李威　顾海林　黄兴

摘 要： 针对当前对网络入侵异常检测精度不高的问题，进行网络被入侵后的异常信号检测系统优化设计，提出基于高阶时频谱分析的网络入侵异常信号检测算法，首先对信号检测算法进行改进设计，构建网络入侵信号模型，对入侵后的网络异常信号做非平稳信号经验模态分解和高阶时频谱特征提取；然后进行信号检测系统的开发；最后通过仿真实验进行性能测试。仿真结果表明，采用该信号检测系统能准确检测网络被入侵后的异常信号，且准确检测概率高于传统方法。

关键词： 网络入侵； 信号检测； 谱分析； 经验模态分解

中图分类号： TN911.23?34； TP393 文献标识码： A 文章编号： 1004?373X（2017）03?0058?04

Design and optimization of signal detection system after network intrusion

LI Wei， GU Hailin， HUANG Xing

（Information and Communication Engineering Center， Information Communication Branch Company of

State Grid Liaoning Electric Power Co.， Ltd.， Shenyang 110006， China）

Abstract： Since the accuracy of the current network intrusion anomaly detection is low， the optimization design for the abnormal signal detection system after network intrusion was performed， and the network intrusion abnormal signal detection algorithm based on higher?order time?spectrum analysis is proposed. The improvement design for the signal detection algorithm was conducted， and the network intrusion signal model was constructed to decompose the non?stationary signal empirical mode and extract the higher?order time?spectrum feature of the network anomaly signal after network intrusion. The signal detection system was developed， and its performance was test with simulation experiment. The simulation results show that the signal detection system can accurately detect the abnormal signal after network intrusion， and its accurate detection probability is higher than that of the traditional method.

Keywords： network intrusion； signal detection； spectrum analysis； empirical mode decomposition

0 引 言

隨着计算机技术和网络技术的快速发展，网络运行的速度不断增快，网络传输和处理的数据信息不断增多，网络安全受到管理者和用户的重视[1?2]。网络安全主要包括网络的物理安全、网络拓扑结构安全、网络系统安全等。网络入侵通过病毒植入，实现非法存取、拒绝服务和网络资源非法占用等，达到攻击用户私密信息的目的。网络被入侵后会出现异常信号，通过对网络被入侵后的入侵信号进行检测，保障网络安全，研究相关的信号检测算法和系统受到人们的极大关注[3?4]。

针对当前对网络入侵异常检测精度不高的问题，提出基于高阶时频谱分析的网络入侵异常信号检测算法，并通过仿真实验进行性能测试。

1 算法设计

1.1 信号模型构建与分析

首先对网络被入侵后的异常信号模型进行构建和特征分析，网络被入侵后的数据传输节点分布为一个宽平稳的随机信道模型，异常信号分布在一个多径时变的非平稳传输信道中，采用短时傅里叶变换构建网络被入侵后的异常信号传输的信道模型描述为[5?6]：

[x（t）=Rean（t）e-j2πfcτn（t）slt-τn（t）e-j2πfct] （1）

式中：网络被入侵后异常信号的加窗函数[x（t）]在时间[t]的短时傅里叶变换就是[x（t）]乘上一个以[t]为中心的“分析窗”，由于短时傅里叶变换，在所有窗函数里建立时间窗。

当短时傅里叶变换为一种线性变换，输出的信号冲激响应为[γ*（t-t），]根据网络被入侵后异常信号的时频分辨率不变性，信号短时谱定义为：

[STFT（γ）x（t， f）=-∞∞[x（t）γ*（t-t）]e-j2πftdt] （2）

采用短时傅里叶变换使得网络入侵信号的短时傅里叶基数STFT保持信号[x（t）]的频移特性，网络被入侵的时间尺度脉冲响应为：

[c（τ，t）=nan（t）e-j2πfcτn（t）δ（t-τn（t））] （3）

式中：[an（t）]是第[n]条网络传输信道上的异常信号的单分量主频特征；[τn（t）]为第[n]条垂直无穷长窗函数的时延；[fc]为网络被入侵的信道调制频率。

设网络被入侵数据传输节点的传递路径有[P]条，采用频率分辨率调制滤波[7]，得到网络被入侵后的异常信号传输的多径信道传递函数为：

[h（t）=i=1Paip（t-τi）] （4）

式中：[ai]和[τi]分别是时间分辨率和传播损失。

网络被入侵后数据传输的信道特征分布函数为：

[y（t）=x（t-t0）?Wy（t，v）=Wx（t-t0，v）y（t）=x（t）ej2πv0t?Wy（t，v）=Wx（t，v-v0）] （5）

对于两个能量相同的信号，定义窗函数的时宽[Δt]为：

[Δt2=t2G（t）2dtG（t）2dt] （6）

通过时频伸缩，可得网络被入侵后异常信号的频谱特征为：

[y（t）=kx（kt）， k>0，Wy（t，v）=Wx（kt，vk）] （7）

式中：[k]表示时间分辨采样频率；[v]表示网络被入侵后输出信道的带宽；[Wx]为时间窗口函数，式（7）表示网络被入侵的信道中的时域和频域的伸缩尺度。时间分辨率和频率分辨率在频谱宽度一致性特征的情况下，构建网络入侵的异常信号模型为：

