基于PSO-KM聚類分析的通信網(wǎng)絡(luò)惡意攻擊代碼檢測方法

李 梅，朱明宇

(蘇州高博軟件技術(shù)職業(yè)學(xué)院 信息與軟件學(xué)院，江蘇 蘇州 215163)

0 引言

在信息技術(shù)飛速發(fā)展的勢態(tài)下，以互聯(lián)網(wǎng)為代表的信息網(wǎng)絡(luò)發(fā)生了巨大變化，直接影響人們的生產(chǎn)和生活習(xí)慣。與此同時(shí)微電子和傳感器以及無線通信技術(shù)的快速發(fā)展，也不斷地推動(dòng)互聯(lián)網(wǎng)的迅速發(fā)展，從而產(chǎn)生了嚴(yán)重的網(wǎng)絡(luò)安全問題。由于通信網(wǎng)絡(luò)中包含有大量的數(shù)據(jù)節(jié)點(diǎn)，在數(shù)據(jù)存儲和數(shù)據(jù)處理中容易受到惡意節(jié)點(diǎn)的攻擊，當(dāng)通信網(wǎng)絡(luò)的性能減低時(shí)會(huì)引發(fā)網(wǎng)絡(luò)崩潰[1]，造成通信網(wǎng)絡(luò)的大面積癱瘓，因此通信網(wǎng)絡(luò)的運(yùn)行需要在極大地保障下完成工作，通信網(wǎng)絡(luò)惡意攻擊代碼檢測方法對惡意攻擊代碼的檢測和防御研究具有重要意義。國內(nèi)外眾多相關(guān)領(lǐng)域的專家非常注重惡意代碼檢測的研究，現(xiàn)階段惡意攻擊代碼的分析和檢測已經(jīng)成為被廣泛討論的話題，并從不同的角度給出了多種應(yīng)對策略，為實(shí)現(xiàn)通信網(wǎng)絡(luò)的安全運(yùn)行提供了多種技術(shù)支持。傳統(tǒng)通信網(wǎng)絡(luò)安全問題研究中通常使用硬件進(jìn)行入侵防御，文獻(xiàn)[2]研究了基于被動(dòng)分簇算法的即時(shí)通信網(wǎng)絡(luò)協(xié)議漏洞檢測，其引入了被動(dòng)分簇算法，采用該算法中先聲明者優(yōu)先機(jī)制挑選簇首，結(jié)合均衡原則明確網(wǎng)關(guān)節(jié)點(diǎn)，并且結(jié)合前向反饋網(wǎng)絡(luò)和支持向量機(jī)，構(gòu)建通信網(wǎng)絡(luò)協(xié)議漏洞檢測方法，實(shí)現(xiàn)檢測。但對于通信網(wǎng)絡(luò)的內(nèi)部攻擊沒有任何防御效果，且不能適用于通信網(wǎng)絡(luò)的動(dòng)態(tài)變化，其正確識別率較低，無法保障通信網(wǎng)絡(luò)安全。文獻(xiàn)[3]研究了一種基于多特征集成學(xué)習(xí)的惡意代碼靜態(tài)檢測框架，該方法通過提取惡意軟件的非PE結(jié)構(gòu)等特征，構(gòu)建特征相匹配模型，通過集成算法提升模型穩(wěn)定性，實(shí)現(xiàn)惡意代碼檢測。但也只能對一部分?jǐn)?shù)據(jù)進(jìn)行保護(hù)，無法完全辨別不同類型的惡意代碼，惡意代碼正確識別率低。

針對上述方法存在的問題，本文選擇PSO-KM聚類分析技術(shù)作為支撐，借助該技術(shù)的動(dòng)態(tài)特征提取優(yōu)勢確定網(wǎng)絡(luò)中是否存在惡意入侵，設(shè)計(jì)通信網(wǎng)絡(luò)的惡意攻擊代碼檢測方法，以期通過該檢測方法提高通信網(wǎng)絡(luò)的安全性。

