网络入侵中边界模糊阈值的确定
2021-09-05 04:49章武媚
计算机时代 2021年8期
摘 要: 在对网络入侵中边界模糊阈值进行确定的过程中,以往都是以入侵数据的单个异常特征为检测基础,没有考虑入侵后数据所表现的阶跃特征,出现网络入侵的判断不确定性,造成获取边界模糊阈值不准确的问题。文章提出一种基于阶跃模糊规则参数训练的网络入侵中边界模糊阈值的确定方法。该方法证明了网络遭到入侵后,数据整体带有阶跃性特征,依据这种阶跃性特征对入侵后的边界模糊阈值进行预测,塑造模糊系统的if-then规则,求出模糊系统的阈值输出,实现网络入侵中边界模糊阈值的确定。实验结果表明,该方法能较为准确地确定入侵模糊阈值,效果明显。
关键词: 网络入侵; 阶跃特征; 边界模糊阈值; 模糊if-then规则
中图分类号:TP301.6 文献标识码:A 文章编号:1006-8228(2021)08-37-05
The determination of boundary fuzzy threshold in network intrusion
Zhang Wumei
(ZhejiangTongji Vocational College of Science and Technology, Hangzhou, Zhejiang 310023, China)
Abstract: In the process of determining the boundary fuzzy threshold in network intrusion, it used to be based on the single abnormal feature of the intrusion data, without considering the step feature of the data after the intrusion, resulting in the uncertainty of network intrusion judgment, which leads to the inaccuracy of obtaining the boundary fuzzy threshold. In this paper, a method to determine the fuzzy threshold in network intrusion based on step fuzzy rule parameter training is proposed. This method proves that the whole data has a step feature after the network is invaded. According to this step feature, the fuzzy threshold after the invasion is predicted, the if-then rules of the fuzzy system are shaped, and the threshold from the output of the fuzzy system is obtained, so as to determine the boundary fuzzy threshold in the network invasion. The experiment results show that this method can determine the fuzzy threshold in intrusion more accurately, and the effect is obvious.
Key words: network intrusion; step feature; boundary fuzzy threshold; fuzzy if-then rule
0 引言
随着网络的广泛应用,网络入侵问题逐渐成为威胁网络安全的重点问题,而确定网络入侵中边界模糊阈值是解决网络入侵问题的重要途径。
文献[1]提出一种基于信号相位匹配原理的入侵阈值确定方法,采用该方法进行网络入侵信号的特征挖掘,其挖掘性能优于能量检测器,但算法对单频信号有效,在网络入侵信号存在的复杂信号环境中,确定效果不佳。文献[2]中引入DOA估计器,采用自相关预处理对时变信号进行跟踪,提高了入侵阈值确定的性能,但算法对信号的边缘入侵特征不能很好确定阈值,且不能满足对攻击信号实时检测的要求。网络入侵信号能在时频空间中有效反映信号的边缘特征,这点在文献[3]中有所研究,其采用时频域变标度脉冲压缩方法,提高目标入侵信号特征,提高入侵阈值的准确性,但其采用多普勒维补偿方式进行相位匹配,采用Fourier变换方式提取频域特征进行频移向量补偿,对网络纠缠入侵信号阈值确定的效果不佳。目前,波束域形成算法有波束域对角加载算法[4],前后向平滑算法,波束域特征空间法[5]等。但是,这种方法准确性不高,应用困难。
