云計算環境下入侵疑似邊界問題改進算法*

茹 蓓， 賀新征

(1. 新鄉學院 計算機與信息工程學院， 河南 新鄉 453003； 2. 河南大學 計算機與信息工程學院， 河南 開封 475000)

控制工程

云計算環境下入侵疑似邊界問題改進算法*

茹 蓓1， 賀新征2

(1. 新鄉學院 計算機與信息工程學院， 河南 新鄉 453003； 2. 河南大學 計算機與信息工程學院， 河南 開封 475000)

傳統的疑似邊界問題處理算法一直存在邊界確定結果不準確、誤差較大的問題，為了提高網絡安全性能，提出一種基于模糊網絡閾值計算的云計算環境下入侵檢測中疑似邊界確定算法，分析了云計算環境下入侵種類及其檢測原理，并確定其入侵形式；通過計算模糊網絡閾值，確定云計算環境下入侵檢測中疑似邊界具體參數.仿真實驗結果表明，采用改進算法進行疑似邊界的確定，其結果精度及效率均優于傳統算法，具有一定的優勢.

云計算環境； 入侵檢測； 疑似邊界； 閾值計算； 模糊網絡； 邊界確定； 網絡安全性； 入侵形式

隨著互聯網應用及分布式計算技術的快速發展，云計算已經成為一種成熟的網絡技術[1-2].云計算把大量的計算資源及存儲資源融合在一起，形成一個共享虛擬的計算資源池，為計算機用戶按需提供服務[3-5].云服務不斷普及的同時也遇到了越來越嚴重的安全問題.確定疑似邊界[6-7]，保證網絡資源不被黑客入侵而遭到破壞，已經成為云計算發展形勢下急需解決的重要問題，受到廣大研究者的關注[8-9].

傳統的檢測算法分別提取網絡節點特征與疑似邊界特征，再將兩個特征相似度進行計算、對比，根據相似度的情況進行確定，忽略了故障節點、冗余節點等干擾節點對相似度的影響，導致疑似邊界分析不準確[10].文獻[11]提出基于時間-頻率聯合分布特征和偏移量遞階控制HHT匹配的網絡入侵信號檢測算法，構建了網絡潛質入侵數學演化模型，利用遞階控制調整HHT頻譜偏移，使得入侵信號特征的組成成分形成最佳匹配.該算法可有效控制誤差，抑制頻譜泄露，提高檢測性能，但其無法有效確定入侵邊界.

針對上述問題，本文基于模糊網絡閾值計算，提出云計算環境下入侵檢測中疑似邊界確定算法.首先對云計算環境下入侵種類及其檢測原理進行分析，確定其入侵形式，再通過計算模糊網絡閾值，確定入侵檢測中疑似邊界具體情況.實驗結果表明，相對于傳統檢測方式，改進算法進行疑似邊界確定的準確率及效率均有了明顯改進.

1 入侵種類與檢測原理

云計算環境下受到入侵的種類有很多，一般可以分為消耗系統資源為主的入侵和針對系統或者網絡設備的入侵.下面介紹幾種典型的云計算環境下入侵類型及其產生的模糊問題.

1.1 典型入侵形式

1.1.1 SYN Flood入侵

SYN Flood是現在最常見的入侵類型，其會通過向服務器或主機輸送大量假的數據源IP地址及源端口的SYN或ACK包，造成計算機的緩存資源被耗盡或忙于輸送響應數據包而導致拒絕服務.由于數據包均為捏造的，所以追蹤起來非常難.

1.1.2 UDP Flood入侵

此類入侵主要是通過UDP了解傳輸層協議，使得在數據傳輸過程中，基本上不需要構建連接及雙方認證.UDP Flood入侵攻擊時能夠向被入侵的主機輸送很多異常高流量的完整UDP數據包，造成計算機所在的網絡資源被耗盡(處理器超負荷或內存不足)，還會因忙于處理協議數據包而使系統崩潰.

1.1.3 Teardrop入侵

Teardrop入侵是一種碎片式入侵，其工作原理是采用系統的漏洞向受害者輸送多個IP分片數據包，使主機系統出現崩潰、重啟等現象.由于資源過多并且呈現不定狀態，所以會產生較強的入侵特征邊界模糊化跳動特征.

