混網(wǎng)網(wǎng)絡(luò)結(jié)構(gòu)下最優(yōu)入侵目標(biāo)檢測(cè)軟件的設(shè)計(jì)與實(shí)現(xiàn)

摘 要： 傳統(tǒng)網(wǎng)絡(luò)入侵目標(biāo)檢測(cè)方法存在漏報(bào)率高和對(duì)不確定入侵?jǐn)?shù)據(jù)檢測(cè)性能弱的缺陷，無(wú)法勝任混網(wǎng)網(wǎng)絡(luò)安全檢測(cè)的需要。針對(duì)混網(wǎng)網(wǎng)絡(luò)結(jié)構(gòu)特征，設(shè)計(jì)并實(shí)現(xiàn)了最優(yōu)入侵目標(biāo)檢測(cè)軟件，該軟件包括負(fù)載均衡模塊、誤用檢測(cè)模塊、匹配算法自適應(yīng)模塊，并采用多核網(wǎng)絡(luò)處理器的多個(gè)同構(gòu)核當(dāng)成混網(wǎng)入侵檢測(cè)引擎。通過(guò)自適應(yīng)多模式匹配模型，基于混網(wǎng)網(wǎng)絡(luò)的狀態(tài)、特征動(dòng)態(tài)對(duì)模式匹配算法進(jìn)行動(dòng)態(tài)調(diào)控，確保入侵目標(biāo)檢測(cè)引擎的利用率最大化。該匹配模型包括規(guī)范預(yù)操作過(guò)程、流量檢測(cè)過(guò)程以及動(dòng)態(tài)調(diào)控過(guò)程。給出了混網(wǎng)網(wǎng)絡(luò)結(jié)構(gòu)下的數(shù)據(jù)包多核處理過(guò)程以及匹配算法的優(yōu)化代碼。實(shí)驗(yàn)結(jié)果說(shuō)明，所設(shè)計(jì)入侵檢測(cè)軟件可實(shí)現(xiàn)混網(wǎng)下入侵目標(biāo)的有效檢測(cè)，具有較高的檢測(cè)性能。

關(guān)鍵詞： 混網(wǎng)網(wǎng)絡(luò)； 最優(yōu)入侵目標(biāo)； 檢測(cè)； 軟件

中圖分類號(hào)： TN911?34 文獻(xiàn)標(biāo)識(shí)碼： A 文章編號(hào)： 1004?373X（2015）24?0079?04

Design and implementation of optimal detection software for intrusion objects in

hybrid network structure

GAO Xiaohu

（Jiangsu Vocational College of Business， Nantong 226011， China）

Abstract： The traditional network invasion detection method can not satisfy the demands of the mixed network safety detection due to its high non?response rate and weak detectability for uncertainty intrusion data. In view of the hybrid network structure characteristics， the optimal detection software for intrusion objects was designed. Thr software consists of load balancing module， misuse detection module and matching algorithm self?adaptive module. The multiple isomorphic cores of multi?core network processor is used in it as the engine of the hybrid network intrusion detection. By adaptive multiple pattern matching model， the dynamic caontrol of pattern matching algorithm is performed based on the state and characteristic dynamic state of the mixed network， and the maximum utilization of intrusion detection engine is guaranteed. The matching model includes the pre?operation process of the specification， the flow detection process and the dynamic regulation process. The multi?core treating process of data packet and the optimized code of matching algorithm are presented. The experiment result shows that the designed intrusion detection software can realize the effective detection of intruder in hybrid network and has high detection performance.