1 確定通信網(wǎng)絡(luò)流動(dòng)軌跡中惡意攻擊行為特征

隨著通信能力的逐漸增強(qiáng)網(wǎng)絡(luò)中各個(gè)節(jié)點(diǎn)的功能發(fā)生巨大轉(zhuǎn)變，通信節(jié)點(diǎn)從單純的信息采集擴(kuò)展到網(wǎng)絡(luò)系統(tǒng)的數(shù)據(jù)處理以及存儲等更多任務(wù)，因此用于通信網(wǎng)絡(luò)系統(tǒng)數(shù)據(jù)處理的節(jié)點(diǎn)經(jīng)常受到惡意攻擊引起網(wǎng)絡(luò)故障。為保證數(shù)據(jù)不被竊取和篡改以及丟失等要求，需要對通信網(wǎng)絡(luò)數(shù)據(jù)的流動(dòng)軌跡的行為特征進(jìn)行分析，以無線傳感器節(jié)點(diǎn)為通信網(wǎng)絡(luò)的數(shù)據(jù)處理主模塊，主要監(jiān)測通信網(wǎng)絡(luò)數(shù)據(jù)流轉(zhuǎn)區(qū)域內(nèi)的數(shù)據(jù)采集和轉(zhuǎn)換，對其基本體系結(jié)構(gòu)進(jìn)行分析，如圖1所示。

根據(jù)圖1內(nèi)容所示，通信網(wǎng)絡(luò)中的無線傳感器體系結(jié)構(gòu)可以分為網(wǎng)絡(luò)通信協(xié)議、網(wǎng)絡(luò)數(shù)據(jù)管理和應(yīng)用支撐3個(gè)部分，其中最主要的網(wǎng)絡(luò)通信協(xié)議層級，該層包含數(shù)據(jù)的鏈路層和傳輸層，由于數(shù)據(jù)鏈路和傳輸在該層，則此處是惡意攻擊重點(diǎn)關(guān)注位置，因此容易產(chǎn)生惡意攻擊行為[4]。對其進(jìn)行具體功能劃分：網(wǎng)絡(luò)通信協(xié)議中物理層，其主要借助無線電和紅外線等傳輸媒介，完成節(jié)點(diǎn)信號的調(diào)制和數(shù)據(jù)的收發(fā)。數(shù)據(jù)鏈路層實(shí)現(xiàn)數(shù)據(jù)信息的成幀檢測以及錯(cuò)誤控制，網(wǎng)絡(luò)層是對路由的控制和維護(hù)，傳輸層用來控制通信數(shù)據(jù)信息流的傳輸，應(yīng)用層則是連接網(wǎng)絡(luò)平臺中的對應(yīng)軟件。

針對通信網(wǎng)絡(luò)的基本體系結(jié)構(gòu)，將其放置于在MFAB-NB框架內(nèi)具體分析惡意攻擊的具體類型，可以大體上劃分為：對網(wǎng)絡(luò)協(xié)議層的攻擊、對機(jī)密性和認(rèn)證性數(shù)據(jù)的攻擊、以及對數(shù)據(jù)服務(wù)完整性的攻擊，由于網(wǎng)絡(luò)協(xié)議層為主要的數(shù)據(jù)流動(dòng)軌跡，直接對網(wǎng)絡(luò)協(xié)議層進(jìn)行分析，將其受到的惡意攻擊行為特征進(jìn)行類型劃分，按照物理層惡意攻擊、鏈路層惡意攻擊、網(wǎng)絡(luò)層惡意攻擊以及傳輸層惡意攻擊進(jìn)行展示，具體如表1所示[5]。

表1 網(wǎng)絡(luò)協(xié)議層中流動(dòng)軌跡惡意攻擊行為特征分類

根據(jù)表中內(nèi)容所示對不同的層級攻擊行為進(jìn)行分析，如以物理層來講擁塞攻擊主要是在通信網(wǎng)絡(luò)鏈路中不間斷的發(fā)送干擾信號，造成通信節(jié)點(diǎn)不能正常進(jìn)行數(shù)據(jù)傳輸從而破壞網(wǎng)絡(luò)，物理攻擊則是將正常節(jié)點(diǎn)進(jìn)行偽裝，從正常節(jié)點(diǎn)的位置中發(fā)起攻擊對網(wǎng)絡(luò)安全造成威脅[6]。其他協(xié)議層中的攻擊手段也不盡相同，基本上都是在鏈路中直接對節(jié)點(diǎn)產(chǎn)生攻擊，消耗網(wǎng)絡(luò)通信量的基礎(chǔ)上造成正常節(jié)點(diǎn)的死亡，以此攻擊方能夠在數(shù)據(jù)融合過程中導(dǎo)入虛假數(shù)據(jù)。在此基礎(chǔ)上選擇歸一化算法對特征歸類，計(jì)算不同惡意攻擊行為的特征值，判斷鏈路中出現(xiàn)攻擊行為的可能性。

