異構(gòu)無線網(wǎng)絡(luò)環(huán)境下大規(guī)模入侵動態(tài)取證仿真

王金焱

( 安徽工業(yè)經(jīng)濟(jì)職業(yè)技術(shù)學(xué)院，安徽 合肥 230051)

由于大量計(jì)算機(jī)業(yè)務(wù)具有多樣化的特點(diǎn)，而異構(gòu)無線網(wǎng)絡(luò)允許用戶根據(jù)自身喜好對網(wǎng)絡(luò)進(jìn)行任意切換.用戶可以主動進(jìn)行網(wǎng)絡(luò)切換操作，雖然這樣使用戶的選擇更加多樣化，但是也由此產(chǎn)生了大量的網(wǎng)絡(luò)攻擊行為與入侵模式，影響網(wǎng)絡(luò)的安全性[1,2].在此背景下，計(jì)算機(jī)取證的作用越來越重要.通過計(jì)算機(jī)取證可以有效挖掘出與計(jì)算機(jī)相關(guān)的犯罪案例，從而保障計(jì)算機(jī)運(yùn)行與用戶使用安全[3,4].

目前，常用的入侵取證方法主要有網(wǎng)絡(luò)入侵節(jié)點(diǎn)的盲取證技術(shù)[5]、基于信息增益與主成分分析的網(wǎng)絡(luò)入侵檢測方法[6]、基于分布式及協(xié)同式網(wǎng)絡(luò)入侵檢測技術(shù)[7]以及基于KELM選擇性集成的復(fù)雜網(wǎng)絡(luò)環(huán)境入侵檢測方法[8]等.文獻(xiàn)[5]方法通過建立分組鏈路轉(zhuǎn)發(fā)模型提取網(wǎng)絡(luò)入侵特征，并對特征量進(jìn)行盲定位.在此基礎(chǔ)上，運(yùn)用模糊決策方法提取判決統(tǒng)計(jì)量，實(shí)現(xiàn)對網(wǎng)絡(luò)入侵的準(zhǔn)確定位和盲取證.文獻(xiàn)[6]方法將信息增益方法和主成分分析方法進(jìn)行結(jié)合，對分類能力較強(qiáng)的入侵屬性特征進(jìn)行提取，并采用PCA方法對提取結(jié)果進(jìn)行降維處理，從而實(shí)現(xiàn)入侵類型的分類與檢測.由于計(jì)算機(jī)犯罪手段具有專業(yè)性，在入侵過程中會將證據(jù)進(jìn)行刪除或者篡改，不利于入侵取證，雖然上述現(xiàn)有方法可以實(shí)現(xiàn)對入侵行為的取證，但是取證過程會消耗大量的時間，并且取證結(jié)果可靠性不佳.

針對現(xiàn)有方法存在的問題，提出異構(gòu)無線網(wǎng)絡(luò)環(huán)境下大規(guī)模入侵動態(tài)取證方法.為了實(shí)現(xiàn)對計(jì)算機(jī)犯罪行為相關(guān)證據(jù)的提取，實(shí)施計(jì)算機(jī)入侵取證.計(jì)算機(jī)取證主要包括靜態(tài)和動態(tài)取證兩種方法，其中，靜態(tài)取證方法由于采集的證據(jù)量有限，并且存在不及時的問題，會導(dǎo)致得到的證據(jù)不準(zhǔn)確.而動態(tài)取證方法能夠?qū)崿F(xiàn)網(wǎng)絡(luò)入侵與計(jì)算機(jī)犯罪證據(jù)的同時提取，因此，采用動態(tài)取證方法對大規(guī)模網(wǎng)絡(luò)證據(jù)進(jìn)行取證.經(jīng)實(shí)驗(yàn)驗(yàn)證，該方法可實(shí)現(xiàn)高效率和高準(zhǔn)確率的入侵行為動態(tài)取證.

