CN115118495B - 一种基于经验模态分解和频谱特征量检测的用户信息入侵检测方法 - Google Patents

Abstract

一种基于经验模态分解和频谱特征检测的用户信息入侵检测方法，建立分布式智能计算中的用户信息入侵信号模型，并利用信号处理方法建立入侵检测模型；采用经验模态分解法，对分布式智能计算中的用户信息入侵信号进行时频分析和特征分解，得到呈线性平稳正态分布的输出频谱特征量；计算Winger‑Ville分布的频谱特征量，得到的信号失真部分为用户信息入侵信号，利用自适应波束形成方法提取用户信息入侵信号的频谱特征量；基于提取的频谱特征量与检测输出的联合概率密度分布分析，实现对用户信息入侵信号的准确检测。本发明在入侵检测中既具有较高的准确率又具有较强的抗干扰能力，从而可保证用户信息的安全性。

Description

一种基于经验模态分解和频谱特征量检测的用户信息入侵检 测方法

技术领域

本发明属于网络安全技术领域，特别涉及一种基于经验模态分解和频谱特征量检测的用户信息入侵检测方法。

背景技术

网络安全技术是信息网络发展的关键技术，随着网络信息技术的发展和大数据信息的广泛使用，大量的用户数据信息被存储在网络空间中，用于集中分布式存储和管理。分布式智能计算方法一般用于对信息进行数据处理和资源集成调度。在分布式智能计算下，用户信息处于开放的并行云计算环境中，因此用户信息容易受到明文攻击和黑客攻击，导致用户信息泄露甚至网络环境瘫痪。它为整个分布式计算系统的信息和网络空间安全带来了较大的危害。

入侵检测技术能够帮助用户抵御网络攻击，它是一种采用预先主动的方式，对网络各层进行全面检测，以帮助抵御系统可能遭到的攻击。它从计算机系统或计算机网络系统中的信息流集中的关键点收集信息，并且分析它们，从而得到它们的行为是否有违反安全策略的行为，从而实现对系统的实时保护。

分布式智能计算中用户信息入侵检测方法的研究基于入侵信号检测和特征提取。检测主要分为两大类：异常流量挖掘检测和入侵数据信号分析检测。

黎峰，吴春明提出了一种通过在网络传输链路中分布式智能计算中收集用户信息和流量数据进行异常状态监测和识别的方法，并采用大数据信息挖掘和特征提取方法来实现用户信息入侵检测[LI,F.,WU,C.M.:Research on Prevention Fluctuation Controlmethod of Network Intrusion Based on Energy Management[J].Computersimulation,2013,30(12):45-48,335.]，由于大数据信息挖掘与特征提取方法不仅需要大量的用户信息入侵信号作为数据挖掘与特征提取的对象，还需要极高算力的运算环境，因此该方法的入侵拦截能力较差。

孙超，杨春曦等人提出了一种利用时频分析方法作为用户信息和入侵信息的信号建模的入侵检测方法，过滤检测采用相应的特征分析方法[SUN,C.,YANG,C.X.,FAN,S.etc.:Energy Efficient Distributed Clustering Consensus Filtering Algorithmfor Wireless Sensor Networks[J].Information and control,2015,44(3):379-384.]，同上，该方法取得了良好的入侵检测结果，但其入侵检测概率准确度较低。

尚朝轩，王品等人提出了一种基于分布式智能计算和自适应卷积滤波的用户信息入侵检测方法，分析了分布式智能计算中用户信息入侵信号的能量密度和攻击强度等特征信息的时间和频率，构建了自适应卷积滤波器进行信号滤波，实现入侵检测和识别，提高了提取检测精度[SHANG,C.X.,WANG,P.,HAN,Z.Z.,et al.:Feature-level fusionrecognition algorithm based on analogy decision tree classification.Controland Decision,2016,31(06):1009-1014.]。然而，由于自适应卷积滤波在高强度明文攻击情况下工作饱和，降低了检测精度，使得该方法在高强度明文攻击下检测精度较差。

Kareem提出了一种基于频谱参数估计的用户入侵信息检测方法，是采用随机线性处理分布式智能计算环境中的用户入侵信息模型[Kareem,I.A.,Duaimi,M.G.:Improvedaccuracy for decision tree algorithm based on unsupervised discretization[J].Int J of Computer Science and Mobile Computing,2014,3(6):176-183.]，由于采用随机线性处理分布式智能计算环境中的用户入侵信息模型，实时检测性能差，因此该方法存在检测期间成本相对较大以及实时检测性能差等问题。

