反馈学习攻击方法研究:

反馈学习攻击方法研究

反馈学习攻击方法研究 1引言 近年来,网络的作用在人们的日常生活中变的不可或缺, 通过网络,人们能够迅速完成信息资源的传递和共享[1], 在享受互联网带来的各种便利的同时,网络中也存在着大量 的威胁,网络安全问题得到了相关部门越来越多的重视。当 前,对网络威胁最为巨大的就是隐藏在各种服务中的网络恶 意攻击,这些恶意攻击包含大量的对网络破坏能力极强的代 码,它们的存在是对网络安全的极大威胁。为了抵制不良攻 击对网络的侵害,越来越多的学者把目光转向了恶意攻击的 过滤方法研究上,希望通过攻击过滤的方法[2],把有威 胁的攻击阻挡在网络的外部,保证网络的安全性。传统的过 滤算法有规则匹配算法,支持向量机的过滤算法等等,这些 算法成为当前研究的一个热点。但是,传统的网络攻击过滤 方法存在一个问题,就是这些攻击过滤方法多是基于有明确 种类攻击归属的特征进行攻击有害判定的,这些方法也没有 考虑那些很难建立归属的野攻击,这就使得一些分化后的野 攻击,躲避了传统的分类识别检测方法,通过这种伪装,逃 避网络攻击检测算法过滤。当野攻击躲过传统的分类检测算 法后,造成过滤的漏检率很高[3]。因此,如何能够准确 过滤网络攻击中的无法分类的野攻击,保证网络信息安全的 环境,成为一个难题。为了解决这一问题,提出了一种反馈 学习的网络攻击过滤方法,建立反馈学习模型,通过反馈训练对网络攻击中存在的野攻击进行检测,利用检测错误驱动 进行下一步的迭代训练,完成对野攻击的准确分类。随着反 馈的进行,反馈学习能捕捉到网络中攻击种类的细微变化, 分类性能逐步提高。实验结果表明,该方法能够很好地检测 出不能进行种类划分的野攻击,并完成过滤,实现方法简单 高效,取得了令人满意的效果。

2网络攻击过滤原理 网络恶意攻击过滤也被称为网络抗攻击检测,俗称防火 墙。这种方法根据网络中攻击的不同种类,通过对恶意攻击 的有效分类,利用攻击特征的一致性完成对恶意攻击的有效 分类过滤[4~5]。具体过滤步骤如下:首先建立起网络中 的恶意攻击检测分类模型,运用该模型提取出恶意攻击的有 效特征,设为Y(x,y);根据组建的网络恶意攻击模型,对网 络中的存在的恶意攻击特性与正常程序的特性进行比较,选 取有可能是潜在的恶意攻击程序作为分类对象,方法如下: 通过网络对网络异常攻击的分类,进行有效的过滤最终保证 网络的安全。传统的网络攻击过滤方法是以网络攻击的有效 分类结果为基础的,分类结果的好坏直接影响着过滤的结果。

但是,当网络攻击发生多次分化,特征与其它网络攻击特征 相差较大的时候,网络聚类划分的方法对这些野攻击很难进 行类别的判断,造成在第二步对网络攻击进行分类的时候, 不能准确分类,根据式(2)知,分类结果��Seqi不包含这些 野攻击,分类会出现较大的误差,这样就导致了式(3)中的过滤结果不准确,式(3)很难保证对没有参与分类的野攻击 有效过滤,漏检率高的问题。为了解决这一问题,提出了一 种反馈学习的网络攻击过滤方法,通过反馈训练对野攻击进 行检测,完成对野攻击的准确分类,反馈学习能捕捉到网络 中攻击种类的变化,分类性能逐步提高,克服传统方法的缺 陷。实验证明,该方法能快速准确的过滤网络不良攻击,效 果良好。

3联系概率的节点数据异常检测 反馈学习算法寻找位于两个类别边界处的点并对分类 错误的网络攻击进行反馈。网络攻击模型的分类处理主要与 分类边界处的支持向量有关,对不同攻击进行分类后,证明 是包含该网络攻击的相关信息的有效种类,则可以规划到能 够进行正常进算的网络攻击种类中。对于网络野攻击,会划 分到分类的错误信息里,分类错误网络攻击含有原模型中所 不包含的分类信息,这些信息是算法研究的重要内容。而这 些网络攻击中的野攻击在网络的分类中占的比例并不大。可 用于进行信息反馈的内容并不多,但是他们的存在却能克服 也攻击对信息过滤的影响,大幅提高分类的准确性。对于网 络攻击分类而言,通过二次优化训练处理,获得位于分类边 界处由数据点组成的集合,用于分类处理。这些数据点,包 括不能被划分种类的野攻击,一般都位于分界点的边界上, 被无划分到某个种类中。对于网络边缘攻击向量集K,它与 正常网络攻击中的种类比较是比较小的,可以用K��E表示。这样的攻击向量包含了所有的有效网络攻击和野攻击。因此, 对于网络攻击过滤而言,良好的增量训练学习能够为网络攻 击划分打下基础,而对于反馈学习,则可以充分利用其增量 学习的优点,对不能被正常分类的网络野攻击进行有效的划 分,切除误划分的影响,获取新的分类野攻击分类模型Ω' 及野攻击向量集。