1 入侵特征預(yù)處理

由于入侵信息具有一定的特征，而部分特征會對入侵特征屬性分類造成影響，因此，需要對入侵特征屬性進(jìn)行分類.并在屬性分類的基礎(chǔ)上，識別入侵模式，從而達(dá)到精簡入侵屬性的目的.

1.1 入侵特征屬性分類

屬性特征分類是指在特征集中選擇有效的特征屬性，以此來降低屬性特征的維度.目前，常用的屬性特征分類方法主要有遺傳算法與模擬退火算法，前者主要利用現(xiàn)有評價標(biāo)準(zhǔn)評價屬性特征子集，后者運(yùn)用分類器算法評價屬性特征子集，評價指標(biāo)包括分類正確率和錯誤率.相比較之下，模擬退火算法能夠找出適應(yīng)異構(gòu)無線網(wǎng)絡(luò)環(huán)境多變性的入侵特征屬性，因此，選用該算法進(jìn)行入侵特征屬性分類[9,10].

通常情況下，可以將屬性不同的特征屬性分配到任意分類中，但是由于在實(shí)際特征挖掘過程中，部分屬性特征會出現(xiàn)模糊的現(xiàn)象，因此，需要將數(shù)據(jù)概化，從而實(shí)現(xiàn)對部分含義較為清楚的屬性進(jìn)行最優(yōu)分類[11].選擇一個特征子集，并將子集中的屬性樣本分為k組，針對k組樣本有n種屬性劃分的方式，選擇其中特征最為明顯的部分，作為判定分類的指標(biāo).

假設(shè)k組樣本中有X維的樣本，樣本集合為X={x1,x2,...,xi}，假設(shè)集合中的樣本數(shù)據(jù)量為G，則該樣本集合中的有序列樣本可以表達(dá)為：

(1)

(2)

其中，m表示樣本向量的維數(shù).

結(jié)合公式(1)和公式(2)，將k組樣本劃分為l個屬性，則屬性劃分的第一個種類為(li1,li1+1,li2-1)，第二個種類為{li2,li2+1,li3-1}，按照此規(guī)律進(jìn)行劃分，第f個種類為{lif,lif+1,ln-1}，其中i1

確定屬性樣本的取值范圍之后，可以確定屬性樣本之間的取值向量為一個定值，那么則可以在進(jìn)行屬性最優(yōu)劃分時計(jì)算出劃分誤差函數(shù)：

(3)

其中，J表示回歸系數(shù)；θ表示誤差項(xiàng).

根據(jù)劃分誤差函數(shù)，進(jìn)一步獲取剔除了誤差項(xiàng)的入侵屬性特征：

P′=W-T(xj-θ)

(4)

其中，W表示入侵屬性總量；xj表示模糊屬性；T表示劃分用時.聯(lián)立上述公式，得到入侵特征屬性分類結(jié)果：

E=D(xi)-(P-P′)

(5)

通過上述分析實(shí)現(xiàn)對部分模糊屬性的剔除，盡可能達(dá)到減少屬性類型的目標(biāo)，使屬性得到約簡，為縮短大規(guī)模入侵動態(tài)取證用時提供基礎(chǔ).

1.2 入侵模式識別

基于入侵特征屬性分類結(jié)果，通過構(gòu)建入侵攻擊空間庫的形式對入侵模式進(jìn)行識別.在入侵模式空間中，根據(jù)先驗(yàn)知識判斷入侵行為模型是否符合先驗(yàn)條件，如果符合條件可以進(jìn)行下一步驟.獲取空間庫正常運(yùn)行的行為模式，并根據(jù)空間庫的功能判斷正常行為模式和入侵行為模式，在此過程中，記錄入侵行為模式的入侵路徑，并根據(jù)路徑信息進(jìn)一步判斷入侵模式[12]，將判斷結(jié)果返回至空間庫中，實(shí)現(xiàn)對大規(guī)模入侵模式的識別.具體的識別流程如圖1所示.

