论文部分内容阅读
【摘 要】群体智能优化算法具有结构较为简单、易于实现等特点,被广泛应用于复杂问题的求解中。以物联僵尸网络为载体的各种网络攻击活动是目前互联网所面临的最为严重的安全威胁之一,具有隐蔽通信特点。本文在介绍蚁群算法、粒子群算法、灰狼算法经典群体智能算法的基础上,重点介绍了群体智能算法在物联僵尸网络中的应用,主要有命令控制信道构建、特征提取以及检测,对未来研究趋势做了展望。
【关键词】群体智能;物联僵尸网络;检测;网络安全
引言
物联网是智能设备的网络,是21世纪重大的创新之一。物联网在农业,医疗保健,食品供应管理,药品供应管理,环境监控和智能家居等各个领域都得到了实现,促进了互联网上的机器对机器通信。Gartner报告反映出物联网设备数量的巨大增长,到2025年物联网设备的数量可能达到500亿个。僵尸网络(botnet)是由大量被僵尸程序所感染的主机受到攻击者所控制而形成的以恶意活动为目的的覆盖网络(overlay network)。僵尸网络控制器可以通过控制服务器操控僵尸主机发起各种类型的网络攻击,如分布式拒绝服务(DDoS)、垃圾邮件(spam)、网络钓鱼(phishing)、点击欺诈(click fraud)以及窃取敏感信息(information theft)等等。以僵尸网络为载体的各种网络攻击活动是目前互联网所面临的最为严重的安全威胁之一,物联僵尸网络是僵尸网络的新发展。
近年来,群体智能优化算法因具有结构较为简单、易于实现等特点,被广泛应用于复杂问题的求解中。本文重点介绍了群体智能算法在物联僵尸网络中的应用,主要有两方面,一是隐蔽型命令控制信道构建,二是僵尸网络特征提取和参数优化,进而提升检测准确率,降低误报率。
1.物联僵尸网络
僵尸网络的核心是通信,经典命令控制信道主要通过IRC、HTTP、SMB、P2P、自定义等协议实现。以 IRC 服务作為集中式命令与控制的信道易于实施,低延迟,实时性好,但是集中式拓扑容易被检测和封锁。采用HTTP协议来构建命令与控制信道的僵尸主机通过周期性访问僵尸网络控制器,获取命令文件,解析并执行相应的操作,能够穿透IDS和防火墙,具备良好的通用性,隐藏性。服务器消息块(SMB)协议是一种在家庭和企业网络中的典型流量模式下隐藏通信的协议,主要用于局域网中的通信。采用 P2P协议构建分布式的僵尸网络控制通道,解决了僵尸网络控制器单点失效问题,有较好的健壮性、隐蔽性、自组织能力。缺点是易受到索引污染(index poisoning )和Sybil攻击、初始化脆弱性。采用自定义的协议进行通信的僵尸网络更为隐蔽,且通信过程更不容易被检测。随着互联网的发展,以物联网、云平台、社交平台为代表等公共服务资源渐成为了僵尸网络滋生的沃土,平台更加隐蔽化,攻击方式更加多样化。
物联网在农业,医疗保健,食品供应管理,药品供应管理,环境监控和智能家居等各个领域都得到了实现。物联网设备的激增和缺乏安全性已经引起了恶意用户的注意,它们通过创建大规模的物联网僵尸网络攻击来执行一系列DDoS攻击。物联网具有异构环境和资源限制设备,即低内存和低计算能力。僵尸网络是由一个或多个恶意用户控制以执行恶意活动的受感染设备的集合,Mirai是最常见的物联网僵尸网络。物联网僵尸网络的主要特征是:大多数基于Linux,位于受损的IoT设备的RAM上,产生非常大的流量泛滥,并且受感染的IoT设备分布在世界各地。此外,在大多数情况下,物联网僵尸网络对受感染的物联网设备的性能影响有限或没有副作用,因此很难检测到这些僵尸网络。
2.群体智能算法
2.1蚁群算法
蚁群优化(ACO)指的是以生物网络的模仿行为为模型的群体智能中的元启发式技术的子集,1999),特别是蚂蚁群体组织,自适应地寻找食物来源的最佳路径,通过合作和集体推理依靠非常简单的个体的能力和经验来解决复杂的问题。在这样的组织中,由大量的动态实体组成,每个个体都有有限的智能,而生物网络的全局行为特征是大量的集体智能,具有管理多个目标的接近全局优化的新兴能力。在经典的蚁群场景中,蚂蚁通过共享自己的知识,与邻居共同寻找最佳解决方案,并迭代探索解决方案空间,以寻求最佳解决方案的最佳途径。在这种基于蚁群的模型中,通过探索解空间而移动的每个蚂蚁代理,都沿着其通向候选解的路径留下了称为“信息素”的轨迹的种类,即正在搜索“食物”。当它从探索返回到初始位置,即模型中的“巢”时,它会增加遍历路径上剩余的信息素的数量。蚁群算法已经被应用于解决多种组合优化问题。
