网络隐写信息传递系统的高效攻击检测

秦瑞峰

(吕梁学院离石师范分校学生处，山西吕梁 033000)

Internet已成为人类交流和生产生活的主要工具。各种数据和信息在网络中不断地传输和共享，与之同时带来了网络安全的问题［1］。在计算机网络安全系统设计中，对加密数据的信息传输系统设计是整个网络安全研究的重点，加密数据的保密性强，关系国家和公共安全，一旦遭受到攻击，将带来不可估量的后果。为提高计算机网络中加密数据的传输性能，出现了网络隐写系统，需要加密传输的数据在网络隐写系统进行通信和传输，系统中的数据具有高隐蔽性，由于在网络隐写系统中的通信数据价值高，保密性强，常受到窃密木马病毒的攻击，研究网络隐写信息传递系统的高效攻击检测技术对保证加密数据的传输安全具有重要意义。

对网络隐写系统的攻击病毒木马表现为一种隐蔽性较强的攻击信号，传统方法采用防火墙技术对其实现拦截和检测，对于网络隐写信息传递系统的攻击数据包，网络防火墙数据捕获技术主要采用基于模糊控制的数据包捕获技术和基于信号处理的攻击数据捕获技术。前者主要采用线性控制和模糊网络理论实现对攻击数据的捕获和检测，提取攻击数据的模糊代价函数特征量，构成网络Web防火墙的内核嵌入模块，实现对攻击的拦截和捕获。文献［2］构建分数阶傅里叶检测算法，提取待检测信号的频谱特征，实现了Web防火墙对并行特征的匹配，提高Web防火墙对数据的并行处理和捕获能力，实现对攻击数据的检测;文献［3］提出了一种基于IDS报警日志和神经网络预测的网络攻击预测，采用神经网络对安全攻击态势进行分类识别，达到预测的目的，但算法的自组织性和自适应能力较差;文献［4］提出一种基于Kalman算法的网络安全态势预测，建立Kalman动态预测方案，对黑客攻击数据进行仿真分析，取得了一定的攻击检测效果，但算法计算量大，收敛性不好;文献［5］提出一种基于日志审计和性能修正算法的网络安全态势预测算法，采用神经自使用和自校正模型进行预测控制，实现网络隐写系统的攻击检测，但算法开销较大，应用较困难;文献［6］提出一种基于关联维特征提取的网络攻击检测算法;文献［7］提出一种基于高阶谱分析的单谱脉冲响应信号畸变检测方法，检测无线传感器组合网络的时频入侵信号特征，但对高阶谱的求解困难。

针对上述问题，提出一种基于多路复用波束域约束指向形成的网络隐写信息传递系统的高效攻击检测算法，首先构建网络隐写信息传递系统和网络攻击信号模型，采用多路复用波束域约束指向形成算法实现对检测算法的改进，仿真实验验证了算法的优越性能。

1 信息传递系统与攻击信号模型

1.1 网络隐写信息传递系统模型

构建网络隐写信息传递系统模型，在网络隐写信息传递系统中，构建在大规模网络基站模型中，基站作为中心节点，向辐射在周边的用户节点发送和接收数据，进行数据交互和传输。系统中对加密数据进行数据通信传输，在这个过程中，产生这个数据存储的隐通道中产生大量的隐写数据，对其进行加密传输［8］，得到网络隐写信息传递通道如图1所示。

图1 网络隐写信息传递通道示意图

在图1所示的网络隐写信息传递系统中，对网络结果实现拓扑分析，拓扑结构分为3个区域，最终建立起一个3跳梯度的环状网络，且网络中所有节点均有一条与sink节点相连的最少跳数通信路径，通过sink节点与周边节点相连，进行隐写信息的传递和通信［9］。网络在遭受攻击信号入侵过程中，把网络隐写信息传递模型在计算机系统中从上到下分解为应用层、表示层、会话层、传输层、计算机层、链路层和物理层，以上7层网络模型受到攻击信号的层析分解后攻击时，需要对攻击信号进行检测。攻击信号对于每层的详细计算机攻击模式主要体现为应用层受到计算机攻击:通常会是黑客计算机攻击或其他的非法调用，在黑客计算机攻击时，会切入用户的电脑，窃取信息，然后进行不正当的计算机攻击操作。