圖1 入侵模式識別流程圖

2 基于改進(jìn)信息增益算法的取證模型構(gòu)建

由于現(xiàn)有方法通常采用信息增益算法對入侵特征進(jìn)行取證，該方法雖然能夠?qū)崿F(xiàn)入侵取證，但是特征子集中存在的冗余特征會對取證結(jié)果的準(zhǔn)確性造成影響.為此，對信息增益算法進(jìn)行改進(jìn)，充分考慮大規(guī)模入侵的特征冗余度，并對冗余特征進(jìn)行刪除，以此來確保入侵取證結(jié)果的精準(zhǔn)性.

為避免因特征數(shù)據(jù)分布過于分散造成的計(jì)算結(jié)果誤差較大的問題，運(yùn)用極差變換法對分散特征數(shù)據(jù)進(jìn)行變換，具體過程為：

(6)

其中，C表示分散特征數(shù)據(jù)樣本集合；S表示分散特征數(shù)據(jù)總量；Δs表示動態(tài)分散數(shù)據(jù)；Δs′表示靜態(tài)分散數(shù)據(jù)；sij表示分散程度.

假設(shè)入侵特征屬性本身具有相同的特征值，那么定義不同種類的特征屬性，并從中抽取任意樣本屬性數(shù)據(jù)Cij，則通過公式(7)計(jì)算樣本屬性數(shù)據(jù)的期望值為：

(7)

其中，pi表示任意一個樣本屬于C的概率.

根據(jù)樣本屬性數(shù)據(jù)的期望值，采用改進(jìn)信息增益算法構(gòu)建取證模型，運(yùn)用該模型對不同的入侵特征進(jìn)行冗余約簡，實(shí)現(xiàn)對大規(guī)模入侵信息的動態(tài)取證.

設(shè)入侵屬性Z具有不同的期望值，那么將Z的期望值分成子集合Z={z1,z2,...,zn}，其中，zn包含某些冗余特征，那么樣本具有一定的冗余入侵模式.此時，設(shè)Q為樣本范例，對其冗余特征屬性進(jìn)行樣本測試，則有：

(8)

其中，?表示zn中的樣本屬于C的整體概率.

通過公式(8)可以計(jì)算某個子集的權(quán)值.并且可以證明在計(jì)算后得到的樣本值越小，子集劃分的精準(zhǔn)度越高.

對某個屬性進(jìn)行數(shù)據(jù)分析，便可以得到該子集的信息增益為：

(9)

其中，E(A)表示屬性計(jì)算后得到的取值，其可以用來進(jìn)行數(shù)據(jù)期望壓縮，從而實(shí)現(xiàn)對入侵特征的冗余約簡.

3 實(shí)驗(yàn)驗(yàn)證

為了驗(yàn)證所設(shè)計(jì)異構(gòu)無線網(wǎng)絡(luò)環(huán)境下大規(guī)模入侵動態(tài)取證方法的有效性，進(jìn)行仿真實(shí)驗(yàn)驗(yàn)證.實(shí)驗(yàn)以網(wǎng)絡(luò)入侵節(jié)點(diǎn)的盲取證技術(shù)(文獻(xiàn)[5]方法)基于信息增益與主成分分析的網(wǎng)絡(luò)入侵檢測方法(文獻(xiàn)[6]方法)和基于分布式及協(xié)同式網(wǎng)絡(luò)入侵檢測技術(shù)(文獻(xiàn)[7]方法)與本文設(shè)計(jì)方法進(jìn)行對比，驗(yàn)證不同方法的取證效果.

3.1 實(shí)驗(yàn)數(shù)據(jù)來源與環(huán)境設(shè)計(jì)

實(shí)驗(yàn)在Windows 10 操作系統(tǒng)，Genuine Intel(R)CPU，1.73 GHz，32 GB內(nèi)存的運(yùn)行環(huán)境下進(jìn)行.實(shí)驗(yàn)數(shù)據(jù)集來自于DARPA98數(shù)據(jù)集，該數(shù)據(jù)集中包含大量不同類型的攻擊數(shù)據(jù)，選取其中的4種攻擊類型進(jìn)行大規(guī)模入侵，具體的攻擊參數(shù)見表1.

