赵攀，江宇波，邱玲

（四川理工学院计算机学院，四川自贡643000）

一种新的网络攻击检测方法

赵攀，江宇波，邱玲

（四川理工学院计算机学院，四川自贡643000）

为了有效判断网络数据包是否存在被攻击的可能性，在以往的研究基础上提出了一种新的检测算法DMPSO。该算法根据数据包属性的离散度定义了状态检测指标，并利用粒子群优化方法给出了标准差分布的计算流程，以此判断数据包的异常状况。最后，进行仿真实验，对比了与其它算法之间的性能状况，结果表明DMPSO具有较好的适应性。

网络攻击；检测；变异算子；数据包；标准差；粒子群优化

引言

越来越多的网络攻击给用户带来了极大的安全隐患，如何有效地检测和防御攻击成为当前网络安全领域研究的热点和重点［1］。传统的网络攻击检测方法，主要集中在量化分析和数据统计方面，存在检测精度不高、检测方法单一等问题，正逐步显现其缺点和不足［2-4］。

粒子群优化（Particle Swarm Optimization，PSO）算法是一种基于群体智能的全局优化进化算法，广泛应用于函数寻优、神经网络训练、模式分类、模糊系统控制和工程应用领域［5］。传统的PSO算法在执行后期，所有粒子方向一致速度趋近于零，导致局部最优和出现过早收敛，进而使优化效果无法达到最佳。很多学者对此进行研究，取得了一些改进，但效果有限。文献［6］引入了基于遗传算法中基因突变的观点，保持粒子飞行的多样性，但这种突变是被动的，而且会以很高的概率再次被吸引回以前的最优解，效率低下。文献［7］提出了额外生成与迭代次数相同的粒子，利用适应度值保存粒子历史最优值。虽然也改善了粒子多样性，但这种方法以显著增加计算量和牺牲系统内存为代价。文献［8］基于随机系统的矩方程法来分析连续型PSO算法的均方收敛性，充分考虑了随机因素，给出了保证算法均方收敛域。文献［9］将自适应加速度系数调整策略引入到PSO中，以有效地控制全局和局部搜索，同时根据种群适应度方差对陷入早熟收敛的粒子进行混沌扰动，提高算法收敛的精度，但误报率有待进一步提高。

在上述研究的基础上，本文基于粒子群优化算法提出了一种新的检测方法，即结合变异算子来改进粒子群优化算法的缺陷，以此提高检测网络攻击的成功率。首先结合数据包属性的离散度给出了检测指标，同时通过获得数据包属性的标准差分布来判断是否存在被攻击的可能性。最后，进行仿真实验，对比研究了该算法与其它算法之间的性能状况。

1 网络攻击状态检测指标

将HTTP协议中数据包看作遵循一定标准的字符串，具有k个通用属性的数据域组成，令数据包Y＝［y1，y2，…，yk］，其中yk表示Data头部，主要包括Host地址、源端IP地址、目的端IP地址等。对于n个数据包的样本集合Z＝［Y1，Y2，…，Yn］，则可以表示为：

那么，这n个数据包第k个属性可采用序列Zk＝［y1k，y2k，…，ynk］表示。令第k个属性的离散度为β（Zk），则整个样本集合的离散度β（Z）为：

λ越大意味着该数据包与标准样本偏离越远，越有可能被攻击篡改信息。

2 算法描述

具体算法DMPSO（Detection Method based of Particle Swarm Optimization）如下所述：

（1）在开始时刻初始化网络参数，并确定粒子群规模n，产生粒子群的初始位置s（i，0）和初始速度v（i，0）。

（2）将待检测某数据包Y＝［y1，y2，…，yk］视作粒子i，判断当前粒子i的标准差λ是否小于阈值λmax，如果不满足则根据式（4）和式（5）所示的变异算子替换s（i，0），否则保持不变。

其中，s（max，t）和s（min，t）分别为粒子位置s（i，t）的边界，φ为变异分布指数，rand（）为（0，1）之间的随机数。

（3）按照式（5）所示的适应度函数计算粒子i的适应值f（λ），并将粒子i的最佳位置sopt确定为当前位置，同时暂时令sopt为种群的最佳位置s。

（4）根据当前最佳位置sopt，结合式（6）和式（7）更新粒子的位置和速度，

其中，η为状态更新参数，η＞0。

（5）如果粒子i的标准差λ小于阈值λmax则跳转到步骤（6），否则以s（i，t）作为初始点，采用变异算子计算的结果替换s（i，t），并重新计算其适应度。

（6）判断粒子i的适应度是否优于sopt的适应度，如果是则令sopt为粒子i的适应值。

（7）判断粒子i的适应度是否优于s的适应度，如果是则令s为粒子i的适应值。

（8）输出当前粒子的标准差λ（i），并令i＝i＋1，跳转到步骤（2）重复计算，直至获得所有粒子标准差分布λ＝［λ（1），λ（2），…，λ（k）］，同时判断每个λ（i）是否超出规定阈值，如果超出在存在被攻击的可能性。

