網絡入侵后的波動控制系統設計與實現

摘 要： 網絡入侵具有較強的破壞以及不可控性，受到入侵攻擊后的網絡流量存在沖突、約束數據帶寬等隨機因素，使得網絡流量產生波動，穩定性降低。以往網絡波動控制方法，在網絡波動性高于設置的閾值后，控制方法不能對網絡波動進行有效控制。因此，基于自抗擾控制器，設計并實現網絡波動控制系統，該系統包括流量采集模塊、流量匯總模塊、流量異常檢測和控制模塊以及警示模塊，并且具備網絡探析部件、主機探析部件、策略管理中心、控制臺四大功能。系統采用自抗擾處理器對入侵攻擊產生的流量波動進行控制，確保網絡流量的均衡性。實驗結果表明，所提方法下的網絡入侵行為顯著降低，具有較低的網絡入侵性能。

關鍵詞： 網絡入侵； 波動控制； 網絡流量失穩控制； 系統設計

中圖分類號： TN926?34； TP393 文獻標識碼： A 文章編號： 1004?373X（2016）14?0024?04

Design and implementation of fluctuation control system after network intrusion

ZHAO Jing

（Urumqi Vocational University， Urumqi 830002， China）

Abstract： Network intrusion has strong destruction and uncontrollability， so there are the network traffic conflict， data bandwidth constraint and other random factors after intrusion attack， which make the network traffic appear fluctuation and low stability. Since the previous network fluctuation control method can't control network fluctuation effectively when the network fluctuation is higher than the set threshold， a network fluctuation control system was designed and implemented on the basis of active disturbance rejection controller （ADRC）. The system is composed of traffic acquisition module， flow aggregation module， traffic anomaly detection control module and warning module， and has the functions of network analysis， host analysis， strategy management and control. The immunity processor is used in the system to control the flow fluctuation caused by intrusion attack， and ensure the network traffic balance. The experimental results indicate that the proposed method makes network intrusion behavior significantly reduced.

Keywords： network intrusion； fluctuation control； network traffic instability control； system design

0 引 言

網絡系統受到入侵攻擊后，會出現流量波動和帶寬降低現象，導致網絡信號傳輸存在較高的時延和數據丟包問題[1?2]。為了提高網絡通信性能，應采用有效的方法對網絡系統入侵后的流量波動進行控制，保持網絡通信的穩定性。傳統基于免疫分析的入侵波動控制方法，抗干擾性能弱，對應流量的規模具有較高的要求，不能對網絡入侵后的流量波動問題進行有效控制[3?5]。

當前的入侵波動控制方法存在較多的問題，如文獻[6]提出的基于Agent技術和免疫學原理的入侵波動控制方法，該方法在控制網絡波動過程中融合了多 Agent 網絡以及免疫網絡的優勢，但是存在控制效率低的缺陷。文獻[7]分析了融合線性預測和馬爾可夫模型的波動控制方法，通過線性預測技術依據特權進程形成的網絡調用序列提取特征向量，塑造馬爾可夫模型，依據該模型的狀態序列概率控制異常進程行為。但是該種方法需要消耗較高的系統資源。文獻[8]通過模糊神經網絡實現網絡波動的檢測，可對未知入侵攻擊進行檢測并優化網絡波動控制系統的性能，降低了漏報誤報率，但該種方法容易導致系統變得更為復雜。文獻[9]提出了基于免疫的入侵波動控制方法，可主動檢測網絡運行狀態，獲取并處理非授權的異常訪問，但該種方法存在較高的誤報率。

