摘 要： 傳統(tǒng)網(wǎng)絡(luò)入侵目標檢測方法存在漏報率高和對不確定入侵數(shù)據(jù)檢測性能弱的缺陷，無法勝任混網(wǎng)網(wǎng)絡(luò)安全檢測的需要。針對混網(wǎng)網(wǎng)絡(luò)結(jié)構(gòu)特征，設(shè)計并實現(xiàn)了最優(yōu)入侵目標檢測軟件，該軟件包括負載均衡模塊、誤用檢測模塊、匹配算法自適應(yīng)模塊，并采用多核網(wǎng)絡(luò)處理器的多個同構(gòu)核當成混網(wǎng)入侵檢測引擎。通過自適應(yīng)多模式匹配模型，基于混網(wǎng)網(wǎng)絡(luò)的狀態(tài)、特征動態(tài)對模式匹配算法進行動態(tài)調(diào)控，確保入侵目標檢測引擎的利用率最大化。該匹配模型包括規(guī)范預(yù)操作過程、流量檢測過程以及動態(tài)調(diào)控過程。給出了混網(wǎng)網(wǎng)絡(luò)結(jié)構(gòu)下的數(shù)據(jù)包多核處理過程以及匹配算法的優(yōu)化代碼。實驗結(jié)果說明，所設(shè)計入侵檢測軟件可實現(xiàn)混網(wǎng)下入侵目標的有效檢測，具有較高的檢測性能。

關(guān)鍵詞： 混網(wǎng)網(wǎng)絡(luò)； 最優(yōu)入侵目標； 檢測； 軟件

中圖分類號： TN911?34 文獻標識碼： A 文章編號： 1004?373X（2015）24?0079?04

Design and implementation of optimal detection software for intrusion objects in

hybrid network structure

GAO Xiaohu

（Jiangsu Vocational College of Business， Nantong 226011， China）

Abstract： The traditional network invasion detection method can not satisfy the demands of the mixed network safety detection due to its high non?response rate and weak detectability for uncertainty intrusion data. In view of the hybrid network structure characteristics， the optimal detection software for intrusion objects was designed. Thr software consists of load balancing module， misuse detection module and matching algorithm self?adaptive module. The multiple isomorphic cores of multi?core network processor is used in it as the engine of the hybrid network intrusion detection. By adaptive multiple pattern matching model， the dynamic caontrol of pattern matching algorithm is performed based on the state and characteristic dynamic state of the mixed network， and the maximum utilization of intrusion detection engine is guaranteed. The matching model includes the pre?operation process of the specification， the flow detection process and the dynamic regulation process. The multi?core treating process of data packet and the optimized code of matching algorithm are presented. The experiment result shows that the designed intrusion detection software can realize the effective detection of intruder in hybrid network and has high detection performance.

Keywords： mixed network； optimal invasion goal； detection； software

0 引 言

隨著網(wǎng)絡(luò)技術(shù)的快速發(fā)展，網(wǎng)絡(luò)安全問題逐漸受到關(guān)注。當前的網(wǎng)絡(luò)環(huán)境日趨復(fù)雜，特別是包含不同網(wǎng)絡(luò)結(jié)構(gòu)的混合網(wǎng)絡(luò)，其網(wǎng)絡(luò)攻擊手段具有多元化、復(fù)雜化等特征[1?3]。傳統(tǒng)網(wǎng)絡(luò)入侵目標檢測方法，存在漏報率高和對不確定入侵數(shù)據(jù)檢測性能弱的缺陷，無法勝任混網(wǎng)網(wǎng)絡(luò)安全檢測的需要。因此，針對混網(wǎng)網(wǎng)絡(luò)特征，尋求有效的入侵目標檢測模型，具有重要的研究價值[4?5]。

文獻[6]分析了基于粗糙集合人工免疫的入侵目標檢測方法，該種方法具有較高的自學(xué)習(xí)和容錯能力，但是免疫過程需要大量完整的數(shù)據(jù)集，面對小樣本的網(wǎng)絡(luò)入侵數(shù)據(jù)，該種方法容易陷入局部最優(yōu)解，且運行周期較長，不能滿足網(wǎng)絡(luò)入侵檢測要求。文獻[7]提出基于支持向量機的網(wǎng)絡(luò)入侵目標檢測模型，該種模型通過搜索某種歸納原則，實現(xiàn)入侵目標的有效檢測，但是該種方法存在效率低、耗能高的問題。文獻[8]分析了基于關(guān)聯(lián)規(guī)范的入侵目標檢測模型，但是該模型對訓(xùn)練數(shù)據(jù)集要求很高，而檢測的準確率又不高。文獻[9]提出采用網(wǎng)格法實現(xiàn)最優(yōu)入侵目標的檢測，該種方法在設(shè)定的網(wǎng)格密度范圍內(nèi)搜索各點，將各點當成分類器的參數(shù)，最終采用準確率最高的參數(shù)對，完成檢測，但是這種方法耗時大，對于混網(wǎng)中的大數(shù)據(jù)集進行檢測的效率大大降低。針對上述分析的問題，本文設(shè)計了一種面向混網(wǎng)網(wǎng)絡(luò)結(jié)構(gòu)下的最優(yōu)入侵目標檢測軟件，該軟件包括負載均衡模塊、誤用檢測模塊、匹配算法自適應(yīng)模塊。提出了一種自適應(yīng)多模式匹配模型，基于混網(wǎng)網(wǎng)絡(luò)的狀態(tài)、特征動態(tài)對模式匹配算法進行動態(tài)調(diào)控，進而確保檢測引擎的利用率最大化。實驗結(jié)果說明，所設(shè)計入侵檢測軟件，可實現(xiàn)混網(wǎng)下入侵目標的有效檢測，具有較高的檢測性能。

