李威　顧海林　黃興

摘 要： 針對當(dāng)前對網(wǎng)絡(luò)入侵異常檢測精度不高的問題，進(jìn)行網(wǎng)絡(luò)被入侵后的異常信號檢測系統(tǒng)優(yōu)化設(shè)計，提出基于高階時頻譜分析的網(wǎng)絡(luò)入侵異常信號檢測算法，首先對信號檢測算法進(jìn)行改進(jìn)設(shè)計，構(gòu)建網(wǎng)絡(luò)入侵信號模型，對入侵后的網(wǎng)絡(luò)異常信號做非平穩(wěn)信號經(jīng)驗?zāi)B(tài)分解和高階時頻譜特征提?。蝗缓筮M(jìn)行信號檢測系統(tǒng)的開發(fā)；最后通過仿真實驗進(jìn)行性能測試。仿真結(jié)果表明，采用該信號檢測系統(tǒng)能準(zhǔn)確檢測網(wǎng)絡(luò)被入侵后的異常信號，且準(zhǔn)確檢測概率高于傳統(tǒng)方法。

關(guān)鍵詞： 網(wǎng)絡(luò)入侵； 信號檢測； 譜分析； 經(jīng)驗?zāi)B(tài)分解

中圖分類號： TN911.23?34； TP393 文獻(xiàn)標(biāo)識碼： A 文章編號： 1004?373X（2017）03?0058?04

Design and optimization of signal detection system after network intrusion

LI Wei， GU Hailin， HUANG Xing

（Information and Communication Engineering Center， Information Communication Branch Company of

State Grid Liaoning Electric Power Co.， Ltd.， Shenyang 110006， China）

Abstract： Since the accuracy of the current network intrusion anomaly detection is low， the optimization design for the abnormal signal detection system after network intrusion was performed， and the network intrusion abnormal signal detection algorithm based on higher?order time?spectrum analysis is proposed. The improvement design for the signal detection algorithm was conducted， and the network intrusion signal model was constructed to decompose the non?stationary signal empirical mode and extract the higher?order time?spectrum feature of the network anomaly signal after network intrusion. The signal detection system was developed， and its performance was test with simulation experiment. The simulation results show that the signal detection system can accurately detect the abnormal signal after network intrusion， and its accurate detection probability is higher than that of the traditional method.

Keywords： network intrusion； signal detection； spectrum analysis； empirical mode decomposition

0 引 言

隨著計算機(jī)技術(shù)和網(wǎng)絡(luò)技術(shù)的快速發(fā)展，網(wǎng)絡(luò)運行的速度不斷增快，網(wǎng)絡(luò)傳輸和處理的數(shù)據(jù)信息不斷增多，網(wǎng)絡(luò)安全受到管理者和用戶的重視[1?2]。網(wǎng)絡(luò)安全主要包括網(wǎng)絡(luò)的物理安全、網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)安全、網(wǎng)絡(luò)系統(tǒng)安全等。網(wǎng)絡(luò)入侵通過病毒植入，實現(xiàn)非法存取、拒絕服務(wù)和網(wǎng)絡(luò)資源非法占用等，達(dá)到攻擊用戶私密信息的目的。網(wǎng)絡(luò)被入侵后會出現(xiàn)異常信號，通過對網(wǎng)絡(luò)被入侵后的入侵信號進(jìn)行檢測，保障網(wǎng)絡(luò)安全，研究相關(guān)的信號檢測算法和系統(tǒng)受到人們的極大關(guān)注[3?4]。

針對當(dāng)前對網(wǎng)絡(luò)入侵異常檢測精度不高的問題，提出基于高階時頻譜分析的網(wǎng)絡(luò)入侵異常信號檢測算法，并通過仿真實驗進(jìn)行性能測試。