Keywords： mixed network； optimal invasion goal； detection； software

0 引 言

隨著網(wǎng)絡(luò)技術(shù)的快速發(fā)展，網(wǎng)絡(luò)安全問(wèn)題逐漸受到關(guān)注。當(dāng)前的網(wǎng)絡(luò)環(huán)境日趨復(fù)雜，特別是包含不同網(wǎng)絡(luò)結(jié)構(gòu)的混合網(wǎng)絡(luò)，其網(wǎng)絡(luò)攻擊手段具有多元化、復(fù)雜化等特征[1?3]。傳統(tǒng)網(wǎng)絡(luò)入侵目標(biāo)檢測(cè)方法，存在漏報(bào)率高和對(duì)不確定入侵?jǐn)?shù)據(jù)檢測(cè)性能弱的缺陷，無(wú)法勝任混網(wǎng)網(wǎng)絡(luò)安全檢測(cè)的需要。因此，針對(duì)混網(wǎng)網(wǎng)絡(luò)特征，尋求有效的入侵目標(biāo)檢測(cè)模型，具有重要的研究?jī)r(jià)值[4?5]。

文獻(xiàn)[6]分析了基于粗糙集合人工免疫的入侵目標(biāo)檢測(cè)方法，該種方法具有較高的自學(xué)習(xí)和容錯(cuò)能力，但是免疫過(guò)程需要大量完整的數(shù)據(jù)集，面對(duì)小樣本的網(wǎng)絡(luò)入侵?jǐn)?shù)據(jù)，該種方法容易陷入局部最優(yōu)解，且運(yùn)行周期較長(zhǎng)，不能滿足網(wǎng)絡(luò)入侵檢測(cè)要求。文獻(xiàn)[7]提出基于支持向量機(jī)的網(wǎng)絡(luò)入侵目標(biāo)檢測(cè)模型，該種模型通過(guò)搜索某種歸納原則，實(shí)現(xiàn)入侵目標(biāo)的有效檢測(cè)，但是該種方法存在效率低、耗能高的問(wèn)題。文獻(xiàn)[8]分析了基于關(guān)聯(lián)規(guī)范的入侵目標(biāo)檢測(cè)模型，但是該模型對(duì)訓(xùn)練數(shù)據(jù)集要求很高，而檢測(cè)的準(zhǔn)確率又不高。文獻(xiàn)[9]提出采用網(wǎng)格法實(shí)現(xiàn)最優(yōu)入侵目標(biāo)的檢測(cè)，該種方法在設(shè)定的網(wǎng)格密度范圍內(nèi)搜索各點(diǎn)，將各點(diǎn)當(dāng)成分類器的參數(shù)，最終采用準(zhǔn)確率最高的參數(shù)對(duì)，完成檢測(cè)，但是這種方法耗時(shí)大，對(duì)于混網(wǎng)中的大數(shù)據(jù)集進(jìn)行檢測(cè)的效率大大降低。針對(duì)上述分析的問(wèn)題，本文設(shè)計(jì)了一種面向混網(wǎng)網(wǎng)絡(luò)結(jié)構(gòu)下的最優(yōu)入侵目標(biāo)檢測(cè)軟件，該軟件包括負(fù)載均衡模塊、誤用檢測(cè)模塊、匹配算法自適應(yīng)模塊。提出了一種自適應(yīng)多模式匹配模型，基于混網(wǎng)網(wǎng)絡(luò)的狀態(tài)、特征動(dòng)態(tài)對(duì)模式匹配算法進(jìn)行動(dòng)態(tài)調(diào)控，進(jìn)而確保檢測(cè)引擎的利用率最大化。實(shí)驗(yàn)結(jié)果說(shuō)明，所設(shè)計(jì)入侵檢測(cè)軟件，可實(shí)現(xiàn)混網(wǎng)下入侵目標(biāo)的有效檢測(cè)，具有較高的檢測(cè)性能。

1 混網(wǎng)網(wǎng)絡(luò)結(jié)構(gòu)下最優(yōu)入侵目標(biāo)檢測(cè)軟件設(shè)計(jì)

1.1 軟件功能模塊設(shè)計(jì)

本文針對(duì)混網(wǎng)網(wǎng)絡(luò)結(jié)構(gòu)特征，設(shè)計(jì)的最優(yōu)入侵目標(biāo)檢測(cè)軟件包括負(fù)載均衡模塊、誤用檢測(cè)模塊、匹配算法自適應(yīng)模塊，三個(gè)模塊的具體結(jié)構(gòu)和相互調(diào)用關(guān)系，如圖1所示。

