1、引言
互联网技术已应用到社会的方方面面,网络成为人们生活、工作中必不可少的工具。但随着网络技术的不断发展,网络中存在大量不安全因素,攻击者通常使用假冒的源IP对网络进行攻击,导致入侵对象的查找以及跟踪带来了极大的难度[1]。如何设计一种高效的网络入侵源快速跟踪方法,成为互联网领域中亟待解决的问题之一[2]。对此,相关研究者进行了很多研究,并取得了一定成果。
文献[3]提出工业无线传感器网络攻击源定位任务分配优化算法。该方法通过构建多目标优化定位分配模型,并对模型中的节点能量消耗进行设定,获取距离的平均标准偏差目标函数以及能量约束条件;再将循环拥挤排序法与稀疏度局部搜索算法相结合求解模型,获取网络数据的稀疏度最小解;最后利用极限优化策略在稀疏度最小解周围进行搜索,从而实现网络攻击源的快速跟踪。该方法由于未能提取网络数据的有效特征,无法提升网络入侵源的快速追踪定位能力。文献[4]提出基于异常流量可视化的通信网络入侵攻击路径智能跟踪技术。该方法首先设定网络在采集流量时采集点网卡为多样模式,采集端口流量并进行归一化处理,获取网络的流量态势;再利用定时器函数将处理后的流量进行发送处理;最后利用发送的数据重绘窗口,并在窗口中获取流量的异常特征参数,生成异常数据源快速跟踪路径,实现网路入侵源的快速跟踪。该方法由于获取网络流量态势时的误差明显,存在网络入侵源跟踪时跟踪路径长的问题。文献[5]提出基于风险数据挖掘追踪技术的网络入侵检测研究。该方法首先挖掘网络数据,通过训练获取网络数据的一般特征;再利用互信息萤火虫算法对包装器的选取策略进行特征提取;最后基于贝叶斯网络分类器对获取的特征进行分配,实现网络入侵源的定位,从而进行跟踪。该方法由于在选取策略时存在一定问题,进行网络入侵源跟踪时的入侵源误报个数高。文献[6]提出一种新的散列IP地址嵌入距离层次结构的网络入侵检测方法。该方法分析网络入侵源的属性特征,并根据得到的属性特征构建预处理模型,将得到的数据进行预处理,确定精准的入侵源,采用分层模型下的自监督学习框架对编码网络进行训练。采用新特征可用于预测未来源和目标网络地址的同时出现,实现入侵源的检测。该方法通过属性的确定,提升了入侵源的检测,但该方法确定的属性不全面,存在一定局限。
为解决上述网络入侵源快速跟踪方法中存在的问题,提出基于人工蜂群算法的网络入侵源快速跟踪方法。通过对网络入侵源数据的编码以及群体初始化,构建的目标函数提取网络入侵源数据特征;利用人工蜂群算法生成网络入侵路径,实现网络入侵源的快速追踪。
2、网络入侵源数据特征提取
为实现网络入侵源快速跟踪,首先需要确定网络入侵源数据特征,根据确定的特征进行快速追踪。在网络入侵源数据特征提取中,本文借助遗传算法提取网络入侵源数据特征。
2.1网络入侵源数据编码
在利用遗传算法对网络入侵源数据进行提取时,需要先对其进行编码。将网络入侵源数据的参数以及特征进行编码处理,使其形成一串二进制字符(染色体),且每个字符都有其对应的解。此过程中,需将网络入侵源数据规整为数据集合,并依据数据的特征进行相对应的二进制编码,在形成的染色体中设定0和1两个阈值,以此确定数据的特征值是否被选取。
设定网络入侵源数据的染色体为h(x),整个编码过程如下式所示:
(1)
式中,hi为网络入侵源数据中第i个特征。若hi为1时,可将其直接保存,若hi为0时,直接将其进行剔除处理。设定网络原始入侵源数据集中各个子集均由8个特征值组合构成的Ai=(a1,a2,…,a8),在Ai中选取{a1,a2,a5,a8}个特征值并使其hi值为1,其余为0,完成网络入侵源数据的编码,即:
