基于人工蜂群算法的網(wǎng)絡(luò)入侵源快速跟蹤研究

1、引言

互聯(lián)網(wǎng)技術(shù)已應(yīng)用到社會(huì)的方方面面，網(wǎng)絡(luò)成為人們生活、工作中必不行少的工具。但隨著網(wǎng)絡(luò)技術(shù)的不斷進(jìn)展，網(wǎng)絡(luò)中存在大量擔(dān)心全因素，攻擊者通常使用假冒的源IP對(duì)網(wǎng)絡(luò)進(jìn)行攻擊，導(dǎo)致入侵對(duì)象的查找以及跟蹤帶來了極大的難度[1]。如何設(shè)計(jì)一種高效的網(wǎng)絡(luò)入侵源快速跟蹤方法，成為互聯(lián)網(wǎng)領(lǐng)域中亟待解決的問題之一[2]。對(duì)此，相關(guān)討論者進(jìn)行了許多討論，并取得了肯定成果。

文獻(xiàn)[3]提出工業(yè)無線傳感器網(wǎng)絡(luò)攻擊源定位任務(wù)安排優(yōu)化算法。該方法通過構(gòu)建多目標(biāo)優(yōu)化定位安排模型，并對(duì)模型中的節(jié)點(diǎn)能量消耗進(jìn)行設(shè)定，獵取距離的平均標(biāo)準(zhǔn)偏差目標(biāo)函數(shù)以及能量約束條件；再將循環(huán)擁擠排序法與稀疏度局部搜尋算法相結(jié)合求解模型，獵取網(wǎng)絡(luò)數(shù)據(jù)的稀疏度最小解；最終利用極限優(yōu)化策略在稀疏度最小解四周進(jìn)行搜尋，從而實(shí)現(xiàn)網(wǎng)絡(luò)攻擊源的快速跟蹤。該方法由于未能提取網(wǎng)絡(luò)數(shù)據(jù)的有效特征，無法提升網(wǎng)絡(luò)入侵源的快速追蹤定位力量。文獻(xiàn)[4]提出基于特別流量可視化的通信網(wǎng)絡(luò)入侵攻擊路徑智能跟蹤技術(shù)。該方法首先設(shè)定網(wǎng)絡(luò)在采集流量時(shí)采集點(diǎn)網(wǎng)卡為多樣模式，采集端口流量并進(jìn)行歸一化處理，獵取網(wǎng)絡(luò)的流量態(tài)勢；再利用定時(shí)器函數(shù)將處理后的流量進(jìn)行發(fā)送處理；最終利用發(fā)送的數(shù)據(jù)重繪窗口，并在窗口中獵取流量的特別特征參數(shù)，生成特別數(shù)據(jù)源快速跟蹤路徑，實(shí)現(xiàn)網(wǎng)路入侵源的快速跟蹤。該方法由于獵取網(wǎng)絡(luò)流量態(tài)勢時(shí)的誤差明顯，存在網(wǎng)絡(luò)入侵源跟蹤時(shí)跟蹤路徑長的問題。文獻(xiàn)[5]提出基于風(fēng)險(xiǎn)數(shù)據(jù)挖掘追蹤技術(shù)的網(wǎng)絡(luò)入侵檢測討論。該方法首先挖掘網(wǎng)絡(luò)數(shù)據(jù)，通過訓(xùn)練獵取網(wǎng)絡(luò)數(shù)據(jù)的一般特征；再利用互信息螢火蟲算法對(duì)包裝器的選取策略進(jìn)行特征提?。蛔罱K基于貝葉斯網(wǎng)絡(luò)分類器對(duì)獵取的特征進(jìn)行安排，實(shí)現(xiàn)網(wǎng)絡(luò)入侵源的定位，從而進(jìn)行跟蹤。該方法由于在選取策略時(shí)存在肯定問題，進(jìn)行網(wǎng)絡(luò)入侵源跟蹤時(shí)的入侵源誤報(bào)個(gè)數(shù)高。文獻(xiàn)[6]提出一種新的散列IP地址嵌入距離層次結(jié)構(gòu)的網(wǎng)絡(luò)入侵檢測方法。該方法分析網(wǎng)絡(luò)入侵源的屬性特征，并依據(jù)得到的屬性特征構(gòu)建預(yù)處理模型，將得到的數(shù)據(jù)進(jìn)行預(yù)處理，確定精準(zhǔn)的入侵源，采納分層模型下的自監(jiān)督學(xué)習(xí)框架對(duì)編碼網(wǎng)絡(luò)進(jìn)行訓(xùn)練。采納新特征可用于猜測將來源和目標(biāo)網(wǎng)絡(luò)地址的同時(shí)消失，實(shí)現(xiàn)入侵源的檢測。該方法通過屬性的確定，提升了入侵源的檢測，但該方法確定的屬性不全面，存在肯定局限。

