1 網(wǎng)絡(luò)攻擊信號模型構(gòu)建

在復(fù)雜網(wǎng)絡(luò)環(huán)境下，網(wǎng)絡(luò)攻擊特征信息通常表現(xiàn)為一組非平穩(wěn)寬帶信號，為了實(shí)現(xiàn)對網(wǎng)絡(luò)攻擊的檢測，需要首先進(jìn)行信號模型構(gòu)建。采用包絡(luò)延拓?cái)U(kuò)展方法，若網(wǎng)絡(luò)攻擊非平穩(wěn)寬帶信號的時(shí)間采樣{x(t1),x(t2),…,x(tn)}的聯(lián)合分布函數(shù)與{x(t1+τ),x(t2+τ),…,x(tn+τ)}的聯(lián)合分布函數(shù)具有極大相關(guān)性，那么，在時(shí)頻域中網(wǎng)絡(luò)攻擊信號的頻譜序列是一個(gè)三維連續(xù)自治系統(tǒng)，網(wǎng)絡(luò)攻擊非平穩(wěn)寬帶信號的系統(tǒng)函數(shù)表示為：

θ1(k+1)=θ1(k)-μRe[y(k)φ*×(k)]

(1)

式中，θ1(k)表示初始狀態(tài)向量，θ1(k+1)表示網(wǎng)絡(luò)攻擊非平穩(wěn)寬帶信號瞬時(shí)幅度，將其寫為極坐標(biāo)形式有：

(2)

其中，a(t)稱為包絡(luò)，φ(t)稱為瞬時(shí)相位，由于網(wǎng)絡(luò)攻擊非平穩(wěn)寬帶信號的實(shí)信號的頻譜為共軛對稱，攻擊信號幅度為A，網(wǎng)絡(luò)攻擊非平穩(wěn)寬帶信號頻譜正頻部分進(jìn)行自適應(yīng)解調(diào)，對輸入信號幅度調(diào)整系數(shù)為：

(3)

攻擊數(shù)據(jù)進(jìn)行這動態(tài)更新，采用Web防火墻對網(wǎng)絡(luò)攻擊特征進(jìn)行數(shù)據(jù)采樣和時(shí)間更新，得到網(wǎng)絡(luò)攻擊非平穩(wěn)寬帶信號z(t)的頻譜為：

(4)

上式說明，Z(f)可由S(f)通過定量遞歸分析得到，而H(f)為奇對稱的階躍式傳輸函數(shù)，為：

(5)

設(shè)有M個(gè)全方向性攻擊的鏈路動態(tài)攻擊信號，一個(gè)攻擊信號Ac和P個(gè)干擾信號以θ0,θ1,…,θP的角度進(jìn)行重構(gòu)收縮，計(jì)算時(shí)頻分布下的攻擊波束域的信號特征和干擾子空間[9]，對鏈路漏洞數(shù)據(jù)進(jìn)行雙曲調(diào)頻分解，得到接收到的信號模型為：

(6)

采用混疊譜模糊度函數(shù)分析頻譜特征，如果將ωk按照vk和ek的組成原則進(jìn)行雙曲調(diào)頻分解，得到網(wǎng)絡(luò)攻擊的瞬時(shí)頻率和群延遲特征分布為：

(7)

通常情況下，網(wǎng)絡(luò)攻擊信號是時(shí)變非平穩(wěn)的，在非平穩(wěn)時(shí)變網(wǎng)絡(luò)攻擊非平穩(wěn)寬帶信號分析中，瞬時(shí)物理量起著重要的作用，令q為多項(xiàng)式的階數(shù)，滿足的條件是：q≥p，利用Gabor函數(shù)的平均測度這一特征向量[10]，得到網(wǎng)絡(luò)攻擊非平穩(wěn)寬帶時(shí)變瞬時(shí)頻率估計(jì)為：

(8)

式中，φ(t)為均勻采樣的頻譜均值，ck為瞬時(shí)頻率的時(shí)間平均，τ為時(shí)間采樣步長(相當(dāng)于Δt)，bk是平均頻率。當(dāng)權(quán)系數(shù)滿足b0=0時(shí)，網(wǎng)絡(luò)攻擊非平穩(wěn)寬帶信號譜的平均頻率等于瞬時(shí)頻率的時(shí)間平均，構(gòu)建網(wǎng)絡(luò)攻擊信號的數(shù)學(xué)模型，為后續(xù)的網(wǎng)絡(luò)攻擊檢測提供信源基礎(chǔ)。

