摘 ?要： 在對(duì)網(wǎng)絡(luò)入侵中邊界模糊閾值進(jìn)行確定的過(guò)程中，以往都是以入侵?jǐn)?shù)據(jù)的單個(gè)異常特征為檢測(cè)基礎(chǔ)，沒(méi)有考慮入侵后數(shù)據(jù)所表現(xiàn)的階躍特征，出現(xiàn)網(wǎng)絡(luò)入侵的判斷不確定性，造成獲取邊界模糊閾值不準(zhǔn)確的問(wèn)題。文章提出一種基于階躍模糊規(guī)則參數(shù)訓(xùn)練的網(wǎng)絡(luò)入侵中邊界模糊閾值的確定方法。該方法證明了網(wǎng)絡(luò)遭到入侵后，數(shù)據(jù)整體帶有階躍性特征，依據(jù)這種階躍性特征對(duì)入侵后的邊界模糊閾值進(jìn)行預(yù)測(cè)，塑造模糊系統(tǒng)的if-then規(guī)則，求出模糊系統(tǒng)的閾值輸出，實(shí)現(xiàn)網(wǎng)絡(luò)入侵中邊界模糊閾值的確定。實(shí)驗(yàn)結(jié)果表明，該方法能較為準(zhǔn)確地確定入侵模糊閾值，效果明顯。

關(guān)鍵詞： 網(wǎng)絡(luò)入侵; 階躍特征; 邊界模糊閾值; 模糊if-then規(guī)則

中圖分類(lèi)號(hào)：TP301.6 ? ? ? ? ?文獻(xiàn)標(biāo)識(shí)碼：A ? ? 文章編號(hào)：1006-8228（2021）08-37-05

The determination of boundary fuzzy threshold in network intrusion

Zhang Wumei

（ZhejiangTongji Vocational College of Science and Technology， Hangzhou， Zhejiang 310023， China）

Abstract： In the process of determining the boundary fuzzy threshold in network intrusion， it used to be based on the single abnormal feature of the intrusion data， without considering the step feature of the data after the intrusion， resulting in the uncertainty of network intrusion judgment， which leads to the inaccuracy of obtaining the boundary fuzzy threshold. In this paper， a method to determine the fuzzy threshold in network intrusion based on step fuzzy rule parameter training is proposed. This method proves that the whole data has a step feature after the network is invaded. According to this step feature， the fuzzy threshold after the invasion is predicted， the if-then rules of the fuzzy system are shaped， and the threshold from the output of the fuzzy system is obtained， so as to determine the boundary fuzzy threshold in the network invasion. The experiment results show that this method can determine the fuzzy threshold in intrusion more accurately， and the effect is obvious.

Key words： network intrusion; step feature; boundary fuzzy threshold; fuzzy if-then rule

0 引言

隨著網(wǎng)絡(luò)的廣泛應(yīng)用，網(wǎng)絡(luò)入侵問(wèn)題逐漸成為威脅網(wǎng)絡(luò)安全的重點(diǎn)問(wèn)題，而確定網(wǎng)絡(luò)入侵中邊界模糊閾值是解決網(wǎng)絡(luò)入侵問(wèn)題的重要途徑。

