楊本勝

(廣州松田職業(yè)學(xué)院，廣東 廣州 511300)

0 引言

入侵信號識別系統(tǒng)可以有效防御入侵行為，綜合利用審計數(shù)據(jù)、安全日志和關(guān)鍵點信息等識別通信網(wǎng)絡(luò)內(nèi)是否出現(xiàn)違法或者被入侵的情況。入侵信號識別系統(tǒng)作為防火墻之后的第二道防御措施，可以對整體網(wǎng)絡(luò)進(jìn)行實時保護(hù)，避免使用人員進(jìn)行誤操作或外部及內(nèi)部等入侵行為危害通信網(wǎng)絡(luò)的事情發(fā)生，能夠在事件發(fā)生之前對其響應(yīng)預(yù)測與入侵?jǐn)r截[1]。

為了符合智能化時代需求，將機(jī)器學(xué)習(xí)加入入侵識別系統(tǒng)已經(jīng)成為發(fā)展的必然趨勢。學(xué)習(xí)算法包括樸素貝葉斯、決策樹以及支持向量機(jī)(SVM)等。其中，支持向量機(jī)的實現(xiàn)是風(fēng)險最小化算法，利用最佳的分類平面，把未知樣本分類誤差降至最低，并且存在較強(qiáng)的泛化能力。現(xiàn)階段的網(wǎng)絡(luò)數(shù)據(jù)庫具有大量噪聲以及冗余變量，正常樣本與入侵樣本的極度不平衡狀態(tài)影響識別性能。網(wǎng)絡(luò)的連接數(shù)據(jù)為動態(tài)傳播方式，若采用單一分類器進(jìn)行分類，不確定性的因素很大，所以本文嘗試?yán)眠z傳算法(GA)優(yōu)化支持向量機(jī)算法，從而得到GA-SVM算法來降低不確定影響[2]。

通信網(wǎng)絡(luò)在進(jìn)行通信時，外界環(huán)境非常復(fù)雜，若通信網(wǎng)絡(luò)被入侵，則會造成信息泄露、丟失等情況，嚴(yán)重甚至?xí){到社會安全，所以本文提出基于GA-SVM算法的通信網(wǎng)絡(luò)入侵信號自動識別技術(shù)。入侵信號多為非平穩(wěn)信號，利用時域以及頻域可提取出通信網(wǎng)絡(luò)中入侵信號所有特征，然后通過對相鄰行為非線性的時空動作捕捉、對相鄰行為間的工作狀態(tài)關(guān)聯(lián)性評價以及對行為后續(xù)工作狀態(tài)實行預(yù)測，即可實現(xiàn)入侵信號自動識別。

1 提取通信網(wǎng)絡(luò)入侵信號的時域及頻域特征

1.1 入侵信號時域特征提取

通信網(wǎng)絡(luò)入侵信號的時域特征存在很多種，因為入侵信號和常規(guī)信號相比，時域曲線變化劇烈，呈現(xiàn)非平穩(wěn)特征，因此可利用混沌原理提取非平穩(wěn)信號時域特征[3]。

先設(shè)置采集到的通信網(wǎng)絡(luò)入侵信號是{x(t)},其中，t=1,2,…,N。利用入侵信號的動力學(xué)原理，引入時間延遲τ以及嵌入維數(shù)m，得到多維向量的序列X(t)，以此獲得通信網(wǎng)絡(luò)入侵信號的時刻特征，具體公式為

(1)

由式(1)可知，想要提取通信網(wǎng)絡(luò)的入侵信號時域特征，要將起始信號作歸一化處理，即

(2)

x′為歸一化之后數(shù)值[4]。

充分提取通信網(wǎng)絡(luò)入侵信號的時域特征，確認(rèn)嵌入維數(shù)m以及時間延遲τ非常重要，故利用G-P法以及互信息法來確認(rèn)2個參數(shù)值。