圖1 軟件功能模塊結(jié)構(gòu)圖

1.2 入侵檢測(cè)引擎總體結(jié)構(gòu)

入侵檢測(cè)引擎可從協(xié)議分析模塊中采集協(xié)議還原后的網(wǎng)絡(luò)報(bào)文，通過(guò)誤用檢測(cè)引擎同入侵規(guī)范進(jìn)行模式匹配。混網(wǎng)網(wǎng)絡(luò)結(jié)構(gòu)下，為了提高入侵檢測(cè)效率，需要采用多核網(wǎng)絡(luò)處理器的多個(gè)同構(gòu)核當(dāng)成混網(wǎng)入侵檢測(cè)引擎。各核上運(yùn)行一個(gè)入侵檢測(cè)進(jìn)程，協(xié)議分析模塊以及入侵檢測(cè)模塊的核間通信采用隊(duì)列的方式。入侵檢測(cè)引擎的總體架構(gòu)如圖2所示。

本文設(shè)計(jì)的入侵檢測(cè)引擎包含負(fù)載平衡、入侵檢測(cè)以及匹配算法自適應(yīng)模塊。負(fù)載平衡模塊對(duì)檢測(cè)引擎的負(fù)載量進(jìn)行總體調(diào)控，確保負(fù)載量均衡化；入侵檢測(cè)引擎通過(guò)誤用檢測(cè)方法比較協(xié)議研究后的報(bào)文和規(guī)范庫(kù)中的入侵規(guī)范，進(jìn)而尋求最優(yōu)入侵目標(biāo)并報(bào)警；匹配算法自適應(yīng)模塊基于入侵規(guī)范模式的特征以及混網(wǎng)狀態(tài)調(diào)整模式匹配方法，提高檢測(cè)引擎的魯棒性。

1.3 誤用檢測(cè)方法

本文采用的誤用檢測(cè)方法為模式匹配方法，模式匹配（Qoreern Match） 通過(guò)專門定義的入侵規(guī)范描述語(yǔ)言來(lái)表示入侵行為，將已知入侵利用規(guī)范描述語(yǔ)言形成特征庫(kù)，通過(guò)比對(duì)待檢測(cè)網(wǎng)絡(luò)數(shù)據(jù)包與特征庫(kù)入侵描述來(lái)檢測(cè)入侵。本文針對(duì)混網(wǎng)網(wǎng)絡(luò)結(jié)構(gòu)特征，提出了一種自適應(yīng)多模式匹配模型，基于混網(wǎng)網(wǎng)絡(luò)的狀態(tài)、特征動(dòng)態(tài)對(duì)模式匹配算法進(jìn)行動(dòng)態(tài)調(diào)控，進(jìn)而確保檢測(cè)引擎的利用率最大化。

圖2 入侵檢測(cè)引擎架構(gòu)

自適應(yīng)多模式匹配模型包括規(guī)范預(yù)操作過(guò)程、流量檢測(cè)過(guò)程以及動(dòng)態(tài)調(diào)控過(guò)程。規(guī)范預(yù)操作過(guò)程需要設(shè)置原始的有效匹配算法；流量檢測(cè)過(guò)程調(diào)用適用于當(dāng)前的匹配算法，同時(shí)向動(dòng)態(tài)調(diào)控過(guò)程傳輸網(wǎng)絡(luò)狀態(tài)信息；動(dòng)態(tài)調(diào)整過(guò)程基于網(wǎng)絡(luò)當(dāng)前的狀態(tài)信息以及規(guī)范信息，選擇后續(xù)的匹配算法。模型的算法庫(kù)中包含AC 算法、ACBM 算法、WM 算法等常用的多模式匹配算法，這些算法具有統(tǒng)一的對(duì)外接口，切換方便。

（1） 規(guī)范預(yù)操作過(guò)程

規(guī)范預(yù)操作過(guò)程在IPS 規(guī)則初始化過(guò)程中進(jìn)行，先塑造規(guī)范鏈表，并按照規(guī)范特征以及協(xié)議特征等對(duì)比匹配算法庫(kù)中的算法，進(jìn)而采集一個(gè)模式匹配算法。