综上分析可见，网络隐写信息传递网络主要有3个组件:转发信息表FIB、内容存储CS和PIT表。当某个功率自激网络路由器无法满足某个Interest报文时，该路由器就会将该Interest报文所请求的内容名以及其到达的端口信息记录在PIT表中。攻击信号对网络隐写信息传递系统的攻击主要实现对DOM函数的修改，eval()、setTimeout()、setInterval()等直接执行脚本函数中的安全漏洞得到过滤，最后基于路由交换数据在线复杂度预测，设计DOM XSS漏洞检测系统DOM－XSScaner，其中DOM－XSScaner漏洞检测系统主要由网页爬取分析模块、脚本注入模块和验证模块。网络隐写信息传递系统的攻击检测系统如图2所示。

图2 网络隐写信息传递系统的攻击检测系统模型

1.2 攻击信号模型构建

对网络隐写信息传递系统攻击信号的检测研究中，频谱检测是基础，通过对时变非平稳攻击信号进行频谱检测，提取信号的本征频率、群延迟和包络等信号特征，实现对攻击信号预测拦截和滤波检测。因此，研究时变非平稳攻击信号频谱检测算法是关键，需要构建攻击信号模型。假设网络隐写信息传递系统的攻击信号系统是一个三维连续的典型自治系统，其数学模型表达式为

上述攻击系统中数学模型，取参数σ=10，r=28，b=8/3采用4阶Runge－Kutta法解方程，得到攻击信号的离散分解形式。采用脉冲压缩二次调频时间分布方法调节系统参数a，b，得到非平稳时变攻击信号可采用一个具有非线性调制规律的非线性调频信号z(t)=p ejφ(t)描述，其中以此得到攻击信号的频谱分离表达式为

式(2)中，{u(·)}表示攻击信号的s平面部分的包络延拓成分;{ζ(·)}表示干扰色噪声。令Rd×L为d×L维数的矩阵，构建无向图G=(V，E)中，用dG(u，v)表示图G中从u到v最小跳数，求得信号的本征波信号频率{ωk}，然后在双线性Hough变换映射轴中镜像恢复相位为{Φk}和幅度为{pk}的频谱畸变部分，得到攻击信号的时间序列模型表达式为

2 高效攻击检测算法改进与实现

2.1 多路复用波束域约束指向形成算法

针对传统方法对攻击信号进行检测出现检测概率低的问题，对传统的攻击检测算法进行了改进，假设信号的多路复用波束域约束相空间中平面有3个时间点和8个频率点，当Δ→∞，为实现攻击信号的多路复用波束域约束指向形成，进行相空间重构设计，假设攻击信号的状态相空间 si=(xi，xi+τ，…，xi+(m－1)τ)T。在相空间中，多路复用相轨迹从xn→xn+1的演化反映了网络攻击信号时间序列的预测演化模型，表现为zn→zn+1或z(t)→z(t+1)，在对攻击信号相空间重构中，网络隐写通道的相位信息使用平均互信息法计算得到相空间重构时延τ，采用虚假最近邻点法求得攻击信号相空间重构的嵌入维数m。得到对与攻击信号时间序列{x(t0+iΔt)}，i=0，1，…，N －1，其相空间重构轨迹为

其中，K=N－(m－1)τ，由此得到多路复用波束域约束指向形成的输出结果为

对链路层中的加密数据进行块内频率检测，二项式和Sn可表示为

为提高检测概率，对提取得到的多路复用波束域约束指向输出结果进行频分复用分解，使之服从最大整数qi为奇数的均匀分布，令

考虑一种简单的匹配滤波器形式

式(9)中，输入数据序列为u(n)，输出为x(n)的离散线性系统。

2.2 检测实现

根据多路复用波束域约束指向形成算法，利用相空间重构轨迹矩阵L和最佳嵌入维数m求得维数为N×m子空间矩阵X

其中，N(z)是分子多项式，它的零点在 z=e±jω0处，D(z)为分母多项式，其根在 z=e±jω0附近，式(8)是对网络攻击非线性信号进行一阶自回归模型分析的结果，根据最小均方误差准则，得到在网络隐写信息传递系统中攻击信号预处理后的检测输出为

式(11)中，J(xN)通过J(xiN)正交变换得到，假设攻击信号的波束形成传递函数服从参数为(α，β)的 Weibull分布，随机变量满足，设置一个预估计器来计算J(x1)，为

