网络多入侵行为识别的数学建模与仿真

潘宝柱，魏文英*，昝立荣，张秀珍

(1.河北工程技术学院，河北 石家庄 050091；2.山西大同大学数学与统计学院，山西 大同 037009)

1 引言

网络攻击行为是威胁网络安全的主要原因，其主要类型包括：篡改-通过非法入侵的方式实现网络用户信息更改与损坏；假冒-盗用合法用户的权限并利用该身份实现攻击剩余网络用户数据；拒绝服务攻击，利用非法方式伪造虚拟请求命令占用大量的网络数据资源导致网络崩溃[1-3]；病毒攻击-在物理攻击的前提下，利用程序携带木马病毒，导致网络系统被病毒感染，网络系统损坏严重，无法正常运作。据相关资料表明，网络非法攻击者面对不同网络用户采用的入侵行为会有所区别，病毒攻击的主要攻击对象为个人用户，通过木马病毒程序盗取个人隐私[4]，以牟取利益；篡改的主要攻击对象为企业类用户，通过篡改获取企业有价值信息数据，总之其攻击目的为获取利益。在网络中经常会发生一种甚至会发生多种入侵行为[5]，在短时间内导致网络系统瘫痪，从而影响正常办公，因此网络信息安全问题已成为现阶段亟待解决的难题，需研究网络多入侵行为的识别方法，进一步保障网络安全。

目前，在网络安全技术中入侵检测技术是最关键的技术手段，其利用网络核心节点采集入侵数据并进行分析，在众多网络行为中检测出入侵网络行为，并采取相应报警响应。网络多入侵检测可更好为多入侵识别服务，以往多入侵检测方法局限性很大，例如：夏景明等人[6]研究基于灰狼算法的检测方法，该方法通过全局寻优检测网络多入侵行为，由于该方法计算过程过于复杂，导致网络多入侵检测效率慢，影响识别结果；任家东等人[7]研究基于KNN离群点检测的检测方法，该方法利用随机森林模型实现网络多入侵行为检测，由于该方法操作繁琐，导致网络多入侵检测和识别不佳。相关学者，对网络多入侵检测研究较多，而对多入侵行为的识别方法研究较少。网络行为信任是建立在彼此信任的基础上，具有多重维度。信用度在人们生活中起到很大作用，用个人信用可识别个人风险的承载能力。

面对上述问题，将信用度引进网络多入侵识别中，研究基于信任度计算的多入侵识别数学建模方法，提高多入侵识别效率，为网络安全提供支持。

2 基于信任度计算的多入侵识别数学建模仿真

2.1 信任度计算

为保证网络安全引入信任度作为评判标准，提高网络对多入侵识别效果。

信任度的定义包括：

定义1：信任可评估网络行为的可信度，并识别网络节点身份。

定义2：信任评估标准通过信任等级—信任度实现评价。

定义3：通过网络节点关系得出直接信任度。

定义4：通过其它网络节点推荐网络节点信任关系得出推荐信任度。

信任值求解：

定义5：假设节点ni对节点nj的推荐信任度为N(ni，nj，t)；节点ni对节点nj在t时刻的信任度为ni，nj，G(ni，nj，t)；节点ni对节点nj的直接信任度为M(ni，nj，t)，具体如式(1)所示

G(ni，nj，t)=M(ni，nj，t)+N(ni，nj，t)

(1)

信任度值的求解，需在式(1)中添加权值α完成求解，信任度值如式(2)所示

G(ni，nj，t)=(1-α)·M(ni，nj，t)+

α·N(ni，nj，t) 0<α<1

(2)

定义6：在上式中权值α选取可降低M、N对信任度影响度。整合全部节点的直接信任表，对各节点ni生成二维矩阵，节点ni对节点nj的直接信任度为R(ni，nj)，直接信任度如式(3)所示

M(ni，nj，t)=R(ni，nj)·e-(t-tij)t-tij≥0

(3)

为更好地反映伴随时间降低网络节点的直接信任度值会发生变化，通过导入e-(t-tij)，t-tij≥0表示时间衰减函数。

定义7：设置网络推荐节点用P描述，网络节点用S描述，两者节点集合用A={A1，A2，…An}描述。各节点的平均回馈评分组成矢量分别为SA=[Vs1，Vs2，…，Vsn]、PA=[Vp1，Vp2，…，Vpn]，其内节点i对节点j的平均反馈评分为Vij。矢量的夹角的θ余弦值为θ=cos-1(SA·PA)，其中0°≤θ≤180°。通过各节点评分评估推荐信任度N(ni，nj，t)。两个矢量相似满足θ小于阈值ε条件，因此推荐信用度如式(4)所示。

(4)

其中：矢量用niA、njA分别为节点ni何节点nj平均回馈评分。

为减少不诚实推荐对信任评估结果的影响，通过构建矢量空间模型实现。

定义8：∀ni∈{Grid-Node}，其属性为a1，a2，…an述，属性集为A(ni)={a1，a2，…an}描述。

定义9：对于∀ni∈{Grid-Node}，ni与nj的信任度用式(5)描述：

G=Ga+Gd

(5)

其中：Gd为动态信任度，Ga为静态信用度，Ga值一般不变，通过式(2)决定Gd值，其与时间和网络节点的情况有关。

为更好地求解网络节点可信度，在式(5)的基础上构建由动静结合的信任度模型，避免动态信任度衰减导致信任评价精度低的问题[8，9]。将获取具有时间衰减的网络节点可信度视为可信度特征，利用该特征实现网络多入侵识别。

