基于非平穩信號時頻分析的網絡攻擊檢測算法

朱亞東 高翠芳

1(江蘇聯合職業技術學院信息中心 江蘇 南京 211135)2(江南大學理學院 江蘇 無錫 214122)

基于非平穩信號時頻分析的網絡攻擊檢測算法

朱亞東1高翠芳2

1(江蘇聯合職業技術學院信息中心 江蘇 南京 211135)2(江南大學理學院 江蘇 無錫 214122)

在復雜網絡環境下，網絡攻擊特征信息通常表現為一組非平穩寬帶信號，通過信號檢測方法實現網絡攻擊檢測，保證網絡安全。傳統方法采用傅里葉變換方法進行網絡攻擊的非平穩信號檢測，由于傅里葉變換的時變性會引起較大的包絡振蕩，檢測性能不好，提出一種基于非平穩信號時頻分析的網絡攻擊檢測算法。構建了復雜干擾環境下的網絡攻擊信號模型，提取網絡攻擊非平穩寬帶信號的時頻特征。采用WVD-Hough時頻變換實現對網絡攻擊非平穩寬帶信號的時頻聚集，采用混疊譜模糊度函數分析頻譜特征。得到網絡攻擊信號的瞬時頻率估計結果，設計匹配濾波算法進行信號抗干擾設計，最后輸出檢測結果。仿真實驗表明，采用該算法進行網絡攻擊檢測，準確檢測概率較高，檢測性能優越。

網絡攻擊 信號檢測 時頻分析 頻率估計

0 引 言

隨著計算機和網絡信息服務的快速發展，計算機網絡安全問題受到了人們的極大關注，出現“陷門”、病毒、非法存取、拒絕服務和網絡資源非法占用等網絡安全行為，極大威脅著網絡管理者和用戶，導致用戶的資料泄露和網絡癱瘓。網絡安全問題猶如家庭的防火防盜問題一般重要，網絡安全從宏觀上說，包含了系統安全、信息傳播安全、網絡信息數據安全和信息內容安全等各個方面，網絡攻擊對網絡安全帶來了極大的挑戰，網絡攻擊通過滲入威脅和植入威脅，攻擊和控制網絡用戶。因此，需要對網絡攻擊進行主動積極的檢測，提高網絡安全的防范能力。在復雜網絡環境下，網絡攻擊特征信息通常表現為一組非平穩寬帶信號，通過信號檢測方法實現網絡攻擊檢測，保證網絡安全。研究網絡攻擊的檢測算法具有重要意義，相關的算法研究受到人們的極大重視。

在傳統的網絡攻擊非平穩寬帶信號處理中，人們分析和處理網絡攻擊非平穩寬帶信號最常用的方法主要有傅立葉變換方法、統計信號分析方法、神經網絡控制方法和信號時域或頻域的轉換方法等，其中傅立葉變換方法較為常用，通過傅立葉變換建立了網絡攻擊非平穩寬帶信號時域與頻域之間變換的橋梁，實現對網絡攻擊信號的準確檢測[1-3]。對此，相關的文獻也進行了比較詳細的闡述，其中，文獻[4]提出一種基于分數階傅里葉變換的網絡入侵檢測算法，將大數據環境下云計算網絡的入侵信號的幅頻特性轉換到分數階傅里葉域進行聚焦，實現網絡攻擊的檢測，但是該算法存在計算量大，檢測模型構成復雜的問題，且抗干擾性能不好；文獻[5]提出一種基于希爾伯特變換HHT的網絡攻擊免疫檢測方法，構建網絡入侵的主動防御系統，采用希爾伯特變換變換方法分析攻擊信號的單譜特征，進行瞬時頻率估計，進行網絡攻擊的非平穩寬帶信號檢測，檢測性能得到一定的提高，但是該算法在信噪比低的環境下容易產生信息畸變，導致包絡振蕩，該方法采用傅里葉變換方法進行網絡攻擊的非平穩信號檢測，由于傅里葉變換的時變性會引起較大的包絡振蕩，檢測性能不好[6-8]。針對上述問題，本文提出一種基于非平穩信號時頻分析的網絡攻擊檢測算法。首先構建了復雜干擾環境下的網絡攻擊信號模型，提取網絡攻擊非平穩寬帶信號的時頻特征，采用WVD-Hough這一改進的時頻變換實現對網絡攻擊這類非平穩寬帶信號的時頻聚集，輸出檢測結果。仿真實驗表明，采用本文算法進行網絡攻擊檢測，具有較好的優越性。最后得出有效性結論。