文獻(xiàn)[1]提出一種基于信號(hào)相位匹配原理的入侵閾值確定方法，采用該方法進(jìn)行網(wǎng)絡(luò)入侵信號(hào)的特征挖掘，其挖掘性能優(yōu)于能量檢測(cè)器，但算法對(duì)單頻信號(hào)有效，在網(wǎng)絡(luò)入侵信號(hào)存在的復(fù)雜信號(hào)環(huán)境中，確定效果不佳。文獻(xiàn)[2]中引入DOA估計(jì)器，采用自相關(guān)預(yù)處理對(duì)時(shí)變信號(hào)進(jìn)行跟蹤，提高了入侵閾值確定的性能，但算法對(duì)信號(hào)的邊緣入侵特征不能很好確定閾值，且不能滿足對(duì)攻擊信號(hào)實(shí)時(shí)檢測(cè)的要求。網(wǎng)絡(luò)入侵信號(hào)能在時(shí)頻空間中有效反映信號(hào)的邊緣特征，這點(diǎn)在文獻(xiàn)[3]中有所研究，其采用時(shí)頻域變標(biāo)度脈沖壓縮方法，提高目標(biāo)入侵信號(hào)特征，提高入侵閾值的準(zhǔn)確性，但其采用多普勒維補(bǔ)償方式進(jìn)行相位匹配，采用Fourier變換方式提取頻域特征進(jìn)行頻移向量補(bǔ)償，對(duì)網(wǎng)絡(luò)糾纏入侵信號(hào)閾值確定的效果不佳。目前，波束域形成算法有波束域?qū)羌虞d算法[4]，前后向平滑算法，波束域特征空間法[5]等。但是，這種方法準(zhǔn)確性不高，應(yīng)用困難。

針對(duì)上述問(wèn)題的產(chǎn)生，提出基于階躍模糊規(guī)則參數(shù)訓(xùn)練的網(wǎng)絡(luò)入侵中邊界模糊閾值的確定方法。證明了網(wǎng)絡(luò)遭到入侵后，數(shù)據(jù)整體帶有階躍性特征。依據(jù)網(wǎng)絡(luò)入侵后的閾值對(duì)未來(lái)時(shí)刻的邊界模糊閾值進(jìn)行預(yù)測(cè)，塑造網(wǎng)絡(luò)入侵邊界估計(jì)模型，求出模糊估計(jì)算子，確定模糊規(guī)則的前件與后件參數(shù)、模糊規(guī)則的個(gè)數(shù)，實(shí)現(xiàn)網(wǎng)絡(luò)入侵中邊界模糊閾值的確定。

1 網(wǎng)絡(luò)入侵狀態(tài)下的數(shù)據(jù)階躍性證明

網(wǎng)絡(luò)入侵檢測(cè)通過(guò)判斷數(shù)據(jù)與入侵閾值的關(guān)系完成，對(duì)入侵?jǐn)?shù)據(jù)的采集由各個(gè)服務(wù)器通過(guò)服務(wù)鏈路的數(shù)據(jù)采集協(xié)作完成。一般的網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)中，一旦發(fā)生網(wǎng)絡(luò)數(shù)據(jù)異常入侵，直接的后果是數(shù)據(jù)特征的異常，導(dǎo)致網(wǎng)絡(luò)節(jié)點(diǎn)發(fā)生不間斷重傳。如果發(fā)生了網(wǎng)絡(luò)數(shù)據(jù)的異常入侵，那么在信道通信的過(guò)程中，信息傳輸過(guò)程將受到影響，通信任務(wù)發(fā)生異常。由于大型的網(wǎng)絡(luò)控制結(jié)構(gòu)多采用冗余結(jié)構(gòu)設(shè)計(jì)，所以，網(wǎng)絡(luò)入侵行為具有很強(qiáng)的非線性，難以建立準(zhǔn)確的數(shù)學(xué)模型來(lái)描述入侵特性。因此，在出現(xiàn)網(wǎng)絡(luò)入侵行為時(shí)，假設(shè)只是造成了一定程度的網(wǎng)絡(luò)數(shù)據(jù)傳輸滯后，則需要根據(jù)數(shù)據(jù)傳輸?shù)臏蟪潭冗M(jìn)行補(bǔ)償;假設(shè)造成整個(gè)網(wǎng)絡(luò)難以正常工作，則需要進(jìn)行網(wǎng)絡(luò)傳輸數(shù)據(jù)誤差補(bǔ)償處理。在網(wǎng)絡(luò)數(shù)據(jù)傳輸?shù)倪^(guò)程中，網(wǎng)絡(luò)操作行為分為數(shù)據(jù)輸入，數(shù)據(jù)等待，數(shù)據(jù)計(jì)算和數(shù)據(jù)傳輸?shù)炔襟E。在網(wǎng)絡(luò)數(shù)據(jù)傳遞的過(guò)程中，需要將數(shù)據(jù)傳輸?shù)竭B續(xù)的網(wǎng)絡(luò)節(jié)點(diǎn)中，假設(shè)存在網(wǎng)絡(luò)入侵，不同的網(wǎng)絡(luò)入侵行為對(duì)于網(wǎng)絡(luò)數(shù)據(jù)傳輸?shù)挠绊懯谴嬖诓町惖模湓敿?xì)內(nèi)容如表1所示。