对于攻击信号重组相空间中的任意一点Xn，其的最近邻点表示为 Xη(n)，定义 Rmn为 Xn与 Xη(n)两点之间的距离，用欧式距离表示为

称Xη(n)为Xn的低维轨线上正交频谱分量，随着m增加到m+1，两点之间的正交频谱分量相应为

当R(m+1)n比Rmn要大得多的情况下，认为是由于高维吸引子中两个不相邻的点投影，由此实现正交频谱分离，抑制了干扰噪声，实现对攻击信号的高效检测。

3 实验与分析

为验证本文检测算法的性能，进行仿真实验，实验仿真平台的操作系统为Ubuntu12.04，构建网络隐写信息传递系统，Hadoop云平台版本为1.1.2，实验程序采用Java程序设计语言编写，采用C/S架构，设计隐写传递系统的发送端和接收端，进行网络通信。仿真实验在Windows 7环境下进行了测试。硬件实验平台构建为:理器 VS2008，CPU X6300，内存 2 GDDR，Win 7操作系统。

实验中，取某一段时间内100天的网络攻击数据集对服务层、主机层和系统层进行层次化攻击，作为攻击数据集测试网络威胁和安全态势值的数据源，主机的安全威胁重要性指数分别设定为0.8，0.4 和0.5，网络攻击过程中，黑客攻击模式包括 syn flood，land，teardrop等数18种攻击模式。主成分网络攻击数据集采用Honeynet组织手机的黑客攻击数据作为攻击源，得到攻击信号的原始波形如图3所示。从图3可知，原始攻击信号对网络隐写信息传递系统进行攻击过程中，攻击信号几乎完全淹没在噪声背景中，无法有效拦截和识别攻击信号。

图3 攻击信号

需要对图3的攻击信号进行检测，采用本文算法和传统算法进行攻击信号检测结果如图4所示，对比可见，采用本文算法，能有效检测出攻击信号波峰明显，而传统算法在信噪比较低的情况下无法有效实现对攻击信号的检测，检测峰值湮没在噪声中。

图4 网络隐写信息传递系统攻击信号检测结果

采用蒙特卡洛实验，定量分析检测性能可知，新算法能在－15 dB低信噪比背景下，传统算法的检测概率为63%，本文改进算法的检测概率为92%，正确检测概率提升明显，改进算法的检测性能整体比传统算法优越。研究成果展示了本文算法对攻击信号优越的检测性能。

4 结束语

对加密数据的信息传输系统设计是整个网络安全研究的重点，加密数据的保密性强，关系国家和公共安全，设计网络隐写信息传递系统实现对保密数据的传输通信。在网络隐写信息传递系统中，信息传输具有隐蔽性，多应用在多加密信息的传输上，安全保密性较高，因此常遭到窃密木马病毒的攻击，研究网络隐写信息传递系统的高效攻击检测技术对保证加密数据的传输安全具有重要意义。提出一种基于多路复用波束域约束指向形成的网络隐写信息传递系统的高效攻击检测算法，构建信号模型和系统模型进行算法改进设计，实验证明，本文算法能有效检测出攻击信号波峰明显，抗噪能力强，检测概率高，在网络安全设计和信号检测等领域都具有较为优越的应用价值。

［1］靳晓艳，周希元，张琬琳.多径衰落信道中基于自适应MCMC 的调制识别［J］.北京邮电大学学报，2014，37(1):31－34.

［2］饶雨泰，杨凡.网络入侵搅动下的网络失稳控 制方法研究［J］.科技通报，2014，30(1):185 －188.

［3］ZHU Q Y，YANG X F，YANG L X，et al.Optimal control of computer virus under a delayed model［J］.Applied Mathematics and Computation，2012，218(23):11613 －11619.

［4］邓兵，陶然，平殿发，等.基于分数阶傅里叶变换补偿多普勒徙动的动目标检测算法［J］.兵工学报，2009，30(10):1034－1039.

［5］叶青，黄炎磊.非均匀分布入侵检测模型的研究与仿真［J］.科技通报，2013，29(8):169 －171.

［6］赵鹏军，邵泽军.一种新的改进的混合蛙跳算法［J］.计算机工程与应用，2012，48(8):48 －50.

［7］夏秦，王志文，卢柯.入侵检测系统利用信息熵检测网络攻击的方法［J］.西安交通大学学报，2013，47(2):14－19.

［8］吴春琼.基于特征选择的网络入侵检测模型［J］.计算机仿真，2012，29(6):136 －139.

［9］王睿.一种基于回溯的Web上应用层DDOS检测防范机制［J］.计算机科学，2013，40(S2):175 －177.