1.1.4 Smurf入侵

入侵者經過向網絡廣播地址發送ICMP數據包造成網絡負載，導致主機拒絕供應服務.

1.1.5 Ping of death入侵

入侵者向受害系統輸送一些數據長度超大的ICMP報文，使受害系統在接收到報文并重組時字節超過了65 535，造成主機內存溢出、系統崩潰、重啟或內核失效等后果.

1.2 入侵檢測原理

在云計算環境下，了解入侵檢測原理，即可確認入侵形式，從而根據計算模糊網絡閾值確定入侵檢測中疑似邊界的具體情況.

任何入侵方式通用的檢測原理為：首先把云環境劃分成若干個區域，每個區域設置單獨的檢測代理，并且專門設置一個對各個區域進行檢測管理的中央控制器.各區域云檢測系統包括區域云控制器、網絡檢測代理和主機檢測代理，區域云控制器對網絡檢測代理和主機檢測代理提交的檢測結果綜合分析，判斷是否有局部范圍的網絡入侵以及制定合適的應對措施，然后將檢測結果交付給中央控制器.中央控制器對各個區域云進行管理調度并負責各區域云之間的通信合作，由此確定入侵形式，入侵的檢測原理如圖1所示.

若要實現上述的檢測原理，需滿足以下基本要求：

1) 需要實時檢測出一切云計算環境下異常行為特征，即不僅能檢測出一般主機出現的入侵行為，還能檢測出云漏洞攻擊、非授權訪問等云環境下特有的入侵行為；

2) 要有可拓展性，以適應云計算分布式特點；

3) 由于在云環境下入侵行為具有復雜性、不可預知的特點，因此入侵檢測必須具有自學習性，能夠不斷地檢測新型入侵行為，這就需要在檢測機制下設計可靠的入侵檢測算法來提高檢測效率；

4) 云計算是一個虛擬化、異構化的環境，入侵檢測時需要監控虛擬網絡并采集虛擬機的相互通信數據和虛擬機與主機之間的通信數據，檢測面向虛擬網絡的入侵行為；

5) 由于云環境下存在大規模的攻擊行為，因此，各入侵檢測時設備間必須相互通信、協同合作，來預防并發的入侵攻擊.

滿足以上要求后，即可根據入侵檢測原理確定入侵形式，并結合計算得出的模糊網絡閾值，達到確定疑似邊界的目的.

圖1 云計算環境下入侵檢測原理圖Fig.1 Principle diagram of intrusion detection in cloud computing environment

2 疑似邊界確定

2.1 根據結構對疑似邊界確定

根據確定的入侵形式來估算云計算環境下的入侵范圍，整體云計算環境下入侵范圍示意圖如圖2所示.

圖2 云計算環境下入侵范圍示意圖Fig.2 Schematic intrusion range in cloudcomputing environment

結合圖2所示，云計算環境下網絡節點均勻部署在一個方形區域內，構成云計算模糊網絡，用于檢測這個區域內的邊界情況，其中深色區域為檢測區域.檢測區域內，靠近邊界的節點可能成為邊界節點，如圖2中的節點A.為了方便討論，把節點A連同其鄰域進行放大，得到局部邊界示意圖如圖3所示.

圖3 局部邊界示意圖Fig.3 Schematic local boundary

圖3中，節點A為檢測范圍內靠近邊界的節點，R為節點A的通信半徑.在以節點A位置為圓心，R為半徑的圓內，所有的節點都是節點A的鄰居節點；曲線PQ為疑似邊界，邊界PQ右面的區域為檢測外部，節點用淺色表示，邊界PQ的左面是檢測區域內部，節點用深色表示；d為節點A到邊界PQ的最短距離，本文規定當d小于一定的閾值D，則認為節點A為邊界節點，故需要對其閾值D進行確定才能準確定位其疑似邊界PQ是否為真實邊界.