（2） 流量檢測(cè)過(guò)程

流量檢測(cè)過(guò)程通過(guò)預(yù)操作過(guò)程采集的匹配算法，對(duì)IPS 探針采集的待檢測(cè)數(shù)據(jù)包進(jìn)行模式匹配，并將檢測(cè)結(jié)果傳遞到動(dòng)態(tài)調(diào)控過(guò)程。

（3） 動(dòng)態(tài)調(diào)控過(guò)程

IPS探針工作時(shí)，自適應(yīng)多模式匹配方法對(duì)入侵目標(biāo)檢測(cè)引擎的檢測(cè)結(jié)果進(jìn)行分析，并評(píng)估當(dāng)前的混網(wǎng)網(wǎng)絡(luò)狀態(tài)，進(jìn)而在算法庫(kù)中采集最佳匹配算法，調(diào)整決策參數(shù)和模式匹配算法。調(diào)整模式匹配算法主要在WM和ACBM 算法間進(jìn)行變換。基于規(guī)模文件塑造匹配的規(guī)范樹，規(guī)范樹中各樹節(jié)點(diǎn)用于描述某種類型模式匹配的子任務(wù)，研究規(guī)范樹中各節(jié)點(diǎn)的協(xié)議變量特征以及相關(guān)模式特征；分析算法庫(kù)中的各匹配算法的特征，采集一種最適合該規(guī)范樹節(jié)點(diǎn)的多模式匹配算法。

系統(tǒng)的邏輯處理流程為，負(fù)載均衡模塊獲得協(xié)議分析后的網(wǎng)絡(luò)報(bào)文，通過(guò)自適應(yīng)均衡算法分配數(shù)據(jù)包的流向，將數(shù)據(jù)包傳輸?shù)侥硞€(gè)入侵目標(biāo)檢測(cè)引擎的隊(duì)列中。入侵目標(biāo)檢測(cè)引擎檢測(cè)混網(wǎng)網(wǎng)絡(luò)報(bào)文，同時(shí)將檢測(cè)結(jié)果傳輸?shù)轿ｋU(xiǎn)等級(jí)分析模塊，通過(guò)自適應(yīng)多模式匹配算法獲取后續(xù)的模式匹配算法，并將結(jié)果傳輸?shù)饺肭謾z測(cè)模塊中。

1.4 數(shù)據(jù)包多核處理

混網(wǎng)網(wǎng)絡(luò)結(jié)構(gòu)下最優(yōu)入侵目標(biāo)檢測(cè)模型，需要基于多核架構(gòu)模型，對(duì)數(shù)據(jù)包進(jìn)行多核處理，進(jìn)而提高最優(yōu)入侵目標(biāo)的檢測(cè)效率。混網(wǎng)結(jié)構(gòu)下的多核架構(gòu)中數(shù)據(jù)包的處理過(guò)程，如圖3所示。

圖3 數(shù)據(jù)包處理流程

本文入侵檢測(cè)軟件需要實(shí)現(xiàn)混網(wǎng)網(wǎng)絡(luò)結(jié)構(gòu)下數(shù)據(jù)采集、數(shù)據(jù)預(yù)處理、入侵分析以及告警等過(guò)程。功能流水線技術(shù)將入侵目標(biāo)檢測(cè)軟件的處理過(guò)程劃分成不同的有序數(shù)據(jù)操作過(guò)程，將不同的操作過(guò)程分布到不同的執(zhí)行單元中進(jìn)行操作，首個(gè)執(zhí)行單元運(yùn)行入侵目標(biāo)檢測(cè)軟件的第一步，完成操作后將檢測(cè)結(jié)果反饋到檢測(cè)軟件的下個(gè)過(guò)程的執(zhí)行單元核中，因?yàn)槎嗪说母骱诉\(yùn)行總體軟件的一個(gè)子集，則將提高入侵目標(biāo)檢測(cè)命令的執(zhí)行率。混網(wǎng)網(wǎng)絡(luò)結(jié)構(gòu)下的數(shù)據(jù)包多核處理過(guò)程如圖4所示。分析圖4可得，在數(shù)據(jù)包重組后4核處理過(guò)程中，在共享內(nèi)存中，采用環(huán)形緩沖區(qū)在不同線程間傳輸數(shù)據(jù)包。不同線程共享同一的地址空間，則將環(huán)形緩沖區(qū)設(shè)置成一個(gè)包指針數(shù)組，可避免在多個(gè)線程間拷貝或存儲(chǔ)數(shù)據(jù)包，大大提高了混網(wǎng)中入侵檢測(cè)數(shù)據(jù)包的傳遞效率。