2.2粒子群算法
粒子群优化算法(PSO),最早是由Eberhart和Kennedy于1995年提出,它的基本概念源于对鸟群捕食行为的思考。该算法将每一个优化问题的解视为一只鸟,即称为粒子,所有粒子均在一个N维空间进行搜索,并由一个适应值来判断目前位置的好坏,通过迭代搜索最佳位置,群体内的信息交互实现问题求解的智能性。粒子具有两个属性:速度和位置,速度代表移动的快慢,位置代表移动的方向。每个粒子单独搜寻的最优解叫做个体极值,粒子群中最优的个体极值作为当前全局最优解。不断迭代,更新速度和位置,最终得到满足终止条件的最优解。
2.3灰狼算法
灰狼优化算法是一种近年来兴趣的较新的群体智能优化算法,具有简单高效、需要调节的参数少、容易实现特点被成功应用于多个领域。算法中存在能够进行自适应调整的收敛因子和信息反馈机制,可以在局部寻优与全局搜索之间实现平衡。GWO算法的灵感来自观察灰狼在自然界中的生活方式以及进行搜索以寻找猎物的最佳方式。GWO算法通过根据搜索者的适应性将搜索代理分为四种类型,模拟了狼在领导和狩猎中的严格社会等级。可抽象为金字塔模型,从上往下分为四层,第一层称为种群中的领导者,称为α。金字塔第二层是α的下属,即智囊团队,称为β,主要负责协助α进行决策。金字塔第三层是δ,听从α和β的决策命令,主要负责侦查、放哨、以及看护等事务。金字塔第四层是ω,代表个体,主要负责种群内部关系的平衡。 3.群体智能算法在物联僵尸网络中应用
3.1命令控制信道构建
复杂系统的构想,例如自组织、响应弹性和适应性,可以极大地帮助僵尸网络通信协议和体系结构设计,确保独立的bot代理之间进行自发的,隐式的协调与协作。根据动态构建的度约束最小生成树,通过多个短距离跳点将控制信息传播到任意机器人节点,提高了网络容错性和动态适应网络环境的能力。像其他覆盖网络组织一样,僵尸网络具有特定的生存能力、可靠性和可用性要求,必须能够以隐秘的方式进行操作以实现上述目标。
蚂蚁在自然环境中的行为的观察,可以在没有任何主控或中央权限驱动它们的情况下,动态,自适应地将觅食对象收集并收集到它们的巢中,这为解决上述C&C鲁棒性和可伸缩性问题提供了新的思路。基于蚁群算法的僵尸网络架构可以通过定期在潜在的完全网格化动态构建最小生成树(MST),来自适应地设置成本最低的C&C通道基础结构,以将僵尸网络节点互连,从而确保整个僵尸网络的覆盖范围。基于群体技术的关键特征是,承担基本问题解决代理角色的单个蚂蚁通过仅依靠代理之间的间接和异步通信来查找复杂问题中的候选解决方案的能力,提高了僵尸网络通信结构的隐蔽性与智能性。
3.2检测
(1)PSO。文献[1]将粒子群优化(PSO)算法与投票系统(BD-PSO-V)结合使用,PSO算法将每个特征看成粒子,进行搜索,用于网络流数据特征选择。投票系统包括深层神经网络算法,支持向量机(SVM)和决策树C4.5,采用基于最大投票数,用于识别僵尸网络样本进行分类,大大提升了检测模型的准确率。
算法具体分为三步,第一步,将数据集导入原始计算机网络系统,使用X均值聚类算法对数据进行预处理,为后续处理做准备。第二级对输入到PSO算法的数据进行了预处理。PSO算法 提取攻击检测有效特征的子集,最后选择最佳特征。PSO优化算法的使用可确保功能很少对僵尸网络检测的影响未在主流处理中使用。将具有多个优化特征的数据集输入到投票系统中。第三,投票系统由三种机器学习算法组成,所有机器学习算法都会生成一个模型,然后将测试数据应用于每个模型。
