基于时频特征检测的网络入侵信号盲源分离算法

文政颖，王佳欣

(河南工程学院 计算机学院，河南 郑州451191)

随着计算机技术与信息技术的迅猛发展，网络数据的安全问题逐渐突出.网络安全关系到人们生产生活的各个方面，需要一种有效的入侵检测和过滤分离方法，以实现对入侵信号的拦截［1］.传统方法中对网络入侵的检测和分离算法主要有基于统计信号处理的网络入侵检测算法、基于时频特征提取的入侵信号检测算法、基于灰阶向量链路信息映射的漏洞检测与入侵分离算法和基于攻击目标方位参数估计的入侵检测算法等［2-6］.随着现代信号处理技术的发展，基于现代统计信号处理的网络入侵信号盲源分离算法有很好的应用前景，相关算法的研究受到了广大学者和专家的重视.文献［7］提出了一种基于严平稳离散滤波的入侵检测算法，设计连续不变线性系统进行入侵信号滤波，实现网络入侵信号的盲分离，但算法不能有效保证入侵特征检测的收敛性，可能导致漏检.文献［8］提出了一种基于链路信息流自相关波束形成算法实现入侵信号的盲分离，但算法的病毒检测和入侵干扰分离效果不好［9］.

针对上述问题，提出了一种基于时频分析和干扰滤波匹配的网络入侵信号盲源分离算法.首先，构建网络入侵信号时频分析处理模型，提取入侵信号的时频特征，设计盲分离滤波器实现对入侵信号的检测滤波，基于时频特征检测方法实现了网络入侵信号盲源分离算法的改进，然后进行仿真实验，验证了该算法的优越性能.

1 网络入侵信号模型的构建及时频分析处理

1.1 网络入侵信号模型的构建

为了实现对网络入侵的盲源分离，第一步是构建信号模型，采用信号处理方法进行入侵信号检测.设有M个全方向性入侵的信号、一个期望信号Ac和P个干扰信号，并以θ0，θ1，…，θp的角度输入网络入侵检测系统中，构建列向量为Z的极大线性无关组构成的矩阵，即秩为n+t的矩阵Zm，得到网络入侵模型的状态转移方程为

式中，s(n)表示入侵信号，v(n)表示色噪声分量.对入侵信号进行时频分析，通过提取其特征量得到表征信号本质内部的特征以区分干扰信号.通过傅里叶变换，信号从时域向频域过渡，由频域向时域的变换为傅里叶反变换，其表达式为

假设给定的一个二进制网络入侵状态特征向量集合表示为

计算入侵信号的自适应功率谱密度特征，得到网络病毒发生变异后的信息容量估计结果:

式中，a(θi)表示链路层的特征值，si(t)表示信号分量特征，n(t)表示噪声信号.取入侵信号演化状态相空间中Xm为中心点，其最近邻点为Xk，得到多路复用波束域约束指向形成输出结果.假设病毒感染的相频特征矩阵为L，奇异值分解L=U*S*C，U和C是正交矩阵，而

式中，S为L的奇异值，且

网络入侵信号的检测过程是一个迭代过程，由于病毒隐匿于非线性特征环境中，假设捕获数据的期望信号Ac和P个干扰信号以θ0，θ1，…，θp的角度输入防火墙检测系统中，实现对网络的稳定性控制，得到入侵信号解析模型:

式中，z(t)表示捕获数据，x(t)表示入侵信号的实部特征分量，θ(t)表示高频分量.在时频域中，假设信号s(t)为一个连续的信号，其时频分布的定义可以描述为

由此，得到了网络入侵信号模型，为网络入侵检测和盲源分离提供了信号模型基础.

图1 网络入侵信号的近场源均匀线阵Fig.1 Time frequency detection signal of near-field source localization uniform linear array

1.2 信号时频分析及问题的提出

本研究采用时频分析和干扰滤波匹配的方法实现振荡入侵数据的信号检测，对原始攻击信号模型采用双线性本征波变换，构建网络入侵信号的近场源均匀线阵，如图1所示.

采用时频分析方法构建网络入侵信号的约束指向性特征，得到振荡数据的瞬时频率的估计为

使用WVD时频分布结合Hough变换进行时频分析，提取信号的特征并对信号进行滤波分析，在时频域中，网络入侵特征目标函数通过合同矩阵产生，表示为

进而得到波束域约束指向性特征:

由于受到攻击的网络的瞬时频率是时变的，所以应该存在与瞬时频率相对应的瞬时谱.采用时频分析Viterbi算法，得到受攻击的网络病毒的连续攻击信号谱的平均频率等于瞬时频率的平均时间，即

从而，得到该瞬时谱的平均频率即为瞬时频率，瞬时频率为解析信号的相位的导数.通过上述处理，网络入侵信号从时域向频域变换，从而更好地表征信号内部的特征，为网络入侵信号的盲源分离提供准确的数据基础.

