基于大数据的半分布式僵尸网络动态抑制算法

刘张榕

(福建林业职业技术学院自动化工程系,福建 南平 353000)

0 引 言

随着网络信息传输技术的发展，网络的安全性受到人们的极大关注，需要构建半分布式僵尸网络的特征提取模型，结合嵌入式的特征分布式检测方法，进行半分布式僵尸网络的动态抑制，提高半分布式僵尸网络的安全性。在采用半分布式僵尸网络进行数据传输过程中，受到半分布式僵尸网络的环境信息干扰因素的影响[1]，导致半分布式僵尸网络的安全性不好。因此，需要建立半分布式僵尸网络的安全性检测模型，结合入侵检测和码元分布式结构重组方法，进行半分布式僵尸网络的动态入侵抑制。对半分布式僵尸网络动态信息抑制方法的相关研究受到人们的极大重视[2]。

文献[3]提出了一种分布式实时僵尸网络检测算法，通过将Netflow组织成主机Netflow图谱和主机关系链，并提取隐含的CC通信特征来检测僵尸网络；同时，基于Spark Streaming分布式实时流处理引擎，实现了BotScanner分布式检测系统。文献[4]提出了基于流量的P2P僵尸网络检测算法，从结构、感染过程等方面进行分析，利用基于流量的检测方法，通过过滤可疑流量、DNS流量检测等，判定是否受到僵尸网络攻击，并提出避免感染僵尸网络的防御措施。文献[5]提出了SDN下基于深度学习混合模型的DDoS攻击检测与防御算法，在构建深度学习模型时，输入特征除了从数据平面提取的21个不同类型的字段外，还设计了能够区分流类型的5个额外流表特征。实验结果表明，该算法具有较高的精确度。可将该检测模型部署于控制器中，利用检测结果产生新的安全策略，下发到Open Flow交换机中，以实现对特定DDoS攻击的防御。但是，以上3种方法在半分布式僵尸网络检测时，抑制精度较低。

文献[6]提出了机器学习的僵尸网络恶意代码的检测算法，将RIPPER方法与朴素贝叶斯方法综合，利用RIPPER方法的显性规则对潜在的恶意代码进行检测，利用贝叶斯方法的推导公式求解结果。通过对已有的代码样本集合训练，获得相应的僵尸网络恶意代码规则，最后将训练好的规则应用到新的代码监测，获得精准的监测数据。文献[7]针对僵尸网络的识别和控制，提出了一种新的检测手段。首先通过多种渠道获取僵尸病毒域名或IP，通过对海量DNS访问日志进行分析，得出僵尸网络的分布情况，准确发现控制端，进而分析网络整体僵尸病毒感染情况，DNS日志分析方式的僵尸网络识别和控制具有良好的效果。但是，以上2种方法的半分布式僵尸网络通信数据在动态传输时出现时间延迟现象，导致抑制时间较长。

文献[8]提出一种基于最近邻规则欠抽样方法和ADASYN(Adaptive Synthetic Sampling)结合的不均衡数据SVM分类算法，应用于P2P僵尸网络检测。实验结果表明，无论是僵尸网络还是正常的流量，该方法都具有很高的正确率，并能在短时间内达到很好的分类效果。文献[9]提出了一种基于网络行为特征和Dezert-Smarandache理论的P2P僵尸检测方法。首先，利用局部奇异性和信息熵对网络行为特征进行多方面的描述；然后，利用卡尔曼滤波器对网络行为特性进行异常检测；最后，用Dezert-Smarandache理论对上述检测结果进行融合，以得到最终检测结果。但是，以上2种方法的网络输出误码率较高，导致半分布式僵尸网络安全性能较差。

针对上述方法存在的问题，本文提出一种基于大数据的半分布式僵尸网络动态抑制算法。首先，采用波特间隔均衡控制方法，对半分布式僵尸网络动态特征信息进行采样，并提取半分布式僵尸网络的统计特征量；然后，采用大数据寻优计算方法，获取真正的半分布式僵尸网络最优抑制参数，实现网络动态抑制；最后，进行仿真测试分析，得出有效性结论。

1 动态特征信息采样及统计特征量提取

1.1 构建动态特征信息采样模型

本文构建半分布式僵尸网络的传输码元序列分布式采样模型来进行半分布式僵尸网络动态信息采样。经过多次迭代的模糊特征检测的计算式为：

(1)

其中，D(di，dj)表示半分布式僵尸网络动态特征迭代次数；di表示数据调度点i到点0的距离；dj表示数据调度点j到点0的距离。分析半分布式僵尸网络多样性反馈控制模型[10]，采用统计信息分析方法，建立半分布式僵尸网络动态特征信息挖掘的模糊特征分布集P(K=T|R=1)，得到：

(2)

其中：

(3)

(4)

(5)