发明内容

为了克服上述现有技术的缺点，本发明的目的在于提供一种基于经验模态分解和频谱特征量检测的用户信息入侵检测方法，以期解决现有分布式智能计算中用户信息入侵检测方法检测概率较低、拦截能力差、检测成本较高等问题，在入侵检测中既具有较高的准确率又具有较强的抗干扰能力，以保证用户信息的安全性。

为了实现上述目的，本发明采用的技术方案是：

一种基于经验模态分解和频谱特征检测的用户信息入侵检测方法，包括如下步骤：

S1，建立分布式智能计算中的用户信息入侵信号模型，并利用信号处理方法建立入侵检测模型；

S2，采用经验模态分解法，对分布式智能计算中的用户信息入侵信号进行时频分析和特征分解，得到呈线性平稳正态分布的输出频谱特征量；

S3，基于S2的分析和分解结果，计算Winger-Ville分布的频谱特征量，得到的信号失真部分为用户信息入侵信号，利用自适应波束形成方法提取用户信息入侵信号的频谱特征量，并获得准确检测用户信息入侵的概率；

S4，基于提取的频谱特征量与检测输出的联合概率密度分布分析，实现对用户信息入侵信号的准确检测。

示例地，所述S1包括以下步骤：

S11，在分布式组网环境下，分布式智能计算中的用户信息入侵信号是高斯宽平稳随机线性单频信号，对于明文特征，采用连续性吸引方法进行信息窃取；在网络链路层数据传输过程中，分布式智能计算中的用户信息入侵信号的相频响应特性如下：

式中，P是用户信息入侵信号的时频特征，x(t)是网络传输的非线性时间序列，τ是时间延迟，t是时间变量；

S12，当用户信息入侵信号处于快速时变衰落时，以网络传输的非线性时间序列x(t)作为用户信息入侵信号模型，且采用时频分析方法将x(t)由时域信号转换为频域信号X_p(u)，定义为：

式中，K_p(t，u)是能量时频联合分布函数，F^α[x(t)]为x(t)的时频域变换函数，对于变换核心，K_p(t，u)在时频域坐标系内对时间t的积分等于X_p(u)的总能量，u表示频率；

S13，基于Wigne-Ville分布式聚集，采用K_p(t，u)进化谱K_α(t，u)描述用户信息入侵信号模型的高阶非线性随机过程，则分布式智能计算中用户信息入侵信号的离散分析过程如下：

K_α(t，u)表示用户信息入侵信号模型的高阶非线性随机过程，*表示取共轭；u′表示偏移频率；基于分布式智能计算的用户信息入侵的平移不变特征量描述为：

其中l是一个整数，l∈Z，l表示分布式智能计算环境中用户信息入侵信号的边际特征量，δ(t)为阶跃函数，u表示频率，α表示时间窗函数；

S14，对于分布式智能计算中的时变非平稳用户信息入侵信号，当α＝2lπ，K_α(t，u)＝δ(t-u)，在α≠lπ前提下用户信息入侵信号满足以下条件：(a)完备性、(b)正交性、(c)局部性、(d)适应性；基于S12中用户信息入侵信号模型，在分布式智能计算环境中，得到用户信息入侵信号的幅度和频率，并且将其简化为矩阵表达式如下：

X＝F_α·x

其中，矩阵X为用户信息入侵信号的简化表示，F_α为用户信息入侵信号简化矩阵X的瞬时频率，x为用户信息入侵信号简化矩阵X的幅度；

X＝[X_α(0)，X_α(1)，…，X_α(i)，…，X_α(N-1)]^T

x＝[x_α(0)，x_α(1)，…，x_α(i)，…，x_α(N-1)]^T

其中，X_α(i)为用户信息入侵信号简化矩阵X的第i+1行分量，x_α(i)为用户信息入侵信号简化矩阵X的第i+1行分量的幅度；

分布式智能计算中用户信息入侵信号的瞬时频率F_α是一个N×N维矩阵，矩阵的每个元素是：

其中，F_α(m，n)表示矩阵F_α中第m行第n列的元素，也即所述的入侵检测模型；m表示元素在矩阵中所在的行数；n表示元素在矩阵中所在的列数；A_α表示元素F_α(m，n)的幅度；Δu和Δt都是时间变量；sgn(x)是阶跃函数；sin(α)是正弦函数；cotα是余切函数；T代表矩阵的转置。