1.2 網(wǎng)絡(luò)攻擊非平穩(wěn)寬帶信號的時(shí)頻特征提取

(9)

在色噪聲背景中，采用雙線性Hough變換得到網(wǎng)絡(luò)攻擊的非平穩(wěn)寬帶鏈路層信息矢量為：

z(t)=s(t)+jx(t)

(10)

其中，將所有數(shù)據(jù)量合并得到一個(gè)總的數(shù)據(jù)流，進(jìn)行時(shí)頻對偶變化，計(jì)算網(wǎng)絡(luò)攻擊信號的時(shí)頻特征，得到瞬時(shí)頻率的估計(jì)為：

(11)

若網(wǎng)絡(luò)攻擊非平穩(wěn)寬帶信號分量的瞬時(shí)頻率有交點(diǎn)，采用雙線性Hough變換法分析頻譜特征，以時(shí)間坐標(biāo)軸的中點(diǎn)為中心，選取適當(dāng)?shù)泥徲颍玫焦粜蛄械念l譜畸變部分估計(jì)為：

(12)

對相干點(diǎn)積進(jìn)行功率累積，若網(wǎng)絡(luò)攻擊非平穩(wěn)寬帶信號瞬時(shí)頻率的交點(diǎn)在時(shí)頻平面的邊緣部分，時(shí)頻平面分離中把時(shí)間中點(diǎn)鄰域范圍內(nèi)的網(wǎng)絡(luò)攻擊非平穩(wěn)寬帶信號的時(shí)頻分類置零，通過任意一部分的瞬時(shí)頻率估計(jì)線性擬合整個(gè)網(wǎng)絡(luò)攻擊非平穩(wěn)寬帶信號的瞬時(shí)頻率估計(jì)值，得到網(wǎng)絡(luò)攻擊信號的瞬時(shí)頻率估計(jì)結(jié)果為：

(13)

通過上述處理，實(shí)現(xiàn)對網(wǎng)絡(luò)攻擊信號的時(shí)頻特征提取，以瞬時(shí)頻率估計(jì)結(jié)果作為時(shí)頻特征，進(jìn)行網(wǎng)絡(luò)攻擊檢測，時(shí)頻特征提取算法實(shí)現(xiàn)過程如圖1所示。

圖1 網(wǎng)絡(luò)攻擊信號的時(shí)頻特征提取瞬時(shí)頻率估計(jì)算法

2 檢測算法實(shí)現(xiàn)

在上述進(jìn)行信號模型構(gòu)建和網(wǎng)絡(luò)攻擊非平穩(wěn)寬帶信號的時(shí)頻特征提取的基礎(chǔ)上，進(jìn)行攻擊檢測算法改進(jìn)設(shè)計(jì)實(shí)現(xiàn)。分析可見，傳統(tǒng)方法采用傅里葉變換方法進(jìn)行網(wǎng)絡(luò)攻擊的非平穩(wěn)信號檢測，由于傅里葉變換的時(shí)變性會引起較大的包絡(luò)振蕩，檢測性能不好。為了克服傳統(tǒng)算法的弊端和缺陷，本文提出一種基于非平穩(wěn)信號時(shí)頻分析的網(wǎng)絡(luò)攻擊檢測算法。提取網(wǎng)絡(luò)攻擊非平穩(wěn)寬帶信號的時(shí)頻特征，采用WVD-Hough這一改進(jìn)的時(shí)頻變換實(shí)現(xiàn)對網(wǎng)絡(luò)攻擊非平穩(wěn)寬帶信號的時(shí)頻聚集，考慮一種簡單的時(shí)頻特征匹配濾波器傳輸函數(shù)：

(14)

假設(shè)網(wǎng)絡(luò)攻擊信號的干擾特征n(k)的實(shí)部nr(k)和虛部ni(k)分別為獨(dú)立的色噪聲，以此為前提進(jìn)行濾波檢測，去除攻擊信號的干擾成分，提高信號的純度，采用Hough變換單譜脈沖響應(yīng)檢測方法，匹配濾波頻率為：

