混網網絡結構下最優入侵目標檢測軟件的設計與實現

摘 要： 傳統網絡入侵目標檢測方法存在漏報率高和對不確定入侵數據檢測性能弱的缺陷，無法勝任混網網絡安全檢測的需要。針對混網網絡結構特征，設計并實現了最優入侵目標檢測軟件，該軟件包括負載均衡模塊、誤用檢測模塊、匹配算法自適應模塊，并采用多核網絡處理器的多個同構核當成混網入侵檢測引擎。通過自適應多模式匹配模型，基于混網網絡的狀態、特征動態對模式匹配算法進行動態調控，確保入侵目標檢測引擎的利用率最大化。該匹配模型包括規范預操作過程、流量檢測過程以及動態調控過程。給出了混網網絡結構下的數據包多核處理過程以及匹配算法的優化代碼。實驗結果說明，所設計入侵檢測軟件可實現混網下入侵目標的有效檢測，具有較高的檢測性能。

關鍵詞： 混網網絡； 最優入侵目標； 檢測； 軟件

中圖分類號： TN911?34 文獻標識碼： A 文章編號： 1004?373X（2015）24?0079?04

Design and implementation of optimal detection software for intrusion objects in

hybrid network structure

GAO Xiaohu

（Jiangsu Vocational College of Business， Nantong 226011， China）

Abstract： The traditional network invasion detection method can not satisfy the demands of the mixed network safety detection due to its high non?response rate and weak detectability for uncertainty intrusion data. In view of the hybrid network structure characteristics， the optimal detection software for intrusion objects was designed. Thr software consists of load balancing module， misuse detection module and matching algorithm self?adaptive module. The multiple isomorphic cores of multi?core network processor is used in it as the engine of the hybrid network intrusion detection. By adaptive multiple pattern matching model， the dynamic caontrol of pattern matching algorithm is performed based on the state and characteristic dynamic state of the mixed network， and the maximum utilization of intrusion detection engine is guaranteed. The matching model includes the pre?operation process of the specification， the flow detection process and the dynamic regulation process. The multi?core treating process of data packet and the optimized code of matching algorithm are presented. The experiment result shows that the designed intrusion detection software can realize the effective detection of intruder in hybrid network and has high detection performance.

Keywords： mixed network； optimal invasion goal； detection； software

0 引 言

隨著網絡技術的快速發展，網絡安全問題逐漸受到關注。當前的網絡環境日趨復雜，特別是包含不同網絡結構的混合網絡，其網絡攻擊手段具有多元化、復雜化等特征[1?3]。傳統網絡入侵目標檢測方法，存在漏報率高和對不確定入侵數據檢測性能弱的缺陷，無法勝任混網網絡安全檢測的需要。因此，針對混網網絡特征，尋求有效的入侵目標檢測模型，具有重要的研究價值[4?5]。

文獻[6]分析了基于粗糙集合人工免疫的入侵目標檢測方法，該種方法具有較高的自學習和容錯能力，但是免疫過程需要大量完整的數據集，面對小樣本的網絡入侵數據，該種方法容易陷入局部最優解，且運行周期較長，不能滿足網絡入侵檢測要求。文獻[7]提出基于支持向量機的網絡入侵目標檢測模型，該種模型通過搜索某種歸納原則，實現入侵目標的有效檢測，但是該種方法存在效率低、耗能高的問題。文獻[8]分析了基于關聯規范的入侵目標檢測模型，但是該模型對訓練數據集要求很高，而檢測的準確率又不高。文獻[9]提出采用網格法實現最優入侵目標的檢測，該種方法在設定的網格密度范圍內搜索各點，將各點當成分類器的參數，最終采用準確率最高的參數對，完成檢測，但是這種方法耗時大，對于混網中的大數據集進行檢測的效率大大降低。針對上述分析的問題，本文設計了一種面向混網網絡結構下的最優入侵目標檢測軟件，該軟件包括負載均衡模塊、誤用檢測模塊、匹配算法自適應模塊。提出了一種自適應多模式匹配模型，基于混網網絡的狀態、特征動態對模式匹配算法進行動態調控，進而確保檢測引擎的利用率最大化。實驗結果說明，所設計入侵檢測軟件，可實現混網下入侵目標的有效檢測，具有較高的檢測性能。

1 混網網絡結構下最優入侵目標檢測軟件設計

1.1 軟件功能模塊設計

本文針對混網網絡結構特征，設計的最優入侵目標檢測軟件包括負載均衡模塊、誤用檢測模塊、匹配算法自適應模塊，三個模塊的具體結構和相互調用關系，如圖1所示。

圖1 軟件功能模塊結構圖

1.2 入侵檢測引擎總體結構

入侵檢測引擎可從協議分析模塊中采集協議還原后的網絡報文，通過誤用檢測引擎同入侵規范進行模式匹配。混網網絡結構下，為了提高入侵檢測效率，需要采用多核網絡處理器的多個同構核當成混網入侵檢測引擎。各核上運行一個入侵檢測進程，協議分析模塊以及入侵檢測模塊的核間通信采用隊列的方式。入侵檢測引擎的總體架構如圖2所示。

