數據通信與監控在軍隊防御系統中的應用

王立松

（武警8640部隊 河北 定州073000）

數據通信與監控在軍隊防御系統中的應用

王立松

（武警8640部隊 河北 定州073000）

針對網絡帶寬不斷增加，帶來的入侵防御系統數據傳輸速率慢，無法支持交互響應速度等問題，本文分析了軍隊級入侵防御系統的通信和監控特點，提出基于OCTEON CN38XX多核處理器的共享內存通信模型，并定義了可重用的通信構架和通信協議，實現系統的實時數據通信和系統交互，同時利用C/S構架設計監控子系統，幫助用戶對系統進行有效監控。兩個子系統協同工作，提高了入侵防御系統的響應速率，保證系統穩定運行。

入侵防御系統；內存共享；多核處理器；數據通信

近年來，隨著計算機網絡在軍隊中的普及，軍隊的工作效率大幅提高，但同時也帶來了新的安全隱患，計算機網絡中的病毒對軍隊的網絡和信息安全形成潛在的威脅，因此能否及時的發現并阻止計算機網絡病毒，保證軍隊計算機網絡系統的安全穩定運行，成為軍隊網絡研究者重點研究的內容[1-4]。傳統的防火墻只能作為邊界訪問控制的方法，不能防止網絡內部的襲擊，對病毒不能起到防御的作用，而入侵檢測系統則只能以被動的方式進行工作，重點在檢測上，對病毒的攻擊則束手無策。為了應對病毒的攻擊，幾年來基于防火墻和入侵檢測系統發展出新型的積極防御的入侵防御系統，通過在網關位置部署安全設備，對網絡的數據進行深層次的檢測，有效抵御應用層的攻擊[5-8]。由于帶寬的逐步提升，入侵防御系統的處理速度逐步下降，本文提出基于OCTEON CN38XX多核處理器的共享內存通信方式入侵防御系統，提高了入侵防御系統的響應速率，保證系統穩定運行。

1 入侵防御系統簡介

1.1 入侵防御系統定義

入侵防御系統是一種對計算機網絡病毒進行主動檢測、主動防范和阻止的網絡保護系統[9-10]。通過內嵌到網絡流量中，對接收的外部數據進行嚴格的檢查，只有通過檢查后的數據才能從另一端口傳出，進入系統內部，保證內部網絡安全，工作原理如圖1所示。由于網絡上的數據越來越多，因此入侵防御系統的工作量也越來越大。

圖1 入侵防御系統工作原理圖

1.2 入侵防御系統相關技術

1）快速模式匹配技術

快速模式匹配技術是入侵防御系統的關鍵技術，是系統對網絡數據進行檢測判斷的依據[11]。計算機病毒的攻擊常常由字符串或字節序列組成，快速模式匹配技術通過定義入侵規則描述語言來表示這些攻擊行為，并從網絡數據中將符合定義的攻擊行為過濾掉，此方法檢測效率高、操作簡單和實時的更新檢測庫，擴展能力強。隨著網絡數據的增多，對入侵防御系統性能的要求也越來越高，通過采用高效的匹配算法是提高性能的方法之一，常見的模式匹配算法為單模式和多模式算法兩種。本文研究的系統采用WM多模式算法匹配，下章節詳細介紹。

2）入侵檢測方式

對入侵防御系統的評價，經常以誤報率和漏報率來衡量。入侵防御系統常用的入侵檢測技術分為誤用檢測和異常檢測[12]。誤用檢測通過對已知的入侵行為采用特征描述的方法進行表示，并建立相應的特征庫，采用此方式余姚保證特征庫可以覆蓋所有實際入侵相關的所有要素信息，此種方式準確率高、誤報率較低，但對新增的網絡攻擊更新慢。異常檢測技術一般對系統的內容錯誤進行檢測，檢測的關鍵技術為如何區分異常事件與入侵活動之間的與閾值，在誤報和漏報中取得平衡，此技術可防御未知的入侵行為，但誤報率較高。

2 入侵防御系統設計

文中研究設計的入侵防御系統通過對網絡進行不間斷的動態檢測，提升網絡防御的縱深，綜合利用特征檢測和異常檢測技術，對內部網絡接收的數據進行深層次處理、檢測，同時增加監控子系統，對網絡的運行進行實時的監控、記錄及回放，有利于問題的分析和故障的排查。系統以OCTEON CN38XX多核處理器的網絡硬件平臺為基礎，具備千兆的處理能力，確保不會因為用戶帶寬的提高而影響系統運行速率。

2.1 數據通信子系統設計

數據通信主要完成核心處理層與系統監控層之間的通信，是入侵防御系統的基礎設施之一[13]。在通信的方式上，此次采用內存共享的通信方式，克服因數據量過多造成的系統通信速率慢等問題，在初始階段分配一個空間較大的共享內存命名塊，根據不同的監控線路建立對應的共享緩沖區，減少了大量數據拷貝的次數，加快數據傳輸速率。

2.2 數據通信協議

為了使系統的通信更加的安全，本文設計了一種通用的數據通信協議，并在數據通信的過程中，通過MD5對數據進行加密處理，通信框架如圖2所示：

圖2 通信系統框架

通信的過程從系統的初始化開始，之后建立命令接收和數據傳輸進程，處理器根據不同的進程，調用不同的處理程序進行數據處理[14-15]。數據通信系統與監控系統之間通過命令驅動的方式進行數據傳遞，數據單元的格式如圖3所示，共有七部分。

