基于非平穩(wěn)信號時頻分析的網(wǎng)絡攻擊檢測算法

朱亞東 高翠芳

1(江蘇聯(lián)合職業(yè)技術學院信息中心 江蘇 南京 211135)2(江南大學理學院 江蘇 無錫 214122)

基于非平穩(wěn)信號時頻分析的網(wǎng)絡攻擊檢測算法

朱亞東1高翠芳2

1(江蘇聯(lián)合職業(yè)技術學院信息中心 江蘇 南京 211135)2(江南大學理學院 江蘇 無錫 214122)

在復雜網(wǎng)絡環(huán)境下，網(wǎng)絡攻擊特征信息通常表現(xiàn)為一組非平穩(wěn)寬帶信號，通過信號檢測方法實現(xiàn)網(wǎng)絡攻擊檢測，保證網(wǎng)絡安全。傳統(tǒng)方法采用傅里葉變換方法進行網(wǎng)絡攻擊的非平穩(wěn)信號檢測，由于傅里葉變換的時變性會引起較大的包絡振蕩，檢測性能不好，提出一種基于非平穩(wěn)信號時頻分析的網(wǎng)絡攻擊檢測算法。構建了復雜干擾環(huán)境下的網(wǎng)絡攻擊信號模型，提取網(wǎng)絡攻擊非平穩(wěn)寬帶信號的時頻特征。采用WVD-Hough時頻變換實現(xiàn)對網(wǎng)絡攻擊非平穩(wěn)寬帶信號的時頻聚集，采用混疊譜模糊度函數(shù)分析頻譜特征。得到網(wǎng)絡攻擊信號的瞬時頻率估計結果，設計匹配濾波算法進行信號抗干擾設計，最后輸出檢測結果。仿真實驗表明，采用該算法進行網(wǎng)絡攻擊檢測，準確檢測概率較高，檢測性能優(yōu)越。

網(wǎng)絡攻擊 信號檢測 時頻分析 頻率估計

0 引 言

隨著計算機和網(wǎng)絡信息服務的快速發(fā)展，計算機網(wǎng)絡安全問題受到了人們的極大關注，出現(xiàn)“陷門”、病毒、非法存取、拒絕服務和網(wǎng)絡資源非法占用等網(wǎng)絡安全行為，極大威脅著網(wǎng)絡管理者和用戶，導致用戶的資料泄露和網(wǎng)絡癱瘓。網(wǎng)絡安全問題猶如家庭的防火防盜問題一般重要，網(wǎng)絡安全從宏觀上說，包含了系統(tǒng)安全、信息傳播安全、網(wǎng)絡信息數(shù)據(jù)安全和信息內(nèi)容安全等各個方面，網(wǎng)絡攻擊對網(wǎng)絡安全帶來了極大的挑戰(zhàn)，網(wǎng)絡攻擊通過滲入威脅和植入威脅，攻擊和控制網(wǎng)絡用戶。因此，需要對網(wǎng)絡攻擊進行主動積極的檢測，提高網(wǎng)絡安全的防范能力。在復雜網(wǎng)絡環(huán)境下，網(wǎng)絡攻擊特征信息通常表現(xiàn)為一組非平穩(wěn)寬帶信號，通過信號檢測方法實現(xiàn)網(wǎng)絡攻擊檢測，保證網(wǎng)絡安全。研究網(wǎng)絡攻擊的檢測算法具有重要意義，相關的算法研究受到人們的極大重視。

