无线多跳网络多维异常数据动态隔离仿真
2021-11-17李静
李 静
(河南大学濮阳工学院,河南 濮阳 457000)
1 引言
无线多跳网络作为一种可以动态的持续扩张的网络构架,可以完成处于不同区域无线设备间的数据传输,现已经成为了人们日常生活的重要基础设施。它作为人类社会所有活动的基础性、全局性数字平台,发挥着前所未有的重要性。随着网民数量日益增加,信息量的增加,对网络安全要求也与日俱增,但是部分漏洞会使得网络安全保护变得特别复杂,其中以多维异常数据最为困难,对此国内外学者提出了以下几种解决方法。
文献[1]首先构建无线多跳网络数据分布模型,从而得到多维异常数据分布状况,然后经过关联规则挖掘算法得到其相似度,凭借相似度对隶属度进行估算。最后结合模糊集合理论获得一种改进的关联聚类算法,通过该算法对多维异常数据进行隔离处理。但是该方法中,需要通过关联规则来获取所有多维异常数据的相似度,这就导致在找寻异常数据相似度时,无法同时进行下一步工作,使得整体效率变慢。文献[2]首先使用寄存器对异常状况进行编码优化处理,再在计算浮点函数的过程内,通过几种计算方法对核心运算隔离,然后对异常数据进行分段式处理,最后融合基础数字函数算法的优点,以最小的误差幂计算与求和为基础,实现适用于多维异常数据隔离。但是该方法需要对数据进行大量的计算和重新编码,这就导致其容易出现数据丢失问题。文献[3]首先使用SPRT算法对网络滤波残差进行异常检测,在确定异常部分后测量隔离异常尺寸,然后重新构建卡尔曼滤波观测方程并完成量测数据更新,最后将滤波结果当做下一次的滤波初值,通过该值来隔离多维异常数据。但是该方法需要对异常数据滤波,并测量其尺寸,这个过程可能会导致在对异常数据进行隔离时,有一定几率会将正常数据也一并进行隔离。
针对上述问题,本文提出了一种无线多跳网络多维异常数据动态隔离,该方法通过相似度统计算法提取出完整的多维异常数据特征,然后经过当前的网络拓扑构架找到开断开关,切断异常数据的节点,从而达到将多维异常数据隔离的目的,通过对比实验验证此方法的有效性。
2 无线多跳网络多维异常数据动态隔离
2.1 基于相似度统计的异常检测算法
针对多维异常数据检测来说,需要经过收集实况数据来得到初始数据,同时进行分析获得所有特征的分布情况,本文的特征提取能够在IP/TCP协议的不同阶层进行操作,例如:协议类型、TCP包头里的源、指定IP源,指定目标的端口等。利用特征的分布情况拟定标准的运转模型[4],把实况内的特征分布和正常数据进行对比,发现其数据与正常数据之间存在较大差距时,则能够怀疑其是多维异常数据,在经过接下来的跟踪分析确保多维异常情况。
为了在无线多跳网络中发现多维异常状态,本文经过分析大流量对象的动态情况来评测是否出现网络多维异常情况。本文拟定的是含有一定规模的多维异常模型,即经过多维异常在收集样本[5]时间内,其所接收的数据能够进入至监控范围中的全部对象流量排名的前N位。所以就只检测排在前N位的目标,检测目标的测评标准为通过源/目的IP地址,源/目的的端口、数据包与协议大小等信息。
为了方便表达,只使用相似度的标准来设计其相邻时间内的高频统计结果的相似度。维n变量X和Y的类似度定义如下所示
(1)
类似度r含有以下性质:
1)r≤1。
2)r=1的关键条件为P(Y=a+bX)=1,其中a,b代表常数。
通过上述1)、2)能够看出,r越靠近1,X和Y越含有线性关系。而r的绝对值为1时,其Y与X中则具有着线性关系[6]。X与Y之间的关联系数r代表刻画Y和X内线性关系的关联程度特征数字。类似度的特征可以用来评测两个样本内的具体情况,通过比对相似度的变化情况,就可以找出多维异常数据。