1 網絡攻擊信號模型構建和時頻特征提取

1.1 網絡攻擊信號模型構建

在復雜網絡環境下，網絡攻擊特征信息通常表現為一組非平穩寬帶信號，為了實現對網絡攻擊的檢測，需要首先進行信號模型構建。采用包絡延拓擴展方法，若網絡攻擊非平穩寬帶信號的時間采樣{x(t1),x(t2),…,x(tn)}的聯合分布函數與{x(t1+τ),x(t2+τ),…,x(tn+τ)}的聯合分布函數具有極大相關性，那么，在時頻域中網絡攻擊信號的頻譜序列是一個三維連續自治系統，網絡攻擊非平穩寬帶信號的系統函數表示為：

θ1(k+1)=θ1(k)-μRe[y(k)φ*×(k)]

(1)

式中，θ1(k)表示初始狀態向量，θ1(k+1)表示網絡攻擊非平穩寬帶信號瞬時幅度，將其寫為極坐標形式有：

(2)

其中，a(t)稱為包絡，φ(t)稱為瞬時相位，由于網絡攻擊非平穩寬帶信號的實信號的頻譜為共軛對稱，攻擊信號幅度為A，網絡攻擊非平穩寬帶信號頻譜正頻部分進行自適應解調，對輸入信號幅度調整系數為：

(3)

攻擊數據進行這動態更新，采用Web防火墻對網絡攻擊特征進行數據采樣和時間更新，得到網絡攻擊非平穩寬帶信號z(t)的頻譜為：

(4)

上式說明，Z(f)可由S(f)通過定量遞歸分析得到，而H(f)為奇對稱的階躍式傳輸函數，為：

(5)

設有M個全方向性攻擊的鏈路動態攻擊信號，一個攻擊信號Ac和P個干擾信號以θ0,θ1,…,θP的角度進行重構收縮，計算時頻分布下的攻擊波束域的信號特征和干擾子空間[9]，對鏈路漏洞數據進行雙曲調頻分解，得到接收到的信號模型為：

(6)

采用混疊譜模糊度函數分析頻譜特征，如果將ωk按照vk和ek的組成原則進行雙曲調頻分解，得到網絡攻擊的瞬時頻率和群延遲特征分布為：

(7)

通常情況下，網絡攻擊信號是時變非平穩的，在非平穩時變網絡攻擊非平穩寬帶信號分析中，瞬時物理量起著重要的作用，令q為多項式的階數，滿足的條件是：q≥p，利用Gabor函數的平均測度這一特征向量[10]，得到網絡攻擊非平穩寬帶時變瞬時頻率估計為：

(8)

式中，φ(t)為均勻采樣的頻譜均值，ck為瞬時頻率的時間平均，τ為時間采樣步長(相當于Δt)，bk是平均頻率。當權系數滿足b0=0時，網絡攻擊非平穩寬帶信號譜的平均頻率等于瞬時頻率的時間平均，構建網絡攻擊信號的數學模型，為后續的網絡攻擊檢測提供信源基礎。

1.2 網絡攻擊非平穩寬帶信號的時頻特征提取

(9)

在色噪聲背景中，采用雙線性Hough變換得到網絡攻擊的非平穩寬帶鏈路層信息矢量為：

z(t)=s(t)+jx(t)

(10)

其中，將所有數據量合并得到一個總的數據流，進行時頻對偶變化，計算網絡攻擊信號的時頻特征，得到瞬時頻率的估計為：

(11)

若網絡攻擊非平穩寬帶信號分量的瞬時頻率有交點，采用雙線性Hough變換法分析頻譜特征，以時間坐標軸的中點為中心，選取適當的鄰域，得到攻擊序列的頻譜畸變部分估計為：

(12)

對相干點積進行功率累積，若網絡攻擊非平穩寬帶信號瞬時頻率的交點在時頻平面的邊緣部分，時頻平面分離中把時間中點鄰域范圍內的網絡攻擊非平穩寬帶信號的時頻分類置零，通過任意一部分的瞬時頻率估計線性擬合整個網絡攻擊非平穩寬帶信號的瞬時頻率估計值，得到網絡攻擊信號的瞬時頻率估計結果為：

(13)

通過上述處理，實現對網絡攻擊信號的時頻特征提取，以瞬時頻率估計結果作為時頻特征，進行網絡攻擊檢測，時頻特征提取算法實現過程如圖1所示。

圖1 網絡攻擊信號的時頻特征提取瞬時頻率估計算法

2 檢測算法實現

在上述進行信號模型構建和網絡攻擊非平穩寬帶信號的時頻特征提取的基礎上，進行攻擊檢測算法改進設計實現。分析可見，傳統方法采用傅里葉變換方法進行網絡攻擊的非平穩信號檢測，由于傅里葉變換的時變性會引起較大的包絡振蕩，檢測性能不好。為了克服傳統算法的弊端和缺陷，本文提出一種基于非平穩信號時頻分析的網絡攻擊檢測算法。提取網絡攻擊非平穩寬帶信號的時頻特征，采用WVD-Hough這一改進的時頻變換實現對網絡攻擊非平穩寬帶信號的時頻聚集，考慮一種簡單的時頻特征匹配濾波器傳輸函數：