上式中，P为预测特征分布数据集，K为训练数据，T为采集时间段，R为采集频率，NB为半分布式僵尸网络动态特征量，C为半分布式僵尸网络动态特征运维管理的维数，NS为模糊域S中的惯性特征分布系数。采用模糊度特征检测方法，提取半分布式僵尸网络动态特征信息的关联规则集，通过模糊关联规则调度方法进行半分布式僵尸网络动态特征信息检测和挖掘，构建半分布式僵尸网络动态特征信息的融合聚类模型，根据半分布式僵尸网络动态特征信息的模糊聚类结果，得到特征聚类的分块匹配函数为：

(6)

其中，N表示数据调度点数，Mi表示半分布式僵尸网络动态特征信息抑制的递归熵分布中位数，Lm为半分布式僵尸网络动态特征采样的最小阈值，fm为半分布式僵尸网络动态特征信息的中位数，fless表示最小采样时间间隔[11]。采用波特间隔均衡控制方法，进行半分布式僵尸网络的动态特征补偿，构建半分布式僵尸网络动态特征信息采样模型：

(7)

其中，X表示采样集合；diN表示数据调度点i到点N的总距离，nN表示半分布式僵尸网络动态特征信息采样总数量；di1表示数据调度点i到点1的距离，n1表示采样数量。

1.2 提取统计特征量

在上述构建半分布式僵尸网络动态特征信息采样模型的基础上，提取半分布式僵尸网络的统计特征量[12-13]。采用判决均衡方法，对采集到的半分布式僵尸网络动态特征信息进行定量递归分析，其表达式为：

R(k)=Akexp (jφk)Mi×D(di,dj)

(8)

其中,R(k)为半分布式僵尸网络动态特征信息；φk为网络动态负载输出扩展相位；Ak为同频窗口函数。采用模糊特征检测方法，提取半分布式僵尸网络动态特征信息的关联规则集，其表达式为：

D(xi,Aj(L))=min {D(xi,Aj(L))}

(9)

其中，xi表示半分布式僵尸网络动态自适应调制系数；Aj(L)表示半分布式僵尸网络的传输链路偏移幅值；min {D(xi,Aj(L))}表示最小可信度的关联规则。在最佳寻优模式下，得到半分布式僵尸网络动态特征信息模糊度调度函数C(l)的表达式为：

(10)

(11)

(12)

式中，xi表示半分布式僵尸网络动态自适应调制系数。根据式(12)，采用分集判决反馈抑制技术[17-18]，得到半分布式僵尸网络传输的迁移调度集子序列v(k)的表达式为：

(13)

对式(13)进行(N-1)/2点傅里叶变换，采用自适应相关性特征提取方法，提取半分布式僵尸网络的统计特征量z0的表达式为：

(14)

2 基于大数据的半分布式僵尸网络动态抑制

2.1 大数据寻优计算方法

根据提取到的半分布式僵尸网络的统计特征量，采用大数据寻优计算方法，获取真正半分布式僵尸网络的最优抑制参数。设训练数据为T，预测数据为P，则得到训练后的参数组合表达式为：

(15)

将a、b、c看作半分布式僵尸网络中各参数组合的基于数据的抑制评价指标，建立半分布式僵尸网络抑制数据评价指标MSE与参数组合的关系式为：

MSE=U(ai,bi,ci)

(16)

基于上一过程建立的抑制评价指标MSE与参数组合U的关系模型，对半分布式僵尸网络中抑制参数全组合进行预测，得到新的半分布式僵尸网络抑制数据评价指标MSE′，将MSE′作为半分布式僵尸网络实际抑制值，经过多次迭代，对MSE′进行留一法训练寻优，找到最优的半分布式僵尸网络抑制参数组合，其表达式为：

(17)

式中，t表示半分布式僵尸网络中抑制参数全组合的预测时间。

2.2 半分布式僵尸网络动态抑制

(18)

根据上述分析，基于多样性反馈滤波检测方法，得到半分布式僵尸网络负载均衡的输出冲激响应y(t)，根据半分布式僵尸网络的冲激响应，在半分布式僵尸网络的链路分配区域，得到半分布式僵尸网络动态迁移的正态分布，在多径干扰下，进行半分布式僵尸网络的输出动态特征融合处理，得到融合结果Wy(t,v)的表达式为：

(19)

其中，k表示半分布式僵尸网络的特征分辨率，v表示调制频率，Wx为半分布式僵尸网络迁移负载联合状态估计。计算半分布式僵尸网络通信数据动态迁移负载响应Φ(ω)，在嵌入式环境下，将半分布式僵尸网络的最优抑制参数和迁移负载响应结果相结合，得到半分布式僵尸网络的动态抑制E(t)的表达式为：

(20)

