張艾森

(上海工業(yè)自動(dòng)化儀表研究院有限公司,上海 200233)

0 引言

現(xiàn)階段,物聯(lián)網(wǎng)技術(shù)不斷突破,應(yīng)用軟件日益多樣化,使得物聯(lián)網(wǎng)得到普及。物聯(lián)網(wǎng)吸引了越來越多的網(wǎng)絡(luò)用戶,已成為政府、公司和個(gè)人等不可或缺的工具[1]。由于網(wǎng)絡(luò)用戶缺乏安全意識(shí)、計(jì)算機(jī)安全等級(jí)較低等,多種類型的計(jì)算機(jī)病毒會(huì)利用應(yīng)用軟件攻擊網(wǎng)絡(luò),使網(wǎng)絡(luò)的正常運(yùn)行和服務(wù)遭到破壞,導(dǎo)致用戶隱私信息泄漏和財(cái)產(chǎn)損失。隨著網(wǎng)絡(luò)攻擊方式的不斷改變,攻擊行為越來越隱蔽。因此,研究高隱蔽性惡意攻擊行為辨識(shí)方法、排查計(jì)算機(jī)病毒的攻擊行為、提高網(wǎng)絡(luò)安全領(lǐng)域的防護(hù)能力具有重要意義[2-3]。

當(dāng)前,網(wǎng)絡(luò)攻擊行為辨識(shí)的相關(guān)研究已取得較大進(jìn)展。網(wǎng)站接收資源信息訪問請(qǐng)求后,通過黑名單排查訪問網(wǎng)絡(luò)互聯(lián)網(wǎng)協(xié)議(Internet protocol,IP)。若IP地址在黑名單數(shù)據(jù)庫中,拒絕訪問請(qǐng)求;若IP不在黑名單中,則利用惡意攻擊行為多級(jí)過濾器,分析訪問者的域名特征、符號(hào)特征、關(guān)鍵詞特征等,從而進(jìn)一步判別訪問是否安全[4-5]。文獻(xiàn)[6]提出基于支持向量機(jī)的網(wǎng)絡(luò)攻擊行為辨識(shí)方法,分析網(wǎng)絡(luò)攻擊行為辨識(shí)特征,包括數(shù)據(jù)場(chǎng)數(shù)據(jù)、時(shí)間周期、報(bào)文標(biāo)識(shí)符;利用支持向量機(jī)算法,識(shí)別網(wǎng)絡(luò)攻擊的入侵報(bào)文數(shù)據(jù)。但該方法提取的小樣本特征不全面、網(wǎng)絡(luò)攻擊行為召回率較低。文獻(xiàn)[7]提出基于IP熵變量的網(wǎng)絡(luò)攻擊行為辨識(shí),通過IP熵和通信熵設(shè)計(jì)了1個(gè)基于熵變量的網(wǎng)絡(luò)攻擊溯源模型,并結(jié)合異常流量區(qū)分算法和網(wǎng)絡(luò)攻擊溯源算法得到網(wǎng)絡(luò)攻擊行為識(shí)別算法。但該模型檢測(cè)攻擊行為的時(shí)間容忍范圍存在限制,網(wǎng)絡(luò)攻擊行為誤報(bào)率較高。

針對(duì)以上問題,本文結(jié)合現(xiàn)有的研究理論,提出基于半監(jiān)督學(xué)習(xí)的網(wǎng)絡(luò)高隱蔽性惡意攻擊行為辨識(shí)方法。

1 高隱蔽性惡意攻擊行為辨識(shí)

1.1 攻擊數(shù)據(jù)區(qū)分

獲取網(wǎng)絡(luò)流量數(shù)據(jù)后,為區(qū)分正常數(shù)據(jù)和攻擊數(shù)據(jù),需要對(duì)攻擊數(shù)據(jù)進(jìn)行預(yù)處理。預(yù)處理采集網(wǎng)絡(luò)流量數(shù)據(jù),設(shè)數(shù)據(jù)集合為{a1,a2,…,an},可以得到流量數(shù)據(jù)矩陣A。

(1)

式中:a1,a2,…,an為網(wǎng)絡(luò)流量數(shù)據(jù)。

本文通過小波方程式,確定流量數(shù)據(jù)隸屬度,得到流量數(shù)據(jù)權(quán)重系數(shù)d,并利用極值函數(shù)計(jì)算攻擊行為辨別中心的歐德數(shù)值。流量數(shù)據(jù)的屬性B(A)為:

