王江峰

摘 要 對(duì)混合網(wǎng)絡(luò)病毒入侵特征的準(zhǔn)確分類是實(shí)現(xiàn)入侵病毒有效檢測(cè)的基礎(chǔ)，傳統(tǒng)的分類模型采用C-均值聚類算法，不適應(yīng)于混合網(wǎng)絡(luò)入侵病毒的非線性特征分類。提出一種基于信息熵聚類的混合網(wǎng)絡(luò)入侵特征的高效分類模型。構(gòu)建混合網(wǎng)絡(luò)的入侵信號(hào)模型，進(jìn)行信息熵特征提取，設(shè)計(jì)優(yōu)化聚類算法實(shí)現(xiàn)高效分類。仿真結(jié)果表明，采用該算法，能準(zhǔn)確實(shí)現(xiàn)對(duì)入侵病毒的特征分類，避免對(duì)病毒入侵特征的錯(cuò)分和漏分，提高了對(duì)網(wǎng)絡(luò)病毒的準(zhǔn)確檢測(cè)能力。

關(guān)鍵詞 混合網(wǎng)絡(luò) 病毒入侵 分類 檢測(cè)

中圖分類號(hào)：TP393.08 文獻(xiàn)標(biāo)識(shí)碼：A DOI：10.16400/j.cnki.kjdkx.2015.06.025

Efficient Classification Model and Simulation with

Hybrid Network Intrusion Feature

WANG Jiangfeng

（School of Computer and Information Engineering， Beijing Technology and Business University， Beijing 100048）

Abstract Characteristics of the hybrid network viruses accurate classification is the basis for effective detection of the invading virus， the traditional classification model uses C- means clustering algorithm， suited to the invading virus hybrid network nonlinear characteristics classification. An information entropy clustering proposed hybrid network intrusion signature efficient classification model. Intrusion signal hybrid network model construction， information entropy feature extraction， design optimization clustering algorithm to achieve efficient classification. The simulation results show that the algorithm can accurately achieve the characteristics invading virus free， avoid viruses and leakage characteristics of misclassified points， increased its ability to accurately detect network virus.

Key words hybrid network; viruses; classification; testing

0 引言

隨著網(wǎng)絡(luò)技術(shù)的不斷發(fā)展和普及，網(wǎng)絡(luò)安全也日益受到人們的關(guān)注。根據(jù)美國(guó)VIRUS官方統(tǒng)計(jì)結(jié)果表明，全球平均每分鐘就有三千萬(wàn)臺(tái)計(jì)算機(jī)在遭受到各種病毒的攻擊，而網(wǎng)絡(luò)攻擊檢測(cè)是保護(hù)計(jì)算機(jī)系統(tǒng)安全的重要手段，如何建立高效的網(wǎng)絡(luò)病毒入侵檢測(cè)方法，是目前該領(lǐng)域很多專家研究的一個(gè)焦點(diǎn)?；旌暇W(wǎng)絡(luò)是無(wú)線網(wǎng)絡(luò)、局域網(wǎng)和光纖通信網(wǎng)絡(luò)以及無(wú)線傳感器網(wǎng)絡(luò)組合的網(wǎng)絡(luò)模式，在混合網(wǎng)絡(luò)組網(wǎng)模式下，更容易遭受病毒的入侵，對(duì)混合網(wǎng)絡(luò)病毒入侵特征的準(zhǔn)確分類是實(shí)現(xiàn)入侵病毒有效檢測(cè)的基礎(chǔ)，研究混合網(wǎng)絡(luò)的病毒入侵特征分類算法具有重要意義。①②③

