基于特征加權聚合的傳感網絡多模式攻擊檢測方法

宋國順

當前，攻擊模式種類繁多，特別是對儲存和使用敏感資料的計算機攻擊日益復雜［1］，使得互聯網的發展面臨越來越多的威脅.網絡安全漏洞如果不能及時發現和修復，網絡安全受到的威脅將會愈發嚴重［2］.在當前的信息安全研究中，如何發現和上報用戶的行為是關鍵問題［3］.攻擊檢測技術是保護網絡安全的城墻壁壘，因此，檢測網絡的攻擊行為，對網絡信息安全發展具有至關重要的意義.

羅予東等［4］采用一種新的融合式網絡攻擊方法，解決網絡攻擊識別精度不高的問題.該方法采用多項式回歸方法學習多類資料，并結合多指標遺傳算法進行整體最優的子集抽取，將降維的特征集合輸入到感知機器中學習，通過重力尋優的方法檢索其參數，實現網絡攻擊檢測.實驗結果表明，該方法有效地提高了網絡攻擊檢測的準確性.王婷等［5］采用一種新的半監控學習算法，優化原有的網絡攻擊檢測方法.首先將網絡初始屬性加權值矢量作為重要的權值向量，并預測網絡攻擊，然后結合人工神經網絡構建網絡安全監控模型，預測網絡面臨的攻擊行為，采用無監督的Bi-kmeans 算法對網絡中新的特征值矢量進行了分類，并對將要出現的網絡攻擊類型進行預判.實驗結果表明，該方法不僅可以有效判斷出網絡攻擊類型，還可以對網絡攻擊檢測能力進行優化.

基于以上研究，本文利用特征加權聚合的方法，設計一種傳感網絡多模式攻擊檢測方法，避免傳感網絡受到攻擊，保證網絡的安全性.

1 多模式攻擊傳感網絡檢測

1.1 加權融合多模式攻擊信號特征

在傳感網絡中，采用特征加權聚合的方式［6］，構建傳感網絡多模式攻擊信號傳輸結構模型，表示為：

其中：on(t) 表示第n條傳感網絡上攻擊信號的特征，un(t) 表示第n條傳感網絡上攻擊信號的傳輸時延，fc表示傳感網絡中攻擊信號的頻率，kl表示傳感網絡數據信號，t表示傳輸時長.

引入特征加權聚合方法［7］，對傳感網絡多模式攻擊信號能力進行識別，即

其中：fj表示傳感網絡多模式攻擊信號第j層信號的頻率分布，?j表示通過驗證得到的傳感網絡攻擊信號第j層信號的能量分布.

以公式（2）為基礎，假設傳感網絡多模式攻擊路徑有p條，則傳感網絡在多模式攻擊環境下的多條傳遞函數為：

其中：Si表示傳感網絡中的遺失信號，un(t)表示傳感網絡中信號的傳輸時延.

利用多模式攻擊環境下的多條攻擊路徑函數，構建傳感網絡多模式攻擊特征分布函數［8］，通過對傳感網絡攻擊信號特征分布進行分析，得到攻擊信號的頻譜特征為：

其中：λ表示傳感網絡攻擊信號的樣本采集頻率，K表示網絡帶寬，Ax表示傳感網絡的時間窗口函數，y(t) 表示傳感網絡攻擊信號的時域，Ay(t,K)表示傳感網絡信號中的頻域信號.

假設|x(K)|表示傳感網絡攻擊信號在時間序列內最短的時間函數，構建傳感網絡攻擊信號模型為：

其中：f(?)表示傳感網絡攻擊信號的數量函數，εn表示傳感網絡攻擊信號的測量誤差值.

以傳感網絡多模式攻擊信號模型為基礎，對傳感網絡攻擊信號進行空間重構，重構結果記為C.假設傳感網絡多模式攻擊信號是按線性時間序列排列的，利用重構結構模型［9］，可以對攻擊信號進行抗干擾抑制，即

其中：Ai表示傳感網絡信號的權值，gn-i表示傳感網絡中帶有相同攻擊信號的特征值，Bj表示傳感網絡攻擊信號振蕩幅值，hn-j表示傳感網絡中帶有相同攻擊信號的時間序列.

