傅荣+佘朝晖

摘 要： 在多Agent的创新网络中，容易出现周期性漏洞和链路反馈溢出，为网络病毒的入侵提供了时隙。通过多Agent的创新网络入侵进行有效检测，可以实现对病毒的拦截和识别，提高网络安全性能。提出一种基于局部特征尺度的多Agent下创新网络入侵检测方法，分析网络结构和网络入侵节点分布特征，构建多Agent的创新网络入侵信号模型，进行入侵信号的滤波抗干扰处理，采用局部特征尺度匹配方法进行网络入侵的匹配滤波检测，实现网络入侵检测算法的改进。仿真实验结果表明，采用该方法进行网络入侵检测，准确检测概率高于传统方法，并具有较好的幅值响应性能，有效抑制了多Agent的创新网络中的旁瓣干扰，在网络安全防御中具有较好的应用价值。

关键词： Agent； 创新网络； 入侵检测； 网络安全

中图分类号： TN926?34； TP393 文献标识码： A 文章编号： 1004?373X（2016）24?0039?05

Simulation research of innovation network intrusion detection method

based on multi Agent

FU Rong， SHE Zhaohui

（College of Business Administration， Hunan University， Changsha 410082， China）

Abstract： In the innovation network of multiple Agent， it is easy to occur periodic vulnerabilities and link feedback overflow， which will provide a time slot for the network virus invasion. With effective detection of multiple Agent innovation network intrusion， the virus may be blocked and identified， and the network security performance can be improved. The innovation network intrusion detection method is put forward under multiple Agent based on local feature. The network structure and network intrusion node distribution characteristics are analyzed. An innovative network intrusion signal model of multiple Agent is built for the anti?interference filtering processing of invading signal. The local feature matching method is used to conduct the matched filtering detection of network intrusion， and implement the improvement of network intrusion detection algorithm. The simulation experiment results show that the network intrusion detection method has higher accurate detection probability than the traditional method， possesses good amplitude response performance， and can effectively restrain the sidelobe interference in innovation network of multiple Agent. It has a good application value in the network security defense.

Keywords： Agent； innovative network； intrusion detection； network security

0 引 言

随着网络信息技术的快速发展，多Agent的创新网络被广泛应用于各个领域，人们通过多Agent的创新网络进行信息传输和数据存储，多Agent的创新网络的实时信息传输和大容量数据云存储的功能为用户带来极大便利的同时，也为网络攻击者进行信息窃取提供了方便，网络的安全问题受到了人们的极大关注。目前，在由多个代理用户组成的创新网络中，由于网络连通性和路由链路带宽性，导致多Agent的创新网络在数据分发过程中容易出现周期性漏洞和链路反馈溢出，为网络病毒的入侵提供了时隙，需要研究多Agent的创新网络的入侵检测方法，有效实现对病毒的拦截和识别，提高网络安全性能，相关的算法研究受到人们的极大重视。

近年来，对多Agent的创新网络入侵的检测逐渐进入人们研究视野，传统方法中，对网络入侵检测的方法主要有基于幅频分析的入侵检测算法、基于小波分析的入侵检测算法、基于EMD分解的入侵检测算法和基于非平稳信号视频分析的入侵检测算法等[1?3]。根据上述算法原理，进行网络入侵检测取得了一定的成果，其中，文献[4]提出了一种多用户MIMO?OFDM系统信道信息全反馈策略，进行多Agent的创新网络的病毒入侵检测，将不同用户信息在相互重叠但彼此正交的子载波上同时传输，使每个用户对网络入侵信息的子载波予以反馈，提高检测性能，但是随着Agent用户的增大，系统开销量急速增大，难以实际应用。文献[5]提出了一种基于比特反馈的多Agent用户下的创新网络入侵信息调制机制，从每个子载波信道仅反馈有限的信道信息到发送端实现多Agent用户下的创新网络的入侵特征的分集调度预处理，大大降低了系统反馈链路开销，但该方法存在一定的局限性。文献[6]提出了一种基于信道质量门限的多Agent代理协议MIMO有限反馈方案实现入侵检测，该方案仅在信道质量满足设定值时，才将用户信道反馈给发送端，实现对网络入侵的准确拦截，当用户数较大时，该方案会一定程度上降低多用户分集增益，且受信道状态变化影响较大，降低了网络入侵的准确检测概率。

针对上述问题，本文提出一种基于局部特征尺度的多Agent下创新网络入侵检测方法，最后通过仿真实验进行了性能测试，展示了本文设计的多Agent代理创新网络入侵检测方法的优越性能。