数据挖掘和机器学习技术在物联网僵尸网络检测领域有着重要的作用。Habib M等人针对物联网总僵尸网络检测,提出基于多目标粒子群优化(MOPSO)的检测模型,用于识别批量网络流量中的恶意行为。针对多目标非支配排序遗传算法、常用的傳统机器学习算法和一些传统的基于过滤的特征选择方法,验证了该算法的性能。
(2)GWO。Al Shorman等人基于灰狼优化算法提出了一种新的无监督进化式物联网僵尸网络检测智能系统。该方法的主要贡献首次将GWO与OCSVM相结合,应用于物联网僵尸网络攻击的检测,利用遗传算法优化OCSVM超参数,同时进行特征选择。为了证明所提方法的有效性,使用典型的异常检测评估方法对实际基准数据集的新版本进行了性能评估。
该算法检测受损的物联网设备的优点是:第一,它处理异质特性,与传统的计算环境相比,物联网环境的多样性非常高。通过分别对每种设备类型进行建模,该算法克服了物联网设备不断增长的异构性。第二,算法是无监督的。可以检测到已知和未知的僵尸网络攻击。第三,模型位于路由器网关上,因此可以在受限的物联网设备上维护能源,计算和内存资源。
3.总结
群体智能算法进行信息优化,有助于提高物联僵尸网络检测系统性能,得到较好检测效果,提升可靠性和稳定性。随着部署的在线物联网设备数量急剧增加,这些设备缺乏安全性以及受感染的IoT设备可能未显示任何明显的感染症状,加大了检测难度。将群智能优化算法应用于僵尸网络检测的未来趋势是,第一,多种群体智能算法的组合优化,结合各自优点进行整合,取长补短,提高算法收敛速度,提升全局寻优效果。第二,如何适应海量并且高速物联网设备的实时检测,结合人工智能的方法提高检测效率,是一个重要的研究方向。
参考文献
[1]M. Asadi, M.A.J. Jamali, S. Parsa et al., Detecting botnet by using particle swarm optimization algorithm based on voting system, Future Generation Computer Systems (2020)
项目编号:2018年度河南省高等学校重点科研项目,《基于生物智能的物联网中继节点自动化部署方案》,编号18B520045。
作者简介:邢颖(1985-),河南沈丘人,讲师,硕士研究生,研究方向为信息安全。
【关键词】群体智能;物联僵尸网络;检测;网络安全
引言
物联网是智能设备的网络,是21世纪重大的创新之一。物联网在农业,医疗保健,食品供应管理,药品供应管理,环境监控和智能家居等各个领域都得到了实现,促进了互联网上的机器对机器通信。Gartner报告反映出物联网设备数量的巨大增长,到2025年物联网设备的数量可能达到500亿个。僵尸网络(botnet)是由大量被僵尸程序所感染的主机受到攻击者所控制而形成的以恶意活动为目的的覆盖网络(overlay network)。僵尸网络控制器可以通过控制服务器操控僵尸主机发起各种类型的网络攻击,如分布式拒绝服务(DDoS)、垃圾邮件(spam)、网络钓鱼(phishing)、点击欺诈(click fraud)以及窃取敏感信息(information theft)等等。以僵尸网络为载体的各种网络攻击活动是目前互联网所面临的最为严重的安全威胁之一,物联僵尸网络是僵尸网络的新发展。
近年来,群体智能优化算法因具有结构较为简单、易于实现等特点,被广泛应用于复杂问题的求解中。本文重点介绍了群体智能算法在物联僵尸网络中的应用,主要有两方面,一是隐蔽型命令控制信道构建,二是僵尸网络特征提取和参数优化,进而提升检测准确率,降低误报率。
1.物联僵尸网络
