朱亚东 高翠芳

1(江苏联合职业技术学院信息中心 江苏 南京 211135)2(江南大学理学院 江苏 无锡 214122)

基于非平稳信号时频分析的网络攻击检测算法

朱亚东1高翠芳2

1(江苏联合职业技术学院信息中心 江苏 南京 211135)2(江南大学理学院 江苏 无锡 214122)

在复杂网络环境下，网络攻击特征信息通常表现为一组非平稳宽带信号，通过信号检测方法实现网络攻击检测，保证网络安全。传统方法采用傅里叶变换方法进行网络攻击的非平稳信号检测，由于傅里叶变换的时变性会引起较大的包络振荡，检测性能不好，提出一种基于非平稳信号时频分析的网络攻击检测算法。构建了复杂干扰环境下的网络攻击信号模型，提取网络攻击非平稳宽带信号的时频特征。采用WVD-Hough时频变换实现对网络攻击非平稳宽带信号的时频聚集，采用混叠谱模糊度函数分析频谱特征。得到网络攻击信号的瞬时频率估计结果，设计匹配滤波算法进行信号抗干扰设计，最后输出检测结果。仿真实验表明，采用该算法进行网络攻击检测，准确检测概率较高，检测性能优越。

网络攻击 信号检测 时频分析 频率估计

0 引 言

随着计算机和网络信息服务的快速发展，计算机网络安全问题受到了人们的极大关注，出现“陷门”、病毒、非法存取、拒绝服务和网络资源非法占用等网络安全行为，极大威胁着网络管理者和用户，导致用户的资料泄露和网络瘫痪。网络安全问题犹如家庭的防火防盗问题一般重要，网络安全从宏观上说，包含了系统安全、信息传播安全、网络信息数据安全和信息内容安全等各个方面，网络攻击对网络安全带来了极大的挑战，网络攻击通过渗入威胁和植入威胁，攻击和控制网络用户。因此，需要对网络攻击进行主动积极的检测，提高网络安全的防范能力。在复杂网络环境下，网络攻击特征信息通常表现为一组非平稳宽带信号，通过信号检测方法实现网络攻击检测，保证网络安全。研究网络攻击的检测算法具有重要意义，相关的算法研究受到人们的极大重视。

在传统的网络攻击非平稳宽带信号处理中，人们分析和处理网络攻击非平稳宽带信号最常用的方法主要有傅立叶变换方法、统计信号分析方法、神经网络控制方法和信号时域或频域的转换方法等，其中傅立叶变换方法较为常用，通过傅立叶变换建立了网络攻击非平稳宽带信号时域与频域之间变换的桥梁，实现对网络攻击信号的准确检测[1-3]。对此，相关的文献也进行了比较详细的阐述，其中，文献[4]提出一种基于分数阶傅里叶变换的网络入侵检测算法，将大数据环境下云计算网络的入侵信号的幅频特性转换到分数阶傅里叶域进行聚焦，实现网络攻击的检测，但是该算法存在计算量大，检测模型构成复杂的问题，且抗干扰性能不好；文献[5]提出一种基于希尔伯特变换HHT的网络攻击免疫检测方法，构建网络入侵的主动防御系统，采用希尔伯特变换变换方法分析攻击信号的单谱特征，进行瞬时频率估计，进行网络攻击的非平稳宽带信号检测，检测性能得到一定的提高，但是该算法在信噪比低的环境下容易产生信息畸变，导致包络振荡，该方法采用傅里叶变换方法进行网络攻击的非平稳信号检测，由于傅里叶变换的时变性会引起较大的包络振荡，检测性能不好[6-8]。针对上述问题，本文提出一种基于非平稳信号时频分析的网络攻击检测算法。首先构建了复杂干扰环境下的网络攻击信号模型，提取网络攻击非平稳宽带信号的时频特征，采用WVD-Hough这一改进的时频变换实现对网络攻击这类非平稳宽带信号的时频聚集，输出检测结果。仿真实验表明，采用本文算法进行网络攻击检测，具有较好的优越性。最后得出有效性结论。