(2)
式中,网络入侵源数据的数据集为S,a为数据的特征值,特征子集Ai与所对应的阈值之间生成的染色体为hi。
2.2网络入侵源数据群体初始化
在上述网络入侵源数据编码后,为提升特征提取的效果,需要将其进行群体初始化处理。提取网络入侵源数据特征效果的好坏与种群规模n的大小相关,当n过小时,无法获取网络数据全局最优解。因此,要依据实际情况设定种群规模,通常设定在20-100区间内。规避网络入侵源数据中特征的不良影响。
确定网络入侵源数据个体中染色体1的个数,并对数据中缺位进行补充,补充的缺位染色体为0,在固定范围内对其进行初始化处理,得到:
(3)
式中,L(x)为网络入侵源数据集中染色体为1的数据个数,同时也是选中数据特征的数据个数,染色体的长度为j。2.3网络入侵源数据特征提取的目标函数建立将网络入侵源数据群体初始化后,设定网络入侵源数据的适应度为f(x),设定网络入侵源数据相关参数,并设定目标函数U(x)对进行计算,从而获取该网络的目标函数值[7-8],即:
(4)
式中,分类正确的数据总量为Bi,测试集规模为P,获取的目标函数为U(x)。
根据得到的目标函数可确定网络入侵源数据特征,但由于网络入侵源数据特征提取中受到数据量的影响,需要调整得到特征。本文通过惩罚式调整策略对目标函数进行修正,以完成网络入侵源数据特征的提取。修正过程中主要涉及目标函数值U(x)以及个体数据所选特征数量L(x)两大部分。
此过程中要对个体数据所选特征数量L(x)进行一定的修正,即:
(5)
式中,f(x)代表网络入侵源数据提取的特征值。借助遗传算法获取的网络入侵源数据的提取流程如图1所示。
图1网络入侵源数据特征提取流程
3、入侵源跟踪实现
基于上述获取的网络数据特征,利用人工蜂群算法获取网络入侵源的快速追踪路径,实现对网络入侵源的快速追踪[9-10]。
3.1网络入侵源追踪路径构建
在网络入侵源路径构建过程中,网络监测器在监控本地报警信息的同时,还要对信息查询表进行监控。报警表C负责保存、查询数据,查询表T由一维矩阵M[S1,S2,…,Sm]组成,矩阵的元素为m,m的初始值获取过程如下式所示:
(6)
式中,获取的原始初始值为s1(0),相邻监测器数量为|path|。根据上式计算信息查询时的时间消耗,一维数据组中的数值会在查询时发生变化。利用人工蜂群算法构建网络入侵源追踪路径,具体过程如下:
(1)网络分析设备收到告警信息后,会随机向监控器发送查询路径信息;
(2)监视器收到信息后,会自动查询报警信息表,获取路径的报警信息。根据此信息设置“蜜蜂”,在监视器中信息素节点Infij,生成信息素。如果发现监控节点数大于设置的阈值1,则可直接转发接收到的信息。如果小于阈值1,节点将根据信息素的数量进行排序,添加搜索标志;
(3)当信息发送至相邻监测器时,要对网络入侵的类型进行区分,再经由被入侵的主机IP查询发送的信息是否到达该监测器节点位置,若未到达则需对该监测器的报警信息表进行搜索,直至找到需要的报警信息。最后,将找到的信息发送给分析器,在分析器中进行相关分析构建入侵路径,生成响应信息。
3.2信息素更新
信息素更新时,人工蜂群算法是实现精准追踪路径的关键。为了更好地获取网络入侵信息经过监测器。在确切的时间内,若经过监测器的网络流量大,代表网络入侵源数据存在的风险更高。但若任由网络数据的信息素无限制的增加,那么随着时间的增长,信息素也会随之蒸发,其蒸发过程为:
(7)
式中,蒸发后的信息素为,p为信息素阈值,sij为原始数据信息素,k信息素具体数量。