在傳統(tǒng)的網(wǎng)絡攻擊非平穩(wěn)寬帶信號處理中，人們分析和處理網(wǎng)絡攻擊非平穩(wěn)寬帶信號最常用的方法主要有傅立葉變換方法、統(tǒng)計信號分析方法、神經(jīng)網(wǎng)絡控制方法和信號時域或頻域的轉換方法等，其中傅立葉變換方法較為常用，通過傅立葉變換建立了網(wǎng)絡攻擊非平穩(wěn)寬帶信號時域與頻域之間變換的橋梁，實現(xiàn)對網(wǎng)絡攻擊信號的準確檢測[1-3]。對此，相關的文獻也進行了比較詳細的闡述，其中，文獻[4]提出一種基于分數(shù)階傅里葉變換的網(wǎng)絡入侵檢測算法，將大數(shù)據(jù)環(huán)境下云計算網(wǎng)絡的入侵信號的幅頻特性轉換到分數(shù)階傅里葉域進行聚焦，實現(xiàn)網(wǎng)絡攻擊的檢測，但是該算法存在計算量大，檢測模型構成復雜的問題，且抗干擾性能不好；文獻[5]提出一種基于希爾伯特變換HHT的網(wǎng)絡攻擊免疫檢測方法，構建網(wǎng)絡入侵的主動防御系統(tǒng)，采用希爾伯特變換變換方法分析攻擊信號的單譜特征，進行瞬時頻率估計，進行網(wǎng)絡攻擊的非平穩(wěn)寬帶信號檢測，檢測性能得到一定的提高，但是該算法在信噪比低的環(huán)境下容易產(chǎn)生信息畸變，導致包絡振蕩，該方法采用傅里葉變換方法進行網(wǎng)絡攻擊的非平穩(wěn)信號檢測，由于傅里葉變換的時變性會引起較大的包絡振蕩，檢測性能不好[6-8]。針對上述問題，本文提出一種基于非平穩(wěn)信號時頻分析的網(wǎng)絡攻擊檢測算法。首先構建了復雜干擾環(huán)境下的網(wǎng)絡攻擊信號模型，提取網(wǎng)絡攻擊非平穩(wěn)寬帶信號的時頻特征，采用WVD-Hough這一改進的時頻變換實現(xiàn)對網(wǎng)絡攻擊這類非平穩(wěn)寬帶信號的時頻聚集，輸出檢測結果。仿真實驗表明，采用本文算法進行網(wǎng)絡攻擊檢測，具有較好的優(yōu)越性。最后得出有效性結論。

1 網(wǎng)絡攻擊信號模型構建和時頻特征提取

1.1 網(wǎng)絡攻擊信號模型構建

在復雜網(wǎng)絡環(huán)境下，網(wǎng)絡攻擊特征信息通常表現(xiàn)為一組非平穩(wěn)寬帶信號，為了實現(xiàn)對網(wǎng)絡攻擊的檢測，需要首先進行信號模型構建。采用包絡延拓擴展方法，若網(wǎng)絡攻擊非平穩(wěn)寬帶信號的時間采樣{x(t1),x(t2),…,x(tn)}的聯(lián)合分布函數(shù)與{x(t1+τ),x(t2+τ),…,x(tn+τ)}的聯(lián)合分布函數(shù)具有極大相關性，那么，在時頻域中網(wǎng)絡攻擊信號的頻譜序列是一個三維連續(xù)自治系統(tǒng)，網(wǎng)絡攻擊非平穩(wěn)寬帶信號的系統(tǒng)函數(shù)表示為：

θ1(k+1)=θ1(k)-μRe[y(k)φ*×(k)]

(1)

式中，θ1(k)表示初始狀態(tài)向量，θ1(k+1)表示網(wǎng)絡攻擊非平穩(wěn)寬帶信號瞬時幅度，將其寫為極坐標形式有：

(2)

其中，a(t)稱為包絡，φ(t)稱為瞬時相位，由于網(wǎng)絡攻擊非平穩(wěn)寬帶信號的實信號的頻譜為共軛對稱，攻擊信號幅度為A，網(wǎng)絡攻擊非平穩(wěn)寬帶信號頻譜正頻部分進行自適應解調，對輸入信號幅度調整系數(shù)為：

(3)

攻擊數(shù)據(jù)進行這動態(tài)更新，采用Web防火墻對網(wǎng)絡攻擊特征進行數(shù)據(jù)采樣和時間更新，得到網(wǎng)絡攻擊非平穩(wěn)寬帶信號z(t)的頻譜為：

(4)

上式說明，Z(f)可由S(f)通過定量遞歸分析得到，而H(f)為奇對稱的階躍式傳輸函數(shù)，為：

(5)

設有M個全方向性攻擊的鏈路動態(tài)攻擊信號，一個攻擊信號Ac和P個干擾信號以θ0,θ1,…,θP的角度進行重構收縮，計算時頻分布下的攻擊波束域的信號特征和干擾子空間[9]，對鏈路漏洞數(shù)據(jù)進行雙曲調頻分解，得到接收到的信號模型為：

(6)

采用混疊譜模糊度函數(shù)分析頻譜特征，如果將ωk按照vk和ek的組成原則進行雙曲調頻分解，得到網(wǎng)絡攻擊的瞬時頻率和群延遲特征分布為：

(7)

通常情況下，網(wǎng)絡攻擊信號是時變非平穩(wěn)的，在非平穩(wěn)時變網(wǎng)絡攻擊非平穩(wěn)寬帶信號分析中，瞬時物理量起著重要的作用，令q為多項式的階數(shù)，滿足的條件是：q≥p，利用Gabor函數(shù)的平均測度這一特征向量[10]，得到網(wǎng)絡攻擊非平穩(wěn)寬帶時變瞬時頻率估計為：