1 混網(wǎng)網(wǎng)絡(luò)結(jié)構(gòu)下最優(yōu)入侵目標檢測軟件設(shè)計

1.1 軟件功能模塊設(shè)計

本文針對混網(wǎng)網(wǎng)絡(luò)結(jié)構(gòu)特征，設(shè)計的最優(yōu)入侵目標檢測軟件包括負載均衡模塊、誤用檢測模塊、匹配算法自適應(yīng)模塊，三個模塊的具體結(jié)構(gòu)和相互調(diào)用關(guān)系，如圖1所示。

圖1 軟件功能模塊結(jié)構(gòu)圖

1.2 入侵檢測引擎總體結(jié)構(gòu)

入侵檢測引擎可從協(xié)議分析模塊中采集協(xié)議還原后的網(wǎng)絡(luò)報文，通過誤用檢測引擎同入侵規(guī)范進行模式匹配?；炀W(wǎng)網(wǎng)絡(luò)結(jié)構(gòu)下，為了提高入侵檢測效率，需要采用多核網(wǎng)絡(luò)處理器的多個同構(gòu)核當成混網(wǎng)入侵檢測引擎。各核上運行一個入侵檢測進程，協(xié)議分析模塊以及入侵檢測模塊的核間通信采用隊列的方式。入侵檢測引擎的總體架構(gòu)如圖2所示。

本文設(shè)計的入侵檢測引擎包含負載平衡、入侵檢測以及匹配算法自適應(yīng)模塊。負載平衡模塊對檢測引擎的負載量進行總體調(diào)控，確保負載量均衡化；入侵檢測引擎通過誤用檢測方法比較協(xié)議研究后的報文和規(guī)范庫中的入侵規(guī)范，進而尋求最優(yōu)入侵目標并報警；匹配算法自適應(yīng)模塊基于入侵規(guī)范模式的特征以及混網(wǎng)狀態(tài)調(diào)整模式匹配方法，提高檢測引擎的魯棒性。

1.3 誤用檢測方法

本文采用的誤用檢測方法為模式匹配方法，模式匹配（Qoreern Match） 通過專門定義的入侵規(guī)范描述語言來表示入侵行為，將已知入侵利用規(guī)范描述語言形成特征庫，通過比對待檢測網(wǎng)絡(luò)數(shù)據(jù)包與特征庫入侵描述來檢測入侵。本文針對混網(wǎng)網(wǎng)絡(luò)結(jié)構(gòu)特征，提出了一種自適應(yīng)多模式匹配模型，基于混網(wǎng)網(wǎng)絡(luò)的狀態(tài)、特征動態(tài)對模式匹配算法進行動態(tài)調(diào)控，進而確保檢測引擎的利用率最大化。

圖2 入侵檢測引擎架構(gòu)

自適應(yīng)多模式匹配模型包括規(guī)范預(yù)操作過程、流量檢測過程以及動態(tài)調(diào)控過程。規(guī)范預(yù)操作過程需要設(shè)置原始的有效匹配算法；流量檢測過程調(diào)用適用于當前的匹配算法，同時向動態(tài)調(diào)控過程傳輸網(wǎng)絡(luò)狀態(tài)信息；動態(tài)調(diào)整過程基于網(wǎng)絡(luò)當前的狀態(tài)信息以及規(guī)范信息，選擇后續(xù)的匹配算法。模型的算法庫中包含AC 算法、ACBM 算法、WM 算法等常用的多模式匹配算法，這些算法具有統(tǒng)一的對外接口，切換方便。

（1） 規(guī)范預(yù)操作過程

規(guī)范預(yù)操作過程在IPS 規(guī)則初始化過程中進行，先塑造規(guī)范鏈表，并按照規(guī)范特征以及協(xié)議特征等對比匹配算法庫中的算法，進而采集一個模式匹配算法。