針對上述方法存在的弊端，提出基于自抗擾控制器，設計并實現網絡波動控制系統，該系統采用自抗擾處理器對入侵攻擊產生的流量波動進行控制，確保網絡流量的均衡性。

1 網絡入侵后的波動控制系統

1.1 系統體系結構

分析網絡入侵后波動控制系統的功能，將其劃分成流量采集模塊、流量匯總模塊、流量異常檢測和控制模塊以及警示模塊。總體結構如圖1所示。

系統各模塊的功能為：

（1） 流量采集模塊。在網絡核心服務器周圍安放流量采集工作站，將用于采集流量的主機網卡設置為混合模式，確保其可獲取全部通過工作站的網絡流量數據。

（2） 流量匯總模塊。流量匯總模塊對網絡帶寬利用率、包比率以及協議包數量進行匯總分析，將獲取的匯總結果保存在內存中的鏈表結構里。

（3） 流量異常檢測和控制模塊。該模塊針對不同的網絡流量類型，采用不同的方法判斷對應的網絡流量是否出現異常。如通過時間序列法塑造網絡帶寬利用率模型，可檢測網絡帶寬利用率匯總亮序列中的異常。模塊綜合分析不同因素的匯總量異常情況，對總體網絡流量的異常情況進行判斷。當檢測到異常流量后，采用自抗擾處理器對異常流量產生的波動進行控制，確保網絡流量的均衡性。

（4） 警示模塊。若檢測到異常流量，說明存在網絡入侵攻擊，應立刻產生警示信息，提示系統控制人員實施解決措施。

1.2 系統功能

網絡入侵波動控制系統功能結構如圖2所示。該系統主要由網絡探析部件、主機探析部件、策略管理中心和控制臺組成。對它們的具體描述如下：

（1） 網絡探析部件。網絡探析部件在網絡中，發揮探查監督的作用。它使用的數據源通常來自起初的網絡數據包。網絡探析部件融合誤用檢測和異常檢測方法，對采集的網絡流量信息進行分析，并查看其中是否存在可對網絡造成損害的信息，若有，及時發出警示信號，并反饋至策略管理中心實行有效處置。

（2） 主機探析部件。主機探析部件主要存在于需要守衛的主機中，其數據源通常來自主機的操作系統日志和所有應用程序日志，其目的是時刻查看并操作主機內的用戶活動，監測一些緊急數據文檔和系統，以便可以分辨出哪些是損害操作系統的進程，并能查出涉及的用戶。

（3） 策略管理中心。策略管理中心獲取探析部件反饋的警示信號，并把這些信號儲存至數據庫中，同時依照警示信號的等級，發送聯動響應模塊，并將相關條例增至防火墻中，借助防火墻對損害網絡的內容進行攔截。

（4） 控制中心。控制中心主要由數據庫操作、服務操作和入侵警示組成。數據庫操作：判斷獲得的警示信號有無在數據庫中儲存的必要，并且進行有關處理。服務操作：管理探析部件和防火墻的服務，完成探析部件條例以及防火墻情況的部署。入侵警示：當出現某程序侵襲網絡的現象時，需要及時發出警示信號。

1.3 自抗擾處理器設計

設計的網絡入侵波動控制系統，采用自抗擾處理器對網絡遭受到入侵后的流量擾動進行控制，確保網絡流量均衡。網絡入侵后的波動控制是一種二階系統。假如真實網絡入侵波動控制模型是：

；[w]為網絡入侵后系統流量受到的擾動；[f0]用于描述系統流量自身存在的不穩定性成分以及流量沖突等非線性成分。則上述網絡入侵波動控制模型能夠變成：

式中，[f（·）]是系統未遭受外界干擾存在的總干擾。如果[f（·）]可微，那么可用狀態方程表示上述分析的控制模型，表達式為：

式中：[x1]，[x2]代表網絡入侵波動控制模型的狀態變量；[x3]代表波動控制模型伸展的狀態變量，監察總體干擾[f（·）]；[h=f]。依照具體情況，獲取的線性監察部件的方程式如下：

式中：[z1]追隨[y]；[z2]追隨[y]；[z3]追隨[f（·）]。監察值是否精準，主要取決于監察部件增益矩陣[L=L1，L2，L3]。若監察部件帶寬是[ω0]，則在[ω0]中部署監察部件的特征值，可獲取監察部件的特征多項公式如下：