(8)

式中，φ(t)為均勻采樣的頻譜均值，ck為瞬時頻率的時間平均，τ為時間采樣步長(相當于Δt)，bk是平均頻率。當權系數(shù)滿足b0=0時，網(wǎng)絡攻擊非平穩(wěn)寬帶信號譜的平均頻率等于瞬時頻率的時間平均，構建網(wǎng)絡攻擊信號的數(shù)學模型，為后續(xù)的網(wǎng)絡攻擊檢測提供信源基礎。

1.2 網(wǎng)絡攻擊非平穩(wěn)寬帶信號的時頻特征提取

(9)

在色噪聲背景中，采用雙線性Hough變換得到網(wǎng)絡攻擊的非平穩(wěn)寬帶鏈路層信息矢量為：

z(t)=s(t)+jx(t)

(10)

其中，將所有數(shù)據(jù)量合并得到一個總的數(shù)據(jù)流，進行時頻對偶變化，計算網(wǎng)絡攻擊信號的時頻特征，得到瞬時頻率的估計為：

(11)

若網(wǎng)絡攻擊非平穩(wěn)寬帶信號分量的瞬時頻率有交點，采用雙線性Hough變換法分析頻譜特征，以時間坐標軸的中點為中心，選取適當?shù)泥徲?，得到攻擊序列的頻譜畸變部分估計為：

(12)

對相干點積進行功率累積，若網(wǎng)絡攻擊非平穩(wěn)寬帶信號瞬時頻率的交點在時頻平面的邊緣部分，時頻平面分離中把時間中點鄰域范圍內(nèi)的網(wǎng)絡攻擊非平穩(wěn)寬帶信號的時頻分類置零，通過任意一部分的瞬時頻率估計線性擬合整個網(wǎng)絡攻擊非平穩(wěn)寬帶信號的瞬時頻率估計值，得到網(wǎng)絡攻擊信號的瞬時頻率估計結果為：

(13)

通過上述處理，實現(xiàn)對網(wǎng)絡攻擊信號的時頻特征提取，以瞬時頻率估計結果作為時頻特征，進行網(wǎng)絡攻擊檢測，時頻特征提取算法實現(xiàn)過程如圖1所示。

圖1 網(wǎng)絡攻擊信號的時頻特征提取瞬時頻率估計算法

2 檢測算法實現(xiàn)

在上述進行信號模型構建和網(wǎng)絡攻擊非平穩(wěn)寬帶信號的時頻特征提取的基礎上，進行攻擊檢測算法改進設計實現(xiàn)。分析可見，傳統(tǒng)方法采用傅里葉變換方法進行網(wǎng)絡攻擊的非平穩(wěn)信號檢測，由于傅里葉變換的時變性會引起較大的包絡振蕩，檢測性能不好。為了克服傳統(tǒng)算法的弊端和缺陷，本文提出一種基于非平穩(wěn)信號時頻分析的網(wǎng)絡攻擊檢測算法。提取網(wǎng)絡攻擊非平穩(wěn)寬帶信號的時頻特征，采用WVD-Hough這一改進的時頻變換實現(xiàn)對網(wǎng)絡攻擊非平穩(wěn)寬帶信號的時頻聚集，考慮一種簡單的時頻特征匹配濾波器傳輸函數(shù)：

(14)

假設網(wǎng)絡攻擊信號的干擾特征n(k)的實部nr(k)和虛部ni(k)分別為獨立的色噪聲，以此為前提進行濾波檢測，去除攻擊信號的干擾成分，提高信號的純度，采用Hough變換單譜脈沖響應檢測方法，匹配濾波頻率為：

(15)

當a變化時，瞬時頻率估計也隨之變化；當r→1時攻擊信號瞬時頻率估計的帶寬減小。由于噪聲本身及噪聲和網(wǎng)絡攻擊非平穩(wěn)寬帶信號之間產(chǎn)生的交叉項都很大，會對檢測結果產(chǎn)生較大影響，本文采用非平穩(wěn)信號時頻分析方法，為對于LFM網(wǎng)絡攻擊非平穩(wěn)寬帶信號來說，WVD的時頻聚集性最好[11]，在理想條件下，通過時頻特征聚焦，得到頻譜檢測概率表示為：

(16)

根據(jù)頻譜檢測信道衰落因子，設計色噪聲背景下的時頻特征的頻譜融合準則，通過點的累積得到的網(wǎng)絡攻擊非平穩(wěn)寬帶信號的檢測結果，使檢測的攻擊信號特征分解多個窄帶信號，信號的頻譜分解為：

(17)

