網(wǎng)絡(luò)多入侵行為識(shí)別的數(shù)學(xué)建模與仿真

潘寶柱，魏文英*，昝立榮，張秀珍

(1.河北工程技術(shù)學(xué)院，河北 石家莊 050091；2.山西大同大學(xué)數(shù)學(xué)與統(tǒng)計(jì)學(xué)院，山西 大同 037009)

1 引言

網(wǎng)絡(luò)攻擊行為是威脅網(wǎng)絡(luò)安全的主要原因，其主要類型包括：篡改-通過非法入侵的方式實(shí)現(xiàn)網(wǎng)絡(luò)用戶信息更改與損壞；假冒-盜用合法用戶的權(quán)限并利用該身份實(shí)現(xiàn)攻擊剩余網(wǎng)絡(luò)用戶數(shù)據(jù)；拒絕服務(wù)攻擊，利用非法方式偽造虛擬請求命令占用大量的網(wǎng)絡(luò)數(shù)據(jù)資源導(dǎo)致網(wǎng)絡(luò)崩潰[1-3]；病毒攻擊-在物理攻擊的前提下，利用程序攜帶木馬病毒，導(dǎo)致網(wǎng)絡(luò)系統(tǒng)被病毒感染，網(wǎng)絡(luò)系統(tǒng)損壞嚴(yán)重，無法正常運(yùn)作。據(jù)相關(guān)資料表明，網(wǎng)絡(luò)非法攻擊者面對不同網(wǎng)絡(luò)用戶采用的入侵行為會(huì)有所區(qū)別，病毒攻擊的主要攻擊對象為個(gè)人用戶，通過木馬病毒程序盜取個(gè)人隱私[4]，以牟取利益；篡改的主要攻擊對象為企業(yè)類用戶，通過篡改獲取企業(yè)有價(jià)值信息數(shù)據(jù)，總之其攻擊目的為獲取利益。在網(wǎng)絡(luò)中經(jīng)常會(huì)發(fā)生一種甚至?xí)l(fā)生多種入侵行為[5]，在短時(shí)間內(nèi)導(dǎo)致網(wǎng)絡(luò)系統(tǒng)癱瘓，從而影響正常辦公，因此網(wǎng)絡(luò)信息安全問題已成為現(xiàn)階段亟待解決的難題，需研究網(wǎng)絡(luò)多入侵行為的識(shí)別方法，進(jìn)一步保障網(wǎng)絡(luò)安全。

目前，在網(wǎng)絡(luò)安全技術(shù)中入侵檢測技術(shù)是最關(guān)鍵的技術(shù)手段，其利用網(wǎng)絡(luò)核心節(jié)點(diǎn)采集入侵?jǐn)?shù)據(jù)并進(jìn)行分析，在眾多網(wǎng)絡(luò)行為中檢測出入侵網(wǎng)絡(luò)行為，并采取相應(yīng)報(bào)警響應(yīng)。網(wǎng)絡(luò)多入侵檢測可更好為多入侵識(shí)別服務(wù)，以往多入侵檢測方法局限性很大，例如：夏景明等人[6]研究基于灰狼算法的檢測方法，該方法通過全局尋優(yōu)檢測網(wǎng)絡(luò)多入侵行為，由于該方法計(jì)算過程過于復(fù)雜，導(dǎo)致網(wǎng)絡(luò)多入侵檢測效率慢，影響識(shí)別結(jié)果；任家東等人[7]研究基于KNN離群點(diǎn)檢測的檢測方法，該方法利用隨機(jī)森林模型實(shí)現(xiàn)網(wǎng)絡(luò)多入侵行為檢測，由于該方法操作繁瑣，導(dǎo)致網(wǎng)絡(luò)多入侵檢測和識(shí)別不佳。相關(guān)學(xué)者，對網(wǎng)絡(luò)多入侵檢測研究較多，而對多入侵行為的識(shí)別方法研究較少。網(wǎng)絡(luò)行為信任是建立在彼此信任的基礎(chǔ)上，具有多重維度。信用度在人們生活中起到很大作用，用個(gè)人信用可識(shí)別個(gè)人風(fēng)險(xiǎn)的承載能力。

