基于人工蜂群算法的網絡入侵源快速跟蹤研究

　　1、引言

　　互聯網技術已應用到社會的方方面面，網絡成為人們生活、工作中必不可少的工具。但隨著網絡技術的不斷發展，網絡中存在大量不安全因素，攻擊者通常使用假冒的源ip對網絡進行攻擊，導致入侵對象的查找以及跟蹤帶來了極大的難度[1]。如何設計一種高效的網絡入侵源快速跟蹤方法，成為互聯網領域中亟待解決的問題之一[2]。對此，相關研究者進行了很多研究，并取得了一定成果。

　　文獻[3]提出工業無線傳感器網絡攻擊源定位任務分配優化算法。該方法通過構建多目標優化定位分配模型，并對模型中的節點能量消耗進行設定，獲取距離的平均標準偏差目標函數以及能量約束條件；再將循環擁擠排序法與稀疏度局部搜索算法相結合求解模型，獲取網絡數據的稀疏度最小解；最后利用極限優化策略在稀疏度最小解周圍進行搜索，從而實現網絡攻擊源的快速跟蹤。該方法由于未能提取網絡數據的有效特征，無法提升網絡入侵源的快速追蹤定位能力。文獻[4]提出基于異常流量可視化的通信網絡入侵攻擊路徑智能跟蹤技術。該方法首先設定網絡在采集流量時采集點網卡為多樣模式，采集端口流量并進行歸一化處理，獲取網絡的流量態勢；再利用定時器函數將處理后的流量進行發送處理；最后利用發送的數據重繪窗口，并在窗口中獲取流量的異常特征參數，生成異常數據源快速跟蹤路徑，實現網路入侵源的快速跟蹤。該方法由于獲取網絡流量態勢時的誤差明顯，存在網絡入侵源跟蹤時跟蹤路徑長的問題。文獻[5]提出基于風險數據挖掘追蹤技術的網絡入侵檢測研究。該方法首先挖掘網絡數據，通過訓練獲取網絡數據的一般特征；再利用互信息螢火蟲算法對包裝器的選取策略進行特征提取；最后基于貝葉斯網絡分類器對獲取的特征進行分配，實現網絡入侵源的定位，從而進行跟蹤。該方法由于在選取策略時存在一定問題，進行網絡入侵源跟蹤時的入侵源誤報個數高。文獻[6]提出一種新的散列ip地址嵌入距離層次結構的網絡入侵檢測方法。該方法分析網絡入侵源的屬性特征，并根據得到的屬性特征構建預處理模型，將得到的數據進行預處理，確定精準的入侵源，采用分層模型下的自監督學習框架對編碼網絡進行訓練。采用新特征可用于預測未來源和目標網絡地址的同時出現，實現入侵源的檢測。該方法通過屬性的確定，提升了入侵源的檢測，但該方法確定的屬性不全面，存在一定局限。

　　為解決上述網絡入侵源快速跟蹤方法中存在的問題，提出基于人工蜂群算法的網絡入侵源快速跟蹤方法。通過對網絡入侵源數據的編碼以及群體初始化，構建的目標函數提取網絡入侵源數據特征；利用人工蜂群算法生成網絡入侵路徑，實現網絡入侵源的快速追蹤。

　　2、網絡入侵源數據特征提取

　　為實現網絡入侵源快速跟蹤，首先需要確定網絡入侵源數據特征，根據確定的特征進行快速追蹤。在網絡入侵源數據特征提取中，本文借助遺傳算法提取網絡入侵源數據特征。

　　2.1網絡入侵源數據編碼

　　在利用遺傳算法對網絡入侵源數據進行提取時，需要先對其進行編碼。將網絡入侵源數據的參數以及特征進行編碼處理，使其形成一串二進制字符(染色體)，且每個字符都有其對應的解。此過程中，需將網絡入侵源數據規整為數據集合，并依據數據的特征進行相對應的二進制編碼，在形成的染色體中設定0和1兩個閾值，以此確定數據的特征值是否被選取。

　　設定網絡入侵源數據的染色體為h(x)，整個編碼過程如下式所示：

　　(1)

　　式中，hi為網絡入侵源數據中第i個特征。若hi為1時，可將其直接保存，若hi為0時，直接將其進行剔除處理。設定網絡原始入侵源數據集中各個子集均由8個特征值組合構成的ai=(a1,a2,…,a8)，在ai中選取{a1,a2,a5,a8}個特征值并使其hi值為1，其余為0，完成網絡入侵源數據的編碼，即：