互信息法確認(rèn)參數(shù)1的步驟如下：

a.先采集通信網(wǎng)絡(luò)的入侵信號，設(shè)置(x,y)=[x(t),x(t+τ)],τ=1。

b.建立通信網(wǎng)絡(luò)入侵起始信號吸引子，設(shè)置(x0,y0)為初始點，Δx以及Δy分別為步長。若滿足以下條件：x0≤x(i)≤x0+Δx，y0≤y(i)≤y0+Δy，其中i=1,2,…,N，則點[x(i),y(i)]處于吸引子的區(qū)域內(nèi)。

c.設(shè)置p[x(i)]=Nx/N，p[y(i)]=Ny/N，p[x(i),y(i)]=Nxy/N，N為互信息的函數(shù)值I(x,y)。具體的計算公式為：

(3)

(4)

I(x,y)=H(x)+H(y)-H(x,y)

(5)

d.如果τ=τ+1，那么返回至步驟b，重新計算[5]。

e.在互信息函數(shù)到達(dá)第一極小值時，可找出通信網(wǎng)絡(luò)的入侵信號最優(yōu)值τ。

G-P法確認(rèn)參數(shù)2的步驟如下：

a.通過最佳的τ值，可以確認(rèn)嵌入維數(shù)起始值是m=1。

b.通過臨界距離r，來計算Cn(r)，能夠得到具體公式為

(6)

其中，M=N-(m-1)τ;θ為Heaviside單位函數(shù)。

c.利用LS方法擬合logC(r)n～logr，可以獲得關(guān)聯(lián)維數(shù)D。

d.如果m=m+1，那么返回至步驟b，重新進(jìn)行計算。

e.在關(guān)聯(lián)維數(shù)D的變化非常平穩(wěn)時，可找到通信網(wǎng)絡(luò)入侵信號最優(yōu)m。

1.2 入侵信號頻域特征提取

通信網(wǎng)絡(luò)的入侵信號能量表現(xiàn)形式為信號功率譜密度，即功率譜法能夠?qū)崿F(xiàn)對信號進(jìn)行分析，通過轉(zhuǎn)變信號的方式，將入侵信號映射至頻域內(nèi)，以頻域的角度來提取該信號特征[6]。

現(xiàn)代譜的估計方法中，自回歸模型(AR)應(yīng)用最為廣泛，該模型的表達(dá)式為

(7)

p為AR模型階次；ak為各階的系數(shù)；u(n)為0均值方差，是σ2的白噪聲。通過確定ak以及σ2，能夠得到公式為

(8)

Rx(m)為通過通信網(wǎng)絡(luò)入侵信號x(n)的自相關(guān)函數(shù)所建立的p+1階取樣的自相關(guān)矩陣,公式為

(9)

而為了確保式(9)內(nèi)自相關(guān)估計存在意義，入侵信號的長度為N≥2p。在參數(shù)確認(rèn)以后，即可通過AR模型算出信號功率譜，具體離散形式AR功率譜的求解公式為

(10)

在非平穩(wěn)的信號分析過程中，需要知道入侵信號處于某個時間段內(nèi)頻率成分以及該時間段內(nèi)頻率的時間分布狀況，通過時域以及頻域即可提取通信網(wǎng)絡(luò)入侵信號的所有特征[7]。

2 基于GA-SVM算法的入侵信號識別研究

在提取到通信網(wǎng)絡(luò)外部的入侵信號時域以及頻域特征時，需要捕捉各入侵信號鄰域之間非線性時空動作，將其看作是頻率的一種行為模式，以此評價相鄰信號行為之間的工作狀態(tài)關(guān)聯(lián)性，從而預(yù)測后續(xù)行為的工作狀態(tài)，按照后續(xù)的工作狀態(tài)入侵度來完成入侵信號的識別[8]。

2.1 相鄰行為非線性的時空動作捕捉

長短期的記憶模型全都屬于GA-SVM算法，通過回歸行為確定邊界框方位，從而完成實時追蹤和監(jiān)測；針對正則化的相鄰行為以及自身行為來進(jìn)行整合，以此刷新長短期的記憶模型自身存儲單元。正則化的行為公式為

rh=gh?rh-1+jh?tant(Vyryh+Vtrth-1+sr)+

(11)