示例地，所述S2包括以下步骤：

S21，入侵信号的经验模态分解方程描述为：

α(t)表示在分布式智能计算中用户信息入侵信号的复杂包络，φ(t)表示瞬时频谱特征量，复杂包络α(t)的两个正交分量s(t)和s_l(t)；

S22，基于经验模态分解结果，将用户信息入侵信号模型分解为若干固有模态函数成分，并在时频傅立叶变换中进行信息过滤和控制，以有效滤除干扰信息，然后得到如下的用户信息入侵信号高频和低频分量：

其中Re{}表示对{}内的函数取实部，τ_n(t)表示时间延迟函数，a_n(t)表示用户信息入侵信号模型分解为若干固有模态函数成分的包络函数，f_c表示特征频率，每组用户信息入侵信号的固有模态函数成分是根据频谱特征量的不等带宽线性排列的，用户信息入侵信号的频谱特征量的顺序为c₁，c₂，...，c_n；用户信息入侵信号的频谱特征量X′(t)仅与用户信息入侵信号的分解频率有关，分解的结果如下：

X′(t)＝X(t)/||X(t)||

||X(t)||表示X(t)的模；X(t)表示用户信息入侵信号的频率随时问变化的随机过程；

S23，在分布式智能计算中对用户信息入侵信号的固定频率段进行自适应加窗，对多分量信号进行自适应加权，得到固定频率段的用户信息入侵信号的频谱特征量，即所述呈线性平稳正态分布的输出频谱特征量，并输出如下：

其中x′(t)表示分布式智能计算传输通道中的过零尺度参数输入；α是时间窗函数；cotα是余切函数；cscα是余割函数，固定频率段指用户信息入侵信号的固定频率段；多分量信号是指用户信息入侵信号的多个不同频率的分量信号。

示例地，所述S3包括以下步骤：

S31，采用自相关匹配滤波检测方法将入侵信号与普通信号分离；

S32，在傅立叶分析中，根据入侵信息的时间尺度计算矩形包络，采用多源波束形成方法得到分布式智能计算中用户信息入侵信号的时间尺度；

S33，对任意用户信息入侵信号x(t)，时间尺度参数用x(t)的零点计算得到；计算Winger-Ville分布的频谱特征量，得到的信号失真部分表示用户信息入侵信号，信号失真部分估计值是：

b_k是通过时间轴转换得到的极端尺度参数，φ表示瞬时频谱特征量，e是期望响应，c_k是时间分辨率；k表示第k个时隙，q表示时间窗，n_q表示第n_q个用户信息入侵信号；

S34，利用自适应波束形成方法提取用户信息入侵信号的频谱特征量，并进行希尔伯特-黄变换；

S35，通过计算整个频域中的瞬时频率获得固有模式函数，并且获得整个伴随着Winger-Ville分布的频谱特征量方向不变性的零点轨迹分布：

S36，通过确定包络平均值和提取Winger-Ville分布的频谱特征量，获得准确检测用户信息入侵的概率，表示如下：

其中，P_di表示第i个用户信息入侵的概率，P_ei表示第i个用户信息入侵的虚假概率。

示例地，所述S4包括以下步骤：

S41，根据用户信息入侵信号的局部震荡特性和Winger-Ville分布的频谱特征量，得到过零尺度参数的频谱特征量联合概率密度γ_i，估算方法如下：

SNR_i是第i个用户信息入侵信号的信噪比；

S42，在时频域分析中得到用户信息入侵信号能量谱密度，并采用自适应加权方法得到用户信息入侵信号的包络P_f；

S43，在w次分解后，用户信息入侵信号融合和检测采用最小均方误差法则，最小均方误差ε(w)为：

d(w)表示期望响应，y(w)表示用户信息入侵信号检测输出的传输误差，W_i表示第i个用户信息入侵信号的概率密度；

S44，对ε(w)两侧取数学期望，得到用户入侵信号检测模型输出的传输误差y(w)，如下：

S45，进行信号延拓并引入相关系数法识别虚假成分，得到用户信息入侵信号的虚假成分的时域和频域输出；

S46，将高斯核函数作为多源用户信息入侵环境中的多项式核，使用最陡下降法，在计算分解后得到n个固有模态成分c′_i和m个虚假成分r_k，以及固有模态函数c′_i(t)和用户信息入侵信号x(t)之间的相关性，从而获得用户信息入侵信号的检测输出如下：

x^*(t)为x(t)的取共轭运算，为c_j(t)的取共轭运算，/>表明了真实的用户信息入侵信号被检测出。

与现有技术相比，本发明实现了对用户入侵信息的准确检测，从结果来看，当信噪比为12.4dB时，本发明提出的方法的检测概率为1，误报概率为0，不仅有良好的入侵检测概率，而且在相对低的信噪比下也可以提供较高的入侵检测概率和较低的虚警概率，通过使用该方法很好的实现了入侵检测和过滤，有效抵御了明文攻击，且具有较强的抗干扰能力，保证了用户信息存储和传输的安全，可确保应用中用户信息的安全性，对于网络安全技术的发展具有实际意义。