(2)

式中:b為流量數(shù)據(jù)與辨別中心的最遠(yuǎn)距離值;ci為第i個(gè)流量數(shù)據(jù)的模糊組數(shù)據(jù);Hj為辨別中心第j個(gè)權(quán)重值[8];Ci為第i個(gè)流量數(shù)據(jù)的樣本數(shù)。

流量數(shù)據(jù)越大,則判定ci越大。

按照屬性值由大到小的順序排序流量數(shù)據(jù),可以得到包含全部屬性的數(shù)據(jù)行為序列{D1,D2,…,Dm}。行為序列的變量值E(D)為:

E(D)=-∑F(De)log2F(De)B2(A)

(3)

式中:De為第e個(gè)數(shù)據(jù)行為,e=[1,2,…,m];F(De)為De的有效檢驗(yàn)率。

t時(shí)刻的流量數(shù)據(jù)惡意目標(biāo)g(t)為:

(4)

式中:E(De)為第e個(gè)數(shù)據(jù)行為的變量值[9];m′為辨別中心權(quán)重值的個(gè)數(shù)。

網(wǎng)絡(luò)接收的數(shù)據(jù)輸入輸出信號(hào)為:

h(t)=f×G(t)+g(t)

(5)

式中:G(t)為t時(shí)刻網(wǎng)絡(luò)數(shù)據(jù)傳輸過程中流量數(shù)據(jù)的發(fā)射信號(hào),dB;f為網(wǎng)絡(luò)信道振幅值,Hz,h(t)為t時(shí)刻接收的網(wǎng)絡(luò)傳輸信號(hào)[10]。

本文根據(jù)式(5),將網(wǎng)絡(luò)傳輸信號(hào)h(t)分解為流量數(shù)據(jù)發(fā)射信號(hào)G(t)和惡意目標(biāo)g(t)。若流量數(shù)據(jù)沒有惡意目標(biāo),g(t)值為0。本文以g(t)不為0的流量數(shù)據(jù)作為攻擊數(shù)據(jù)。本文根據(jù)攻擊數(shù)據(jù)的最大值h(t)max和最小值h(t)min,對(duì)h(t)進(jìn)行歸一化處理。

(6)

1.2 高隱蔽性惡意攻擊行為數(shù)據(jù)檢驗(yàn)

本文通過改進(jìn)空間聚類算法分析預(yù)處理后的攻擊數(shù)據(jù),對(duì)攻擊數(shù)據(jù)集合進(jìn)行空間分類和降維操作,并利用攻擊數(shù)據(jù)在空間上的特征分布檢驗(yàn)攻擊數(shù)據(jù)是否產(chǎn)生網(wǎng)絡(luò)攻擊行為。高隱蔽性惡意攻擊行為數(shù)據(jù)檢驗(yàn)過程如下。

①計(jì)算需要設(shè)置的空間數(shù)量。本文設(shè)改進(jìn)空間聚類算法的維度為I,則需要設(shè)置的空間數(shù)量J為:

(7)

②數(shù)據(jù)降維。本文利用類簇局部收斂函數(shù),在J個(gè)空間中選擇多個(gè)數(shù)據(jù)屬性,把高維空間數(shù)據(jù)集轉(zhuǎn)換為低維空間。本文利用改進(jìn)密度聚類算法,對(duì)J個(gè)空間進(jìn)行二次聚類和分類操作。本文引入?yún)^(qū)域和噪聲的概念,任意選擇攻擊數(shù)據(jù)集合的1個(gè)空間,以空間為中心建立1個(gè)圓形區(qū)域,使區(qū)域半徑固定,把不屬于任何區(qū)域的孤立數(shù)據(jù)作為噪聲數(shù)據(jù)。本文將J個(gè)數(shù)據(jù)空間作為改進(jìn)密度聚類算法的輸入數(shù)據(jù),從空間密度的角度出發(fā)對(duì)攻擊數(shù)據(jù)進(jìn)行聚類運(yùn)算操作,輸出攻擊數(shù)據(jù)的類簇集合和孤立點(diǎn)集合。