[z（t）=x（t）+iy（t）=a（t）eiθ（t）] （8）

式中：[z（t）]表示入侵后的异常信号；[x（t）]表示残余函数；[y（t）]表示网络入侵后异常信号的残余量；[a（t）]表示非线性、非平稳的多分量信号的上下包络线；[θ（t）]表示入侵偏移相位。

通过单分量信号的尺度分解将原始信号分解为多个低频分量之和，得到网络入侵后的异常信号的包络特征为：

[a（t）=x2（t）+y2（t）， θ（t）=arctany（t）x（t）] （9）

式中：[a（t）]和[θ（t）]分别是网络被入侵后异常信号的高频特征分量的包络和相位。

1.2 信号检测算法实现

定义[D=（dγ）γ∈Γ]为网络入侵异常信号分布特征空间[H]中的入侵数据向量组成的基函数集，在对受到强杂波背景干扰下入侵后的网络异常信号[x（t）]进行经验模态分解，每层分解的误差分量表示为：

[xmin， j=maxxmin， j，xg， j-ρ（xmax， j-xmin， j）] （10）

[xmax， j=minxmax， j，xg， j+ρ（xmax， j-xmin， j）] （11）

入侵特征检测的偏移量频谱区间在[[xmin， j，xmax， j]]内构成局部时间尺度分量的滑动时间窗口，[ρ]为网络入侵异常信号属性特征调整系数，定义为：

[ρ=o∈Nk-dist（p）lrdk（o）lrdk（p）Nk-dist（p）] （12）

采用频率调制对信号进行高阶谱特征提取，以过零点定义的IMF函数为一个采样特征区间，表示为：[Yk=yk1，yk2，…，ykj，…，ykJ， k=1，2，…，N] （13）

通过频率调制去除网络被入侵后异常信号的虚假分量，在对网络入侵后异常信号的局部均值进行后置聚焦检测后，采用时频特征分析方法进行网络被入侵后的异常信号的时域特征分解，得到频谱偏移量为：

[fi（n）=ln[λi（n）]2πΔt] （14）

式中[Δt]表示信号采样时间间隔。

由此计算网络被入侵后异常信号的稳态概率：

[WDx（t，f）=xt+τ2x*t-τ2e-j2πftdτ] （15）

式中：[f]表示异常信号的频域瞬态函数；[x*]表示對原始信号取卷积。

选择时间?频率联合特征匹配方法，得到网络被入侵后的异常信号差异函数[f]和基[dγ0]之间的匹配程度为：

[λn（dγ0）=-∞+∞f（t）d*γ0（t）dt] （16）

采用自适应级联滤波方法进行信号滤波，得到异常信号检测的一组极大线性无关组，[dγ]的边缘特性解向量[L2（R）]是稠密的，得到网络入侵后的异常信号的能量密度满足：

[f，dγ0≥asupγ∈Γf，dγ] （17）

准确检测概率满足：

[f=f，dγ0dγ0+Rf] （18）

2 系统硬件设计与软件开发

2.1 信号检测系统的硬件设计

系统的模块化设计主要包括滤波电路模块、信号采样A/D电路模块、DSP集成处理主控模块和检测输出模块等，首先构建信号滤波器电路，进行网络被入侵后异常信号的检测滤波，滤波结构模型如图1所示。

以网络被入侵后异常信号的A/D数据采集作为原始输入，给出级联自适应滤波器形式为：

[H（z）=N（z）D（z）] （19）

式中：[N（z）]是异常信号检测系统的低通信道函数，它的零点在[z=e±jω0]处；[D（z）]为盲源分离状态函数。

由滤波器的控制筛分参数[a]和带宽参数[r]确定自适应级联滤波器的阶数和调制频率，初始频率为：

[ω0=arccos（-a2）] （20）

在前馈放大约束下，通过抽头加权得到入侵后的异常信号检测滤波器低通响应特征函数为：

[ejπ=V（ejω0）=sinθ2+sinθ1（1+sinθ2）ejω0+ej2ω01+sinθ1（1+sinθ2）ejω0+sinθ2ej2ω0] （21）

网络被入侵后异常信号检测系统的信号滤波器的传递函数为：

[H（z）=121+V（z）V（ejω）+ejΦ（ω）] （22）

根据滤波传递函数，采用DSP信号处理器和PCI总线进行电路设计，得到滤波电路设计如图2所示。

信号采样A/D电路模块实现网络入侵后的异常信号检测原始数据采样和数模转换功能，采用16位定点DSP作为控制芯片，采用FLASH中的应用程序bootloader自动调整系统的放大倍数，从片内ROM的0FF80H起执行程序，控制A/D转换器进行正常采样，得到信号检测系统的信号采样A/D电路设计如图3所示。

