基于大數(shù)據(jù)環(huán)境下網(wǎng)絡(luò)非法入侵檢測系統(tǒng)設(shè)計(jì)

李 鵬，王方媛

（山西工商學(xué)院 山西 太原 030000）

0 引言

在大數(shù)據(jù)發(fā)展的過程中，網(wǎng)絡(luò)攻擊及數(shù)據(jù)盜取等行為越來越多，這不僅給用戶帶來了嚴(yán)重的不良影響，且木馬病毒等也對計(jì)算機(jī)應(yīng)用的安全性造成了傷害。針對此情況，相關(guān)工作人員要意識到網(wǎng)絡(luò)非法入侵檢測系統(tǒng)應(yīng)用的重要性，且一定要保證系統(tǒng)應(yīng)用的有效性及科學(xué)性。傳統(tǒng)的入侵檢測系統(tǒng)已經(jīng)無法滿足當(dāng)前時(shí)代發(fā)展的需求，因此需要積極利用大數(shù)據(jù)技術(shù)手段，完善和優(yōu)化網(wǎng)絡(luò)非法入侵檢測系統(tǒng)，進(jìn)而保證計(jì)算機(jī)應(yīng)用的安全性以及可靠性。

針對大數(shù)據(jù)環(huán)境下網(wǎng)絡(luò)非法入侵檢測系統(tǒng)的設(shè)計(jì)問題，提出了一種基于PB 神經(jīng)網(wǎng)絡(luò)網(wǎng)絡(luò)入侵檢測系統(tǒng)的方法，實(shí)驗(yàn)結(jié)果表明，本文所提方法在大數(shù)據(jù)環(huán)境下設(shè)計(jì)的網(wǎng)絡(luò)入侵檢測系統(tǒng)運(yùn)行資源消耗低，檢測準(zhǔn)確度高，為該領(lǐng)域的研究和開發(fā)創(chuàng)造了條件。

1 總體設(shè)計(jì)

在大數(shù)據(jù)環(huán)境的影響下，對網(wǎng)絡(luò)非法入侵檢測系統(tǒng)進(jìn)行設(shè)計(jì)的過程中，需要對功能性進(jìn)行相應(yīng)的探究和分析。在此基礎(chǔ)上，應(yīng)對整體網(wǎng)絡(luò)非法入侵檢測系統(tǒng)的模塊進(jìn)行設(shè)計(jì)，在系統(tǒng)設(shè)計(jì)上要積極利用大數(shù)據(jù)技術(shù)。因此，大數(shù)據(jù)環(huán)境下網(wǎng)絡(luò)非法入侵檢測系統(tǒng)，主要由6 個模塊組成：報(bào)文捕獲模塊、報(bào)文解碼模塊、預(yù)處理模塊、協(xié)議分析模塊、檢測引擎模塊及日志報(bào)警模塊。

1.1 報(bào)文捕獲模塊

報(bào)文捕獲模塊主要是通過大數(shù)據(jù)技術(shù)采集相應(yīng)的數(shù)據(jù)信息，進(jìn)行檢查分析，并判斷是否存在非法入侵行為。報(bào)文捕獲模塊是整體網(wǎng)絡(luò)非法入侵檢測系統(tǒng)中最為基礎(chǔ)的模塊，也是整體系統(tǒng)工作的起始，因此需要保證報(bào)文捕獲模塊運(yùn)行的有效性，這樣才能保證后續(xù)分析處理模塊運(yùn)行工作的效率及精準(zhǔn)性[1]。報(bào)文捕獲模塊主要是對通過網(wǎng)絡(luò)接口信息進(jìn)行全面性的數(shù)據(jù)整合，之后把相應(yīng)數(shù)據(jù)進(jìn)行分析與處理，最后把處理后的數(shù)據(jù)傳輸至報(bào)文解碼模塊進(jìn)行下一步的工作。

1.2 報(bào)文解碼模塊

1.3 預(yù)處理模塊

在實(shí)際設(shè)計(jì)預(yù)處理模塊的過程中，可以在可擴(kuò)展插件體系結(jié)構(gòu)的基礎(chǔ)上進(jìn)行相應(yīng)設(shè)計(jì)，這樣更有利于對數(shù)據(jù)報(bào)文進(jìn)行分析和處理[2]。在實(shí)際進(jìn)行數(shù)據(jù)報(bào)文處理的過程中，一般會在文件中選擇預(yù)處理插件，這樣既可以幫助提升模塊運(yùn)行的可靠性，又可以提升系統(tǒng)的可擴(kuò)展性以及實(shí)用性。