干擾抑制傳感網絡多模式攻擊信號后，利用特征加權聚合的方法，加權融合傳感網絡多模式攻擊信號特征：

利用傳感網絡多模式攻擊信號傳輸結構模型，建立傳感網絡在多模式攻擊環境下的多條傳遞函數，以傳感網絡多模式攻擊信號模型為基礎，對傳感網絡攻擊信號進行空間重構，通過攻擊信號的抗干擾抑制，加權融合傳感網絡多模式攻擊信號特征.

1.2 判定傳感網絡多模式攻擊行為

傳感網絡節點之間的連接呈現出擇優化［10］的特征，總體上各節點之間有著緊密的聯系，但這些聯系并不均衡.為了增強對傳感網絡攻擊行為檢測的精度，在傳感器網絡中引入平面Ω，用來劃分二維向量構成的多個非交叉子區域，表示為：

其中：N表示傳感網絡的攻擊信號總量，表示攻擊信號所處位置的坐標，ns表示沒有交集的子區域數量.

降維映射處理各個子區域的傳感網絡攻擊信號，實現網絡數據的非線性關系向線性關系的轉換，即

其中：ωi表示傳感網絡數據的權重，T表示傳感網絡數據初始特征值，表示傳感網絡數據特征，py表示攻擊信號偏移量，χ表示網絡攻擊行為的構成.

為滿足傳感網絡攻擊檢測過程的需要，首先建立風險評估函數［11］，為了確保評估結果的準確度，需先設計一個風險函數R(ξ)，表達式為：

其中：ξ表示傳感網絡攻擊風險系數［12］，n表示常數，n=1，2，…，i，…，n，Xij表示第i個傳感網絡攻擊樣本數據j的特征值，μ表示風險評估的誤差值.

利用上式得到的風險函數，能夠獲取傳感網絡多模式攻擊范圍的各個節點，表示為：

其中：J表示傳感網絡多模式攻擊行為的聚類中心，M*表示任意兩個傳感網絡攻擊節點之間歐氏距離，表示攻擊行為的攻擊信號集，Lz表示所有攻擊狀態種類，j表示攻擊樣本數據.

根據傳感網絡多模式攻擊行為的分布狀況［13］，計算不同攻擊行為之間的攻擊關聯度，公式為：

其中：表示攻擊行為G1與G2的傳感網絡攻擊集，M表示需要預警的攻擊行為數量.

如果?表示一個受到攻擊的傳感網絡數據檢測序列，X*為受攻擊數據所在子區域的距離序列，利用式（13）對傳感網絡的攻擊行為進行初步判斷，

其中：Q表示傳感網絡多模式攻擊行為的種類集合［14］.

通過將網絡數據的非線性關系轉換為線性關系，建立風險評估函數，根據傳感網絡多模式攻擊行為的分布狀況，計算不同攻擊行為之間的攻擊關聯度，完成傳感網絡多模式攻擊行為的判定.

1.3 傳感網絡多模式攻擊檢測算法設計

假設I表示傳感網絡多模式攻擊狀態集合，γ表示攻擊狀態轉換集合，a0表示傳感網絡的初始狀態，IG表示攻擊狀態下的傳感網絡集合，則利用式（14）定義傳感網絡攻擊圖：

利用傳感網絡攻擊圖［15-16］，計算傳感網絡異常入侵的攻擊壓力，公式為：

其中：Fj表示傳感網絡遭受攻擊的輸入口，Zd表示正在遭受攻擊的主機，Se表示已經響應的受攻擊主機，rs表示傳感網絡攻擊行為，e*表示網絡攻擊行為的最優信道.

如果將攻擊者和防御者在博弈過程中的預期收益分別定義為和，則在博弈場景［17］中的總收益為rp，根據傳感網絡異常入侵的攻擊壓力，構建攻擊者和防御者在傳感網絡中的博弈矩陣：

其中：ψy表示傳感網絡攻擊策略向量，ey表示防御檢測策略向量.

假設fg和gu分別表示傳感網絡遭受攻擊時攻擊者和防御檢測者的混合策略，則利用式（17）計算出多模式下攻擊者和防御檢測者的收益：

其中I?表示傳感網絡遭受攻擊時檢測成功所獲得的回報［18］.