（9）算法结束。

3 仿真实验

针对上述改进的DMPSO算法，本文利用OPNET和MATLAB进行仿真实验来验证其有效性。这里基于OPNET建立如图1所示的仿真拓扑结构，其网络参数设置为：每个数据包大小为512 b，链路带宽为20 M，每个网络节点缓冲区为1024 Kb，延时10 ms。其中，节点S作为数据源端（IP地址设为192.168.0.1），节点D作为数据接收端（IP地址设为192.168.0.100），节点f为攻击源（IP地址设为192.168.0.2），不定期向网络中发动攻击（包括DoS、Probe、R2L和U2R等），其余为中转节点（从节点a到节点g的IP地址分别设为192.168.0.3到192.168.0.9）。设置粒子群规模n＝100，变异分布指数φ＝0.5，状态更新参数η＝2。令节点S处每秒发送1000个数据包到节点D，每个数据包Y＝［y1，y2，y3］，其中，y1表示数据包长度，y2表示数据包时间戳，y3表示数据包源端地址。在节点D处设置监听，收集从节点S发送的数据包并进行状态分析，令节点f发动DoS攻击。

将DMPSO算法、DMCM算法、文献［10］提出的IHMM算法以及节点D处实际监听的结果进行对比，图2显示了其数据包长度检测的情况。从图2可以看出，DMPSO算法检测的数据包长度状态y1与节点D处实际监听结合比较接近，其次是DMCM算法。对检测数据进行数据分析，DMPSO、DMCM、IHMM与实际结果的误差分别为：3.62%、5.05%和8.28%。

其次，图3给出了在上述仿真环境下，DMPSO、DMCM和IHMM这三种算法的数据包长度标准差λ变化情况。从图3可以看出，在实验进入平稳过程后（仿真时间15 s后），DMPSO所对应曲线的标准差小于其余两种算法。并且从标准差的抖动情况来看，DMPSO也趋于稳定，而IHMM对应曲线的抖动较大。

表1给出了当节点f分别发动DoS、Probe、R2L和U2R攻击下，DMPSO、DMCM和IHMM算法的检测成功率、漏报率以及误报率对比情况。从表1可以看出，本文改进的DMPSO算法性能较DMCM和RETMMAD算法有了明显的提高。

4 结束语

为了有效判断网络是否存在被攻击现象，本文在以往研究的基础上利用粒子群优化算法提出了一种新的检测算法DMPSO。首先该算法结合数据包属性的离散度和标准差定义了数据包样本判别指标，同时基于粒子群优化算法给出了其标准差分布的计算流程。最后，通过仿真实验对比研究了该算法与DMCM算法、IHMM算法在不同攻击种类下的性能状况，结果发现DMPSO具有较好的适应性。在后续研究中，可以考虑结合多种网络环境来建立诸如DoS、Probe、R2L和U2R等各类攻击的检测方法，以此建立完善的评价体系结构。

［1］Wang W,Daniels E.A graph based approach toward network forensics analysis［J］.ACM Transactions on Information and System Security,2008,12（1）：1-33.

［2］Claudno E C,Abaelouahab z,Teixeira M M.Management and integration of information in intrusion detection system：data integration system for IDS based multi-agent systems［C］//Proceeding of 2006 IEEE/W IC/ACM International Conferences on Web Intelligence and Intelligent Agent Technology Workshops,Hong Kong,December 18-22,2006：49-52.

［3］全亮亮,吴卫东.基于支持向量机和贝叶斯分类的异常检测模型［J］.计算机应用,2012,32（6）：1632-1635.

［4］周东清,张海峰,张绍武,等.基于HMM的分布式拒绝服务攻击检测方法［J］.计算机研究与发展,2005, 42（9）：1594-1599.

［5］Yamille D V,Ganesh K V.Particle swarm optimization：basic concepts,variants and applications in power systems［J］.IEEE Transactions on Evolutionary Computation,2008,12（2）：171-195.

［6］Asanga R,Samna K H.Self-organizing hierarchical particle swarm optimizer w ith time-varying acceleration coefficients［J］.IEEE Transactions on Evolutionary Computation,2004,8（3）：240-255.

［7］师彪,李郁侠.基于改进粒子群-模糊神经网络的短期电力负荷预测［J］.系统工程理论与实践,2010,30（1）：157-166.

［8］罗金炎.连续型粒子群优化算法的均方收敛性分析［J］.电子学报,2012,40（7）：1364-1367.

［9］孙勇,章卫国,章萌,等.基于改进粒子群算法的飞行控制器参数寻优［J］.系统仿真学报,2010,22（5）：1222-1225.

［10］杨晓峰,孙明明,胡雪蕾,等.基于改进隐马尔可夫模型的网络攻击检测方法［J］.通信学报,2010,31（3）：95-101.

A New Detection Method of Network Attacks

ZHAO Pan，JIANG Yubo，QIU Ling（School of Computer Science，Sichuan University of Science＆Engineering，Zigong 643000，China）

In order to effectively determine the possibility of attacks for network data packets，a new detection algorithm DMPSO（Detection Method based of Particle Swarm Optimization）is proposed based previous studies.The state indicators are defined with the discreteness of packet characteristic in this algorithm，and the calculation process of standard deviation distribution is presented to judge the anomaly of packet by particle swarm optimization.Finally，a simulation is conducted. Compared to the performances of other algorithms，the results show that DMPSO has better adaptability.

cyber attack；detection；mutation operator；date packet；standard deviation；particle swarm optimization

TP393

A

1673-1549（2014）04-0021-04

10.11863／j.suse.2014.04.06

2014-05-04

四川省教育厅重点项目（13ZA0118）；人工智能四川省重点实验室开放基金项目（2012RYY02）；四川理工学院培育项目（2012PY13）；企业信息化与物联网检测技术四川省高校重点实验室项目（2013WYJ01）

赵攀（1976-），男，四川自贡人，副教授，硕士，主要从事计算机网络通信与数据处理方面的研究，（E-mail）zhaopan827＠gmail.com