1.4 協(xié)議分析模塊

為了可以保證計(jì)算機(jī)應(yīng)用的安全性，需要應(yīng)用網(wǎng)絡(luò)非法入侵檢測系統(tǒng)來準(zhǔn)確檢測計(jì)算機(jī)中是否存在非法入侵。為了保證網(wǎng)絡(luò)非法入侵檢測系統(tǒng)的有效性，需要設(shè)計(jì)一個協(xié)議分析模塊，該模塊主要用于傳輸數(shù)據(jù)包。根據(jù)應(yīng)用層協(xié)議類型分別檢測不同類型的數(shù)據(jù)包，這樣可以在很大程度上提升檢測的精準(zhǔn)度及可靠性。

1.5 檢測引擎模塊

在網(wǎng)絡(luò)非法入侵檢測系統(tǒng)的6 項(xiàng)模塊之中，最為重要的就是檢測引擎模塊，該模塊直接影響了網(wǎng)絡(luò)非法入侵檢測系統(tǒng)的性能情況。檢測引擎模塊主要負(fù)責(zé)基于分析算法和數(shù)據(jù)挖掘算法，檢測出惡意入侵?jǐn)?shù)據(jù)。該模塊發(fā)現(xiàn)惡意入侵網(wǎng)絡(luò)數(shù)據(jù)后，就會及時(shí)向系統(tǒng)管理員發(fā)出預(yù)警提示，另外系統(tǒng)的檢測工具也同時(shí)啟動，快速清除惡意入侵的網(wǎng)絡(luò)數(shù)據(jù)。在進(jìn)行設(shè)計(jì)的過程中，可以根據(jù)實(shí)際情況選擇模式匹配方法，檢測引擎模塊處于工作狀態(tài)時(shí)，主要包括構(gòu)造規(guī)則鏈表及特征匹配這2 個步驟。

1.6 日志報(bào)警模塊

日志報(bào)警模塊設(shè)計(jì)的主要目的是為了對數(shù)據(jù)信息進(jìn)行記錄（日志功能）及進(jìn)行報(bào)警（報(bào)警功能），這也在系統(tǒng)工作中發(fā)揮出重要的作用，該模塊工作主要是依靠輸出插件，這樣也為用戶的配置提供了便利條件[3]。其中，日志功能的主要作用是對數(shù)據(jù)報(bào)文進(jìn)行相應(yīng)的記錄，數(shù)據(jù)報(bào)文有2 種記錄方式，一是tcpdump 類型的二進(jìn)制格式，二是可讀文本的形式。而報(bào)警功能的主要目的是傳遞報(bào)警信息，傳遞目標(biāo)為日志文件或是數(shù)據(jù)庫。目前主要是利用命令形配置及輸出規(guī)則配置2 種方式進(jìn)行配置輸出。當(dāng)網(wǎng)絡(luò)非法入侵檢測系統(tǒng)默認(rèn)發(fā)出報(bào)警時(shí)，也會在日志中進(jìn)行信息記錄，從而大幅度節(jié)省文本設(shè)計(jì)的網(wǎng)絡(luò)非法入侵檢測系統(tǒng)資源消耗。

2 硬件設(shè)計(jì)

大數(shù)據(jù)環(huán)境下，為了實(shí)現(xiàn)各模塊的功能性作用，讓網(wǎng)絡(luò)非法入侵檢測系統(tǒng)發(fā)揮出最大的價(jià)值，需進(jìn)一步研究和分析該系統(tǒng)的硬件設(shè)計(jì)工作，進(jìn)而保證設(shè)計(jì)的科學(xué)性及合理性。如性能指標(biāo)、采樣芯片、USB 接口控制芯片、現(xiàn)場可編程邏輯門陣列（field programmable gate array，F(xiàn)PGA）、電源管理芯片等硬件，而這也可以在很大程度上保證系統(tǒng)應(yīng)用的有效性以及質(zhì)量，提升計(jì)算機(jī)運(yùn)行的安全性及可靠性，避免計(jì)算機(jī)被木馬病毒等破壞，影響整體的生產(chǎn)運(yùn)行[4]。

