周明升1,2，韩冬梅1

　　（1. 上海财经大学 信息管理与工程学院，上海 200433； 2. 上海外高桥保税区联合发展有限公司，上海 200131）

　摘要：传统网络攻击检测方法中，通常使用混沌系统结合高斯混合模型实现同步控制检测，当待检测的攻击信号具有高斯线性特征时，这种方法的检测效果理想。随着网络攻击信号向着非线性随机序列方向发展，传统检测模型无法实现有效的攻击检测。提出一种基于Rossle混沌模型的平均互信息特征潜质挖掘算法，并根据挖掘的互信息这种非线性特征解，实现对具有非线性随机特性的网络攻击信号有效检测。根据Rossle混沌系统基础模型，采用最小均方误差准则，设计一个能去除多个已知干扰频率成分的自适应级联陷波器，实现对攻击信号的滤波预处理，提取待检测网络数据流的Rossle混沌非线性互信息特征，实现对网络攻击信号的特征挖掘和检测。仿真实验表明，采用该算法进行网络攻击检测，检测性能明显提高，检测概率达到97.8%，展示了算法优越的检测性能和网络安全防御价值。

　关键词：混沌；互信息特征；攻击检测；数据挖掘

0引言

　　随着计算机网络技术的发展和普及，Internet成为人类交流和生产生活的主要工具，各种信息通过网络传输和共享，给人们带来便利的同时也带来网络安全难题［1］，如何有效检测攻击成为研究热点。传统攻击检测通常是基于知识的行为异常检测：建立攻击模式数据库进行检测，当检测到的信号或用户行为与数据库记载的具有匹配相关性时，则认为是攻击的，否则认为是合法的。这种方法的优点是易于实现和准确率高［2］，缺点是开放性不强，不能检测数据库之外类别的新的攻击信息，其有效性严重依赖于专家特征数据库的更新，现实中这种更新往往是滞后的 ［3］。在传统网络攻击检测方法中，使用混沌系统结合高斯混合模型实现同步控制检测，随着网络攻击信号向着非线性随机序列方向发展，传统检测模型无法实现有效攻击检测［45］。

　　针对上述问题，本文提出一种基于Rossle混沌模型的互信息特征潜质挖掘算法，仿真实验验证了该检测算法在隐蔽网络攻击检测中的优越检测性能，能在很低的信噪比下实现对微弱攻击信号的快速准确检测，保证网络安全。

1Rossle网络攻击信号混沌系统模型

　　1.1混沌模型构建

　　在传统网络攻击信号检测领域，假设信号的时间序列是线性或高斯性的［6］，这种假设有利于信号处理工作的开展，但现实中网络攻击信号的时间序列都或多或少具有一定的非线性特征，学者们通过非线性时间序列和混沌分析方法［710］，有效地发现采集信号的本质特征。有学者针对某类攻击设计预防方法［11］。本文从主动检测出发，采用非线性时间序列分析进行信号检测，构建Rossle网络攻击信号混沌系统模型。Rossle混沌系统是一个三维连续的典型自治系统，其数学模型表达式为：

　　上述Rossle混沌系统中，取参数σ=30，r=28，b=2.5，采用四阶RungeKutta法解方程式，迭代10 000次。对混沌序列的研究，首先需要进行相空间重构，采用C-C算法得到相空间重构的最佳延迟时间和最小嵌入维数，实现对网络状态特征集在混沌系统中的相空间重构，假设给定的一个二进制网络入侵状态特征向量集合表示为：

　　F={f1,f2,…,fn}(2)

　　把上述网络入侵特征状态向量嵌入Rossle混沌系统中，构建网络入侵特征目标函数，表示为：

　　θ1(k+1)=θ1(k)－μRe［y(k)φ*(k)］(3)

　　上式中，θ1(k)表示初始状态向量，θ1(k+1)表示二次迭代网络状态向量，μ为相空间混沌序列重构收缩系数。

　　通过目标函数构建，得到在Rossle混沌系统中的采用C-C算法得到的时延参数变化曲线如图1所示，得到最佳时延参数为20，这为进一步构建网络状态特征空间奠定了数据基础。

　　1.2网络攻击信号的滤波预处理

　　在Rossle混沌系统基础模型基础上，采用最小均方误差准则，设计一个能去除多个已知干扰频率成分的自适应级联陷波器，实现对攻击信号的滤波预处理，算法实现描述如下。

　　在Rossle混沌系统中，介入网络攻击信号，攻击模型为一个非线性时间序列，表示为：

　　上式是对网络攻击非线性信号进行一阶自回归模型分析的结果，得到级联滤波传输函数为：

　　φ(z)=F(z)F(z－1)σ2n(5)