為解決上述網(wǎng)絡(luò)入侵源快速跟蹤方法中存在的問題，提出基于人工蜂群算法的網(wǎng)絡(luò)入侵源快速跟蹤方法。通過對(duì)網(wǎng)絡(luò)入侵源數(shù)據(jù)的編碼以及群體初始化，構(gòu)建的目標(biāo)函數(shù)提取網(wǎng)絡(luò)入侵源數(shù)據(jù)特征；利用人工蜂群算法生成網(wǎng)絡(luò)入侵路徑，實(shí)現(xiàn)網(wǎng)絡(luò)入侵源的快速追蹤。

2、網(wǎng)絡(luò)入侵源數(shù)據(jù)特征提取

為實(shí)現(xiàn)網(wǎng)絡(luò)入侵源快速跟蹤，首先需要確定網(wǎng)絡(luò)入侵源數(shù)據(jù)特征，依據(jù)確定的特征進(jìn)行快速追蹤。在網(wǎng)絡(luò)入侵源數(shù)據(jù)特征提取中，本文借助遺傳算法提取網(wǎng)絡(luò)入侵源數(shù)據(jù)特征。

2.1網(wǎng)絡(luò)入侵源數(shù)據(jù)編碼

在利用遺傳算法對(duì)網(wǎng)絡(luò)入侵源數(shù)據(jù)進(jìn)行提取時(shí)，需要先對(duì)其進(jìn)行編碼。將網(wǎng)絡(luò)入侵源數(shù)據(jù)的參數(shù)以及特征進(jìn)行編碼處理，使其形成一串二進(jìn)制字符(染色體)，且每個(gè)字符都有其對(duì)應(yīng)的解。此過程中，需將網(wǎng)絡(luò)入侵源數(shù)據(jù)規(guī)整為數(shù)據(jù)集合，并依據(jù)數(shù)據(jù)的特征進(jìn)行相對(duì)應(yīng)的二進(jìn)制編碼，在形成的染色體中設(shè)定0和1兩個(gè)閾值，以此確定數(shù)據(jù)的特征值是否被選取。

設(shè)定網(wǎng)絡(luò)入侵源數(shù)據(jù)的染色體為h(x)，整個(gè)編碼過程如下式所示：

(1)

式中，hi為網(wǎng)絡(luò)入侵源數(shù)據(jù)中第i個(gè)特征。若hi為1時(shí)，可將其直接保存，若hi為0時(shí)，直接將其進(jìn)行剔除處理。設(shè)定網(wǎng)絡(luò)原始入侵源數(shù)據(jù)集中各個(gè)子集均由8個(gè)特征值組合構(gòu)成的Ai=(a1,a2,,a8)，在Ai中選取{a1,a2,a5,a8}個(gè)特征值并使其hi值為1，其余為0，完成網(wǎng)絡(luò)入侵源數(shù)據(jù)的編碼，即：

(2)

式中，網(wǎng)絡(luò)入侵源數(shù)據(jù)的數(shù)據(jù)集為S，a為數(shù)據(jù)的特征值，特征子集Ai與所對(duì)應(yīng)的閾值之間生成的染色體為hi。

2.2網(wǎng)絡(luò)入侵源數(shù)據(jù)群體初始化

在上述網(wǎng)絡(luò)入侵源數(shù)據(jù)編碼后，為提升特征提取的效果，需要將其進(jìn)行群體初始化處理。提取網(wǎng)絡(luò)入侵源數(shù)據(jù)特征效果的好壞與種群規(guī)模n的大小相關(guān)，當(dāng)n過小時(shí)，無法獵取網(wǎng)絡(luò)數(shù)據(jù)全局最優(yōu)解。因此，要依據(jù)實(shí)際狀況設(shè)定種群規(guī)模，通常設(shè)定在20-100區(qū)間內(nèi)。規(guī)避網(wǎng)絡(luò)入侵源數(shù)據(jù)中特征的不良影響。

