鐘 妮,王 劍

(1. 四川工業(yè)科技學(xué)院,四川 綿竹 618200;2. 武漢理工大學(xué),湖北 武漢 430070)

1 引言

信息技術(shù)的迅猛進(jìn)步,使高新技術(shù)與日常活動(dòng)相互滲透、相互融合。互聯(lián)網(wǎng)作為生活、工作中的重要基礎(chǔ)設(shè)施,在給人們生活帶來便利的同時(shí)承受著網(wǎng)絡(luò)攻擊[1]。網(wǎng)絡(luò)流量異常是一種網(wǎng)絡(luò)流量模式,該模式對(duì)正常使用網(wǎng)絡(luò)產(chǎn)生了巨大的影響,因此,誕生了網(wǎng)絡(luò)流量異常檢測技術(shù)[2],通過該項(xiàng)技術(shù)及時(shí)發(fā)現(xiàn)網(wǎng)絡(luò)流量異常的位置與出現(xiàn)時(shí)刻。網(wǎng)絡(luò)中生成的流量數(shù)據(jù)含有數(shù)據(jù)包截獲數(shù)據(jù)、網(wǎng)絡(luò)流與簡單網(wǎng)絡(luò)管理協(xié)議的統(tǒng)計(jì)數(shù)據(jù),而針對(duì)異常檢測的不同環(huán)境,需采用不同的數(shù)據(jù)源處理技術(shù)。

隨著網(wǎng)絡(luò)安全問題關(guān)注度的不斷提高,網(wǎng)絡(luò)流量異常檢測技術(shù)得以廣泛研究。黎佳玥等人[3]利用深度學(xué)習(xí)算法的長短期記憶網(wǎng)絡(luò)與卷積神經(jīng)網(wǎng)絡(luò),構(gòu)建出一種網(wǎng)絡(luò)流量異常預(yù)測模型,通過訓(xùn)練取得數(shù)據(jù)時(shí)空特征,預(yù)測出下一時(shí)段的特征變化,識(shí)別出安全事件類型;連鴻飛等人[4]利用合成少數(shù)類過采樣技術(shù)與增強(qiáng)型分類算法,過采樣處理少數(shù)類樣本,經(jīng)歸一化數(shù)據(jù)特征,采用卷積神經(jīng)網(wǎng)絡(luò)學(xué)習(xí)空間特征與時(shí)序特征,根據(jù)計(jì)算得到的特征權(quán)重,取得異常流量檢測結(jié)果;孫旭日等人[5]劃分實(shí)際網(wǎng)絡(luò)流量為數(shù)據(jù)包與會(huì)話流,提取數(shù)據(jù)特征,經(jīng)離散小波變換獲取高維特征,根據(jù)格拉布斯準(zhǔn)則平滑處理數(shù)據(jù),采用訓(xùn)練過的長短期記憶網(wǎng)絡(luò)自編碼模型,重建訓(xùn)練數(shù)據(jù),明確檢測閾值,實(shí)現(xiàn)異常檢測。

因傳統(tǒng)檢測方法均存在高運(yùn)算復(fù)雜度的問題,無法滿足實(shí)時(shí)性需求,因此,本文設(shè)計(jì)一種基于分?jǐn)?shù)階傅里葉變換的網(wǎng)絡(luò)流量異常數(shù)據(jù)快速捕獲方法。自相似參數(shù)估計(jì)策略有助于提升異常數(shù)據(jù)的捕獲準(zhǔn)確度;因本文方法省去數(shù)據(jù)包的特征匹配過程,故加快了捕獲異常數(shù)據(jù)的速度;結(jié)合自適應(yīng)閾值置信范圍,縮減捕獲失誤概率。因此,本文方法會(huì)在一定程度上對(duì)網(wǎng)絡(luò)資源作出合理調(diào)整,確保網(wǎng)絡(luò)服務(wù)水平與速度,推動(dòng)網(wǎng)絡(luò)發(fā)展,提升網(wǎng)絡(luò)安全程度。

2 基于分?jǐn)?shù)階傅里葉變換的自相似參數(shù)估計(jì)

根據(jù)網(wǎng)絡(luò)流量自相似性與異常數(shù)據(jù)之間的相關(guān)性,提出一種分?jǐn)?shù)階傅里葉變換下的自相似參數(shù)估計(jì),以提升參數(shù)估計(jì)與數(shù)據(jù)捕獲精度。