2 歸一化處理通信網(wǎng)絡(luò)惡意攻擊行為特征

無論哪一種通信網(wǎng)絡(luò)攻擊均含有多重身份ID，其ID數(shù)據(jù)可以是偽造的，也可以直接盜用正常節(jié)點(diǎn)，一旦惡意攻擊代碼形成，則通信網(wǎng)絡(luò)中的數(shù)據(jù)運(yùn)行機(jī)制會(huì)遭受嚴(yán)重破壞，對數(shù)據(jù)的存儲和處理以及分配均會(huì)產(chǎn)生影響[7]。在有限條件下對惡意攻擊代碼進(jìn)行特征計(jì)算，將惡意攻擊行為進(jìn)行歸一化處理，通過惡意攻擊代碼的接受信號強(qiáng)度指標(biāo)，對不同的攻擊行為進(jìn)行信道監(jiān)測[8]。信號強(qiáng)度指標(biāo)能夠比較節(jié)點(diǎn)接收數(shù)據(jù)的功率大小，通過功率比值對信號源節(jié)點(diǎn)進(jìn)行監(jiān)測，計(jì)算節(jié)點(diǎn)中是否存在大于其自身的能力優(yōu)勢。利用普通節(jié)點(diǎn)m和n進(jìn)行比較，設(shè)定被惡意攻擊代碼選擇的節(jié)點(diǎn)為簇頭節(jié)點(diǎn)b，則：

(1)

公式中：節(jié)點(diǎn)m的接收信號強(qiáng)度為RSSIm。節(jié)點(diǎn)n的接收信號強(qiáng)度為RSSIn。簇頭節(jié)點(diǎn)b的接收信號強(qiáng)度為RSSIb[9]。閾值為v。強(qiáng)度比例為χ。簇頭距離為c。以公式可知惡意攻擊代碼的節(jié)點(diǎn)選擇原則，只與其到簇頭的距離相關(guān)。假定惡意節(jié)點(diǎn)中存在良好總身份ID，分別為x1和x2，與其相關(guān)的存在有4組普通節(jié)點(diǎn)為z1、z2、z3、z4，則形成判斷公式如下：

(2)

若公式中x1和x2到z1、z2、z3、z44組節(jié)點(diǎn)的距離相等，則可以得出x1和x2同時(shí)處于同一物理位置，即x1和x2為同一個(gè)節(jié)點(diǎn)，但由于身份ID不同，則說明在該節(jié)點(diǎn)處存在有惡意攻擊代碼[10]，并且不同的信號強(qiáng)度下消耗節(jié)點(diǎn)資源也不同，一般情況下，惡意攻擊的主要目的是消耗服務(wù)器的資源。在完成節(jié)點(diǎn)位置初步確定后，為進(jìn)一步提高位置確定的準(zhǔn)確性，以歸一化處理方式假定攻擊原理，設(shè)定不同的攻擊行為特征進(jìn)行初始位置，kl={kl1，kl2，...，klj}表示為代碼初始位置，l表示初始位置，hl={hl1，hl2，...，hlj}表示初始攻擊速度，代碼的個(gè)體極值可表示為gf={gf1，gf2，...，gfj}，能夠被找到的全局極值表示為gd={gd1，gd2，...，gdj}[11]。結(jié)合PSO算法，確定代碼惡意攻擊行為特征的攻擊速度以及位置，計(jì)算公式如下：

hls(a)=δhls(a-1)β1rand(a)(gf(a)-kls(a))+

β2rand(a)(gf(a)-kls(a))

(3)

kls(a)=kls(a-1)+hls(a)

(4)

上式種(3)為惡意攻擊代碼的速度更新方式，公式(4)表示惡意攻擊代碼位置的更新方式[12]。其中s=1，2，...，j、l=1，2，...，p，p為攻擊代碼數(shù)量。δ表示攻擊代碼飛行過程中的慣性系數(shù)，當(dāng)δ越大時(shí)表示攻擊代碼的運(yùn)行速度就越大，產(chǎn)生的破壞能力就越強(qiáng)，反之當(dāng)δ值越小說明其搜索能力越弱，并且δ可以為定值也可以為變值。系數(shù)β1和β2表示攻擊代碼的學(xué)習(xí)因子，學(xué)習(xí)因子描述代碼對整個(gè)攻擊過程的認(rèn)知程度，在β1取值較小時(shí)，即β1≤0.1，代碼會(huì)偏移向攻擊區(qū)域，β2較大時(shí)，即β2≥1.0，代碼可以迅速到達(dá)指定目標(biāo)區(qū)域。rand(a)表示隨機(jī)函數(shù)，a表示(0，1)之間的數(shù)值[13]。kls(a)表示攻擊代碼目前的位置。kls(a-1)表示歷史攻擊中尋找到的最優(yōu)位置。hls(a)表示惡意攻擊代碼目前的攻擊速度。