1 多Agent创新网络结构分析与入侵信号模型

构建

1.1 多Agent创新网络结构分析

为了实现对多Agent创新网络入侵的准确检测，首先建立多Agent创新网络结构的结构模型，在给定跨平台网络应用支撑层下，多Agent创新网络的结构图采用一个无向图模型[G=（V，E）]描述，多Agent创新网络的连通图[G]，[V]表示网络节点集，[V2]表示任意两点边集，其中参考节点[v]为网络代理业务层中任一节点即[v∈V]，在N条链路中选择质量较好的路由链路边[e]作为网络中节点负载边即[e∈E]，对Agent创新网络入侵源在进行网络震荡的包络分析：网络入侵过程为一个非平稳的随机信号植入过程，网络入侵信号的传输模式表示为[Ts=KbTf]，针对网络节点的负载迁移，利用[GS]描述攻击对象的结构，网络监测区域是一个边长为M的正方形区域，Agent创新网络的每个簇头节点帧分为[N×N]单位阵，通过邻居节点多源分布式病植入，实现对Agent创新网络的接入服务的中断，达到网络撞库攻击和拖库攻击目的[7?9]。根据上述分析，绘制多Agent创新网络结构下的网络入侵节点分布图如图1所示。

依据图1中多Agent创新网络结构下的网络入侵节点分布情况，在跨平台网络环境中构建多Agent创新网络的病毒入侵模型：假设Agent创新网络的攻击分布式特征位于网络入侵节点分布图的中间层为[GZ]，[GZ=（VZ，EZ）]，[GZ?GS]。根据链路估计器的分布式模型对攻击链路估计，同时根据入侵节点迁移LEEP帧数确定数据转发时间，采用路由引擎、转发引擎和链路估计器对入侵节点的数据进行收发，并对路由表转换，根据上述分析，建立多Agent创新网络入侵检测总体构架模型如图2所示。

1.2 多Agent创新网络入侵的信号模型构建

在上述进行了多Agent创新网络的入侵的节点分布特征分析和检测系统总体模型的基础上，进行入侵检测的信号处理，建立在噪声背景干扰下Agent创新网络入侵信号模型，假设多Agent创新网络的入侵系统是一个三维连续的MIMO系统，利用网络入侵特征目标函数，将多Agent创新网络的入侵信号转化为一个时变非平稳的随机信号，利用式（1）建立多Agent创新网络入侵的单分量信号模型：

[g（t）=sf（s[t-τ]）] （1）

式中：[f（t）]为多Agent创新网络入侵的单分量主频特征；[s=（c-v）（c+v）]为局部特征分解尺度因子；[τ]为信号的幅值在时频域上进行特征分解的时延，[τ=2Rc]。利用单分量信号模型获取网络入侵信号的时间和频率之间的关系，进行时频分析，建立时间?频率联合分布特征分解模型，获取代表网络入侵信号的伸缩变化的多Agent创新网络入侵的归一化尺度参量，并将[g（t）]代入，利用式（2）获取网络入侵信号的Hilbert谱：

[H（ω，t）=i=1ng（t）ejωi（t）dt] （2）

利用网络入侵信号的Hilbert谱对网络入侵特征的数据序列进行分析，假设多Agent创新网络入侵过程中端点处信息的幅度为[A]，通过三次样条插值对输入的网络入侵信号进行幅度调整，在噪声干扰下，将[H（ω，t）]代入，利用式（3）获取网络入侵信号波形：

[x（t）=i=0pa（θi）H（ω，t）+n（t）] （3）

式中：[a（θi）]为频谱幅值；[n（t）]为干扰项，表示一组色噪声向量。假设有M个全方位攻击的网络入侵信号对Agent创新网络进行病毒植入，将网络入侵信号波形输入到频谱的包络端，利用式（4）对网络入侵信号进行特征分解：

[vk～tvkuv，k，Σvv，kek～tvkue，k，Σee，k] （4）

完成网络入侵信号的特征分解后，将[ωk]按照拟合信号的上下包络[vk]和[ek]进行局部特征分解。通常多Agent创新网络的入侵信号是短数据信号，采用一个多项式来定义多Agent创新网络入侵信号的瞬时频率[q]，令[q]为多项式的阶数，当满足条件：[q≥p]，且为偶数时，利用式（5）建立多Agent创新网络入侵的信号模型：

