潘 超,吕翘楚,肖 巍

(长春工业大学计算机科学与工程学院,吉林 长春 130012)

1 引言

网络自身的开放性会给网络带来巨大的安全威胁,网络安全问题日益突出[1-2]。近年来,微信、QQ等即时通信网络的出现,极大的丰富了人们的娱乐生活,但是由于其自身结构较为简单,导致网络系统非常容易被安全漏洞入侵,从而威胁自身的信息安全。因此,基于即时通信网络的自身特性,设计简洁高效的安全漏洞检测,成为时下网络保护亟待解决的问题。

文献[3]方法首先将网络中的源代码转化成具备语法、语义信息的CPG;再通过关系卷积网络对通信网络的图结构展开学习;基于学习结果训练神经网络模型,根据模型的训练结果预测程序中代码安全漏洞;最后根据代码漏洞预测结果找出代码中存在的漏洞,实现网络的漏洞检测。文献[4]方法首先对通信网络中的源代码展开预处理,基于处理结果对代码中自定义部分实施归一化处理,结合One-Hot编码技术展开词嵌入处理,构建CNN-GAP神经网络模型;最后制定模型的漏洞识别函数,利用激活映射方法实现模型的可视化输出,实现网络的漏洞检测。文献[5]方法首先将源代码结构化处理,将代码的度量结果作为特征向量,依据自注意力机制建立神经网络确定代码文本信息的长期依赖关系,获取漏洞的存在概率;最后采用支持向量机对漏洞特征实施决策分类,获取最终的漏洞检测结果。

上述方法中由于未能在网络漏洞检测前,对即时通信网络运行状态特征展开具体分析,导致上述方法在网络漏洞检测时,检测效果差。为解决上述即时通信网络漏洞检测过程中存在的问题,提出启发式遗传算法下即时通信网络漏洞检测方法。

2 即时通信网络漏洞特征提取

2.1 即时通信网络运行特征分析

在即时通信网络漏洞检测前,需要对即时通信网络运行状态特征展开具体分析,结果如下:

1)源IP地址出连接度

(1)

2)源IP地址入连接度

3)源IP地址流中不同目的IP地址流数指的是固定时间窗口内,特定源IP地址流向不同目的IP的IP流数量,表述形式如下式所示:

Cp=|cj|ck≠cj,1≤k,j≤n|,1≤p≤n

(2)

式中,即时通信网络中不同目的IP的地址为cj、ck,j,k皆为常数,源IP地址流中不同目的IP时地址流数为Cp。

4)网络不同目的IP端口流数

源IP流中不同目的IP端口流数指的是源IP地址端口在通信网络运行时IP流中不同目的端口的流数,表述形式如下式所示:

Dp=|dj|dk≠dj,1≤k,j≤n|,1≤p≤n

(3)

式中,即时通信网络的不同目的端口为dj、dk,源IP流中不同目的IP端口流数为Dp。

5)源IP地址流中的平均包数量

源IP地址流中的平均包数量指的是特定源IP在固定时间窗口内产生的数据包均值,获取过程如下式所示:

(4)

式中,源IP地址p中第j条IP流数据包数量为d(p,j),源IP地址在即时通信网络运行过程产生的IP流总数为m,源IP地址流中的平均包数量为Ep。

6)平均流数据量以及IP流平均生存时间

即时通信网络[7-8]中,源IP地址平均流数据量描述的是特定源IP地址在固定时间窗口的数据量均值;而源IP地址流平均时间描述的是IP地址在固定时间窗口内流生存时间均值,二者的表述形式如下式所示:

(5)