3.1反馈分析及优化算法的第一步是构造的网络野攻击 判断的决策函数,一般情况下,是通过网络攻击隶属度大小 对进行网络类别划分的一个重要依据,划分的标准是通过攻 击特征到类特征中心之间的距离,这样就能衡量网络攻击对 类的贡献度的大小。目前,在网络攻击过滤中,基于攻击间 特征距离的隶属度函数,是将攻击的隶属度看作是网络攻击 特征空间中样本种类划分的一个重要依据。通过向量的划分 能够对攻击向量进行准确的划分,其中,不能被划分的野攻 击也有自己固定的特征,野攻击一般满足下面三条要求:1) 野攻击位于分类种类的边缘,与正常的网络攻击边界同侧, 满足0%yif(xi)<1;如图中S1;2)野攻击位于分类种类的边 缘,与正常的网络攻击边界异侧,满足-1%yif(xi)<0;如 图中S2;3)野攻击位于分类种类的边缘外,与正常的网络攻 击边界异侧,满足yif(xi)<-1;如图中S3;通过野攻击种类 划分的分布,发现野攻击种类划分的分布是种类划分中的特 例。在正常是网络种类划分中,这种情况被认为是错误的。

所以选取这种所谓的错误的分类样本作为划分中的反馈学习样本,这样分类方案中考虑了野攻击对分类有贡献的新增 信息,这些新信息就是不能被正确划分的野攻击。训练得到 的野攻击集E可以作为反馈的数据源,反馈网络攻击集需要 与原模型的正常网络攻击几何一起训练,这些网络攻击有可 能已成为正常的网络攻击种类划分的一部分,若仍留在野攻 击集合S中,则会影响模型的效果。因此,在进行训练网络 攻击的反馈学习过程中,反馈训练前需首先对该类反馈网络 攻击进行检测,保证模型的正确性。

3.2反馈处理算法流程针对以上处理,具体网络攻击过 滤反馈处理算法步骤如下:1):对网络攻击的分类结果集合R 中的边缘网络攻击di∈R进行反馈处理,对R中的所有错误网 络攻击,也就是野攻击进行反馈,选取的比例不宜太大,因 为野攻击并不常见,根据环境确定。根据网络野攻击特征对 需要进行反馈处理的网络攻击,给出反馈类别,存入反馈网 络攻击集F,准备进行有效的野攻击特征收集工作。2)所有 网络攻击反馈得到处理后,需要对网络攻击的特征进行检测, 特征向量化处理以及特征提取,读取出支持特征向量集合 ezxd为网络攻击中的向量集合中的数量,为下一步的反馈训 练进行准备工作。3):开始进行网络野攻击反馈提取,从反 馈攻击集F中读取任一网络攻击,计算得到攻击向量,从原 网络攻击划分模型Ω的可见集合S中读取相应的数据,反馈 网络攻击向量,计算结果如下:4)对网络攻击集合F的反馈攻 击进行是否为野攻击的类型判断,若网络攻击属于反馈网络野攻击,则对其与进行反馈加权分类处理,计算反馈向量和 相关的分类相似度,运用空间特征角度计算其相似性距离, 表示了攻击间种类的相似程度。夹角越小说明攻击的相似度 越高。sim(f,若计算得到的角度大于θm,则表示网络攻击 与野攻击种类相同,对其进行种类划分。5):重复3),直到 所有的反馈网络攻击都能找到归属的范围,获得新的的网络 攻击向量集k'。6)重新收集网络攻击的特征向量,进行特 征总结。7)取反馈学习网络攻击集F,新收集的网络攻击特 征M与支持向量k'的并集作为训练集,进行迭代计算,求出 新的种类划分。

4实验结果及对比 为了验证本文算法的有效性,采用对比测试的方法来完 成计算机仿真,通过传统的网络攻击过滤方法和本文提出的 基于反馈学习的网络攻击过滤方法进行网络攻击的过滤。流 程图如图2所示。选用可分为不同种类的8个网络攻击作为过 滤实验对象,其中,在8种攻击中,有2~3个分化的野攻击, 这么做的目的是为了构建难易划分的网络攻击存在的环境。

然后通过传统方法和本文方法对该网络攻击进行过滤检测, 过滤准确性的趋势如图3所示。图3中,横坐标表示网络攻击 的数量级,纵坐标表示过滤的准确度。下方的线代表的是传 统的方法,而上方的线代表的是本文的方法。通过上面的趋 势图可以看出,随着网络攻击的数量级的增加,存在的野攻 击也会增加。本文算法的成功过滤率要远远高于传统方法,这是因为随着野攻击数量的不断增加,传统方法无法对其准 确的进行种类划分,因此传统方法的漏检率很高。具体的统 计结果如下表1所示:由上述统计数据可以看出,本文提出的 基于反馈学习的网络攻击过滤方法研究过滤的网络攻击数 量远多于传统的网络攻击过滤方法,不仅检测操作过程而且 完整地检测出了隐藏的野攻击,检测的效率高,有效地保护 了网络数据的安全。

5结束语 本文提出基于反馈学习的网络攻击过滤方法研究,通过 反馈训练对野攻击进行检测,利用错误驱动进行训练,完成 对野攻击的准确分类。随着反馈的进行,反馈学习能捕捉到 网络中攻击种类的变化,分类性能逐步提高,克服传统方法 不能很好过滤野攻击的弊端,实验证明,该方法能快速准确 的完成网络不良攻击的过滤,取得了不错的效果,随着网络 技术的不断发展,本文的方法将显示出更为重要的实际意义。