　　采用最小均方误差准则，输入的网络攻击信号n(k)的实部nr(k)和虚部ni(k)分别为独立的白噪声，且均值均为零，方差为σ2n，在保证均方误差收敛概率最小的前提下，网络攻击信号的攻击过程进行Rossle混沌系统参数迭代的平均长度需要满足：

　　ReE［n1(k)n*2(k)］=0(6)

　　基于上述最小均方误差准则，设计一个能去除多个已知干扰频率成份的自适应级联陷波器，设计框图如图2所示。

　　在Rossle混沌系统模型下，引入简化的梯度算法，得到网络攻击模型输出响应函数的收敛曲线如图3所示。

2攻击检测算法

　　2.1平均互信息特征挖掘算法的引入

　　在上述模型构建和信号预处理基础上，提取攻击信号的Rossle混沌系统模型下的平均互信息攻击特征，实现信号检测，算法实现描述如下。

　　使用高斯混合模型对合法的网络数据进行建模，得到3个估计参量。对监测到的数据参量进行估计，以观测是否为网络攻击，截取一段时间的数据进行研究分析。如果没有攻击信号，则Rossle混沌系统可以准确计算出高斯混合模型的参数值。若含有伪装攻击数据，估计出的参数与正常估计得到的参数会有较大差异。均值特征向量μ能明显反应出高伪装攻击数据的特征，选择μ作为特征量，为同步控制量引入混沌系统中进行攻击特征检测。

　　设Z=(U,V)是由监测到的网络信息数据U和未监测到的数据V组成的集合。Z被称为完整数据，U被称为不完整数据，Z的联合概率密度函数定义为：p(U,V|Θ)，其中Θ为被估计的参量集合，通过求解不完整数据的对数似然函数L(Θ|U)的最大值来得到Θ的最大似然估计。

　　模型1：网络攻击表现为连续随机

　　p(U,V|Θ)L(Θ|U)=logp(U|Θ)

　　=∫Vlogp(U,V|Θ)dV(7)

　　通过E步和M步迭代，得到最大完整数据的平均互信息函数Lc(Θ|Z)的期望值，实现对缺失数据的对数似然函数L(Θ|Z)的最大化，其中：

　　Lc(Θ|Z)=logp(U,V|Θ)(8)

　　在迭代计算中，第t次迭代计算后Θ得到的估计值计为Θ(t)，在t+1次迭代中，使用E步迭代计算得到完整数据的平均互信息函数的期望值为：

　　Q(Θ|Θ(t))=E{Lc(Θ|Z)|U;Θ(t)}(9)

　　经过M步迭代，采用多个网络攻击模型自适应级联陷波器，去除已知干扰频率成分，最后通过最大化函数来获得新的Θ(t+1)。

　　模型2：网络攻击表现为离散随机

　　假设网络攻击行为的分布函数为［δ1,δ2,…,δN］，为离散函数，其中，δi=p(V=i)。由于

　　δk=G(V=k|Ui)(10)

　　其中Ui表示由第k个多维的正态分布得到的概率。经过第t次的迭代后，δk变成了δik(t)：

　　δik(t)=G(V=k|Ui,Θ(t))(11)

　　第t+1次估计，求解网络攻击模型Rossle混沌系统的全局平均互信息特征向量，迭代求解过程为：

　　上式中，Ui为网络特征子集，μk为惯性权重，δik(t)为混沌相空间空间维数，N为迭代步数。通过上述迭代，实现对平均互信息特征潜质挖掘。

　　2.2基于平均互信息特征挖掘算法的攻击检测算法

　　通过连续型和离散型网络攻击行为的平均互信息特征计算，实现对基于Rossle混沌模型的非线性网络攻击混沌特征挖掘，根据挖掘的互信息这种非线性特征解，实现对具有非线性随机特性的网络攻击信号有效检测，过程如下。

　　采用一个二阶级联陷波器从复杂的网络背景环境中提取一组网络信号，根据Rossle混沌系统基础模型，采用最小均方误差准则设计一个能去除多个已知干扰频率成分的自适应级联陷波器，进行预处理，得到输出信号结果为：

　　其中，n(k)为背景合法网络信号的干扰，Ai为级联系数，设定其门限值为αFA,它可以根据网络数据和信息流的实际情况确定。信息数据信号经过上述方法得到混沌平均互信息特征，经过混沌同步处理得到输出的数据信号与门限αFA进行比较。