至此完成歸一化處理通信網(wǎng)絡(luò)惡意攻擊行為特征，確定了通信網(wǎng)絡(luò)惡意攻擊行為的攻擊速度和位置。但是在多個(gè)變量的影響下攻擊代碼會(huì)逐漸靠近正常節(jié)點(diǎn)，此時(shí)，需要采用適用度函數(shù)計(jì)算其最優(yōu)解，預(yù)先判斷其最佳攻擊位置。

3 粒子群優(yōu)化算法尋找惡意攻擊代碼更新最優(yōu)解

在第2章節(jié)通過歸一化處理通信網(wǎng)絡(luò)惡攻擊意行為特征，獲取高質(zhì)量特征數(shù)據(jù)后，引入粒子群優(yōu)化算法(PSO)，尋找惡意代碼更新最優(yōu)解。在獲取攻擊節(jié)點(diǎn)與正常節(jié)點(diǎn)距離關(guān)系的基礎(chǔ)上，分類不同攻擊行為，由攻擊行為組成的特征集合遠(yuǎn)離正常特征集合，通過不同的特征類型區(qū)分攻擊行為和正常行為[14]。劃分通信網(wǎng)絡(luò)中的若干組行為為i個(gè)類型，各組類型中的特征相似度較高，而不同類特征之間的相似度較低。隨機(jī)將i個(gè)類型作為初始中心，分別計(jì)算剩余類與設(shè)定中心的距離，將距離較近的類規(guī)劃為一個(gè)族群，并重新計(jì)算初始中心，在不斷地收斂過程中以均方誤差作為標(biāo)準(zhǔn)函數(shù)，獲取最佳的中心搜索位置：

(5)

(6)

公式中：fit為粒子群優(yōu)化算法適用度函數(shù)[17]。當(dāng)mse，mse′值越小時(shí)表示攻擊代碼粒子的適用度值越大，則其尋找到的粒子位置就越容易攻擊正常節(jié)點(diǎn)，即可將其確定為攻擊代碼的優(yōu)先選擇的位置，否則當(dāng)適用度值越小，則表示該粒子位置比攻擊代碼經(jīng)過的所有位置都不適合攻擊，即該粒子當(dāng)前位置為安全位置，代碼重新選擇位置進(jìn)行攻擊，因此，可以通過計(jì)算惡意攻擊代碼的適用度值來確定其攻擊的最佳粒子位置，獲得最優(yōu)解。具體最優(yōu)解尋找過程如圖2所示。

圖2 粒子群優(yōu)化算法的最優(yōu)解尋找過程示意圖

根據(jù)圖2內(nèi)容所示，將粒子群優(yōu)化算法與攻擊原理相結(jié)合，通過該算法中的適用度函數(shù)能夠判斷惡意攻擊代碼的粒子個(gè)體極值與全局極值，并且隨著適用度函數(shù)的不斷變化，粒子的兩個(gè)極值會(huì)進(jìn)行更新，最后得到的粒子最優(yōu)解即為惡意代碼確定的攻擊位置[18]。以惡意攻擊代碼的適應(yīng)度數(shù)值判斷攻擊粒子的位置，能夠有效區(qū)分正常行為代碼粒子位置和惡意攻擊代碼粒子位置，

(7)

(8)

以公式(7)和公式(8)獲取的惡意攻擊代碼粒子的攻擊速度和粒子位置為基礎(chǔ)，構(gòu)建惡意攻擊代碼特征集，即最終的最優(yōu)解，公式為：

(9)