式中,源IP地址p的第j条流数据量为f(p,j),生存时间为g(p,j),平均流数据量为Fp,IP流平均生存时间为Gp。

2.2 漏洞特征提取

采用挖掘技术刻画即时通信网络正常行为和漏洞行为差异性,从而确定即时通信网络的漏洞特征。

设定即时通信网络中所有的待检测数据点集合为H,其中存在漏洞的数据样本集合为Z,漏洞数据点的对应权值为αj(t),聚类权值为α′i(t-1),由于即时通信网络中漏洞数据对应权值是由网络信息错误严重程度确定的,所以基于上述即时通信网络IP特征分析结果,将漏洞数据样本的聚类中心模糊隶属度[9-10]设定成βij,以此获取网络中漏洞数据的聚类中心,过程如下式所示:

(6)

式中,网络中Kt个漏洞数据样本的K个聚类中心为α′i(1)。

基于上述确定的即时通信网络漏洞数据聚类中心,将上述通信网络特征描述成χ维的数据特征集合Y={y1,y2,…,yn},并将数据特征的邻域区间半径设定成ra,以此获取即时通信网络正常行为和异常行为的区分密度指标,结果如下式所示:

(7)

最后基于获取的特征密度指标,完成即时通信网络正常行为和漏洞行为的差异性刻画,提取出即时通信网络的漏洞特征。

3 网络漏洞检测

根据上述提取的通信网络漏洞特征,构建即时通信网络的漏洞检测模型,并采用启发式遗传算法对模型展开求解,最后通过模型求解结果,实现即时通信网络的漏洞检测。

3.1 构建即时通信网络漏洞检测模型

根据上述提取的网络漏洞特征,结合混合核函数极限学习机[11-12]模型完成即时通信网络漏洞检测模型的建立。

(8)

式中,检测模型权值系数为vi,惩罚系数为qi,学习因子为δi,漏洞特征的期望输出数量为L,期望输出向量为Y。

基于上述建立的即时通信网络漏洞检测模型,基于核函数建立通信网络漏洞检测目标函数,结果如下式所示:

(9)

式中,核函数为K(xi,xj),核参数为I/C,惩罚参数为C,单位矩阵为I,多项式为h(x),模型迭代函数为T,模型目标函数为f(x)。

3.2 模型求解

采用启发式遗传算法对建立的即时通信网络漏洞检测模型展开求解处理,基于模型的求解结果,完成即时通信网络的漏洞检测。遗传算法[13-14]实质上是模拟生物在自然环境中遗传进化过程的全局自适应搜索算法。启发式遗传算法在模型求解时,需要对模型的染色体编码,个体适用度评价函数以及种群规模、模型运行参数展开确定。模型的求解流程如下:

1)染色体编码

染色体编码就是将通信网络的漏洞检测问题转换成编码形式,将提取的网络漏洞特征输入建立的漏洞检测模型中,并对各个特征值实施编码处理,每一个编码都代表一个漏洞问题的可行解(一条染色体)。

模型在染色体编码时一般会使用二进制的编码形式,对模型中所有的可行解实施排序处理。当通信网络的规模较大时,模型中的可行解会增加,染色体的编码长度也会随之增加,从而影响模型的解码效率,因此在漏洞检测模型求解时,采用自然数编码方式,使染色体长度固定,不会随着基因位取值的变化而增加。

2)种群初始化

通信网络漏洞检测模型种群初始化时,采用均匀随机选择策略,将模型中最大漏洞可行解设定成Mi,初始种群个体(φ1,φ2,…,φ|K|)是从[1,Mi]中随机选出的。首先将模型问题映射至解空间,并在解空间中均匀划分产生若干区域,再在各个区域中随机产生可行解,构成初始种群。

3)构建适应度函数

由于通信网络漏洞检测问题是模型的最小化问题解,因此设定即时通信网络漏洞检测模型漏洞特征为ηl,以此获取漏洞检测的适应度函数值,结果如下式所示:

(10)

4)遗传算子选择操作

基于上述建立的适应度函数,结合比例选择法与最优个体保存策略,获取种群个体选择概率与适应度值之间的比率。设定模型种群规模大小为ι,种群中个体i的适应度值为Fi,以此获取漏洞检测模型中种群i被选中的概率值,结果如下式所示:

(11)

式中,种群i被选中概率值为κsi。由于计算出的种群个体概率值存在统计误差,所以完成概率值计算后需要结合最优保存策略,充分保证种群的最佳适应度值能够进化到下一代,从而保障算法的收敛性。

5)启发式自适应交叉、变异操作

(12)

式中,种群的个体最佳适应度值为Fmax,种群交叉结果为ρc,种群变异结果为ρm。

最后基于种群的交叉变异结果,找出通信漏洞检测模型的最佳个体值,完成模型求解,实现即时通信网络的漏洞检测[15]。

4 实验

为了验证上述即时通信网络漏洞检测方法的整体有效性,需要对此方法测试。分别采用启发式遗传算法下即时通信网络漏洞检测方法(所提方法)、基于关系图卷积网络的源代码漏洞检测(文献[3]方法)、基于CNN-GAP可解释性模型的软件源码漏洞检测方法(文献[4]方法)开展通信网络漏洞检测,以此验证上述三种方法在漏洞检测时的有效性。

测试过程中,依据计算机仿真技术虚拟建立一个120m×120m的仿真即时通信网络区域,随机在该区域内生成10个漏洞,以此为基础开展漏洞检测方法的有效性测试。

1)漏洞检测性能测试

使用所提方法、文献[3]方法以及文献[4]方法开展即时通信网络漏洞检测时,选取精确率、误报率以及调和平均值作为评价指标,以此验证上述三种漏洞检测方法的检测性能。三种评价指标的获取流程如下式所示:

(13)

式中,检测精确率为Accuracy,误报率为False alarm rate,调和平均值为F-measure,漏洞检测时计算出的正确漏洞检测数量为ζ,错误漏洞检测数量为μ,正确检测出的错误漏洞数量为λ,召回率为recall。

基于上述确定的检测性能评价指标,检测三种方法的检测性能,测试结果如表1所示。

表1 不同检测方法的检测性能测试结果

分析表1可知,在开展通信网络漏洞检测时,所提方法检测结果要优于其它两种方法的检测结果。文献[3]方法在漏洞检测时,直接将源代码转换成数据特征,未能全面考量网络运行时的整体网络运行状态,所以该方法在漏洞检测时,检测性能略低于所提方法测试结果;文献[4]方法则在利用One-Hot编码技术构建检测模型时,模型检测性能低,导致该方法在检测漏洞时,检测结果不理想;而所提方法在漏洞检测时,充分考虑了通信网络的运行状态,并通过对状态特征的刻画,寻找出网络漏洞特征,所以该方法在网络漏洞检测时,检测性能高。

2)漏洞检测效果测试

基于上述测试结果,继续使用上述三种漏洞检测方法开展即时通信网络的漏洞检测,以此检测上述三种漏洞检测方法的实际检测效果。结果如图1所示。

图1 不同方法的漏洞检测效果

分析图1可知,所提方法在检测网络通信漏洞时,由于及时地对网络中漏洞行为以及正常行为展开了差异性刻画,所以该方法在检测网络漏洞时,不仅能够有效检测出网络漏洞,还能将漏洞数据与正常数据做出区分;而文献[3]方法与文献[4]方法不仅未能将漏洞数据与正常数据做出区分处理。并且不能完全检测出设置的漏洞。由此可证明,所提方法在网络漏洞检测时,具备有效性。

5 结束语

随着即时通信网络的不断进步,对网络实施漏洞检测成为当前保证网络信息共享安全的必要过程。针对传统网络漏洞检测方法中存在的问题,提出启发式遗传算法下即时通信网络漏洞检测方法。该方法基于网络通信状态特征分析结果,提取网络的漏洞特征值,构建即时通信网络漏洞检测模型;最后使用启发式遗传算法对模型展开求解,实现通信网络的漏洞实时检测。但是由于该方法在建立漏洞检测模型时,还存在一些问题,今后会针对该项问题继续对该检测方法展开优化处理。