摘 要： 網(wǎng)絡(luò)入侵具有較強(qiáng)的破壞以及不可控性，受到入侵攻擊后的網(wǎng)絡(luò)流量存在沖突、約束數(shù)據(jù)帶寬等隨機(jī)因素，使得網(wǎng)絡(luò)流量產(chǎn)生波動，穩(wěn)定性降低。以往網(wǎng)絡(luò)波動控制方法，在網(wǎng)絡(luò)波動性高于設(shè)置的閾值后，控制方法不能對網(wǎng)絡(luò)波動進(jìn)行有效控制。因此，基于自抗擾控制器，設(shè)計并實現(xiàn)網(wǎng)絡(luò)波動控制系統(tǒng)，該系統(tǒng)包括流量采集模塊、流量匯總模塊、流量異常檢測和控制模塊以及警示模塊，并且具備網(wǎng)絡(luò)探析部件、主機(jī)探析部件、策略管理中心、控制臺四大功能。系統(tǒng)采用自抗擾處理器對入侵攻擊產(chǎn)生的流量波動進(jìn)行控制，確保網(wǎng)絡(luò)流量的均衡性。實驗結(jié)果表明，所提方法下的網(wǎng)絡(luò)入侵行為顯著降低，具有較低的網(wǎng)絡(luò)入侵性能。

關(guān)鍵詞： 網(wǎng)絡(luò)入侵； 波動控制； 網(wǎng)絡(luò)流量失穩(wěn)控制； 系統(tǒng)設(shè)計

中圖分類號： TN926?34； TP393 文獻(xiàn)標(biāo)識碼： A 文章編號： 1004?373X（2016）14?0024?04

Design and implementation of fluctuation control system after network intrusion

ZHAO Jing

（Urumqi Vocational University， Urumqi 830002， China）

Abstract： Network intrusion has strong destruction and uncontrollability， so there are the network traffic conflict， data bandwidth constraint and other random factors after intrusion attack， which make the network traffic appear fluctuation and low stability. Since the previous network fluctuation control method can't control network fluctuation effectively when the network fluctuation is higher than the set threshold， a network fluctuation control system was designed and implemented on the basis of active disturbance rejection controller （ADRC）. The system is composed of traffic acquisition module， flow aggregation module， traffic anomaly detection control module and warning module， and has the functions of network analysis， host analysis， strategy management and control. The immunity processor is used in the system to control the flow fluctuation caused by intrusion attack， and ensure the network traffic balance. The experimental results indicate that the proposed method makes network intrusion behavior significantly reduced.

Keywords： network intrusion； fluctuation control； network traffic instability control； system design

0 引 言

網(wǎng)絡(luò)系統(tǒng)受到入侵攻擊后，會出現(xiàn)流量波動和帶寬降低現(xiàn)象，導(dǎo)致網(wǎng)絡(luò)信號傳輸存在較高的時延和數(shù)據(jù)丟包問題[1?2]。為了提高網(wǎng)絡(luò)通信性能，應(yīng)采用有效的方法對網(wǎng)絡(luò)系統(tǒng)入侵后的流量波動進(jìn)行控制，保持網(wǎng)絡(luò)通信的穩(wěn)定性。傳統(tǒng)基于免疫分析的入侵波動控制方法，抗干擾性能弱，對應(yīng)流量的規(guī)模具有較高的要求，不能對網(wǎng)絡(luò)入侵后的流量波動問題進(jìn)行有效控制[3?5]。

當(dāng)前的入侵波動控制方法存在較多的問題，如文獻(xiàn)[6]提出的基于Agent技術(shù)和免疫學(xué)原理的入侵波動控制方法，該方法在控制網(wǎng)絡(luò)波動過程中融合了多 Agent 網(wǎng)絡(luò)以及免疫網(wǎng)絡(luò)的優(yōu)勢，但是存在控制效率低的缺陷。文獻(xiàn)[7]分析了融合線性預(yù)測和馬爾可夫模型的波動控制方法，通過線性預(yù)測技術(shù)依據(jù)特權(quán)進(jìn)程形成的網(wǎng)絡(luò)調(diào)用序列提取特征向量，塑造馬爾可夫模型，依據(jù)該模型的狀態(tài)序列概率控制異常進(jìn)程行為。但是該種方法需要消耗較高的系統(tǒng)資源。文獻(xiàn)[8]通過模糊神經(jīng)網(wǎng)絡(luò)實現(xiàn)網(wǎng)絡(luò)波動的檢測，可對未知入侵攻擊進(jìn)行檢測并優(yōu)化網(wǎng)絡(luò)波動控制系統(tǒng)的性能，降低了漏報誤報率，但該種方法容易導(dǎo)致系統(tǒng)變得更為復(fù)雜。文獻(xiàn)[9]提出了基于免疫的入侵波動控制方法，可主動檢測網(wǎng)絡(luò)運行狀態(tài)，獲取并處理非授權(quán)的異常訪問，但該種方法存在較高的誤報率。