2.1 性能指標(biāo)

需明確各項(xiàng)性能指標(biāo)，保證性能指標(biāo)的科學(xué)性及合理性，性能指標(biāo)主要包括5 點(diǎn)內(nèi)容。系統(tǒng)性能指標(biāo)見表1，其中對于接口模式的選擇，通常以USB 總線為主。

表1 系統(tǒng)性能指標(biāo)

2.2 數(shù)據(jù)采樣芯片

對系統(tǒng)的數(shù)據(jù)采樣芯片進(jìn)行設(shè)計(jì)，在考慮到系統(tǒng)的實(shí)際情況中，本文采用了MAX125 同步數(shù)據(jù)采樣芯片，主要由數(shù)模轉(zhuǎn)換器及參考輸入緩沖器2 部分組成，其中數(shù)模轉(zhuǎn)換器的參數(shù)為3 s、14 位分辨率。數(shù)據(jù)采樣芯片在工作中，電壓要求為2.5 V，MAX125 同步數(shù)據(jù)采樣芯片工作電路示意圖如圖1所示。

十九大報(bào)告提出，實(shí)施鄉(xiāng)村振興戰(zhàn)略，培養(yǎng)造就一支懂農(nóng)業(yè)、愛農(nóng)村、愛農(nóng)民的“三農(nóng)”工作隊(duì)伍[6]。2014年底習(xí)近平總書記視察江蘇時(shí)，要求江蘇加快建設(shè)現(xiàn)代農(nóng)業(yè)，并突出強(qiáng)調(diào)要加快建設(shè)一支有文化、懂技術(shù)、會經(jīng)營的新型職業(yè)農(nóng)民隊(duì)伍；2016年中央一號文件首次提出“職業(yè)農(nóng)民的定向培養(yǎng)”這一重大命題[1]。

圖1 MAX125 同步數(shù)據(jù)采樣芯片工作電路示意圖

由圖1可知，MAX125 同步數(shù)據(jù)采樣芯片在工作中存在9 種工作模式，其中包含8 種省電模式，1 種節(jié)電模式，該芯片主要是通過指令輸入及數(shù)據(jù)輸出靈通三態(tài)門實(shí)現(xiàn)。當(dāng)轉(zhuǎn)換程序開始投入至工作狀態(tài)時(shí)，數(shù)據(jù)轉(zhuǎn)換器在進(jìn)行轉(zhuǎn)換工作的過程中，會嚴(yán)格遵守已經(jīng)完成設(shè)置的轉(zhuǎn)化換方式，保證芯片規(guī)范化以及有序性[5]。

2.3 USB 接口控制芯片的選擇

USB 協(xié)議具有較高的復(fù)雜性，這對USB 接口也提出了更高的要求，這樣才能保證整體系統(tǒng)運(yùn)行的良好性，因此USB 接口應(yīng)具有較強(qiáng)的智能性，才能更好地發(fā)揮出作用和價(jià)值。可以對控制芯片進(jìn)行相應(yīng)的指導(dǎo)，幫助其進(jìn)行非法行為的檢查，當(dāng)USB 接口發(fā)生問題時(shí)可以及時(shí)做出反應(yīng)，由此可見設(shè)備智能性的重要性。在實(shí)際選擇USB 接口控制芯片的過程中，除了需要考慮到網(wǎng)絡(luò)非法入侵檢測系統(tǒng)的整體性能情況，還需要考慮到USB 接口控制芯片的成本及系統(tǒng)開發(fā)的實(shí)際情況等因素，這樣才能保證選擇的合理性。提升USB 接口控制芯片的有效性，還可以提升了整體的工作質(zhì)量及工作效率[6]。因此，可以選擇智能型USB 接口的EZ-USB FX2USB2.0 控制芯片，此控制芯片的內(nèi)核相對來說更為強(qiáng)大。另外，設(shè)置智能串行接口引擎，可在很大程度上提升網(wǎng)絡(luò)非法入侵檢測系統(tǒng)的可擴(kuò)展性，也為開發(fā)設(shè)計(jì)提供了更為便利的條件及技術(shù)支持。