2 入侵信号盲源分离算法的改进

2.1 时频特征检测算法

网络入侵信号是一种非平稳随机信号，传统的检测算法难以有效提取信号的冲激响应特征，盲分离性能不好.本研究提出了一种基于时频分析和干扰滤波匹配的网络入侵信号盲源分离算法，采用时频特征检测方法进行入侵信号的检测和分离，提取的时频特征主要是三阶、四阶统计量与高阶谱特征，计算表达式分别为

其中，x(t)是网络入侵信号，Ex是信号能量，v是频率散布值.假设入侵病毒传播所需的时间为tvirus，则病毒成功传播的概率为连接建立的时间tvirus或者更长的概率:

在未知混合参数的情况下，假设时间间隔为n∈［n1，n2］，假设两点为n1和n2，定义n1和n2之间的距离属于K，网络入侵信号频率的点数的方位估计值为

通过上述时频分析，得到网络入侵信号的时频检测模型，如图2所示.根据检测模型进行网络入侵信号的盲分离，可实现信号特征的提取与入侵特征的检测.

图2 网络入侵信号的时频检测模型Fig.2 Time frequency detection model of network intrusion signal

2.2 网络入侵信号盲源分离算法的实现

在上述时频特征检测和提取的基础上，通过傅里叶变换使信号从时域向频域过渡，把Es分成4个P×L的矩阵E0，Ex，Ey，Ez进行盲源分离，即Es=［e1，e2，…，eL］=［E0，Ex，Ey，Ez］H.由上式得

通过由频域向时域的变换得到信号子空间，所以待估计入侵信号的空间状态指向性波束为ExT=E0TΛ，EyT=E0TΩ，EzT=E0TΦ.令Γ=TΛT-1，Ψ=TΩT-1，Υ=TΦT-1，那么入侵信号频谱畸变部分的共轭对称频谱估计结果为

式中，Γ，Ψ，Υ的特征值分别为对角矩阵Λ，Ω，Φ的入侵相位.为了能有效地对信号进行时频分析、估计瞬时频率，得到入侵信号的盲源参数为

通过上述算法，实现了基于时频特征检测的网络入侵信号的盲源分离.

3 仿真实验与结果分析

为了测试本算法的性能，基于Matlab平台进行仿真实验，其中计算机硬件环境为Intel Core3-530 1 G内存，操作系统为Windows 7，网络入侵信号来自于KDD Cup2013网络病毒数据库.仿真参数设定为归一化初始频率f1=0.3，归一化终止频率f2=0.05，在信噪比分别为SNR=-5 dB和SNR=-8 dB的条件下，中心频率测试为f0=1 000 Hz，离散采样率为fs=10 kHz，带宽B=1 000 Hz，进行入侵信号检测仿真.首先，进行信号模型的构建，得到网络入侵信号的时域波形，如图3所示.

图3 信号时域波形Fig.3 Signal time domain waveform

由图3可见，原始的网络入侵信号被淹没在噪声干扰中，难以实现有效的分离和检测，需要进行信号检测设计.采用本研究设计的时频特征检测方法提取信号的时频特征，实现信号的盲源分离，得到了检测频谱图，如图4所示.同时，为了对比算法的性能，采用传统的统计信号特征检测方法进行对比，得到的仿真结果如图5所示.

图4 本方法的仿真结果Fig.4 Simulation result ofmethod in this essay

图5 传统方法的检测结果Fig.5 Detection result of traditionalmethod

上述结果对比可见，采用本算法能有效地实现对入侵信号的特征检测，频谱能量聚集成分明显，时频聚集性很高，而传统方法有较多的伪峰存在，对网络入侵信号的检测和盲源分离效果不佳，容易导致误分和漏检.为了对比算法性能，采用本算法和传统方法在不同信噪比条件下对入侵信号的盲分离检测概率进行测试分析，采用2 000次蒙特卡洛实验，得到检测概率曲线的对比结果，如图6所示.

图6 性能对比Fig.6 Performance comparison

分析上述结果可知，采用本方法进行网络入侵信号的盲源分离，具有较高的拦截和检测概率，准确检测概率提高显著，展示了较好的性能.

4 结语

提出了一种基于时频分析和干扰滤波匹配的网络入侵信号盲源分离算法，采用时频特征检测方法进行信号的盲源分离处理.仿真结果表明，采用本方法能有效提高对入侵信号检测的性能，实现对入侵信号的盲源分离和准确拦截，保证了网络安全.

［1］张永铮，肖军，云晓春，等.DDoS攻击检测和控制［J］.软件学报，2012，23(8):2258-2072.

［2］夏秦，王志文，卢柯.入侵检测系统利用信息熵检测网络攻击的方法［J］.西安交通大学学报:自然科学版，2013，47(2):14-19.

［3］吴春琼.基于特征选择的网络入侵检测模型［J］.计算机仿真，2012，29(6):136-139.

［4］王睿.一种基于回溯的Web上应用层DDoS检测防范机制［J］.计算机科学，2013，40(11A):175-177.

［5］周华，周海军，马建锋.基于博弈论的入侵容忍系统安全性分析模型［J］.电子与信息学报，2013，35(8):1933-1939.

［6］梁力.一种网络多次变异信息入侵检测算法［J］.科技通报，2012，10(28):55-57.

［7］张宗飞.基于量子进化算法的网络入侵检测特征选择［J］.计算机应用，2013，33(5):1357-1361.

［8］张辉.自体集网络入侵检测中的高效寻优算法仿真［J］.计算机仿真，2013，30(8):297-300.

［9］林冬茂，薛德黔.一种基于无监督免疫优化分层的网络入侵检测算法［J］.计算机科学，2013，40(3):180-182.