基于人工蜂群算法的網(wǎng)絡(luò)入侵源快速跟蹤研究

　　1、引言

　　互聯(lián)網(wǎng)技術(shù)已應(yīng)用到社會的方方面面，網(wǎng)絡(luò)成為人們生活、工作中必不可少的工具。但隨著網(wǎng)絡(luò)技術(shù)的不斷發(fā)展，網(wǎng)絡(luò)中存在大量不安全因素，攻擊者通常使用假冒的源ip對網(wǎng)絡(luò)進行攻擊，導致入侵對象的查找以及跟蹤帶來了極大的難度[1]。如何設(shè)計一種高效的網(wǎng)絡(luò)入侵源快速跟蹤方法，成為互聯(lián)網(wǎng)領(lǐng)域中亟待解決的問題之一[2]。對此，相關(guān)研究者進行了很多研究，并取得了一定成果。

　　文獻[3]提出工業(yè)無線傳感器網(wǎng)絡(luò)攻擊源定位任務(wù)分配優(yōu)化算法。該方法通過構(gòu)建多目標優(yōu)化定位分配模型，并對模型中的節(jié)點能量消耗進行設(shè)定，獲取距離的平均標準偏差目標函數(shù)以及能量約束條件；再將循環(huán)擁擠排序法與稀疏度局部搜索算法相結(jié)合求解模型，獲取網(wǎng)絡(luò)數(shù)據(jù)的稀疏度最小解；最后利用極限優(yōu)化策略在稀疏度最小解周圍進行搜索，從而實現(xiàn)網(wǎng)絡(luò)攻擊源的快速跟蹤。該方法由于未能提取網(wǎng)絡(luò)數(shù)據(jù)的有效特征，無法提升網(wǎng)絡(luò)入侵源的快速追蹤定位能力。文獻[4]提出基于異常流量可視化的通信網(wǎng)絡(luò)入侵攻擊路徑智能跟蹤技術(shù)。該方法首先設(shè)定網(wǎng)絡(luò)在采集流量時采集點網(wǎng)卡為多樣模式，采集端口流量并進行歸一化處理，獲取網(wǎng)絡(luò)的流量態(tài)勢；再利用定時器函數(shù)將處理后的流量進行發(fā)送處理；最后利用發(fā)送的數(shù)據(jù)重繪窗口，并在窗口中獲取流量的異常特征參數(shù)，生成異常數(shù)據(jù)源快速跟蹤路徑，實現(xiàn)網(wǎng)路入侵源的快速跟蹤。該方法由于獲取網(wǎng)絡(luò)流量態(tài)勢時的誤差明顯，存在網(wǎng)絡(luò)入侵源跟蹤時跟蹤路徑長的問題。文獻[5]提出基于風險數(shù)據(jù)挖掘追蹤技術(shù)的網(wǎng)絡(luò)入侵檢測研究。該方法首先挖掘網(wǎng)絡(luò)數(shù)據(jù)，通過訓練獲取網(wǎng)絡(luò)數(shù)據(jù)的一般特征；再利用互信息螢火蟲算法對包裝器的選取策略進行特征提?。蛔詈蠡谪惾~斯網(wǎng)絡(luò)分類器對獲取的特征進行分配，實現(xiàn)網(wǎng)絡(luò)入侵源的定位，從而進行跟蹤。該方法由于在選取策略時存在一定問題，進行網(wǎng)絡(luò)入侵源跟蹤時的入侵源誤報個數(shù)高。文獻[6]提出一種新的散列ip地址嵌入距離層次結(jié)構(gòu)的網(wǎng)絡(luò)入侵檢測方法。該方法分析網(wǎng)絡(luò)入侵源的屬性特征，并根據(jù)得到的屬性特征構(gòu)建預處理模型，將得到的數(shù)據(jù)進行預處理，確定精準的入侵源，采用分層模型下的自監(jiān)督學習框架對編碼網(wǎng)絡(luò)進行訓練。采用新特征可用于預測未來源和目標網(wǎng)絡(luò)地址的同時出現(xiàn)，實現(xiàn)入侵源的檢測。該方法通過屬性的確定，提升了入侵源的檢測，但該方法確定的屬性不全面，存在一定局限。