針對上述方法存在的弊端，提出基于自抗擾控制器，設(shè)計并實現(xiàn)網(wǎng)絡(luò)波動控制系統(tǒng)，該系統(tǒng)采用自抗擾處理器對入侵攻擊產(chǎn)生的流量波動進(jìn)行控制，確保網(wǎng)絡(luò)流量的均衡性。

1 網(wǎng)絡(luò)入侵后的波動控制系統(tǒng)

1.1 系統(tǒng)體系結(jié)構(gòu)

分析網(wǎng)絡(luò)入侵后波動控制系統(tǒng)的功能，將其劃分成流量采集模塊、流量匯總模塊、流量異常檢測和控制模塊以及警示模塊。總體結(jié)構(gòu)如圖1所示。

系統(tǒng)各模塊的功能為：

（1） 流量采集模塊。在網(wǎng)絡(luò)核心服務(wù)器周圍安放流量采集工作站，將用于采集流量的主機(jī)網(wǎng)卡設(shè)置為混合模式，確保其可獲取全部通過工作站的網(wǎng)絡(luò)流量數(shù)據(jù)。

（2） 流量匯總模塊。流量匯總模塊對網(wǎng)絡(luò)帶寬利用率、包比率以及協(xié)議包數(shù)量進(jìn)行匯總分析，將獲取的匯總結(jié)果保存在內(nèi)存中的鏈表結(jié)構(gòu)里。

（3） 流量異常檢測和控制模塊。該模塊針對不同的網(wǎng)絡(luò)流量類型，采用不同的方法判斷對應(yīng)的網(wǎng)絡(luò)流量是否出現(xiàn)異常。如通過時間序列法塑造網(wǎng)絡(luò)帶寬利用率模型，可檢測網(wǎng)絡(luò)帶寬利用率匯總亮序列中的異常。模塊綜合分析不同因素的匯總量異常情況，對總體網(wǎng)絡(luò)流量的異常情況進(jìn)行判斷。當(dāng)檢測到異常流量后，采用自抗擾處理器對異常流量產(chǎn)生的波動進(jìn)行控制，確保網(wǎng)絡(luò)流量的均衡性。

（4） 警示模塊。若檢測到異常流量，說明存在網(wǎng)絡(luò)入侵攻擊，應(yīng)立刻產(chǎn)生警示信息，提示系統(tǒng)控制人員實施解決措施。

1.2 系統(tǒng)功能

網(wǎng)絡(luò)入侵波動控制系統(tǒng)功能結(jié)構(gòu)如圖2所示。該系統(tǒng)主要由網(wǎng)絡(luò)探析部件、主機(jī)探析部件、策略管理中心和控制臺組成。對它們的具體描述如下：

（1） 網(wǎng)絡(luò)探析部件。網(wǎng)絡(luò)探析部件在網(wǎng)絡(luò)中，發(fā)揮探查監(jiān)督的作用。它使用的數(shù)據(jù)源通常來自起初的網(wǎng)絡(luò)數(shù)據(jù)包。網(wǎng)絡(luò)探析部件融合誤用檢測和異常檢測方法，對采集的網(wǎng)絡(luò)流量信息進(jìn)行分析，并查看其中是否存在可對網(wǎng)絡(luò)造成損害的信息，若有，及時發(fā)出警示信號，并反饋至策略管理中心實行有效處置。

（2） 主機(jī)探析部件。主機(jī)探析部件主要存在于需要守衛(wèi)的主機(jī)中，其數(shù)據(jù)源通常來自主機(jī)的操作系統(tǒng)日志和所有應(yīng)用程序日志，其目的是時刻查看并操作主機(jī)內(nèi)的用戶活動，監(jiān)測一些緊急數(shù)據(jù)文檔和系統(tǒng)，以便可以分辨出哪些是損害操作系統(tǒng)的進(jìn)程，并能查出涉及的用戶。