1 算法設(shè)計

1.1 信號模型構(gòu)建與分析

首先對網(wǎng)絡(luò)被入侵后的異常信號模型進(jìn)行構(gòu)建和特征分析，網(wǎng)絡(luò)被入侵后的數(shù)據(jù)傳輸節(jié)點分布為一個寬平穩(wěn)的隨機(jī)信道模型，異常信號分布在一個多徑時變的非平穩(wěn)傳輸信道中，采用短時傅里葉變換構(gòu)建網(wǎng)絡(luò)被入侵后的異常信號傳輸?shù)男诺滥Ｐ兔枋鰹閇5?6]：

[x（t）=Rean（t）e-j2πfcτn（t）slt-τn（t）e-j2πfct] （1）

式中：網(wǎng)絡(luò)被入侵后異常信號的加窗函數(shù)[x（t）]在時間[t]的短時傅里葉變換就是[x（t）]乘上一個以[t]為中心的“分析窗”，由于短時傅里葉變換，在所有窗函數(shù)里建立時間窗。

當(dāng)短時傅里葉變換為一種線性變換，輸出的信號沖激響應(yīng)為[γ*（t-t），]根據(jù)網(wǎng)絡(luò)被入侵后異常信號的時頻分辨率不變性，信號短時譜定義為：

[STFT（γ）x（t， f）=-∞∞[x（t）γ*（t-t）]e-j2πftdt] （2）

采用短時傅里葉變換使得網(wǎng)絡(luò)入侵信號的短時傅里葉基數(shù)STFT保持信號[x（t）]的頻移特性，網(wǎng)絡(luò)被入侵的時間尺度脈沖響應(yīng)為：

[c（τ，t）=nan（t）e-j2πfcτn（t）δ（t-τn（t））] （3）

式中：[an（t）]是第[n]條網(wǎng)絡(luò)傳輸信道上的異常信號的單分量主頻特征；[τn（t）]為第[n]條垂直無窮長窗函數(shù)的時延；[fc]為網(wǎng)絡(luò)被入侵的信道調(diào)制頻率。

設(shè)網(wǎng)絡(luò)被入侵?jǐn)?shù)據(jù)傳輸節(jié)點的傳遞路徑有[P]條，采用頻率分辨率調(diào)制濾波[7]，得到網(wǎng)絡(luò)被入侵后的異常信號傳輸?shù)亩鄰叫诺纻鬟f函數(shù)為：

[h（t）=i=1Paip（t-τi）] （4）

式中：[ai]和[τi]分別是時間分辨率和傳播損失。

網(wǎng)絡(luò)被入侵后數(shù)據(jù)傳輸?shù)男诺捞卣鞣植己瘮?shù)為：

[y（t）=x（t-t0）?Wy（t，v）=Wx（t-t0，v）y（t）=x（t）ej2πv0t?Wy（t，v）=Wx（t，v-v0）] （5）

對于兩個能量相同的信號，定義窗函數(shù)的時寬[Δt]為：

[Δt2=t2G（t）2dtG（t）2dt] （6）

通過時頻伸縮，可得網(wǎng)絡(luò)被入侵后異常信號的頻譜特征為：

[y（t）=kx（kt）， k>0，Wy（t，v）=Wx（kt，vk）] （7）

式中：[k]表示時間分辨采樣頻率；[v]表示網(wǎng)絡(luò)被入侵后輸出信道的帶寬；[Wx]為時間窗口函數(shù)，式（7）表示網(wǎng)絡(luò)被入侵的信道中的時域和頻域的伸縮尺度。時間分辨率和頻率分辨率在頻譜寬度一致性特征的情況下，構(gòu)建網(wǎng)絡(luò)入侵的異常信號模型為：

[z（t）=x（t）+iy（t）=a（t）eiθ（t）] （8）

式中：[z（t）]表示入侵后的異常信號；[x（t）]表示殘余函數(shù)；[y（t）]表示網(wǎng)絡(luò)入侵后異常信號的殘余量；[a（t）]表示非線性、非平穩(wěn)的多分量信號的上下包絡(luò)線；[θ（t）]表示入侵偏移相位。

