TCP/IP數據包匹配技術在企業黑客入侵檢測中的應用

張 靜，蘇蓓蓓，黃星杰，尚智婕，趙金夢

（國家電網有限公司信息通信分公司，北京 100000）

0 引言

如今，互聯網的應用愈加廣泛，為各個企業注入了新的血液，但隨著網絡技術的普及，網絡信息遭到惡意攻擊的事件越來越多，因內部網絡遭到惡意入侵而出現重大損失的企業越來越多，一時間人心惶惶[1]。針對這一現狀，我國成立了互聯網研究小組，就相關黑客入侵事件進行研究，為了降低網絡安全風險，研究人員研究開發了多種防御工具，比如防火墻、文件加密、軟件查殺等，在應對網絡入侵時均可以起到一定的阻擋作用[2]，但是仍無法完全避免黑客從企業內部入侵的現象，因此針對內部入侵檢測的精度亟待加強。近年來，研究人員采用多種研究方法，主要包括神經網絡、數據挖掘及關聯分析方法，得出網絡安全與數據集的聚類效果有關[3]。本研究基于TCP/IP數據包匹配技術設計一種企業黑客入侵檢測方法，通過建立檢測模型，提高企業黑客入侵的檢測次數，提升檢測精度，為企業網絡安全提供了保障。

1 基于TCP/IP數據包匹配技術設計企業黑客入侵檢測方法

1.1 處理企業黑客入侵檢測初始數據

初始數據是企業網絡運行記錄的集合，由于系統在各運行階段需要的數據不同，所以必須對初始數據進行處理[4]。首先，在初始數據中查找企業各運行階段的信息記錄，包括網絡連接歷史、文件屬性更改歷史、文件創建歷史等信息，將以上信息進行標注與記錄，保證初始數據的真實性。其次，通過逐條記錄初始數據，將每條記錄通過獨特的方式排列，并利用MLSI調試檢測數據后，將數據發送給入侵分析器。最后，對收集到的數據進行調用，創建一個數據庫。將在數據庫收集到的數據稱為訓練數據，訓練數據質量的好壞將直接影響入侵檢測方法的檢測效果。本研究通過網絡數據庫中的存儲行為對數據庫信息進行補充和更新[5]，并將數據集切割成較短的序列，與常規庫進行比較，確保企業黑客入侵檢測初始數據的真實性和有效性。一般情況下，入侵檢測的初始數據來源多樣，可以通過對單一電腦的審計日志監測得到初始數據，在此類數據來源中，對于網絡是否存在黑客入侵行為的檢測較為散漫，容易出現漏掉攻擊行為的情況，并且對電腦內部的病毒識別效果較差，影響主機運行的安全性。本研究在處理企業黑客入侵檢測初始數據時，首先排除以上數據來源，然后對數據進行集中化管理，在網絡信息流中對數據進行分解與重組，保證得到更好的檢測效果，并且與24 h不間斷運行的數據監控中心連接，最大限度地保證初始數據的安全性。

1.2 基于TCP/IP數據包匹配技術構建企業黑客入侵檢測模型

對初始數據處理后，進一步提取網絡信息的關鍵性特征，與已知漏洞相匹配，如果與存儲在功能數據庫中的入侵記錄相匹配，則利用攻擊行為的狀態查找潛在的攻擊痕跡[6]。本研究設計方法的工作原理類似于使用病毒庫進行病毒掃描，因此數據庫必須時常維護、不斷更新，目前的入侵檢測方法對已知的網絡攻擊表現良好，但無法準確識別新的網絡攻擊，因此攻擊力不強[7]。

本研究設計的方法是利用TCP/IP數據包匹配技術勾勒出網絡上的正常行為，然后根據設定的閾值描述正常行為信息的狀態，如果在匹配時，潛在行為與既定的范圍有很大的偏差，就會被認為是一種侵入的行為。基于TCP/IP數據包匹配技術的入侵模型如圖1所示。

圖1 入侵檢測模型

從圖1中可以看出，入侵檢測模型由TCP/IP數據包、數據信息、數據分析器、響應單元、數據產生器、目標等部分組成，因此入侵檢測模型可以最大限度地增強入侵檢測效果[8]。

1.3 計算入侵檢測模型的相異性度量

上述過程完成了企業黑客入侵檢測模型的設計，為了進一步提高檢測的有效性，進行入侵檢測模型相異性的度量。通過TCP/IP數據包匹配技術構建的模型，利用FCM算法，尤其適用于大規模數據集的入侵模型。在實際應用中，各種功能的重要程度差異很大[9]，為了達到更好的聚類效果，TCP/IP數據包匹配技術可以避免企業相關數據受到噪聲和異常值的影響，使聚類中心結果與預期結果之間的差異縮小。由于聚類中心結果是根據每個數據的相異性度量劃分的，所以當相異性度量越小，相似數據聚類的可能性就越大，入侵檢測效果就越好。假設數據集S=[x1，x2，xn]，每個數據的維度為q，得到的相異性度量如下：