　　(2)

　　式中，網絡入侵源數據的數據集為s，a為數據的特征值，特征子集ai與所對應的閾值之間生成的染色體為hi。

　　2.2網絡入侵源數據群體初始化

　　在上述網絡入侵源數據編碼后，為提升特征提取的效果，需要將其進行群體初始化處理。提取網絡入侵源數據特征效果的好壞與種群規模n的大小相關，當n過小時，無法獲取網絡數據全局最優解。因此，要依據實際情況設定種群規模，通常設定在20-100區間內。規避網絡入侵源數據中特征的不良影響。

　　確定網絡入侵源數據個體中染色體1的個數，并對數據中缺位進行補充，補充的缺位染色體為0，在固定范圍內對其進行初始化處理，得到：

　　(3)

　　式中，l(x)為網絡入侵源數據集中染色體為1的數據個數，同時也是選中數據特征的數據個數，染色體的長度為j。2.3網絡入侵源數據特征提取的目標函數建立將網絡入侵源數據群體初始化后，設定網絡入侵源數據的適應度為f(x)，設定網絡入侵源數據相關參數，并設定目標函數u(x)對進行計算，從而獲取該網絡的目標函數值[7-8]，即：

　　(4)

　　式中，分類正確的數據總量為bi，測試集規模為p，獲取的目標函數為u(x)。

　　根據得到的目標函數可確定網絡入侵源數據特征，但由于網絡入侵源數據特征提取中受到數據量的影響，需要調整得到特征。本文通過懲罰式調整策略對目標函數進行修正，以完成網絡入侵源數據特征的提取。修正過程中主要涉及目標函數值u(x)以及個體數據所選特征數量l(x)兩大部分。

　　此過程中要對個體數據所選特征數量l(x)進行一定的修正，即：

　　(5)

　　式中，f(x)代表網絡入侵源數據提取的特征值。借助遺傳算法獲取的網絡入侵源數據的提取流程如圖1所示。

圖1網絡入侵源數據特征提取流程

　　3、入侵源跟蹤實現

　　基于上述獲取的網絡數據特征，利用人工蜂群算法獲取網絡入侵源的快速追蹤路徑，實現對網絡入侵源的快速追蹤[9-10]。

　　3.1網絡入侵源追蹤路徑構建

　　在網絡入侵源路徑構建過程中，網絡監測器在監控本地報警信息的同時，還要對信息查詢表進行監控。報警表c負責保存、查詢數據，查詢表t由一維矩陣m[s1,s2,…,sm]組成，矩陣的元素為m，m的初始值獲取過程如下式所示：

　　(6)

　　式中，獲取的原始初始值為s1(0)，相鄰監測器數量為|path|。根據上式計算信息查詢時的時間消耗，一維數據組中的數值會在查詢時發生變化。利用人工蜂群算法構建網絡入侵源追蹤路徑，具體過程如下：

　　(1)網絡分析設備收到告警信息后，會隨機向監控器發送查詢路徑信息；

　　(2)監視器收到信息后，會自動查詢報警信息表，獲取路徑的報警信息。根據此信息設置“蜜蜂”，在監視器中信息素節點infij，生成信息素。如果發現監控節點數大于設置的閾值1，則可直接轉發接收到的信息。如果小于閾值1，節點將根據信息素的數量進行排序，添加搜索標志；

　　(3)當信息發送至相鄰監測器時，要對網絡入侵的類型進行區分，再經由被入侵的主機ip查詢發送的信息是否到達該監測器節點位置，若未到達則需對該監測器的報警信息表進行搜索，直至找到需要的報警信息。最后，將找到的信息發送給分析器，在分析器中進行相關分析構建入侵路徑，生成響應信息。

　　3.2信息素更新

　　信息素更新時，人工蜂群算法是實現精準追蹤路徑的關鍵。為了更好地獲取網絡入侵信息經過監測器。在確切的時間內，若經過監測器的網絡流量大，代表網絡入侵源數據存在的風險更高。但若任由網絡數據的信息素無限制的增加，那么隨著時間的增長，信息素也會隨之蒸發，其蒸發過程為：

　　(7)

　　式中，蒸發后的信息素為，p為信息素閾值，sij為原始數據信息素，k信息素具體數量。

　　當監測器接收到傳送的信息以及信息素時，對接收的信息素進行更新處理，即：

　　(8)

