宋国顺

当前，攻击模式种类繁多，特别是对储存和使用敏感资料的计算机攻击日益复杂［1］，使得互联网的发展面临越来越多的威胁.网络安全漏洞如果不能及时发现和修复，网络安全受到的威胁将会愈发严重［2］.在当前的信息安全研究中，如何发现和上报用户的行为是关键问题［3］.攻击检测技术是保护网络安全的城墙壁垒，因此，检测网络的攻击行为，对网络信息安全发展具有至关重要的意义.

罗予东等［4］采用一种新的融合式网络攻击方法，解决网络攻击识别精度不高的问题.该方法采用多项式回归方法学习多类资料，并结合多指标遗传算法进行整体最优的子集抽取，将降维的特征集合输入到感知机器中学习，通过重力寻优的方法检索其参数，实现网络攻击检测.实验结果表明，该方法有效地提高了网络攻击检测的准确性.王婷等［5］采用一种新的半监控学习算法，优化原有的网络攻击检测方法.首先将网络初始属性加权值矢量作为重要的权值向量，并预测网络攻击，然后结合人工神经网络构建网络安全监控模型，预测网络面临的攻击行为，采用无监督的Bi-kmeans 算法对网络中新的特征值矢量进行了分类，并对将要出现的网络攻击类型进行预判.实验结果表明，该方法不仅可以有效判断出网络攻击类型，还可以对网络攻击检测能力进行优化.

基于以上研究，本文利用特征加权聚合的方法，设计一种传感网络多模式攻击检测方法，避免传感网络受到攻击，保证网络的安全性.

1 多模式攻击传感网络检测

1.1 加权融合多模式攻击信号特征

在传感网络中，采用特征加权聚合的方式［6］，构建传感网络多模式攻击信号传输结构模型，表示为：

其中：on(t) 表示第n条传感网络上攻击信号的特征，un(t) 表示第n条传感网络上攻击信号的传输时延，fc表示传感网络中攻击信号的频率，kl表示传感网络数据信号，t表示传输时长.

引入特征加权聚合方法［7］，对传感网络多模式攻击信号能力进行识别，即

其中：fj表示传感网络多模式攻击信号第j层信号的频率分布，ϑj表示通过验证得到的传感网络攻击信号第j层信号的能量分布.

以公式（2）为基础，假设传感网络多模式攻击路径有p条，则传感网络在多模式攻击环境下的多条传递函数为：

其中：Si表示传感网络中的遗失信号，un(t)表示传感网络中信号的传输时延.

利用多模式攻击环境下的多条攻击路径函数，构建传感网络多模式攻击特征分布函数［8］，通过对传感网络攻击信号特征分布进行分析，得到攻击信号的频谱特征为：

其中：λ表示传感网络攻击信号的样本采集频率，K表示网络带宽，Ax表示传感网络的时间窗口函数，y(t) 表示传感网络攻击信号的时域，Ay(t,K)表示传感网络信号中的频域信号.

假设|x(K)|表示传感网络攻击信号在时间序列内最短的时间函数，构建传感网络攻击信号模型为：

其中：f(⋅)表示传感网络攻击信号的数量函数，εn表示传感网络攻击信号的测量误差值.

以传感网络多模式攻击信号模型为基础，对传感网络攻击信号进行空间重构，重构结果记为C.假设传感网络多模式攻击信号是按线性时间序列排列的，利用重构结构模型［9］，可以对攻击信号进行抗干扰抑制，即

其中：Ai表示传感网络信号的权值，gn-i表示传感网络中带有相同攻击信号的特征值，Bj表示传感网络攻击信号振荡幅值，hn-j表示传感网络中带有相同攻击信号的时间序列.

干扰抑制传感网络多模式攻击信号后，利用特征加权聚合的方法，加权融合传感网络多模式攻击信号特征：

利用传感网络多模式攻击信号传输结构模型，建立传感网络在多模式攻击环境下的多条传递函数，以传感网络多模式攻击信号模型为基础，对传感网络攻击信号进行空间重构，通过攻击信号的抗干扰抑制，加权融合传感网络多模式攻击信号特征.

1.2 判定传感网络多模式攻击行为

传感网络节点之间的连接呈现出择优化［10］的特征，总体上各节点之间有着紧密的联系，但这些联系并不均衡.为了增强对传感网络攻击行为检测的精度，在传感器网络中引入平面Ω，用来划分二维向量构成的多个非交叉子区域，表示为：

其中：N表示传感网络的攻击信号总量，表示攻击信号所处位置的坐标，ns表示没有交集的子区域数量.

降维映射处理各个子区域的传感网络攻击信号，实现网络数据的非线性关系向线性关系的转换，即

其中：ωi表示传感网络数据的权重，T表示传感网络数据初始特征值，表示传感网络数据特征，py表示攻击信号偏移量，χ表示网络攻击行为的构成.

为满足传感网络攻击检测过程的需要，首先建立风险评估函数［11］，为了确保评估结果的准确度，需先设计一个风险函数R(ξ)，表达式为：

其中：ξ表示传感网络攻击风险系数［12］，n表示常数，n=1，2，…，i，…，n，Xij表示第i个传感网络攻击样本数据j的特征值，μ表示风险评估的误差值.

利用上式得到的风险函数，能够获取传感网络多模式攻击范围的各个节点，表示为：

其中：J表示传感网络多模式攻击行为的聚类中心，M*表示任意两个传感网络攻击节点之间欧氏距离，表示攻击行为的攻击信号集，Lz表示所有攻击状态种类，j表示攻击样本数据.

