基于混沌序列的網絡異常行為檢測系統設計

陳鋒， 王斌

(南方電網數字電網研究院有限公司，廣東，廣州 510000)

0 引言

在信息化的時代下，互聯網站和個人信息記錄等頻繁受到不同程度的攻擊，造成了重大的損失。為此研究者們提出了網絡異常行為檢測系統，通過對信息攻擊造成的網絡異常行為進行檢測，在受到攻擊前報警，保證網絡安全[1-3]。早期國外提出了利用監視系統對網絡中出現的異常模式進行監視，從而避免違規性行為，后續研究中依據了統計學、數據挖掘等技術研究異常檢測算法，但檢測準確率較低，普遍低于85%。我國研究者利用大數據技術提出了基于大數據的網絡異常行為檢測系統，該系統具有較高的檢測準確率，但系統工作時會占用大量網絡帶寬，影響實際使用[4]。

針對上述方法存在的問題，本文提出基于混沌序列的網絡異常行為檢測系統設計，該系統引入混沌序列，通過重構相空間，判斷網絡中是否存在網絡異常行為。并通過對比實驗驗證了所涉及方法的可靠性。

1 基于混沌序列的網絡異常行為檢測系統硬件設計

網絡異常行為檢測系統是搭載在個人PC主機上應對網絡信息攻擊的異常行為檢測系統，設計系統需保證系統的兼容性，是否可以搭載多種不同的硬件設備[5-8]。本文所設計的網絡異常行為檢測系統硬件如圖1所示。

根據圖1可知，異常行為檢測系統的系統架構分為5層，分別為數據采集、數據處理、數據存儲、分析計算和可視化。各層之間相互聯動組成網絡異常行為檢測系統硬件結構。

圖1 網絡異常行為檢測系統硬件模塊

2 基于混沌序列的網絡異常行為檢測系統軟件設計

2.1 數據流頻繁模式確定

在網絡受到異常行為影響時，往往網絡的數據流也會出現異常,因此本文檢測系統首先對網絡的數據流頻繁模式進行測試。網絡中數據流以連續的窗口序列呈現，將其設為

DS=[w1,w2,…,wn]

(1)

在窗口中含有的固定數量的事務設為

〈T1,T2,…,Tk〉，Tk={i1,i2,…,im}

(2)

其中,im(m=1,2,…,p)代表項目。將項目E的真實支持度設為Supw(E)，代表項目E中的事務數目，其中支持度為s，允許偏差為ε，ε

(3)

根據得出的w真實支持度進行逆運算，從而求得相應的p窗口頻率項系數。將頻繁項插入SEFI-tree中進行運算，運算的部分程序如圖2所示。

圖2 SEFI-tree調用部分程序代碼

經過SEFI-tree調用后，可以實現對網絡中的最大頻繁項集及其中出現的異常情況進行判斷，當網絡最大頻率項集出現異常時，系統則判斷該網絡行為疑似異常,但影響網絡頻率項的因素不僅僅是出現網絡異常行為，因此還需后續的檢測。

2.2 網絡突變模型

在網絡的一般狀態下，網絡的躍變過程通常都是根據外部條件進行變化，這種控制變量變化下的連續變化為網絡的漸變。在網絡中的函數映射被取代時，網絡則會出現突變，利用該特性可以確定延遲約定。在本文系統檢測到網絡出現疑似異常行為的情況下，利用網絡突變模型對網絡勢函數進行調整，以便于后續的異常行為檢測。網絡的勢函數為v=v(x,c)，其中v代表當前網絡的勢函數，x代表網絡的狀態變量，c代表網絡控制變量。網絡臨界點下的突變理論勢函數為連續函數，設網絡節點為u∈(x1,x2,…,xn)則得出：

(4)

在滿足式(4)的條件下，可以將u作為網絡勢函數v的臨界點[9-11]。當網絡可以被突變勢函數v=v(x,c)表示后，說明網絡處于函數的極小值點，在該條件下，需要對網絡給出規則確定網絡在勢函數下的位置。本文使用Maxwell方程將網絡轉移到使其態勢全局穩定的平衡中，如圖3所示。

圖3 Maxwell方程

根據Maxwell方程，得出的尖點突變的勢函數為

V(x)=x4+ux2+vx

(5)

網絡的交叉集滿足曲面方程及平衡曲面狀態變量的導數方程[12-13]，在交叉集的控制平面中的表達式為

8u3+27v2=0

(6)