　　式中，更新信息素值為，揮發系數為φ，則為網絡數據監測器i中第j個周圍監測器的信息素經過次數k。根據上述分析可知，監測器接收信息素的時間越短，其周邊監測器接收的網絡入侵源數據信息越多。根據上述人工蜂群算法構建的網絡入侵源路徑，對網絡入侵源進行追蹤。利用網絡數據中響應數據包構建網絡入侵源路徑。構建過程中，需對網絡入侵源的入侵類型進行辨別，識別是否為同一類型入侵信息，最后利用上一時刻地址和下一時刻構建出網絡入侵源的入侵路徑。

　　4、實驗分析

　　為了驗證上述網絡入侵源快速跟蹤方法的整體有效性，需要對此方法進行測試。

　　4.1實驗結果及分析

　　分別采用基于人工蜂群算法的網絡入侵源快速跟蹤方法(方法1)、工業無線傳感器網絡攻擊源定位任務分配優化算法(方法2)、基于風險數據挖掘追蹤技術的網絡入侵檢測研究(方法3)進行測試；

　　(1)在網絡中添加若干隨機干擾源，對方法1、方法2以及方法3在入侵源快速追蹤時的入侵源定位能力進行檢測，檢測結果如圖2所示。

圖2不同方法的入侵源定位能力測試結果

　　依據圖2可知，在隨機干擾源的影響下，方法1在網絡入侵源快速追蹤時入侵源定位能力要優于方法2以及方法3，并且隨著監測器密度的增加，可以將單項查詢的平均搜索次數穩定在15次。方法3在測試初期，單項查詢的平均搜索次數與方法1持平，但隨著網絡監測器密度的增加，該方法的單項查詢的平均搜索次數呈急速上升趨勢。總體來看，在進行網絡入侵源快速追蹤時，方法1的網絡入侵源定位能力好。

　　(2)在網絡中添加一組隨機噪聲，對方法1、方法2以及方法3在進行網絡入侵源快速跟蹤時的追蹤路徑距離進行檢測，檢測結果如圖3所示。

　　依據圖3可知，隨著跨區域個數的增加，三種方法所檢測出的追蹤路徑距離呈上升趨勢。方法2在測試初期所檢測出網絡入侵追蹤路徑幾乎與方法1持平，隨著網絡跨區域個數的增加，方法2所檢測出的追蹤路徑呈急速上升趨勢，檢測效果較不穩定。方法1所檢測出的網絡入侵追蹤路徑要低于方法2和方法3，并隨著網絡跨區域個數增加，生成的網絡入侵路徑穩定在2500m。

圖3不同方法的入侵源追蹤路徑距離測試結果

　　(3)基于實驗(1)，利用方法1、方法2以及方法3對網絡入侵源的誤報性能進行檢測，檢測結果如圖4所示。圖4不同方法的網絡入侵源誤報性能測試結果依據圖4可知，隨著網絡路徑數量的增多，三種方法的誤報個數呈上升趨勢。方法2的誤報個數較方法1和方法3來看，是三種方法中最多的。方法1的誤報個數要低于方法2以及方法3，并且在隨機干擾源的影響下，依然能夠將誤報個數穩定在30個。這是因為方法1利用遺傳算法對網絡數據進行特征提取，該方法在進行網絡入侵源快速追蹤時，網絡入侵源的誤報個數少。

　　(4)隨機在網絡中選取500個網絡數據，基于上述的實驗結果，設定網絡數據收斂特性指數為α，收斂特性區間為[0,2]，收斂系數越低，說明收斂特性越好，收斂系數越高，說明收斂特性越差。對入侵源追蹤前后的收斂特性進行測試，測試結果如圖5所示。

圖5網絡數據特征提取前后數據收斂特性測試結果

　　依據圖5可知，隨著網絡數據的不斷增加，檢測出的數據收斂指數呈上升的趨勢。入侵源追蹤后的數據收斂性能明顯優于入侵源追蹤前。

　　5、結束語

　　隨著互聯網技術的興起，網絡使用時間、人數增加，對網絡安全要求也越來越高。針對傳統網絡入侵源追蹤方法中存在弊端，提出基于人工蜂群算法的網絡入侵源快速跟蹤方法。該方法提取網絡數據的特征，利用人工蜂群算法生成網絡入侵路徑，實現入侵源快速跟蹤。

參考文獻（略）

本文收集整理于網絡，如有侵權請聯系客服刪除！