至此實(shí)現(xiàn)惡意攻擊代碼更新最優(yōu)解獲取，為檢測惡意攻擊代碼奠定基礎(chǔ)。

4 基于PSO-KM聚類分析檢測惡意攻擊代碼

上述完成了PSO算法尋找惡意攻擊代碼更新最優(yōu)解，但是此時(shí)判斷出的惡意攻擊代碼粒子位置和速度仍存在一定的誤差，直接應(yīng)用的話，無法達(dá)到最佳效果，因此，為了進(jìn)一步提高惡意攻擊代碼檢測的準(zhǔn)確性，在上述PSO算法尋找惡意攻擊代碼更新最優(yōu)解的基礎(chǔ)上，引入KM聚類分析，檢測惡意攻擊代碼。在檢測過程中，外在網(wǎng)絡(luò)行為特征提取是檢測重點(diǎn)，將上文劃分的網(wǎng)絡(luò)通信協(xié)議層存在的攻擊代碼按照4種形式進(jìn)行劃分，劃分后的惡意攻擊代碼可以表示為活躍代碼、故障代碼、掃描代碼以及頁面代碼。通過4種網(wǎng)絡(luò)代碼特征對惡意代碼進(jìn)行聚類分析，將其作為檢測前提記錄原始數(shù)據(jù)層的網(wǎng)絡(luò)數(shù)據(jù)流[19]。

由于網(wǎng)絡(luò)數(shù)據(jù)流具有粒度特性，在記錄和存儲通信數(shù)據(jù)時(shí)，其操作包含傳輸時(shí)間、IP源地址、IP目的地址、IP端口和故障信號這5個(gè)屬性。不同數(shù)據(jù)處理過程中均可以確定IP地址的分類情況，將局域網(wǎng)的IP地址定義為審計(jì)地址，對可疑的外網(wǎng)位置定義為檢測地址。以連接信號確定地址的所屬關(guān)系類型，如下：

(10)

式中，φ表示孤立判斷閾值。wanIPfail表示不活躍的外網(wǎng)IP地址[20]。wanIPact表示活躍的外網(wǎng)IP地址。wanIP表示所有可疑的外網(wǎng)IP地址。根據(jù)網(wǎng)絡(luò)行為特性類型設(shè)定特征提取模塊，分別為數(shù)據(jù)獲取模塊和網(wǎng)絡(luò)行為特征提取模塊，對IP地址是否為攻擊源頭進(jìn)行判斷。

(11)

(12)

式中，Y表示特征集合中的數(shù)據(jù)的中位數(shù)[21]。上式(8)表示W(wǎng)為奇數(shù)時(shí)的排序方式，否則通過公式(9)計(jì)算。在聚類中心的排序?yàn)閨R1|<|R2|<|R3|<，...，<|RT|情況下，設(shè)定惡意代碼慣性系數(shù)的動(dòng)態(tài)權(quán)重，平衡惡意代碼的全局檢測：

(13)

式中，慣性系數(shù)的動(dòng)態(tài)權(quán)重上下限分別為δmax和δmin。U表示孤立點(diǎn)樣本。Umax表示樣本最大值。基于此對IP地址中的惡意代碼網(wǎng)絡(luò)行為特征進(jìn)行跟蹤，結(jié)合PSO算法尋找惡意攻擊代碼更新最優(yōu)解，實(shí)現(xiàn)惡意代碼最終位置I的檢測：

(14)

式中，HTG表示第T條流量中第G個(gè)網(wǎng)絡(luò)行為的特征集合。RT為第T個(gè)聚類中心。DIS(RT，HTG)表示數(shù)據(jù)矢量HTG和RT之間的距離。FT為單個(gè)數(shù)據(jù)集合數(shù)目。A為集群的數(shù)目。γ為轉(zhuǎn)換系數(shù)。FC為單個(gè)惡意攻擊代碼數(shù)據(jù)集合數(shù)目。RC為第C個(gè)聚類中心。根據(jù)聚類結(jié)果區(qū)分惡意攻擊代碼和正常數(shù)據(jù)，即檢測出惡意攻擊代碼。至此，基于PSO-KM聚類分析方法實(shí)現(xiàn)通信網(wǎng)絡(luò)惡意攻擊代碼檢測方法設(shè)計(jì)。該方法為了確保檢測數(shù)據(jù)準(zhǔn)確性，確定了通信網(wǎng)絡(luò)流動(dòng)軌跡中惡意攻擊行為特征，并且歸一化處理通信網(wǎng)絡(luò)惡意攻擊行為特征，在此基礎(chǔ)上，引入了PSO算法，通過該算法尋找惡意攻擊代碼更新最優(yōu)解，為了提高檢測準(zhǔn)確性和效率，再次引入了KM聚類分析算法，通過KM聚類優(yōu)化PSO算法，構(gòu)建了PSO-KM聚類分析方法的惡意攻擊代碼檢測方法。該方法具備了多個(gè)算法的優(yōu)點(diǎn)，有效提高了檢測準(zhǔn)確性，降低檢測誤報(bào)率。