公式（1）中，i、j、k均表示入侵檢測數據；q為每個數據的維度；d（xi，xj）表示相異性度量函數，此外在相異性度量公式中，1＜i＜n，1＜j＜n，函數d（xi，xj）需要滿足非負性、對稱性的基本性質，即d（xi，xj）＞0；d（xi，xj）＜d（xi，xk）+d（xk，xj）。通過對異常入侵檢測數據的相異性度量計算，在一定程度可以保證入侵數據的完整性。也就是說，通過調用異常的度量與數據k的大小，可以直接影響檢測結果。

1.4 實現企業黑客入侵檢測

為了實現企業黑客入侵檢測，本研究使用TCP/IP數據包匹配技術，首先處理企業黑客入侵檢測初始數據；其次構建企業黑客入侵檢測模型；最后計算入侵檢測模型的相異性度量。通過該研究思路，可以保證企業黑客入侵檢測效果，更加完整地提取每次黑客入侵的檢測次數，并根據每次入侵程度改進防治方案。就目前的數據傳輸的情況來看，數據傳輸過程中存在SQL語句結構固定的問題，因此只需要使用客戶端給輸出的數據信息即可識別黑客入侵，保證檢測精度。由于SQL語句順序存在固定模式，因此必須按照固定順序進行檢測，如果出現其他的順序，將會直接影響黑客入侵檢測效果[10]。為此，本研究使用TCP/IP數據包匹配技術，摒棄SQL語句結構的固定模式，在檢測的最初步驟中設計一個功能數據庫，因此僅需對比數據庫存儲的數據信息就能找到黑客信息。并且，為了避免新型黑客的出現，本研究設計的模型不僅要對比功能數據庫中的數據信息，還會對每一個入侵企業賬戶的賬戶來源進行分析，以此最大限度地保證入侵檢測的效果。

2 仿真實驗

上述過程從理論層面完成了企業入侵黑客入侵檢測，為了驗證本研究設計的入侵方法是否具有可行性，進行企業黑客入侵檢測性能的仿真驗證。本研究利用UCI數據庫對設計的入侵方法進行仿真實驗。此數據庫中共含有499個數據集，并且在實驗過程中數據集仍在持續增長。在UCI數據庫中選擇wine數據集，此數據集是由180個數據組成，每個數據的類別由4個特征決定，可以通過TCP/IP數據包匹配技術得出聚類結果，以得到真實有效的黑客入侵檢測結果。

2.1 實驗過程

根據本次實驗選定的wine數據集，處理其中180個數據，識別并刪除數據噪聲，將數據進行歸一化處理，公式如下：

公式（2）中，b為TCP/IP數據包的聚類結果，由此計算出初始聚類中心結果（見表1）。

表1 初始聚類中心結果

表1中的數據為初始聚類中心結果，此結果通過wine數據集中的4個特征顯現出來，不同特征重要度利用初始聚類中心自動生成，4種特征的重要程度見表2。

表2 4種特征的重要程度

表2中，4種特征的重要程度均不相同，其中petal width最重要；petal length次之；sepal width排最后，將此4種特征檢測企業黑客入侵結果用圖的形式表現出來（如圖2所示）。

圖2 4種特征檢測企業黑客入侵結果

圖2為4種特征檢測企業黑客入侵結果，從圖2中可以看出，在4種特征中，petal length特征的重要程度最高，因此其檢測到的黑客入侵次數較多；sepal width特征的重要程度較低，因此其檢測到的黑客入侵次數較少。

以上述4種特征檢測結果為基礎，對黑客入侵檢測效果進行驗證，并為了突出本研究方法的檢測性能，將本研究方法與傳統方法進行對比驗證。

2.2 實驗結果

通過以上的實驗過程，在相同條件下，將傳統企業黑客入侵檢測方法與本研究設計的入侵檢測方法對比，觀察兩種方法在一年內檢測到的入侵次數，結果見表3。

表3 檢測到的入侵次數

從表3的數據可知，在實際入侵次數相同的條件下，傳統企業黑客入侵檢測方法檢測到的入侵次數，與實際入侵次數相差3～10次，檢測效果較差；而本研究設計的入侵檢測方法檢測到的入侵次數與實際入侵次數相差0～1次，檢測效果較好。

3 結語

近年來，網絡技術與信息化技術融合發展為企業帶來日新月異的變化，但是網絡的安全性并不高，安全漏洞較大，對企業的重要數據的保護效果較差，長此以往，將會對企業的發展造成毀滅性打擊。本研究基于TCP/IP數據包匹配技術設計企業黑客入侵檢測方法，從理論與實驗兩個方面對本研究方法的檢測性能進行驗證，旨在提高企業黑客入侵檢測效果，增強網絡信息的安全防御性。