2.2 根據算法對疑似邊界確定

由2.1分析可知，在對疑似邊界進行判斷時，需要通過計算模糊網絡閾值來進行確定.當一個疑似邊界判定自己是否為真實邊界時，主要通過判斷疑似邊界附近的節點是否為邊界節點即可.而計算模糊網絡閾值是確定節點最有效的算法，故本文通過計算模糊網絡閾值來解決云計算環境中疑似邊界的問題.對于檢測區域，mn為檢測期望值，mf為模糊網絡屬性讀數期望，則最優門限判定閾值為

Vth=0.5(mn+mf)

(1)

入侵類型屬性可被劃分為兩類：上升型入侵屬性和下降型入侵屬性.其中上升型入侵屬性值在受到入侵后比沒有入侵時的屬性值要大，下降型入侵屬性值在受到入侵后比沒有入侵時的屬性值要小.如果為上升型入侵屬性，則其判斷表達式為

(2)

如果為下降型入侵屬性，則其判斷表達式為

(3)

式中：B為發生入侵后的判斷結果，對入侵進行判決為1，未判決為0；V為模糊網絡節點的感知讀數.

由此可知，云計算環境下的理論邊界即為入侵發生的閾值Vth的等值線，距離等值線越近的節點感應到的屬性讀數和閾值Vth也越接近，因此，將鄰居節點的感知讀數依據數值大小做不穩定排序.如果是上升型入侵屬性，則依據降序進行排列；如果是下降型入侵屬性，則依據升序進行排列，然后找到入侵發生閾值Vth在序列中的位置，左右各取距離閾值最近的n/2個節點.

(4)

假設入侵形式有M個屬性，Vi為一個節點對于屬性i的讀數，對于多屬性入侵事件判斷入侵發生與否，首先需要對單個屬性進行判決，則多屬性入侵事件的判決表達式為

(5)

假設擬合節點集合S中，X坐標最大的節點為NXmax，其坐標為(Xmax，Y)；X坐標中最小節點為NXmin，其坐標為(Xmin，Y)；Y坐標最大節點為NYmax(X，Ymax)；Y坐標最小節點為NYmin，其坐標為(X，Ymin)，則其擬合函數表達式為

(6)

式中，c為常數.已知擬合函數，使用最小二乘法計算出模糊網絡閾值，解決云計算環境下入侵檢測中的疑似邊界問題.給定節點到點(xi，yi)(i=1，2，…，M)的距離平方和最小曲線為yi=p(xi)，函數p(xi)是擬合函數最小二乘解，則多項式擬合函數為

(7)

若想擬合后的函數求解結果更為精準，需要滿足其必要條件，即

(8)

式中，a為多項式擬合函數中的一個自定義變量.通過式(8)對變量a求偏導，在滿足其必要條件的基礎上，計算得到模糊網絡閾值為

(9)

式中，Dt為設定閾值.由式(9)可知，當D≤Dt時，D=1，此時節點遠離疑似邊界，可確定其不是所需的邊界；反之，當D>Dt時，D=0，此時節點距離與疑似邊界很近，確定為疑似邊界.

3 實驗分析

3.1 實驗環境

本文所有實驗仿真分析均在MATLAB R2009a下進行，并以SYN Flood入侵為仿真研究對象進行討論.在仿真實驗中，在800 mm×800 mm單位區域內隨機部署n個節點，假設入侵范圍為一個圓形，直徑為30 cm，臨界閾值為10.隨著節點個數n的增多，網絡密度系數也增大，隨機分布下網絡密度系數與節點個數n的關系如表1所示.

表1 網絡密度系數與節點個數的關系Tab.1 Relationship between network densitycoefficient and node number

為了準確判定入侵范圍，實現疑似邊界的確定，根據1.2節所述，需滿足基本要求才能根據入侵檢測原理確定入侵形式.根據網絡密度系數與節點個數的關系，當網絡密度系數與節點的比值滿足1∶20時，可滿足其基本要求，因此本實驗設置檢測節點數為200，節點密度系數為10.

3.2 實驗結果

為了驗證改進算法的有效性及可行性，將本文改進算法與傳統BP神經網絡及HHT算法進行了對比.實際入侵圖如圖4所示.圖4中，橢圓部分為入侵區域，圓圈為顯示的邊界節點，圓點為未檢測到的節點.