（3） 策略管理中心。策略管理中心獲取探析部件反饋的警示信號，并把這些信號儲存至數(shù)據(jù)庫中，同時依照警示信號的等級，發(fā)送聯(lián)動響應(yīng)模塊，并將相關(guān)條例增至防火墻中，借助防火墻對損害網(wǎng)絡(luò)的內(nèi)容進(jìn)行攔截。

（4） 控制中心?？刂浦行闹饕蓴?shù)據(jù)庫操作、服務(wù)操作和入侵警示組成。數(shù)據(jù)庫操作：判斷獲得的警示信號有無在數(shù)據(jù)庫中儲存的必要，并且進(jìn)行有關(guān)處理。服務(wù)操作：管理探析部件和防火墻的服務(wù)，完成探析部件條例以及防火墻情況的部署。入侵警示：當(dāng)出現(xiàn)某程序侵襲網(wǎng)絡(luò)的現(xiàn)象時，需要及時發(fā)出警示信號。

1.3 自抗擾處理器設(shè)計

設(shè)計的網(wǎng)絡(luò)入侵波動控制系統(tǒng)，采用自抗擾處理器對網(wǎng)絡(luò)遭受到入侵后的流量擾動進(jìn)行控制，確保網(wǎng)絡(luò)流量均衡。網(wǎng)絡(luò)入侵后的波動控制是一種二階系統(tǒng)。假如真實網(wǎng)絡(luò)入侵波動控制模型是：

；[w]為網(wǎng)絡(luò)入侵后系統(tǒng)流量受到的擾動；[f0]用于描述系統(tǒng)流量自身存在的不穩(wěn)定性成分以及流量沖突等非線性成分。則上述網(wǎng)絡(luò)入侵波動控制模型能夠變成：

式中，[f（·）]是系統(tǒng)未遭受外界干擾存在的總干擾。如果[f（·）]可微，那么可用狀態(tài)方程表示上述分析的控制模型，表達(dá)式為：

式中：[x1]，[x2]代表網(wǎng)絡(luò)入侵波動控制模型的狀態(tài)變量；[x3]代表波動控制模型伸展的狀態(tài)變量，監(jiān)察總體干擾[f（·）]；[h=f]。依照具體情況，獲取的線性監(jiān)察部件的方程式如下：

式中：[z1]追隨[y]；[z2]追隨[y]；[z3]追隨[f（·）]。監(jiān)察值是否精準(zhǔn)，主要取決于監(jiān)察部件增益矩陣[L=L1，L2，L3]。若監(jiān)察部件帶寬是[ω0]，則在[ω0]中部署監(jiān)察部件的特征值，可獲取監(jiān)察部件的特征多項公式如下：

打開等號右邊式子，可知[L1=3ω0]，[L2=3ω20]，[L3=ω30]。

設(shè)操作量[u]為：

如果[z3]能徹底追隨總體干擾[f（·）]，那么可以把[z3]發(fā)送給系統(tǒng)，確保流量擾動無效，能夠把系統(tǒng)濃縮成積分串聯(lián)型：

而線性PD操作部件為：

把式（8）回饋到積分串聯(lián)型，便能夠波動控制系統(tǒng)的閉環(huán)傳函：

面向式（9）描述的波動系統(tǒng)閉環(huán)傳函，設(shè)置有效的[kP]和[kD]，能夠獲取理想的流量波動控制性能?？稍O(shè)置參數(shù)為：[kP=ω2c]，[kD=2ζω2c]。其中[ωc]為波動控制控制系統(tǒng)的帶寬，[ζ]表示波動控制系統(tǒng)的阻尼比。取[ζ]=1，并將[kP]和[kD]代回式（9），可得：

基于上述分析可得，選擇有效的觀測部件帶寬[ω0]和控制器帶寬[ωc]，可對流量線性自抗擾控制器的參數(shù)進(jìn)行優(yōu)化，對網(wǎng)絡(luò)流量波動進(jìn)行有效控制，確保網(wǎng)絡(luò)流量的均衡。