面對上述問題，將信用度引進(jìn)網(wǎng)絡(luò)多入侵識(shí)別中，研究基于信任度計(jì)算的多入侵識(shí)別數(shù)學(xué)建模方法，提高多入侵識(shí)別效率，為網(wǎng)絡(luò)安全提供支持。

2 基于信任度計(jì)算的多入侵識(shí)別數(shù)學(xué)建模仿真

2.1 信任度計(jì)算

為保證網(wǎng)絡(luò)安全引入信任度作為評判標(biāo)準(zhǔn)，提高網(wǎng)絡(luò)對多入侵識(shí)別效果。

信任度的定義包括：

定義1：信任可評估網(wǎng)絡(luò)行為的可信度，并識(shí)別網(wǎng)絡(luò)節(jié)點(diǎn)身份。

定義2：信任評估標(biāo)準(zhǔn)通過信任等級—信任度實(shí)現(xiàn)評價(jià)。

定義3：通過網(wǎng)絡(luò)節(jié)點(diǎn)關(guān)系得出直接信任度。

定義4：通過其它網(wǎng)絡(luò)節(jié)點(diǎn)推薦網(wǎng)絡(luò)節(jié)點(diǎn)信任關(guān)系得出推薦信任度。

信任值求解：

定義5：假設(shè)節(jié)點(diǎn)ni對節(jié)點(diǎn)nj的推薦信任度為N(ni，nj，t)；節(jié)點(diǎn)ni對節(jié)點(diǎn)nj在t時(shí)刻的信任度為ni，nj，G(ni，nj，t)；節(jié)點(diǎn)ni對節(jié)點(diǎn)nj的直接信任度為M(ni，nj，t)，具體如式(1)所示

G(ni，nj，t)=M(ni，nj，t)+N(ni，nj，t)

(1)

信任度值的求解，需在式(1)中添加權(quán)值α完成求解，信任度值如式(2)所示

G(ni，nj，t)=(1-α)·M(ni，nj，t)+

α·N(ni，nj，t) 0<α<1

(2)

定義6：在上式中權(quán)值α選取可降低M、N對信任度影響度。整合全部節(jié)點(diǎn)的直接信任表，對各節(jié)點(diǎn)ni生成二維矩陣，節(jié)點(diǎn)ni對節(jié)點(diǎn)nj的直接信任度為R(ni，nj)，直接信任度如式(3)所示

M(ni，nj，t)=R(ni，nj)·e-(t-tij)t-tij≥0

(3)

為更好地反映伴隨時(shí)間降低網(wǎng)絡(luò)節(jié)點(diǎn)的直接信任度值會(huì)發(fā)生變化，通過導(dǎo)入e-(t-tij)，t-tij≥0表示時(shí)間衰減函數(shù)。

定義7：設(shè)置網(wǎng)絡(luò)推薦節(jié)點(diǎn)用P描述，網(wǎng)絡(luò)節(jié)點(diǎn)用S描述，兩者節(jié)點(diǎn)集合用A={A1，A2，…An}描述。各節(jié)點(diǎn)的平均回饋評分組成矢量分別為SA=[Vs1，Vs2，…，Vsn]、PA=[Vp1，Vp2，…，Vpn]，其內(nèi)節(jié)點(diǎn)i對節(jié)點(diǎn)j的平均反饋評分為Vij。矢量的夾角的θ余弦值為θ=cos-1(SA·PA)，其中0°≤θ≤180°。通過各節(jié)點(diǎn)評分評估推薦信任度N(ni，nj，t)。兩個(gè)矢量相似滿足θ小于閾值ε條件，因此推薦信用度如式(4)所示。