基于以上計算設計了傳感網絡多模式攻擊檢測算法的流程，具體如下：

Step2：映射處理待檢測的網絡信號，計算出各個狀態下最大映射系數對應的聚合函數.

Step3：通過最大映射系數，構建相應的特征加權聚合函數，確定傳感網絡多模式下的攻擊信號.

Step4：利用動態時域連接［19］，形成跨時域的傳感網絡攻擊信號分解分量.

Step5：從待檢測的傳感網絡信號中，減去需要分解信號的分量，獲得分解信號.

Step6：比較分解信號的能量與初始閾值，若前者大于后者，則將分解信號繼續分解，直至小于預設閾值，停止分解.

Step7：比較分解后的信號特征與網絡攻擊信號特征，從而完成網絡攻擊信號的檢測.

綜上所述，通過對比分解后的信號特征與網絡攻擊信號特征的差別，檢測傳感網絡的多模式攻擊.

2 實驗分析

2.1 實驗環境

為了驗證文中方法檢測傳感網絡多模式攻擊的性能，利用MATLAB 7.2 軟件搭建了實驗平臺，在Intel（R）Core（TM）i7-3770 6.40 GHz CPU、8 G 內存、Windows 7 操作系統下進行驗證.

2.2 實驗數據集

為了使網絡攻擊檢測更加真實，本文選擇的實驗數據集為KDD Cup99 數據集，其中包括兩種類型，分別是具有標識的訓練集和無標識的測試集（表1）.數據集中包括4 種攻擊類型，分別是Probe、Dos、R2L 和U2R，其中訓練集包括15 種攻擊類型，測試集包括6 種攻擊類型.

表1 KDD Cup99 數據集的攻擊標識

從KDD Cup99 數據集中隨機選取1 000 條傳感網絡操作數據，其中具有不同攻擊標識的攻擊數據186 條，其余數據為正常網絡操作數據.

2.3 傳感網絡信號的時域分析

在KDD Cup99 數據集中隨機選擇一個攻擊信號，通過對信號特征進行加權融合處理，得到該信號的波形和頻率，如圖1 和圖2 所示.

圖1 網絡攻擊信號的時域波形

圖2 網絡攻擊信號的時域頻譜

根據傳感網絡信號的時域分析，發現信號的時域波形比較穩定，能量主要集中在3~6 GHz 之間，表現出顯著的非平穩性，因此驗證了文中方法能夠檢測出傳感網絡的攻擊信號.

2.4 結果分析

實驗引入文獻［4］基于人工神經網絡和遺傳算法的檢測方法，以及文獻［5］基于半監督學習的檢測方法作對比，測試了傳感網絡多模式攻擊的誤檢率和漏檢率，結果如圖3 和圖4 所示.

圖3 傳感網絡多模式攻擊的誤檢率

圖4 傳感網絡多模式攻擊的漏檢率

根據圖3 的結果可知，采用基于人工神經網絡和遺傳算法，以及基于半監督學習的檢測方法時，對傳感網絡多模式攻擊的誤檢率在10%~15%之間，無法滿足傳感網絡攻擊5%誤檢率要求；采用文中方法時，對四類攻擊的誤檢率分別為2.5%、1.5%、1%、2%，能夠準確檢測傳感網絡遭受攻擊的類型，從而保證傳感網絡的安全性.

從圖4 的結果可以看出，基于人工神經網絡和遺傳算法，以及基于半監督學習的檢測方法對四種類型網絡攻擊的漏檢率都超過了20%，而文中方法在檢測傳感網絡四種攻擊類型的漏檢率分別為5%、4%、3.5%、4.5%，具有更高的檢測成功率.

3 結語

本文研究利用特征加權聚合提出一種傳感網絡多模式攻擊檢測方法.在多模式攻擊信號特征加權融合的基礎上，判定傳感網絡多模式攻擊行為，通過設計的傳感網絡多模式攻擊檢測算法，實現多模式攻擊檢測.實驗測試表明，該方法不僅能夠準確檢測傳感網絡遭受攻擊的類型，還可以提高檢測的成功率.在今后的研究中，將引入雙模調頻分解理論，分解網絡攻擊信號過濾掉殘余信號，進一步提高網絡攻擊的檢測準確率.