2.2 對相鄰行為間的工作狀態(tài)關(guān)聯(lián)性評價

通過長短期記憶的模型隱態(tài)信息獲取的相鄰行為時變屬性，利用運行速度的相關(guān)性對相鄰行為之間工作狀態(tài)關(guān)聯(lián)性進(jìn)行評價，可以獲得相鄰行為之間的工作狀態(tài)關(guān)聯(lián)性權(quán)值τi(h)，具體公式為

τi(h)=

(12)

j以及i為相鄰行為間的工作狀態(tài)；在h時間內(nèi)時，uj(h)以及ui(h)為相鄰的行為方式的運行速度，將2個速度相乘，就能夠憑借歸一化的常數(shù)μ實現(xiàn)歸一化的方式計算；?j為用來對關(guān)聯(lián)權(quán)重的數(shù)值進(jìn)行計算的，如果在相鄰行為之間的工作狀態(tài)j以及i數(shù)值偏差較大，那么τi(h)就會無限接近0，如果相鄰行為之間的工作狀態(tài)j以及i類似度較近[9]，那么τi(h)數(shù)值就接近1。

2.3 對行為后續(xù)工作狀態(tài)實行預(yù)測

通過編碼-解碼框架，來訓(xùn)練長短記憶模型的預(yù)測行為作為后續(xù)工作情況，如圖1所示。

圖1 長短期記憶模型的解碼示意

具體的操作步驟如下：

a.GA-SVM算法的預(yù)測過程中[10]，能夠利用長短期記憶模型編碼器將工作狀態(tài)映射到定長隱式的向量內(nèi)。編碼時期的隱式向量公式為

kH=Lr(WH,kH-1)

(13)

kH為現(xiàn)階段的隱式向量；Lr為利用長短期記憶模型的編碼器。將行為工作狀態(tài)輸入值WH，以映射的方式輸入到前階段隱式向量kH-1內(nèi)。

b.在GA-SVM算法的訓(xùn)練過程中[11]，對于長短期的記憶模型解碼機(jī)器，可以通過定長隱式向量來預(yù)測后續(xù)行為工作狀態(tài)。具體隱式向量公式為

kH=La(WH,kH-1)

(14)

La為利用長短期記憶的模型解碼器。以定長隱式向量kH-1獲取現(xiàn)階段的隱式向量kH以后，針對目前時間行為的狀態(tài)輸入值WH，可以預(yù)測后續(xù)時間的行為工作狀態(tài)WH+1，最后通過預(yù)測后續(xù)的工作狀態(tài)完成通信網(wǎng)絡(luò)入侵信號識別[12]。

3 實驗仿真證明

3.1 實驗環(huán)境

為了驗證本文方法是否在實際應(yīng)用過程中達(dá)到合格標(biāo)準(zhǔn)，使用KDD CUP 99數(shù)據(jù)集內(nèi)的部分?jǐn)?shù)據(jù)，該數(shù)據(jù)集存在4種入侵行為，分別是掃描攻擊(Probe)、用戶遠(yuǎn)程沒有授權(quán)的訪問攻擊(U2L)、本地沒有授權(quán)的權(quán)限訪問攻擊(U2R)以及拒絕式服務(wù)攻擊(DOS)。該數(shù)據(jù)集一共收集了2個月的數(shù)據(jù)，大約包含100萬條數(shù)據(jù)記錄，其中，有9 341條為入侵?jǐn)?shù)據(jù)。而為了確保實驗過程的精確，實驗過程選取多次實驗的平均值。具體的漏識別率、誤識別率以及識別成功率公式為：

(15)

(16)

(17)

D為入侵信號的識別成功率；P為識別精確的入侵樣本數(shù)據(jù)；N為樣本總體個數(shù)；A為入侵信號的誤識別率；F為誤識別入侵的正確樣本個數(shù)；K為正常的樣本總數(shù)；R為入侵信號的漏識別率；B為入侵的樣本總數(shù)。

3.2 實驗結(jié)果和分析

本文方法設(shè)定了入侵信號識別閾值(98%)，在該閾值范圍內(nèi)，識別結(jié)果有效，若超出閾值，則說明識別結(jié)果達(dá)不到實際應(yīng)用標(biāo)準(zhǔn)，具體的識別成功率如圖2所示。