[fiq（t，τ）=12πτk=-q2q2bk?（t+ckτ）] （5）

式中：多Agent创新网络入侵的相位[?（t）]为均匀时间采样的；[τ]为时延；[ck]为分数。以此为基础，进行信号滤波和特征提取，达到入侵检测的目的。

2 网络入侵的抗干扰处理和检测算法改进实现

2.1 网络入侵的抗干扰处理

在上述进行了多Agent创新网络入侵的信号模型构建的基础上，进行网络入侵检测模型设计，本文提出一种基于局部特征尺度的多Agent下创新网络入侵检测方法。在多Agent创新网络中，网络病毒入侵信息隐藏在合法信号中，受到的噪声干扰较大，在信号模型中表现为色噪声干扰，在信噪比较低的情况下难以实现准确的特征提取，需要进行网络入侵的抗干扰滤波处理，本文设计二阶格型匹配滤波器进行干扰抑制，滤波器结构如图3所示。结合图3，进行入侵信号的滤波抗干扰处理，采用局部特征尺度匹配方法进行网络入侵的匹配滤波检测，实现网络入侵检测算法的改进，具体实现过程如下：

假设在多源入侵下多Agent创新网络入侵的复包络信号模型为：

[s（v）=0vsinπ2x2dx] （6）

[y（t）=u（s（t-τ））exp（jωcs（t-τ））] （7）

式中：[v]表示信号的包络插值曲线性；[u（t）]为双向延拓极大值；[ωc]为载频（单位为rad/s）。对于存在色噪声干扰下的网络入侵信号，采用宽带波动镜像延拓方法，利用式（8）获取干扰滤波处理后输出的入侵信号的指向性增益：

[c（v）=0vcosπ2x2dx] （8）

根据指向性增益获取多Agent创新网络入侵下的单频脉冲响应输出，对输出的干扰抑制前的入侵信号进行EMD分解，将[c（v）]代入，利用式（9）获取多Agent创新网络入侵的包络特征分解结果：

[s（f）=A12k{[c（v1）+c（v2）]2+[s（v1）+s（v2）]2}] （9）

采用基于镜像的信号双向延拓法得到多Agent创新网络入侵的单频脉冲信号，在[t]时刻进行幅值衰减匹配滤波，多Agent创新网络入侵的信号过滤模型：

[Pi（t）=n=1NAre-jkrRin1re-ikr] （10）

通过幅值调制，化简得：

[Pi（t）=Ar2n=1Ne-j2krainejψin] （11）

式中：[A（t）]为信号的残余量；[f0]为初始频率，[k=BT]为多Agent创新网络入侵状态特征参量的瞬时频率，B为调频信号带宽。通过上述处理，实现了网络入侵的抗干扰抑制，提高了入侵检测输出的信噪比，为提高信号检测性能奠定基础。

2.2 入侵检测算法改进实现

在上述对网络入侵信号进行二阶格型匹配滤波处理的基础上，采用局部特征尺度匹配分解方法进行入侵检测优化设计。在局部特征尺度匹配分解过程中，采用信号包络幅值前向搜索和后向搜索方法，进行局部特征匹配，网络入侵检测的包络幅值搜索过程示意图如图4所示。分析图4可知，多Agent创新网络入侵的局部特征尺度匹配分解的终止条件可以是以下两个之一：当多Agent创新网络入侵信号的幅值能力[cn]或者信号的残余量[rn]小于搜索阈值时停止分解；或当信号残余量[rn]已经为一个单调函数，即继续分解也不可能再分解出更多的局部特征分量。进行频率调制和幅度调制，求解多Agent创新网络入侵信号的非高斯函数极限幅频特性，抵消多Agent创新网络入侵信号的畸变效应，利用式（12）对剔除畸变效应后的入侵信号瞬时频率进行筛选：

[fi（n）=12πi=0piaini-1] （12）

在设定的筛选循环次数下，采用类柯西收敛准则进行网络入侵检测的迭代控制，利用式（13）描述入侵检测的信号指标集：

[Λ0=β∈Γ：fi（n），dγ0≥asupγ∈Γfi（n），dγ] （13）

通过上述检测过程可见，多Agent创新网络入侵信号的包络线失真容易产生信号边界控制误差，降低了检测性能，本文采用局部特征尺度匹配将[f]在时频域D上进行频谱偏移修正，利用本征波特参数[dγ0∈D]对网络入侵信号的输出频率[f]进行分解：