③數(shù)據(jù)聚類分析。本文利用改進(jìn)證據(jù)累積聚類算法,將多個(gè)類簇合成1個(gè)單獨(dú)數(shù)據(jù)區(qū)域。本文把類簇集合和孤立點(diǎn)集合作為改進(jìn)證據(jù)累積聚類算法的輸入數(shù)據(jù),通過密度稠密分解方法計(jì)算類簇質(zhì)心p和孤立點(diǎn)q的相異距離。當(dāng)轉(zhuǎn)換后的低維空間維度L≤2,將曼哈頓距離K1(p,q)作為相異距離,則有:

(8)

當(dāng)2

(9)

當(dāng)L>5時(shí),將切比雪夫距離K3(p,q)作為相異距離,則有:

(10)

式中:l為低維空間的協(xié)方差矩陣。

相異距離越小,則判定類簇質(zhì)心和孤立點(diǎn)的相似度越大。本文根據(jù)網(wǎng)絡(luò)安全防護(hù)性能,設(shè)定攻擊行為檢測(cè)閾值。若相異距離大于閾值,判定攻擊數(shù)據(jù)產(chǎn)生網(wǎng)絡(luò)攻擊行為;否則,未產(chǎn)生攻擊行為。至此本文完成攻擊數(shù)據(jù)是否產(chǎn)生網(wǎng)絡(luò)高隱蔽性惡意攻擊行為的檢驗(yàn)。

1.3 高隱蔽性惡意攻擊行為辨識(shí)

本文提取產(chǎn)生攻擊行為的攻擊數(shù)據(jù)特征,輸入半監(jiān)督學(xué)習(xí)模型,以辨識(shí)網(wǎng)絡(luò)高隱蔽性惡意攻擊行為。辨識(shí)步驟如下。

①構(gòu)建模型。本文利用3個(gè)稀疏自編碼器組成半監(jiān)督學(xué)習(xí)模型,通過稀疏正則化項(xiàng),約束模型神經(jīng)元數(shù)量,提取攻擊數(shù)據(jù)特征向量。半監(jiān)督學(xué)習(xí)模型包括輸入層、隱藏層和輸出層。本文設(shè)產(chǎn)生攻擊行為的數(shù)據(jù)集合為{O1,O2,…,OM};數(shù)據(jù)集的歸一化值為h(O)。本文單獨(dú)訓(xùn)練每個(gè)稀疏自編碼器,映射輸入的攻擊數(shù)據(jù)歸一化值。計(jì)算式為:

N(O)=P[Q·h(O)]+R

(11)

式中:N(O)為數(shù)據(jù)集合的映射值;P為編碼器的權(quán)重矩陣;R、Q分別為激活函數(shù)和偏置向量。

②優(yōu)化模型。本文將最小化代價(jià)函數(shù)作為半監(jiān)督學(xué)習(xí)模型訓(xùn)練的優(yōu)化目標(biāo),不斷調(diào)整模型參數(shù)的取值,直至獲取最優(yōu)參數(shù)值,把N(O)作為h(O)的新特征表達(dá)。本文將N(O)作為下一個(gè)編碼器的輸入,重復(fù)數(shù)據(jù)映射過程,從而把最后一個(gè)編碼器的輸出作為攻擊數(shù)據(jù)的最終特征表達(dá)。本文以監(jiān)督學(xué)習(xí)模型輸出層的所有新特征值{r1,r2,…,rU}作為攻擊數(shù)據(jù)的新特征值向量、以輸出層的所有權(quán)重值{s1,s2,…,sV}作為攻擊數(shù)據(jù)的原始特征權(quán)重值向量,并設(shè)權(quán)重值取值范圍為[0,1]、所有權(quán)重值和為1。

本文初步判別網(wǎng)絡(luò)攻擊行為類型,將2種特征向量映射到另一個(gè)同維度向量。計(jì)算式為:

(12)

本文把映射的特征向量劃分為語法特征、領(lǐng)域特征。語法特征包括路徑長(zhǎng)度、路徑深度、字符串最大長(zhǎng)度、特殊字符個(gè)數(shù)等。領(lǐng)域特征包括危險(xiǎn)等級(jí)、是否含有惡意關(guān)鍵字等。本文為每個(gè)攻擊行為類別訓(xùn)練1個(gè)分類器,把屬于該類別的攻擊行為視為正例,其余攻擊行為類別視為負(fù)例。每個(gè)分類器產(chǎn)生第i個(gè)攻擊數(shù)據(jù)的概率值Pi為:

(13)

式中:Ti、Zi分別為攻擊數(shù)據(jù)新特征向量、原始特征權(quán)重向量,表示對(duì)攻擊行為分類器的隸屬度;y1、y2、y3分別為攻擊行為偽裝、泛洪、注入發(fā)生的概率。

本文對(duì)比所有分類器輸出的攻擊數(shù)據(jù)概率值;將概率值最大的攻擊數(shù)據(jù)作為該分類器的正例;將分類器對(duì)應(yīng)的攻擊行為類別,視為第e個(gè)攻擊數(shù)據(jù)產(chǎn)生的攻擊行為類型。至此,本文完成網(wǎng)絡(luò)高隱蔽性惡意攻擊行為的辨識(shí),實(shí)現(xiàn)了基于半監(jiān)督學(xué)習(xí)的網(wǎng)絡(luò)高隱蔽性惡意攻擊行為辨識(shí)方法設(shè)計(jì)。

2 試驗(yàn)論證分析

本文將所設(shè)計(jì)的方法與基于支持向量機(jī)的網(wǎng)絡(luò)攻擊行為辨識(shí)方法、基于IP熵變量的網(wǎng)絡(luò)攻擊行為辨識(shí)方法進(jìn)行對(duì)比試驗(yàn),以比較網(wǎng)絡(luò)攻擊行為召回率、誤報(bào)率和準(zhǔn)確率。

2.1 試驗(yàn)準(zhǔn)備

本文采用KDD99數(shù)據(jù)集作為試驗(yàn)數(shù)據(jù)。數(shù)據(jù)集為Wi-Fi環(huán)境下采集的網(wǎng)絡(luò)數(shù)據(jù),由IXIA PerfectStorm工具創(chuàng)建。數(shù)據(jù)包含正常行為和攻擊行為。在數(shù)據(jù)集中,本文選取40%數(shù)據(jù)進(jìn)行平等劃分,得到1 000個(gè)攻擊行為和1 000個(gè)正常行為。本文對(duì)數(shù)據(jù)集進(jìn)行格式化處理,規(guī)范攻擊數(shù)據(jù)和正常數(shù)據(jù)的特征表示,包括流量、網(wǎng)絡(luò)連接、網(wǎng)絡(luò)協(xié)議。特征值采用十進(jìn)制表示。數(shù)據(jù)集包括多種大攻擊類型和子攻擊類型。子攻擊類型包含在大攻擊類型中。

攻擊數(shù)據(jù)行為類型如表1所示。

表1 攻擊數(shù)據(jù)行為類型

攻擊數(shù)據(jù)特征包含流特征、基本特征、內(nèi)容特征、時(shí)間特征、附加屬性特征、類別特征等。本文使用普通計(jì)算機(jī),構(gòu)建分布式站點(diǎn)平臺(tái),集成Hue、Spark、Kafka、Zookeeper組件,并把數(shù)據(jù)集存儲(chǔ)在字符分隔值(comma-separated values,CSV)文件。本文通過訪問統(tǒng)計(jì)工具、通信平臺(tái)網(wǎng)絡(luò),輸入、輸出信息數(shù)據(jù),以40 min為1個(gè)統(tǒng)計(jì)時(shí)段,記錄40 min內(nèi)訪問的停留時(shí)間、訪問深度、IP數(shù),并利用Bro-IDS工具和Argus工具模擬站點(diǎn)平臺(tái)攻擊流量(包括漏洞掃描工具模擬攻擊、人工構(gòu)造攻擊流量);通過采集網(wǎng)絡(luò)數(shù)據(jù)時(shí)接入計(jì)算機(jī)網(wǎng)卡實(shí)際經(jīng)過的流量,以tcpdump工具捕獲原始網(wǎng)絡(luò)流量數(shù)據(jù)以辨識(shí)攻擊行為。

2.2 試驗(yàn)結(jié)果分析

試驗(yàn)比較3種辨識(shí)方法的網(wǎng)絡(luò)攻擊行為召回率R,以衡量攻擊數(shù)據(jù)被正確分類的比例。

(14)