DSP集成处理主控模块是网络被入侵后异常信号检测系统的核心模块，主控模块的时钟频率为33 MHz或66 MHz，DSP集成处理环境下异常信号处理程序是在CCS 2.20开发平台下进行，DSP通过双端口RAM（IDT70V28）进行数据通信，DSP信号处理器设计主要包括5409A引脚设置、JTAG设计，地址总线LA[16：1]，检测输出模块选择引脚、时钟信号输入引脚，通过CPLD编程ADM706SAR进行系统复位，得到主控模块的DSP接口连线如图4所示。

2.2 系统的软件开发实现

网络被入侵后异常信号检测系统的软件开发处理程序在CCS 2.20开发平台下进行。采用C5409A XDS510 Emulator仿真器进行检测算法编程设计，采用程序加载电路进行异常信号检测算法的写入和数据读取，处理程序都是用ASM语言编写，与VB，VC等可视化开发平台进行汇编，链接生成.out文件，代码设计时把应用程序转換成.hex格式代码，把loader和用户程序都烧写到FLASH中，在0FF81H处写loader程序的入口地址，得到网络被入侵后异常信号检测系统的程序设计流程如图5所示。

3 性能的测试

首先对SPCR1（串口接收控制寄存器）和SPCR2（串口发送控制寄存器）进行复位串口配置，配置PCR（串口控制引脚寄存器）的FSXM=1，进行网络入侵采样，采样的样本数为1 024，采用网络爬虫技术进行病毒入侵的数据爬取，爬取次数为100 598次，启动串口0的采样率，得到两个帧同步之间的异常信号。网络入侵异常信号的中心采用频率为[f0=1 000]Hz，接收器和发送器的激活频率为[fs=10] kHz，信号的采样带宽[B=1 000]Hz，其调频率[k=BT=13.8] Hz，信号检测过程中的干扰信噪比为-30 dB，根据上述仿真环境和参数设定，进行网络被入侵后的异常信号检测仿真，得到采样的原始网络信号如图6所示。

以上述采样信号为测试对象，输入到本文设计的异常信号检测系统中，得到检测输出的高阶时频谱如图7所示。

从图7可见，本文设计的信号检测系统能准确检测到异常信号的频谱特征，对低频干扰信号的抑制性能较好，检测输出的峰度聚焦性较好，展示了较高的检测性能，为了对比，采用本文方法和传统方法，以准确检测概率为测试指标，得到的结果如图8所示。从图8可见，采用本文系统进行网络入侵后异常信号检测的准确检测概率较高，且性能优于传统方法。

4 结 语

网络被入侵后会出现异常信号，通过对网络被入侵后的入侵信号检测，保障网络安全。本文提出基于高阶时频谱分析的网络入侵异常信号检测算法，仿真结果表明，本文算法的准确检测概率高于传统方法，具有较高的应用价值。

参考文献

[1] 陆兴华，陈平华.基于定量递归联合熵特征重构的缓冲区流量预测算法[J].计算机科学，2015，42（4）：68?71.

[2] 杨雷，李贵鹏，张萍.改进的Wolf一步预测的网络异常流量检测[J].科技通报，2014，30（2）：47?49.

[3] 周煜，张万冰，杜发荣，等.散乱点云数据的曲率精简算法[J].北京理工大学学报，2010，30（7）：785?790.

[4] MERNIK M， LIU S H， KARABOGA M D， et al. On clarifying misconceptions when comparing variants of the Artificial Bee Colony Algorithm by offering a new implementation [J]. Information sciences， 2015， 291（C）： 115?127.

[5] 沈渊.基于入侵关联跟踪的P2P网络入侵检测方法[J].科技通报，2013，29（6）：32?34.

[6] 章武媚，陈庆章.引入偏移量递阶控制的网络入侵HHT检测算法[J].计算机科学，2014，41（12）：107?111.

[7] HSIEH T J. A bacterial gene recombination algorithm for sol?ving constrained optimization problems [J]. Applied mathema?tics and computation， 2014， 231： 187?204.