(15)

當(dāng)a變化時(shí)，瞬時(shí)頻率估計(jì)也隨之變化；當(dāng)r→1時(shí)攻擊信號瞬時(shí)頻率估計(jì)的帶寬減小。由于噪聲本身及噪聲和網(wǎng)絡(luò)攻擊非平穩(wěn)寬帶信號之間產(chǎn)生的交叉項(xiàng)都很大，會對檢測結(jié)果產(chǎn)生較大影響，本文采用非平穩(wěn)信號時(shí)頻分析方法，為對于LFM網(wǎng)絡(luò)攻擊非平穩(wěn)寬帶信號來說，WVD的時(shí)頻聚集性最好[11]，在理想條件下，通過時(shí)頻特征聚焦，得到頻譜檢測概率表示為：

(16)

根據(jù)頻譜檢測信道衰落因子，設(shè)計(jì)色噪聲背景下的時(shí)頻特征的頻譜融合準(zhǔn)則，通過點(diǎn)的累積得到的網(wǎng)絡(luò)攻擊非平穩(wěn)寬帶信號的檢測結(jié)果，使檢測的攻擊信號特征分解多個(gè)窄帶信號，信號的頻譜分解為：

(17)

其中，SNRi表示信噪比參量，對于較小的瞬時(shí)頻率變化(|x-y|≤Δ)代價(jià)函數(shù)為0，采用本文方法去掉由于噪聲產(chǎn)生的包絡(luò)振蕩，采用Hough變換單譜脈沖響應(yīng)檢測方法，在相同的信噪比條件下，對網(wǎng)絡(luò)攻擊非平穩(wěn)寬帶信號分別進(jìn)行WVD-Viterbi、SPWVD-Viterbi時(shí)頻分析處理，把所有時(shí)刻點(diǎn)的WVD值WVD(n,ω)按聚焦強(qiáng)度的順序進(jìn)行重新排列，當(dāng)M為網(wǎng)絡(luò)攻擊非平穩(wěn)寬帶信號頻率點(diǎn)數(shù)，則f(x)的形式定義為：

f(WVD(n,ωj))=j-1

(18)

通過瞬時(shí)頻率估計(jì)計(jì)算傳輸信噪比分配可信度，非平穩(wěn)時(shí)頻特征的單譜脈沖響幅頻響應(yīng)的傳輸函數(shù)為：

(19)

確定每個(gè)攻擊時(shí)間點(diǎn)的所有頻率點(diǎn)，得到攻擊信號頻譜檢測虛警概率為：

(20)

經(jīng)過上述算法設(shè)計(jì)，通過k次分解后，實(shí)現(xiàn)對網(wǎng)絡(luò)攻擊信號的有效檢測，改進(jìn)算法的運(yùn)算流程如圖2所示。

圖2 改進(jìn)的WVD-Hough時(shí)頻分析攻擊檢測算法流程

3 仿真實(shí)驗(yàn)與性能分析

為了測試本文的網(wǎng)絡(luò)攻擊檢測算法在進(jìn)行網(wǎng)絡(luò)攻擊信號檢測中的性能，進(jìn)行仿真實(shí)驗(yàn)，采用了DARPA2014網(wǎng)絡(luò)病毒數(shù)據(jù)庫作為網(wǎng)絡(luò)攻擊的數(shù)據(jù)時(shí)間采樣樣本，攻擊信號的采樣基于開源D-TIG 2.4.4發(fā)生器進(jìn)行信號采集。仿真參數(shù)設(shè)置如下：LFM網(wǎng)絡(luò)攻擊非平穩(wěn)寬帶信號的參數(shù)分別為：歸一化初始頻率f1=0.3，歸一化終止頻率f2=0.05。在復(fù)雜環(huán)境干擾下，進(jìn)行網(wǎng)絡(luò)攻擊檢測實(shí)驗(yàn)仿真，假設(shè)干擾背景為色噪聲背景，SNR分別為SNR=-5 dB和SNR=-8 dB，在上述兩個(gè)干擾強(qiáng)度條件下，對網(wǎng)絡(luò)攻擊非平穩(wěn)寬帶信號進(jìn)行本文設(shè)計(jì)的攻擊檢測算法處理，網(wǎng)絡(luò)數(shù)據(jù)的正常樣本數(shù)選擇為1024，網(wǎng)絡(luò)數(shù)據(jù)調(diào)度次數(shù)為1267。基于上述仿真環(huán)境和參數(shù)設(shè)定，首先進(jìn)行網(wǎng)絡(luò)攻擊信號的時(shí)間序列信息模型構(gòu)建，得到攻擊信號樣本的時(shí)間序列波形如圖3所示。