從表1可知，出現(xiàn)網(wǎng)絡(luò)入侵行為后，需要針對(duì)網(wǎng)絡(luò)傳輸數(shù)據(jù)進(jìn)行重新傳輸、部分重新傳輸、滯后性補(bǔ)償和誤差補(bǔ)償?shù)取？梢葬槍?duì)一組網(wǎng)絡(luò)傳輸數(shù)據(jù)進(jìn)行處理，也可以針對(duì)單一網(wǎng)絡(luò)傳輸數(shù)據(jù)進(jìn)行處理。網(wǎng)絡(luò)傳輸數(shù)據(jù)滯后性補(bǔ)償，是指針對(duì)網(wǎng)絡(luò)入侵后，網(wǎng)絡(luò)傳輸數(shù)據(jù)存在的滯后性進(jìn)行補(bǔ)償，將受到影響的網(wǎng)絡(luò)傳輸流程重新構(gòu)建，實(shí)現(xiàn)網(wǎng)絡(luò)數(shù)據(jù)的準(zhǔn)確傳遞。由于部分重新傳輸可看作是大量單一網(wǎng)絡(luò)傳輸數(shù)據(jù)的滯后性補(bǔ)償，因此，可以將網(wǎng)絡(luò)傳輸數(shù)據(jù)的滯后性補(bǔ)償作為重點(diǎn)課題。在存在網(wǎng)絡(luò)入侵的情況下，在網(wǎng)絡(luò)入侵的初始階段，網(wǎng)絡(luò)僅僅是小范圍的數(shù)據(jù)傳輸受到了影響，只需要針對(duì)少量數(shù)據(jù)進(jìn)行滯后性補(bǔ)償、誤差補(bǔ)償、部分重新傳輸和重新傳輸。假設(shè)大量的網(wǎng)絡(luò)傳輸數(shù)據(jù)都需要進(jìn)行滯后性補(bǔ)償、誤差補(bǔ)償、部分重新傳輸和重新傳輸，將造成網(wǎng)絡(luò)入侵行為出現(xiàn)的隨機(jī)性極大地提升。而這樣造成網(wǎng)絡(luò)傳輸數(shù)據(jù)在傳輸?shù)倪^(guò)程中存在極大的干擾。由于這種干擾與實(shí)際的干擾之間存在較大的差異，因此，將上述干擾過(guò)程稱(chēng)為偽干擾過(guò)程。網(wǎng)絡(luò)傳輸數(shù)據(jù)的偽干擾過(guò)程在數(shù)學(xué)上能夠用混沌性進(jìn)行表示。在網(wǎng)絡(luò)入侵行為出現(xiàn)早期，網(wǎng)絡(luò)傳輸數(shù)據(jù)存在一定程度的混沌性。

當(dāng)網(wǎng)絡(luò)中存在入侵行為時(shí)，網(wǎng)絡(luò)傳輸數(shù)據(jù)具有混沌性，能夠用上述網(wǎng)絡(luò)傳輸數(shù)據(jù)的最大Lyapunov指數(shù)是否大于0進(jìn)行檢驗(yàn)。利用圖1（a）（b）能夠描述在存在網(wǎng)絡(luò)入侵的情況下，運(yùn)用MATLAB軟件針對(duì)獲取的網(wǎng)絡(luò)傳輸數(shù)據(jù)進(jìn)Lyapunov指數(shù)圖仿真的結(jié)果。