(4)

其中：矢量用niA、njA分別為節(jié)點(diǎn)ni何節(jié)點(diǎn)nj平均回饋評分。

為減少不誠實(shí)推薦對信任評估結(jié)果的影響，通過構(gòu)建矢量空間模型實(shí)現(xiàn)。

定義8：?ni∈{Grid-Node}，其屬性為a1，a2，…an述，屬性集為A(ni)={a1，a2，…an}描述。

定義9：對于?ni∈{Grid-Node}，ni與nj的信任度用式(5)描述：

G=Ga+Gd

(5)

其中：Gd為動(dòng)態(tài)信任度，Ga為靜態(tài)信用度，Ga值一般不變，通過式(2)決定Gd值，其與時(shí)間和網(wǎng)絡(luò)節(jié)點(diǎn)的情況有關(guān)。

為更好地求解網(wǎng)絡(luò)節(jié)點(diǎn)可信度，在式(5)的基礎(chǔ)上構(gòu)建由動(dòng)靜結(jié)合的信任度模型，避免動(dòng)態(tài)信任度衰減導(dǎo)致信任評價(jià)精度低的問題[8，9]。將獲取具有時(shí)間衰減的網(wǎng)絡(luò)節(jié)點(diǎn)可信度視為可信度特征，利用該特征實(shí)現(xiàn)網(wǎng)絡(luò)多入侵識(shí)別。

2.2 基于深度學(xué)習(xí)神經(jīng)網(wǎng)絡(luò)多入侵識(shí)別數(shù)學(xué)建模

構(gòu)建基于深度學(xué)習(xí)神經(jīng)網(wǎng)絡(luò)多入侵識(shí)別數(shù)學(xué)模型，將上文獲取的網(wǎng)絡(luò)節(jié)點(diǎn)可信度特征輸入深度學(xué)習(xí)神經(jīng)網(wǎng)絡(luò)的多入侵識(shí)別數(shù)學(xué)建模，實(shí)現(xiàn)多入侵識(shí)別。在多入侵識(shí)別中，采用深度學(xué)習(xí)神經(jīng)網(wǎng)絡(luò)，并依據(jù)神經(jīng)元之間的關(guān)系，實(shí)現(xiàn)網(wǎng)絡(luò)學(xué)習(xí)集識(shí)別。在該數(shù)學(xué)建模中，包括由M個(gè)神經(jīng)元的輸出層和K個(gè)神經(jīng)元的輸入層組成自適應(yīng)特征映射的神經(jīng)網(wǎng)絡(luò)結(jié)構(gòu)，每個(gè)節(jié)點(diǎn)的權(quán)值用Wij描述，其中i∈[1，k]，j∈[1，m]。算法步驟為

Step2：在t時(shí)刻矢量集內(nèi)選取K維矢量Yl(t)，每個(gè)輸出節(jié)點(diǎn)M個(gè)歐氏距離用式(6)所示

(6)

神經(jīng)元選取M個(gè)歐氏距離內(nèi)用g表示最小神經(jīng)元。當(dāng)其它權(quán)值固定時(shí)，調(diào)節(jié)領(lǐng)域Ng(t)和節(jié)點(diǎn)g權(quán)值得出式(7)所示

(7)

其中：λ(t)表示學(xué)習(xí)率，t為迭代次數(shù)述，可完成信任度特征多入侵匹配[10]。

為明確網(wǎng)絡(luò)的空間特征概率分布，通過輸出節(jié)點(diǎn)的權(quán)向量實(shí)現(xiàn)。

激活函數(shù)，用式(8)所示

(8)

其中：n為節(jié)點(diǎn)的數(shù)量，可完成[-∞，+∞]信號(hào)轉(zhuǎn)變?yōu)閇-1，+1]的輸出，e為對數(shù)函數(shù)的放大系數(shù)，當(dāng)e較大時(shí)，其輸入信號(hào)較小。