圖3 攻擊信號樣本的時(shí)間序列波形

從圖3可見，原始的攻擊信號樣本受到噪聲背景的干擾，難以有效檢測和識別。采用傳統(tǒng)的防火墻無法進(jìn)行有效的防御，造成病毒入侵。采用本文方法進(jìn)行時(shí)頻分析，提取網(wǎng)絡(luò)攻擊非平穩(wěn)寬帶信號的時(shí)頻特征，采用WVD-Hough這一典型的時(shí)頻變換實(shí)現(xiàn)對網(wǎng)絡(luò)攻擊非平穩(wěn)寬帶信號的時(shí)頻聚集，得到采用本文設(shè)計(jì)的WVD-Hough時(shí)頻分析頻譜聚焦結(jié)果和傳統(tǒng)的時(shí)頻譜聚焦結(jié)果如圖4所示。從圖可見，采用本文算法，能有效實(shí)現(xiàn)對網(wǎng)絡(luò)攻擊信號的時(shí)頻聚集，去除背景干擾，實(shí)現(xiàn)對網(wǎng)絡(luò)攻擊非平穩(wěn)信號的有效檢測。

(a) 傳統(tǒng)方法

(b) 本文方法圖4 網(wǎng)絡(luò)攻擊信號的時(shí)頻分析聚焦性能對比

不同方法下對網(wǎng)絡(luò)攻擊的檢測性能，采用本文方法和傳統(tǒng)方法，在不同信噪比下采用2000次Monte Carlo實(shí)驗(yàn)。

表1和表2中的數(shù)據(jù)詳細(xì)描述了傳統(tǒng)DOA方法和本文提出的方法在網(wǎng)絡(luò)攻擊檢測性能上的對比，其中表1中描述的是SNR=-5 dB情況下的實(shí)驗(yàn)數(shù)據(jù)，表2中描述的是SNR=-8 dB情況下的實(shí)驗(yàn)數(shù)據(jù)。

表1 SNR=-5 dB檢測性能比較

表2 SNR=-8 dB檢測性能比較

通過表1和表2中數(shù)據(jù)可以清晰看出，無論是SNR=-5 dB，還是SNR=-8 dB情況下，本文提出的檢測方法在網(wǎng)絡(luò)攻擊檢測中，相比傳統(tǒng)DOA方法，顯著提高了攻擊信號檢測的準(zhǔn)確率，有效降低了誤檢率。說明該方法能夠有效地識別和檢測到網(wǎng)絡(luò)攻擊中高度隱蔽的攻擊信號，檢測性能更加穩(wěn)定，很好地提高了攻擊信號檢測性能。

4 結(jié) 語

網(wǎng)絡(luò)安全事關(guān)重大，需要對網(wǎng)絡(luò)攻擊進(jìn)行主動積極的檢測，提高網(wǎng)絡(luò)安全的防范能力。本文提出一種基于非平穩(wěn)信號時(shí)頻分析的網(wǎng)絡(luò)攻擊檢測算法，首先構(gòu)建了復(fù)雜干擾環(huán)境下的網(wǎng)絡(luò)攻擊信號模型，提取網(wǎng)絡(luò)攻擊非平穩(wěn)寬帶信號的時(shí)頻特征，采用WVD-Hough這一改進(jìn)的時(shí)頻變換實(shí)現(xiàn)對網(wǎng)絡(luò)攻擊非平穩(wěn)寬帶信號的時(shí)頻聚集，在檢測終端輸出檢測結(jié)果。仿真實(shí)驗(yàn)表明，采用本文算法進(jìn)行網(wǎng)絡(luò)攻擊檢測，具有較好的檢測性能，準(zhǔn)確檢測概率較高，展示了較好的應(yīng)用價(jià)值。

[1] 王進(jìn),陽小龍,隆克平.基于大偏差統(tǒng)計(jì)模型的Http-Flood DDoS檢測機(jī)制及性能分析[J].軟件學(xué)報(bào),2012,23(5):1272-1280.