2.4 FPGA

在進(jìn)行FPGA 設(shè)計(jì)的過程中，需要考慮的因素較多，其中較為重要的就是FPGA 的芯片，可以選擇使用Alterations Cyclone Ⅱ芯片，主要是因?yàn)镵 值較低且具備全銅層，這也是被使用的優(yōu)勢和亮點(diǎn)，且此芯片可以滿足設(shè)計(jì)的相關(guān)要求。Alterations Cyclone Ⅱ芯片與USB接口控制芯片進(jìn)行連接，在連接的過程中需要嚴(yán)格遵守相關(guān)的設(shè)計(jì)要求，按照相應(yīng)的圖紙進(jìn)行鏈接，這樣可以在很大程度上保證了網(wǎng)絡(luò)非法入侵檢測系統(tǒng)運(yùn)行的穩(wěn)定性，也保證了整體運(yùn)行工作的持續(xù)性[7]。

2.5 電源管理芯片

對于芯片來說，運(yùn)行工作所要求的電壓與網(wǎng)絡(luò)非法入侵檢測系統(tǒng)運(yùn)行工作的電壓存在一定的差異性，針對此情況，為了芯片運(yùn)行電壓符合要求，需要在系統(tǒng)的硬件之中設(shè)計(jì)電源管理芯片，滿足芯片的電壓要求，進(jìn)而保持運(yùn)行工作的穩(wěn)定性[8]。對于此，可以選擇使用7805集成穩(wěn)定器，這是一種三端器件，分別是輸入端、輸出端及接地端，可以保證后期工作的長期穩(wěn)定運(yùn)行。

3 軟件設(shè)計(jì)

為了明確網(wǎng)絡(luò)結(jié)構(gòu)的具體情況，對大數(shù)據(jù)環(huán)境下網(wǎng)絡(luò)非法入侵檢測系統(tǒng)模塊進(jìn)行設(shè)計(jì)，系統(tǒng)的實(shí)現(xiàn)需將其分為多模塊，系統(tǒng)框架如圖2所示。利用BP 神經(jīng)網(wǎng)絡(luò)學(xué)習(xí)算法，結(jié)合使用遺傳算法，學(xué)習(xí)BP 神經(jīng)網(wǎng)絡(luò)的網(wǎng)絡(luò)權(quán)值，將學(xué)習(xí)結(jié)構(gòu)作為非法入侵的特征。在此過程中需要利用到BP 神經(jīng)網(wǎng)絡(luò)的非線性以及學(xué)習(xí)能力[9]，具體過程如下。

圖2 系統(tǒng)框架

（1）首先，在大數(shù)據(jù)環(huán)境的影響下，需要對計(jì)算機(jī)運(yùn)行中的非法入侵行為進(jìn)行分析研究，掌握基本特征和特點(diǎn)，并以此為基礎(chǔ)對賦予權(quán)值；然后，需要對非法入侵行為進(jìn)行編碼，在實(shí)際進(jìn)行編碼工作的過程中主要是依靠二進(jìn)制編碼方式，其公式可表示為

式中：yk（t）為網(wǎng)絡(luò)數(shù)據(jù)的實(shí)際輸出；y′k（t）為網(wǎng)絡(luò)數(shù)據(jù)的期望輸出；k為捕獲數(shù)據(jù)的數(shù)量。

（2）對于目標(biāo)函數(shù)最大值的設(shè)定，一般是選擇網(wǎng)絡(luò)入侵的檢測問題作為設(shè)定，利用遺傳算法的相關(guān)公式計(jì)算適應(yīng)度函數(shù)。

（3）利用BP 神經(jīng)網(wǎng)絡(luò)對網(wǎng)絡(luò)非法入侵特征的權(quán)值按照特點(diǎn)進(jìn)行分類，并進(jìn)行數(shù)據(jù)報(bào)文的提取。

（4）對于權(quán)值構(gòu)成方面，可以選擇全體基因，這樣可以在很大程度上保證檢測的精準(zhǔn)度，并對選擇的基因群體進(jìn)行遺傳操作，最終完成網(wǎng)絡(luò)非法入侵檢測系統(tǒng)的軟件設(shè)計(jì)[10]。