為確保數(shù)學(xué)模型的準(zhǔn)確度，利用算法誤差的負(fù)梯度調(diào)整權(quán)值降低誤差[11，12]。數(shù)學(xué)建模過程：分析數(shù)據(jù)來源，在網(wǎng)絡(luò)多特征入侵識(shí)別過程中，預(yù)處理檢測通過混沌理論中相空間重構(gòu)的技術(shù)完成，為提高識(shí)別準(zhǔn)確度并選用誤用檢測和異常檢測，分析信用度特征，并通過深度學(xué)習(xí)神經(jīng)網(wǎng)絡(luò)構(gòu)建信用度特征多入侵識(shí)別數(shù)學(xué)模型。

3 實(shí)驗(yàn)分析

為驗(yàn)證本文方法的精確性和可行性，選取某公司網(wǎng)絡(luò)作為實(shí)驗(yàn)對象，利用MATLAB軟件進(jìn)行仿真，在實(shí)驗(yàn)中，模擬網(wǎng)絡(luò)多種狀態(tài)。選取2000條網(wǎng)絡(luò)流量樣本數(shù)據(jù)，隨機(jī)1000數(shù)據(jù)作為訓(xùn)練樣本數(shù)據(jù)，剩下數(shù)據(jù)為檢測樣本數(shù)據(jù)。實(shí)驗(yàn)對比方法為文獻(xiàn)[6]提出的基于灰狼算法的入侵識(shí)別方法、文獻(xiàn)[7]提出的基于KNN離群點(diǎn)的入侵識(shí)別方法。

假設(shè)總訪問次數(shù)h=n+d，其中惡意訪問次數(shù)為d，正常訪問次數(shù)為n，則正常訪問比例為β=n/h，其中h>0。

在信任度不隨時(shí)間發(fā)生衰減時(shí)，通過不同的權(quán)值α和訪問比率β模擬150次和250次的實(shí)驗(yàn)測試后得出多入侵識(shí)別正確率ρ，結(jié)果如表1、表2所示。

表1 多入侵識(shí)別正確率ρ(h=150時(shí))

表2 多入侵識(shí)別正確率ρ(h=250時(shí))

由表1～表2可知，當(dāng)α和β值固定時(shí)，隨h增加ρ出現(xiàn)上升態(tài)勢；當(dāng)β和h值固定時(shí)，隨α變化ρ出現(xiàn)1個(gè)峰值；當(dāng)α和h值固定時(shí)，ρ受β影響不太大。因此動(dòng)態(tài)信任度可反映節(jié)點(diǎn)的信任度變化，對網(wǎng)絡(luò)多入侵識(shí)別具有積極作用。

在信任度隨時(shí)間發(fā)生衰減時(shí)，考慮到交易間隔時(shí)間Δt對ρ的影響，通過不同的權(quán)值α和Δt模擬150次、250次、350次的實(shí)驗(yàn)測試后得出多入侵識(shí)別正確率ρ，結(jié)果如表3～表5所示。

表3 h=150時(shí)多入侵識(shí)別正確率ρ

表4 h=250時(shí)多入侵識(shí)別正確率ρ

表5 h=350時(shí)多入侵識(shí)別正確率ρ

由表3～表5可知，在α和Δt值固定，隨h增加ρ出現(xiàn)上升態(tài)勢；在α和h值固定，隨Δt變化ρ出現(xiàn)1個(gè)峰值。因此動(dòng)態(tài)信任度可反映節(jié)點(diǎn)的信任度變化，當(dāng)信任度發(fā)生衰減時(shí)有利于網(wǎng)絡(luò)多入侵識(shí)別精度。