附图说明

图1是本发明方法流程图

图2是(通道一)第一组分布式智能计算中用户信息的频谱分布。

图3是(通道二)第二组分布式智能计算中用户信息的频谱分布。

图4是入侵信息的Winger-Ville分布的频谱特征量。

图5是入侵检测性能比较。

具体实施方式

下面结合附图和实施例详细说明本发明的实施方式。

如图1所示，本发明为一种基于经验模态分解和频谱特征检测的用户信息入侵检测方法，包括如下步骤：

S1，建立分布式智能计算中的用户信息入侵信号模型，并利用信号处理方法建立入侵检测模型。

S1具体包括以下步骤：

S11，在分布式组网环境下，分布式智能计算中的用户信息入侵信号是高斯宽平稳随机线性单频信号，对于明文特征，采用连续性吸引方法进行信息窃取；在网络链路层数据传输过程中，分布式智能计算中的用户信息入侵信号的相频响应特性如下：

式中，P是用户信息入侵信号的时频特征，x(t)是网络传输的非线性时间序列，τ是时间延迟，t是时间变量；

S12，当用户信息入侵信号处于快速时变衰落时，将x(t)用做用户信息入侵信号模型，且采用时频分析方法将x(t)由时域信号转换为频域信号X_p(u)，分数阶变换的定义为：

式中，K_p(t,u)是能量时频联合分布函数，F^α[x(t)]为x(t)的时频域变换函数，对于变换核心，K_p(t,u)在时频域坐标系内对时间的积分等于X_p(u)的总能量，u表示频率；基于分布式智能计算的用户信息入侵的平移不变特征量描述为：

其中l是一个整数，l∈Z，l表示分布式智能计算环境中用户信息入侵信号的边际特征量，δ(t)为阶跃函数，u表示频率；α表示时间窗函数。

S13，基于Wigne-Ville分布式聚集，可以采用K_p(t，u)进化谱K_α(t，u)来描述用户信息入侵信号模型的高阶非线性随机过程，因此，分布式智能计算中用户信息入侵信号的离散分析过程如下：

K_α(t，u)为K_p(t，u)进化谱，其表示了用户信息入侵信号模型的高阶非线性随机过程，*表示取共轭；u′表示偏移频率。

S14，对于分布式智能计算中的时变非平稳用户信息入侵信号，当α＝2lπ，则K_α(t，u)＝δ(t-u)，相应地， Xα(u)是当α＝2lπ时，用户信息入侵信号的频域信号。

在α≠lπ前提下，用户信息入侵信号满足以下条件：(a)完备性、(b)正交性、(c)局部性、(d)适应性；基于S12中用户信息入侵信号模型，在分布式智能计算环境中，得到用户信息入侵信号的幅度(能量)和频率，并且可以将其简化为矩阵表达式如下：

X＝F_α·x

其中，矩阵X为用户信息入侵信号的简化表示，F_α为用户信息入侵信号简化矩阵X的瞬时频率，x为用户信息入侵信号简化矩阵X的幅度；

X＝[X_α(0)，X_α(1)，…，X_α(i)，…，X_α(N-1)]^T

x＝[x_α(0)，x_α(1)，…，x_α(i)，…，x_α(N-1)]^T

其中，X_α(i)为用户信息入侵信号简化矩阵X的第i+1行分量，x_α(i)为用户信息入侵信号简化矩阵X的第i+1行分量的幅度。

分布式智能计算中用户信息入侵信号的瞬时频率F_α是一个N×N维矩阵，即入侵检测模型，矩阵的每个元素是：

其中，F_α(m，n)表示矩阵F_α中第m行第n列的元素；m表示元素在矩阵中所在的行数；n表示元素在矩阵中所在的列数；A_α表示元素F_α(m，n)的幅度；Δu和Δt都是时间变量；sgn(x)是阶跃函数；sin(α)是正弦函数；cotα是余切函数；T代表矩阵的转置。