圖3 數據單元格式

2.3 內存共享接口設計

在軍隊級入侵防御系統中，數據通信子系統運行在cnMIPS核心上，而系統的核心處理層程序運行在多個cnMIPS核心上，而兩者之間的通信設計多處理器之間的交互，而且之間的信息量較大，如果采用內存共享，通信的效率會大幅提升，此次設計的內存共享模型如圖4所示。

圖4 內存共享結構圖

共享內存的設計主要包含分配命名共享內存塊、初始化共享緩沖區、向緩沖區寫入數據信息、對緩沖區寫數據及從緩沖區的節點中讀取數據，具體的操作如下：

3 入侵防御監控系統設計

入侵防御監控子系統是核心處理層應用程序和用戶之間的溝通橋梁，是監控網絡風險狀況的關鍵，主要對當前網絡的流量信息、風險狀況及違規事件進行監督和控制，保證網絡處于安全防護狀態。

本文所設計的子系統采用C/S模式的私有化管理協議，客戶端具有完整的應用程序，具有良好的人機界面，方便用戶管理核心處理層的各種業務處理，對系統的警告事件進行實時顯示，系統的功能結構圖如圖5所示，同時C/S模式是配對的點對點結構，適合安全性能好的網絡協議。該模式具有兩層結構，網絡通信只發生在客戶端和服務器端，信息量較少。

圖5 監控系統功能框圖

網絡風險監控程序是監控子系統的核心程序，采用模擬雷達的方式對被監控網絡進行實時的掃描監控，并將主機和子網絡進行模擬顯示。在檢測網絡攻擊的過程中，按照攻擊的影響程度將網絡攻擊劃分不同等級，并用不同的顏色進行顯示。例如當核心處理層遭受到攻擊時，監控子系統首先將攻擊轉換成對應的顏色，以此來提示管理人員此次攻擊的強度和影響程度。程序處理流程如圖6所示。

圖6 監控程序流程圖

4 結 論

文中設計的入侵防御系統采用基于OCTEON CN38XX多核處理器的共享內存的通信方式，提高了入侵防御系統的響應速率，保證系統穩定運行。同時采用了基于C/S結構的監控子系統，設計了良好的人機交互界面，將網絡攻擊進行等級劃分，方便現場管理人員對不同的網絡攻擊采取有效的防范措施，保證網絡系統穩定運行。

[1]劉積芬.非負矩陣分解降維的入侵檢測方法[J].計算機工程與應用，2012（30）:46-49.

[2]熊偉，胡漢平，王祖喜，等.基于突變級數的網絡流量異常檢測[J].華中科技大學學報：自然科學版，2011（1）:131-135.

[3]張雪芹，顧春華，吳吉義.異常檢測中支持向量機最優模型選擇方法[J].電子科技大學學報，2011（4）:8-18.

[4]梅海彬，龔儉，張明華.基于警報序列聚類的多步攻擊模式發現研究[J].通信學報，2011（5）:27-36.

[5]包振，何迪.一種基于圖論的入侵檢測方法[J].上海交通大學學報，2010（9）:69-73.

[6]潘磊.部隊通信單位的網絡安全防護研究[D].北京：中國石油大學，2010.

[7]蔣偉.軍隊信息網的網絡安全體系結構研究與設計[D].長沙：湖南大學，2011.

[8]車明明.入侵防御系統關鍵技術的研究[D].成都：電子科技大學，2013.

[9]王國棟.基于Snort的入侵防御系統的研究與實現[D].哈爾濱：哈爾濱理工大學，2012.

[10]韓偉.基于行為的主機入侵防御系統研究與實現[D].哈爾濱：哈爾濱理工大學，2011.

[11]白巖.基于主機的小型入侵防御系統的研究與應用[D].大連：大連交通大學，2010.

[12]韓玉婷.入侵防御系統的研究與關鍵技術的實現[D].北京：北京郵電大學，2011.

[13]胡剛.云防御系統中用戶隱私保護機制研究[D].武漢：華中科技大學，2012.

[14]徐鑫.入侵防御系統攻擊特征庫的建立方法研究[D].成都：電子科技大學，2011.

[15]郁繼鋒.基于數據挖掘的Web應用入侵異常檢測研究[D].武漢：華中科技大學，2011.

Application of data communication and monitoring in military defense system

WANG Li-song
（Armed Police Force 8640，Dingzhou 073000，China）

For network bandwidth continues to increase， the intrusion prevention system data transmission rate slow，unable to support interactive response speed，this paper analyzes the forces level intrusion defense system of communication and monitoring features，put forward based on octeon cn38xx multi processor shared memory communication model and define the communication architecture and communication protocol of reuse，the realization of the system of real-time data communication between the system and，at the same time，the C/S architecture design monitoring subsystem，help users effectively monitors the system.Two subsystems work together，improves the intrusion defense system and the response rate，to ensure the stable operation of the system.

intrusion prevention system；memory sharing；multi core processor；data communication

TN918

A

1674－6236（2017）10-0136-04

2016-07-11稿件編號：201607091

國家自然科學基金（61262003）

王立松（1980—），男，河北吳橋人，碩士研究生，工程師。研究方向:電子通信及網絡工程。