摘 要： 在已知網(wǎng)絡(luò)入侵模式下對(duì)低匹配度數(shù)據(jù)信息集進(jìn)行挖掘時(shí)，缺少對(duì)低匹配度數(shù)據(jù)信息集的處理和分類選取過(guò)程，存在挖掘不準(zhǔn)確，效率低的問(wèn)題。設(shè)計(jì)并實(shí)現(xiàn)了一種已知網(wǎng)絡(luò)入侵模式下對(duì)低匹配度數(shù)據(jù)信息集挖掘平臺(tái)，介紹了平臺(tái)的總體硬件結(jié)構(gòu)，利用數(shù)據(jù)采樣預(yù)處理模塊實(shí)現(xiàn)從源數(shù)據(jù)到挖掘數(shù)據(jù)的映射，完成離散化、數(shù)據(jù)過(guò)濾等處理過(guò)程。依據(jù)KC89C72 DIP40FILE分類器進(jìn)行低匹配度數(shù)據(jù)信息集的分類，儲(chǔ)存到SSRAM中，并以此為基礎(chǔ)，通過(guò)數(shù)據(jù)挖掘模塊對(duì)儲(chǔ)存的低匹配度數(shù)據(jù)信息集進(jìn)行確認(rèn)與挖掘。軟件設(shè)計(jì)過(guò)程中，對(duì)已知網(wǎng)絡(luò)入侵模式的低匹配度數(shù)據(jù)信息集挖掘平臺(tái)進(jìn)行了詳細(xì)的分析，并給出低匹配度數(shù)據(jù)信息集挖掘的實(shí)現(xiàn)過(guò)程以及程序代碼。實(shí)驗(yàn)結(jié)果表明，該平臺(tái)的低匹配度數(shù)據(jù)信息集挖掘準(zhǔn)確率、誤差率、時(shí)間及所需內(nèi)存均優(yōu)于傳統(tǒng)的Fuzzing平臺(tái)，具有一定的實(shí)用性。

關(guān)鍵詞： 網(wǎng)絡(luò)入侵模式； 低匹配度； 數(shù)據(jù)信息集； 挖掘平臺(tái)

中圖分類號(hào)： TN926?34； TP309 文獻(xiàn)標(biāo)識(shí)碼： A 文章編號(hào)： 1004?373X（2016）18?0012?05

Abstract： A low matching degree data information set mining platform for the known network intrusion patterns was designed and implemented. The structure of the overall hardware platform is introduced. The data mapping from the source data to the mining data is implemented with the data sampling pretreatment module to complete the process of discretization and data filtering processing. The low matching degree data information sets are classified with KC89C72 DIP40FILE classifier， and stored in SSRAM. On this basis， the stored low matching degree data information sets are confirmed and mined by means of the data mining module. In the software design process， the low compatibility data information set mining platform for the known network intrusion pattern is analyzed in detail. The realization process and program code of the low matching degree data information set mining are presented. The experimental results show that the low matching degree data information set mining accuracy， error rate， time and required memory of the platform is superior to those of the traditional Fuzzing platform， and the platform has a certain practicality.

Keywords： network intrusion pattern； low matching degree； data information set； mining platform

0 引 言

近年來(lái)，隨著計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)的快速發(fā)展，計(jì)算機(jī)及網(wǎng)絡(luò)信息的安全問(wèn)題顯得越來(lái)越重要。由于用戶使用量的增加及網(wǎng)絡(luò)信息內(nèi)容的增多，使得產(chǎn)生了多種網(wǎng)絡(luò)入侵模式[1?3]。在網(wǎng)絡(luò)入侵模式已知的情況下，對(duì)其匹配度低的數(shù)據(jù)信息集進(jìn)行挖掘，是該領(lǐng)域亟待解決的問(wèn)題，已經(jīng)成為相關(guān)學(xué)者研究的重點(diǎn)，受到廣泛的關(guān)注，也出現(xiàn)了很多好的方法[4]。