根据传感网络多模式攻击行为的分布状况［13］，计算不同攻击行为之间的攻击关联度，公式为：

其中：表示攻击行为G1与G2的传感网络攻击集，M表示需要预警的攻击行为数量.

如果ϕ表示一个受到攻击的传感网络数据检测序列，X*为受攻击数据所在子区域的距离序列，利用式（13）对传感网络的攻击行为进行初步判断，

其中：Q表示传感网络多模式攻击行为的种类集合［14］.

通过将网络数据的非线性关系转换为线性关系，建立风险评估函数，根据传感网络多模式攻击行为的分布状况，计算不同攻击行为之间的攻击关联度，完成传感网络多模式攻击行为的判定.

1.3 传感网络多模式攻击检测算法设计

假设I表示传感网络多模式攻击状态集合，γ表示攻击状态转换集合，a0表示传感网络的初始状态，IG表示攻击状态下的传感网络集合，则利用式（14）定义传感网络攻击图：

利用传感网络攻击图［15-16］，计算传感网络异常入侵的攻击压力，公式为：

其中：Fj表示传感网络遭受攻击的输入口，Zd表示正在遭受攻击的主机，Se表示已经响应的受攻击主机，rs表示传感网络攻击行为，e*表示网络攻击行为的最优信道.

如果将攻击者和防御者在博弈过程中的预期收益分别定义为和，则在博弈场景［17］中的总收益为rp，根据传感网络异常入侵的攻击压力，构建攻击者和防御者在传感网络中的博弈矩阵：

其中：ψy表示传感网络攻击策略向量，ey表示防御检测策略向量.

假设fg和gu分别表示传感网络遭受攻击时攻击者和防御检测者的混合策略，则利用式（17）计算出多模式下攻击者和防御检测者的收益：

其中I∗表示传感网络遭受攻击时检测成功所获得的回报［18］.

基于以上计算设计了传感网络多模式攻击检测算法的流程，具体如下：

Step2：映射处理待检测的网络信号，计算出各个状态下最大映射系数对应的聚合函数.

Step3：通过最大映射系数，构建相应的特征加权聚合函数，确定传感网络多模式下的攻击信号.

Step4：利用动态时域连接［19］，形成跨时域的传感网络攻击信号分解分量.

Step5：从待检测的传感网络信号中，减去需要分解信号的分量，获得分解信号.

Step6：比较分解信号的能量与初始阈值，若前者大于后者，则将分解信号继续分解，直至小于预设阈值，停止分解.

Step7：比较分解后的信号特征与网络攻击信号特征，从而完成网络攻击信号的检测.

综上所述，通过对比分解后的信号特征与网络攻击信号特征的差别，检测传感网络的多模式攻击.

2 实验分析

2.1 实验环境

为了验证文中方法检测传感网络多模式攻击的性能，利用MATLAB 7.2 软件搭建了实验平台，在Intel（R）Core（TM）i7-3770 6.40 GHz CPU、8 G 内存、Windows 7 操作系统下进行验证.

2.2 实验数据集

为了使网络攻击检测更加真实，本文选择的实验数据集为KDD Cup99 数据集，其中包括两种类型，分别是具有标识的训练集和无标识的测试集（表1）.数据集中包括4 种攻击类型，分别是Probe、Dos、R2L 和U2R，其中训练集包括15 种攻击类型，测试集包括6 种攻击类型.

表1 KDD Cup99 数据集的攻击标识

从KDD Cup99 数据集中随机选取1 000 条传感网络操作数据，其中具有不同攻击标识的攻击数据186 条，其余数据为正常网络操作数据.

2.3 传感网络信号的时域分析

在KDD Cup99 数据集中随机选择一个攻击信号，通过对信号特征进行加权融合处理，得到该信号的波形和频率，如图1 和图2 所示.

图1 网络攻击信号的时域波形

图2 网络攻击信号的时域频谱

根据传感网络信号的时域分析，发现信号的时域波形比较稳定，能量主要集中在3~6 GHz 之间，表现出显著的非平稳性，因此验证了文中方法能够检测出传感网络的攻击信号.

2.4 结果分析

实验引入文献［4］基于人工神经网络和遗传算法的检测方法，以及文献［5］基于半监督学习的检测方法作对比，测试了传感网络多模式攻击的误检率和漏检率，结果如图3 和图4 所示.

图3 传感网络多模式攻击的误检率

图4 传感网络多模式攻击的漏检率

根据图3 的结果可知，采用基于人工神经网络和遗传算法，以及基于半监督学习的检测方法时，对传感网络多模式攻击的误检率在10%~15%之间，无法满足传感网络攻击5%误检率要求；采用文中方法时，对四类攻击的误检率分别为2.5%、1.5%、1%、2%，能够准确检测传感网络遭受攻击的类型，从而保证传感网络的安全性.

从图4 的结果可以看出，基于人工神经网络和遗传算法，以及基于半监督学习的检测方法对四种类型网络攻击的漏检率都超过了20%，而文中方法在检测传感网络四种攻击类型的漏检率分别为5%、4%、3.5%、4.5%，具有更高的检测成功率.

3 结语

本文研究利用特征加权聚合提出一种传感网络多模式攻击检测方法.在多模式攻击信号特征加权融合的基础上，判定传感网络多模式攻击行为，通过设计的传感网络多模式攻击检测算法，实现多模式攻击检测.实验测试表明，该方法不仅能够准确检测传感网络遭受攻击的类型，还可以提高检测的成功率.在今后的研究中，将引入双模调频分解理论，分解网络攻击信号过滤掉残余信号，进一步提高网络攻击的检测准确率.