通過單分量信號的尺度分解將原始信號分解為多個低頻分量之和，得到網(wǎng)絡(luò)入侵后的異常信號的包絡(luò)特征為：

[a（t）=x2（t）+y2（t）， θ（t）=arctany（t）x（t）] （9）

式中：[a（t）]和[θ（t）]分別是網(wǎng)絡(luò)被入侵后異常信號的高頻特征分量的包絡(luò)和相位。

1.2 信號檢測算法實現(xiàn)

定義[D=（dγ）γ∈Γ]為網(wǎng)絡(luò)入侵異常信號分布特征空間[H]中的入侵?jǐn)?shù)據(jù)向量組成的基函數(shù)集，在對受到強(qiáng)雜波背景干擾下入侵后的網(wǎng)絡(luò)異常信號[x（t）]進(jìn)行經(jīng)驗?zāi)B(tài)分解，每層分解的誤差分量表示為：

[xmin， j=maxxmin， j，xg， j-ρ（xmax， j-xmin， j）] （10）

[xmax， j=minxmax， j，xg， j+ρ（xmax， j-xmin， j）] （11）

入侵特征檢測的偏移量頻譜區(qū)間在[[xmin， j，xmax， j]]內(nèi)構(gòu)成局部時間尺度分量的滑動時間窗口，[ρ]為網(wǎng)絡(luò)入侵異常信號屬性特征調(diào)整系數(shù)，定義為：

[ρ=o∈Nk-dist（p）lrdk（o）lrdk（p）Nk-dist（p）] （12）

采用頻率調(diào)制對信號進(jìn)行高階譜特征提取，以過零點定義的IMF函數(shù)為一個采樣特征區(qū)間，表示為：[Yk=yk1，yk2，…，ykj，…，ykJ， k=1，2，…，N] （13）

通過頻率調(diào)制去除網(wǎng)絡(luò)被入侵后異常信號的虛假分量，在對網(wǎng)絡(luò)入侵后異常信號的局部均值進(jìn)行后置聚焦檢測后，采用時頻特征分析方法進(jìn)行網(wǎng)絡(luò)被入侵后的異常信號的時域特征分解，得到頻譜偏移量為：

[fi（n）=ln[λi（n）]2πΔt] （14）

式中[Δt]表示信號采樣時間間隔。

由此計算網(wǎng)絡(luò)被入侵后異常信號的穩(wěn)態(tài)概率：

[WDx（t，f）=xt+τ2x*t-τ2e-j2πftdτ] （15）

式中：[f]表示異常信號的頻域瞬態(tài)函數(shù)；[x*]表示對原始信號取卷積。

選擇時間?頻率聯(lián)合特征匹配方法，得到網(wǎng)絡(luò)被入侵后的異常信號差異函數(shù)[f]和基[dγ0]之間的匹配程度為：

[λn（dγ0）=-∞+∞f（t）d*γ0（t）dt] （16）

采用自適應(yīng)級聯(lián)濾波方法進(jìn)行信號濾波，得到異常信號檢測的一組極大線性無關(guān)組，[dγ]的邊緣特性解向量[L2（R）]是稠密的，得到網(wǎng)絡(luò)入侵后的異常信號的能量密度滿足：

[f，dγ0≥asupγ∈Γf，dγ] （17）

準(zhǔn)確檢測概率滿足：

[f=f，dγ0dγ0+Rf] （18）

2 系統(tǒng)硬件設(shè)計與軟件開發(fā)

2.1 信號檢測系統(tǒng)的硬件設(shè)計

系統(tǒng)的模塊化設(shè)計主要包括濾波電路模塊、信號采樣A/D電路模塊、DSP集成處理主控模塊和檢測輸出模塊等，首先構(gòu)建信號濾波器電路，進(jìn)行網(wǎng)絡(luò)被入侵后異常信號的檢測濾波，濾波結(jié)構(gòu)模型如圖1所示。

