基于啟發式遺傳算法的即時通信網絡漏洞檢測

潘 超,呂翹楚,肖 巍

(長春工業大學計算機科學與工程學院,吉林 長春 130012)

1 引言

網絡自身的開放性會給網絡帶來巨大的安全威脅,網絡安全問題日益突出[1-2]。近年來,微信、QQ等即時通信網絡的出現,極大的豐富了人們的娛樂生活,但是由于其自身結構較為簡單,導致網絡系統非常容易被安全漏洞入侵,從而威脅自身的信息安全。因此,基于即時通信網絡的自身特性,設計簡潔高效的安全漏洞檢測,成為時下網絡保護亟待解決的問題。

文獻[3]方法首先將網絡中的源代碼轉化成具備語法、語義信息的CPG;再通過關系卷積網絡對通信網絡的圖結構展開學習;基于學習結果訓練神經網絡模型,根據模型的訓練結果預測程序中代碼安全漏洞;最后根據代碼漏洞預測結果找出代碼中存在的漏洞,實現網絡的漏洞檢測。文獻[4]方法首先對通信網絡中的源代碼展開預處理,基于處理結果對代碼中自定義部分實施歸一化處理,結合One-Hot編碼技術展開詞嵌入處理,構建CNN-GAP神經網絡模型;最后制定模型的漏洞識別函數,利用激活映射方法實現模型的可視化輸出,實現網絡的漏洞檢測。文獻[5]方法首先將源代碼結構化處理,將代碼的度量結果作為特征向量,依據自注意力機制建立神經網絡確定代碼文本信息的長期依賴關系,獲取漏洞的存在概率;最后采用支持向量機對漏洞特征實施決策分類,獲取最終的漏洞檢測結果。

上述方法中由于未能在網絡漏洞檢測前,對即時通信網絡運行狀態特征展開具體分析,導致上述方法在網絡漏洞檢測時,檢測效果差。為解決上述即時通信網絡漏洞檢測過程中存在的問題,提出啟發式遺傳算法下即時通信網絡漏洞檢測方法。

2 即時通信網絡漏洞特征提取

2.1 即時通信網絡運行特征分析

在即時通信網絡漏洞檢測前,需要對即時通信網絡運行狀態特征展開具體分析,結果如下:

1)源IP地址出連接度

(1)

2)源IP地址入連接度

3)源IP地址流中不同目的IP地址流數指的是固定時間窗口內,特定源IP地址流向不同目的IP的IP流數量,表述形式如下式所示:

Cp=|cj|ck≠cj,1≤k,j≤n|,1≤p≤n

(2)

式中,即時通信網絡中不同目的IP的地址為cj、ck,j,k皆為常數,源IP地址流中不同目的IP時地址流數為Cp。

4)網絡不同目的IP端口流數

源IP流中不同目的IP端口流數指的是源IP地址端口在通信網絡運行時IP流中不同目的端口的流數,表述形式如下式所示:

Dp=|dj|dk≠dj,1≤k,j≤n|,1≤p≤n

(3)

式中,即時通信網絡的不同目的端口為dj、dk,源IP流中不同目的IP端口流數為Dp。

5)源IP地址流中的平均包數量

源IP地址流中的平均包數量指的是特定源IP在固定時間窗口內產生的數據包均值,獲取過程如下式所示:

(4)

式中,源IP地址p中第j條IP流數據包數量為d(p,j),源IP地址在即時通信網絡運行過程產生的IP流總數為m,源IP地址流中的平均包數量為Ep。

6)平均流數據量以及IP流平均生存時間

即時通信網絡[7-8]中,源IP地址平均流數據量描述的是特定源IP地址在固定時間窗口的數據量均值;而源IP地址流平均時間描述的是IP地址在固定時間窗口內流生存時間均值,二者的表述形式如下式所示:

(5)