2.1 分?jǐn)?shù)階傅里葉變換

將角度參數(shù)α與經(jīng)典傅里葉變換[6]相結(jié)合,得到分?jǐn)?shù)階傅里葉變換,采用下列表達(dá)式界定分?jǐn)?shù)階傅里葉變換

(1)

式中,分?jǐn)?shù)階傅里葉變換的階數(shù)與核函數(shù)分別為p、Mp(t,u),階數(shù)p滿足下列條件方程組

(2)

核函數(shù)的計(jì)算公式為

Mp(t,u)=Aαexp[jπ(u2cotα-2tucscα+t2cotα)]

(3)

式中,分?jǐn)?shù)階傅里葉變換幅值是Aα,下式為其數(shù)學(xué)式

(4)

其中,角度參數(shù)α滿足pπ/2,p≠2n,n是任意整數(shù)。

故推導(dǎo)出不同角度參數(shù)取值下的分?jǐn)?shù)階傅里葉變換核函數(shù)條件方程組

(5)

利用下列表達(dá)式描述分?jǐn)?shù)階傅里葉變換的逆函數(shù)k(t)

(6)

(7)

(8)

若將φv(t)替換成厄米高斯函數(shù)[7]作為上式的特征函數(shù),則需使下列等式成立

(9)

基于傅里葉變換特征值與特征函數(shù),推導(dǎo)分?jǐn)?shù)階傅里葉變換特征值與特征函數(shù)。下式所示為展開后的逆函數(shù)k(t)

(10)

經(jīng)分?jǐn)?shù)階傅里葉變換處理上列等式的等號(hào)兩側(cè),得到下列表達(dá)式,即分?jǐn)?shù)階傅里葉變換特征值

(11)

結(jié)合核函數(shù)表達(dá)式(3),取得下式所示的分?jǐn)?shù)階傅里葉變換特征函數(shù)

(12)

2.2 分?jǐn)?shù)階傅里葉變換下參數(shù)估計(jì)

分?jǐn)?shù)階傅里葉變換網(wǎng)絡(luò)流量數(shù)據(jù),獲取分?jǐn)?shù)階傅里葉變換域序列Fa(t),根據(jù)序列能量譜E[g2(j)]的對(duì)數(shù)尺度G(j)與小波關(guān)系,利用下列能量譜參數(shù)估計(jì)算法,聯(lián)立G(j)與赫斯特參數(shù)之間的相關(guān)性。

假設(shè)X(t)是一個(gè)與正交小波相互作用的自相似時(shí)間序列,當(dāng)其位于2-jω0時(shí),第j個(gè)子帶存在nj個(gè)小波系數(shù),故該序列能量譜如下所示

(13)

同時(shí),X(t)也屬于一種自相似階段,滿足SX(2-jω0)∝(2-jω0)-γ,因此,下列等式成立

=log2(c(2-jω0)-γ)=(2H+1)j+c′

(14)

式中,c、c′均是任意常數(shù)項(xiàng)。經(jīng)最小均方差擬合[8]后,即可獲取到log2(SX(2-jω0))與j之間的連線,2H+1表示該直線斜率。

綜上所述,聯(lián)立出G(j)與赫斯特指數(shù)之間的相關(guān)性,關(guān)系表達(dá)式如下所示

G(j)?(2H-1)j+c

(15)

由此制定出以下基于分?jǐn)?shù)階傅里葉變換的赫斯特參數(shù)估計(jì)流程:

1)采用式(1)所示的p階分?jǐn)?shù)階傅里葉變換,計(jì)算初始的網(wǎng)絡(luò)流量數(shù)據(jù)X[n];

2)求解經(jīng)過分?jǐn)?shù)階傅里葉變換的序列能量譜E[g2(j)];

3)以能量譜E[g2(j)]與對(duì)數(shù)尺度G(j)之間的關(guān)系為依據(jù),解得對(duì)數(shù)尺度G(j);

4)通過設(shè)計(jì)的能量譜參數(shù)估計(jì)算法,獲取尺度[j1,j2]范圍內(nèi)的赫斯特參數(shù)估值。

3 基于FRFT的網(wǎng)絡(luò)流量異常數(shù)據(jù)快速捕獲

若時(shí)段[1,n]的赫斯特指數(shù)是H={Hk,k∈1,2,…p,…,n},[1,p]時(shí)段中網(wǎng)絡(luò)流量不存在異常數(shù)據(jù),H′={H′k,k∈1,2,…p}呈正態(tài)分布[9]情況,則采用下列表達(dá)式界定H′概率密度

