基于FRFT的网络流量异常数据快速捕获方法_钟妮.pdf

基金项目:2020 年高校优秀青年人才支持计划项目(gxyq2020267)收稿日期:2021-05-08 修回日期:2021-06-18 第 40 卷 第 4 期计 算 机 仿 真2023 年 4 月 文章编号:1006-9348(2023)04-0413-04基于 FRFT 的网络流量异常数据快速捕获方法钟 妮1,王 剑2(1.四川工业科技学院,四川 绵竹 618200;2.武汉理工大学,湖北 武汉 430070)摘要:为了降低异常数据捕获耗时,准确捕获各类攻击形式,保证网络正常运行,以傅里叶变换为构建基础,提出分数阶傅里叶变换下的网络流量异常数据快速捕获手段。结合经典傅里叶变换与角度参数,得到分数阶傅里叶变换及其相关参数,根据网络流量自相似性与异常数据间的相关性,获取变换域序列,利用能量谱参数估计法联立序列能量谱与赫斯特参数间关系。将赫斯特参数作为自相似阶段,依据离散时间序列与正常自相似范围,明确赫斯特参数的自适应阈值范围,基于此实现网络流量异常数据捕获。仿真阶段,选取企业网 VLAN1、VLAN2,采用开源网络攻击模拟工具,测试所提方法在不同攻击形式下的异常数据捕获效果,结果表明所提方法具有良好的捕获精准度,且能够满足实际应用的实时性需求。关键词:分数阶傅里叶变换;傅里叶变换;网络流量;快速捕获;异常数据;赫斯特参数中图分类号:TP399 文献标识码:BFast Capture Method of Network Traffic AbnormalData Based on FRFTZHONG Ni1,WANG Jian2(1.Sichuan Institute of Industrial Technology,Mianzhu Sichuan 618200,China;2.Wuhan University of Technology,Wuhan Hubei 430070,China)ABSTRACT:In order to reduce the time consumption of abnormal data capture,accurately capture various attackforms,and ensure the normal operation of the network,based on the Fourier transform,a rapid capture method ofnetwork traffic abnormal data under the fractional Fourier transform is proposed.Combine classical Fourier transformand angle parameters to obtain fractional Fourier transform and its related parameters.According to the correlation be-tween network traffic self-similarity and abnormal data,the transform domain sequence is obtained,and the energyspectrum parameter estimation method is used to combine the relationship between the sequence energy spectrum andthe Hurst parameter.Taking the Hurst parameter as the self-similar stage,based on the discrete time series and thenormal self-similar range,the adaptive threshold range of the Hurst parameter is clarified,and the network traffic ab-normal data capture is realized based on this.In the simulation phase,the enterprise network VLAN 1 and VLAN 2are selected,and the open source network attack simulation tool is used to test the abnormal data capture effect of theproposed method under different attack forms.The results show that the proposed method has good capture accuracy,and can meet the real-time requirements of practical application.KEYWORDS:Fractional Fourier transform;Fourier transform;Network traffic;Fast capture;Abnormal data;Hurst parameter1 引言信息技术的迅猛进步,使高新技术与日常活动相互渗透、相互融合。互联网作为生活、工作中的重要基础设施,在给人们生活带来便利的同时承受着网络攻击1。网络流量异常是一种网络流量模式,该模式对正常使用网络产生了巨大的影响,因此,诞生了网络流量异常检测技术2,通过该项技术及时发现网络流量异常的位置与出现时刻。网络中生成的流量数据含有数据包截获数据、网络流与简单网络管理314协议的统计数据,而针对异常检测的不同环境,需采用不同的数据源处理技术。随着网络安全问题关注度的不断提高,网络流量异常检测技术得以广泛研究。