改进的NetLinX开放网络动态入侵检测方法
秦永俊, 唐增明     
桂林师范高等专科学校 数学与计算机技术系, 广西 桂林 541001
摘要: 针对当前时频特征检测算法的检测准确概率较低,网络入侵信息的检测准确性不高,提出基于经验模态特征分解和功率谱密度特征提取的NetLinX开放网络动态入侵检测算法.通过对NetLinX开放网络模型分析和动态入侵信号模型的构建,实现网络动态入侵信号的经验模态特征分解,将网络入侵的动态信号分解成若干个IMF分量之和.对分解的NetLinX开放网络动态入侵信号进行功率谱密度特征提取,完成对入侵特征的波束聚焦检测,实现NetLinX开放网络动态入侵信号的检测过程.仿真结果表明,采用该算法进行网络入侵检测的准确概率较高,抗干扰性能较好,实时性较强.
关键词: NetLinX开放网络     动态入侵     功率谱密度特征提取    
Improved method of dynamic intrusion detection in NetLinX open network
QIN Yongjun, TANG Zengming     
School of Mathematics and Computer Science, Guilin Normal College, Guilin 541001, China
Abstract: Due to the inaccuracy of frequency feature detection algorithm and network intrusion information, NetLinX open dynamic network intrusion detection algorithm based on feature extraction of power spectral density is proposed.Through analyzing the NetLinX open network model and constructimg the dynamic intrusion signal model, the empirical mode decomposition of dynamic network intrusion signal is realized, and the signal is decomposed into several IMF components.The power spectral density feature of NetLinX open network intrusion dynamic signal of decomposition is extracted and beam focusing detection for intrusion detection feature is completed, and the detection process is thus realized.Simulation results show that the algorthm has high accuracy, good anti-interference and strong real-time effect in network intrusion detection.
Key words: NetLinX open network    dynamic intrusion    feature extraction of power spectral density    
0 引言

随着网络信息技术的发展, 网络通信安全受到人们极大关切, 网络安全关系到用户的个人隐私安全、军事信息安全、商业秘密传输安全、用户的账户财产安全, 一旦网络受到病毒的攻击入侵, 容易导致信息泄露和网络崩溃.NetLinX开放网络具有自组织性和多层次节点分布性, 但更容易受到网络入侵攻击.NetLinX开放网络是访问式网络, 其自组织性强,业务流量处理的规模较大, 需要有效的NetLinX开放网络入侵检测方法, 提高网络安全性能.

对NetLinX开放网络入侵的特征检测建立在网络入侵时间序列分析和统计特征提取的基础上, NetLinX开放网络入侵时间序列的影响因素众多, 具有宽平稳高斯随机特性, 常规的防火墙拦截方法对网络入侵检测的性能不好, 采用入侵信号分析和信号检测方法对NetLinX开放网络入侵检测的有效性更佳, 对网络入侵特征检测的典型方法主要有建立增量式GHSOM神经网络方法、云计算方法、数据降维的入侵检测法等[1-3].上述算法通过把NetLinX开放网络入侵时间序列解析模型分解为含有多个非线性成分的统计量, 实现NetLinX开放网络入侵信号的矢量空间重构, 进行NetLinX开放网络入侵的异常特征检测, 具有一定的入侵检测精度, 但是随着NetLinX开放网络入侵数据规模的扩大和干扰因素的增多, 检测精度也受到影响.因此, 相关文献对网络入侵检测算法进行改进设计, 其中, 文献[4]提出基于节点生长马氏距离K均值和HMM的网络入侵检测方法, 实现样本聚类, 得到样本属于各攻击类型的后验概率, 通过前向评估准则和后向评估准则对HMM模型进行训练, 获得HMM检测模型, 实现对NetLinX开放网络入侵的准确检测, 但是该算法的计算开销较大, 网络入侵检测的实时性不好; 文献[5]提出一种改进蚁群优化算法(ACO)和支持向量机(SVM)相融合的网络入侵检测方法.将SVM模型参数作为蚂蚁的位置向量, 采用动态随机抽取的方法来确定目标个体引导蚁群进行全局搜索, 同时在最优蚂蚁邻域内进行小步长局部搜索, 找到SVM最优参数, 采用最优参数建立网络入侵检测模型.但是该算法在进行网络入侵信号分析时具有较大的时间延迟和动态误差, 随着网络中的不确定数据干扰的增强, 对网络入侵信息的检测准确性受到限制.针对上述问题, 提出一种基于经验模态特征分解和功率谱密度特征提取的NetLinX开放网络动态入侵检测算法.首先分析NetLinX开放网络模型和构建动态入侵信号模型, 对网络动态入侵信号进行经验模态特征分解, 并分解成若干个IMF分量之和, 对分解的NetLinX开放网络动态入侵信号进行功率谱密度特征提取, 由此实现对入侵特征的波束聚焦检测.最后通过仿真实验进行性能测试和分析, 得出检测性能较好的有效性结论.