(14)

假設網絡攻擊信號的干擾特征n(k)的實部nr(k)和虛部ni(k)分別為獨立的色噪聲，以此為前提進行濾波檢測，去除攻擊信號的干擾成分，提高信號的純度，采用Hough變換單譜脈沖響應檢測方法，匹配濾波頻率為：

(15)

當a變化時，瞬時頻率估計也隨之變化；當r→1時攻擊信號瞬時頻率估計的帶寬減小。由于噪聲本身及噪聲和網絡攻擊非平穩寬帶信號之間產生的交叉項都很大，會對檢測結果產生較大影響，本文采用非平穩信號時頻分析方法，為對于LFM網絡攻擊非平穩寬帶信號來說，WVD的時頻聚集性最好[11]，在理想條件下，通過時頻特征聚焦，得到頻譜檢測概率表示為：

(16)

根據頻譜檢測信道衰落因子，設計色噪聲背景下的時頻特征的頻譜融合準則，通過點的累積得到的網絡攻擊非平穩寬帶信號的檢測結果，使檢測的攻擊信號特征分解多個窄帶信號，信號的頻譜分解為：

(17)

其中，SNRi表示信噪比參量，對于較小的瞬時頻率變化(|x-y|≤Δ)代價函數為0，采用本文方法去掉由于噪聲產生的包絡振蕩，采用Hough變換單譜脈沖響應檢測方法，在相同的信噪比條件下，對網絡攻擊非平穩寬帶信號分別進行WVD-Viterbi、SPWVD-Viterbi時頻分析處理，把所有時刻點的WVD值WVD(n,ω)按聚焦強度的順序進行重新排列，當M為網絡攻擊非平穩寬帶信號頻率點數，則f(x)的形式定義為：

f(WVD(n,ωj))=j-1

(18)

通過瞬時頻率估計計算傳輸信噪比分配可信度，非平穩時頻特征的單譜脈沖響幅頻響應的傳輸函數為：

(19)

確定每個攻擊時間點的所有頻率點，得到攻擊信號頻譜檢測虛警概率為：

(20)

經過上述算法設計，通過k次分解后，實現對網絡攻擊信號的有效檢測，改進算法的運算流程如圖2所示。

圖2 改進的WVD-Hough時頻分析攻擊檢測算法流程

3 仿真實驗與性能分析

為了測試本文的網絡攻擊檢測算法在進行網絡攻擊信號檢測中的性能，進行仿真實驗，采用了DARPA2014網絡病毒數據庫作為網絡攻擊的數據時間采樣樣本，攻擊信號的采樣基于開源D-TIG 2.4.4發生器進行信號采集。仿真參數設置如下：LFM網絡攻擊非平穩寬帶信號的參數分別為：歸一化初始頻率f1=0.3，歸一化終止頻率f2=0.05。在復雜環境干擾下，進行網絡攻擊檢測實驗仿真，假設干擾背景為色噪聲背景，SNR分別為SNR=-5 dB和SNR=-8 dB，在上述兩個干擾強度條件下，對網絡攻擊非平穩寬帶信號進行本文設計的攻擊檢測算法處理，網絡數據的正常樣本數選擇為1024，網絡數據調度次數為1267?；谏鲜龇抡姝h境和參數設定，首先進行網絡攻擊信號的時間序列信息模型構建，得到攻擊信號樣本的時間序列波形如圖3所示。

圖3 攻擊信號樣本的時間序列波形

從圖3可見，原始的攻擊信號樣本受到噪聲背景的干擾，難以有效檢測和識別。采用傳統的防火墻無法進行有效的防御，造成病毒入侵。采用本文方法進行時頻分析，提取網絡攻擊非平穩寬帶信號的時頻特征，采用WVD-Hough這一典型的時頻變換實現對網絡攻擊非平穩寬帶信號的時頻聚集，得到采用本文設計的WVD-Hough時頻分析頻譜聚焦結果和傳統的時頻譜聚焦結果如圖4所示。從圖可見，采用本文算法，能有效實現對網絡攻擊信號的時頻聚集，去除背景干擾，實現對網絡攻擊非平穩信號的有效檢測。

(a) 傳統方法

(b) 本文方法圖4 網絡攻擊信號的時頻分析聚焦性能對比

不同方法下對網絡攻擊的檢測性能，采用本文方法和傳統方法，在不同信噪比下采用2000次Monte Carlo實驗。

表1和表2中的數據詳細描述了傳統DOA方法和本文提出的方法在網絡攻擊檢測性能上的對比，其中表1中描述的是SNR=-5 dB情況下的實驗數據，表2中描述的是SNR=-8 dB情況下的實驗數據。