　　為解決上述網(wǎng)絡(luò)入侵源快速跟蹤方法中存在的問題，提出基于人工蜂群算法的網(wǎng)絡(luò)入侵源快速跟蹤方法。通過對網(wǎng)絡(luò)入侵源數(shù)據(jù)的編碼以及群體初始化，構(gòu)建的目標函數(shù)提取網(wǎng)絡(luò)入侵源數(shù)據(jù)特征；利用人工蜂群算法生成網(wǎng)絡(luò)入侵路徑，實現(xiàn)網(wǎng)絡(luò)入侵源的快速追蹤。

　　2、網(wǎng)絡(luò)入侵源數(shù)據(jù)特征提取

　　為實現(xiàn)網(wǎng)絡(luò)入侵源快速跟蹤，首先需要確定網(wǎng)絡(luò)入侵源數(shù)據(jù)特征，根據(jù)確定的特征進行快速追蹤。在網(wǎng)絡(luò)入侵源數(shù)據(jù)特征提取中，本文借助遺傳算法提取網(wǎng)絡(luò)入侵源數(shù)據(jù)特征。

　　2.1網(wǎng)絡(luò)入侵源數(shù)據(jù)編碼

　　在利用遺傳算法對網(wǎng)絡(luò)入侵源數(shù)據(jù)進行提取時，需要先對其進行編碼。將網(wǎng)絡(luò)入侵源數(shù)據(jù)的參數(shù)以及特征進行編碼處理，使其形成一串二進制字符(染色體)，且每個字符都有其對應(yīng)的解。此過程中，需將網(wǎng)絡(luò)入侵源數(shù)據(jù)規(guī)整為數(shù)據(jù)集合，并依據(jù)數(shù)據(jù)的特征進行相對應(yīng)的二進制編碼，在形成的染色體中設(shè)定0和1兩個閾值，以此確定數(shù)據(jù)的特征值是否被選取。

　　設(shè)定網(wǎng)絡(luò)入侵源數(shù)據(jù)的染色體為h(x)，整個編碼過程如下式所示：

　　(1)

　　式中，hi為網(wǎng)絡(luò)入侵源數(shù)據(jù)中第i個特征。若hi為1時，可將其直接保存，若hi為0時，直接將其進行剔除處理。設(shè)定網(wǎng)絡(luò)原始入侵源數(shù)據(jù)集中各個子集均由8個特征值組合構(gòu)成的ai=(a1,a2,…,a8)，在ai中選取{a1,a2,a5,a8}個特征值并使其hi值為1，其余為0，完成網(wǎng)絡(luò)入侵源數(shù)據(jù)的編碼，即：

　　(2)

　　式中，網(wǎng)絡(luò)入侵源數(shù)據(jù)的數(shù)據(jù)集為s，a為數(shù)據(jù)的特征值，特征子集ai與所對應(yīng)的閾值之間生成的染色體為hi。

　　2.2網(wǎng)絡(luò)入侵源數(shù)據(jù)群體初始化

　　在上述網(wǎng)絡(luò)入侵源數(shù)據(jù)編碼后，為提升特征提取的效果，需要將其進行群體初始化處理。提取網(wǎng)絡(luò)入侵源數(shù)據(jù)特征效果的好壞與種群規(guī)模n的大小相關(guān)，當n過小時，無法獲取網(wǎng)絡(luò)數(shù)據(jù)全局最優(yōu)解。因此，要依據(jù)實際情況設(shè)定種群規(guī)模，通常設(shè)定在20-100區(qū)間內(nèi)。規(guī)避網(wǎng)絡(luò)入侵源數(shù)據(jù)中特征的不良影響。

　　確定網(wǎng)絡(luò)入侵源數(shù)據(jù)個體中染色體1的個數(shù)，并對數(shù)據(jù)中缺位進行補充，補充的缺位染色體為0，在固定范圍內(nèi)對其進行初始化處理，得到：