1 模型构建 1.1 NetLinX开放网络动态入侵检测分析

首先分析NetLinX开放网络节点分布信道模型, 在NetLinX开放网络信道中进行动态入侵传输信号和数据采集[6-10].NetLinX开放网络具有带宽大、抗干扰性能好、吞吐量高和信道均衡性好等特点, 在通信领域中受到广泛应用, 但由于其开放性和自组织性, 导致容易受到网络入侵.为了实现对NetLinX开放网络动态入侵检测分析, 直观地给出NetLinX开放网络的链路场景图, 如图 1所示.

图 1 NetLinX开放网络的链路场景图 Figure 1 Link scene graph of NetLinX open network

NetLinX开放网络通信信道是一个扩展信道, 采用多输入多输出MIMO多径信道传播模式, 假设NetLinX开放网络节点链路场景中, 通信节点由N=2P个阵元组成, 径向距离为d, 在NetLinX开放网络的链路场景图基础上, 给出NetLinX开放网络的多信道数据接收模型为

${x_m}\left( t \right) = N\sum\limits_{i = 1}^I {{s_i}} \left( t \right){\rm{exp}}\left( i \right) + d.$ (1)

其中, si(t)为NetLinX开放网络链路结构模型中的第i个节点接收到的网络传输数据.在NetLinX开放网络的多模信道接收模型中, 为了保证网络入侵节点输出的零点数与极值点个数相等, NetLinX开放网络的多模信道接收模型需要满足的约束条件为

$y = \left\{ {{x_n},{x_{n - 1}},{x_{n - 2}}, \cdots ,{x_{n - m}}} \right\}.$ (2)

其中:xn表示接收到的第n个网络传输数据, xn-m表示接收到的第n-m个网络数据.假设NetLinX开放网络入侵可疑数据的信号解析表达式为z(t), 它是xm(t)与1/t的线性卷积, 可由FFT来快速实现多尺度分解, 得到NetLinX开放网络动态入侵的可疑数据检测模型为

${W_\psi } = z\left( t \right){x_m}\left( t \right) \times t.$ (3)

其中, t表示NetLinX开放网络中可疑数据的全部传输时间.为使得瞬时频率具有物理意义, 依据NetLinX开放网络动态入侵的可疑数据检测模型, 得到NetLinX开放网络动态入侵可疑数据的输出信号为

$h\left( t \right) = {W_\psi }a\left( t \right){\rm{exp}}\left( {\theta \left( t \right)} \right){x_m}\left( t \right)/t.$ (4)

其中:a(t)表示NetLinX开放网络信道传输的原始数据, θ(t)表示NetLinX开放网络信道传输的相位信息.在传输信道中, 构建网络疑似入侵节点输出信号的空间矢量表示为

${{\bf{R}}_1} = {\left\{ {{X_1},{\rm{ }}{X_2},{\rm{ }}{X_3}, \cdots ,{\rm{ }}{X_d}} \right\}^{\rm{T}}}.$ (5)

通过构建NetLinX开放网络动态入侵节点输出信号的空间矢量, 完成NetLinX开放网络动态入侵检测分析.

1.2 网络入侵信号模型构建

在NetLinX开放网络动态入侵检测分析基础上, 完成网络入侵信号模型构建.假设NetLinX开放网络的动态入侵传输信号的信息融合动态方程为

$F({x_i}) = \sum\limits_{j \in S} {{x_i}{r_j}} \left( x \right)p_j^i\left( x \right) - {x_i}{r_j}\left( x \right).$ (6)

其中:rj(x)为NetLinX开放网络动态入侵的信息融合误差, xi为调制幅值, pji (x)为NetLinX开放网络动态入侵的误差频率.