黎佳玥等人3利用深度学习算法的长短期记忆网络与卷积神经网络,构建出一种网络流量异常预测模型,通过训练取得数据时空特征,预测出下一时段的特征变化,识别出安全事件类型;连鸿飞等人4利用合成少数类过采样技术与增强型分类算法,过采样处理少数类样本,经归一化数据特征,采用卷积神经网络学习空间特征与时序特征,根据计算得到的特征权重,取得异常流量检测结果;孙旭日等人5划分实际网络流量为数据包与会话流,提取数据特征,经离散小波变换获取高维特征,根据格拉布斯准则平滑处理数据,采用训练过的长短期记忆网络自编码模型,重建训练数据,明确检测阈值,实现异常检测。因传统检测方法均存在高运算复杂度的问题,无法满足实时性需求,因此,本文设计一种基于分数阶傅里叶变换的网络流量异常数据快速捕获方法。自相似参数估计策略有助于提升异常数据的捕获准确度;因本文方法省去数据包的特征匹配过程,故加快了捕获异常数据的速度;结合自适应阈值置信范围,缩减捕获失误概率。因此,本文方法会在一定程度上对网络资源作出合理调整,确保网络服务水平与速度,推动网络发展,提升网络安全程度。2 基于分数阶傅里叶变换的自相似参数估计根据网络流量自相似性与异常数据之间的相关性,提出一种分数阶傅里叶变换下的自相似参数估计,以提升参数估计与数据捕获精度。2.1 分数阶傅里叶变换将角度参数 与经典傅里叶变换6相结合,得到分数阶傅里叶变换,采用下列表达式界定分数阶傅里叶变换Kp(u)=+-Mp(t,u)k(t)dt(1)式中,分数阶傅里叶变换的阶数与核函数分别为 p、Mp(t,u),阶数 p 满足下列条件方程组p=4n,Mp(t,u)=(u-t)p=4n+2,Mp(t,u)=(u+t)(2)核函数的计算公式为Mp(t,u)=Aexpj(u2cot -2tucsc +t2cot)(3)式中,分数阶傅里叶变换幅值是 A,下式为其数学式A=1-jcot(4)其中,角度参数 满足p/2,p2n,n 是任意整数。故推导出不同角度参数取值下的分数阶傅里叶变换核函数条件方程组Mp(t,u)=1-jcot 2exp ju2+t22cot -jutsin()(u-t),=2n(u+t),=(2n+1)|(5)利用下列表达式描述分数阶傅里叶变换的逆函数 k(t)k(t)=+-Kp(u)M-p(t,u)du(6)若分数阶傅里叶变换阶 p=1,则=2,利用式(1)得到下列解值k1(u)=+-e-j2utk(t)dt(7)由此可知,通过物理角度的轴转动模式,即可描述分数阶傅里叶变换。角度=0 对应初始信号,呈现时域特征,k0(u)=k(t);若=2,则 k1(u)=K(r),呈现信号频域特征;如果 分别取值为、32、2,则有 k2(u)=k(-t)、k3(u)=K(-r)、k4(u)=k(t)。假设 v=e-jv2表示傅里叶变换的特征值,用高斯函数 v(t)=Hv(t)e-t22指代其特征函数,则特征函数表达式如下所示Fv(t)=vv(t)=e-jv2v(t),v=0,1,2,(8)若将 v(t)替换成厄米高斯函数7作为上式的特征函数,则需使下列等式成立Fpv(t)=pvv(u)=e-jv2()pv(u)(9)基于傅里叶变换特征值与特征函数,推导分数阶傅里叶变换特征值与特征函数。下式所示为展开后的逆函数 k(t)k(t)=+-Kvv(t)(10)经分数阶傅里叶变换处理上列等式的等号两侧,得到下列表达式,即分数阶傅里叶变换特征值Fpk(t)=+v=0e-jpv2Kvv(u)=+v=0e-jpv2v(u)v(t)k(t)dt(11)结合核函数表达式(3),取得下式所示的分数阶傅里叶变换特征函数Mp(t,u)=+v=0e-jpv2v(u)v(t)(12)2.2 分数阶傅里叶变换下参数估计分数阶傅里叶变换网络流量数据,获取分数阶傅里叶变换域序列 Fa(t),根据序列能量谱 Eg2(j)的对数尺度 G(j)与小波关系,利用下列能量谱参数估计算法,联立 G(j)与赫斯特参数之间的相关性。假设 X(t)是一个与正交小波相互作用的自相似时间序列,当其位于 2-j0时,第 j 个子带存在 nj个小波系数,故该414序列能量谱如下所示SX(2-j0)=1njk|dj,k|2(13)同时,X(t)也属于一种自相似阶段,满足 SX(2-j0)(2-j0)-,因此,下列等式成立log2(SX(2-j0)=log21njk|dj,k|2()=log2(c(2-j0)-)=(2H+1)j+c(14)式中,c、c均是任意常数项。经最小均方差拟合8后,即可获取到 log2(SX(2-j0)与 j 之间的连线,2H+1 表示该直线斜率。综上所述,联立出 G(j)与赫斯特指数之间的相关性,关系表达式如下所示G(j)(2H-1)j+c(15)由此制定出以下基于分数阶傅里叶变换的赫斯特参数估计流程:1)采用式(1)所示的 p 阶分数阶傅里叶变换,计算初始的网络流量数据 Xn;2)求解经过分数阶傅里叶变换的序列能量谱 Eg2(j);3)以能量谱 Eg2(j)与对数尺度 G(j)之间的关系为依据,解得对数尺度 G(j);4)通过设计的能量谱参数估计算法,获取尺度j1,j2范围内的赫斯特参数估值。3 基于 FRFT 的网络流量异常数据快速捕获已知 X=Xk,k1,2,、Y=Yk,k1,2,是两个离散时间序列,X、N 分别表示正常网络流量和异常网络流量,两者之间的交集是空集,Y 是整体网络流量,数学形式为 Y=X+N,若 H 指代自相似阶段,则有异常数据存在时,HY-HX将发生显著变化,也就是说,假设 Hn与 Hp分别为当前与前一时刻的自相似参数,则赫斯特参数变化度可用两参数间的差值 H=Hn-Hp表示,若|H|?H,则认为存在异常数据。若时段1,n的赫斯特指数是 H=Hk,k1,2,p,n,1,p时段中网络流量不存在异常数据,H=Hk,k1,2,p呈正态分布9情况,则采用下列表达式界定H概率密度f(H)=12HeH-?H()222H(16)式中,H的均值与方差各是?H、H,分