基于上述处理，即可实现分布式智能计算中的用户信息入侵信号模型和频谱分析，为用户信息入侵信号检测提供了准确的信号输入基础。

S2，采用经验模态分解法，对分布式智能计算中的用户信息入侵信号进行时频分析和特征分解，得到呈线性平稳正态分布的输出频谱特征量。

S2具体包括以下步骤：

S21，入侵信号的经验模态分解方程可以描述为：

α(t)表示在分布式智能计算中用户信息入侵信号的复杂包络，φ(t)表示瞬时频谱特征量，s(t)和s_l(t)是复杂包络α(t)的两个正交分量。

S22，基于经验模态分解结果，将用户信息入侵信号模型分解为若干固有模态函数成分，并在时频傅立叶变换中进行信息过滤和控制，以有效滤除干扰信息，然后得到如下的用户信息入侵信号高频和低频分量：

其中Re{}表示对{}内的函数取实部，τ_n(t)表示时间延迟函数，a_n(t)表示用户信息入侵信号模型分解为若干固有模态函数成分的包络函数，f_c表示特征频率。

每组用户信息入侵信号的固有模态函数成分是根据频谱特征量的不等带宽线性排列的，用户信息入侵信号的频谱特征量的顺序为c₁,c₂,...,c_n；此时，用户信息入侵信号的频谱特征量X′(t)仅与用户信息入侵信号的分解频率有关，分解的结果如下：

X′(t)＝X(t)/‖x(t)‖

‖X(t)‖表示X(t)的模；X(t)表示用户信息入侵信号的频率随时间变化的随机过程。

S23，在分布式智能计算中对用户信息入侵信号的固定频率段进行自适应加窗，对多分量信号进行自适应加权，得到固定频率段的用户信息入侵信号频谱特征量，并输出如下：

其中x′(t)表示分布式智能计算传输通道中的过零尺度参数输入；α是时间窗函数；cotα是余切函数；cscα是余割函数，固定频率段指用户信息入侵信号的固定频率段；多分量信号是指用户信息入侵信号的多个不同频率的分量信号。

通过上述处理，实现了分布式智能计算中涉及用户信息的入侵信息的时频分析和特征分解，得到输出特征量线性静止和正态分布。通过将这种性质作为决策条件，可以进行用户信息入侵信号的差异特征提取和检测。

S3，基于S2的分析和分解结果，计算Winger-Ville分布的频谱特征量，得到的信号失真部分为用户信息入侵信号，利用自适应波束形成方法提取用户信息入侵信号的频谱特征量。

基于上述用户信息构建和入侵信号模型的分布式智能计算和时频分析以及用经验模态分解方法对分布式智能计算中的入侵信息进行特征分解，本发明从以下方法对入侵检测算法进行优化。

S3具体包括以下步骤：

S31，采用自相关匹配滤波检测方法将入侵信号与普通信号分离，用户信息入侵信号频谱特征量的自相关匹配函数如下：

T_SRm表示用户信息入侵信号的时间，T_service表示其服务时间，T_wait表示其等待时间，μ_im是波速，p_im是概率密度，λ_i是波长，σ_service是服务时间的均值；M表示用户信息入侵信号的总数；

S32，在傅立叶分析中，根据入侵信息的时间尺度计算矩形包络，采用多源波束形成方法得到分布式智能计算中用户信息入侵信号的时间尺度T_total，并按如下公式记录下来：

T_total表示用户信息入侵信号的时间尺度，S_SR表示单个用户信息入侵信号分量的个数，M表示用户信息入侵信号的总数，T_SRm表示用户信息入侵信号的时间，λ_SRm表示用户信息入侵信号的波长。

S33，对任意用户信息入侵信号x(t)，时间尺度参数用x(t)的零点计算得到；计算Winger-Ville分布的频谱特征量，得到的信号失真部分表示用户信息入侵信号，信号失真部分的估计值是：

b_k是通过时间轴转换得到的极端尺度参数，φ表示瞬时频谱特征量，e是期望响应，c_k是时间分辨率；k表示第k个时隙，q表示时间窗，n_q表示第n_q个用户信息入侵信号。

