網絡入侵中邊界模糊閾值的確定

摘 ?要： 在對網絡入侵中邊界模糊閾值進行確定的過程中，以往都是以入侵數據的單個異常特征為檢測基礎，沒有考慮入侵后數據所表現的階躍特征，出現網絡入侵的判斷不確定性，造成獲取邊界模糊閾值不準確的問題。文章提出一種基于階躍模糊規則參數訓練的網絡入侵中邊界模糊閾值的確定方法。該方法證明了網絡遭到入侵后，數據整體帶有階躍性特征，依據這種階躍性特征對入侵后的邊界模糊閾值進行預測，塑造模糊系統的if-then規則，求出模糊系統的閾值輸出，實現網絡入侵中邊界模糊閾值的確定。實驗結果表明，該方法能較為準確地確定入侵模糊閾值，效果明顯。

關鍵詞： 網絡入侵; 階躍特征; 邊界模糊閾值; 模糊if-then規則

中圖分類號：TP301.6 ? ? ? ? ?文獻標識碼：A ? ? 文章編號：1006-8228（2021）08-37-05

The determination of boundary fuzzy threshold in network intrusion

Zhang Wumei

（ZhejiangTongji Vocational College of Science and Technology， Hangzhou， Zhejiang 310023， China）

Abstract： In the process of determining the boundary fuzzy threshold in network intrusion， it used to be based on the single abnormal feature of the intrusion data， without considering the step feature of the data after the intrusion， resulting in the uncertainty of network intrusion judgment， which leads to the inaccuracy of obtaining the boundary fuzzy threshold. In this paper， a method to determine the fuzzy threshold in network intrusion based on step fuzzy rule parameter training is proposed. This method proves that the whole data has a step feature after the network is invaded. According to this step feature， the fuzzy threshold after the invasion is predicted， the if-then rules of the fuzzy system are shaped， and the threshold from the output of the fuzzy system is obtained， so as to determine the boundary fuzzy threshold in the network invasion. The experiment results show that this method can determine the fuzzy threshold in intrusion more accurately， and the effect is obvious.

Key words： network intrusion; step feature; boundary fuzzy threshold; fuzzy if-then rule

0 引言

隨著網絡的廣泛應用，網絡入侵問題逐漸成為威脅網絡安全的重點問題，而確定網絡入侵中邊界模糊閾值是解決網絡入侵問題的重要途徑。

文獻[1]提出一種基于信號相位匹配原理的入侵閾值確定方法，采用該方法進行網絡入侵信號的特征挖掘，其挖掘性能優于能量檢測器，但算法對單頻信號有效，在網絡入侵信號存在的復雜信號環境中，確定效果不佳。文獻[2]中引入DOA估計器，采用自相關預處理對時變信號進行跟蹤，提高了入侵閾值確定的性能，但算法對信號的邊緣入侵特征不能很好確定閾值，且不能滿足對攻擊信號實時檢測的要求。網絡入侵信號能在時頻空間中有效反映信號的邊緣特征，這點在文獻[3]中有所研究，其采用時頻域變標度脈沖壓縮方法，提高目標入侵信號特征，提高入侵閾值的準確性，但其采用多普勒維補償方式進行相位匹配，采用Fourier變換方式提取頻域特征進行頻移向量補償，對網絡糾纏入侵信號閾值確定的效果不佳。目前，波束域形成算法有波束域對角加載算法[4]，前后向平滑算法，波束域特征空間法[5]等。但是，這種方法準確性不高，應用困難。

針對上述問題的產生，提出基于階躍模糊規則參數訓練的網絡入侵中邊界模糊閾值的確定方法。證明了網絡遭到入侵后，數據整體帶有階躍性特征。依據網絡入侵后的閾值對未來時刻的邊界模糊閾值進行預測，塑造網絡入侵邊界估計模型，求出模糊估計算子，確定模糊規則的前件與后件參數、模糊規則的個數，實現網絡入侵中邊界模糊閾值的確定。

1 網絡入侵狀態下的數據階躍性證明

網絡入侵檢測通過判斷數據與入侵閾值的關系完成，對入侵數據的采集由各個服務器通過服務鏈路的數據采集協作完成。一般的網絡入侵檢測系統中，一旦發生網絡數據異常入侵，直接的后果是數據特征的異常，導致網絡節點發生不間斷重傳。如果發生了網絡數據的異常入侵，那么在信道通信的過程中，信息傳輸過程將受到影響，通信任務發生異常。由于大型的網絡控制結構多采用冗余結構設計，所以，網絡入侵行為具有很強的非線性，難以建立準確的數學模型來描述入侵特性。因此，在出現網絡入侵行為時，假設只是造成了一定程度的網絡數據傳輸滯后，則需要根據數據傳輸的滯后程度進行補償;假設造成整個網絡難以正常工作，則需要進行網絡傳輸數據誤差補償處理。在網絡數據傳輸的過程中，網絡操作行為分為數據輸入，數據等待，數據計算和數據傳輸等步驟。在網絡數據傳遞的過程中，需要將數據傳輸到連續的網絡節點中，假設存在網絡入侵，不同的網絡入侵行為對于網絡數據傳輸的影響是存在差異的，其詳細內容如表1所示。