其中，SNRi表示信噪比參量，對于較小的瞬時頻率變化(|x-y|≤Δ)代價函數(shù)為0，采用本文方法去掉由于噪聲產(chǎn)生的包絡振蕩，采用Hough變換單譜脈沖響應檢測方法，在相同的信噪比條件下，對網(wǎng)絡攻擊非平穩(wěn)寬帶信號分別進行WVD-Viterbi、SPWVD-Viterbi時頻分析處理，把所有時刻點的WVD值WVD(n,ω)按聚焦強度的順序進行重新排列，當M為網(wǎng)絡攻擊非平穩(wěn)寬帶信號頻率點數(shù)，則f(x)的形式定義為：

f(WVD(n,ωj))=j-1

(18)

通過瞬時頻率估計計算傳輸信噪比分配可信度，非平穩(wěn)時頻特征的單譜脈沖響幅頻響應的傳輸函數(shù)為：

(19)

確定每個攻擊時間點的所有頻率點，得到攻擊信號頻譜檢測虛警概率為：

(20)

經(jīng)過上述算法設計，通過k次分解后，實現(xiàn)對網(wǎng)絡攻擊信號的有效檢測，改進算法的運算流程如圖2所示。

圖2 改進的WVD-Hough時頻分析攻擊檢測算法流程

3 仿真實驗與性能分析

為了測試本文的網(wǎng)絡攻擊檢測算法在進行網(wǎng)絡攻擊信號檢測中的性能，進行仿真實驗，采用了DARPA2014網(wǎng)絡病毒數(shù)據(jù)庫作為網(wǎng)絡攻擊的數(shù)據(jù)時間采樣樣本，攻擊信號的采樣基于開源D-TIG 2.4.4發(fā)生器進行信號采集。仿真參數(shù)設置如下：LFM網(wǎng)絡攻擊非平穩(wěn)寬帶信號的參數(shù)分別為：歸一化初始頻率f1=0.3，歸一化終止頻率f2=0.05。在復雜環(huán)境干擾下，進行網(wǎng)絡攻擊檢測實驗仿真，假設干擾背景為色噪聲背景，SNR分別為SNR=-5 dB和SNR=-8 dB，在上述兩個干擾強度條件下，對網(wǎng)絡攻擊非平穩(wěn)寬帶信號進行本文設計的攻擊檢測算法處理，網(wǎng)絡數(shù)據(jù)的正常樣本數(shù)選擇為1024，網(wǎng)絡數(shù)據(jù)調度次數(shù)為1267?；谏鲜龇抡姝h(huán)境和參數(shù)設定，首先進行網(wǎng)絡攻擊信號的時間序列信息模型構建，得到攻擊信號樣本的時間序列波形如圖3所示。

圖3 攻擊信號樣本的時間序列波形

從圖3可見，原始的攻擊信號樣本受到噪聲背景的干擾，難以有效檢測和識別。采用傳統(tǒng)的防火墻無法進行有效的防御，造成病毒入侵。采用本文方法進行時頻分析，提取網(wǎng)絡攻擊非平穩(wěn)寬帶信號的時頻特征，采用WVD-Hough這一典型的時頻變換實現(xiàn)對網(wǎng)絡攻擊非平穩(wěn)寬帶信號的時頻聚集，得到采用本文設計的WVD-Hough時頻分析頻譜聚焦結果和傳統(tǒng)的時頻譜聚焦結果如圖4所示。從圖可見，采用本文算法，能有效實現(xiàn)對網(wǎng)絡攻擊信號的時頻聚集，去除背景干擾，實現(xiàn)對網(wǎng)絡攻擊非平穩(wěn)信號的有效檢測。

(a) 傳統(tǒng)方法

(b) 本文方法圖4 網(wǎng)絡攻擊信號的時頻分析聚焦性能對比

不同方法下對網(wǎng)絡攻擊的檢測性能，采用本文方法和傳統(tǒng)方法，在不同信噪比下采用2000次Monte Carlo實驗。

表1和表2中的數(shù)據(jù)詳細描述了傳統(tǒng)DOA方法和本文提出的方法在網(wǎng)絡攻擊檢測性能上的對比，其中表1中描述的是SNR=-5 dB情況下的實驗數(shù)據(jù)，表2中描述的是SNR=-8 dB情況下的實驗數(shù)據(jù)。

表1 SNR=-5 dB檢測性能比較

表2 SNR=-8 dB檢測性能比較

通過表1和表2中數(shù)據(jù)可以清晰看出，無論是SNR=-5 dB，還是SNR=-8 dB情況下，本文提出的檢測方法在網(wǎng)絡攻擊檢測中，相比傳統(tǒng)DOA方法，顯著提高了攻擊信號檢測的準確率，有效降低了誤檢率。說明該方法能夠有效地識別和檢測到網(wǎng)絡攻擊中高度隱蔽的攻擊信號，檢測性能更加穩(wěn)定，很好地提高了攻擊信號檢測性能。