依据NetLinX开放网络的动态入侵传输信号的信息融合动态方程, 假设NetLinX开放网络客户端接收到的信号模型为g(t), 动态入侵信号传输的时延为τ, 获得NetLinX开放网络动态入侵传输信号的动态特征为

${\mathit{\Phi }^H}\left( t \right) = g\left( t \right) \times \tau \times F({x_i}),\left| t \right| \le \frac{T}{2}.$ (7)

NetLinX开放网络在进行动态入侵感知过程中, 由于受到不确定干扰向量的影响, 需要采用双曲调频母小波对不确定干扰向量进行多尺度分解[11-15], 得到NetLinX开放网络动态入侵多尺度分解结果为

$\tau \left( t \right) = \frac{{2{\mathit{\Phi }^H}\left( t \right)}}{c}.$ (8)

其中, c为NetLinX开放网络动态特征的时间窗口, 依据NetLinX开放网络动态入侵多尺度分解结果, 构建NetLinX开放网络入侵信号模型为

$c\left( {\tau ,{\rm{ }}t} \right) = \tau \left( t \right)\sum\limits_n {{a_n}} \left( t \right){\rm{exp}}( - 2{\rm{ \mathsf{ π} }}{f_c}{s_l}\left. {\left( t \right)} \right).$ (9)

其中:an(t)是第n条NetLinX开放网络入侵信号的主频特征, τ(t)为第n条数据传输路径传输时延, fc为NetLinX开放网络中的信号调制频率, sl(t)为单分量传递信息.在上述进行了NetLinX开放网络入侵信号模型构建的基础上, 进行入侵检测算法设计.

2 入侵检测方法优化 2.1 网络动态入侵信号的经验模态特征分解

在上述进行NetLinX开放网络动态入侵检测分析和入侵信号模型构建的基础上, 进行NetLinX开放网络的动态入侵检测优化设计, 针对当前NetLinX开放网络入侵检测准确率较低的问题, 提出基于经验模态特征分解和功率谱密度特征提取的NetLinX开放网络动态入侵检测方法, 对NetLinX开放网络动态入侵信号进行经验模态特征分解, 将网络入侵的动态信号分解成若干个IMF分量之和.假设输入NetLinX开放网络中的入侵特征时间序列为x(t), 得到NetLinX开放网络入侵特征的时域特征为

$W\left( {t,{\rm{ }}v} \right) = \smallint _{ - \infty }^{ + \infty }x\left( t \right){\rm{exp}}( - 2{\rm{\pi }}\alpha ){\rm{d}}\alpha .$ (10)

得到NetLinX开放网络入侵特征的频域特征为

$Z\left( {t,v} \right) = \smallint _{ - \infty }^{ + \infty }x\left( t \right){\rm{exp}}( - 2{\rm{\pi }}\xi ){\rm{d}}\xi .$ (11)

其中:α为NetLinX开放网络入侵信号的时频特征系数, ξ为NetLinX开放网络入侵信号的频域特征系数.

在获得NetLinX开放网络入侵特征的时域特征和频域特征基础上, 得到网络动态入侵信号检测器表达式为

$W = W\left( {t,{\rm{ }}v} \right) + Z\left( {t,{\rm{ }}v} \right).$ (12)

采用网络动态入侵信号检测器对NetLinX开放网络动态入侵输出信号进行经验模态分解, 得到NetLinX开放网络动态入侵的IMF分量之和为

$B = \sum\limits_{i = 1}^n {{c_i} + {r_n}} W.$ (13)

其中:ci代表各经验模态分解的IMF分量, rn代表频域中的总能量.将得到的NetLinX开放网络动态入侵的IMF分量之和进行经验模态特征分解, 得到网络动态入侵信号的经验模态特征分解为

${E_x} = \smallint _{ - \infty }^{ + \infty }\smallint _{ - \infty }^{ + \infty }B{W_x}\left( {t,v} \right){\rm{d}}t{\rm{d}}v.$ (14)

其中, Wx(t, v)表示NetLinX开放网络中的入侵信号的时变瞬时频率, 在上述网络动态入侵信号的经验模态特征分解基础上, 进行NetLinX开放网络动态入侵检测设计.