本文設計的入侵檢測引擎包含負載平衡、入侵檢測以及匹配算法自適應模塊。負載平衡模塊對檢測引擎的負載量進行總體調控，確保負載量均衡化；入侵檢測引擎通過誤用檢測方法比較協議研究后的報文和規范庫中的入侵規范，進而尋求最優入侵目標并報警；匹配算法自適應模塊基于入侵規范模式的特征以及混網狀態調整模式匹配方法，提高檢測引擎的魯棒性。

1.3 誤用檢測方法

本文采用的誤用檢測方法為模式匹配方法，模式匹配（Qoreern Match） 通過專門定義的入侵規范描述語言來表示入侵行為，將已知入侵利用規范描述語言形成特征庫，通過比對待檢測網絡數據包與特征庫入侵描述來檢測入侵。本文針對混網網絡結構特征，提出了一種自適應多模式匹配模型，基于混網網絡的狀態、特征動態對模式匹配算法進行動態調控，進而確保檢測引擎的利用率最大化。

圖2 入侵檢測引擎架構

自適應多模式匹配模型包括規范預操作過程、流量檢測過程以及動態調控過程。規范預操作過程需要設置原始的有效匹配算法；流量檢測過程調用適用于當前的匹配算法，同時向動態調控過程傳輸網絡狀態信息；動態調整過程基于網絡當前的狀態信息以及規范信息，選擇后續的匹配算法。模型的算法庫中包含AC 算法、ACBM 算法、WM 算法等常用的多模式匹配算法，這些算法具有統一的對外接口，切換方便。

（1） 規范預操作過程

規范預操作過程在IPS 規則初始化過程中進行，先塑造規范鏈表，并按照規范特征以及協議特征等對比匹配算法庫中的算法，進而采集一個模式匹配算法。

（2） 流量檢測過程

流量檢測過程通過預操作過程采集的匹配算法，對IPS 探針采集的待檢測數據包進行模式匹配，并將檢測結果傳遞到動態調控過程。

（3） 動態調控過程

IPS探針工作時，自適應多模式匹配方法對入侵目標檢測引擎的檢測結果進行分析，并評估當前的混網網絡狀態，進而在算法庫中采集最佳匹配算法，調整決策參數和模式匹配算法。調整模式匹配算法主要在WM和ACBM 算法間進行變換。基于規模文件塑造匹配的規范樹，規范樹中各樹節點用于描述某種類型模式匹配的子任務，研究規范樹中各節點的協議變量特征以及相關模式特征；分析算法庫中的各匹配算法的特征，采集一種最適合該規范樹節點的多模式匹配算法。

系統的邏輯處理流程為，負載均衡模塊獲得協議分析后的網絡報文，通過自適應均衡算法分配數據包的流向，將數據包傳輸到某個入侵目標檢測引擎的隊列中。入侵目標檢測引擎檢測混網網絡報文，同時將檢測結果傳輸到危險等級分析模塊，通過自適應多模式匹配算法獲取后續的模式匹配算法，并將結果傳輸到入侵檢測模塊中。

1.4 數據包多核處理

混網網絡結構下最優入侵目標檢測模型，需要基于多核架構模型，對數據包進行多核處理，進而提高最優入侵目標的檢測效率。混網結構下的多核架構中數據包的處理過程，如圖3所示。

圖3 數據包處理流程

本文入侵檢測軟件需要實現混網網絡結構下數據采集、數據預處理、入侵分析以及告警等過程。功能流水線技術將入侵目標檢測軟件的處理過程劃分成不同的有序數據操作過程，將不同的操作過程分布到不同的執行單元中進行操作，首個執行單元運行入侵目標檢測軟件的第一步，完成操作后將檢測結果反饋到檢測軟件的下個過程的執行單元核中，因為多核的各核運行總體軟件的一個子集，則將提高入侵目標檢測命令的執行率。混網網絡結構下的數據包多核處理過程如圖4所示。分析圖4可得，在數據包重組后4核處理過程中，在共享內存中，采用環形緩沖區在不同線程間傳輸數據包。不同線程共享同一的地址空間，則將環形緩沖區設置成一個包指針數組，可避免在多個線程間拷貝或存儲數據包，大大提高了混網中入侵檢測數據包的傳遞效率。