5 實(shí)驗(yàn)測試分析

5.1 實(shí)驗(yàn)方案

為了驗(yàn)證設(shè)計(jì)方法的有效性和應(yīng)用性能，設(shè)計(jì)對比分析實(shí)驗(yàn)。考慮實(shí)驗(yàn)的有效性，設(shè)計(jì)實(shí)驗(yàn)方案，具體方案如下所示：

1)選擇惡意攻擊數(shù)據(jù)。明確研究對象，即惡意代碼攻擊樣本集，并且給出訓(xùn)練集合和測試集合分類信息；

2)實(shí)驗(yàn)參數(shù)設(shè)置。實(shí)驗(yàn)參數(shù)的不同有可能影響實(shí)驗(yàn)結(jié)果，因此，為了避免實(shí)驗(yàn)參數(shù)的影響，提前設(shè)置設(shè)計(jì)方法的實(shí)驗(yàn)參數(shù)具體數(shù)值；

3)實(shí)驗(yàn)性能指標(biāo)。驗(yàn)證設(shè)計(jì)方法的性能，需要具體的實(shí)驗(yàn)性能指標(biāo)，通過具體指標(biāo)反映方法的性能，該實(shí)驗(yàn)以惡意代碼檢測個(gè)數(shù)統(tǒng)計(jì)結(jié)果和檢測效果為性能指標(biāo)，其中，檢測效果分為識別率和誤報(bào)率，并且給出具體計(jì)算公式；

4)分析惡意代碼檢測結(jié)果。通過上述指標(biāo)，以擇基于遺傳算法的檢測方法、基于灰狼算法的檢測方法以及基于規(guī)則庫的檢測方法作為對照組，與本文方法進(jìn)行對比分析。

按照上述設(shè)計(jì)的實(shí)驗(yàn)方案開展實(shí)驗(yàn)。

5.2 選擇惡意攻擊數(shù)據(jù)

上文中通過PSO-KM聚類分析方法設(shè)計(jì)了一個(gè)新的檢測方法，為驗(yàn)證該方法能夠完成通信網(wǎng)絡(luò)惡意攻擊代碼的有效檢測，采用對比測試方法進(jìn)行論證。分別選擇基于遺傳算法的檢測方法、基于灰狼算法的檢測方法以及基于規(guī)則庫的檢測方法作為對照組，分別與本文方法進(jìn)行比較，在不同類型的數(shù)據(jù)包樣本中完成測試。

為保證測試的準(zhǔn)確性和真實(shí)性，以通信網(wǎng)絡(luò)中實(shí)時(shí)采集的數(shù)據(jù)作為測試樣本，選擇20 000組正常數(shù)據(jù)作為請求集合，43 008組數(shù)據(jù)作為攻擊樣本請求集合，對43 008條攻擊樣本訓(xùn)練集中的代碼進(jìn)行統(tǒng)計(jì)，惡意攻擊代碼具體情況如表2所示。

表2 惡意代碼攻擊樣本集合

根據(jù)表2內(nèi)容所示，不同類型惡意攻擊代碼的數(shù)量有所不同，對惡意攻擊樣本集合中的攻擊代碼進(jìn)行分詞，提取關(guān)鍵的攻擊代碼構(gòu)建詞組集合，并將其放置在ACUNETIX-VULNERABILITY-SCANNER漏洞掃描器進(jìn)行跟蹤，建立一個(gè)純度較高的訓(xùn)練樣本集合。通過SKLEARN.