1 网络攻击信号模型构建和时频特征提取

1.1 网络攻击信号模型构建

在复杂网络环境下，网络攻击特征信息通常表现为一组非平稳宽带信号，为了实现对网络攻击的检测，需要首先进行信号模型构建。采用包络延拓扩展方法，若网络攻击非平稳宽带信号的时间采样{x(t1),x(t2),…,x(tn)}的联合分布函数与{x(t1+τ),x(t2+τ),…,x(tn+τ)}的联合分布函数具有极大相关性，那么，在时频域中网络攻击信号的频谱序列是一个三维连续自治系统，网络攻击非平稳宽带信号的系统函数表示为：

θ1(k+1)=θ1(k)-μRe[y(k)φ*×(k)]

(1)

式中，θ1(k)表示初始状态向量，θ1(k+1)表示网络攻击非平稳宽带信号瞬时幅度，将其写为极坐标形式有：

(2)

其中，a(t)称为包络，φ(t)称为瞬时相位，由于网络攻击非平稳宽带信号的实信号的频谱为共轭对称，攻击信号幅度为A，网络攻击非平稳宽带信号频谱正频部分进行自适应解调，对输入信号幅度调整系数为：

(3)

攻击数据进行这动态更新，采用Web防火墙对网络攻击特征进行数据采样和时间更新，得到网络攻击非平稳宽带信号z(t)的频谱为：

(4)

上式说明，Z(f)可由S(f)通过定量递归分析得到，而H(f)为奇对称的阶跃式传输函数，为：

(5)

设有M个全方向性攻击的链路动态攻击信号，一个攻击信号Ac和P个干扰信号以θ0,θ1,…,θP的角度进行重构收缩，计算时频分布下的攻击波束域的信号特征和干扰子空间[9]，对链路漏洞数据进行双曲调频分解，得到接收到的信号模型为：

(6)

采用混叠谱模糊度函数分析频谱特征，如果将ωk按照vk和ek的组成原则进行双曲调频分解，得到网络攻击的瞬时频率和群延迟特征分布为：

(7)

通常情况下，网络攻击信号是时变非平稳的，在非平稳时变网络攻击非平稳宽带信号分析中，瞬时物理量起着重要的作用，令q为多项式的阶数，满足的条件是：q≥p，利用Gabor函数的平均测度这一特征向量[10]，得到网络攻击非平稳宽带时变瞬时频率估计为：

(8)

式中，φ(t)为均匀采样的频谱均值，ck为瞬时频率的时间平均，τ为时间采样步长(相当于Δt)，bk是平均频率。当权系数满足b0=0时，网络攻击非平稳宽带信号谱的平均频率等于瞬时频率的时间平均，构建网络攻击信号的数学模型，为后续的网络攻击检测提供信源基础。

1.2 网络攻击非平稳宽带信号的时频特征提取

(9)

在色噪声背景中，采用双线性Hough变换得到网络攻击的非平稳宽带链路层信息矢量为：

z(t)=s(t)+jx(t)

(10)

其中，将所有数据量合并得到一个总的数据流，进行时频对偶变化，计算网络攻击信号的时频特征，得到瞬时频率的估计为：

(11)

若网络攻击非平稳宽带信号分量的瞬时频率有交点，采用双线性Hough变换法分析频谱特征，以时间坐标轴的中点为中心，选取适当的邻域，得到攻击序列的频谱畸变部分估计为：

(12)

对相干点积进行功率累积，若网络攻击非平稳宽带信号瞬时频率的交点在时频平面的边缘部分，时频平面分离中把时间中点邻域范围内的网络攻击非平稳宽带信号的时频分类置零，通过任意一部分的瞬时频率估计线性拟合整个网络攻击非平稳宽带信号的瞬时频率估计值，得到网络攻击信号的瞬时频率估计结果为：

(13)

通过上述处理，实现对网络攻击信号的时频特征提取，以瞬时频率估计结果作为时频特征，进行网络攻击检测，时频特征提取算法实现过程如图1所示。

图1 网络攻击信号的时频特征提取瞬时频率估计算法

2 检测算法实现

在上述进行信号模型构建和网络攻击非平稳宽带信号的时频特征提取的基础上，进行攻击检测算法改进设计实现。分析可见，传统方法采用傅里叶变换方法进行网络攻击的非平稳信号检测，由于傅里叶变换的时变性会引起较大的包络振荡，检测性能不好。为了克服传统算法的弊端和缺陷，本文提出一种基于非平稳信号时频分析的网络攻击检测算法。提取网络攻击非平稳宽带信号的时频特征，采用WVD-Hough这一改进的时频变换实现对网络攻击非平稳宽带信号的时频聚集，考虑一种简单的时频特征匹配滤波器传输函数：