4 相關(guān)實(shí)驗(yàn)及結(jié)果與分析

通過實(shí)驗(yàn)驗(yàn)證，基于PB 神經(jīng)網(wǎng)絡(luò)的大數(shù)據(jù)環(huán)境下網(wǎng)絡(luò)非法入侵檢測系統(tǒng)設(shè)計(jì)方法的可行性。構(gòu)建網(wǎng)絡(luò)環(huán)境下的非法入侵檢測實(shí)驗(yàn)平臺，實(shí)驗(yàn)對象為網(wǎng)絡(luò)中的大數(shù)據(jù)，通過網(wǎng)絡(luò)入侵檢測進(jìn)行了實(shí)驗(yàn)研究中應(yīng)用本文所提方法，來證實(shí)該設(shè)計(jì)的數(shù)據(jù)環(huán)境下網(wǎng)絡(luò)入侵檢測系統(tǒng)的整體有效性[11]。

4.1 參數(shù)來源

利用TPS75533 型PMOS 裝置采集電流變化值，并利用Cyclone Ⅱ器件提高系統(tǒng)運(yùn)行速度，最后對7 805 對系統(tǒng)各芯片電壓進(jìn)行控制。實(shí)驗(yàn)使用由麻省理工學(xué)院林肯實(shí)驗(yàn)室提供的KDD Cup 數(shù)據(jù)集，該數(shù)據(jù)包含4 種數(shù)據(jù)類型，對比方法中，使用大數(shù)據(jù)環(huán)境下的網(wǎng)絡(luò)入侵檢測系統(tǒng)，將本文所提與其他2 種方法相比較，從而完成了實(shí)驗(yàn)。

4.2 過程分析

對3 種方法的網(wǎng)絡(luò)入侵檢測系統(tǒng)進(jìn)行了比較，計(jì)算公式可表示為

式中：Q為網(wǎng)絡(luò)非法入侵檢測系統(tǒng)的運(yùn)行能耗，J；R為網(wǎng)絡(luò)非法入侵檢測系統(tǒng)，Ω；t為網(wǎng)絡(luò)非法入侵檢測系統(tǒng)的操作時(shí)間，h。經(jīng)過計(jì)算，分析出3 種方法的網(wǎng)絡(luò)入侵檢測系統(tǒng)在大數(shù)據(jù)環(huán)境中的能耗對比。為了使系統(tǒng)模塊簡明合理，達(dá)到降低能耗的目的，這就要針對非法入侵檢測系統(tǒng)的功能進(jìn)行系統(tǒng)的分析。對3 種方法的網(wǎng)絡(luò)入侵檢測系統(tǒng)在大數(shù)據(jù)環(huán)境中的檢測效果進(jìn)行了實(shí)驗(yàn)對比，本文中將檢測效果體現(xiàn)為檢測率、漏檢率及誤檢率，具體計(jì)算方式可表示為：

4.3 結(jié)果與分析

入侵檢測結(jié)果對比見表2，可見，本文所提方法在大數(shù)據(jù)環(huán)境下進(jìn)行網(wǎng)絡(luò)入侵檢測，具有較高的檢測率，且漏檢率和誤檢率較低。因此，本文所提方法運(yùn)行能耗低、檢測速度快、檢測效果好，具有很強(qiáng)的實(shí)用價(jià)值。

表2 入侵檢測結(jié)果對比

5 結(jié)語

綜上所述，計(jì)算機(jī)在工作的過程中會被木馬病毒等影響，進(jìn)而對計(jì)算機(jī)的安全性造成影響，目前人們加深對網(wǎng)絡(luò)非法入侵檢測系統(tǒng)設(shè)計(jì)的研究與分析。設(shè)計(jì)人員在實(shí)際進(jìn)行設(shè)計(jì)的過程中，首先需要設(shè)計(jì)整體的框架，然后設(shè)計(jì)系統(tǒng)的硬件以及軟件，這樣才能保證網(wǎng)絡(luò)非法入侵檢測系統(tǒng)運(yùn)行的穩(wěn)定性，進(jìn)而保證計(jì)算機(jī)網(wǎng)絡(luò)的安全性以及可靠性。