當(dāng)前，新型的混合網(wǎng)絡(luò)病毒的入侵和傳播以正態(tài)諧振和非線性特征攻擊方式進(jìn)行連續(xù)攻擊，檢測(cè)困難，需要對(duì)病毒入侵特征進(jìn)行準(zhǔn)確分類和檢測(cè)。傳統(tǒng)的分類模型采用C-均值聚類算法，無(wú)法有效檢測(cè)這類非線性特征，④提出一種基于信息熵聚類的混合網(wǎng)絡(luò)入侵特征的高效分類模型。首先構(gòu)建混合網(wǎng)絡(luò)的入侵信號(hào)模型，進(jìn)行信息熵特征提取，設(shè)計(jì)聚類算法實(shí)現(xiàn)優(yōu)化分類，仿真實(shí)驗(yàn)驗(yàn)證了本算法的優(yōu)越性和可靠性。

1 混合網(wǎng)絡(luò)病毒入侵模型及信號(hào)模型構(gòu)建

1.1 問(wèn)題描述和混合網(wǎng)絡(luò)病毒入侵模型

為了實(shí)現(xiàn)對(duì)混合網(wǎng)絡(luò)入侵病毒的有效檢測(cè)，需要研究受到攻擊的網(wǎng)絡(luò)病毒在連續(xù)攻擊下的入侵信號(hào)模型，這是實(shí)現(xiàn)網(wǎng)絡(luò)安全防御的基礎(chǔ)。傳統(tǒng)方法中對(duì)網(wǎng)絡(luò)病毒感染下的入侵?jǐn)?shù)分類的方法主要采用的是Web跨站腳本漏洞檢測(cè)算法和灰階向量鏈路信息映射算法，方法具有不可預(yù)測(cè)性，對(duì)此本文進(jìn)行模型設(shè)計(jì)改進(jìn)。假定混合網(wǎng)絡(luò) = （，）可被分解為個(gè)社交群體，…，定義一個(gè)€椎畝猿憑卣？= ，其中表示網(wǎng)絡(luò)中連接病毒攻擊群和的邊在所有邊中所占的比例。分析受到攻擊的網(wǎng)絡(luò)病毒連續(xù)攻擊傳播概率模型，實(shí)現(xiàn)連續(xù)攻擊信號(hào)的重疊檢測(cè)，受到攻擊的網(wǎng)絡(luò)病毒連續(xù)攻擊通過(guò)單個(gè)連接的病毒與移動(dòng)設(shè)備建立連接，傳播的成功與否與連接建立的時(shí)間和病毒所需的傳播時(shí)間有關(guān)，采用基于信息熵的分類屬性描述病毒傳播的種群規(guī)模，得到混合網(wǎng)絡(luò)病毒入侵模型如圖1所示。

圖1 混合網(wǎng)絡(luò)病毒入侵信號(hào)轉(zhuǎn)換模型

圖1中，絡(luò)病毒傳播狀態(tài)轉(zhuǎn)換關(guān)系模型中與分別表示入侵信號(hào)個(gè)體從狀態(tài)轉(zhuǎn)化為狀態(tài)和狀態(tài)的概率，和標(biāo)記狀態(tài)和狀態(tài)，由此構(gòu)建混合網(wǎng)絡(luò)攻擊偽裝數(shù)據(jù)的網(wǎng)絡(luò)通信圖（，），即考慮短距離的鏈路進(jìn)行數(shù)據(jù)傳輸。在圖（，）中，若兩個(gè)結(jié)點(diǎn)之間存在一條邊，將整個(gè)網(wǎng)絡(luò)劃分為若干個(gè)邊長(zhǎng)相等的正方形區(qū)域，依據(jù)數(shù)據(jù)挖掘方法對(duì)設(shè)計(jì)結(jié)構(gòu)的數(shù)據(jù)進(jìn)行新的挖掘，提取更加明顯的特征，強(qiáng)化數(shù)據(jù)分析的能力。⑤