圖4 實際云計算環境下的入侵圖Fig.4 Intrusion diagram in actual cloudcomputing environment

在檢測區域一定的情況下，將傳統BP神經網絡及HHT算法與本文所提出算法進行仿真實驗對比分析，仿真結果如圖5～7所示.

圖5 傳統BP神經網絡算法邊界檢測結果Fig.5 Boundary detection results with traditionalBP neural network method

由圖5～7可知，采用傳統BP神經網絡算法與HHT算法時，檢測結果中有些檢測邊界節點并不屬于邊界范圍.這是因為事件邊界檢測受到檢測區域的影響，節點是包含在節點數之內的，但是邊界檢測時，節點是排除在外的，為了彌補事件邊界上去掉的節點數目，不得不將一些距離邊界稍遠、在邊界外的節點也包括在內.采用改進算法時，絕大多數邊界節點被正確地檢測為邊界節點，且未將入侵區域外的節點算到邊界節點內，檢測精度較高.

圖6 HHT算法邊界檢測結果Fig.6 Boundary detection results with HHT algorithm

圖7 改進算法邊界檢測結果Fig.7 Boundary detection resultswith improved method

為了進一步驗證改進算法的有效性，在檢測節點數據量一定的情況下進行邊界檢測精度方面的對比分析，結果如表2所示.

表2 不同算法下邊界檢測精度對比Tab.2 Comparison in boundary detectionaccuracy of different methods %

由表2可知，采用改進算法時，其檢測精度約為98.5%，相比傳統BP神經網路檢測算法提高了46.1%，相比HHT算法提高了25.9%，精確度得到了大幅提高.這是由于改進算法首先確定入侵形式，判定入侵范圍后再計算閾值，從而可以有效提高邊界識別的準確率.

4 結 論

針對傳統的疑似邊界問題處理算法一直存在邊界確定結果不準確的問題，本文提出基于模糊網絡閾值計算的云計算環境下入侵檢測疑似邊界確定算法.針對云計算環境下入侵種類及其檢測原理進行分析，確定其入侵形式.通過計算模糊網絡閾值，確定云計算環境下入侵檢測中疑似邊界具體情況.仿真研究結果表明，采用改進算法進行疑似邊界確定時，其檢測精度較傳統算法大幅提高，證明了改進算法較傳統算法的有效性.

[1] 劉伉伉，解福，郭雪雪.基于BP神經網絡的云計算入侵檢測技術研究 [J].計算機與數字工程，2014，42(12)：2357-2361.

(LIU Kang-kang，XIE Fu，GUO Xue-xue.Cloud computing environment intrusion detection technology based on BP neural network [J].Computer and Digi-tal Engineering，2014，42(12)：2357-2361.)

[2] 蔡萌萌，解福，王泓霖.基于云計算的入侵檢測算法研究 [J].計算機與數字工程，2016，44(1)：83-87.

(CAI Meng-meng，XIE Fu，WANG Hong-lin.Intrusion detection mechanism base on cloud computing [J].Computer and Digital Engineering，2016，44(1)：83-87.)

[3] 劉增鎖.云計算環境下海量數據中入侵檢測挖掘模型 [J].計算機仿真，2015，32(6)：289-291.

(LIU Zeng-suo.Intrusion detection mining models in huge amounts of data cloud computing environment [J].Computer Simulation，2015，32(6)：289-291.)

[4] 司鳳山，徐勇.云計算中的入侵檢測模型 [J].網絡安全技術與應用，2014(9)：5-6.

(SI Feng-shan，XU Yong.The model for intrusion detection in the cloud computing [J].Network Security Technology & Application，2014(9)：5-6.)

[5] 劉艷秋，焦妮，李佳.基于確定網絡的多級物流網絡優化設計 [J].沈陽工業大學學報，2015，37(1)：64-68.

(LIU Yan-qiu，JIAO Ni，LI Jia.Optimization design of multi level logistics network based on determined network [J].Journal of Shenyang University of Technology，2015，37(1)：64-68.)