对一次多维异常过程中收集的样本时间段,利用估算获得其相似度序列,并进行分析之后发现,其多维异常数据在影响正常数据之前时,相似度都处于一种稳定的、水平较高情况下,在异常开始之后,因为受到影响,网络流量会出现很大程度的增加,导致进入排名之前N位,或者是开始时就处于排名前的N位,由于流量的增加而致使排名提高,都会将相似度的值下降到很低的程度,而之后的若干时间中,因为一直在被多维异常数据攻击,受到干扰的网络流量还是会在排名前N位中的临近位置,同时相似度的值又将强制提高至较高的水平,直到多维异常数据干扰结束,这时因为受到干扰,网络流量[7]将大幅度减少,致使类似度产生大幅度下降,然后又回转到了受异常干扰的状态。
凭借上述分析,拟定ti,ti+1,…,tn时刻(i 受异常影响开始时相似度的下降阶段:其关键是ri-ri+1>α; 受异常印象结束时相似度的上升阶段:其关键是rk-ri+1>β,其中k为大于i+1的某种标准值; 受异常持续影响时相似度的值回归到稳定状态阶段:其关键是|rj+1-rj|<ε,其中k+1 上述条件内所有参数的解释:α代表实现确准的相似度下降阈值,β代表事先确准的累速度上升阈值,ε代表受异常影响时的阈值稳定情况。 若tn时刻在满足储存的相似度序列上述条件,则tn就是可疑点。同时需要注意其中的上升阶段使用第k点与第i+1点进行较比,这时因为异常影响开始的时候不会直接进入稳定状态,所以相似度上升也不会非常快,因此这里跳过k-i+1个时刻。 无线多跳网络中拥有数据传输量庞大、数据传输效率高以及传输时延短等特点。在提取特征的时,不直接进行提取,而是通过传输特性对其实行异常实时检测,因此,能够采用实时反馈方法来对无线多跳网络的多维异常数据进行检测。具体过程如下:1)信息粗过滤[8]:在找出多维异常数据时,能够不关注其总体特征,只是获取一小部分特征,根据该部分的特征对数据进行粗过滤。2)反馈的异常特征:采用粗过滤方式来获取信息,需要收集更多特征,把提取的特征与起始的特征进行融合从而形成一个完整的特征,将其返还至过滤系统,以此进行更加精准的过滤。3)重复上述流程,直到没有能够提取的特征为止,使获得的特征更加完整。若存在多维异常数据,首先是无线多跳网络里的ICMP出现影响,于是信息粗过滤会将ICMP进行分析,进而得出ICMP的尺寸大部分都是93,于是将这些信息返还至粗过滤系统,将所有尺寸是93的数据进行分析,从而发现这些数据包[9]多部分都属于Request包,也重新将这些数据信息返还至粗过滤系统,接下来通过信息粗过滤分析尺寸是93的ICMP的Request包,反复其过程,直至发现多维异常的全部特征为止,下列为具体过程。 1)尺寸有限队列特征提取 尺寸有限序列反应的为指定尺寸数据包种的多维异常合集特征,而当无线多跳网络中某个数据包的尺寸突然提升时,就将这些数据包的尺寸当做一种特征融入至敏感序列中,一旦这些特征到达了一定的阈值,分析序列就能将这些尺寸特征转移到警戒序列。 其尺寸有限序列的主要特征是分析多维异常数据包,具体有以下几个步骤: ①数据包的协议类型 在一个分析周期的时间段内,使用上述标准尺寸的数据类型作为记录,假如pi(i=1…255)就是协议类型为i的数据包占的百分比,得到协议类型为I并使p1=max(pi)成立。 ②数据包的源和指定端口 凭借上述协议种类的分析,I代表TCP或者UDP,那么对该尺寸种类是I的数据包记录端口信息。si(i=1…65535)与di(j=1…65535)分别代表目标端口i与初始端口j的数据包所使用的百分比。分别取I,J使得si=max(si)dj=max(dj)(i,j=1…65535)。拟定阈值P,假如s1>P判定初始端口是I,Dj>P的目标端口是J。即两种都不满足,说明该多维异常是特征的端口。 ③数据包中的多维异常特征 凭借上述理论,处理数据包中的内容。为了提高处理的速度,从整体上考虑数据包的内容。 