1.2 入侵信號(hào)模型構(gòu)建

在上述網(wǎng)絡(luò)病毒入侵模型構(gòu)建的基礎(chǔ)上，為了提取入侵特征，需要進(jìn)行信號(hào)模型構(gòu)建，網(wǎng)絡(luò)病毒傳播模型中主要由兩類個(gè)體組成，這兩類個(gè)體呈0-1分布，假設(shè)混合網(wǎng)絡(luò)病毒傳播信息流表示為：

（） = [ + ?+ ] ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ?（1）

式中，表示為混合網(wǎng)絡(luò)病毒入侵的方向聚類系數(shù)，為病毒轉(zhuǎn)移中心權(quán)向量，為雜波信號(hào)，為一種干擾特征，此時(shí)混合網(wǎng)絡(luò)入侵特征檢測(cè)終端接收分析響應(yīng)特征的計(jì)算式表達(dá)為：

（，） = （） ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ?（2）

其中，是病毒混合網(wǎng)絡(luò)入侵過(guò)程中第條路徑上接收信號(hào)的衰減因子，為第條路徑時(shí)滯，為瞬時(shí)頻率。通過(guò)上述信號(hào)模型設(shè)計(jì)，構(gòu)建了入侵特征的數(shù)學(xué)模型。

2 特征提取及分類模型實(shí)現(xiàn)

在上述信號(hào)模型構(gòu)建的基礎(chǔ)上，進(jìn)行特征提取，為入侵特征分類提供準(zhǔn)確的原始數(shù)據(jù)，對(duì)混合網(wǎng)絡(luò)病毒入侵特征的準(zhǔn)確分類是實(shí)現(xiàn)入侵病毒有效檢測(cè)的基礎(chǔ)，針對(duì)傳統(tǒng)方法出現(xiàn)的問(wèn)題，本文提出一種基于信息熵聚類的混合網(wǎng)絡(luò)入侵特征的高效分類模型。假設(shè)混合網(wǎng)絡(luò)病毒傳播進(jìn)程中的信息熵為一組非線性時(shí)間序列特征，具有非高斯平穩(wěn)性，設(shè)為處理增益，得到入侵病毒信號(hào)的自相關(guān)函數(shù)為：

（） = []（） ? ? ? ? ? ? ? ? （3）

為了提分類性能，本文采用信息熵特征提取方法，在上述信息熵特征提取的基礎(chǔ)上行，把數(shù)據(jù)主特征建模和特征提取分類與缺省副本創(chuàng)建處理同步進(jìn)行處理，得到更小的響應(yīng)時(shí)間，實(shí)現(xiàn)準(zhǔn)確分類，假設(shè)混合網(wǎng)絡(luò)中經(jīng)過(guò)每條邊的最短路徑數(shù)目，由此得到信息上熵特征提取結(jié)果為：

= ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ?（4）

其中，表示節(jié)點(diǎn)間最短路徑中包括邊的數(shù)量，即按照模塊度值的不同生成對(duì)應(yīng)的社團(tuán)間邊頂點(diǎn)的集合。若其全網(wǎng)標(biāo)準(zhǔn)化程度中心性大于其在所屬社團(tuán)內(nèi)的子網(wǎng)標(biāo)準(zhǔn)化程度中心性，即>，依照病毒入侵行為特征的穩(wěn)定性，非攻擊用戶訪問(wèn)服務(wù)器的行為特征平穩(wěn)，當(dāng)前的行為特征可由之前的行為特征值線性預(yù)測(cè)，此時(shí)進(jìn)行入侵特征的高效分類。綜上所述，本文設(shè)計(jì)的分類模型的特征聚類示意圖如圖2所示。