2 警示數(shù)據(jù)處理的代碼設(shè)計

網(wǎng)絡(luò)入侵波動控制系統(tǒng)對入侵波動進(jìn)行警示處理時，先對信號量機(jī)制過程進(jìn)行解釋。系統(tǒng)針對FamousSpeech類做了專門的解釋：

設(shè)置儲存全部數(shù)據(jù)組織的隊列類是基于Carrier基類中affixion Ingredient方法完成分類。

c以上隊列是由usable信號量、Pruge信號量和intact信號量組成，usable原始數(shù)據(jù)為2用于讀寫鎖；Pruge原始數(shù)據(jù)是隊列區(qū)間，代表空阻塞信號量；intact原媽數(shù)據(jù)是1代表滿阻信號量。以下描述的是進(jìn)隊函數(shù)beg（）和離隊函數(shù)bot（）的代碼詳情：

3 實驗分析

基于本文設(shè)計的網(wǎng)絡(luò)入侵后波動控制系統(tǒng)，采用Matlab/Simulink塑造所設(shè)計的波動控制系統(tǒng)仿真圖。并塑造免疫控制系統(tǒng)仿真圖進(jìn)行對比分析。詳細(xì)結(jié)果如圖3～圖5所示。分析此三圖，能夠看出，本文控制系統(tǒng)下的網(wǎng)絡(luò)入侵行為顯著減少，而免疫控制系統(tǒng)下的網(wǎng)絡(luò)入侵行為降低的不夠明顯，說明本文設(shè)計的網(wǎng)絡(luò)入侵波動控制系統(tǒng)是有效的。

如圖6所示相對于免疫控制系統(tǒng)，本文控制系統(tǒng)具有較低網(wǎng)絡(luò)入侵性能，并且變化較為平穩(wěn)，可以看出本文控制系統(tǒng)可對網(wǎng)絡(luò)入侵后的波動進(jìn)行有效控制，取得令人滿意的效果。

4 結(jié) 論

本文基于自抗擾控制器，設(shè)計并實現(xiàn)網(wǎng)絡(luò)波動控制系統(tǒng)，該系統(tǒng)包括流量采集模塊、流量匯總模塊、流量異常檢測和控制模塊以及警示模塊，并且具備網(wǎng)絡(luò)探析部件、主機(jī)探析部件、策略管理中心、控制臺四大功能。系統(tǒng)采用自抗擾處理器對入侵攻擊產(chǎn)生的流量波動進(jìn)行控制，確保網(wǎng)絡(luò)流量的均衡性。實驗結(jié)果說明，所提方法下的網(wǎng)絡(luò)入侵行為顯著降低，具有較低的網(wǎng)絡(luò)入侵性能。

參考文獻(xiàn)

[1] 田志宏，王佰玲，張偉哲，等.基于上下文驗證的網(wǎng)絡(luò)入侵檢測模型[J].計算機(jī)研究與發(fā)展，2013，50（3）：498?508.

[2] 田關(guān)偉，周德榮.網(wǎng)絡(luò)入侵后攻擊路徑標(biāo)志技術(shù)研究與仿真[J].計算機(jī)仿真，2014，31（12）：292?295.

[3] 蔡旻甫.網(wǎng)絡(luò)入侵防御系統(tǒng)設(shè)計與測試[J].中國測試，2013，39（2）：106?109.

[4] 李劍.計算機(jī)網(wǎng)絡(luò)的一種實體安全體系結(jié)構(gòu)分析[J].中國信息化，2013（10）：36?39.

[5] 倪媛媛.淺析通信網(wǎng)絡(luò)安全[J].信息與電腦（理論版），2013 （3）：119?120.

[6] 李洪波.分布式入侵檢測系統(tǒng)相關(guān)技術(shù)的研究[J].科技視界，2014（27）：134.

[7] HEFEIDA M S， CANLI T， KHOKHAR A. CL?MAC： A cross?layer MAC protocol for heterogeneous wireless sensor networks [J]. Ad Hoc Networks， 2013， 11（1）： 213?225.

[8] 饒雨泰，楊凡.網(wǎng)絡(luò)入侵?jǐn)噭酉碌木W(wǎng)絡(luò)失穩(wěn)控制方法研究[J].科技通報，2014，30（1）：185?188.

[9] 黎峰，吳春明.基于能量管理的網(wǎng)絡(luò)入侵防波動控制方法研究[J].計算機(jī)仿真，2013，30（12）：45?48.