　　(3)

　　式中，l(x)為網(wǎng)絡(luò)入侵源數(shù)據(jù)集中染色體為1的數(shù)據(jù)個數(shù)，同時也是選中數(shù)據(jù)特征的數(shù)據(jù)個數(shù)，染色體的長度為j。2.3網(wǎng)絡(luò)入侵源數(shù)據(jù)特征提取的目標函數(shù)建立將網(wǎng)絡(luò)入侵源數(shù)據(jù)群體初始化后，設(shè)定網(wǎng)絡(luò)入侵源數(shù)據(jù)的適應(yīng)度為f(x)，設(shè)定網(wǎng)絡(luò)入侵源數(shù)據(jù)相關(guān)參數(shù)，并設(shè)定目標函數(shù)u(x)對進行計算，從而獲取該網(wǎng)絡(luò)的目標函數(shù)值[7-8]，即：

　　(4)

　　式中，分類正確的數(shù)據(jù)總量為bi，測試集規(guī)模為p，獲取的目標函數(shù)為u(x)。

　　根據(jù)得到的目標函數(shù)可確定網(wǎng)絡(luò)入侵源數(shù)據(jù)特征，但由于網(wǎng)絡(luò)入侵源數(shù)據(jù)特征提取中受到數(shù)據(jù)量的影響，需要調(diào)整得到特征。本文通過懲罰式調(diào)整策略對目標函數(shù)進行修正，以完成網(wǎng)絡(luò)入侵源數(shù)據(jù)特征的提取。修正過程中主要涉及目標函數(shù)值u(x)以及個體數(shù)據(jù)所選特征數(shù)量l(x)兩大部分。

　　此過程中要對個體數(shù)據(jù)所選特征數(shù)量l(x)進行一定的修正，即：

　　(5)

　　式中，f(x)代表網(wǎng)絡(luò)入侵源數(shù)據(jù)提取的特征值。借助遺傳算法獲取的網(wǎng)絡(luò)入侵源數(shù)據(jù)的提取流程如圖1所示。

圖1網(wǎng)絡(luò)入侵源數(shù)據(jù)特征提取流程

　　3、入侵源跟蹤實現(xiàn)

　　基于上述獲取的網(wǎng)絡(luò)數(shù)據(jù)特征，利用人工蜂群算法獲取網(wǎng)絡(luò)入侵源的快速追蹤路徑，實現(xiàn)對網(wǎng)絡(luò)入侵源的快速追蹤[9-10]。

　　3.1網(wǎng)絡(luò)入侵源追蹤路徑構(gòu)建

　　在網(wǎng)絡(luò)入侵源路徑構(gòu)建過程中，網(wǎng)絡(luò)監(jiān)測器在監(jiān)控本地報警信息的同時，還要對信息查詢表進行監(jiān)控。報警表c負責保存、查詢數(shù)據(jù)，查詢表t由一維矩陣m[s1,s2,…,sm]組成，矩陣的元素為m，m的初始值獲取過程如下式所示：

　　(6)

　　式中，獲取的原始初始值為s1(0)，相鄰監(jiān)測器數(shù)量為|path|。根據(jù)上式計算信息查詢時的時間消耗，一維數(shù)據(jù)組中的數(shù)值會在查詢時發(fā)生變化。利用人工蜂群算法構(gòu)建網(wǎng)絡(luò)入侵源追蹤路徑，具體過程如下：

　　(1)網(wǎng)絡(luò)分析設(shè)備收到告警信息后，會隨機向監(jiān)控器發(fā)送查詢路徑信息；

　　(2)監(jiān)視器收到信息后，會自動查詢報警信息表，獲取路徑的報警信息。根據(jù)此信息設(shè)置“蜜蜂”，在監(jiān)視器中信息素節(jié)點infij，生成信息素。如果發(fā)現(xiàn)監(jiān)控節(jié)點數(shù)大于設(shè)置的閾值1，則可直接轉(zhuǎn)發(fā)接收到的信息。如果小于閾值1，節(jié)點將根據(jù)信息素的數(shù)量進行排序，添加搜索標志；