(14)

假设网络攻击信号的干扰特征n(k)的实部nr(k)和虚部ni(k)分别为独立的色噪声，以此为前提进行滤波检测，去除攻击信号的干扰成分，提高信号的纯度，采用Hough变换单谱脉冲响应检测方法，匹配滤波频率为：

(15)

当a变化时，瞬时频率估计也随之变化；当r→1时攻击信号瞬时频率估计的带宽减小。由于噪声本身及噪声和网络攻击非平稳宽带信号之间产生的交叉项都很大，会对检测结果产生较大影响，本文采用非平稳信号时频分析方法，为对于LFM网络攻击非平稳宽带信号来说，WVD的时频聚集性最好[11]，在理想条件下，通过时频特征聚焦，得到频谱检测概率表示为：

(16)

根据频谱检测信道衰落因子，设计色噪声背景下的时频特征的频谱融合准则，通过点的累积得到的网络攻击非平稳宽带信号的检测结果，使检测的攻击信号特征分解多个窄带信号，信号的频谱分解为：

(17)

其中，SNRi表示信噪比参量，对于较小的瞬时频率变化(|x-y|≤Δ)代价函数为0，采用本文方法去掉由于噪声产生的包络振荡，采用Hough变换单谱脉冲响应检测方法，在相同的信噪比条件下，对网络攻击非平稳宽带信号分别进行WVD-Viterbi、SPWVD-Viterbi时频分析处理，把所有时刻点的WVD值WVD(n,ω)按聚焦强度的顺序进行重新排列，当M为网络攻击非平稳宽带信号频率点数，则f(x)的形式定义为：

f(WVD(n,ωj))=j-1

(18)

通过瞬时频率估计计算传输信噪比分配可信度，非平稳时频特征的单谱脉冲响幅频响应的传输函数为：

(19)

确定每个攻击时间点的所有频率点，得到攻击信号频谱检测虚警概率为：

(20)

经过上述算法设计，通过k次分解后，实现对网络攻击信号的有效检测，改进算法的运算流程如图2所示。

图2 改进的WVD-Hough时频分析攻击检测算法流程

3 仿真实验与性能分析

为了测试本文的网络攻击检测算法在进行网络攻击信号检测中的性能，进行仿真实验，采用了DARPA2014网络病毒数据库作为网络攻击的数据时间采样样本，攻击信号的采样基于开源D-TIG 2.4.4发生器进行信号采集。仿真参数设置如下：LFM网络攻击非平稳宽带信号的参数分别为：归一化初始频率f1=0.3，归一化终止频率f2=0.05。在复杂环境干扰下，进行网络攻击检测实验仿真，假设干扰背景为色噪声背景，SNR分别为SNR=-5 dB和SNR=-8 dB，在上述两个干扰强度条件下，对网络攻击非平稳宽带信号进行本文设计的攻击检测算法处理，网络数据的正常样本数选择为1024，网络数据调度次数为1267。基于上述仿真环境和参数设定，首先进行网络攻击信号的时间序列信息模型构建，得到攻击信号样本的时间序列波形如图3所示。

图3 攻击信号样本的时间序列波形

从图3可见，原始的攻击信号样本受到噪声背景的干扰，难以有效检测和识别。采用传统的防火墙无法进行有效的防御，造成病毒入侵。采用本文方法进行时频分析，提取网络攻击非平稳宽带信号的时频特征，采用WVD-Hough这一典型的时频变换实现对网络攻击非平稳宽带信号的时频聚集，得到采用本文设计的WVD-Hough时频分析频谱聚焦结果和传统的时频谱聚焦结果如图4所示。从图可见，采用本文算法，能有效实现对网络攻击信号的时频聚集，去除背景干扰，实现对网络攻击非平稳信号的有效检测。

(a) 传统方法

(b) 本文方法图4 网络攻击信号的时频分析聚焦性能对比

不同方法下对网络攻击的检测性能，采用本文方法和传统方法，在不同信噪比下采用2000次Monte Carlo实验。

表1和表2中的数据详细描述了传统DOA方法和本文提出的方法在网络攻击检测性能上的对比，其中表1中描述的是SNR=-5 dB情况下的实验数据，表2中描述的是SNR=-8 dB情况下的实验数据。