设定:数据包的尺寸是l,data0,data1,…datal-1分别代表字节值出现最多的频率,p0,p1…pl-1代表这些值在对应的节点中出现的频率。 分别估算出p0,p1…pl-1的方差E(p)与均值D(p) (2) 凭借E(p)与D(p)的值,拟定合适的阈值,以此判断数据包中是否出现了多维异常的状态。 经过上述过程获得多维异常所在的线路区段特征信息,但是要想隔离多维异常还要找出能够开断的开关,因为无线多跳网络运行轨道为DG多边形[10],每次隔离同样的多维异常区域所使用的开断开关可能都是不同的。所以,完整的无线多跳网络多维异常隔离算法,在判断出多维异常区域的基础上,必须可以融合当前的网络拓扑构架来判定需要开断的开关。 多维异常隔离算法也是经过合集运算的方法实现,首先拟定一种一维矩阵F,用在储存Fault合集内的异常区域标号。C1代表和异常区域正前方直接连通的节点集合、C2代表和异常区域反方向直接连通的节点集合、C3代表出现过的网络数据节点集合,表达公式别分为 C1=Dcolpos(Drowpos(f(i))(i)) (3) C2=Dcolrev(Drowrev(f(i))(i)) (4) C=Growpos∪Growrev (5) 那么开断开关的合集Cut是 Cut=(C1∪C2)∩C3 (6) 同理,拟定M1,M2代表异常点,那么 F=[1,11] (7) C1={1,11},C2={2,6} (8) C3={1,2,3,4,5,7,10,11} (9) Cut=(C1∪C2)∩C3={1,2,11} (10) 如果上述的结果正确,开断开关K1,K2,K11能够快速的切断多维异常。 在进行多维异常定位时有可能出现异常信息错误,异常信息丢失或者通信系统异常等情况。所以,异常定位和隔离算法应该拥有一定的容错性[11],以应变对异常定位和隔离过程中可能发生的突发情况。在无线多跳网络的信息传输过程中,常见的问题可以分为信息错误与信息丢失两大类,下面将分别进行方法验证。 2.4.1 多维异常丢失 在某个网络节点的异常信息丢失时,在正向异常信息矩阵Gpos和反向异常信息矩阵Grev内,把该节点返回的信息拟定成1,之后通过正常流程进行多维异常定位。 若某种节点的异常信息丢失,拟定Gpos(3)=Grev(3)=1。 (11) (12) (13) (14) F1={2,3,4,10,9}F2={2,7} (15) F3={1,3}F4={1,2,3,4} (16) Fault=F-(F1∪F2)∩(F3∪F4)={1} (17) 同理:Cut=(C1∪C2)∩C3={1,2} 通过上述结论能够得知异常信息丢失时,本文方法也能通过相似度统计异常检测算法对丢失的信息进行定位,从而完成对多维异常的隔离,以减少异常数据丢失的情况。 2.4.2 异常信息错误 在无线多跳网络正常的状态下 (18) (19) 如果节点返回的信息是1,错误判断是0,返现异常信息矩阵更新如下所示 (20) (21) F1={2,3,10,9}F2={7} (22) F3={1}F4={1,2,4} (23) Fault=F-(F1∪F2)∩(F3∪F4)=〈1,4〉 (24) Cut=(C1∪C2)∩C3={1,2} (25) 通过上述能够看出,开断的异常开关序列不受信息错误的影响,即凭借开断开关的集合Cut对多维异常区间集合Fault进行修正,如果评测出的某个多维异常区域不是开断开关[12]相邻的区域,就认定为实际情况下,该区域是正常区域。 仿真环境为Intel Celeron Tulatin1GHz CPU和384MB SD内存的硬件环境和MATLAB6.1的软件环境。为了进一步证明本文方法对无线多跳网络多维异常数据隔离的性能,通过实际的实验对本文方法的性能进行验证。 