2.2 网络动态入侵信号检测实现

对NetLinX开放网络动态入侵输出信号的时频进行分析, 采用局部特征尺度分解法, 对NetLinX开放网络中的时间序列进行能量积分得到

$\smallint _{ - \infty }^{ + \infty }{W_y}\left( {t,v} \right){\rm{d}}v = {\left| {x\left( t \right)} \right|^2}.$ (15)

其中, Wy(t, v)表示网络入侵信号在时域空间的能量传播损失.依据NetLinX开放网络中时间序列的能量积分, 获得网络动态入侵的线性相关输出为

$u = [{u_1},{\rm{ }}{u_2},{\rm{ }} \ldots ,{\rm{ }}{u_N}] \in {R^{mN}}.$ (16)

其中, u1, u2, …, uN为网络动态入侵数据的信号源.由于NetLinX开放网络中的入侵信号具有非平稳时变特性, 因此, 引入功率谱密度估计方法进行NetLinX开放网络动态入侵数据的自适应特征匹配, 得到匹配后的网络动态入侵的线性相关输出为

$AV{G_X} = \frac{u}{{m \times n}}\sum\limits_{x = 1}^n {\sum\limits_{y = 1}^m {|{G_{{\rm{max}}}}\left( {x,y} \right)|} } .$ (17)

其中:m, n分别是NetLinX开放网络传输动态入侵检测的向量量化自相关系数, Gmax(x, y)为NetLinX开放网络动态入侵检测的最大梯度差, 对NetLinX开放网络动态入侵的线性相关输出进行特征分离, 得到NetLinX开放网络入侵线性相关输出的分离过程, 描述为

${\hat c_{4x}}\left( {n,\tau } \right) = {v_x}\left( t \right){Y_p}\left( u \right) + \gamma \sum\limits_{j = 0}^\infty {h\left( j \right)} .$ (18)

其中:vx(t)表示NetLinX开放网络动态入侵输出的频率交叉项, Yp(u)表示NetLinX开放网络动态入侵检测输出的中心矩, γ为入侵特征的峰度, h(j)表示输出网络入侵信号的幅值、时间参量估计.

通过上述分析, 完成对NetLinX开放网络动态入侵信号的检测过程.

3 仿真实验与结果分析

实验采用Matlab 7编程实现NetLinX开放网络入侵检测算法设计, 假设NetLinX开放网络动态入侵采样样本的时间间隔为0.24 s, 网络通信数据传输频带为3~20 kHz, 采样率fs=20 kHz, 开放网络中对入侵检测的干扰强度为-15 dB~5 dB, NetLinX开放网络动态入侵特征分布在400~600采样点之间.根据上述仿真环境和参数设定, 进行NetLinX开放网络动态入侵检测仿真设计, 得到在两个采样通道中NetLinX开放网络传输信号模型, 如图 2所示.

图 2 NetLinX开放网络传输信号模型原始数据 Figure 2 Original data of NetLinX open network transmission signal model

以上述采样的NetLinX开放网络传输信号原始数据为测试集, 进行入侵检测, 对网络动态入侵信号1和信号2进行经验模态特征分解, 对网络入侵的动态信号分解成若干个IMF分量之和, 获得NetLinX开放网络动态入侵检测结果如图 3所示.

图 3 网络传输数据的IMF分量 Figure 3 IMF component of network transmission data

图 1图 2可知, 采用本文方法对两个采样通道中的NetLinX开放网络传输信号检测效果良好.此外, 为了定量对比本文算法的检测性能, 采用ROC图进行NetLinX开放网络动态入侵检测的波束聚焦性检测对比, 结果如图 4所示.

图 4 检测性能ROC图 Figure 4 ROC diagram of detection performance

图 4可见, 采用本文方法的波束聚焦性检测曲线在采用传统方法波束聚焦性检测曲线的上方, 当信噪比为-12 dB时, 本方法的检测概率约为70%, 传统方法的检测概率分别为11%和50%;当信噪比为-10 dB时, 本方法的检测概率约为90%, 传统方法的检测概率分别为72%和65%.可见, 本方法下的检测概率比传统方法的检测概率大, 说明采用本文算法进行NetLinX开放网络动态入侵检测的准确概率较高, 抗干扰性能较好.

4 结束语

基于经验模态特征分解和功率谱密度特征提取, 提出一种NetLinX开放网络动态入侵检测算法.首先分析NetLinX开放网络模型和构建动态入侵信号模型, 将网络动态入侵信号相据经验模态特征分解成若干个IMF分量之和, 对分解的NetLinX开放网络动态入侵信号进行功率谱密度特征提取, 由此实现对入侵特征的波束聚焦检测.研究得出, 采用本文算法进行网络入侵检测的准确率较高, 抗干扰性能较好.