（2） 流量檢測過程

流量檢測過程通過預(yù)操作過程采集的匹配算法，對IPS 探針采集的待檢測數(shù)據(jù)包進行模式匹配，并將檢測結(jié)果傳遞到動態(tài)調(diào)控過程。

（3） 動態(tài)調(diào)控過程

IPS探針工作時，自適應(yīng)多模式匹配方法對入侵目標檢測引擎的檢測結(jié)果進行分析，并評估當前的混網(wǎng)網(wǎng)絡(luò)狀態(tài)，進而在算法庫中采集最佳匹配算法，調(diào)整決策參數(shù)和模式匹配算法。調(diào)整模式匹配算法主要在WM和ACBM 算法間進行變換?；谝?guī)模文件塑造匹配的規(guī)范樹，規(guī)范樹中各樹節(jié)點用于描述某種類型模式匹配的子任務(wù)，研究規(guī)范樹中各節(jié)點的協(xié)議變量特征以及相關(guān)模式特征；分析算法庫中的各匹配算法的特征，采集一種最適合該規(guī)范樹節(jié)點的多模式匹配算法。

系統(tǒng)的邏輯處理流程為，負載均衡模塊獲得協(xié)議分析后的網(wǎng)絡(luò)報文，通過自適應(yīng)均衡算法分配數(shù)據(jù)包的流向，將數(shù)據(jù)包傳輸?shù)侥硞€入侵目標檢測引擎的隊列中。入侵目標檢測引擎檢測混網(wǎng)網(wǎng)絡(luò)報文，同時將檢測結(jié)果傳輸?shù)轿ｋU等級分析模塊，通過自適應(yīng)多模式匹配算法獲取后續(xù)的模式匹配算法，并將結(jié)果傳輸?shù)饺肭謾z測模塊中。

1.4 數(shù)據(jù)包多核處理

混網(wǎng)網(wǎng)絡(luò)結(jié)構(gòu)下最優(yōu)入侵目標檢測模型，需要基于多核架構(gòu)模型，對數(shù)據(jù)包進行多核處理，進而提高最優(yōu)入侵目標的檢測效率?；炀W(wǎng)結(jié)構(gòu)下的多核架構(gòu)中數(shù)據(jù)包的處理過程，如圖3所示。

圖3 數(shù)據(jù)包處理流程

本文入侵檢測軟件需要實現(xiàn)混網(wǎng)網(wǎng)絡(luò)結(jié)構(gòu)下數(shù)據(jù)采集、數(shù)據(jù)預(yù)處理、入侵分析以及告警等過程。功能流水線技術(shù)將入侵目標檢測軟件的處理過程劃分成不同的有序數(shù)據(jù)操作過程，將不同的操作過程分布到不同的執(zhí)行單元中進行操作，首個執(zhí)行單元運行入侵目標檢測軟件的第一步，完成操作后將檢測結(jié)果反饋到檢測軟件的下個過程的執(zhí)行單元核中，因為多核的各核運行總體軟件的一個子集，則將提高入侵目標檢測命令的執(zhí)行率?；炀W(wǎng)網(wǎng)絡(luò)結(jié)構(gòu)下的數(shù)據(jù)包多核處理過程如圖4所示。分析圖4可得，在數(shù)據(jù)包重組后4核處理過程中，在共享內(nèi)存中，采用環(huán)形緩沖區(qū)在不同線程間傳輸數(shù)據(jù)包。不同線程共享同一的地址空間，則將環(huán)形緩沖區(qū)設(shè)置成一個包指針數(shù)組，可避免在多個線程間拷貝或存儲數(shù)據(jù)包，大大提高了混網(wǎng)中入侵檢測數(shù)據(jù)包的傳遞效率。

1.5 代碼設(shè)計

匹配算法是混網(wǎng)網(wǎng)絡(luò)結(jié)構(gòu)下最優(yōu)入侵目標檢測引擎的核心，其與檢測模型檢測效率有較高的關(guān)聯(lián)性。

圖4 數(shù)據(jù)包重組后4核處理工作流程

在網(wǎng)絡(luò)數(shù)據(jù)包檢查入侵特征過程中，需要一個有效的入侵特征搜索算法，具體的優(yōu)化方法為：

class Query

{

uegmireeont int WNTYUE=168； //設(shè)置種類

intd[WNTYUE]；

int m；

biln*Qore：

Public：

Query（gome*，m）：

Int find（gome*，）： //找到特征

}；

Query：：Query（biln*p，len）{

discri（P）；

Qore=P；

m=len；

int q=0；

for（q=0：q

d[ql=m+l；

for（q=0：q

d[Qore[q]l=m?q：

}

Int Query：：find（biln*text，len）{

discri（text）；

int n=len；

if（m>n）

return?l；

int q=m?1；

while（q

int j=m?l：

int i=q；

while o>=0text[i]==Qore[j]）{

j??；

i??