從表1可知，出現網絡入侵行為后，需要針對網絡傳輸數據進行重新傳輸、部分重新傳輸、滯后性補償和誤差補償等。可以針對一組網絡傳輸數據進行處理，也可以針對單一網絡傳輸數據進行處理。網絡傳輸數據滯后性補償，是指針對網絡入侵后，網絡傳輸數據存在的滯后性進行補償，將受到影響的網絡傳輸流程重新構建，實現網絡數據的準確傳遞。由于部分重新傳輸可看作是大量單一網絡傳輸數據的滯后性補償，因此，可以將網絡傳輸數據的滯后性補償作為重點課題。在存在網絡入侵的情況下，在網絡入侵的初始階段，網絡僅僅是小范圍的數據傳輸受到了影響，只需要針對少量數據進行滯后性補償、誤差補償、部分重新傳輸和重新傳輸。假設大量的網絡傳輸數據都需要進行滯后性補償、誤差補償、部分重新傳輸和重新傳輸，將造成網絡入侵行為出現的隨機性極大地提升。而這樣造成網絡傳輸數據在傳輸的過程中存在極大的干擾。由于這種干擾與實際的干擾之間存在較大的差異，因此，將上述干擾過程稱為偽干擾過程。網絡傳輸數據的偽干擾過程在數學上能夠用混沌性進行表示。在網絡入侵行為出現早期，網絡傳輸數據存在一定程度的混沌性。

當網絡中存在入侵行為時，網絡傳輸數據具有混沌性，能夠用上述網絡傳輸數據的最大Lyapunov指數是否大于0進行檢驗。利用圖1（a）（b）能夠描述在存在網絡入侵的情況下，運用MATLAB軟件針對獲取的網絡傳輸數據進Lyapunov指數圖仿真的結果。

根據圖1可知，在網絡入侵的情況下，網絡傳輸數據序列最大lyapunov指數大于0，所以，能夠說明在網絡入侵早期，網絡傳輸數據序列具有混沌性。

2 基于階躍模糊規則參數訓練的閾值確定方法

2.1 預測模型的設計

2.2 模糊估計函數的設計

建立預測模型之后需要獲得模糊估計函數。通常情況下，上述分析的模型是由一組if-then模糊規則組成的，其數學形式為：

其中，i=1，2，…，C;C表示規則的總個數;A_j^i表示第i條規則R^i中x_j所隸屬的模糊集合;x表示輸入向量，x=（x_1，x_2，…，x_M），M表示輸入向量的維數;a^i表示模糊規則的后件參數，a^i=（a_0^i，a_1^i，…，a_M^i）;f_i （x，a^i）表示網絡依據規則R^i獲取的相應閾值。依據模糊推理，可將網絡入侵中邊界模糊估計函數描述成：

其中，c表示均值，δ表示方差，其為模糊規則的后件參數。綜上所述，通過模糊估計函數的確立為模糊規則的優化提供了準確條件依據。

2.3 模糊規則的優化設計

一般情況下，需確定階躍條件下的入侵閾值模糊規則的前件與后件參數、模糊規則的個數，可采用粒子群優化算法與遞歸最小二乘估計算法對模糊規則參數進行訓練。以保證規則的最優性。

采用PSO算法（粒子群優化算法）對階躍模糊規則的前件高斯函數參數進行改進，其一般形式為：

如果采用矩陣形式描述，則最小二乘問題可描述成：

Aθ=y ⑽

其中，A表示m×n階矩陣;θ=（θ_1，θ_2，…，θ_n ）^T，表示n維參數向量; y=（y_1，y_2，…，y_m ）^T，表示m維輸出向量。則最小二乘估計算子可描述成：

θ=（A^T A）^（-1） A^T y ? ? ⑾

應不斷對后件參數進行更新，則最小二乘問題可描述成：

P_（k+1）=P_k-（P_k b_（k+1） b_（K+1）^T P_k ） （1+b_（k+1）^T P_k b_（k+1） ）^（-1） ⑿

θ_（k+1）=θ_k+P_（k+1） b_（k+1） （y_（k+1）-b_（k+1）^T θ_k ） ⒀

其中，P_k表示增益矩陣，θ_k表示第k次迭代的參數向量。為了實現最小二乘算法，本文將θ_0初始化成零矩陣，則P_0=aI，α=〖10〗^9，I表示單位矩陣。綜上所述，通過搞死函數參數的改進，可以更好的確定矩陣參數，進而達到對模糊規則的優化效果。