僵尸网络的核心是通信,经典命令控制信道主要通过IRC、HTTP、SMB、P2P、自定义等协议实现。以 IRC 服务作為集中式命令与控制的信道易于实施,低延迟,实时性好,但是集中式拓扑容易被检测和封锁。采用HTTP协议来构建命令与控制信道的僵尸主机通过周期性访问僵尸网络控制器,获取命令文件,解析并执行相应的操作,能够穿透IDS和防火墙,具备良好的通用性,隐藏性。服务器消息块(SMB)协议是一种在家庭和企业网络中的典型流量模式下隐藏通信的协议,主要用于局域网中的通信。采用 P2P协议构建分布式的僵尸网络控制通道,解决了僵尸网络控制器单点失效问题,有较好的健壮性、隐蔽性、自组织能力。缺点是易受到索引污染(index poisoning )和Sybil攻击、初始化脆弱性。采用自定义的协议进行通信的僵尸网络更为隐蔽,且通信过程更不容易被检测。随着互联网的发展,以物联网、云平台、社交平台为代表等公共服务资源渐成为了僵尸网络滋生的沃土,平台更加隐蔽化,攻击方式更加多样化。
物联网在农业,医疗保健,食品供应管理,药品供应管理,环境监控和智能家居等各个领域都得到了实现。物联网设备的激增和缺乏安全性已经引起了恶意用户的注意,它们通过创建大规模的物联网僵尸网络攻击来执行一系列DDoS攻击。物联网具有异构环境和资源限制设备,即低内存和低计算能力。僵尸网络是由一个或多个恶意用户控制以执行恶意活动的受感染设备的集合,Mirai是最常见的物联网僵尸网络。物联网僵尸网络的主要特征是:大多数基于Linux,位于受损的IoT设备的RAM上,产生非常大的流量泛滥,并且受感染的IoT设备分布在世界各地。此外,在大多数情况下,物联网僵尸网络对受感染的物联网设备的性能影响有限或没有副作用,因此很难检测到这些僵尸网络。
2.群体智能算法
2.1蚁群算法
蚁群优化(ACO)指的是以生物网络的模仿行为为模型的群体智能中的元启发式技术的子集,1999),特别是蚂蚁群体组织,自适应地寻找食物来源的最佳路径,通过合作和集体推理依靠非常简单的个体的能力和经验来解决复杂的问题。在这样的组织中,由大量的动态实体组成,每个个体都有有限的智能,而生物网络的全局行为特征是大量的集体智能,具有管理多个目标的接近全局优化的新兴能力。在经典的蚁群场景中,蚂蚁通过共享自己的知识,与邻居共同寻找最佳解决方案,并迭代探索解决方案空间,以寻求最佳解决方案的最佳途径。在这种基于蚁群的模型中,通过探索解空间而移动的每个蚂蚁代理,都沿着其通向候选解的路径留下了称为“信息素”的轨迹的种类,即正在搜索“食物”。当它从探索返回到初始位置,即模型中的“巢”时,它会增加遍历路径上剩余的信息素的数量。蚁群算法已经被应用于解决多种组合优化问题。
2.2粒子群算法
粒子群优化算法(PSO),最早是由Eberhart和Kennedy于1995年提出,它的基本概念源于对鸟群捕食行为的思考。该算法将每一个优化问题的解视为一只鸟,即称为粒子,所有粒子均在一个N维空间进行搜索,并由一个适应值来判断目前位置的好坏,通过迭代搜索最佳位置,群体内的信息交互实现问题求解的智能性。粒子具有两个属性:速度和位置,速度代表移动的快慢,位置代表移动的方向。每个粒子单独搜寻的最优解叫做个体极值,粒子群中最优的个体极值作为当前全局最优解。不断迭代,更新速度和位置,最终得到满足终止条件的最优解。
2.3灰狼算法
灰狼优化算法是一种近年来兴趣的较新的群体智能优化算法,具有简单高效、需要调节的参数少、容易实现特点被成功应用于多个领域。算法中存在能够进行自适应调整的收敛因子和信息反馈机制,可以在局部寻优与全局搜索之间实现平衡。GWO算法的灵感来自观察灰狼在自然界中的生活方式以及进行搜索以寻找猎物的最佳方式。GWO算法通过根据搜索者的适应性将搜索代理分为四种类型,模拟了狼在领导和狩猎中的严格社会等级。可抽象为金字塔模型,从上往下分为四层,第一层称为种群中的领导者,称为α。金字塔第二层是α的下属,即智囊团队,称为β,主要负责协助α进行决策。金字塔第三层是δ,听从α和β的决策命令,主要负责侦查、放哨、以及看护等事务。金字塔第四层是ω,代表个体,主要负责种群内部关系的平衡。 3.群体智能算法在物联僵尸网络中应用
3.1命令控制信道构建
复杂系统的构想,例如自组织、响应弹性和适应性,可以极大地帮助僵尸网络通信协议和体系结构设计,确保独立的bot代理之间进行自发的,隐式的协调与协作。根据动态构建的度约束最小生成树,通过多个短距离跳点将控制信息传播到任意机器人节点,提高了网络容错性和动态适应网络环境的能力。像其他覆盖网络组织一样,僵尸网络具有特定的生存能力、可靠性和可用性要求,必须能够以隐秘的方式进行操作以实现上述目标。