2.2 基于深度学习神经网络多入侵识别数学建模

构建基于深度学习神经网络多入侵识别数学模型，将上文获取的网络节点可信度特征输入深度学习神经网络的多入侵识别数学建模，实现多入侵识别。在多入侵识别中，采用深度学习神经网络，并依据神经元之间的关系，实现网络学习集识别。在该数学建模中，包括由M个神经元的输出层和K个神经元的输入层组成自适应特征映射的神经网络结构，每个节点的权值用Wij描述，其中i∈[1，k]，j∈[1，m]。算法步骤为

Step2：在t时刻矢量集内选取K维矢量Yl(t)，每个输出节点M个欧氏距离用式(6)所示

(6)

神经元选取M个欧氏距离内用g表示最小神经元。当其它权值固定时，调节领域Ng(t)和节点g权值得出式(7)所示

(7)

其中：λ(t)表示学习率，t为迭代次数述，可完成信任度特征多入侵匹配[10]。

为明确网络的空间特征概率分布，通过输出节点的权向量实现。

激活函数，用式(8)所示

(8)

其中：n为节点的数量，可完成[-∞，+∞]信号转变为[-1，+1]的输出，e为对数函数的放大系数，当e较大时，其输入信号较小。

为确保数学模型的准确度，利用算法误差的负梯度调整权值降低误差[11，12]。数学建模过程：分析数据来源，在网络多特征入侵识别过程中，预处理检测通过混沌理论中相空间重构的技术完成，为提高识别准确度并选用误用检测和异常检测，分析信用度特征，并通过深度学习神经网络构建信用度特征多入侵识别数学模型。

3 实验分析

为验证本文方法的精确性和可行性，选取某公司网络作为实验对象，利用MATLAB软件进行仿真，在实验中，模拟网络多种状态。选取2000条网络流量样本数据，随机1000数据作为训练样本数据，剩下数据为检测样本数据。实验对比方法为文献[6]提出的基于灰狼算法的入侵识别方法、文献[7]提出的基于KNN离群点的入侵识别方法。

假设总访问次数h=n+d，其中恶意访问次数为d，正常访问次数为n，则正常访问比例为β=n/h，其中h>0。

在信任度不随时间发生衰减时，通过不同的权值α和访问比率β模拟150次和250次的实验测试后得出多入侵识别正确率ρ，结果如表1、表2所示。

表1 多入侵识别正确率ρ(h=150时)

表2 多入侵识别正确率ρ(h=250时)

由表1～表2可知，当α和β值固定时，随h增加ρ出现上升态势；当β和h值固定时，随α变化ρ出现1个峰值；当α和h值固定时，ρ受β影响不太大。因此动态信任度可反映节点的信任度变化，对网络多入侵识别具有积极作用。

在信任度随时间发生衰减时，考虑到交易间隔时间Δt对ρ的影响，通过不同的权值α和Δt模拟150次、250次、350次的实验测试后得出多入侵识别正确率ρ，结果如表3～表5所示。

表3 h=150时多入侵识别正确率ρ

表4 h=250时多入侵识别正确率ρ

表5 h=350时多入侵识别正确率ρ

由表3～表5可知，在α和Δt值固定，随h增加ρ出现上升态势；在α和h值固定，随Δt变化ρ出现1个峰值。因此动态信任度可反映节点的信任度变化，当信任度发生衰减时有利于网络多入侵识别精度。

在分析网络多入侵行为时，可最终通过方法识别输出的网络流量数据的振幅完成多入侵识别分析，实验设置在10～20ms时网络发生多入侵现象，通过仿真获取三种方法识别输出的网络振幅，见图1。

图1 多入侵检测结果

由图1可知，网络发生多入侵时，本文方法识别输出的网络流量数据振幅变化显著，在10～20ms时网络振幅波动较大可有效检测多入侵行为，提高网络检测精度；而其它两种方法振幅变化不显著，在10～20ms时网络振幅波动较小，检测效果不佳。

采用三种方法对检测数据样本中的1000个网络流量样本各进行150次网络多入侵识别，检测数据样本数据中实际存在198个多入侵行为，三种方法的识别结果如表6所示。

表6 三种方法的网络多入侵识别结果

分析表6可知，本文方法的识别结果与实际结果相同并具有识别结果稳定，而其它两种方法对网络多入侵识别效果不佳，特别是基于KNN离群点入侵检测方法网络多入侵数量识别误差较大，因此本文方法的识别性能较为稳定，且准确。

通过分析网络发生多入侵与未发生多入侵时数据信噪比变化的情况，完成多入侵识别，网络入侵时数据信噪比变化情况见图2。

图2 网络多入侵时数据噪声分析

由图2可知，在未发生网络多入侵时本文方法识别到的信噪比较低，当发生网络多入侵时，本文方法识别出较多信噪比，因此本文方法可通过识别结果的信噪比变化更好识别出网络多入侵行为，识别效果较好。

4 结论

针对网络中的多入侵行为，研究新的基于信任度计算的多入侵识别数学建模方法，以提高多入侵识别效率。本文将信任度计算引入到多入侵识别中，通过基于深度学习神经网络实现多入侵识别数学建模，通过该模型完成多入侵识别。仿真结果表明本文方法可有效检测多入侵行为，提高网络的多入侵识别效果，且识别准确度高。通过本文方法可有效提高网络安全，保证网络用户的隐私，但因时间与精力有限，文中仍有不足需要在以后的实践中逐步完善本文方法，使本文方法应用范围扩大，发挥其优势更好地为人们服务。