其中，Δx表示半分布式僵尸网络动态信息的输出统计峰值，c表示基于数据的抑制评价指标。综上分析，完成半分布式僵尸网络动态抑制。

3 仿真实验与结果分析

3.1 实验环境设置

为了验证本文方法在实现半分布式僵尸网络动态抑制的应用性能，利用Matlab仿真工具，在Microsoft Windows XP操作系统，Intel(R)Celeron(R) 2.6 GHz处理器、24 GB内存的环境下进行仿真实验分析。实验中所使用的数据来源于计算机科学数据库(http://www.stat.wisc.edu/～reinsel/bjr-data/)，共采集数据5000个，进行50组实验，每次使用100个数据。

3.2 实验指标

本文以半分布式僵尸网络动态抑制精度、抑制时间和误码率为实验指标，将分别来自文献[3-9]的方法和本文方法进行对比实验。

1)抑制精度。精度为验证检测结果的准确性，由于受到半分布式僵尸网络的环境信息干扰因素的影响，导致半分布式僵尸网络的安全性不好，所以对半分布式僵尸网络进行动态抑制，抑制精度越高，说明网络越安全。由此，将本文方法与文献[3]方法、文献[4]方法、文献[5]方法进行对比分析。

2)抑制时间。半分布式僵尸网络通信数据在动态传输时出现时间延迟现象，能够对抑制效率产生影响。因此将本文方法与文献[5]方法、文献[6]方法、文献[7]方法进行半分布式僵尸网络动态抑制时间对比分析。

3)误码率。误码率是衡量数据在规定时间内数据传输精确性的指标，误码的产生是由于在信号传输中，衰变改变了信号的电压，致使信号在传输中遭到破坏，产生误码，误码率越低，抑制效果越好。将本文方法与文献[7]方法、文献[8]方法、文献[9]方法进行对比分析。

3.3 实验结果

图1 半分布式僵尸网络的动态负载大数据采样

将半分布式僵尸网络的动态信息采样的载波频率设置为380 kHz，网络空间信息采样的载波频率设置为4.5 kHz，信道的传输带宽设置为24 dB，为信息采样长度的10倍，根据上述仿真环境和参量设定，进行级联半分布式僵尸网络动态特征抑制仿真，得到半分布式僵尸网络的动态负载大数据采样结果如图1所示。

以图1的数据为研究对象，提取半分布式僵尸网络动态特征量，并对半分布式僵尸网络动态进行抑制，得到实际抑制结果如图2所示。

图2 实际抑制输出

将本文方法、文献[3]方法、文献[4]方法和文献[5]方法的半分布式僵尸网络动态抑制结果与实际抑制结果进行拟合度对比，结果如图3所示。

图3 4种方法的抑制结果

分析图3可知，本文方法的半分布式僵尸网络动态抑制结果与实际抑制结果的拟合度为100%，而文献方法与实际抑制结果相差较大，说明本文方法的半分布式僵尸网络动态抑制精度较高，这是因为本文方法结合了大数据寻优的计算方法来实现半分布式僵尸网络动态抑制。

为了进一步验证本文方法的有效性，将本文方法、文献[5]方法、文献[6]方法和文献[7]方法进行半分布式僵尸网络动态抑制时间对比分析，对比结果如图4所示。

图4 4种方法的抑制时间对比

根据图4可知，本文方法的半分布式僵尸网络动态抑制时间在实验次数为40次时，开始呈现稳定状态，当实验次数为60次时，本文方法的抑制时间为25 s，而文献[5]方法、文献[6]方法和文献[7]方法的半分布式僵尸网络动态抑制时间分别为92 s、89 s和66 s，本文方法的半分布式僵尸网络动态抑制时间为最低。

将本文方法与文献[7]方法、文献[8]方法、文献[9]方法进行半分布式僵尸网络动态后的输出误码率对比，得到结果见表1。

表1 误码率测试对比 单位：%

分析表1得知，随着迭代次数的增长，4种方法的误码率呈现逐渐递减的状态，而当迭代到300次时，本文方法的误码率为0，比文献[7]方法、文献[8]方法、文献[9]方法的误码率低。说明本文方法通过半分布式僵尸网络动态抑制，降低了网络的输出误码率。

4 结束语

结合嵌入式的特征分布式检测方法，进行半分布式僵尸网络的动态抑制，提高半分布式僵尸网络的安全性，本文提出了一种基于大数据的半分布式僵尸网络动态抑制算法。采用波特间隔均衡控制方法，构建半分布式僵尸网络动态特征信息采样模型，提取半分布式僵尸网络的统计特征量；利用大数据寻优计算方法，获取半分布式僵尸网络最优抑制参数，实现半分布式僵尸网络动态抑制。对实验结果分析得知，本文方法进行半分布式僵尸网络动态抑制的精度较高，抑制时间较短，降低了输出误码率。