確定網(wǎng)絡(luò)入侵源數(shù)據(jù)個(gè)體中染色體1的個(gè)數(shù)，并對(duì)數(shù)據(jù)中缺位進(jìn)行補(bǔ)充，補(bǔ)充的缺位染色體為0，在固定范圍內(nèi)對(duì)其進(jìn)行初始化處理，得到：

(3)

式中，L(x)為網(wǎng)絡(luò)入侵源數(shù)據(jù)集中染色體為1的數(shù)據(jù)個(gè)數(shù)，同時(shí)也是選中數(shù)據(jù)特征的數(shù)據(jù)個(gè)數(shù)，染色體的長度為j。2.3網(wǎng)絡(luò)入侵源數(shù)據(jù)特征提取的目標(biāo)函數(shù)建立將網(wǎng)絡(luò)入侵源數(shù)據(jù)群體初始化后，設(shè)定網(wǎng)絡(luò)入侵源數(shù)據(jù)的適應(yīng)度為f(x)，設(shè)定網(wǎng)絡(luò)入侵源數(shù)據(jù)相關(guān)參數(shù)，并設(shè)定目標(biāo)函數(shù)U(x)對(duì)進(jìn)行計(jì)算，從而獵取該網(wǎng)絡(luò)的目標(biāo)函數(shù)值[7-8]，即：

(4)

式中，分類正確的數(shù)據(jù)總量為Bi，測試集規(guī)模為P，獵取的目標(biāo)函數(shù)為U(x)。

依據(jù)得到的目標(biāo)函數(shù)可確定網(wǎng)絡(luò)入侵源數(shù)據(jù)特征，但由于網(wǎng)絡(luò)入侵源數(shù)據(jù)特征提取中受到數(shù)據(jù)量的影響，需要調(diào)整得到特征。本文通過懲處式調(diào)整策略對(duì)目標(biāo)函數(shù)進(jìn)行修正，以完成網(wǎng)絡(luò)入侵源數(shù)據(jù)特征的提取。修正過程中主要涉及目標(biāo)函數(shù)值U(x)以及個(gè)體數(shù)據(jù)所選特征數(shù)量L(x)兩大部分。

此過程中要對(duì)個(gè)體數(shù)據(jù)所選特征數(shù)量L(x)進(jìn)行肯定的修正，即：

(5)

式中，f(x)代表網(wǎng)絡(luò)入侵源數(shù)據(jù)提取的特征值。借助遺傳算法獵取的網(wǎng)絡(luò)入侵源數(shù)據(jù)的提取流程如圖1所示。

圖1網(wǎng)絡(luò)入侵源數(shù)據(jù)特征提取流程

3、入侵源跟蹤實(shí)現(xiàn)

基于上述獵取的網(wǎng)絡(luò)數(shù)據(jù)特征，利用人工蜂群算法獵取網(wǎng)絡(luò)入侵源的快速追蹤路徑，實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)入侵源的快速追蹤[9-10]。

3.1網(wǎng)絡(luò)入侵源追蹤路徑構(gòu)建

在網(wǎng)絡(luò)入侵源路徑構(gòu)建過程中，網(wǎng)絡(luò)監(jiān)測器在監(jiān)控本地報(bào)警信息的同時(shí)，還要對(duì)信息查詢表進(jìn)行監(jiān)控。報(bào)警表C負(fù)責(zé)保存、查詢數(shù)據(jù)，查詢表T由一維矩陣M[S1,S2,,Sm]組成，矩陣的元素為m，m的初始值獵取過程如下式所示：

(6)

式中，獵取的原始初始值為s1(0)，相鄰監(jiān)測器數(shù)量為|path|。依據(jù)上式計(jì)算信息查詢時(shí)的時(shí)間消耗，一維數(shù)據(jù)組中的數(shù)值會(huì)在查詢時(shí)發(fā)生變化。利用人工蜂群算法構(gòu)建網(wǎng)絡(luò)入侵源追蹤路徑，詳細(xì)過程如下：