[6] 程誠，孔蒙蒙，胡光岷，等.基于面翻轉三維傳感器網絡邊界節點識別算法 [J].計算機應用，2014，34(12)：3391-3394.

(CHENG Cheng，KONG Meng-meng，HU Guang-min，et al.Boundary node identification algorithm for three-dimensional sensor networks based on flipping plane [J].Journal of Computer Applications，2014，34(12)：3391-3394.)

[7] 王洪峰，陳立勇.云計算環境下基于張量分解的缺失關聯規則挖掘算法 [J].重慶郵電大學學報(自然科學版)，2015，27(3)：397-403.

(WANG Hong-feng，CHEN Li-yong.Missing association rule mining algorithm using tensor decomposition in cloud computing environment [J].Journal of Chongqing University of Posts and Telecommunications(Natural Science Edition)，2015，27(3)：397-403.)

[8] 吳鵬飛，李光輝，朱虹，等.基于無線傳感器網絡和線性神經網絡的事件邊界檢測算法 [J].模式識別與人工智能，2015(4)：377-384.

(WU Peng-fei，LI Guang-hui，ZHU Hong，et al.Event boundary detection method based on wireless sensor network and linear neural network [J].Pattern Recognition and Artificial Intelligence，2015(4)：377-384.)

[9] 徐小龍，耿衛建，楊庚，等.高效容錯的無線傳感網事件及其邊界檢測算法 [J].計算機研究與發展，2014，51(5)：997-1008.

(XU Xiao-long，GENG Wei-jian，YANG Geng，et al.An efficient fault-tolerant event and event boundary detection algorithm for wireless sensor networks [J].Journal of Computer Research and Development，2014，51(5)：997-1008.)

[10]王濤，胡愛群.基于邊界檢測的IPSec VPN協議的一致性測試算法 [J].信息網絡安全，2014(2)：7-11.

(WANG Tao，HU Ai-qun.A conformance test method of IPSec VPN protocol based on edge detection [J].Netinfo Security，2014(2)：7-11.)

[11]章武媚，陳慶章.引入偏移量遞階控制的網絡入侵HHT檢測算法 [J].計算機科學，2014，41(12)：107-111.

(ZHANG Wu-mei，CHEN Qing-zhang.Network intrusion detection algorithm based on HHT with shift hierarchical control [J].Computer Science，2014，41(12)：107-111.)

(責任編輯：景 勇 英文審校：尹淑英)

Improvedalgorithmforintrusionsuspectedboundaryproblemincloudcomputingenvironment

RU Bei1, HE Xin-zheng2

(1. School of Computer and Information Engineering, Xinxiang University, Xinxiang 453003, China; 2. School of Computer and Information Engineering, Henan University, Kaifeng 475000, China)

The traditional processing method for the suspected boundary problem always shows the inaccurate boundary determination results and larger errors. In order to improve the network security, a determination method for the suspected boundary in the intrusion detection in the cloud computing environment based on the fuzzy network threshold calculation was proposed. In addition, the intrusion types and detection principle in the cloud computing environment were analyzed, and the intrusion forms were determined. Through calculating the fuzzy network threshold, the specific parameters for the suspected boundary in the intrusion detection in the cloud computing environment were determined. The results of simulation experiment show that when the improved method is used for the determination of suspected boundary, the accuracy and efficiency of corresponding results are superior to those of results obtained with the traditional method, and the improved method has certain advantages.

cloud computing environment; intrusion detection; suspected boundary; threshold calculation; fuzzy network; boundary determination; network security; intrusion form

TP 393

： A

： 1000-1646(2017)05-0545-06

2016-08-31.

河南省科技廳科技攻關項目(172102210445)； 河南省科技廳軟科學研究資助項目(152400410345)； 河南省教育廳資助項目(15A520093).

茹 蓓(1977-)，女，河南新鄉人，副教授，碩士，主要從事軟件開發、網絡信息安全等方面的研究.

* 本文已于2017-03-28 17∶09在中國知網優先數字出版. 網絡出版地址： http：∥www.cnki.net/kcms/detail/21.1189.T.20170328.1709.034.html

10.7688/j.issn.1000-1646.2017.05.13