1.5 代碼設(shè)計(jì)

匹配算法是混網(wǎng)網(wǎng)絡(luò)結(jié)構(gòu)下最優(yōu)入侵目標(biāo)檢測(cè)引擎的核心，其與檢測(cè)模型檢測(cè)效率有較高的關(guān)聯(lián)性。

圖4 數(shù)據(jù)包重組后4核處理工作流程

在網(wǎng)絡(luò)數(shù)據(jù)包檢查入侵特征過(guò)程中，需要一個(gè)有效的入侵特征搜索算法，具體的優(yōu)化方法為：

class Query

{

uegmireeont int WNTYUE=168； //設(shè)置種類

intd[WNTYUE]；

int m；

biln*Qore：

Public：

Query（gome*，m）：

Int find（gome*，）： //找到特征

}；

Query：：Query（biln*p，len）{

discri（P）；

Qore=P；

m=len；

int q=0；

for（q=0：q

d[ql=m+l；

for（q=0：q

d[Qore[q]l=m?q：

}

Int Query：：find（biln*text，len）{

discri（text）；

int n=len；

if（m>n）

return?l；

int q=m?1；

while（q

int j=m?l：

int i=q；

while o>=0text[i]==Qore[j]）{

j??；

i??

}

I（j==?1）return i+l：

q+=d[text[q+l]]；

}

return?l；

}

2 實(shí)驗(yàn)分析

為了驗(yàn)證本文軟件模型的有效性，需要進(jìn)行相關(guān)的實(shí)驗(yàn)分析。實(shí)驗(yàn)采用KDD99數(shù)據(jù)集進(jìn)行測(cè)試，分析最優(yōu)入侵目標(biāo)檢測(cè)軟件的性能和效率，獲取的相關(guān)結(jié)果用表1，表2描述。

表1 本文入侵目標(biāo)檢測(cè)軟件的檢測(cè)結(jié)果

表2 攻擊結(jié)果統(tǒng)計(jì)

分析表1和表2能夠得出，本文設(shè)計(jì)的混網(wǎng)結(jié)構(gòu)下的最優(yōu)入侵目標(biāo)檢測(cè)軟件的報(bào)警總數(shù)與實(shí)際攻擊總數(shù)較為接近，說(shuō)明該軟件可實(shí)現(xiàn)入侵目標(biāo)的有效檢測(cè)，具有較高的應(yīng)用價(jià)值。統(tǒng)計(jì)實(shí)驗(yàn)過(guò)程中本文軟件的成功檢測(cè)率、漏報(bào)率、誤報(bào)率以及報(bào)警可信度等指標(biāo)，評(píng)估本文軟件的性能優(yōu)劣，詳細(xì)的結(jié)果用表3描述。

表3 性能指標(biāo) %

分析表3可以看出，本文軟件的成功檢測(cè)率高于92%，漏報(bào)率和誤報(bào)率也都較低，本文軟件的檢測(cè)效率為86.63%，具有較高的優(yōu)勢(shì)，是一種高質(zhì)量的入侵目標(biāo)檢測(cè)軟件。