根據(jù)圖1可知，在網(wǎng)絡(luò)入侵的情況下，網(wǎng)絡(luò)傳輸數(shù)據(jù)序列最大lyapunov指數(shù)大于0，所以，能夠說(shuō)明在網(wǎng)絡(luò)入侵早期，網(wǎng)絡(luò)傳輸數(shù)據(jù)序列具有混沌性。

2 基于階躍模糊規(guī)則參數(shù)訓(xùn)練的閾值確定方法

2.1 預(yù)測(cè)模型的設(shè)計(jì)

2.2 模糊估計(jì)函數(shù)的設(shè)計(jì)

建立預(yù)測(cè)模型之后需要獲得模糊估計(jì)函數(shù)。通常情況下，上述分析的模型是由一組if-then模糊規(guī)則組成的，其數(shù)學(xué)形式為：

其中，i=1，2，…，C;C表示規(guī)則的總個(gè)數(shù);A_j^i表示第i條規(guī)則R^i中x_j所隸屬的模糊集合;x表示輸入向量，x=（x_1，x_2，…，x_M），M表示輸入向量的維數(shù);a^i表示模糊規(guī)則的后件參數(shù)，a^i=（a_0^i，a_1^i，…，a_M^i）;f_i （x，a^i）表示網(wǎng)絡(luò)依據(jù)規(guī)則R^i獲取的相應(yīng)閾值。依據(jù)模糊推理，可將網(wǎng)絡(luò)入侵中邊界模糊估計(jì)函數(shù)描述成：

其中，c表示均值，δ表示方差，其為模糊規(guī)則的后件參數(shù)。綜上所述，通過(guò)模糊估計(jì)函數(shù)的確立為模糊規(guī)則的優(yōu)化提供了準(zhǔn)確條件依據(jù)。

2.3 模糊規(guī)則的優(yōu)化設(shè)計(jì)

一般情況下，需確定階躍條件下的入侵閾值模糊規(guī)則的前件與后件參數(shù)、模糊規(guī)則的個(gè)數(shù)，可采用粒子群優(yōu)化算法與遞歸最小二乘估計(jì)算法對(duì)模糊規(guī)則參數(shù)進(jìn)行訓(xùn)練。以保證規(guī)則的最優(yōu)性。

采用PSO算法（粒子群優(yōu)化算法）對(duì)階躍模糊規(guī)則的前件高斯函數(shù)參數(shù)進(jìn)行改進(jìn)，其一般形式為：

如果采用矩陣形式描述，則最小二乘問(wèn)題可描述成：

Aθ=y ⑽

其中，A表示m×n階矩陣;θ=（θ_1，θ_2，…，θ_n ）^T，表示n維參數(shù)向量; y=（y_1，y_2，…，y_m ）^T，表示m維輸出向量。則最小二乘估計(jì)算子可描述成：

θ=（A^T A）^（-1） A^T y ? ? ⑾

應(yīng)不斷對(duì)后件參數(shù)進(jìn)行更新，則最小二乘問(wèn)題可描述成：

P_（k+1）=P_k-（P_k b_（k+1） b_（K+1）^T P_k ） （1+b_（k+1）^T P_k b_（k+1） ）^（-1） ⑿

θ_（k+1）=θ_k+P_（k+1） b_（k+1） （y_（k+1）-b_（k+1）^T θ_k ） ⒀

其中，P_k表示增益矩陣，θ_k表示第k次迭代的參數(shù)向量。為了實(shí)現(xiàn)最小二乘算法，本文將θ_0初始化成零矩陣，則P_0=aI，α=〖10〗^9，I表示單位矩陣。綜上所述，通過(guò)搞死函數(shù)參數(shù)的改進(jìn)，可以更好的確定矩陣參數(shù)，進(jìn)而達(dá)到對(duì)模糊規(guī)則的優(yōu)化效果。