在分析網(wǎng)絡(luò)多入侵行為時(shí)，可最終通過方法識(shí)別輸出的網(wǎng)絡(luò)流量數(shù)據(jù)的振幅完成多入侵識(shí)別分析，實(shí)驗(yàn)設(shè)置在10～20ms時(shí)網(wǎng)絡(luò)發(fā)生多入侵現(xiàn)象，通過仿真獲取三種方法識(shí)別輸出的網(wǎng)絡(luò)振幅，見圖1。

圖1 多入侵檢測結(jié)果

由圖1可知，網(wǎng)絡(luò)發(fā)生多入侵時(shí)，本文方法識(shí)別輸出的網(wǎng)絡(luò)流量數(shù)據(jù)振幅變化顯著，在10～20ms時(shí)網(wǎng)絡(luò)振幅波動(dòng)較大可有效檢測多入侵行為，提高網(wǎng)絡(luò)檢測精度；而其它兩種方法振幅變化不顯著，在10～20ms時(shí)網(wǎng)絡(luò)振幅波動(dòng)較小，檢測效果不佳。

采用三種方法對檢測數(shù)據(jù)樣本中的1000個(gè)網(wǎng)絡(luò)流量樣本各進(jìn)行150次網(wǎng)絡(luò)多入侵識(shí)別，檢測數(shù)據(jù)樣本數(shù)據(jù)中實(shí)際存在198個(gè)多入侵行為，三種方法的識(shí)別結(jié)果如表6所示。

表6 三種方法的網(wǎng)絡(luò)多入侵識(shí)別結(jié)果

分析表6可知，本文方法的識(shí)別結(jié)果與實(shí)際結(jié)果相同并具有識(shí)別結(jié)果穩(wěn)定，而其它兩種方法對網(wǎng)絡(luò)多入侵識(shí)別效果不佳，特別是基于KNN離群點(diǎn)入侵檢測方法網(wǎng)絡(luò)多入侵?jǐn)?shù)量識(shí)別誤差較大，因此本文方法的識(shí)別性能較為穩(wěn)定，且準(zhǔn)確。

通過分析網(wǎng)絡(luò)發(fā)生多入侵與未發(fā)生多入侵時(shí)數(shù)據(jù)信噪比變化的情況，完成多入侵識(shí)別，網(wǎng)絡(luò)入侵時(shí)數(shù)據(jù)信噪比變化情況見圖2。

圖2 網(wǎng)絡(luò)多入侵時(shí)數(shù)據(jù)噪聲分析

由圖2可知，在未發(fā)生網(wǎng)絡(luò)多入侵時(shí)本文方法識(shí)別到的信噪比較低，當(dāng)發(fā)生網(wǎng)絡(luò)多入侵時(shí)，本文方法識(shí)別出較多信噪比，因此本文方法可通過識(shí)別結(jié)果的信噪比變化更好識(shí)別出網(wǎng)絡(luò)多入侵行為，識(shí)別效果較好。

4 結(jié)論

針對網(wǎng)絡(luò)中的多入侵行為，研究新的基于信任度計(jì)算的多入侵識(shí)別數(shù)學(xué)建模方法，以提高多入侵識(shí)別效率。本文將信任度計(jì)算引入到多入侵識(shí)別中，通過基于深度學(xué)習(xí)神經(jīng)網(wǎng)絡(luò)實(shí)現(xiàn)多入侵識(shí)別數(shù)學(xué)建模，通過該模型完成多入侵識(shí)別。仿真結(jié)果表明本文方法可有效檢測多入侵行為，提高網(wǎng)絡(luò)的多入侵識(shí)別效果，且識(shí)別準(zhǔn)確度高。通過本文方法可有效提高網(wǎng)絡(luò)安全，保證網(wǎng)絡(luò)用戶的隱私，但因時(shí)間與精力有限，文中仍有不足需要在以后的實(shí)踐中逐步完善本文方法，使本文方法應(yīng)用范圍擴(kuò)大，發(fā)揮其優(yōu)勢更好地為人們服務(wù)。