针对上述问题的产生,提出基于阶跃模糊规则参数训练的网络入侵中边界模糊阈值的确定方法。证明了网络遭到入侵后,数据整体带有阶跃性特征。依据网络入侵后的阈值对未来时刻的边界模糊阈值进行预测,塑造网络入侵边界估计模型,求出模糊估计算子,确定模糊规则的前件与后件参数、模糊规则的个数,实现网络入侵中边界模糊阈值的确定。
1 网络入侵状态下的数据阶跃性证明
网络入侵检测通过判断数据与入侵阈值的关系完成,对入侵数据的采集由各个服务器通过服务链路的数据采集协作完成。一般的网络入侵检测系统中,一旦发生网络数据异常入侵,直接的后果是數据特征的异常,导致网络节点发生不间断重传。如果发生了网络数据的异常入侵,那么在信道通信的过程中,信息传输过程将受到影响,通信任务发生异常。由于大型的网络控制结构多采用冗余结构设计,所以,网络入侵行为具有很强的非线性,难以建立准确的数学模型来描述入侵特性。因此,在出现网络入侵行为时,假设只是造成了一定程度的网络数据传输滞后,则需要根据数据传输的滞后程度进行补偿;假设造成整个网络难以正常工作,则需要进行网络传输数据误差补偿处理。在网络数据传输的过程中,网络操作行为分为数据输入,数据等待,数据计算和数据传输等步骤。在网络数据传递的过程中,需要将数据传输到连续的网络节点中,假设存在网络入侵,不同的网络入侵行为对于网络数据传输的影响是存在差异的,其详细内容如表1所示。
从表1可知,出现网络入侵行为后,需要针对网络传输数据进行重新传输、部分重新传输、滞后性补偿和误差补偿等。可以针对一组网络传输数据进行处理,也可以针对单一网络传输数据进行处理。网络传输数据滞后性补偿,是指针对网络入侵后,网络传输数据存在的滞后性进行补偿,将受到影响的网络传输流程重新构建,实现网络数据的准确传递。由于部分重新传输可看作是大量单一网络传输数据的滞后性补偿,因此,可以将网络传输数据的滞后性补偿作为重点课题。在存在网络入侵的情况下,在网络入侵的初始阶段,网络仅仅是小范围的数据传输受到了影响,只需要针对少量数据进行滞后性补偿、误差补偿、部分重新传输和重新传输。假设大量的网络传输数据都需要进行滞后性补偿、误差补偿、部分重新传输和重新传输,将造成网络入侵行为出现的随机性极大地提升。而这样造成网络传输数据在传输的过程中存在极大的干扰。由于这种干扰与实际的干扰之间存在较大的差异,因此,将上述干扰过程称为伪干扰过程。网络传输数据的伪干扰过程在数学上能够用混沌性进行表示。在网络入侵行为出现早期,网络传输数据存在一定程度的混沌性。
当网络中存在入侵行为时,网络传输数据具有混沌性,能够用上述网络传输数据的最大Lyapunov指数是否大于0进行检验。利用图1(a)(b)能够描述在存在网络入侵的情况下,运用MATLAB软件针对获取的网络传输数据进Lyapunov指数图仿真的结果。
根据图1可知,在网络入侵的情况下,网络传输数据序列最大lyapunov指数大于0,所以,能够说明在网络入侵早期,网络传输数据序列具有混沌性。
2 基于阶跃模糊规则参数训练的阈值确定方法
2.1 预测模型的设计
2.2 模糊估计函数的设计
建立预测模型之后需要获得模糊估计函数。通常情况下,上述分析的模型是由一组if-then模糊规则组成的,其数学形式为:
其中,i=1,2,…,C;C表示规则的总个数;A_j^i表示第i条规则R^i中x_j所隶属的模糊集合;x表示输入向量,x=(x_1,x_2,…,x_M),M表示输入向量的维数;a^i表示模糊规则的后件参数,a^i=(a_0^i,a_1^i,…,a_M^i);f_i (x,a^i)表示网络依据规则R^i获取的相应阈值。依据模糊推理,可将网络入侵中边界模糊估计函数描述成:
其中,c表示均值,δ表示方差,其为模糊规则的后件参数。综上所述,通过模糊估计函数的确立为模糊规则的优化提供了准确条件依据。
2.3 模糊规则的优化设计
一般情况下,需确定阶跃条件下的入侵阈值模糊规则的前件与后件参数、模糊规则的个数,可采用粒子群优化算法与递归最小二乘估计算法对模糊规则参数进行训练。以保证规则的最优性。
采用PSO算法(粒子群优化算法)对阶跃模糊规则的前件高斯函数参数进行改进,其一般形式为:
如果采用矩阵形式描述,则最小二乘问题可描述成:
Aθ=y ⑽
其中,A表示m×n階矩阵;θ=(θ_1,θ_2,…,θ_n )^T,表示n维参数向量; y=(y_1,y_2,…,y_m )^T,表示m维输出向量。则最小二乘估计算子可描述成:
θ=(A^T A)^(-1) A^T y ⑾
应不断对后件参数进行更新,则最小二乘问题可描述成:
P_(k+1)=P_k-(P_k b_(k+1) b_(K+1)^T P_k ) (1+b_(k+1)^T P_k b_(k+1) )^(-1) ⑿
θ_(k+1)=θ_k+P_(k+1) b_(k+1) (y_(k+1)-b_(k+1)^T θ_k ) ⒀
其中,P_k表示增益矩阵,θ_k表示第k次迭代的参数向量。为了实现最小二乘算法,本文将θ_0初始化成零矩阵,则P_0=aI,α=〖10〗^9,I表示单位矩阵。综上所述,通过搞死函数参数的改进,可以更好的确定矩阵参数,进而达到对模糊规则的优化效果。
2.4 对阈值的模糊化输出
对模糊规则的前件参数进行更新,算法中的最佳位置gbest即为最优参数值;同样地,采用RLSE算法来确定模糊规则的后件参数。式⑿和⒀中的b_(k+1)与θ可描述成:
b_(k+1)=[d^1 (k+1)…d^k (k+1)]
d^i (k+1)=[1x_1^i (k+1)…x_m^i (k+1)] ⒁
θ=[τ^1 τ^2…τ^k ] τ^i=[a_0^i a_1^i…a_m^i]
其中,i=1,2,…,K , k=0,1,…,m。
模糊系统的输出过程如下:
⑴ 对入侵阶跃数据的模糊规则前件参数(也就是PSO 算法中的粒子群)进行初始化操作,获取边界模糊阈值所隶属的所有模糊集合的高斯隶属度函数;
⑵ 根据训练数据集通过RLSE算法求出模糊规则的后件参数,塑造模糊系统的if-then规则;
⑶ 求出模糊系统的输出,通过RMSE对PSO算法中粒子的适应值进行计算,对粒子群中粒子的速度与位置进行更新;
⑷ 判断是否符合终止条件,若符合则结束迭代,输出阈值结果,若不符合,则重新进行步骤⑵。
3 仿真实验分析
为了验证改进方法的有效性,需进行相关的实验分析。实验在Matlab环境下进行,采用Simulink塑造仿真模型[6],分别采用模糊规则方法、波束域特征空间法和频域变标度脉冲压缩法对网络入侵中边界模糊阈值的确定进行仿真,共进行10组实验。图2描述的是10组实验中,采用改进方法和传统方法对网络入侵中边界模糊阈值进行确定所需的时间比较结果。
分析图2可以看出,与传统方法相比,采用改进方法对网络入侵中边界模糊阈值进行确定所消耗的时间明显降低,且一直低于传统方法,这是因为改进方法采用两种方法结合的方法,提高了整体效率,验证了改进方法的高效性。
为了进一步验证改进方法的有效性,分别对改进方法和传统方法的入侵准确率进行统计,获取的比较结果用图3进行描述。
分析图3可知,采用改进方法对网络入侵中边界模糊阈值进行确定获取的准确率一直高于传统方法,同时改进方法的曲线一直较平稳,改进方法的准确率相比传统方法提高了15%,说明改进方法具有很高的准确性与稳定性。
将上述实验过程中的相关数据进行整理分析,得到表2和表3中的实验结果。从实验结果可知,使用模糊规则方法、波束域特征空间法和频域变标度脉冲压缩法对网络入侵中边界模糊阈值的确定时,模糊规则方法获取的耗时与准确性实验结果都明显优于波束域特征空间法和频域变标度脉冲压缩法,充分表明了基于阶跃模糊规则参数训练的网络入侵中边界模糊阈值确定方法的优越性。
4 结论
本文提出了一种基于阶跃模糊规则参数训练的网络入侵中边界模糊阈值的确定方法。依据网络入侵后的阈值对未来时刻的边界模糊阈值进行预测,塑造网络入侵边界估计模型,求出模糊估计算子,确定模糊规则的前件与后件参数、模糊规则的个数,采用粒子群优化算法与递归最小二乘估计算法对模糊规则参数进行训练。对模糊规则的前件参数做初始化操作,塑造模糊系统的if-then规则,求出模糊系统的输出,通过RMSE对PSO算法中粒子的适应值进行计算,对粒子群中粒子的速度与位置进行更新,实现网络入侵中边界模糊阈值的确定。仿真实验结果表明,所提方法具有很高的高效性及稳定性。
参考文献(References):
[1] 宋佳声,胡国清基于时空嫡分析的组合高斯背景建模方法[J].田华南理工大学学报:自然科学版,2012.40(9):116-122
[2] 谢克明,马小军.模糊预测控制的实现形式[J].太原理工大学学报,1999.30(6):575-579
[3] 師黎,王江涛.模糊预测-PID复合控制在高速列车制动中的应用[J].计算机工程与应用,2010.46(31):228-231
[4] 吴亚军,项英,张秀忠,等.DBBC数字部分控制功能的设计与实现[J].中国科学院上海天文台年刊,2009:51-59
[5] 纪威.基于高速网络环境的入侵检测系统分析研究[J].计算机与网络,2012.38(21):68-71
[6] 王一帆,谌绍洪.无线传感网第三方入侵检测系统[J].无线互联科技,2012.10(12):77-77
收稿日期:2021-03-10
基金项目:浙江水利科技计划项目(No.RC1974)
作者简介:章武媚(1971-),女,浙江永康人,硕士,教授,主要研究方向:计算机应用技术研究。