蚂蚁在自然环境中的行为的观察,可以在没有任何主控或中央权限驱动它们的情况下,动态,自适应地将觅食对象收集并收集到它们的巢中,这为解决上述C&C鲁棒性和可伸缩性问题提供了新的思路。基于蚁群算法的僵尸网络架构可以通过定期在潜在的完全网格化动态构建最小生成树(MST),来自适应地设置成本最低的C&C通道基础结构,以将僵尸网络节点互连,从而确保整个僵尸网络的覆盖范围。基于群体技术的关键特征是,承担基本问题解决代理角色的单个蚂蚁通过仅依靠代理之间的间接和异步通信来查找复杂问题中的候选解决方案的能力,提高了僵尸网络通信结构的隐蔽性与智能性。
3.2检测
(1)PSO。文献[1]将粒子群优化(PSO)算法与投票系统(BD-PSO-V)结合使用,PSO算法将每个特征看成粒子,进行搜索,用于网络流数据特征选择。投票系统包括深层神经网络算法,支持向量机(SVM)和决策树C4.5,采用基于最大投票数,用于识别僵尸网络样本进行分类,大大提升了检测模型的准确率。
算法具体分为三步,第一步,将数据集导入原始计算机网络系统,使用X均值聚类算法对数据进行预处理,为后续处理做准备。第二级对输入到PSO算法的数据进行了预处理。PSO算法 提取攻击检测有效特征的子集,最后选择最佳特征。PSO优化算法的使用可确保功能很少对僵尸网络检测的影响未在主流处理中使用。将具有多个优化特征的数据集输入到投票系统中。第三,投票系统由三种机器学习算法组成,所有机器学习算法都会生成一个模型,然后将测试数据应用于每个模型。
数据挖掘和机器学习技术在物联网僵尸网络检测领域有着重要的作用。Habib M等人针对物联网总僵尸网络检测,提出基于多目标粒子群优化(MOPSO)的检测模型,用于识别批量网络流量中的恶意行为。针对多目标非支配排序遗传算法、常用的傳统机器学习算法和一些传统的基于过滤的特征选择方法,验证了该算法的性能。
(2)GWO。Al Shorman等人基于灰狼优化算法提出了一种新的无监督进化式物联网僵尸网络检测智能系统。该方法的主要贡献首次将GWO与OCSVM相结合,应用于物联网僵尸网络攻击的检测,利用遗传算法优化OCSVM超参数,同时进行特征选择。为了证明所提方法的有效性,使用典型的异常检测评估方法对实际基准数据集的新版本进行了性能评估。
该算法检测受损的物联网设备的优点是:第一,它处理异质特性,与传统的计算环境相比,物联网环境的多样性非常高。通过分别对每种设备类型进行建模,该算法克服了物联网设备不断增长的异构性。第二,算法是无监督的。可以检测到已知和未知的僵尸网络攻击。第三,模型位于路由器网关上,因此可以在受限的物联网设备上维护能源,计算和内存资源。
3.总结
群体智能算法进行信息优化,有助于提高物联僵尸网络检测系统性能,得到较好检测效果,提升可靠性和稳定性。随着部署的在线物联网设备数量急剧增加,这些设备缺乏安全性以及受感染的IoT设备可能未显示任何明显的感染症状,加大了检测难度。将群智能优化算法应用于僵尸网络检测的未来趋势是,第一,多种群体智能算法的组合优化,结合各自优点进行整合,取长补短,提高算法收敛速度,提升全局寻优效果。第二,如何适应海量并且高速物联网设备的实时检测,结合人工智能的方法提高检测效率,是一个重要的研究方向。
参考文献
[1]M. Asadi, M.A.J. Jamali, S. Parsa et al., Detecting botnet by using particle swarm optimization algorithm based on voting system, Future Generation Computer Systems (2020)
项目编号:2018年度河南省高等学校重点科研项目,《基于生物智能的物联网中继节点自动化部署方案》,编号18B520045。
作者简介:邢颖(1985-),河南沈丘人,讲师,硕士研究生,研究方向为信息安全。