[2] 張永錚,肖軍,云曉春,等.DDoS攻擊檢測和控制[J].軟件學(xué)報(bào),2012,23(8):2058-2072.

[3] 王睿.一種基于回溯的Web上應(yīng)用層DDOS檢測防范機(jī)制[J].計(jì)算機(jī)科學(xué),2013,40(11A):175-177.

[4] 夏秦，王志文，盧柯.入侵檢測系統(tǒng)利用信息熵檢測網(wǎng)絡(luò)攻擊的方法[J].西安交通大學(xué)學(xué)報(bào),2013,47(2):14-19,46.

[5] 章武媚,陳慶章.引入偏移量遞階控制的網(wǎng)絡(luò)入侵HHT檢測算法[J].計(jì)算機(jī)科學(xué),2014,41(12):107-111.

[6] 周華,周海軍,馬建鋒.基于博弈論的入侵容忍系統(tǒng)安全性分析模型[J].電子與信息學(xué)報(bào),2013,35(8):1933-1939.

[7] 陳卓,譚志歡.無線傳感器網(wǎng)絡(luò)中基于路徑序列檢測的安全機(jī)制[J].計(jì)算機(jī)應(yīng)用,2015,35(3):732-735,740.

[8] Mishra B K,Ansari G M.Differential epidemic model of virus and worms in computer network[J].International Journal of Network Security,2012,14(3):149-155.

[9] 代偉,劉智,劉益和.基于地址完整性檢查的函數(shù)指針攻擊檢測[J].計(jì)算機(jī)應(yīng)用,2015,35(2):424-429.

[10] 王秀利,王永吉.基于命令緊密度的用戶偽裝入侵檢測方法[J].電子學(xué)報(bào),2014,42(6):1225-1229.

[11] 侯佳音，史淳樵.網(wǎng)絡(luò)信息安全問題研究及防護(hù)策略設(shè)計(jì)與研究[J].電子設(shè)計(jì)工程,2015,23(22):158-160,164.

NETWORK ATTACK DETECTION ALGORITHM BASED ONTIME-FREQUENCY ANALYSIS OF NON-STATIONARY SIGNAL

Zhu Yadong1Gao Cuifang2

1(InformationCenter,JiangsuUnionTechnicalInstitute，Nanjing211135,Jiangsu,China)2(SchoolofScience,JiangnanUniversity，Wuxi214122,Jiangsu，China)

In complex network environment,the network attack characteristic information is usually expressed as a set of non-stationary broadband signal,which guarantees the network security through the signal detection method to achieve the network attack detection.In the traditional method,the Fourier transform method is used to detect the non-stationary signal of the network attack,and the detection performance is not good because of the large envelope oscillation caused by Fourier transform.Thus,a network attack detection algorithm based on the time-frequency analysis of non-stationary signal is proposed.A network attack signal model in complex interference environment is constructed to extract the time-frequency characteristics when network attacks non stationary wideband signal,adopting the WVD-Hough transform frequency to realize the time-frequency gathering when network attack non stationary wideband signal and using aliasing ambiguity spectrum function to analyze spectrum feature to get the instantaneous frequency estimation results of network attack signal and design match filtering algorithm for anti-jamming design of the signal and the final output test results.Simulation experiments show that the algorithm is used to detect the network attacks,the accuracy of the detection is higher and the detection performance is superior.

Network attack Signal detection Time frequency analysis Frequency estimation

2015-10-26。國家自然科學(xué)基金青年

61402202)。朱亞東，副教授，主研領(lǐng)域：計(jì)算機(jī)網(wǎng)絡(luò)，信息安全。高翠芳,副教授。

TP311.52

A

10.3969/j.issn.1000-386x.2017.03.048