基于大數據的半分布式僵尸網絡動態抑制算法

劉張榕

(福建林業職業技術學院自動化工程系,福建 南平 353000)

0 引 言

隨著網絡信息傳輸技術的發展，網絡的安全性受到人們的極大關注，需要構建半分布式僵尸網絡的特征提取模型，結合嵌入式的特征分布式檢測方法，進行半分布式僵尸網絡的動態抑制，提高半分布式僵尸網絡的安全性。在采用半分布式僵尸網絡進行數據傳輸過程中，受到半分布式僵尸網絡的環境信息干擾因素的影響[1]，導致半分布式僵尸網絡的安全性不好。因此，需要建立半分布式僵尸網絡的安全性檢測模型，結合入侵檢測和碼元分布式結構重組方法，進行半分布式僵尸網絡的動態入侵抑制。對半分布式僵尸網絡動態信息抑制方法的相關研究受到人們的極大重視[2]。

文獻[3]提出了一種分布式實時僵尸網絡檢測算法，通過將Netflow組織成主機Netflow圖譜和主機關系鏈，并提取隱含的CC通信特征來檢測僵尸網絡；同時，基于Spark Streaming分布式實時流處理引擎，實現了BotScanner分布式檢測系統。文獻[4]提出了基于流量的P2P僵尸網絡檢測算法，從結構、感染過程等方面進行分析，利用基于流量的檢測方法，通過過濾可疑流量、DNS流量檢測等，判定是否受到僵尸網絡攻擊，并提出避免感染僵尸網絡的防御措施。文獻[5]提出了SDN下基于深度學習混合模型的DDoS攻擊檢測與防御算法，在構建深度學習模型時，輸入特征除了從數據平面提取的21個不同類型的字段外，還設計了能夠區分流類型的5個額外流表特征。實驗結果表明，該算法具有較高的精確度?？蓪⒃摍z測模型部署于控制器中，利用檢測結果產生新的安全策略，下發到Open Flow交換機中，以實現對特定DDoS攻擊的防御。但是，以上3種方法在半分布式僵尸網絡檢測時，抑制精度較低。

文獻[6]提出了機器學習的僵尸網絡惡意代碼的檢測算法，將RIPPER方法與樸素貝葉斯方法綜合，利用RIPPER方法的顯性規則對潛在的惡意代碼進行檢測，利用貝葉斯方法的推導公式求解結果。通過對已有的代碼樣本集合訓練，獲得相應的僵尸網絡惡意代碼規則，最后將訓練好的規則應用到新的代碼監測，獲得精準的監測數據。文獻[7]針對僵尸網絡的識別和控制，提出了一種新的檢測手段。首先通過多種渠道獲取僵尸病毒域名或IP，通過對海量DNS訪問日志進行分析，得出僵尸網絡的分布情況，準確發現控制端，進而分析網絡整體僵尸病毒感染情況，DNS日志分析方式的僵尸網絡識別和控制具有良好的效果。但是，以上2種方法的半分布式僵尸網絡通信數據在動態傳輸時出現時間延遲現象，導致抑制時間較長。

文獻[8]提出一種基于最近鄰規則欠抽樣方法和ADASYN(Adaptive Synthetic Sampling)結合的不均衡數據SVM分類算法，應用于P2P僵尸網絡檢測。實驗結果表明，無論是僵尸網絡還是正常的流量，該方法都具有很高的正確率，并能在短時間內達到很好的分類效果。文獻[9]提出了一種基于網絡行為特征和Dezert-Smarandache理論的P2P僵尸檢測方法。首先，利用局部奇異性和信息熵對網絡行為特征進行多方面的描述；然后，利用卡爾曼濾波器對網絡行為特性進行異常檢測；最后，用Dezert-Smarandache理論對上述檢測結果進行融合，以得到最終檢測結果。但是，以上2種方法的網絡輸出誤碼率較高，導致半分布式僵尸網絡安全性能較差。

針對上述方法存在的問題，本文提出一種基于大數據的半分布式僵尸網絡動態抑制算法。首先，采用波特間隔均衡控制方法，對半分布式僵尸網絡動態特征信息進行采樣，并提取半分布式僵尸網絡的統計特征量；然后，采用大數據尋優計算方法，獲取真正的半分布式僵尸網絡最優抑制參數，實現網絡動態抑制；最后，進行仿真測試分析，得出有效性結論。

1 動態特征信息采樣及統計特征量提取

1.1 構建動態特征信息采樣模型

本文構建半分布式僵尸網絡的傳輸碼元序列分布式采樣模型來進行半分布式僵尸網絡動態信息采樣。經過多次迭代的模糊特征檢測的計算式為：

(1)

其中，D(di，dj)表示半分布式僵尸網絡動態特征迭代次數；di表示數據調度點i到點0的距離；dj表示數據調度點j到點0的距離。分析半分布式僵尸網絡多樣性反饋控制模型[10]，采用統計信息分析方法，建立半分布式僵尸網絡動態特征信息挖掘的模糊特征分布集P(K=T|R=1)，得到：

(2)

其中：

(3)

(4)