2.4 對(duì)閾值的模糊化輸出

對(duì)模糊規(guī)則的前件參數(shù)進(jìn)行更新，算法中的最佳位置gbest即為最優(yōu)參數(shù)值;同樣地，采用RLSE算法來(lái)確定模糊規(guī)則的后件參數(shù)。式⑿和⒀中的b_（k+1）與θ可描述成：

b_（k+1）=[d^1 （k+1）…d^k （k+1）]

d^i （k+1）=[1x_1^i （k+1）…x_m^i （k+1）] ? ⒁

θ=[τ^1 τ^2…τ^k ] τ^i=[a_0^i a_1^i…a_m^i]

其中，i=1，2，…，K ， k=0，1，…，m。

模糊系統(tǒng)的輸出過(guò)程如下：

⑴ 對(duì)入侵階躍數(shù)據(jù)的模糊規(guī)則前件參數(shù)（也就是PSO 算法中的粒子群）進(jìn)行初始化操作，獲取邊界模糊閾值所隸屬的所有模糊集合的高斯隸屬度函數(shù);

⑵ 根據(jù)訓(xùn)練數(shù)據(jù)集通過(guò)RLSE算法求出模糊規(guī)則的后件參數(shù)，塑造模糊系統(tǒng)的if-then規(guī)則;

⑶ 求出模糊系統(tǒng)的輸出，通過(guò)RMSE對(duì)PSO算法中粒子的適應(yīng)值進(jìn)行計(jì)算，對(duì)粒子群中粒子的速度與位置進(jìn)行更新;

⑷ 判斷是否符合終止條件，若符合則結(jié)束迭代，輸出閾值結(jié)果，若不符合，則重新進(jìn)行步驟⑵。

3 仿真實(shí)驗(yàn)分析

為了驗(yàn)證改進(jìn)方法的有效性，需進(jìn)行相關(guān)的實(shí)驗(yàn)分析。實(shí)驗(yàn)在Matlab環(huán)境下進(jìn)行，采用Simulink塑造仿真模型[6]，分別采用模糊規(guī)則方法、波束域特征空間法和頻域變標(biāo)度脈沖壓縮法對(duì)網(wǎng)絡(luò)入侵中邊界模糊閾值的確定進(jìn)行仿真，共進(jìn)行10組實(shí)驗(yàn)。圖2描述的是10組實(shí)驗(yàn)中，采用改進(jìn)方法和傳統(tǒng)方法對(duì)網(wǎng)絡(luò)入侵中邊界模糊閾值進(jìn)行確定所需的時(shí)間比較結(jié)果。

分析圖2可以看出，與傳統(tǒng)方法相比，采用改進(jìn)方法對(duì)網(wǎng)絡(luò)入侵中邊界模糊閾值進(jìn)行確定所消耗的時(shí)間明顯降低，且一直低于傳統(tǒng)方法，這是因?yàn)楦倪M(jìn)方法采用兩種方法結(jié)合的方法，提高了整體效率，驗(yàn)證了改進(jìn)方法的高效性。

為了進(jìn)一步驗(yàn)證改進(jìn)方法的有效性，分別對(duì)改進(jìn)方法和傳統(tǒng)方法的入侵準(zhǔn)確率進(jìn)行統(tǒng)計(jì)，獲取的比較結(jié)果用圖3進(jìn)行描述。

分析圖3可知，采用改進(jìn)方法對(duì)網(wǎng)絡(luò)入侵中邊界模糊閾值進(jìn)行確定獲取的準(zhǔn)確率一直高于傳統(tǒng)方法，同時(shí)改進(jìn)方法的曲線一直較平穩(wěn)，改進(jìn)方法的準(zhǔn)確率相比傳統(tǒng)方法提高了15%，說(shuō)明改進(jìn)方法具有很高的準(zhǔn)確性與穩(wěn)定性。