為了檢測(cè)軟件的運(yùn)行速度，采用軟件對(duì)數(shù)據(jù)集的檢測(cè)時(shí)間（s）作為衡量指標(biāo)，對(duì)比分析本文軟件和基于支持向量機(jī)的入侵檢測(cè)模型的檢測(cè)時(shí)間如圖5所示。分析圖5可知，相對(duì)于基于支持向量機(jī)的入侵檢測(cè)模型，本文檢測(cè)模型的檢測(cè)速度大幅度提高，滿足混網(wǎng)網(wǎng)絡(luò)結(jié)構(gòu)下最優(yōu)入侵目標(biāo)檢測(cè)的實(shí)時(shí)性要求。

3 結(jié) 語(yǔ)

本文針對(duì)混網(wǎng)網(wǎng)絡(luò)結(jié)構(gòu)特征，設(shè)計(jì)并實(shí)現(xiàn)了最優(yōu)入侵目標(biāo)檢測(cè)軟件，該軟件包括負(fù)載均衡模塊、誤用檢測(cè)模塊、匹配算法自適應(yīng)模塊，采用多核網(wǎng)絡(luò)處理器的多個(gè)同構(gòu)核當(dāng)成混網(wǎng)入侵檢測(cè)引擎。通過(guò)自適應(yīng)多模式匹配模型，基于混網(wǎng)網(wǎng)絡(luò)的狀態(tài)、特征動(dòng)態(tài)對(duì)模式匹配算法進(jìn)行動(dòng)態(tài)調(diào)控，確保入侵目標(biāo)檢測(cè)引擎的利用率最大化。該匹配模型包括規(guī)范預(yù)操作過(guò)程、流量檢測(cè)過(guò)程以及動(dòng)態(tài)調(diào)控過(guò)程。給出了入侵目標(biāo)檢測(cè)模型在混網(wǎng)結(jié)構(gòu)下的多核架構(gòu)中優(yōu)化包處理過(guò)程以及匹配算法的優(yōu)化代碼。實(shí)驗(yàn)結(jié)果說(shuō)明，設(shè)計(jì)的入侵檢測(cè)軟件，可實(shí)現(xiàn)混網(wǎng)下入侵目標(biāo)的有效檢測(cè)，具有較高的檢測(cè)性能。

圖5 不同模型的檢測(cè)時(shí)間對(duì)比

參考文獻(xiàn)

[1] 彭義春，牛熠，胡琦偉.基于IRBF的入侵檢測(cè)系統(tǒng)的研究[J].計(jì)算機(jī)應(yīng)用與軟件，2013，30（9）：187?190.

[2] 逢俊杰.Xen虛擬機(jī)的狀態(tài)監(jiān)控與系統(tǒng)性能優(yōu)化[D].長(zhǎng)春：吉林大學(xué)，2013.

[3] 姜秋生，容曉峰.VMI 技術(shù)研究綜述[J].電子設(shè)計(jì)工程，2013，21（1）：13?16.

[4] 沈錫瓊，楊云春，李海雁，等.智能化多媒體教室中語(yǔ)音傳輸系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)[J].電子設(shè)計(jì)工程，2014，22（9）：94?96.

[5] JAAFAR A， SAMSUDI A. An improved version of the visual digital signature scheme [J]. International Arab Journal of Information Technology， 2013， 10（6）： 595?602.

[6] 張玲，白中英，羅守山，等.基于粗糙集和人工免疫的集成入侵檢測(cè)模型[J].通信學(xué)報(bào)，2013，34（9）：166?176.

[7] PALMIERI F， FIORE U， CASTIGLIONE A. A distributed approach to network anomaly detection based on independmt component analysis [J]. Concurrency and Computation?practice Experience， 2014， 26（5）： 1113?1129.

[8] LIU J， XU G S， ZHENG S H， et al. Data streams classification with ensemble model based on decision?feedback [J]. Journal of China Universities of Posts and Telecommunications， 2014， 21（1）： 79?85.

[9] SHEIKHAN M， JADIDI Z. Flow?based anomaly detection in high?speed links using modified GSA?optimized neural network [J]. Neural Computing and Applications， 2014， 5（18）： 599?611.