表1 攻擊數(shù)據(jù)參數(shù)

圖2 不同方法取證時間對比

3.2 實(shí)驗(yàn)結(jié)果與分析

由于在異構(gòu)無線網(wǎng)絡(luò)環(huán)境中，入侵信息具有規(guī)模較大和數(shù)量較多的特點(diǎn)，快速取證具有十分重要的意義.因此，選取取證用時作為實(shí)驗(yàn)指標(biāo)，對比不同方法的取證效率，結(jié)果如圖2所示.

圖3 不同方法取證結(jié)果準(zhǔn)確率對比

分析圖2可知，采用不同方法進(jìn)行大規(guī)模入侵取證時，在取證前期用時相對比較穩(wěn)定，當(dāng)攻擊數(shù)據(jù)量大于7000個時，取證用時出現(xiàn)波動，基本上呈上升的趨勢，這是由于數(shù)據(jù)量的增加會給入侵取證帶來一定的難度，會消耗更多的時間.對比不同方法可得，本文設(shè)計(jì)方法的取證用時低于現(xiàn)有方法，其取證用時始終低于2.5 s，說明該方法的取證效率更高.因?yàn)樵摲椒ú捎媚M退火算法對部分模糊屬性進(jìn)行了剔除，使屬性類型得到了縮減，為縮短大規(guī)模入侵動態(tài)取證用時提供了基礎(chǔ).

入侵取證準(zhǔn)確性影響后續(xù)計(jì)算機(jī)犯罪行為相關(guān)證據(jù)的提取效果，因此，以取證結(jié)果準(zhǔn)確率為指標(biāo)，對比不同方法的取證效果，結(jié)果如圖3所示.分析圖3可知，采用不同方法進(jìn)行入侵取證時，所設(shè)計(jì)方法的取證結(jié)果準(zhǔn)確率明顯高于現(xiàn)有方法，其取證準(zhǔn)確率最高值可達(dá)68%，而文獻(xiàn)[5]方法的取證準(zhǔn)確率最高值為35%，文獻(xiàn)[6]方法的取證準(zhǔn)確率最高值為40%，文獻(xiàn)[7]方法的取證準(zhǔn)確率最高值為45%，通過上述數(shù)據(jù)可知，本文設(shè)計(jì)方法的入侵取證結(jié)果更可靠.這是由于該方法采用改進(jìn)信息增益算法構(gòu)建取證模型，通過該模型對不同的入侵模式進(jìn)行了冗余約簡，降低了冗余入侵特征對取證結(jié)果的影響，從而實(shí)現(xiàn)對大規(guī)模入侵信息的準(zhǔn)確取證.

4 結(jié) 論

在面向大規(guī)模入侵?jǐn)?shù)據(jù)時，針對現(xiàn)有方法存在的入侵取證結(jié)果準(zhǔn)確性不高，取證用時較長的問題，提出異構(gòu)無線網(wǎng)絡(luò)環(huán)境下大規(guī)模入侵動態(tài)取證方法，對本文研究的主要內(nèi)容總結(jié)如下：

(1)為降低入侵取證用時，采用模擬退火算法剔除入侵特征子集中的部分模糊屬性，降低取證復(fù)雜度，實(shí)現(xiàn)提高取證效率的目的.

(2)為提高入侵取證準(zhǔn)確性，對傳統(tǒng)信息增益算法進(jìn)行改進(jìn)，并構(gòu)建取證模型，運(yùn)用該模型處理冗余特征，避免冗余特征對取證過程的影響，達(dá)到提高取證準(zhǔn)確性的目的.

分析實(shí)驗(yàn)結(jié)果可知，本文設(shè)計(jì)方法在取證用時和取證結(jié)果準(zhǔn)確性方面均優(yōu)于現(xiàn)有方法，說明該方法具有一定的使用價值.