为了验证多维异常数据隔离效果,需要进行实验,实验指标设定如下: 1) 多维数据受损率 通过比较数据受损率,分析不同方法下数据的受损率。数据受损率越高,数据隔离效果越差;反正,数据隔离效果越好。受损率计算公式为 Dr=Dn/Ds×100% (26) 其中,Dn代表受损数据量,Ds代表数据总量。 2)多维数据完整度 通过多维数据完整度对数据隔离效果进行验证。多维数据完整度越高,数据隔离效果越好;反正,数据隔离效果越差。完整度计算公式为 (27) 其中,Ld代表丢失数据。 3)多维异常数据吞吐率 多维异常数据吞吐率越高,单位时间内数据请求次数越多,证明数据传输效果越高,保护作用也就越好,多维异常数据的隔离效果也就越好;同样的,多维异常数据吞吐率越低,说明单位时间内数据请求次数越少,数据的保护作用也就越差,多维异常数据的隔离效果差。数据吞吐率Td计算公式为 Td=Dreqs/td (28) 其中,Dreqs代表数据请求量,td时间。 根据上述三个指标对本文方法的性能进行验证。 采用本文方法、文献[2]方法与文献[3]方法检测多维数据受损率,具体结果如图1所示。 图1 不同方法的多维数据受损率 分析图1可知,三种方法的多维数据受损率与数据量相关,当数据量为100MB时,本文方法数据受损率为0.05%,文献[2]方法数据受损率为0.6%,文献[3]方法数据受损率为0.9%;数据量增大到500MB时,三种方法的数据受损率都增大,文献[2]方法数据受损率为5.7%,文献[3]方法数据受损率为8.9%;本文方法数据受损率仅为0.21%,数据受损率在三种方法中最低,且不超过1%,数据隔离效果佳。 采用文献[2]方法、文献[3]方法与本文方法对多维异常数据隔离后,检测数据的完整度。结果见下表。 分析表1可知,不同方法在不同数据量下数据完整性不同。当数据量为5MB时,文献[2]方法数据完整度为98.6%,文献[3]方法数据完整度为97.9%,本文方法数据完整度99.8%,此时三种方法的数据完整性相差不大;当数据量提升到15MB时,文献[2]方法数据完整度为92.5%,文献[3]方法数据完整度为92.1%,本文方法数据完整度高达99.2%。说明本文方法拥有较好的数据数据隔离效果,同时不会因为数据量的增多,而隔离效果下降。 表1 不同方法的多维数据完整度 在上述实验基础上进行步对多维数据吞吐率进行对比,得到数据吞吐率结果如下。 分析图2可知,在不同下内数据吞吐量不同。当时间为1s时,文献[2]方法吞吐率为4×103reqs/s,文献[3]方法吞吐率为3×103reqs/s,本文方法吞吐率为8×103reqs/s。随着时间的增加,数据的吞吐率增大,当时间为6s时,文献[2]方法吞吐率为27×103reqs/s,文献[3]方法吞吐率为32×103reqs/s,本文方法吞吐率为132×103reqs/s,本文的吞吐率最大。这就说明本文方法对隔离多维异常数据较为深入,能够精准的定位多维异常数据并隔离开来,而传统方法会出现多维异常数据丢失的现象,导致后期会漏掉很多需要隔离的多维异常数据。 图2 不同方法的数据吞吐率 本文针对无线多跳网络无法有效的对多维异常数据进行隔离,提出了一种基于相似度统计的异常数据隔离算法。本文通过多维数据受损率、多维数据完整度及数据吞吐率三组实验对数据隔离效果进行验证,得出本文方法能够快速的隔离出多维异常数据的结论。同时,此方法下多维异常数据完整度高、数据吞吐率大,具有高效的数据传输效率,为网络安全奠定坚实基础。2.2 多维异常特征提取
2.3 含DG的无线多跳网络多维异常隔离算法
2.4 容错率性能验证
3 仿真证明
3.1 实验指标
3.2 多维数据受损率对比
3.3 多维数据完整度对比
3.4 数据吞吐率对比
4 结论