S34，利用自适应波束形成方法提取用户信息入侵信号的频谱特征量，经希尔伯特-黄变换如下：

其中窗函数rect(t)＝1，|t|≤1/2；t₀是初始时间，K是能量时频联合分布；

S35，通过计算整个频域中的瞬时频率获得固有模式函数，并且获得如下整个伴随着Winger-Ville分布的频谱特征量方向不变性的零点轨迹分布

S36，通过确定包络平均值和提取Winger-Ville分布的频谱特征量，获得准确检测用户信息入侵的概率，并表示如下：

其中，P_di表示第i个用户信息入侵的概率，P_ei表示第i个用户信息入侵的虚假概率。

根据特定标准优化滤波器参数，使其接近信号平均值，设计检测标准并进行入侵检测。

S4，基于频谱特征量与检测输出的联合概率密度分布分析，实现对用户信息入侵信号的准确检测。

S4具体包括以下步骤：

S41，假设用户信息入侵信号在分布式智能计算中呈线性平稳分布，根据用户信息入侵信号的局部震荡特性和Winger-Ville分布的频谱特征量，得到过零尺度参数的频谱特征量联合概率密度γ_i，估算方法如下：

SNR_i是第i个用户信息入侵信号的信噪比。

S42，在时频域分析中得到用户信息入侵信号能量谱密度，并采用自适应加权方法得到用户信息入侵信号的包络P_f如下：

c_k表示时间分辨率，P_f，i表示第i个用户信息入侵信号能量谱密度；

S43，在w次分解后，用户信息入侵信号融合和检测采用最小均方误差法则，最小均方误差ε(w)为：

d(w)表示期望响应，y(w)表示用户信息入侵信号检测输出的传输误差，W_i表示第i个用户信息入侵信号的概率密度；

S44，对ε(w)的式子两侧取数学期望，得到用户入侵信号检测模型输出的传输误差y(w)，如下：

S45，使用d(w)表示期望响应，为了避免信号落在包络线外，引入相关系数法来识别虚假成分；得到用户信息入侵信号的虚假成分的时域和频域输出如下：

表示用户信息入侵信号的虚假成分的时域输出；/>表示用户信息入侵信号的虚假成分的频域输出；/>表示用户信息入侵信号；/>表示用户信息入侵信号的固有模态成分；/>表示用户信息入侵信号的虚假成分与固有模态成分的相关系数，d_v为期望响应；由于取最小值点I_n(1)作为左边的对称中心来进行信号延拓，因此得到表示最小均方误差；/>表示最小均值；v_w为均方误差；T表示对矩阵取转置；

S46，高斯核函数被视为多源用户信息入侵环境中的多项式核，使用最陡下降法，在计算分解后可以得到n个固有模态成分c′_i和m个虚假成分r_k，以及固有模态函数c′_i(t)和用户信息入侵信号x(t)之间的相关性，从而获得用户信息入侵信号的检测输出如下：

x^*(t)为x(t)的取共轭运算，为c_j(t)的取共轭运算。由于经验模态分解是局部正交分解，因此/>可以看出检测输出的误差收敛于零。/>表明了真实的用户信息入侵信号被检测出。

为了表现出本发明在分布式智能计算中检测用户信息入侵所拥有的更好的入侵拦截能力和检测能力，需要对其应用性能进行测试，采用Matlab2010b编程软件设计，在分组交换网络中进行分布式智能计算中的用户信息采集和流量分析。用户流量统计和异常特征监控在网络链路层完成；数据采样间隔设置为12秒，采样频率为1024KHz，入侵信息的干扰信噪比设定为-20dB，调制信号是一组单频信号x(t)＝cos(2πf₀t)，这里f₀＝1KHz。入侵信息监控的时隙长度是T＝0.1s，初始频率为200Hz，噪声是白高斯噪声，入侵信息监测的初始信噪比为3dB。基于上述仿真环境和参数设置，得到两组采样通道中分布式智能计算中用户信息的频谱分布，如图2和图3所示。

分析图2和图3可以看出，原始用户信息分布过于分散，关联规律性较弱，难以实现有效的入侵检测。本发明方法应用于分布式智能计算中入侵信息的时频分析和特征分解，以及Winger-Ville入侵信息分布的谱特征量的提取。结果如图4所示。

结合图5以及图4和图2以及图3的比较可以看出，根据Winger-Ville谱特征的联合概率密度分布，谱图有一定的波动，但频率仍然集中在1000Hz的分布，表明了入侵的规律性。分布式智能计算信息表明该方法提高了入侵特征检测的分辨率，提高了检测精度。在入侵检测中定量比较不同的方法，并获得检测精度的比较，如图5所示。图5的分析表明，当信噪比为-20dB时，本发明提出的方法的检测概率为0.543，误报概率为0.457，而传统检测方法的检测概率为0.461，误报概率为0.539。当信噪比为12.4dB时，本发明提出的方法的检测概率为1，误报概率为0；而传统方法的检测概率为0.964，误报概率为0.036。结果表明，本发明提出的方法在入侵检测中具有较高的准确性，即使信噪比较低，也可以提供较高的入侵检测概率和较低的误报概率。因此，本发明提出的方法具有更高的检测准确率和更好的截获用户信息入侵信号的能力。