1.5 代碼設計

匹配算法是混網網絡結構下最優入侵目標檢測引擎的核心，其與檢測模型檢測效率有較高的關聯性。

圖4 數據包重組后4核處理工作流程

在網絡數據包檢查入侵特征過程中，需要一個有效的入侵特征搜索算法，具體的優化方法為：

class Query

{

uegmireeont int WNTYUE=168； //設置種類

intd[WNTYUE]；

int m；

biln*Qore：

Public：

Query（gome*，m）：

Int find（gome*，）： //找到特征

}；

Query：：Query（biln*p，len）{

discri（P）；

Qore=P；

m=len；

int q=0；

for（q=0：q

d[ql=m+l；

for（q=0：q

d[Qore[q]l=m?q：

}

Int Query：：find（biln*text，len）{

discri（text）；

int n=len；

if（m>n）

return?l；

int q=m?1；

while（q

int j=m?l：

int i=q；

while o>=0text[i]==Qore[j]）{

j??；

i??

}

I（j==?1）return i+l：

q+=d[text[q+l]]；

}

return?l；

}

2 實驗分析

為了驗證本文軟件模型的有效性，需要進行相關的實驗分析。實驗采用KDD99數據集進行測試，分析最優入侵目標檢測軟件的性能和效率，獲取的相關結果用表1，表2描述。

表1 本文入侵目標檢測軟件的檢測結果

表2 攻擊結果統計

分析表1和表2能夠得出，本文設計的混網結構下的最優入侵目標檢測軟件的報警總數與實際攻擊總數較為接近，說明該軟件可實現入侵目標的有效檢測，具有較高的應用價值。統計實驗過程中本文軟件的成功檢測率、漏報率、誤報率以及報警可信度等指標，評估本文軟件的性能優劣，詳細的結果用表3描述。

表3 性能指標 %

分析表3可以看出，本文軟件的成功檢測率高于92%，漏報率和誤報率也都較低，本文軟件的檢測效率為86.63%，具有較高的優勢，是一種高質量的入侵目標檢測軟件。

為了檢測軟件的運行速度，采用軟件對數據集的檢測時間（s）作為衡量指標，對比分析本文軟件和基于支持向量機的入侵檢測模型的檢測時間如圖5所示。分析圖5可知，相對于基于支持向量機的入侵檢測模型，本文檢測模型的檢測速度大幅度提高，滿足混網網絡結構下最優入侵目標檢測的實時性要求。

3 結 語

本文針對混網網絡結構特征，設計并實現了最優入侵目標檢測軟件，該軟件包括負載均衡模塊、誤用檢測模塊、匹配算法自適應模塊，采用多核網絡處理器的多個同構核當成混網入侵檢測引擎。通過自適應多模式匹配模型，基于混網網絡的狀態、特征動態對模式匹配算法進行動態調控，確保入侵目標檢測引擎的利用率最大化。該匹配模型包括規范預操作過程、流量檢測過程以及動態調控過程。給出了入侵目標檢測模型在混網結構下的多核架構中優化包處理過程以及匹配算法的優化代碼。實驗結果說明，設計的入侵檢測軟件，可實現混網下入侵目標的有效檢測，具有較高的檢測性能。

圖5 不同模型的檢測時間對比

參考文獻

[1] 彭義春，牛熠，胡琦偉.基于IRBF的入侵檢測系統的研究[J].計算機應用與軟件，2013，30（9）：187?190.

[2] 逢俊杰.Xen虛擬機的狀態監控與系統性能優化[D].長春：吉林大學，2013.

[3] 姜秋生，容曉峰.VMI 技術研究綜述[J].電子設計工程，2013，21（1）：13?16.

[4] 沈錫瓊，楊云春，李海雁，等.智能化多媒體教室中語音傳輸系統的設計與實現[J].電子設計工程，2014，22（9）：94?96.

[5] JAAFAR A， SAMSUDI A. An improved version of the visual digital signature scheme [J]. International Arab Journal of Information Technology， 2013， 10（6）： 595?602.

[6] 張玲，白中英，羅守山，等.基于粗糙集和人工免疫的集成入侵檢測模型[J].通信學報，2013，34（9）：166?176.

[7] PALMIERI F， FIORE U， CASTIGLIONE A. A distributed approach to network anomaly detection based on independmt component analysis [J]. Concurrency and Computation?practice Experience， 2014， 26（5）： 1113?1129.

[8] LIU J， XU G S， ZHENG S H， et al. Data streams classification with ensemble model based on decision?feedback [J]. Journal of China Universities of Posts and Telecommunications， 2014， 21（1）： 79?85.

[9] SHEIKHAN M， JADIDI Z. Flow?based anomaly detection in high?speed links using modified GSA?optimized neural network [J]. Neural Computing and Applications， 2014， 5（18）： 599?611.