(1)網(wǎng)絡(luò)分析設(shè)備收到告警信息后，會(huì)隨機(jī)向監(jiān)控器發(fā)送查詢路徑信息；

(2)監(jiān)視器收到信息后，會(huì)自動(dòng)查詢報(bào)警信息表，獵取路徑的報(bào)警信息。依據(jù)此信息設(shè)置"蜜蜂'，在監(jiān)視器中信息素節(jié)點(diǎn)Infij，生成信息素。假如發(fā)覺監(jiān)控節(jié)點(diǎn)數(shù)大于設(shè)置的閾值1，則可直接轉(zhuǎn)發(fā)接收到的信息。假如小于閾值1，節(jié)點(diǎn)將依據(jù)信息素的數(shù)量進(jìn)行排序，添加搜尋標(biāo)志；

(3)當(dāng)信息發(fā)送至相鄰監(jiān)測器時(shí)，要對(duì)網(wǎng)絡(luò)入侵的類型進(jìn)行區(qū)分，再經(jīng)由被入侵的主機(jī)IP查詢發(fā)送的信息是否到達(dá)該監(jiān)測器節(jié)點(diǎn)位置，若未到達(dá)則需對(duì)該監(jiān)測器的報(bào)警信息表進(jìn)行搜尋，直至找到需要的報(bào)警信息。最終，將找到的信息發(fā)送給分析器，在分析器中進(jìn)行相關(guān)分析構(gòu)建入侵路徑，生成響應(yīng)信息。

3.2信息素更新

信息素更新時(shí)，人工蜂群算法是實(shí)現(xiàn)精準(zhǔn)追蹤路徑的關(guān)鍵。為了更好地獵取網(wǎng)絡(luò)入侵信息經(jīng)過監(jiān)測器。在準(zhǔn)確的時(shí)間內(nèi)，若經(jīng)過監(jiān)測器的網(wǎng)絡(luò)流量大，代表網(wǎng)絡(luò)入侵源數(shù)據(jù)存在的風(fēng)險(xiǎn)更高。但若任由網(wǎng)絡(luò)數(shù)據(jù)的信息素?zé)o限制的增加，那么隨著時(shí)間的增長，信息素也會(huì)隨之蒸發(fā)，其蒸發(fā)過程為：

(7)

式中，蒸發(fā)后的信息素為，p為信息素閾值，sij為原始數(shù)據(jù)信息素，k信息素詳細(xì)數(shù)量。

當(dāng)監(jiān)測器接收到傳送的信息以及信息素時(shí)，對(duì)接收的信息素進(jìn)行更新處理，即：

(8)

式中，更新信息素值為，揮發(fā)系數(shù)為，則為網(wǎng)絡(luò)數(shù)據(jù)監(jiān)測器i中第j個(gè)四周監(jiān)測器的信息素經(jīng)過次數(shù)k。依據(jù)上述分析可知，監(jiān)測器接收信息素的時(shí)間越短，其周邊監(jiān)測器接收的網(wǎng)絡(luò)入侵源數(shù)據(jù)信息越多。依據(jù)上述人工蜂群算法構(gòu)建的網(wǎng)絡(luò)入侵源路徑，對(duì)網(wǎng)絡(luò)入侵源進(jìn)行追蹤。利用網(wǎng)絡(luò)數(shù)據(jù)中響應(yīng)數(shù)據(jù)包構(gòu)建網(wǎng)絡(luò)入侵源路徑。構(gòu)建過程中，需對(duì)網(wǎng)絡(luò)入侵源的入侵類型進(jìn)行辨別，識(shí)別是否為同一類型入侵信息，最終利用上一時(shí)刻地址和下一時(shí)刻構(gòu)建出網(wǎng)絡(luò)入侵源的入侵路徑。

4、試驗(yàn)分析

為了驗(yàn)證上述網(wǎng)絡(luò)入侵源快速跟蹤方法的整體有效性，需要對(duì)此方法進(jìn)行測試。

4.1試驗(yàn)結(jié)果及分析

分別采納基于人工蜂群算法的網(wǎng)絡(luò)入侵源快速跟蹤方法(方法1)、工業(yè)無線傳感器網(wǎng)絡(luò)攻擊源定位任務(wù)安排優(yōu)化算法(方法2)、基于風(fēng)險(xiǎn)數(shù)據(jù)挖掘追蹤技術(shù)的網(wǎng)絡(luò)入侵檢測討論(方法3)進(jìn)行測試；