2.4 對閾值的模糊化輸出

對模糊規則的前件參數進行更新，算法中的最佳位置gbest即為最優參數值;同樣地，采用RLSE算法來確定模糊規則的后件參數。式⑿和⒀中的b_（k+1）與θ可描述成：

b_（k+1）=[d^1 （k+1）…d^k （k+1）]

d^i （k+1）=[1x_1^i （k+1）…x_m^i （k+1）] ? ⒁

θ=[τ^1 τ^2…τ^k ] τ^i=[a_0^i a_1^i…a_m^i]

其中，i=1，2，…，K ， k=0，1，…，m。

模糊系統的輸出過程如下：

⑴ 對入侵階躍數據的模糊規則前件參數（也就是PSO 算法中的粒子群）進行初始化操作，獲取邊界模糊閾值所隸屬的所有模糊集合的高斯隸屬度函數;

⑵ 根據訓練數據集通過RLSE算法求出模糊規則的后件參數，塑造模糊系統的if-then規則;

⑶ 求出模糊系統的輸出，通過RMSE對PSO算法中粒子的適應值進行計算，對粒子群中粒子的速度與位置進行更新;

⑷ 判斷是否符合終止條件，若符合則結束迭代，輸出閾值結果，若不符合，則重新進行步驟⑵。

3 仿真實驗分析

為了驗證改進方法的有效性，需進行相關的實驗分析。實驗在Matlab環境下進行，采用Simulink塑造仿真模型[6]，分別采用模糊規則方法、波束域特征空間法和頻域變標度脈沖壓縮法對網絡入侵中邊界模糊閾值的確定進行仿真，共進行10組實驗。圖2描述的是10組實驗中，采用改進方法和傳統方法對網絡入侵中邊界模糊閾值進行確定所需的時間比較結果。

分析圖2可以看出，與傳統方法相比，采用改進方法對網絡入侵中邊界模糊閾值進行確定所消耗的時間明顯降低，且一直低于傳統方法，這是因為改進方法采用兩種方法結合的方法，提高了整體效率，驗證了改進方法的高效性。

為了進一步驗證改進方法的有效性，分別對改進方法和傳統方法的入侵準確率進行統計，獲取的比較結果用圖3進行描述。

分析圖3可知，采用改進方法對網絡入侵中邊界模糊閾值進行確定獲取的準確率一直高于傳統方法，同時改進方法的曲線一直較平穩，改進方法的準確率相比傳統方法提高了15%，說明改進方法具有很高的準確性與穩定性。

將上述實驗過程中的相關數據進行整理分析，得到表2和表3中的實驗結果。從實驗結果可知，使用模糊規則方法、波束域特征空間法和頻域變標度脈沖壓縮法對網絡入侵中邊界模糊閾值的確定時，模糊規則方法獲取的耗時與準確性實驗結果都明顯優于波束域特征空間法和頻域變標度脈沖壓縮法，充分表明了基于階躍模糊規則參數訓練的網絡入侵中邊界模糊閾值確定方法的優越性。

4 結論

本文提出了一種基于階躍模糊規則參數訓練的網絡入侵中邊界模糊閾值的確定方法。依據網絡入侵后的閾值對未來時刻的邊界模糊閾值進行預測，塑造網絡入侵邊界估計模型，求出模糊估計算子，確定模糊規則的前件與后件參數、模糊規則的個數，采用粒子群優化算法與遞歸最小二乘估計算法對模糊規則參數進行訓練。對模糊規則的前件參數做初始化操作，塑造模糊系統的if-then規則，求出模糊系統的輸出，通過RMSE對PSO算法中粒子的適應值進行計算，對粒子群中粒子的速度與位置進行更新，實現網絡入侵中邊界模糊閾值的確定。仿真實驗結果表明，所提方法具有很高的高效性及穩定性。

參考文獻（References）：

[1] 宋佳聲，胡國清基于時空嫡分析的組合高斯背景建模方法[J].田華南理工大學學報：自然科學版，2012.40（9）：116-122

[2] 謝克明，馬小軍.模糊預測控制的實現形式[J].太原理工大學學報，1999.30（6）：575-579

[3] 師黎，王江濤.模糊預測-PID復合控制在高速列車制動中的應用[J].計算機工程與應用，2010.46（31）：228-231

[4] 吳亞軍，項英，張秀忠，等.DBBC數字部分控制功能的設計與實現[J].中國科學院上海天文臺年刊，2009：51-59

[5] 紀威.基于高速網絡環境的入侵檢測系統分析研究[J].計算機與網絡，2012.38（21）：68-71

[6] 王一帆，諶紹洪.無線傳感網第三方入侵檢測系統[J].無線互聯科技，2012.10（12）：77-77

收稿日期：2021-03-10

基金項目：浙江水利科技計劃項目（No.RC1974）

作者簡介：章武媚（1971-），女，浙江永康人，碩士，教授，主要研究方向：計算機應用技術研究。