王金焱

( 安徽工业经济职业技术学院，安徽 合肥 230051)

由于大量计算机业务具有多样化的特点，而异构无线网络允许用户根据自身喜好对网络进行任意切换.用户可以主动进行网络切换操作，虽然这样使用户的选择更加多样化，但是也由此产生了大量的网络攻击行为与入侵模式，影响网络的安全性[1,2].在此背景下，计算机取证的作用越来越重要.通过计算机取证可以有效挖掘出与计算机相关的犯罪案例，从而保障计算机运行与用户使用安全[3,4].

目前，常用的入侵取证方法主要有网络入侵节点的盲取证技术[5]、基于信息增益与主成分分析的网络入侵检测方法[6]、基于分布式及协同式网络入侵检测技术[7]以及基于KELM选择性集成的复杂网络环境入侵检测方法[8]等.文献[5]方法通过建立分组链路转发模型提取网络入侵特征，并对特征量进行盲定位.在此基础上，运用模糊决策方法提取判决统计量，实现对网络入侵的准确定位和盲取证.文献[6]方法将信息增益方法和主成分分析方法进行结合，对分类能力较强的入侵属性特征进行提取，并采用PCA方法对提取结果进行降维处理，从而实现入侵类型的分类与检测.由于计算机犯罪手段具有专业性，在入侵过程中会将证据进行删除或者篡改，不利于入侵取证，虽然上述现有方法可以实现对入侵行为的取证，但是取证过程会消耗大量的时间，并且取证结果可靠性不佳.

针对现有方法存在的问题，提出异构无线网络环境下大规模入侵动态取证方法.为了实现对计算机犯罪行为相关证据的提取，实施计算机入侵取证.计算机取证主要包括静态和动态取证两种方法，其中，静态取证方法由于采集的证据量有限，并且存在不及时的问题，会导致得到的证据不准确.而动态取证方法能够实现网络入侵与计算机犯罪证据的同时提取，因此，采用动态取证方法对大规模网络证据进行取证.经实验验证，该方法可实现高效率和高准确率的入侵行为动态取证.

1 入侵特征预处理

由于入侵信息具有一定的特征，而部分特征会对入侵特征属性分类造成影响，因此，需要对入侵特征属性进行分类.并在属性分类的基础上，识别入侵模式，从而达到精简入侵属性的目的.

1.1 入侵特征属性分类

属性特征分类是指在特征集中选择有效的特征属性，以此来降低属性特征的维度.目前，常用的属性特征分类方法主要有遗传算法与模拟退火算法，前者主要利用现有评价标准评价属性特征子集，后者运用分类器算法评价属性特征子集，评价指标包括分类正确率和错误率.相比较之下，模拟退火算法能够找出适应异构无线网络环境多变性的入侵特征属性，因此，选用该算法进行入侵特征属性分类[9,10].

通常情况下，可以将属性不同的特征属性分配到任意分类中，但是由于在实际特征挖掘过程中，部分属性特征会出现模糊的现象，因此，需要将数据概化，从而实现对部分含义较为清楚的属性进行最优分类[11].选择一个特征子集，并将子集中的属性样本分为k组，针对k组样本有n种属性划分的方式，选择其中特征最为明显的部分，作为判定分类的指标.

假设k组样本中有X维的样本，样本集合为X={x1,x2,...,xi}，假设集合中的样本数据量为G，则该样本集合中的有序列样本可以表达为：

(1)

(2)

其中，m表示样本向量的维数.

结合公式(1)和公式(2)，将k组样本划分为l个属性，则属性划分的第一个种类为(li1,li1+1,li2-1)，第二个种类为{li2,li2+1,li3-1}，按照此规律进行划分，第f个种类为{lif,lif+1,ln-1}，其中i1

确定属性样本的取值范围之后，可以确定属性样本之间的取值向量为一个定值，那么则可以在进行属性最优划分时计算出划分误差函数：

(3)

其中，J表示回归系数；θ表示误差项.

根据划分误差函数，进一步获取剔除了误差项的入侵属性特征：

P′=W-T(xj-θ)

(4)

其中，W表示入侵属性总量；xj表示模糊属性；T表示划分用时.联立上述公式，得到入侵特征属性分类结果：

E=D(xi)-(P-P′)

(5)

通过上述分析实现对部分模糊属性的剔除，尽可能达到减少属性类型的目标，使属性得到约简，为缩短大规模入侵动态取证用时提供基础.

1.2 入侵模式识别

基于入侵特征属性分类结果，通过构建入侵攻击空间库的形式对入侵模式进行识别.在入侵模式空间中，根据先验知识判断入侵行为模型是否符合先验条件，如果符合条件可以进行下一步骤.获取空间库正常运行的行为模式，并根据空间库的功能判断正常行为模式和入侵行为模式，在此过程中，记录入侵行为模式的入侵路径，并根据路径信息进一步判断入侵模式[12]，将判断结果返回至空间库中，实现对大规模入侵模式的识别.具体的识别流程如图1所示.