　　(3)當信息發(fā)送至相鄰監(jiān)測器時，要對網(wǎng)絡(luò)入侵的類型進行區(qū)分，再經(jīng)由被入侵的主機ip查詢發(fā)送的信息是否到達該監(jiān)測器節(jié)點位置，若未到達則需對該監(jiān)測器的報警信息表進行搜索，直至找到需要的報警信息。最后，將找到的信息發(fā)送給分析器，在分析器中進行相關(guān)分析構(gòu)建入侵路徑，生成響應(yīng)信息。

　　3.2信息素更新

　　信息素更新時，人工蜂群算法是實現(xiàn)精準追蹤路徑的關(guān)鍵。為了更好地獲取網(wǎng)絡(luò)入侵信息經(jīng)過監(jiān)測器。在確切的時間內(nèi)，若經(jīng)過監(jiān)測器的網(wǎng)絡(luò)流量大，代表網(wǎng)絡(luò)入侵源數(shù)據(jù)存在的風險更高。但若任由網(wǎng)絡(luò)數(shù)據(jù)的信息素無限制的增加，那么隨著時間的增長，信息素也會隨之蒸發(fā)，其蒸發(fā)過程為：

　　(7)

　　式中，蒸發(fā)后的信息素為，p為信息素閾值，sij為原始數(shù)據(jù)信息素，k信息素具體數(shù)量。

　　當監(jiān)測器接收到傳送的信息以及信息素時，對接收的信息素進行更新處理，即：

　　(8)

　　式中，更新信息素值為，揮發(fā)系數(shù)為φ，則為網(wǎng)絡(luò)數(shù)據(jù)監(jiān)測器i中第j個周圍監(jiān)測器的信息素經(jīng)過次數(shù)k。根據(jù)上述分析可知，監(jiān)測器接收信息素的時間越短，其周邊監(jiān)測器接收的網(wǎng)絡(luò)入侵源數(shù)據(jù)信息越多。根據(jù)上述人工蜂群算法構(gòu)建的網(wǎng)絡(luò)入侵源路徑，對網(wǎng)絡(luò)入侵源進行追蹤。利用網(wǎng)絡(luò)數(shù)據(jù)中響應(yīng)數(shù)據(jù)包構(gòu)建網(wǎng)絡(luò)入侵源路徑。構(gòu)建過程中，需對網(wǎng)絡(luò)入侵源的入侵類型進行辨別，識別是否為同一類型入侵信息，最后利用上一時刻地址和下一時刻構(gòu)建出網(wǎng)絡(luò)入侵源的入侵路徑。

　　4、實驗分析

　　為了驗證上述網(wǎng)絡(luò)入侵源快速跟蹤方法的整體有效性，需要對此方法進行測試。

　　4.1實驗結(jié)果及分析

　　分別采用基于人工蜂群算法的網(wǎng)絡(luò)入侵源快速跟蹤方法(方法1)、工業(yè)無線傳感器網(wǎng)絡(luò)攻擊源定位任務(wù)分配優(yōu)化算法(方法2)、基于風險數(shù)據(jù)挖掘追蹤技術(shù)的網(wǎng)絡(luò)入侵檢測研究(方法3)進行測試；

　　(1)在網(wǎng)絡(luò)中添加若干隨機干擾源，對方法1、方法2以及方法3在入侵源快速追蹤時的入侵源定位能力進行檢測，檢測結(jié)果如圖2所示。

圖2不同方法的入侵源定位能力測試結(jié)果

　　依據(jù)圖2可知，在隨機干擾源的影響下，方法1在網(wǎng)絡(luò)入侵源快速追蹤時入侵源定位能力要優(yōu)于方法2以及方法3，并且隨著監(jiān)測器密度的增加，可以將單項查詢的平均搜索次數(shù)穩(wěn)定在15次。方法3在測試初期，單項查詢的平均搜索次數(shù)與方法1持平，但隨著網(wǎng)絡(luò)監(jiān)測器密度的增加，該方法的單項查詢的平均搜索次數(shù)呈急速上升趨勢。總體來看，在進行網(wǎng)絡(luò)入侵源快速追蹤時，方法1的網(wǎng)絡(luò)入侵源定位能力好。