[f=f，dγ0dγ0+Rf] （14）

式中：[f，dγ0dγ0]为多Agent创新网络入侵在包络线上的匹配滤波投影；[Rf]是投影后的残差信号，将分解出的固有模态函数投影在D中与模式幅度函数进行匹配，实现对[Rs]的分解，通过[k]次分解后，实现入侵检测，利用公式（15）获取检测到的入侵信号输出特征：

[R（0）s=n=0kR（n）s，dγndγn+R（k+1）s] （15）

综上分析，结合局部大波动的筛选终止条件，实现网络入侵检测，得到采用本文方法进行入侵匹配检测的过程图如图5所示。

3 仿真实验结果与分析

为了测试本文设计的基于多Agent的创新网络入侵检测方法的性能，进行仿真实验，仿真实验的硬件环境采用个人PC机，配置参数为：CPU 3.0 GHz，12 GB内存，操作系统为Windows 7。采用Matlab 2011数学仿真语言进行算法设计与实现，采用DDE、TCP库、ActiveX库进行多Agent的创新网络入侵病毒数据的模拟，系统主程序的编写采用嵌入式Linux内置TCP/IP协议设计多Agent的创新网络链路结构模型。根据上述网络模型设计，进行数据采样，设定多Agent的创新网络中的入侵数据样本数为1 024，对创新网络的收到包数记数值为10 000次，LEEP帧发送者对应的邻居表样本数为2 990，Agent的创新网络入侵信号的中心频率测试为[f0=1 000 Hz，]单跳传输的离散采样率为[fs=10f0=][10 kHz]，发送数据的源节点带宽[B=1 000 Hz，]采样点 [N=201]，其中[T=Nfs]，匹配滤波器的自适应步长参数[μ=0.000 2。]首先选取色噪声干扰信噪比为-10 dB的情况进行入侵检测仿真。首先进行原始的入侵信息采样，采用二阶格型匹配滤波器进行干扰抑制，通过4次特征分解匹配，得到输出的网络入侵信号局部特征尺度匹配分解结果如图6所示。

分析图6可知，采用本文算法进行入侵检测，得到特征分解的虚假分量幅值较小，可以进一步提高门限，有效实现对入侵信号的特征提取和识别。采用本文方法和传统方法，进行多Agent创新网络入侵信号的幅值检测，得到检测结果如图7所示。分析图7可知，采用本文方法进行网络入侵检测，具有较好的幅值响应性能，旁瓣干扰得到有效抑制，提高了检测精度，进一步，采用10 000次蒙特卡洛实验进行检测性能分析，得到检测性能曲线见图8。由图8可见，采用本文方法进行网络入侵检测，准确检测概率（Pd）高于传统方法。

4 结 语

本文提出一种基于局部特征尺度的多Agent下创新网络入侵检测方法，仿真实验结果表明，采用本文方法进行网络入侵检测，准确检测概率高于传统方法，性能可靠稳定，保障了网络安全。

注：本文通讯作者为佘朝晖。

参考文献

[1] 张宗飞.基于量子进化算法的网络攻击检测特征选择[J].计算机应用，2013，33（5）：1357?1361.

[2] 陆兴华，陈平华.基于定量递归联合熵特征重构的缓冲区流量预测算法[J].计算机科学，2015，42（4）：68?71.

[3] 张陶.计算机网络安全的入侵检测技术分析[J].山东工业技术，2016（1）：136.

[4] PATCHARAMANEEPAKRON P， ARMOUR S， DOUFEXI A. Coordinated beamforming schemes based on modified signal?to? leakage?plus?noise ratio precoding designs [J]. IET communications， 2015， 9（4）： 558?567.

[5] YANG Yunchuan， SUN Cong， ZHAO Hui， et al. Algorithms for secrecy guarantee with null space beamforming in two?way relay networks [J]. IEEE transactions on signal processing， 2014， 62（8）： 2111?2126.

[6] HUANG Lei， ZHANG Jing， XU Xu， et al. Robust adaptive beamforming with a novel interference?plus?noise covariance matrix reconstruction method [J]. IEEE transactions on signal processing， 2015， 63（7）： 1643?1650.

[7] 张辉.自体集网络攻击检测中的高效寻优算法仿真[J].计算机仿真，2013，30（8）：297?300.

[8] 章武媚，陈庆章.引入偏移量递阶控制的网络入侵HHT检测算法[J].计算机科学，2014，41（12）：107?111.

[9] 张永铮，肖军，云晓春，等.DDoS攻击检测和控制[J].软件学报，2012，23（8）：2058?2072.