Claims (1)

1.一种基于经验模态分解和频谱特征检测的用户信息入侵检测方法，其特征在于，包括如下步骤：

S1，建立分布式智能计算中的用户信息入侵信号模型，并利用信号处理方法建立入侵检测模型；

S2，采用经验模态分解法，对分布式智能计算中的用户信息入侵信号进行时频分析和特征分解，得到呈线性平稳正态分布的输出频谱特征量；

S3，基于S2的分析和分解结果，计算Winger-Ville分布的频谱特征量，得到的信号失真部分为用户信息入侵信号，利用自适应波束形成方法提取用户信息入侵信号的频谱特征量；

S4，基于提取的频谱特征量与检测输出的联合概率密度分布分析，实现对用户信息入侵信号的准确检测；

其中，所述S1包括以下步骤：

S11，在分布式组网环境下，分布式智能计算中的用户信息入侵信号是高斯宽平稳随机线性单频信号，对于明文特征，采用连续性吸引方法进行信息窃取；在网络链路层数据传输过程中，分布式智能计算中的用户信息入侵信号的相频响应特性如下：

式中，P是用户信息入侵信号的时频特征，x(t)是网络传输的非线性时间序列，τ是时间延迟，t是时间变量；

S12，当用户信息入侵信号处于快速时变衰落时，以x(t)作为用户信息入侵信号模型，且采用时频分析方法将x(t)由时域信号转换为频域信号X_p(u)，定义为：

式中，K_p(t，u)是能量时频联合分布函数，F^α[x(t)]为x(t)的时频域变换函数，对于变换核心，K_p(t，u)x(t)在时频域坐标系内对时间t的积分等于X_p(u)的总能量，u表示频率；

S13，基于Wigne-Ville分布式聚集，采用K_p(t，u)进化谱K_α(t，u)描述用户信息入侵信号模型的高阶非线性随机过程，则分布式智能计算中用户信息入侵信号的离散分析过程如下：

K_α(t，u)表示用户信息入侵信号模型的高阶非线性随机过程，*表示取共轭；u′表示偏移频率；基于分布式智能计算的用户信息入侵的平移不变特征量描述为：

其中l是一个整数，l∈Z，l表示分布式智能计算环境中用户信息入侵信号的边际特征量，δ(t)为阶跃函数，u表示频率，α表示时间窗函数；

S14，对于分布式智能计算中的时变非平稳用户信息入侵信号，当α＝2lπ，K_α(t，u)＝δ(t-u)，即X_α(u)＝x(u)，在α≠lπ前提下用户信息入侵信号满足以下条件：(a)完备性、(b)正交性、(c)局部性、(d)适应性；基于S12中用户信息入侵信号模型，在分布式智能计算环境中，得到用户信息入侵信号的幅度和频率，并且将其简化为矩阵表达式如下：

X＝F_α·x

其中，矩阵X为用户信息入侵信号的简化表示，F_α为用户信息入侵信号简化矩阵X的瞬时频率，x为用户信息入侵信号简化矩阵X的幅度；

X＝[X_α(0)，X_α(1)，…，X_α(i)，…，X_α(N-1)]^T

x＝[x_α(0)，x_α(1)，…，x_α(i)，…，x_α(N-1)]^T

其中，X_α(i)为用户信息入侵信号简化矩阵X的第i+1行分量，x_α(i)为用户信息入侵信号简化矩阵X的第i+1行分量的幅度；

分布式智能计算中用户信息入侵信号的瞬时频率F_α是一个N×N维矩阵，矩阵的每个元素是：

其中，F_α(m，n)表示矩阵F_α中第m行第n列的元素，也即所述的入侵检测模型；m表示元素在矩阵中所在的行数；n表示元素在矩阵中所在的列数；A_α表示元素F_α(m，n)的幅度；Δu和Δt都是时间变量；sgn(x)是阶跃函数；sin(α)是正弦函数；cotα是余切函数；T代表矩阵的转置；