(1)在網(wǎng)絡(luò)中添加若干隨機(jī)干擾源，對(duì)方法1、方法2以及方法3在入侵源快速追蹤時(shí)的入侵源定位力量進(jìn)行檢測，檢測結(jié)果如圖2所示。

圖2不同方法的入侵源定位力量測試結(jié)果

依據(jù)圖2可知，在隨機(jī)干擾源的影響下，方法1在網(wǎng)絡(luò)入侵源快速追蹤時(shí)入侵源定位力量要優(yōu)于方法2以及方法3，并且隨著監(jiān)測器密度的增加，可以將單項(xiàng)查詢的平均搜尋次數(shù)穩(wěn)定在15次。方法3在測試初期，單項(xiàng)查詢的平均搜尋次數(shù)與方法1持平，但隨著網(wǎng)絡(luò)監(jiān)測器密度的增加，該方法的單項(xiàng)查詢的平均搜尋次數(shù)呈急速上升趨勢?？傮w來看，在進(jìn)行網(wǎng)絡(luò)入侵源快速追蹤時(shí)，方法1的網(wǎng)絡(luò)入侵源定位力量好。

(2)在網(wǎng)絡(luò)中添加一組隨機(jī)噪聲，對(duì)方法1、方法2以及方法3在進(jìn)行網(wǎng)絡(luò)入侵源快速跟蹤時(shí)的追蹤路徑距離進(jìn)行檢測，檢測結(jié)果如圖3所示。

依據(jù)圖3可知，隨著跨區(qū)域個(gè)數(shù)的增加，三種方法所檢測出的追蹤路徑距離呈上升趨勢。方法2在測試初期所檢測出網(wǎng)絡(luò)入侵追蹤路徑幾乎與方法1持平，隨著網(wǎng)絡(luò)跨區(qū)域個(gè)數(shù)的增加，方法2所檢測出的追蹤路徑呈急速上升趨勢，檢測效果較不穩(wěn)定。方法1所檢測出的網(wǎng)絡(luò)入侵追蹤路徑要低于方法2和方法3，并隨著網(wǎng)絡(luò)跨區(qū)域個(gè)數(shù)增加，生成的網(wǎng)絡(luò)入侵路徑穩(wěn)定在2500m。

圖3不同方法的入侵源追蹤路徑距離測試結(jié)果

(3)基于試驗(yàn)(1)，利用方法1、方法2以及方法3對(duì)網(wǎng)絡(luò)入侵源的誤報(bào)性能進(jìn)行檢測，檢測結(jié)果如圖4所示。圖4不同方法的網(wǎng)絡(luò)入侵源誤報(bào)性能測試結(jié)果依據(jù)圖4可知，隨著網(wǎng)絡(luò)路徑數(shù)量的增多，三種方法的誤報(bào)個(gè)數(shù)呈上升趨勢。方法2的誤報(bào)個(gè)數(shù)較方法1和方法3來看，是三種方法中最多的。方法1的誤報(bào)個(gè)數(shù)要低于方法2以及方法3，并且在隨機(jī)干擾源的影響下，依舊能夠?qū)⒄`報(bào)個(gè)數(shù)穩(wěn)定在30個(gè)。這是由于方法1利用遺傳算法對(duì)網(wǎng)絡(luò)數(shù)據(jù)進(jìn)行特征提取，該方法在進(jìn)行網(wǎng)絡(luò)入侵源快速追蹤時(shí)，網(wǎng)絡(luò)入侵源的誤報(bào)個(gè)數(shù)少。

(4)隨機(jī)在網(wǎng)絡(luò)中選取500個(gè)網(wǎng)絡(luò)數(shù)據(jù)，基于上述的試驗(yàn)結(jié)果，設(shè)定網(wǎng)絡(luò)數(shù)據(jù)收斂特性指數(shù)為，收斂特性區(qū)間為[0,2]，收斂系數(shù)越低，說明收斂特性越好，收斂系數(shù)越高，說明收斂特性越差。對(duì)入侵源追蹤前后的收斂特性進(jìn)行測試，測試結(jié)果如圖5