式中,源IP地址p的第j條流數據量為f(p,j),生存時間為g(p,j),平均流數據量為Fp,IP流平均生存時間為Gp。

2.2 漏洞特征提取

采用挖掘技術刻畫即時通信網絡正常行為和漏洞行為差異性,從而確定即時通信網絡的漏洞特征。

設定即時通信網絡中所有的待檢測數據點集合為H,其中存在漏洞的數據樣本集合為Z,漏洞數據點的對應權值為αj(t),聚類權值為α′i(t-1),由于即時通信網絡中漏洞數據對應權值是由網絡信息錯誤嚴重程度確定的,所以基于上述即時通信網絡IP特征分析結果,將漏洞數據樣本的聚類中心模糊隸屬度[9-10]設定成βij,以此獲取網絡中漏洞數據的聚類中心,過程如下式所示:

(6)

式中,網絡中Kt個漏洞數據樣本的K個聚類中心為α′i(1)。

基于上述確定的即時通信網絡漏洞數據聚類中心,將上述通信網絡特征描述成χ維的數據特征集合Y={y1,y2,…,yn},并將數據特征的鄰域區間半徑設定成ra,以此獲取即時通信網絡正常行為和異常行為的區分密度指標,結果如下式所示:

(7)

最后基于獲取的特征密度指標,完成即時通信網絡正常行為和漏洞行為的差異性刻畫,提取出即時通信網絡的漏洞特征。

3 網絡漏洞檢測

根據上述提取的通信網絡漏洞特征,構建即時通信網絡的漏洞檢測模型,并采用啟發式遺傳算法對模型展開求解,最后通過模型求解結果,實現即時通信網絡的漏洞檢測。

3.1 構建即時通信網絡漏洞檢測模型

根據上述提取的網絡漏洞特征,結合混合核函數極限學習機[11-12]模型完成即時通信網絡漏洞檢測模型的建立。

(8)

式中,檢測模型權值系數為vi,懲罰系數為qi,學習因子為δi,漏洞特征的期望輸出數量為L,期望輸出向量為Y。

基于上述建立的即時通信網絡漏洞檢測模型,基于核函數建立通信網絡漏洞檢測目標函數,結果如下式所示:

(9)

式中,核函數為K(xi,xj),核參數為I/C,懲罰參數為C,單位矩陣為I,多項式為h(x),模型迭代函數為T,模型目標函數為f(x)。

3.2 模型求解

采用啟發式遺傳算法對建立的即時通信網絡漏洞檢測模型展開求解處理,基于模型的求解結果,完成即時通信網絡的漏洞檢測。遺傳算法[13-14]實質上是模擬生物在自然環境中遺傳進化過程的全局自適應搜索算法。啟發式遺傳算法在模型求解時,需要對模型的染色體編碼,個體適用度評價函數以及種群規模、模型運行參數展開確定。模型的求解流程如下:

1)染色體編碼

染色體編碼就是將通信網絡的漏洞檢測問題轉換成編碼形式,將提取的網絡漏洞特征輸入建立的漏洞檢測模型中,并對各個特征值實施編碼處理,每一個編碼都代表一個漏洞問題的可行解(一條染色體)。

模型在染色體編碼時一般會使用二進制的編碼形式,對模型中所有的可行解實施排序處理。當通信網絡的規模較大時,模型中的可行解會增加,染色體的編碼長度也會隨之增加,從而影響模型的解碼效率,因此在漏洞檢測模型求解時,采用自然數編碼方式,使染色體長度固定,不會隨著基因位取值的變化而增加。

2)種群初始化

通信網絡漏洞檢測模型種群初始化時,采用均勻隨機選擇策略,將模型中最大漏洞可行解設定成Mi,初始種群個體(φ1,φ2,…,φ|K|)是從[1,Mi]中隨機選出的。首先將模型問題映射至解空間,并在解空間中均勻劃分產生若干區域,再在各個區域中隨機產生可行解,構成初始種群。

3)構建適應度函數

由于通信網絡漏洞檢測問題是模型的最小化問題解,因此設定即時通信網絡漏洞檢測模型漏洞特征為ηl,以此獲取漏洞檢測的適應度函數值,結果如下式所示:

(10)

4)遺傳算子選擇操作

基于上述建立的適應度函數,結合比例選擇法與最優個體保存策略,獲取種群個體選擇概率與適應度值之間的比率。設定模型種群規模大小為ι,種群中個體i的適應度值為Fi,以此獲取漏洞檢測模型中種群i被選中的概率值,結果如下式所示:

(11)