目前，對(duì)已知網(wǎng)絡(luò)入侵模式下的低匹配度數(shù)據(jù)信息集進(jìn)行挖掘的方法有很多種。文獻(xiàn)[5]提出一種靜態(tài)分析技術(shù)，通過(guò)對(duì)待檢測(cè)程序的源代碼或二進(jìn)制代碼進(jìn)行掃描，獲取錯(cuò)誤函數(shù)調(diào)用及數(shù)據(jù)信息集，并對(duì)其進(jìn)行快速挖掘，該方法挖掘效率高，但該方法實(shí)現(xiàn)過(guò)程復(fù)雜、實(shí)用性差。文獻(xiàn)[6]提出一種動(dòng)態(tài)分析技術(shù)，在調(diào)試器中對(duì)待檢測(cè)程序進(jìn)行調(diào)試，當(dāng)程序運(yùn)行時(shí)，對(duì)不同狀態(tài)的寄存器、內(nèi)存值改變情況進(jìn)行分析，以此挖掘匹配度低的數(shù)據(jù)；但是該方法能耗較高、精度較低。文獻(xiàn)[7]將大型物聯(lián)網(wǎng)下的數(shù)據(jù)進(jìn)行傳輸過(guò)程中，出現(xiàn)匹配度低的數(shù)據(jù)時(shí)處理器可及時(shí)對(duì)其進(jìn)行挖掘；但該方法對(duì)硬件設(shè)備要求極高，適用范圍非常小。文獻(xiàn)[8]提出基于數(shù)據(jù)流完整性檢測(cè)方法，出現(xiàn)匹配度低的數(shù)據(jù)時(shí)，該方法對(duì)數(shù)據(jù)出現(xiàn)的前后狀態(tài)進(jìn)行對(duì)比，來(lái)實(shí)現(xiàn)低匹配度數(shù)據(jù)的挖掘，實(shí)現(xiàn)過(guò)程復(fù)雜。文獻(xiàn)[9]通過(guò)分析訪問(wèn)大型物聯(lián)網(wǎng)內(nèi)存數(shù)據(jù)的調(diào)度申請(qǐng)，同時(shí)將其應(yīng)用于數(shù)據(jù)存儲(chǔ)器分析上，將分析過(guò)程轉(zhuǎn)換成一個(gè)決策樹，并設(shè)置為低匹配度數(shù)據(jù)自動(dòng)挖掘的基礎(chǔ)，存在耗時(shí)長(zhǎng)、效率低下的缺陷。

針對(duì)上述方法的弊端，設(shè)計(jì)了一種已知網(wǎng)絡(luò)入侵模式下對(duì)低匹配度數(shù)據(jù)信息集挖掘平臺(tái)，并進(jìn)行了實(shí)驗(yàn)對(duì)比。實(shí)驗(yàn)結(jié)果表明，本文平臺(tái)的低匹配度數(shù)據(jù)信息集挖掘準(zhǔn)確率、誤差率、時(shí)間及所需內(nèi)存均優(yōu)于傳統(tǒng)的Fuzzing平臺(tái)，具有一定的實(shí)用性。

1 已知網(wǎng)絡(luò)入侵模式的低匹配度數(shù)據(jù)信息集

挖掘平臺(tái)總體結(jié)構(gòu)

由于網(wǎng)絡(luò)技術(shù)的發(fā)展和網(wǎng)絡(luò)使用量的增加，網(wǎng)絡(luò)入侵模式呈現(xiàn)多樣化，其低匹配度數(shù)據(jù)信息集也存在不同的特征。當(dāng)網(wǎng)絡(luò)入侵模式已知的情況下，低匹配度數(shù)據(jù)信息集特征出現(xiàn)了一定的相似性。因此，對(duì)已知網(wǎng)絡(luò)入侵模式下低匹配度數(shù)據(jù)信息集挖掘進(jìn)行平臺(tái)設(shè)計(jì)，成為了網(wǎng)絡(luò)使用過(guò)程中至關(guān)重要的部分。

本文通過(guò)實(shí)際測(cè)試情況與相關(guān)理論，設(shè)計(jì)了在已知網(wǎng)絡(luò)入侵模式下，對(duì)低匹配度數(shù)據(jù)信息集進(jìn)行挖掘的平臺(tái)，平臺(tái)的總體結(jié)構(gòu)如圖1所示。