將上述實(shí)驗(yàn)過(guò)程中的相關(guān)數(shù)據(jù)進(jìn)行整理分析，得到表2和表3中的實(shí)驗(yàn)結(jié)果。從實(shí)驗(yàn)結(jié)果可知，使用模糊規(guī)則方法、波束域特征空間法和頻域變標(biāo)度脈沖壓縮法對(duì)網(wǎng)絡(luò)入侵中邊界模糊閾值的確定時(shí)，模糊規(guī)則方法獲取的耗時(shí)與準(zhǔn)確性實(shí)驗(yàn)結(jié)果都明顯優(yōu)于波束域特征空間法和頻域變標(biāo)度脈沖壓縮法，充分表明了基于階躍模糊規(guī)則參數(shù)訓(xùn)練的網(wǎng)絡(luò)入侵中邊界模糊閾值確定方法的優(yōu)越性。

4 結(jié)論

本文提出了一種基于階躍模糊規(guī)則參數(shù)訓(xùn)練的網(wǎng)絡(luò)入侵中邊界模糊閾值的確定方法。依據(jù)網(wǎng)絡(luò)入侵后的閾值對(duì)未來(lái)時(shí)刻的邊界模糊閾值進(jìn)行預(yù)測(cè)，塑造網(wǎng)絡(luò)入侵邊界估計(jì)模型，求出模糊估計(jì)算子，確定模糊規(guī)則的前件與后件參數(shù)、模糊規(guī)則的個(gè)數(shù)，采用粒子群優(yōu)化算法與遞歸最小二乘估計(jì)算法對(duì)模糊規(guī)則參數(shù)進(jìn)行訓(xùn)練。對(duì)模糊規(guī)則的前件參數(shù)做初始化操作，塑造模糊系統(tǒng)的if-then規(guī)則，求出模糊系統(tǒng)的輸出，通過(guò)RMSE對(duì)PSO算法中粒子的適應(yīng)值進(jìn)行計(jì)算，對(duì)粒子群中粒子的速度與位置進(jìn)行更新，實(shí)現(xiàn)網(wǎng)絡(luò)入侵中邊界模糊閾值的確定。仿真實(shí)驗(yàn)結(jié)果表明，所提方法具有很高的高效性及穩(wěn)定性。

參考文獻(xiàn)（References）：

[1] 宋佳聲，胡國(guó)清基于時(shí)空嫡分析的組合高斯背景建模方法[J].田華南理工大學(xué)學(xué)報(bào)：自然科學(xué)版，2012.40（9）：116-122

[2] 謝克明，馬小軍.模糊預(yù)測(cè)控制的實(shí)現(xiàn)形式[J].太原理工大學(xué)學(xué)報(bào)，1999.30（6）：575-579

[3] 師黎，王江濤.模糊預(yù)測(cè)-PID復(fù)合控制在高速列車(chē)制動(dòng)中的應(yīng)用[J].計(jì)算機(jī)工程與應(yīng)用，2010.46（31）：228-231

[4] 吳亞軍，項(xiàng)英，張秀忠，等.DBBC數(shù)字部分控制功能的設(shè)計(jì)與實(shí)現(xiàn)[J].中國(guó)科學(xué)院上海天文臺(tái)年刊，2009：51-59

[5] 紀(jì)威.基于高速網(wǎng)絡(luò)環(huán)境的入侵檢測(cè)系統(tǒng)分析研究[J].計(jì)算機(jī)與網(wǎng)絡(luò)，2012.38（21）：68-71

[6] 王一帆，諶紹洪.無(wú)線傳感網(wǎng)第三方入侵檢測(cè)系統(tǒng)[J].無(wú)線互聯(lián)科技，2012.10（12）：77-77

收稿日期：2021-03-10

基金項(xiàng)目：浙江水利科技計(jì)劃項(xiàng)目（No.RC1974）

作者簡(jiǎn)介：章武媚（1971-），女，浙江永康人，碩士，教授，主要研究方向：計(jì)算機(jī)應(yīng)用技術(shù)研究。