}

I（j==?1）return i+l：

q+=d[text[q+l]]；

}

return?l；

}

2 實驗分析

為了驗證本文軟件模型的有效性，需要進行相關(guān)的實驗分析。實驗采用KDD99數(shù)據(jù)集進行測試，分析最優(yōu)入侵目標檢測軟件的性能和效率，獲取的相關(guān)結(jié)果用表1，表2描述。

表1 本文入侵目標檢測軟件的檢測結(jié)果

表2 攻擊結(jié)果統(tǒng)計

分析表1和表2能夠得出，本文設(shè)計的混網(wǎng)結(jié)構(gòu)下的最優(yōu)入侵目標檢測軟件的報警總數(shù)與實際攻擊總數(shù)較為接近，說明該軟件可實現(xiàn)入侵目標的有效檢測，具有較高的應(yīng)用價值。統(tǒng)計實驗過程中本文軟件的成功檢測率、漏報率、誤報率以及報警可信度等指標，評估本文軟件的性能優(yōu)劣，詳細的結(jié)果用表3描述。

表3 性能指標 %

分析表3可以看出，本文軟件的成功檢測率高于92%，漏報率和誤報率也都較低，本文軟件的檢測效率為86.63%，具有較高的優(yōu)勢，是一種高質(zhì)量的入侵目標檢測軟件。

為了檢測軟件的運行速度，采用軟件對數(shù)據(jù)集的檢測時間（s）作為衡量指標，對比分析本文軟件和基于支持向量機的入侵檢測模型的檢測時間如圖5所示。分析圖5可知，相對于基于支持向量機的入侵檢測模型，本文檢測模型的檢測速度大幅度提高，滿足混網(wǎng)網(wǎng)絡(luò)結(jié)構(gòu)下最優(yōu)入侵目標檢測的實時性要求。

3 結(jié) 語

本文針對混網(wǎng)網(wǎng)絡(luò)結(jié)構(gòu)特征，設(shè)計并實現(xiàn)了最優(yōu)入侵目標檢測軟件，該軟件包括負載均衡模塊、誤用檢測模塊、匹配算法自適應(yīng)模塊，采用多核網(wǎng)絡(luò)處理器的多個同構(gòu)核當成混網(wǎng)入侵檢測引擎。通過自適應(yīng)多模式匹配模型，基于混網(wǎng)網(wǎng)絡(luò)的狀態(tài)、特征動態(tài)對模式匹配算法進行動態(tài)調(diào)控，確保入侵目標檢測引擎的利用率最大化。該匹配模型包括規(guī)范預(yù)操作過程、流量檢測過程以及動態(tài)調(diào)控過程。給出了入侵目標檢測模型在混網(wǎng)結(jié)構(gòu)下的多核架構(gòu)中優(yōu)化包處理過程以及匹配算法的優(yōu)化代碼。實驗結(jié)果說明，設(shè)計的入侵檢測軟件，可實現(xiàn)混網(wǎng)下入侵目標的有效檢測，具有較高的檢測性能。

圖5 不同模型的檢測時間對比

參考文獻

[1] 彭義春，牛熠，胡琦偉.基于IRBF的入侵檢測系統(tǒng)的研究[J].計算機應(yīng)用與軟件，2013，30（9）：187?190.

[2] 逢俊杰.Xen虛擬機的狀態(tài)監(jiān)控與系統(tǒng)性能優(yōu)化[D].長春：吉林大學(xué)，2013.

[3] 姜秋生，容曉峰.VMI 技術(shù)研究綜述[J].電子設(shè)計工程，2013，21（1）：13?16.

[4] 沈錫瓊，楊云春，李海雁，等.智能化多媒體教室中語音傳輸系統(tǒng)的設(shè)計與實現(xiàn)[J].電子設(shè)計工程，2014，22（9）：94?96.

[5] JAAFAR A， SAMSUDI A. An improved version of the visual digital signature scheme [J]. International Arab Journal of Information Technology， 2013， 10（6）： 595?602.

[6] 張玲，白中英，羅守山，等.基于粗糙集和人工免疫的集成入侵檢測模型[J].通信學(xué)報，2013，34（9）：166?176.

[7] PALMIERI F， FIORE U， CASTIGLIONE A. A distributed approach to network anomaly detection based on independmt component analysis [J]. Concurrency and Computation?practice Experience， 2014， 26（5）： 1113?1129.

[8] LIU J， XU G S， ZHENG S H， et al. Data streams classification with ensemble model based on decision?feedback [J]. Journal of China Universities of Posts and Telecommunications， 2014， 21（1）： 79?85.

[9] SHEIKHAN M， JADIDI Z. Flow?based anomaly detection in high?speed links using modified GSA?optimized neural network [J]. Neural Computing and Applications， 2014， 5（18）： 599?611.