(16)

(17)

(18)

(19)

當(dāng)下一刻的網(wǎng)絡(luò)流量赫斯特預(yù)估結(jié)果Hp+1滿足Hp+1∈[U1,U2]時(shí),認(rèn)為該參數(shù)對(duì)應(yīng)的數(shù)據(jù)為正常數(shù)據(jù);反之,則判定為異常數(shù)據(jù),實(shí)施捕獲。

基于分?jǐn)?shù)階傅里葉變換的網(wǎng)絡(luò)流量異常數(shù)據(jù)快速捕獲流程具體如下所述:

1)針對(duì)初始數(shù)據(jù)X[n],依據(jù)赫斯特參數(shù)的估算均值與極值,結(jié)合式(19),設(shè)定初始閾值范圍[Uini＿min,Uini＿max],與閾值計(jì)數(shù)Ce;

2)將獲得的網(wǎng)絡(luò)流量特征儲(chǔ)存至特征庫內(nèi);

3)解析特征庫的流量特征,求解赫斯特參數(shù)Hc;

4)根據(jù)閾值范圍判定赫斯特參數(shù)Hc對(duì)應(yīng)數(shù)據(jù),當(dāng)在閾值范圍內(nèi)時(shí),網(wǎng)絡(luò)流量屬于正常數(shù)據(jù),存儲(chǔ)至更新判定單元,增加計(jì)數(shù);反之,則屬于異常數(shù)據(jù),執(zhí)行捕獲命令。

4 網(wǎng)絡(luò)流量異常數(shù)據(jù)快速捕獲仿真

4.1 實(shí)驗(yàn)準(zhǔn)備階段

基于某企業(yè)網(wǎng)絡(luò)環(huán)境,從企業(yè)網(wǎng)VLAN1、VLAN2中分別選取103.106.72.246到103.106.72.305地址、103.106.72.1到103.106.72.10地址作為實(shí)驗(yàn)對(duì)象,其中,VLAN1包含面向公眾網(wǎng)的代理服務(wù)器、DNS服務(wù)器、FTP服務(wù)器等,網(wǎng)絡(luò)流量規(guī)模較大;VLAN2由10臺(tái)主機(jī)構(gòu)成,包含1臺(tái)面向外網(wǎng)的交換機(jī)與9臺(tái)正常工作站,負(fù)責(zé)提供FTP、HTTP等網(wǎng)絡(luò)服務(wù),網(wǎng)絡(luò)流量規(guī)模較小。企業(yè)網(wǎng)網(wǎng)絡(luò)流量運(yùn)行較為平穩(wěn),主機(jī)類別間存在較大網(wǎng)絡(luò)流量差異,符合捕獲方法檢驗(yàn)需求。

為驗(yàn)證方法的捕獲性能,采用開源的網(wǎng)絡(luò)攻擊模擬工具Infection Monkey,仿真兩企業(yè)網(wǎng)在表1所示的各類形式攻擊下,本文方法對(duì)異常數(shù)據(jù)的捕獲效果。

表1 網(wǎng)絡(luò)攻擊種類

設(shè)定捕獲數(shù)據(jù)參數(shù),解析捕獲的數(shù)據(jù)包為包含攻擊時(shí)間、攻擊發(fā)起IP、攻擊目標(biāo)IP等信息的會(huì)話記錄,對(duì)捕獲的攻擊數(shù)據(jù)做種類標(biāo)記,用0表示正常數(shù)據(jù),表1的攻擊序號(hào)表示對(duì)應(yīng)形式攻擊。

4.2 在不同攻擊種類下網(wǎng)絡(luò)流量異常數(shù)據(jù)捕獲性能

在開展仿真前,對(duì)兩個(gè)企業(yè)網(wǎng)分別進(jìn)行了大量的訓(xùn)練試驗(yàn),以取得高可靠度的實(shí)驗(yàn)結(jié)果。通過訓(xùn)練試驗(yàn)發(fā)現(xiàn),網(wǎng)絡(luò)攻擊形式中除Land攻擊、Ddos攻擊、弱口令掃描以及傳輸控制協(xié)議connect掃描等四種攻擊種類之外,其余六種均是發(fā)生過的攻擊類型,故認(rèn)為四種攻擊類型是未知攻擊種類,其余的是已知攻擊種類。