表1 SNR=-5 dB檢測性能比較

表2 SNR=-8 dB檢測性能比較

通過表1和表2中數據可以清晰看出，無論是SNR=-5 dB，還是SNR=-8 dB情況下，本文提出的檢測方法在網絡攻擊檢測中，相比傳統DOA方法，顯著提高了攻擊信號檢測的準確率，有效降低了誤檢率。說明該方法能夠有效地識別和檢測到網絡攻擊中高度隱蔽的攻擊信號，檢測性能更加穩定，很好地提高了攻擊信號檢測性能。

4 結 語

網絡安全事關重大，需要對網絡攻擊進行主動積極的檢測，提高網絡安全的防范能力。本文提出一種基于非平穩信號時頻分析的網絡攻擊檢測算法，首先構建了復雜干擾環境下的網絡攻擊信號模型，提取網絡攻擊非平穩寬帶信號的時頻特征，采用WVD-Hough這一改進的時頻變換實現對網絡攻擊非平穩寬帶信號的時頻聚集，在檢測終端輸出檢測結果。仿真實驗表明，采用本文算法進行網絡攻擊檢測，具有較好的檢測性能，準確檢測概率較高，展示了較好的應用價值。

[1] 王進,陽小龍,隆克平.基于大偏差統計模型的Http-Flood DDoS檢測機制及性能分析[J].軟件學報,2012,23(5):1272-1280.

[2] 張永錚,肖軍,云曉春,等.DDoS攻擊檢測和控制[J].軟件學報,2012,23(8):2058-2072.

[3] 王睿.一種基于回溯的Web上應用層DDOS檢測防范機制[J].計算機科學,2013,40(11A):175-177.

[4] 夏秦，王志文，盧柯.入侵檢測系統利用信息熵檢測網絡攻擊的方法[J].西安交通大學學報,2013,47(2):14-19,46.

[5] 章武媚,陳慶章.引入偏移量遞階控制的網絡入侵HHT檢測算法[J].計算機科學,2014,41(12):107-111.

[6] 周華,周海軍,馬建鋒.基于博弈論的入侵容忍系統安全性分析模型[J].電子與信息學報,2013,35(8):1933-1939.

[7] 陳卓,譚志歡.無線傳感器網絡中基于路徑序列檢測的安全機制[J].計算機應用,2015,35(3):732-735,740.

[8] Mishra B K,Ansari G M.Differential epidemic model of virus and worms in computer network[J].International Journal of Network Security,2012,14(3):149-155.

[9] 代偉,劉智,劉益和.基于地址完整性檢查的函數指針攻擊檢測[J].計算機應用,2015,35(2):424-429.

[10] 王秀利,王永吉.基于命令緊密度的用戶偽裝入侵檢測方法[J].電子學報,2014,42(6):1225-1229.

[11] 侯佳音，史淳樵.網絡信息安全問題研究及防護策略設計與研究[J].電子設計工程,2015,23(22):158-160,164.

NETWORK ATTACK DETECTION ALGORITHM BASED ONTIME-FREQUENCY ANALYSIS OF NON-STATIONARY SIGNAL

Zhu Yadong1Gao Cuifang2

1(InformationCenter,JiangsuUnionTechnicalInstitute，Nanjing211135,Jiangsu,China)2(SchoolofScience,JiangnanUniversity，Wuxi214122,Jiangsu，China)

In complex network environment,the network attack characteristic information is usually expressed as a set of non-stationary broadband signal,which guarantees the network security through the signal detection method to achieve the network attack detection.In the traditional method,the Fourier transform method is used to detect the non-stationary signal of the network attack,and the detection performance is not good because of the large envelope oscillation caused by Fourier transform.Thus,a network attack detection algorithm based on the time-frequency analysis of non-stationary signal is proposed.A network attack signal model in complex interference environment is constructed to extract the time-frequency characteristics when network attacks non stationary wideband signal,adopting the WVD-Hough transform frequency to realize the time-frequency gathering when network attack non stationary wideband signal and using aliasing ambiguity spectrum function to analyze spectrum feature to get the instantaneous frequency estimation results of network attack signal and design match filtering algorithm for anti-jamming design of the signal and the final output test results.Simulation experiments show that the algorithm is used to detect the network attacks,the accuracy of the detection is higher and the detection performance is superior.

Network attack Signal detection Time frequency analysis Frequency estimation

2015-10-26。國家自然科學基金青年

61402202)。朱亞東，副教授，主研領域：計算機網絡，信息安全。高翠芳,副教授。

TP311.52

A

10.3969/j.issn.1000-386x.2017.03.048