参考文献
[1] AGGARWAL P, SHARMA S K. Analysis of KDD dataset attributes-class wise for intrusion detection[J]. Procedia Computer Science, 2015, 57: 842-851. DOI:10.1016/j.procs.2015.07.490
[2] MALEH Y, EZZATI A. Lightweight intrusion detection scheme for wireless sensor networks[J]. Iaeng International Journal of Computer Science, 2015, 42(4): 347-354.
[3] 吴琼. 云计算环境下的联合网络入侵检测方法仿真[J]. 计算机仿真, 2015, 32(6): 276-279.
WU Qiong. Simulation of joint network intrusion detection method under cloud computing environment[J]. Computer Simulation, 2015, 32(6): 276-279.
[4] 崔巨勇, 于同伟, 黄旭, 等. 智能变电站入侵检测数据降维方法的研究[J]. 电气应用, 2014, 10(21): 106-110.
CUI Juyong, YU Tongwei, HUANG Xu, et al. Intelligent substation research of intrusion detection data dimension reduction method[J]. Electrotechnical Application, 2014, 10(21): 106-110.
[5] 肖国荣. 改进蚁群算法和支持向量机的网络入侵检测[J]. 计算机工程与应用, 2014, 25(3): 75-78.
XIAO Guorong. Network intrusion detection by combination of improved ACO and SVM[J]. Computer Engineering and Applications, 2014, 25(3): 75-78.
[6] DAVID J, THOMAS C. DDos Attack Detection Using fast entropy approach on flow-based network traffic[J]. Procedia Computer Science, 2015, 50(4): 30-36.
[7] S Rizvi, G Labrador, M Guyan, et al. Advocating for hybrid intrusion detection prevention system and framework improvement[J]. Procedia Computer Science, 2016, 95: 369-374. DOI:10.1016/j.procs.2016.09.347
[8] SARAVANAN K, SENTHILKUMAR A. Security enhancement in distributed networks using link-based mapping scheme for network intrusion detection with enhanced bloom filter[J]. Wireless Personal Communications, 2015, 14(2): 821-839.
[9] 章武媚, 陈庆章. 引入偏移量递阶控制的网络入侵HHT检测算法[J]. 计算机科学, 2014, 41(12): 107-111.
ZHANG Wumei, CHEN Qingzhang. Network intrusion detection algorithm based on HHT with shift hierarchical control[J]. Computer science, 2014, 41(12): 107-111. DOI:10.11896/j.issn.1002-137X.2014.12.023
[10] 徐静, 姚志垒, 徐森, 等. 智能电网中分层网络结构的入侵检测系统研究[J]. 郑州轻工业学院学报(自然科学版), 2015, 30(5/6): 88-92.
XU Jing, YAO Zhilei, XU Sen, et al. Research on intrusion detection system in hierarchical network architecture of smart grid[J]. Journal of Zhengzhou University of Light Industry(Natural Science Edition), 2015, 30(5/6): 88-92.
[11] BARANI F.A hybrid approach for dynamic intrusion detection in ad hoc networks using genetic algorithm and artificial immune system[C]//Intelligent Systems IEEE, 2014:1-6.
[12] El MEZOUAR M C, KPALMA K, TALEB N, et al. A Pan-sharpening based on the non-subsampled contourlet transform:application to worldview-2 imagery[J]. IEEE Journal of Selected Topics in Applied Earth Observations and Remote Sensing, 2014, 7(5): 1806-1815. DOI:10.1109/JSTARS.2014.2306332
[13] 高小虎. 混网网络结构下最优入侵目标检测软件的设计与实现[J]. 现代电子技术, 2015, 25(24): 79-82.
GAO Xiaohu. Design and implementation of optimal detection software for intrusion objects in hybrid network structure[J]. Modern Electronics Technique, 2015, 25(24): 79-82.
[14] ALI A H, SHAMSIRBAND S, ANUAR N B, et al. Dfcl:Dynamic fuzzy logic controller for intrusion detection[J]. Facta Universitatis, 2014, 12(2): 183-193.
[15] RAMAKRISHNAN S, DEVARAJU S. Attack's feature selection-based network intrusion detection system using fuzzy control language[J]. International Journal of Fuzzy Systems, 2015: 1-13.
西安工程大学主办。
0

文章信息

秦永俊, 唐增明
QIN Yongjun, TANG Zengming
改进的NetLinX开放网络动态入侵检测方法
Improved method of dynamic intrusion detection in NetLinX open network
西安工程大学学报, 2017, 31(4): 576-581
Journal of Xi′an Polytechnic University, 2017, 31(4): 576-581

文章历史

收稿日期: 2017-03-30

相关文章

工作空间