打開等號右邊式子，可知[L1=3ω0]，[L2=3ω20]，[L3=ω30]。

設操作量[u]為：

如果[z3]能徹底追隨總體干擾[f（·）]，那么可以把[z3]發送給系統，確保流量擾動無效，能夠把系統濃縮成積分串聯型：

而線性PD操作部件為：

把式（8）回饋到積分串聯型，便能夠波動控制系統的閉環傳函：

面向式（9）描述的波動系統閉環傳函，設置有效的[kP]和[kD]，能夠獲取理想的流量波動控制性能。可設置參數為：[kP=ω2c]，[kD=2ζω2c]。其中[ωc]為波動控制控制系統的帶寬，[ζ]表示波動控制系統的阻尼比。取[ζ]=1，并將[kP]和[kD]代回式（9），可得：

基于上述分析可得，選擇有效的觀測部件帶寬[ω0]和控制器帶寬[ωc]，可對流量線性自抗擾控制器的參數進行優化，對網絡流量波動進行有效控制，確保網絡流量的均衡。

2 警示數據處理的代碼設計

網絡入侵波動控制系統對入侵波動進行警示處理時，先對信號量機制過程進行解釋。系統針對FamousSpeech類做了專門的解釋：

設置儲存全部數據組織的隊列類是基于Carrier基類中affixion Ingredient方法完成分類。

c以上隊列是由usable信號量、Pruge信號量和intact信號量組成，usable原始數據為2用于讀寫鎖；Pruge原始數據是隊列區間，代表空阻塞信號量；intact原媽數據是1代表滿阻信號量。以下描述的是進隊函數beg（）和離隊函數bot（）的代碼詳情：

3 實驗分析

基于本文設計的網絡入侵后波動控制系統，采用Matlab/Simulink塑造所設計的波動控制系統仿真圖。并塑造免疫控制系統仿真圖進行對比分析。詳細結果如圖3～圖5所示。分析此三圖，能夠看出，本文控制系統下的網絡入侵行為顯著減少，而免疫控制系統下的網絡入侵行為降低的不夠明顯，說明本文設計的網絡入侵波動控制系統是有效的。

如圖6所示相對于免疫控制系統，本文控制系統具有較低網絡入侵性能，并且變化較為平穩，可以看出本文控制系統可對網絡入侵后的波動進行有效控制，取得令人滿意的效果。

4 結 論

本文基于自抗擾控制器，設計并實現網絡波動控制系統，該系統包括流量采集模塊、流量匯總模塊、流量異常檢測和控制模塊以及警示模塊，并且具備網絡探析部件、主機探析部件、策略管理中心、控制臺四大功能。系統采用自抗擾處理器對入侵攻擊產生的流量波動進行控制，確保網絡流量的均衡性。實驗結果說明，所提方法下的網絡入侵行為顯著降低，具有較低的網絡入侵性能。

參考文獻

[1] 田志宏，王佰玲，張偉哲，等.基于上下文驗證的網絡入侵檢測模型[J].計算機研究與發展，2013，50（3）：498?508.

[2] 田關偉，周德榮.網絡入侵后攻擊路徑標志技術研究與仿真[J].計算機仿真，2014，31（12）：292?295.

[3] 蔡旻甫.網絡入侵防御系統設計與測試[J].中國測試，2013，39（2）：106?109.

[4] 李劍.計算機網絡的一種實體安全體系結構分析[J].中國信息化，2013（10）：36?39.

[5] 倪媛媛.淺析通信網絡安全[J].信息與電腦（理論版），2013 （3）：119?120.

[6] 李洪波.分布式入侵檢測系統相關技術的研究[J].科技視界，2014（27）：134.

[7] HEFEIDA M S， CANLI T， KHOKHAR A. CL?MAC： A cross?layer MAC protocol for heterogeneous wireless sensor networks [J]. Ad Hoc Networks， 2013， 11（1）： 213?225.

[8] 饒雨泰，楊凡.網絡入侵攪動下的網絡失穩控制方法研究[J].科技通報，2014，30（1）：185?188.

[9] 黎峰，吳春明.基于能量管理的網絡入侵防波動控制方法研究[J].計算機仿真，2013，30（12）：45?48.