圖4 平衡曲面交叉集圖形

當平衡曲面向網絡控制平面進行投影時，可以到達唯一平衡，從而使網絡突變穩定，即燕尾突變，燕尾突變下的勢函數為

V(x)=x3+ux3+vx2+wx

(7)

其中,u、v、w為函數的控制變量。在達到平衡后，網絡則可作為處于多維度下的相空間網絡[14]。

2.3 混沌序列檢測

設在m維的相空間網絡中，網絡動力模式計算函數為

(8)

此時對式(8)下的網絡狀態進行擾動，則可以得到網絡變分方程：

(9)

(10)

(11)

λ1≥λ2≥…≥λj≥0≥λj+2≥λj+3≥…≥λm

(12)

(13)

3 實驗論證分析

為了驗證本文所設計的網絡異常行為檢測系統的有效性，設計系統測試實驗，選用網絡異常行為入侵的檢驗數據集KDD Cup99來模擬攻擊數據，并對系統的性能以及檢測精度進行測試。

3.1 實驗環境

將本文所設計系統導入PC機中進行實驗，PC機搭載Pentium IV CPU的運行速度為2.00 GHZ，內存條型號為CRUCIAL 3200，內存容量為8 GB。硬盤的型號為WD20EZAZ，硬盤容量為2 TB，硬盤轉數為5 400轉，操作系統為Windows 7。實驗中的程序采用C語言進行編寫，并在VC++ 6.0的環境中運行。

3.2 KDD Cup99數據集

KDD Cup99數據集作為模擬網絡攻擊的評估性數據集，數據包括共42億字節的二進制Tcpdump文件，在本文中將其處理為450萬條不同的鏈接，并保證訓練數據和測試數據中不存在相應的聯系，其中包括多種攻擊模式，R2L序列代表對網絡的授權訪問，DoS代表對網絡的拒絕性服務攻擊，Probe序列代表對網絡端口的監視，U2R代表對本地用戶權限的非法訪問。實驗中使用的訓練數據以及實際投入測試的數據如表1所示。

表1 實驗中使用的數據情況

3.3 系統性能測試

考慮到實際使用中系統應適應不同條件下的硬件設備，因此在本文的系統要求中需要保證系統運行時CPU的占用不超過25%，響應時長低于4 s，網絡帶寬占用低于2 MB，內存占用低于25%。實驗中，讓系統讀取100 GB、500 GB、1 TB的數據集，并測試系統對PC機性能的占用情況，實驗結果如表2所示。

表2 系統運行性能實驗結果

為了進一步測試系統在運行中的性能穩定性，實驗中對數據集進行短疏、長疏、長密處理，并利用3種數據集評估系統運算性能，經過數據集處理后，短疏數據集的最小支持度為0.9%，長疏數據集的最小支持度為0.7%，長密數據集的最小支持度為0.2%。將窗口的尺寸由10 kB個事務容量增加到100 kB個事務容量，測試對系統的存儲空間和運行時間的影響情況，實驗結果如圖5、圖6所示。

通過圖5和圖6可以看出，系統的運行時間以及占用的存儲空間會受到存儲窗口以及數據集類型的影響，但受影響情況較為穩定，且均實現了數據處理，同時本文實驗中處理后的數據集的最小支持率比實際使用時更低，運算難度高于實際數據集，因此可以證明本文系統的運行性能較好。

圖6 系統在不同數據集和窗口尺寸影響下的運行時間

3.4 系統檢測性能測試

在對系統的檢測性能進行測試時，仍然采用了上述中經過短疏、長疏、長密處理的數據集，以調高運算難度。系統對網絡的異常行為檢測性能實驗結果如表3所示。

表3 系統檢測實驗結果

通過表3結果可以看出，本文系統可以應對多種網絡異常行為的數據，同時不同形式的數據集都可以實現監測。實驗中本系統的檢測率均高于98.5%以上，同時誤報率低于0.1%，運行時對設備占用率較低，異常行為檢測精度高，具有可行性。

4 總結

本文通過使用混沌序列技術設計網絡異常行為檢測系統，由于檢測時對網絡進行了平衡和轉換，使監測時對硬件設備性能占用較小，同時具有較高的檢測精度。但本文系統目前僅能實現對應的檢測報警，無法自動給出對攻擊的防御、取證和跟蹤,未來將在該方面對所研究系統進行進一步完善。