4 結 語

網(wǎng)絡安全事關重大，需要對網(wǎng)絡攻擊進行主動積極的檢測，提高網(wǎng)絡安全的防范能力。本文提出一種基于非平穩(wěn)信號時頻分析的網(wǎng)絡攻擊檢測算法，首先構建了復雜干擾環(huán)境下的網(wǎng)絡攻擊信號模型，提取網(wǎng)絡攻擊非平穩(wěn)寬帶信號的時頻特征，采用WVD-Hough這一改進的時頻變換實現(xiàn)對網(wǎng)絡攻擊非平穩(wěn)寬帶信號的時頻聚集，在檢測終端輸出檢測結果。仿真實驗表明，采用本文算法進行網(wǎng)絡攻擊檢測，具有較好的檢測性能，準確檢測概率較高，展示了較好的應用價值。

[1] 王進,陽小龍,隆克平.基于大偏差統(tǒng)計模型的Http-Flood DDoS檢測機制及性能分析[J].軟件學報,2012,23(5):1272-1280.

[2] 張永錚,肖軍,云曉春,等.DDoS攻擊檢測和控制[J].軟件學報,2012,23(8):2058-2072.

[3] 王睿.一種基于回溯的Web上應用層DDOS檢測防范機制[J].計算機科學,2013,40(11A):175-177.

[4] 夏秦，王志文，盧柯.入侵檢測系統(tǒng)利用信息熵檢測網(wǎng)絡攻擊的方法[J].西安交通大學學報,2013,47(2):14-19,46.

[5] 章武媚,陳慶章.引入偏移量遞階控制的網(wǎng)絡入侵HHT檢測算法[J].計算機科學,2014,41(12):107-111.

[6] 周華,周海軍,馬建鋒.基于博弈論的入侵容忍系統(tǒng)安全性分析模型[J].電子與信息學報,2013,35(8):1933-1939.

[7] 陳卓,譚志歡.無線傳感器網(wǎng)絡中基于路徑序列檢測的安全機制[J].計算機應用,2015,35(3):732-735,740.

[8] Mishra B K,Ansari G M.Differential epidemic model of virus and worms in computer network[J].International Journal of Network Security,2012,14(3):149-155.

[9] 代偉,劉智,劉益和.基于地址完整性檢查的函數(shù)指針攻擊檢測[J].計算機應用,2015,35(2):424-429.

[10] 王秀利,王永吉.基于命令緊密度的用戶偽裝入侵檢測方法[J].電子學報,2014,42(6):1225-1229.

[11] 侯佳音，史淳樵.網(wǎng)絡信息安全問題研究及防護策略設計與研究[J].電子設計工程,2015,23(22):158-160,164.

NETWORK ATTACK DETECTION ALGORITHM BASED ONTIME-FREQUENCY ANALYSIS OF NON-STATIONARY SIGNAL

Zhu Yadong1Gao Cuifang2

1(InformationCenter,JiangsuUnionTechnicalInstitute，Nanjing211135,Jiangsu,China)2(SchoolofScience,JiangnanUniversity，Wuxi214122,Jiangsu，China)

In complex network environment,the network attack characteristic information is usually expressed as a set of non-stationary broadband signal,which guarantees the network security through the signal detection method to achieve the network attack detection.In the traditional method,the Fourier transform method is used to detect the non-stationary signal of the network attack,and the detection performance is not good because of the large envelope oscillation caused by Fourier transform.Thus,a network attack detection algorithm based on the time-frequency analysis of non-stationary signal is proposed.A network attack signal model in complex interference environment is constructed to extract the time-frequency characteristics when network attacks non stationary wideband signal,adopting the WVD-Hough transform frequency to realize the time-frequency gathering when network attack non stationary wideband signal and using aliasing ambiguity spectrum function to analyze spectrum feature to get the instantaneous frequency estimation results of network attack signal and design match filtering algorithm for anti-jamming design of the signal and the final output test results.Simulation experiments show that the algorithm is used to detect the network attacks,the accuracy of the detection is higher and the detection performance is superior.

Network attack Signal detection Time frequency analysis Frequency estimation

2015-10-26。國家自然科學基金青年

61402202)。朱亞東，副教授，主研領域：計算機網(wǎng)絡，信息安全。高翠芳,副教授。

TP311.52

A

10.3969/j.issn.1000-386x.2017.03.048