以網(wǎng)絡(luò)被入侵后異常信號的A/D數(shù)據(jù)采集作為原始輸入，給出級聯(lián)自適應(yīng)濾波器形式為：

[H（z）=N（z）D（z）] （19）

式中：[N（z）]是異常信號檢測系統(tǒng)的低通信道函數(shù)，它的零點在[z=e±jω0]處；[D（z）]為盲源分離狀態(tài)函數(shù)。

由濾波器的控制篩分參數(shù)[a]和帶寬參數(shù)[r]確定自適應(yīng)級聯(lián)濾波器的階數(shù)和調(diào)制頻率，初始頻率為：

[ω0=arccos（-a2）] （20）

在前饋放大約束下，通過抽頭加權(quán)得到入侵后的異常信號檢測濾波器低通響應(yīng)特征函數(shù)為：

[ejπ=V（ejω0）=sinθ2+sinθ1（1+sinθ2）ejω0+ej2ω01+sinθ1（1+sinθ2）ejω0+sinθ2ej2ω0] （21）

網(wǎng)絡(luò)被入侵后異常信號檢測系統(tǒng)的信號濾波器的傳遞函數(shù)為：

[H（z）=121+V（z）V（ejω）+ejΦ（ω）] （22）

根據(jù)濾波傳遞函數(shù)，采用DSP信號處理器和PCI總線進(jìn)行電路設(shè)計，得到濾波電路設(shè)計如圖2所示。

信號采樣A/D電路模塊實現(xiàn)網(wǎng)絡(luò)入侵后的異常信號檢測原始數(shù)據(jù)采樣和數(shù)模轉(zhuǎn)換功能，采用16位定點DSP作為控制芯片，采用FLASH中的應(yīng)用程序bootloader自動調(diào)整系統(tǒng)的放大倍數(shù)，從片內(nèi)ROM的0FF80H起執(zhí)行程序，控制A/D轉(zhuǎn)換器進(jìn)行正常采樣，得到信號檢測系統(tǒng)的信號采樣A/D電路設(shè)計如圖3所示。

DSP集成處理主控模塊是網(wǎng)絡(luò)被入侵后異常信號檢測系統(tǒng)的核心模塊，主控模塊的時鐘頻率為33 MHz或66 MHz，DSP集成處理環(huán)境下異常信號處理程序是在CCS 2.20開發(fā)平臺下進(jìn)行，DSP通過雙端口RAM（IDT70V28）進(jìn)行數(shù)據(jù)通信，DSP信號處理器設(shè)計主要包括5409A引腳設(shè)置、JTAG設(shè)計，地址總線LA[16：1]，檢測輸出模塊選擇引腳、時鐘信號輸入引腳，通過CPLD編程ADM706SAR進(jìn)行系統(tǒng)復(fù)位，得到主控模塊的DSP接口連線如圖4所示。

2.2 系統(tǒng)的軟件開發(fā)實現(xiàn)

網(wǎng)絡(luò)被入侵后異常信號檢測系統(tǒng)的軟件開發(fā)處理程序在CCS 2.20開發(fā)平臺下進(jìn)行。采用C5409A XDS510 Emulator仿真器進(jìn)行檢測算法編程設(shè)計，采用程序加載電路進(jìn)行異常信號檢測算法的寫入和數(shù)據(jù)讀取，處理程序都是用ASM語言編寫，與VB，VC等可視化開發(fā)平臺進(jìn)行匯編，鏈接生成.out文件，代碼設(shè)計時把應(yīng)用程序轉(zhuǎn)換成.hex格式代碼，把loader和用戶程序都燒寫到FLASH中，在0FF81H處寫loader程序的入口地址，得到網(wǎng)絡(luò)被入侵后異常信號檢測系統(tǒng)的程序設(shè)計流程如圖5所示。