(5)

上式中，P為預測特征分布數據集，K為訓練數據，T為采集時間段，R為采集頻率，NB為半分布式僵尸網絡動態特征量，C為半分布式僵尸網絡動態特征運維管理的維數，NS為模糊域S中的慣性特征分布系數。采用模糊度特征檢測方法，提取半分布式僵尸網絡動態特征信息的關聯規則集，通過模糊關聯規則調度方法進行半分布式僵尸網絡動態特征信息檢測和挖掘，構建半分布式僵尸網絡動態特征信息的融合聚類模型，根據半分布式僵尸網絡動態特征信息的模糊聚類結果，得到特征聚類的分塊匹配函數為：

(6)

其中，N表示數據調度點數，Mi表示半分布式僵尸網絡動態特征信息抑制的遞歸熵分布中位數，Lm為半分布式僵尸網絡動態特征采樣的最小閾值，fm為半分布式僵尸網絡動態特征信息的中位數，fless表示最小采樣時間間隔[11]。采用波特間隔均衡控制方法，進行半分布式僵尸網絡的動態特征補償，構建半分布式僵尸網絡動態特征信息采樣模型：

(7)

其中，X表示采樣集合；diN表示數據調度點i到點N的總距離，nN表示半分布式僵尸網絡動態特征信息采樣總數量；di1表示數據調度點i到點1的距離，n1表示采樣數量。

1.2 提取統計特征量

在上述構建半分布式僵尸網絡動態特征信息采樣模型的基礎上，提取半分布式僵尸網絡的統計特征量[12-13]。采用判決均衡方法，對采集到的半分布式僵尸網絡動態特征信息進行定量遞歸分析，其表達式為：

R(k)=Akexp (jφk)Mi×D(di,dj)

(8)

其中,R(k)為半分布式僵尸網絡動態特征信息；φk為網絡動態負載輸出擴展相位；Ak為同頻窗口函數。采用模糊特征檢測方法，提取半分布式僵尸網絡動態特征信息的關聯規則集，其表達式為：

D(xi,Aj(L))=min {D(xi,Aj(L))}

(9)

其中，xi表示半分布式僵尸網絡動態自適應調制系數；Aj(L)表示半分布式僵尸網絡的傳輸鏈路偏移幅值；min {D(xi,Aj(L))}表示最小可信度的關聯規則。在最佳尋優模式下，得到半分布式僵尸網絡動態特征信息模糊度調度函數C(l)的表達式為：

(10)

(11)

(12)

式中，xi表示半分布式僵尸網絡動態自適應調制系數。根據式(12)，采用分集判決反饋抑制技術[17-18]，得到半分布式僵尸網絡傳輸的遷移調度集子序列v(k)的表達式為：

(13)

對式(13)進行(N-1)/2點傅里葉變換，采用自適應相關性特征提取方法，提取半分布式僵尸網絡的統計特征量z0的表達式為：

(14)

2 基于大數據的半分布式僵尸網絡動態抑制

2.1 大數據尋優計算方法

根據提取到的半分布式僵尸網絡的統計特征量，采用大數據尋優計算方法，獲取真正半分布式僵尸網絡的最優抑制參數。設訓練數據為T，預測數據為P，則得到訓練后的參數組合表達式為：

(15)

將a、b、c看作半分布式僵尸網絡中各參數組合的基于數據的抑制評價指標，建立半分布式僵尸網絡抑制數據評價指標MSE與參數組合的關系式為：

MSE=U(ai,bi,ci)

(16)

基于上一過程建立的抑制評價指標MSE與參數組合U的關系模型，對半分布式僵尸網絡中抑制參數全組合進行預測，得到新的半分布式僵尸網絡抑制數據評價指標MSE′，將MSE′作為半分布式僵尸網絡實際抑制值，經過多次迭代，對MSE′進行留一法訓練尋優，找到最優的半分布式僵尸網絡抑制參數組合，其表達式為：

(17)

式中，t表示半分布式僵尸網絡中抑制參數全組合的預測時間。

2.2 半分布式僵尸網絡動態抑制

(18)

根據上述分析，基于多樣性反饋濾波檢測方法，得到半分布式僵尸網絡負載均衡的輸出沖激響應y(t)，根據半分布式僵尸網絡的沖激響應，在半分布式僵尸網絡的鏈路分配區域，得到半分布式僵尸網絡動態遷移的正態分布，在多徑干擾下，進行半分布式僵尸網絡的輸出動態特征融合處理，得到融合結果Wy(t,v)的表達式為：

(19)

其中，k表示半分布式僵尸網絡的特征分辨率，v表示調制頻率，Wx為半分布式僵尸網絡遷移負載聯合狀態估計。計算半分布式僵尸網絡通信數據動態遷移負載響應Φ(ω)，在嵌入式環境下，將半分布式僵尸網絡的最優抑制參數和遷移負載響應結果相結合，得到半分布式僵尸網絡的動態抑制E(t)的表達式為：

(20)