圖2 入侵特征聚類示意圖

3 仿真測(cè)試與結(jié)果驗(yàn)證

為了驗(yàn)證算法在實(shí)現(xiàn)網(wǎng)絡(luò)入侵特征分類和檢測(cè)中的性能，進(jìn)行仿真測(cè)試，建立在Hadoop云平臺(tái)下混合網(wǎng)絡(luò)環(huán)境。Hadoop云平臺(tái)采用20臺(tái)計(jì)算機(jī)通過(guò)路由實(shí)現(xiàn)混合網(wǎng)絡(luò)病毒感染集群，其中1臺(tái)計(jì)算機(jī)作為主機(jī)控制節(jié)點(diǎn)，其它幾臺(tái)作為服務(wù)器和云計(jì)算運(yùn)算節(jié)點(diǎn)和存儲(chǔ)節(jié)點(diǎn)，云平臺(tái)的操作系統(tǒng)為Ubuntu12.04，Hadoop云平臺(tái)版本為1.1.2。病毒入侵過(guò)程中，假設(shè)具有自干擾信道增益節(jié)點(diǎn)樹為，為計(jì)算方便，參數(shù)取 = 2， = 4，在上述參數(shù)設(shè)定的基礎(chǔ)上，構(gòu)建網(wǎng)絡(luò)入侵病毒的信號(hào)模型，如圖3所示，

圖3 信號(hào)時(shí)域波形

提取入侵病毒的信息熵特征，對(duì)特征進(jìn)行分類仿真，得到本文算法和傳統(tǒng)算法下的入侵特征分類仿真結(jié)果如圖4所示，從圖可見，采用本文算法，能準(zhǔn)確實(shí)現(xiàn)對(duì)入侵病毒的特征分類，不會(huì)出現(xiàn)錯(cuò)分和漏分現(xiàn)象，提高了對(duì)網(wǎng)絡(luò)病毒的準(zhǔn)確檢測(cè)能力。

（a）傳統(tǒng)算法

（b）本文算法

圖4 入侵特征分類仿真對(duì)比

4 結(jié)論

混合網(wǎng)絡(luò)組網(wǎng)模式下，更容易遭受病毒的入侵，對(duì)混合網(wǎng)絡(luò)病毒入侵特征的準(zhǔn)確分類是實(shí)現(xiàn)入侵病毒有效檢測(cè)的基礎(chǔ)，研究混合網(wǎng)絡(luò)的病毒入侵特征分類算法具有重要意義。本文提出一種基于信息熵聚類的混合網(wǎng)絡(luò)入侵特征的高效分類模型。首先構(gòu)建混合網(wǎng)絡(luò)的入侵信號(hào)模型，進(jìn)行信息熵特征提取，設(shè)計(jì)聚類算法實(shí)現(xiàn)優(yōu)化分類，仿真結(jié)果表明，采用本文算法能準(zhǔn)確實(shí)現(xiàn)對(duì)混合網(wǎng)絡(luò)入侵病毒的信號(hào)模型構(gòu)建，并通過(guò)準(zhǔn)確提取信息熵特征，實(shí)現(xiàn)特征分類，分類準(zhǔn)確，提高了對(duì)入侵病毒的檢測(cè)性能，提高網(wǎng)絡(luò)安全防護(hù)能力。

注釋

① 葉青，黃炎磊.非均勻分布入侵檢測(cè)模型的研究與仿真[J].科技通報(bào)，2013.29（8）：169-171.

② 程?hào)|年，汪斌強(qiáng)，王保進(jìn)等.網(wǎng)絡(luò)結(jié)構(gòu)自調(diào)整的柔性內(nèi)涵初探[J]，通信學(xué)報(bào)，2012.33（8）：214-222.

③ 焦義文，王元?dú)J，馬宏，等.群時(shí)延失真對(duì)天線組陣合成信噪比的影響分析[J].信號(hào)處理，2015.31（2）：145-153.

④ 譚中權(quán).離散與連續(xù)時(shí)間強(qiáng)相依高斯過(guò)程最大值與和的漸近關(guān)系[J].應(yīng)用數(shù)學(xué)學(xué)報(bào)，2015.38（1）：27-36.

⑤ Csirmaz L， Tardos G. Optimal information rate of secret sharing schemes on trees[J].IEEE Transactions on Information Theory， 2013.59（4）：2527-2530.