3 性能的測試

首先對SPCR1（串口接收控制寄存器）和SPCR2（串口發(fā)送控制寄存器）進(jìn)行復(fù)位串口配置，配置PCR（串口控制引腳寄存器）的FSXM=1，進(jìn)行網(wǎng)絡(luò)入侵采樣，采樣的樣本數(shù)為1 024，采用網(wǎng)絡(luò)爬蟲技術(shù)進(jìn)行病毒入侵的數(shù)據(jù)爬取，爬取次數(shù)為100 598次，啟動串口0的采樣率，得到兩個幀同步之間的異常信號。網(wǎng)絡(luò)入侵異常信號的中心采用頻率為[f0=1 000]Hz，接收器和發(fā)送器的激活頻率為[fs=10] kHz，信號的采樣帶寬[B=1 000]Hz，其調(diào)頻率[k=BT=13.8] Hz，信號檢測過程中的干擾信噪比為-30 dB，根據(jù)上述仿真環(huán)境和參數(shù)設(shè)定，進(jìn)行網(wǎng)絡(luò)被入侵后的異常信號檢測仿真，得到采樣的原始網(wǎng)絡(luò)信號如圖6所示。

以上述采樣信號為測試對象，輸入到本文設(shè)計的異常信號檢測系統(tǒng)中，得到檢測輸出的高階時頻譜如圖7所示。

從圖7可見，本文設(shè)計的信號檢測系統(tǒng)能準(zhǔn)確檢測到異常信號的頻譜特征，對低頻干擾信號的抑制性能較好，檢測輸出的峰度聚焦性較好，展示了較高的檢測性能，為了對比，采用本文方法和傳統(tǒng)方法，以準(zhǔn)確檢測概率為測試指標(biāo)，得到的結(jié)果如圖8所示。從圖8可見，采用本文系統(tǒng)進(jìn)行網(wǎng)絡(luò)入侵后異常信號檢測的準(zhǔn)確檢測概率較高，且性能優(yōu)于傳統(tǒng)方法。

4 結(jié) 語

網(wǎng)絡(luò)被入侵后會出現(xiàn)異常信號，通過對網(wǎng)絡(luò)被入侵后的入侵信號檢測，保障網(wǎng)絡(luò)安全。本文提出基于高階時頻譜分析的網(wǎng)絡(luò)入侵異常信號檢測算法，仿真結(jié)果表明，本文算法的準(zhǔn)確檢測概率高于傳統(tǒng)方法，具有較高的應(yīng)用價值。

參考文獻(xiàn)

[1] 陸興華，陳平華.基于定量遞歸聯(lián)合熵特征重構(gòu)的緩沖區(qū)流量預(yù)測算法[J].計算機(jī)科學(xué)，2015，42（4）：68?71.

[2] 楊雷，李貴鵬，張萍.改進(jìn)的Wolf一步預(yù)測的網(wǎng)絡(luò)異常流量檢測[J].科技通報，2014，30（2）：47?49.

[3] 周煜，張萬冰，杜發(fā)榮，等.散亂點云數(shù)據(jù)的曲率精簡算法[J].北京理工大學(xué)學(xué)報，2010，30（7）：785?790.

[4] MERNIK M， LIU S H， KARABOGA M D， et al. On clarifying misconceptions when comparing variants of the Artificial Bee Colony Algorithm by offering a new implementation [J]. Information sciences， 2015， 291（C）： 115?127.

[5] 沈淵.基于入侵關(guān)聯(lián)跟蹤的P2P網(wǎng)絡(luò)入侵檢測方法[J].科技通報，2013，29（6）：32?34.

[6] 章武媚，陳慶章.引入偏移量遞階控制的網(wǎng)絡(luò)入侵HHT檢測算法[J].計算機(jī)科學(xué)，2014，41（12）：107?111.

[7] HSIEH T J. A bacterial gene recombination algorithm for sol?ving constrained optimization problems [J]. Applied mathema?tics and computation， 2014， 231： 187?204.