圖2 通信網(wǎng)絡(luò)入侵信號樣本識別成功率

由圖2可以看出，本文方法大約在20萬條數(shù)據(jù)時，識別成功率發(fā)生上下波動，經(jīng)過對實驗記錄進(jìn)行排查，發(fā)現(xiàn)該時間段內(nèi)網(wǎng)絡(luò)用戶頻繁輸出信息，導(dǎo)致識別率出現(xiàn)一個降低的狀態(tài)，不過在網(wǎng)絡(luò)恢復(fù)正常時，識別率也恢復(fù)正常，而在識別到37.5萬條數(shù)據(jù)時，識別成功率出現(xiàn)明顯下降，直到實驗結(jié)束。雖然本文方法出現(xiàn)了識別率下降的情況，不過仍然處于閾值之上，說明達(dá)到實際應(yīng)用的標(biāo)準(zhǔn)。

在識別入侵信號的過程中，可能出現(xiàn)誤識別，導(dǎo)致識別精度下降。所以需要計算誤識別率，保證正常數(shù)據(jù)的安全，設(shè)置誤識別率閾值(2%)，觀察其是否在該閾值范圍內(nèi)，具體如圖3所示。

圖3 通信網(wǎng)絡(luò)入侵信號樣本誤識別率

觀察圖3能夠看出，在實驗數(shù)據(jù)較少時，誤識別率非常低，而隨著數(shù)據(jù)增加，誤識別率也在增加，在實驗數(shù)據(jù)增加至50萬條時，出現(xiàn)大部分上升的情況，直到實驗結(jié)束，仍然沒有超出閾值。因為本文方法事先通過混沌原理提取非平穩(wěn)信號的時域特征，并利用自回歸模型提取出的頻域特征，有效地對入侵信號進(jìn)行分析，降低誤識別率。

漏識別率能夠影響到識別精度，若發(fā)生漏識別的情況，則入侵成功，導(dǎo)致數(shù)據(jù)丟失、受損，造成嚴(yán)重的危害。因此需要對漏識別率進(jìn)行嚴(yán)格的把控，設(shè)置極低的漏識別率閾值(1%)，盡可能地避免漏識別情況發(fā)生，實驗結(jié)果如圖4所示。

圖4 通信網(wǎng)絡(luò)入侵信號樣本漏識別率

觀察圖4能夠看出，本文方法的漏識別率在數(shù)據(jù)較少時，沒有出現(xiàn)任何漏識別的情況，不過仍然會隨著數(shù)據(jù)的增加，出現(xiàn)漏識別的情況，不過概率極低。這主要是因為在提取完通信網(wǎng)絡(luò)入侵信號的特征后，捕捉到鄰域信號間的非線性時空動作，從而預(yù)測后續(xù)行為的工作狀態(tài)，完成入侵信號識別，將漏識別率降到極低，避免正常樣本數(shù)據(jù)受到影響。

上述實驗結(jié)果表明，本文方法對通信網(wǎng)絡(luò)入侵信號的識別具有一定的準(zhǔn)確性，但隨著實驗數(shù)據(jù)的增大，該方法的識別性能呈逐漸下降的趨勢，甚至有超出閾值的趨勢，說明本文方法雖性能較好，但對于處理大量數(shù)據(jù)仍具有一定的難度，未來可通過優(yōu)化迭代的方法進(jìn)一步提升該方法對于處理大量數(shù)據(jù)的通信網(wǎng)絡(luò)入侵信號識別性能。

4 結(jié)束語

本文提出的基于GA-SVM算法的通信網(wǎng)絡(luò)入侵信號自動識別技術(shù)，通過提取出入侵信號的時域以及頻域特征，再捕捉非線性時刻的相鄰行為、評價相鄰行為的工作方式以及預(yù)測后續(xù)的工作狀態(tài)，從而實現(xiàn)入侵信號的自動識別。雖然該方法能夠有效識別出入侵信號，不過仍然存在誤識別以及漏識別的情況，基于此本文需要時刻關(guān)注網(wǎng)絡(luò)技術(shù)發(fā)展?fàn)顩r，實時引入全新的技術(shù)方法，保證在第一時間識別出入侵信號，確保通信安全。