　　(2)在網(wǎng)絡(luò)中添加一組隨機噪聲，對方法1、方法2以及方法3在進行網(wǎng)絡(luò)入侵源快速跟蹤時的追蹤路徑距離進行檢測，檢測結(jié)果如圖3所示。

　　依據(jù)圖3可知，隨著跨區(qū)域個數(shù)的增加，三種方法所檢測出的追蹤路徑距離呈上升趨勢。方法2在測試初期所檢測出網(wǎng)絡(luò)入侵追蹤路徑幾乎與方法1持平，隨著網(wǎng)絡(luò)跨區(qū)域個數(shù)的增加，方法2所檢測出的追蹤路徑呈急速上升趨勢，檢測效果較不穩(wěn)定。方法1所檢測出的網(wǎng)絡(luò)入侵追蹤路徑要低于方法2和方法3，并隨著網(wǎng)絡(luò)跨區(qū)域個數(shù)增加，生成的網(wǎng)絡(luò)入侵路徑穩(wěn)定在2500m。

圖3不同方法的入侵源追蹤路徑距離測試結(jié)果

　　(3)基于實驗(1)，利用方法1、方法2以及方法3對網(wǎng)絡(luò)入侵源的誤報性能進行檢測，檢測結(jié)果如圖4所示。圖4不同方法的網(wǎng)絡(luò)入侵源誤報性能測試結(jié)果依據(jù)圖4可知，隨著網(wǎng)絡(luò)路徑數(shù)量的增多，三種方法的誤報個數(shù)呈上升趨勢。方法2的誤報個數(shù)較方法1和方法3來看，是三種方法中最多的。方法1的誤報個數(shù)要低于方法2以及方法3，并且在隨機干擾源的影響下，依然能夠?qū)⒄`報個數(shù)穩(wěn)定在30個。這是因為方法1利用遺傳算法對網(wǎng)絡(luò)數(shù)據(jù)進行特征提取，該方法在進行網(wǎng)絡(luò)入侵源快速追蹤時，網(wǎng)絡(luò)入侵源的誤報個數(shù)少。

　　(4)隨機在網(wǎng)絡(luò)中選取500個網(wǎng)絡(luò)數(shù)據(jù)，基于上述的實驗結(jié)果，設(shè)定網(wǎng)絡(luò)數(shù)據(jù)收斂特性指數(shù)為α，收斂特性區(qū)間為[0,2]，收斂系數(shù)越低，說明收斂特性越好，收斂系數(shù)越高，說明收斂特性越差。對入侵源追蹤前后的收斂特性進行測試，測試結(jié)果如圖5所示。

圖5網(wǎng)絡(luò)數(shù)據(jù)特征提取前后數(shù)據(jù)收斂特性測試結(jié)果

　　依據(jù)圖5可知，隨著網(wǎng)絡(luò)數(shù)據(jù)的不斷增加，檢測出的數(shù)據(jù)收斂指數(shù)呈上升的趨勢。入侵源追蹤后的數(shù)據(jù)收斂性能明顯優(yōu)于入侵源追蹤前。

　　5、結(jié)束語

　　隨著互聯(lián)網(wǎng)技術(shù)的興起，網(wǎng)絡(luò)使用時間、人數(shù)增加，對網(wǎng)絡(luò)安全要求也越來越高。針對傳統(tǒng)網(wǎng)絡(luò)入侵源追蹤方法中存在弊端，提出基于人工蜂群算法的網(wǎng)絡(luò)入侵源快速跟蹤方法。該方法提取網(wǎng)絡(luò)數(shù)據(jù)的特征，利用人工蜂群算法生成網(wǎng)絡(luò)入侵路徑，實現(xiàn)入侵源快速跟蹤。

參考文獻（略）

本文收集整理于網(wǎng)絡(luò)，如有侵權(quán)請聯(lián)系客服刪除！