表1 SNR=-5 dB检测性能比较

表2 SNR=-8 dB检测性能比较

通过表1和表2中数据可以清晰看出，无论是SNR=-5 dB，还是SNR=-8 dB情况下，本文提出的检测方法在网络攻击检测中，相比传统DOA方法，显著提高了攻击信号检测的准确率，有效降低了误检率。说明该方法能够有效地识别和检测到网络攻击中高度隐蔽的攻击信号，检测性能更加稳定，很好地提高了攻击信号检测性能。

4 结 语

网络安全事关重大，需要对网络攻击进行主动积极的检测，提高网络安全的防范能力。本文提出一种基于非平稳信号时频分析的网络攻击检测算法，首先构建了复杂干扰环境下的网络攻击信号模型，提取网络攻击非平稳宽带信号的时频特征，采用WVD-Hough这一改进的时频变换实现对网络攻击非平稳宽带信号的时频聚集，在检测终端输出检测结果。仿真实验表明，采用本文算法进行网络攻击检测，具有较好的检测性能，准确检测概率较高，展示了较好的应用价值。

[1] 王进,阳小龙,隆克平.基于大偏差统计模型的Http-Flood DDoS检测机制及性能分析[J].软件学报,2012,23(5):1272-1280.

[2] 张永铮,肖军,云晓春,等.DDoS攻击检测和控制[J].软件学报,2012,23(8):2058-2072.

[3] 王睿.一种基于回溯的Web上应用层DDOS检测防范机制[J].计算机科学,2013,40(11A):175-177.

[4] 夏秦，王志文，卢柯.入侵检测系统利用信息熵检测网络攻击的方法[J].西安交通大学学报,2013,47(2):14-19,46.

[5] 章武媚,陈庆章.引入偏移量递阶控制的网络入侵HHT检测算法[J].计算机科学,2014,41(12):107-111.

[6] 周华,周海军,马建锋.基于博弈论的入侵容忍系统安全性分析模型[J].电子与信息学报,2013,35(8):1933-1939.

[7] 陈卓,谭志欢.无线传感器网络中基于路径序列检测的安全机制[J].计算机应用,2015,35(3):732-735,740.

[8] Mishra B K,Ansari G M.Differential epidemic model of virus and worms in computer network[J].International Journal of Network Security,2012,14(3):149-155.

[9] 代伟,刘智,刘益和.基于地址完整性检查的函数指针攻击检测[J].计算机应用,2015,35(2):424-429.

[10] 王秀利,王永吉.基于命令紧密度的用户伪装入侵检测方法[J].电子学报,2014,42(6):1225-1229.

[11] 侯佳音，史淳樵.网络信息安全问题研究及防护策略设计与研究[J].电子设计工程,2015,23(22):158-160,164.

NETWORK ATTACK DETECTION ALGORITHM BASED ONTIME-FREQUENCY ANALYSIS OF NON-STATIONARY SIGNAL

Zhu Yadong1Gao Cuifang2

1(InformationCenter,JiangsuUnionTechnicalInstitute，Nanjing211135,Jiangsu,China)2(SchoolofScience,JiangnanUniversity，Wuxi214122,Jiangsu，China)

In complex network environment,the network attack characteristic information is usually expressed as a set of non-stationary broadband signal,which guarantees the network security through the signal detection method to achieve the network attack detection.In the traditional method,the Fourier transform method is used to detect the non-stationary signal of the network attack,and the detection performance is not good because of the large envelope oscillation caused by Fourier transform.Thus,a network attack detection algorithm based on the time-frequency analysis of non-stationary signal is proposed.A network attack signal model in complex interference environment is constructed to extract the time-frequency characteristics when network attacks non stationary wideband signal,adopting the WVD-Hough transform frequency to realize the time-frequency gathering when network attack non stationary wideband signal and using aliasing ambiguity spectrum function to analyze spectrum feature to get the instantaneous frequency estimation results of network attack signal and design match filtering algorithm for anti-jamming design of the signal and the final output test results.Simulation experiments show that the algorithm is used to detect the network attacks,the accuracy of the detection is higher and the detection performance is superior.

Network attack Signal detection Time frequency analysis Frequency estimation

2015-10-26。国家自然科学基金青年

61402202)。朱亚东，副教授，主研领域：计算机网络，信息安全。高翠芳,副教授。

TP311.52

A

10.3969/j.issn.1000-386x.2017.03.048