所述S2包括以下步骤：

S21，入侵信号的经验模态分解方程描述为：

α(t)表示在分布式智能计算中用户信息入侵信号的复杂包络，φ(t)表示瞬时频谱特征量，复杂包络α(t)的两个正交分量s(t)和s_l(t)；

S22，基于经验模态分解结果，将用户信息入侵信号模型分解为若干固有模态函数成分，并在时频傅立叶变换中进行信息过滤和控制，以有效滤除干扰信息，然后得到如下的用户信息入侵信号高频和低频分量：

其中Re{}表示对{}内的函数取实部，τ_n(t)表示时间延迟函数，a_n(t)表示用户信息入侵信号模型分解为若干固有模态函数成分的包络函数，f_c表示特征频率，每组用户信息入侵信号的固有模态函数成分是根据频谱特征量的不等带宽线性排列的，用户信息入侵信号的频谱特征量的顺序为c₁，c₂，...，c_n；用户信息入侵信号的频谱特征量X′(t)仅与用户信息入侵信号的分解频率有关，分解的结果如下：

X′(t)＝X(t)/||X(t)||

||X(t)||表示X(t)的模；X(t)表示用户信息入侵信号的频率随时间变化的随机过程；

S23，在分布式智能计算中对用户信息入侵信号的固定频率段进行自适应加窗，对多分量信号进行自适应加权，得到固定频率段的用户信息入侵信号的频谱特征量，即所述呈线性平稳正态分布的输出频谱特征量，并输出如下：

其中x′(t)表示分布式智能计算传输通道中的过零尺度参数输入；α是时间窗函数；cotα是余切函数；cscα是余割函数，固定频率段指用户信息入侵信号的固定频率段；多分量信号是指用户信息入侵信号的多个不同频率的分量信号；

所述S3包括以下步骤：

S31，采用自相关匹配滤波检测方法将入侵信号与普通信号分离；

S32，在傅立叶分析中，根据入侵信息的时间尺度计算矩形包络，采用多源波束形成方法得到分布式智能计算中用户信息入侵信号的时间尺度；

S33，对任意用户信息入侵信号x(t)，时间尺度参数用x(t)的零点计算得到；计算Winger-Ville分布的频谱特征量，得到的信号失真部分表示用户信息入侵信号，信号失真部分估计值是：

b_k是通过时间轴转换得到的极端尺度参数，φ表示瞬时频谱特征量，e是期望响应，c_k是时间分辨率；k表示第k个时隙，q表示时间窗，n_q表示第n_q个用户信息入侵信号；

S34，利用自适应波束形成方法提取用户信息入侵信号的频谱特征量，并进行希尔伯特-黄变换；

S35，通过计算整个频域中的瞬时频率获得固有模式函数，并且获得整个伴随着Winger-Ville分布的频谱特征量方向不变性的零点轨迹分布：

S36，通过确定包络平均值和提取Winger-Ville分布的频谱特征量，获得准确检测用户信息入侵的概率，表示如下：

其中，P_di表示第i个用户信息入侵的概率，F_ei表示第i个用户信息入侵的虚假概率；

所述S4包括以下步骤：

S41，根据用户信息入侵信号的局部震荡特性和Winger-Ville分布的频谱特征量，得到过零尺度参数的频谱特征量联合概率密度γ_i，估算方法如下：

SNR_i是第i个用户信息入侵信号的信噪比；

S42，在时频域分析中得到用户信息入侵信号能量谱密度，并采用自适应加权方法得到用户信息入侵信号的包络P_f；

S43，在w次分解后，用户信息入侵信号融合和检测采用最小均方误差法则，最小均方误差ε(w)为：

d(w)表示期望响应，y(w)表示用户信息入侵信号检测输出的传输误差，W_i表示第i个用户信息入侵信号的概率密度；

S44，对ε(w)两侧取数学期望，得到用户入侵信号检测模型输出的传输误差y(w)，如下：

S45，进行信号延拓并引入相关系数法识别虚假成分，得到用户信息入侵信号的虚假成分的时域和频域输出；

S46，将高斯核函数作为多源用户信息入侵环境中的多项式核，使用最陡下降法，在计算分解后得到n个固有模态成分c′_i和m个虚假成分r_k，以及固有模态函数c′_i(t)和用户信息入侵信号x(t)之间的相关性，从而获得用户信息入侵信号的检测输出如下：

x^*(t)为x(t)的取共轭运算，为c_j(t)的取共轭运算，/>表明了真实的用户信息入侵信号被检测出。