式中,種群i被選中概率值為κsi。由于計算出的種群個體概率值存在統計誤差,所以完成概率值計算后需要結合最優保存策略,充分保證種群的最佳適應度值能夠進化到下一代,從而保障算法的收斂性。

5)啟發式自適應交叉、變異操作

(12)

式中,種群的個體最佳適應度值為Fmax,種群交叉結果為ρc,種群變異結果為ρm。

最后基于種群的交叉變異結果,找出通信漏洞檢測模型的最佳個體值,完成模型求解,實現即時通信網絡的漏洞檢測[15]。

4 實驗

為了驗證上述即時通信網絡漏洞檢測方法的整體有效性,需要對此方法測試。分別采用啟發式遺傳算法下即時通信網絡漏洞檢測方法(所提方法)、基于關系圖卷積網絡的源代碼漏洞檢測(文獻[3]方法)、基于CNN-GAP可解釋性模型的軟件源碼漏洞檢測方法(文獻[4]方法)開展通信網絡漏洞檢測,以此驗證上述三種方法在漏洞檢測時的有效性。

測試過程中,依據計算機仿真技術虛擬建立一個120m×120m的仿真即時通信網絡區域,隨機在該區域內生成10個漏洞,以此為基礎開展漏洞檢測方法的有效性測試。

1)漏洞檢測性能測試

使用所提方法、文獻[3]方法以及文獻[4]方法開展即時通信網絡漏洞檢測時,選取精確率、誤報率以及調和平均值作為評價指標,以此驗證上述三種漏洞檢測方法的檢測性能。三種評價指標的獲取流程如下式所示:

(13)

式中,檢測精確率為Accuracy,誤報率為False alarm rate,調和平均值為F-measure,漏洞檢測時計算出的正確漏洞檢測數量為ζ,錯誤漏洞檢測數量為μ,正確檢測出的錯誤漏洞數量為λ,召回率為recall。

基于上述確定的檢測性能評價指標,檢測三種方法的檢測性能,測試結果如表1所示。

表1 不同檢測方法的檢測性能測試結果

分析表1可知,在開展通信網絡漏洞檢測時,所提方法檢測結果要優于其它兩種方法的檢測結果。文獻[3]方法在漏洞檢測時,直接將源代碼轉換成數據特征,未能全面考量網絡運行時的整體網絡運行狀態,所以該方法在漏洞檢測時,檢測性能略低于所提方法測試結果;文獻[4]方法則在利用One-Hot編碼技術構建檢測模型時,模型檢測性能低,導致該方法在檢測漏洞時,檢測結果不理想;而所提方法在漏洞檢測時,充分考慮了通信網絡的運行狀態,并通過對狀態特征的刻畫,尋找出網絡漏洞特征,所以該方法在網絡漏洞檢測時,檢測性能高。

2)漏洞檢測效果測試

基于上述測試結果,繼續使用上述三種漏洞檢測方法開展即時通信網絡的漏洞檢測,以此檢測上述三種漏洞檢測方法的實際檢測效果。結果如圖1所示。

圖1 不同方法的漏洞檢測效果

分析圖1可知,所提方法在檢測網絡通信漏洞時,由于及時地對網絡中漏洞行為以及正常行為展開了差異性刻畫,所以該方法在檢測網絡漏洞時,不僅能夠有效檢測出網絡漏洞,還能將漏洞數據與正常數據做出區分;而文獻[3]方法與文獻[4]方法不僅未能將漏洞數據與正常數據做出區分處理。并且不能完全檢測出設置的漏洞。由此可證明,所提方法在網絡漏洞檢測時,具備有效性。

5 結束語

隨著即時通信網絡的不斷進步,對網絡實施漏洞檢測成為當前保證網絡信息共享安全的必要過程。針對傳統網絡漏洞檢測方法中存在的問題,提出啟發式遺傳算法下即時通信網絡漏洞檢測方法。該方法基于網絡通信狀態特征分析結果,提取網絡的漏洞特征值,構建即時通信網絡漏洞檢測模型;最后使用啟發式遺傳算法對模型展開求解,實現通信網絡的漏洞實時檢測。但是由于該方法在建立漏洞檢測模型時,還存在一些問題,今后會針對該項問題繼續對該檢測方法展開優化處理。