CROSS-VALIDATION模塊隨機(jī)選擇10 000組樣本分類樣本集合(14類惡意攻擊代碼)，訓(xùn)練集合和測試集合的隨機(jī)分類情況如下：

1)A1分類：70%的訓(xùn)練樣本集合，30%的測試樣本集合。

2)A2分類：90%的訓(xùn)練樣本集合，10%的測試樣本集合。

3)A3分類：10%的訓(xùn)練樣本集合，90%的測試樣本集合。

4)A4分類：30%的訓(xùn)練樣本集合，70%的測試樣本集合。

將上述分類完畢的樣本集合導(dǎo)入至Matlab測試平臺中，分別連接選擇的四組檢測方法，按照兩個(gè)階段完成測試：第一階段驗(yàn)證不同方法的識別量，即每組檢測方法在對惡意代碼攻擊檢測時(shí)識別出的具體數(shù)量，一般情況下認(rèn)定能夠在較少識別個(gè)數(shù)下完成惡意攻擊代碼識別，則表明該檢測方法的檢測效率高。并統(tǒng)計(jì)檢測方法未識別出的惡意代碼數(shù)量，其未識別的惡意代碼數(shù)量越少，則說明檢測方法更加有效。第二階段驗(yàn)證不同方法的識別率和誤報(bào)率，即對所有識別出來的代碼進(jìn)行對照，驗(yàn)證在所有識別出來的代碼中，是否為真正的攻擊代碼，當(dāng)識別率越高說明檢測方法的準(zhǔn)確率就越高，誤報(bào)率越低也能夠說明檢測方法的準(zhǔn)確性越好。按照不同的測試階段完成檢測，驗(yàn)證不同方法的有效性。

5.3 實(shí)驗(yàn)參數(shù)設(shè)置

實(shí)驗(yàn)參數(shù)的設(shè)置在實(shí)驗(yàn)中占據(jù)重要位置，這是因?yàn)閷?shí)驗(yàn)參數(shù)數(shù)據(jù)可能影響實(shí)驗(yàn)結(jié)果，導(dǎo)致實(shí)驗(yàn)分析不準(zhǔn)確，因此，為了避免影響，設(shè)置準(zhǔn)確的實(shí)驗(yàn)參數(shù)，具體如表3所示。

表3 實(shí)驗(yàn)參數(shù)

按照上述數(shù)據(jù)設(shè)置實(shí)驗(yàn)過程的參數(shù)。

5.4 實(shí)驗(yàn)性能指標(biāo)

實(shí)驗(yàn)過程選擇惡意代碼檢測個(gè)數(shù)統(tǒng)計(jì)結(jié)果和檢測效果作為具體的實(shí)驗(yàn)性能指標(biāo)，其中惡意代碼檢測個(gè)數(shù)統(tǒng)計(jì)結(jié)果按照不同的分類情況對各組檢測方法下識別的惡意代碼個(gè)數(shù)和未識別的代碼個(gè)數(shù)進(jìn)行統(tǒng)計(jì)，對比分析不同方法的識別個(gè)數(shù)與未識別個(gè)數(shù)，該指標(biāo)通過計(jì)算機(jī)自帶軟禁直接統(tǒng)計(jì)。檢測效果分為識別率和誤報(bào)率，計(jì)算公式為：

1)識別率：

(15)

式中，q表示識別率；w表示正確識別的代碼數(shù)量；e為惡意攻擊代碼的總計(jì)數(shù)量。

2)誤報(bào)率：

(16)

式中，r表示誤報(bào)率；t表示將正常數(shù)據(jù)判斷為惡意攻擊代碼的數(shù)量。

上述實(shí)驗(yàn)指標(biāo)中，惡意代碼檢測個(gè)數(shù)統(tǒng)計(jì)結(jié)果的惡意代碼個(gè)數(shù)和檢測效果的識別率越高，則說明檢測方法的性能越好，惡意代碼檢測個(gè)數(shù)統(tǒng)計(jì)結(jié)果的未識別個(gè)數(shù)和檢測效果的誤報(bào)率越低，則說明檢測方法的應(yīng)用效果越佳。

5.5 分析惡意代碼檢測結(jié)果

根據(jù)上文中設(shè)定的內(nèi)容，按照不同的分類情況對各組檢測方法下識別的惡意代碼個(gè)數(shù)和未識別的代碼個(gè)數(shù)進(jìn)行統(tǒng)計(jì)，如圖3所示。

圖3 惡意代碼檢測個(gè)數(shù)統(tǒng)計(jì)結(jié)果

根據(jù)表中內(nèi)容所示應(yīng)用不同的檢測方法后，對惡意代碼的識別結(jié)果各不相同，其中本文方法只需要較少的時(shí)間就可以完成較多惡意攻擊代碼的識別，在5中分類中，基本在30 s內(nèi)完成惡意攻擊代碼檢查，并且識別的總惡意攻擊代碼數(shù)量最多，其中A2分類下，惡意攻擊代碼檢測數(shù)量基本達(dá)到了1 000個(gè)，其他分類下，檢測出來的數(shù)量與實(shí)際數(shù)量基本一致。而對比另外3種方法可知，其他方法均與實(shí)際需要識別的惡意攻擊代碼數(shù)量差距較大，僅本文方法的識別數(shù)量與實(shí)際數(shù)量趨近，甚至全部識別出所有惡意攻擊代碼，3種方法的識別時(shí)間大概在60 s左右，60 s以后識別出的惡意攻擊代碼數(shù)量基本不在增加。綜合比較下，本文方法的效率更佳，并且識別惡意攻擊代碼的數(shù)量最多。