图1 入侵模式识别流程图

2 基于改进信息增益算法的取证模型构建

由于现有方法通常采用信息增益算法对入侵特征进行取证，该方法虽然能够实现入侵取证，但是特征子集中存在的冗余特征会对取证结果的准确性造成影响.为此，对信息增益算法进行改进，充分考虑大规模入侵的特征冗余度，并对冗余特征进行删除，以此来确保入侵取证结果的精准性.

为避免因特征数据分布过于分散造成的计算结果误差较大的问题，运用极差变换法对分散特征数据进行变换，具体过程为：

(6)

其中，C表示分散特征数据样本集合；S表示分散特征数据总量；Δs表示动态分散数据；Δs′表示静态分散数据；sij表示分散程度.

假设入侵特征属性本身具有相同的特征值，那么定义不同种类的特征属性，并从中抽取任意样本属性数据Cij，则通过公式(7)计算样本属性数据的期望值为：

(7)

其中，pi表示任意一个样本属于C的概率.

根据样本属性数据的期望值，采用改进信息增益算法构建取证模型，运用该模型对不同的入侵特征进行冗余约简，实现对大规模入侵信息的动态取证.

设入侵属性Z具有不同的期望值，那么将Z的期望值分成子集合Z={z1,z2,...,zn}，其中，zn包含某些冗余特征，那么样本具有一定的冗余入侵模式.此时，设Q为样本范例，对其冗余特征属性进行样本测试，则有：

(8)

其中，∂表示zn中的样本属于C的整体概率.

通过公式(8)可以计算某个子集的权值.并且可以证明在计算后得到的样本值越小，子集划分的精准度越高.

对某个属性进行数据分析，便可以得到该子集的信息增益为：

(9)

其中，E(A)表示属性计算后得到的取值，其可以用来进行数据期望压缩，从而实现对入侵特征的冗余约简.

3 实验验证

为了验证所设计异构无线网络环境下大规模入侵动态取证方法的有效性，进行仿真实验验证.实验以网络入侵节点的盲取证技术(文献[5]方法)基于信息增益与主成分分析的网络入侵检测方法(文献[6]方法)和基于分布式及协同式网络入侵检测技术(文献[7]方法)与本文设计方法进行对比，验证不同方法的取证效果.

3.1 实验数据来源与环境设计

实验在Windows 10 操作系统，Genuine Intel(R)CPU，1.73 GHz，32 GB内存的运行环境下进行.实验数据集来自于DARPA98数据集，该数据集中包含大量不同类型的攻击数据，选取其中的4种攻击类型进行大规模入侵，具体的攻击参数见表1.

表1 攻击数据参数

图2 不同方法取证时间对比

3.2 实验结果与分析

由于在异构无线网络环境中，入侵信息具有规模较大和数量较多的特点，快速取证具有十分重要的意义.因此，选取取证用时作为实验指标，对比不同方法的取证效率，结果如图2所示.

图3 不同方法取证结果准确率对比

分析图2可知，采用不同方法进行大规模入侵取证时，在取证前期用时相对比较稳定，当攻击数据量大于7000个时，取证用时出现波动，基本上呈上升的趋势，这是由于数据量的增加会给入侵取证带来一定的难度，会消耗更多的时间.对比不同方法可得，本文设计方法的取证用时低于现有方法，其取证用时始终低于2.5 s，说明该方法的取证效率更高.因为该方法采用模拟退火算法对部分模糊属性进行了剔除，使属性类型得到了缩减，为缩短大规模入侵动态取证用时提供了基础.

入侵取证准确性影响后续计算机犯罪行为相关证据的提取效果，因此，以取证结果准确率为指标，对比不同方法的取证效果，结果如图3所示.分析图3可知，采用不同方法进行入侵取证时，所设计方法的取证结果准确率明显高于现有方法，其取证准确率最高值可达68%，而文献[5]方法的取证准确率最高值为35%，文献[6]方法的取证准确率最高值为40%，文献[7]方法的取证准确率最高值为45%，通过上述数据可知，本文设计方法的入侵取证结果更可靠.这是由于该方法采用改进信息增益算法构建取证模型，通过该模型对不同的入侵模式进行了冗余约简，降低了冗余入侵特征对取证结果的影响，从而实现对大规模入侵信息的准确取证.

4 结 论

在面向大规模入侵数据时，针对现有方法存在的入侵取证结果准确性不高，取证用时较长的问题，提出异构无线网络环境下大规模入侵动态取证方法，对本文研究的主要内容总结如下：

(1)为降低入侵取证用时，采用模拟退火算法剔除入侵特征子集中的部分模糊属性，降低取证复杂度，实现提高取证效率的目的.

(2)为提高入侵取证准确性，对传统信息增益算法进行改进，并构建取证模型，运用该模型处理冗余特征，避免冗余特征对取证过程的影响，达到提高取证准确性的目的.

分析实验结果可知，本文设计方法在取证用时和取证结果准确性方面均优于现有方法，说明该方法具有一定的使用价值.