其中，Δx表示半分布式僵尸網絡動態信息的輸出統計峰值，c表示基于數據的抑制評價指標。綜上分析，完成半分布式僵尸網絡動態抑制。

3 仿真實驗與結果分析

3.1 實驗環境設置

為了驗證本文方法在實現半分布式僵尸網絡動態抑制的應用性能，利用Matlab仿真工具，在Microsoft Windows XP操作系統，Intel(R)Celeron(R) 2.6 GHz處理器、24 GB內存的環境下進行仿真實驗分析。實驗中所使用的數據來源于計算機科學數據庫(http://www.stat.wisc.edu/～reinsel/bjr-data/)，共采集數據5000個，進行50組實驗，每次使用100個數據。

3.2 實驗指標

本文以半分布式僵尸網絡動態抑制精度、抑制時間和誤碼率為實驗指標，將分別來自文獻[3-9]的方法和本文方法進行對比實驗。

1)抑制精度。精度為驗證檢測結果的準確性，由于受到半分布式僵尸網絡的環境信息干擾因素的影響，導致半分布式僵尸網絡的安全性不好，所以對半分布式僵尸網絡進行動態抑制，抑制精度越高，說明網絡越安全。由此，將本文方法與文獻[3]方法、文獻[4]方法、文獻[5]方法進行對比分析。

2)抑制時間。半分布式僵尸網絡通信數據在動態傳輸時出現時間延遲現象，能夠對抑制效率產生影響。因此將本文方法與文獻[5]方法、文獻[6]方法、文獻[7]方法進行半分布式僵尸網絡動態抑制時間對比分析。

3)誤碼率。誤碼率是衡量數據在規定時間內數據傳輸精確性的指標，誤碼的產生是由于在信號傳輸中，衰變改變了信號的電壓，致使信號在傳輸中遭到破壞，產生誤碼，誤碼率越低，抑制效果越好。將本文方法與文獻[7]方法、文獻[8]方法、文獻[9]方法進行對比分析。

3.3 實驗結果

圖1 半分布式僵尸網絡的動態負載大數據采樣

將半分布式僵尸網絡的動態信息采樣的載波頻率設置為380 kHz，網絡空間信息采樣的載波頻率設置為4.5 kHz，信道的傳輸帶寬設置為24 dB，為信息采樣長度的10倍，根據上述仿真環境和參量設定，進行級聯半分布式僵尸網絡動態特征抑制仿真，得到半分布式僵尸網絡的動態負載大數據采樣結果如圖1所示。

以圖1的數據為研究對象，提取半分布式僵尸網絡動態特征量，并對半分布式僵尸網絡動態進行抑制，得到實際抑制結果如圖2所示。

圖2 實際抑制輸出

將本文方法、文獻[3]方法、文獻[4]方法和文獻[5]方法的半分布式僵尸網絡動態抑制結果與實際抑制結果進行擬合度對比，結果如圖3所示。

圖3 4種方法的抑制結果

分析圖3可知，本文方法的半分布式僵尸網絡動態抑制結果與實際抑制結果的擬合度為100%，而文獻方法與實際抑制結果相差較大，說明本文方法的半分布式僵尸網絡動態抑制精度較高，這是因為本文方法結合了大數據尋優的計算方法來實現半分布式僵尸網絡動態抑制。

為了進一步驗證本文方法的有效性，將本文方法、文獻[5]方法、文獻[6]方法和文獻[7]方法進行半分布式僵尸網絡動態抑制時間對比分析，對比結果如圖4所示。

圖4 4種方法的抑制時間對比

根據圖4可知，本文方法的半分布式僵尸網絡動態抑制時間在實驗次數為40次時，開始呈現穩定狀態，當實驗次數為60次時，本文方法的抑制時間為25 s，而文獻[5]方法、文獻[6]方法和文獻[7]方法的半分布式僵尸網絡動態抑制時間分別為92 s、89 s和66 s，本文方法的半分布式僵尸網絡動態抑制時間為最低。

將本文方法與文獻[7]方法、文獻[8]方法、文獻[9]方法進行半分布式僵尸網絡動態后的輸出誤碼率對比，得到結果見表1。

表1 誤碼率測試對比 單位：%

分析表1得知，隨著迭代次數的增長，4種方法的誤碼率呈現逐漸遞減的狀態，而當迭代到300次時，本文方法的誤碼率為0，比文獻[7]方法、文獻[8]方法、文獻[9]方法的誤碼率低。說明本文方法通過半分布式僵尸網絡動態抑制，降低了網絡的輸出誤碼率。

4 結束語

結合嵌入式的特征分布式檢測方法，進行半分布式僵尸網絡的動態抑制，提高半分布式僵尸網絡的安全性，本文提出了一種基于大數據的半分布式僵尸網絡動態抑制算法。采用波特間隔均衡控制方法，構建半分布式僵尸網絡動態特征信息采樣模型，提取半分布式僵尸網絡的統計特征量；利用大數據尋優計算方法，獲取半分布式僵尸網絡最優抑制參數，實現半分布式僵尸網絡動態抑制。對實驗結果分析得知，本文方法進行半分布式僵尸網絡動態抑制的精度較高，抑制時間較短，降低了輸出誤碼率。