　　如果：

　　则判决为监测信号为攻击信号；否则，为合法信号。从而实现对网络信号攻击检测。

3仿真结果与分析

　　为了验证本文提出的网络攻击检测算法的有效性，采用实际网络信号采集和仿真测试的方法进行实验，采用MATLAB进行编程实现，网络信号采集于KDD Cup2012网络病毒数据库，网络攻击类型为DoS攻击、Probe攻击和ipsweep，每类包括50个样本，每个样本有4个属性，设置检测起点和检测终点，对计算机系统进行持续攻击，采集信号特征。

　　在不同特征子集和网络攻击样本下，采用Rossle混沌模型进行攻击特征建模，实现对非线性随机特性网络攻击信号的有效检测。采集到的某组样本原始数据序列如图4所示。

　　采用最小均方误差准则设计自适应级联陷波器对信号进行预处理，得到滤波输出结果如图5所示。

　　通过提取待检测网络数据流的Rossle混沌非线性互信息特征，实现对网络攻击信号的特征挖掘和检测，检测到的攻击信号频谱图如图6所示。通过对实验采集的多组攻击样本进行蒙特卡洛实验，得到检测概率为97.8%，展示出算法优越的检测性能，该算法能准确有效地定位检测攻击信号。

　　为了进一步验证本文算法的优越性，针对3类攻击类型数据集，随机抽取10个数据进行攻击准确度检测，检测准确率结果如图7所示。

　　本文算法在选择合适的平均互信息特征和适应度函数后，能够准确地对网络攻击信号进行检测，检测准确率高达95%以上，比传统系统准确率提高35%左右，满足了网络安全要求，应用价值广阔。

4结论

　　为有效实现网络攻击信号的检测，本文提出一种基于Rossle混沌模型的平均互信息特征潜质挖掘算法，根据挖掘的互信息这种非线性特征解，实现对具有非线性随机特性的网络攻击信号的有效检测。采用最小均方误差准则，设计一个能去除多个已知干扰频率成分的自适应级联陷波器，实现对攻击信号的滤波预处理，提取待检测网络数据流的Rossle混沌非线性互信息特征，构建判断规则，实现对网络攻击信号的特征挖掘和检测。仿真实验表明，该算法的检测性能明显提高，检测概率达到97.8%，准确率较传统算法也有明显优势。

参考文献

　　［1］ 蒋芸，陈娜等. 基于Bagging的概率神经网络集成分类算法［J］.计算机科学，2013，40（5）：242246.

　　［2］ Ye Qing, Huang Yanlei. Nonuniform distribution intrusion detection research and simulation of the model［J］. Bulletin of Science and Technology, 2013, 29(8): 169171.

　　［3］ Luo Liming, Zhou Zhen. IPV6 based network security intrusion detection technology research［J］. Bulletin of Science and Technology, 2012, 28(4): 114115, 140.

　　［4］ Deng Bing, Tao Ran, Ping Dianfa, et al. Movingtargetdetection algorithm with compensation for Doppler migration based on FRFT［J］. Acta Armamentarii, 2009, 30(10), 13031309.

　　［5］ 赫然，王永吉，王青，等.一种改进的自适应逃逸微粒群算法及实验分析［J］.软件学报，2005，16（12）：20362044.

　　［6］ 刘在英，杨平，张丽晓. 基于肤色模型和高斯分布的多人脸检测方法［J］.计算机与现代化，2013（10）：3034.

　　［7］ Cheng Dongnian, Wang Binqiang, Wang Baojin. Preliminary study on the connotation of flexibility in dynamically reconfigurable networks［J］. Journals of Communications, 2012, 33(8): 214222.

　　［8］ Ou Shifeng, Gao Ying, Zhao Xiaohui. Adaptive combination algorithm and its modified scheme for blind source separation［J］. Journal of Electronic & Information Technology, 2011, 33(5): 12431247.

　　［9］ Chen Huilin, Xia Daoxun. Applied research on data mining based on CART decision tree algorithm［J］. Coal Technology, 2011, 30(10): 164166.

　　［10］ 武妍，徐敏.一种改进的粒子群优化算法［J］.计算机工程与应用，2006，42（33）：4043.

　　［11］ 张祖莲，王命全，李景林，等.一种自定义动态密钥预防DDoS攻击的算法［J］.微型机与应用，2013,32（20）：7779.