式中:TP為攻擊行為判別正確的數(shù)量;FP為攻擊行為判別錯(cuò)誤的數(shù)量。網(wǎng)絡(luò)攻擊行為的召回率試驗(yàn)對(duì)比結(jié)果如圖1所示。

圖1 召回率試驗(yàn)對(duì)比結(jié)果

由圖1可知:本文方法網(wǎng)絡(luò)攻擊行為平均召回率為95.0%;基于支持向量機(jī)的網(wǎng)絡(luò)攻擊行為辨識(shí)方法平均召回率為86.8%;基于IP熵變量的網(wǎng)絡(luò)攻擊行為辨識(shí)方法平均召回率為78.9%。本文方法攻擊行為召回率相比對(duì)比方法分別增加了8.2%、16.1%,提高了攻擊數(shù)據(jù)被正確分類的比例。

試驗(yàn)比較3種辨識(shí)方法的攻擊行為誤報(bào)率F,以衡量正常數(shù)據(jù)的誤分類比例。

(15)

式中:NP為正常行為判別錯(cuò)誤的數(shù)量;NF為正常行為判別正確的數(shù)量。

網(wǎng)絡(luò)攻擊行為的誤報(bào)率試驗(yàn)對(duì)比結(jié)果如圖2所示。

圖2 誤報(bào)率試驗(yàn)對(duì)比結(jié)果

由圖2可知,本文方法平均誤報(bào)率為0.05%,另外2種方法平均誤報(bào)率分別為0.11%、0.19%。本文方法網(wǎng)絡(luò)攻擊行為誤報(bào)率相比對(duì)比方法分別減少了0.06%、0.14%,降低了正常數(shù)據(jù)的誤分類比例。

試驗(yàn)比較3種辨識(shí)方法的攻擊行為準(zhǔn)確率β,以衡量攻擊數(shù)據(jù)和正常數(shù)據(jù)正確分類的比例。

(16)

網(wǎng)絡(luò)攻擊行為的準(zhǔn)確率試驗(yàn)對(duì)比結(jié)果如圖3所示。

圖3 準(zhǔn)確率試驗(yàn)對(duì)比結(jié)果

由圖3可知,本文方法平均準(zhǔn)確率為97.8%,另外2種方法平均準(zhǔn)確率分別為95.1%、92.3%。本文方法網(wǎng)絡(luò)攻擊行為準(zhǔn)確率相比對(duì)比方法分別增加了2.7%、5.5%,提高了攻擊數(shù)據(jù)和正常數(shù)據(jù)正確分類的比例。綜上所述,本文方法實(shí)現(xiàn)了網(wǎng)絡(luò)攻擊數(shù)據(jù)的預(yù)處理,能夠在提取攻擊數(shù)據(jù)特征前消除攻擊數(shù)據(jù)存在的噪聲點(diǎn)。這增加了攻擊行為召回率和準(zhǔn)確率、減少了誤報(bào)率,使攻擊行為辨識(shí)結(jié)果更加準(zhǔn)確、可靠。

3 結(jié)論

針對(duì)網(wǎng)絡(luò)流量攻擊數(shù)據(jù)辨識(shí)過程中,由數(shù)據(jù)屬性缺失引起的辨識(shí)準(zhǔn)確率較低的問題,本文提出了基于半監(jiān)督學(xué)習(xí)的網(wǎng)絡(luò)高隱蔽性惡意攻擊行為辨識(shí)方法。該方法通過半監(jiān)督學(xué)習(xí)模型提取攻擊數(shù)據(jù)特征、辨識(shí)網(wǎng)絡(luò)高隱蔽性惡意攻擊行為,保證了高準(zhǔn)確率、高召回率、低誤報(bào)率的辨識(shí)性能。但本文方法仍存在一定不足,例如對(duì)網(wǎng)絡(luò)攻擊行為特點(diǎn)的分析還不夠完善,以及模型辨識(shí)效率還有待提高。今后的研究會(huì)分析網(wǎng)絡(luò)攻擊行為特點(diǎn),應(yīng)用機(jī)器學(xué)習(xí)算法檢驗(yàn)攻擊數(shù)據(jù)集合,并進(jìn)一步完善半監(jiān)督學(xué)習(xí)模型的特征提取工作,使攻擊行為辨識(shí)更加高效、智能。