在此基礎(chǔ)上，分析各組檢測方法的惡意代碼識別率和誤報(bào)率。以圖3中給出的識別個(gè)數(shù)計(jì)算各組方法的識別率和誤報(bào)率，結(jié)果如圖4所示。

圖4 不同方法下檢測效果

根據(jù)圖4內(nèi)容所示，僅本文方法的識別率在95.0%以上，且識別率最高值接近99.7%，而檢測的誤報(bào)率可以控制在0.4%之內(nèi)，并且綜合圖3中的識別數(shù)量，說明本文方法更具有泛化能力，能夠在較少的識別數(shù)據(jù)量中完成惡意代碼的檢測，具有較高精確度。基于規(guī)則庫檢測方法和基于遺傳算法檢測方法包含有非攻擊代碼，兩者的誤報(bào)率較大，均在20%以上，并且最高識別率僅為80.0%，基于灰狼算法檢測方法由于識別的個(gè)數(shù)較多，在進(jìn)行樣本訓(xùn)練和獲取中概率值范圍變寬，則誤報(bào)率也較低，但與本文方法相比仍存在一定差距，其識別率最高僅為88.2%，并且誤報(bào)率最低為12.7%。對比4種方法，本文方法的識別率提高了6.0%以上，并且誤報(bào)率降低了10.0%以上，由此可知，本文方法有效提高了惡意攻擊代碼的識率，降低了誤報(bào)率，從而提高了應(yīng)用性能。

綜合結(jié)果可知：本文方法能夠?qū)阂夤舸a進(jìn)行特征分析，將同屬于某個(gè)類型的惡意攻擊代碼進(jìn)行識別和分類。在對安全測試中的惡意攻擊代碼進(jìn)行關(guān)聯(lián)分析后獲取特征集合，加強(qiáng)了惡意代碼的特征描述，提高了惡意攻擊行為檢測的識別率，降低了惡意攻擊行為代碼的誤報(bào)率，從而保證了檢測效果，具有應(yīng)用價(jià)值，應(yīng)用價(jià)值主要體現(xiàn)在電力通信網(wǎng)絡(luò)、航海導(dǎo)航、廣播電視等領(lǐng)域。

6 結(jié)束語

為了提高通信網(wǎng)絡(luò)的惡意代碼檢測效果，并且考慮PSO-KM聚類分析的優(yōu)異性和適用性，本文引入了PSO-KM聚類分析，設(shè)計(jì)了一種新的通信網(wǎng)絡(luò)惡意攻擊代碼檢測方法。該方法在引入PSO-KM聚類分析前，為了提高檢測準(zhǔn)確性，確定了通信網(wǎng)絡(luò)流動(dòng)軌跡中惡意攻擊行為特征，歸一化處理通信網(wǎng)絡(luò)惡意行為特征，并且通過適應(yīng)度函數(shù)尋找攻擊代碼更新最優(yōu)解，結(jié)合PSO-KM聚類分析實(shí)現(xiàn)惡意代碼檢測。同時(shí)，在實(shí)驗(yàn)論證的基礎(chǔ)上檢驗(yàn)了新方法應(yīng)用的效果，具有高度準(zhǔn)確性和較低的誤報(bào)率，其中識別率達(dá)到了95.0%以上，誤報(bào)率最高值僅為0.4%，與對比方法相比，本文方法的識別率提高了6.0%以上，誤報(bào)率降低了10.0%以上，該方法有效提高了識別率和降低了誤報(bào)率。但由于本文研究時(shí)間有限，在測試過程中仍存在少許不足之處，主要是惡意代碼的特征數(shù)量選取有限，對比測試中的數(shù)據(jù)準(zhǔn)備不夠充足，后續(xù)研究中會(huì)設(shè)定更多的惡意代碼，為檢測方法的全面性應(yīng)用提供理論支持。