針對(duì)已知攻擊種類、未知攻擊種類以及異常數(shù)據(jù)捕獲耗時(shí)等方面展開分析,仿真結(jié)果如圖1所示。其中,圖1(a)所示為企業(yè)網(wǎng)VLAN1主機(jī)利用六種已知攻擊類型攻擊VLAN2網(wǎng)絡(luò)主機(jī)的異常數(shù)據(jù)捕獲結(jié)果;圖1(b)所示為VLAN1主機(jī)發(fā)起未知攻擊過程中的異常數(shù)據(jù)捕獲結(jié)果;圖1(c)所示為已知攻擊與未知攻擊發(fā)起階段的異常數(shù)據(jù)捕獲耗時(shí)。

圖1 網(wǎng)絡(luò)流量異常數(shù)據(jù)捕獲示意圖

從網(wǎng)絡(luò)流量異常數(shù)據(jù)捕獲示意圖1可以看出,本文方法在經(jīng)典傅里葉變換中引入角度參數(shù),得到分?jǐn)?shù)階傅里葉變換方法,經(jīng)推導(dǎo)出其相關(guān)核函數(shù)、逆函數(shù)以及特征值、特征函數(shù)等參數(shù),通過分?jǐn)?shù)階傅里葉變換網(wǎng)絡(luò)流量數(shù)據(jù),獲取了變換域序列,根據(jù)網(wǎng)絡(luò)流量自相似性與異常數(shù)據(jù)之間的相關(guān)性,采用設(shè)計(jì)的自相似參數(shù)估計(jì)策略,為參數(shù)估計(jì)與數(shù)據(jù)捕獲提供了良好的參考依據(jù),利用兩個(gè)離散時(shí)間序列與赫斯特參數(shù)變度,精準(zhǔn)地確定了赫斯特閾值的置信范圍,因此,能夠準(zhǔn)確捕獲到各類攻擊形式,且捕獲時(shí)長也較為理想,極大程度實(shí)現(xiàn)了本文方法的研究目標(biāo)。雖然在一定程度上受到先驗(yàn)知識(shí)影響,但該方法仍然可以滿足實(shí)際應(yīng)用的精準(zhǔn)度與實(shí)時(shí)性需求。

5 結(jié)論

互聯(lián)網(wǎng)時(shí)代的來臨極大程度壯大了網(wǎng)絡(luò)規(guī)模,使網(wǎng)絡(luò)中有了更多的參與個(gè)體,隨著國民經(jīng)濟(jì)的增長,逐漸演變?yōu)楫?dāng)前社會(huì)生產(chǎn)與生活中的主要角色,盡管網(wǎng)絡(luò)技術(shù)為人們的日?；顒?dòng)帶來了前所未有的諸多便利,但與此同時(shí),也隱藏著潛在的信息安全問題。為迅速發(fā)現(xiàn)網(wǎng)絡(luò)異常所在,本文基于傅里葉變換算法,提出一種分?jǐn)?shù)階傅里葉變換下的網(wǎng)絡(luò)流量異常數(shù)據(jù)快速捕獲策略。需將本文方法應(yīng)用于不同類型的網(wǎng)絡(luò)中來探索方法的實(shí)時(shí)性,并深入學(xué)習(xí)流量采樣技術(shù)相關(guān)知識(shí),進(jìn)一步提升異常數(shù)據(jù)的捕獲速率;在未來的研究工作中,應(yīng)就此方法建立一種捕獲系統(tǒng),通過硬件流量處理平臺(tái),獲取更理想的實(shí)時(shí)性;網(wǎng)絡(luò)異常數(shù)據(jù)的成因除網(wǎng)絡(luò)攻擊外,還有異常操作、網(wǎng)絡(luò)濫用、蠕蟲病毒以及錯(cuò)誤配置等因素,需分解、協(xié)議解析具體的流量數(shù)據(jù)包,區(qū)分異常數(shù)據(jù)具體誘因,擴(kuò)展方法實(shí)用性;實(shí)際應(yīng)用中通常是多樣本數(shù)據(jù)、少異常數(shù)據(jù),極易造成部分異常數(shù)據(jù)被忽略,故將捕獲少量異常數(shù)據(jù)作為接下來的研究重點(diǎn)。