当监测器接收到传送的信息以及信息素时,对接收的信息素进行更新处理,即:
(8)
式中,更新信息素值为,挥发系数为φ,则为网络数据监测器i中第j个周围监测器的信息素经过次数k。根据上述分析可知,监测器接收信息素的时间越短,其周边监测器接收的网络入侵源数据信息越多。根据上述人工蜂群算法构建的网络入侵源路径,对网络入侵源进行追踪。利用网络数据中响应数据包构建网络入侵源路径。构建过程中,需对网络入侵源的入侵类型进行辨别,识别是否为同一类型入侵信息,最后利用上一时刻地址和下一时刻构建出网络入侵源的入侵路径。
4、实验分析
为了验证上述网络入侵源快速跟踪方法的整体有效性,需要对此方法进行测试。
4.1实验结果及分析
分别采用基于人工蜂群算法的网络入侵源快速跟踪方法(方法1)、工业无线传感器网络攻击源定位任务分配优化算法(方法2)、基于风险数据挖掘追踪技术的网络入侵检测研究(方法3)进行测试;
(1)在网络中添加若干随机干扰源,对方法1、方法2以及方法3在入侵源快速追踪时的入侵源定位能力进行检测,检测结果如图2所示。
图2不同方法的入侵源定位能力测试结果
依据图2可知,在随机干扰源的影响下,方法1在网络入侵源快速追踪时入侵源定位能力要优于方法2以及方法3,并且随着监测器密度的增加,可以将单项查询的平均搜索次数稳定在15次。方法3在测试初期,单项查询的平均搜索次数与方法1持平,但随着网络监测器密度的增加,该方法的单项查询的平均搜索次数呈急速上升趋势。总体来看,在进行网络入侵源快速追踪时,方法1的网络入侵源定位能力好。
(2)在网络中添加一组随机噪声,对方法1、方法2以及方法3在进行网络入侵源快速跟踪时的追踪路径距离进行检测,检测结果如图3所示。
依据图3可知,随着跨区域个数的增加,三种方法所检测出的追踪路径距离呈上升趋势。方法2在测试初期所检测出网络入侵追踪路径几乎与方法1持平,随着网络跨区域个数的增加,方法2所检测出的追踪路径呈急速上升趋势,检测效果较不稳定。方法1所检测出的网络入侵追踪路径要低于方法2和方法3,并随着网络跨区域个数增加,生成的网络入侵路径稳定在2500m。
图3不同方法的入侵源追踪路径距离测试结果
(3)基于实验(1),利用方法1、方法2以及方法3对网络入侵源的误报性能进行检测,检测结果如图4所示。图4不同方法的网络入侵源误报性能测试结果依据图4可知,随着网络路径数量的增多,三种方法的误报个数呈上升趋势。方法2的误报个数较方法1和方法3来看,是三种方法中最多的。方法1的误报个数要低于方法2以及方法3,并且在随机干扰源的影响下,依然能够将误报个数稳定在30个。这是因为方法1利用遗传算法对网络数据进行特征提取,该方法在进行网络入侵源快速追踪时,网络入侵源的误报个数少。
(4)随机在网络中选取500个网络数据,基于上述的实验结果,设定网络数据收敛特性指数为α,收敛特性区间为[0,2],收敛系数越低,说明收敛特性越好,收敛系数越高,说明收敛特性越差。对入侵源追踪前后的收敛特性进行测试,测试结果如图5所示。
图5网络数据特征提取前后数据收敛特性测试结果
依据图5可知,随着网络数据的不断增加,检测出的数据收敛指数呈上升的趋势。入侵源追踪后的数据收敛性能明显优于入侵源追踪前。
5、结束语
随着互联网技术的兴起,网络使用时间、人数增加,对网络安全要求也越来越高。针对传统网络入侵源追踪方法中存在弊端,提出基于人工蜂群算法的网络入侵源快速跟踪方法。该方法提取网络数据的特征,利用人工蜂群算法生成网络入侵路径,实现入侵源快速跟踪。