平臺(tái)總體結(jié)構(gòu)主要由數(shù)據(jù)選擇模塊、數(shù)據(jù)挖掘模塊、數(shù)據(jù)采樣模塊、數(shù)據(jù)處理模塊、數(shù)據(jù)庫(kù)及接口模塊組成。在已知網(wǎng)絡(luò)入侵模式的情況下，通過(guò)對(duì)數(shù)據(jù)庫(kù)內(nèi)的低匹配度數(shù)據(jù)進(jìn)行采集并進(jìn)行預(yù)處理，在通過(guò)數(shù)據(jù)選擇模塊選取符合的低匹配度的數(shù)據(jù)，并根據(jù)其特征進(jìn)行挖掘，完成低匹配度數(shù)據(jù)信息集的挖掘。其中最主要的是數(shù)據(jù)選擇模塊和數(shù)據(jù)挖掘模塊。數(shù)據(jù)選擇模塊主要負(fù)責(zé)把通過(guò)數(shù)據(jù)處理模塊處理的數(shù)據(jù)，按照低匹配度數(shù)據(jù)的特征進(jìn)行分類選取，獲取和數(shù)據(jù)挖掘相關(guān)聯(lián)的數(shù)據(jù)信息；數(shù)據(jù)挖掘模塊是整個(gè)過(guò)程中最關(guān)鍵的部分，在這里，使用數(shù)據(jù)挖掘的算法來(lái)進(jìn)行運(yùn)算，從數(shù)據(jù)中抽取所需數(shù)據(jù)信息集（即低匹配度數(shù)據(jù)信息集）。

2 已知網(wǎng)絡(luò)入侵模式下的硬件模塊的設(shè)計(jì)

2.1 低匹配度數(shù)據(jù)信息集采集模塊的設(shè)計(jì)

本文選擇X5?TX數(shù)據(jù)采集模塊，如圖2所示，它有4個(gè)500 MPS或2個(gè)IGSPS16位的D/A，并且?guī)в蠽irtcx 5 FPGA的計(jì)算核心、DRAM和SRAM內(nèi)存，進(jìn)行對(duì)低匹配度數(shù)據(jù)信息集的存儲(chǔ)、以及8通道PCIExprcss主機(jī)接口的XMC輸出模塊。獨(dú)有的FPGA與模擬接口緊密結(jié)合，可實(shí)時(shí)對(duì)網(wǎng)絡(luò)低匹配度數(shù)據(jù)信息集進(jìn)行采集，采集速度可達(dá)300 GMACs，為后期的低匹配度數(shù)據(jù)信息集處理提供了基礎(chǔ)依據(jù)。X5?TX的XMC模塊使用高性能8通道的PCLExprcss接口與強(qiáng)大的Vclocia架構(gòu)結(jié)合，可持續(xù)的進(jìn)行低匹配度數(shù)據(jù)信息集的傳輸，其持續(xù)傳輸速率超過(guò)了1 Gb/s。

2.2 低匹配度數(shù)據(jù)信息集處理模塊的設(shè)計(jì)

低匹配度數(shù)據(jù)信息集處理模塊，主要用于從數(shù)據(jù)采集后到挖掘數(shù)據(jù)的連接，實(shí)現(xiàn)對(duì)低匹配度進(jìn)行數(shù)據(jù)離散化、過(guò)濾等處理。數(shù)據(jù)處理模塊主要由FPGA，SSRAM，模數(shù)轉(zhuǎn)換器，以太網(wǎng)接口等構(gòu)成，詳細(xì)硬件結(jié)構(gòu)如圖3所示。

數(shù)據(jù)處理模塊以ADS1178芯片為低匹配度數(shù)據(jù)信息集處理核心，其共有8個(gè)差分輸入通道，能同時(shí)對(duì)8個(gè)通道輸入的低匹配度數(shù)據(jù)信息集進(jìn)行處理，處理后的低匹配度數(shù)據(jù)信息集輸出端與FPGA相連。為后期的低匹配度數(shù)據(jù)信息集的挖掘打下基礎(chǔ)。選取Cyclone Ⅳ GX系列的EP4CGX110CF23C7N型號(hào)芯片作為FPGA芯片，其功耗低、成本不高，具有一定的實(shí)用性。

2.3 低匹配度數(shù)據(jù)信息集選擇模塊的設(shè)計(jì)

數(shù)據(jù)選擇模塊主要用于對(duì)低匹配度數(shù)據(jù)信息集進(jìn)行分類選取，主要由信號(hào)調(diào)直機(jī)、高速數(shù)據(jù)傳輸系統(tǒng)、KC89C72 DIP40FILE、Ermet Hard 354142型接口和Ermet Hard 973046型接口等構(gòu)成，詳細(xì)硬件結(jié)構(gòu)如圖4所示。

本文設(shè)計(jì)的數(shù)據(jù)處理模塊接口選擇2.0 mm Ermet Hard Metric連接器，為了使低匹配度數(shù)據(jù)信息集的傳輸效率和穩(wěn)定性達(dá)到平臺(tái)所需的要求，將連接器作為低匹配度數(shù)據(jù)信息集輸入端口，973046型號(hào)的連接器作為低匹配度數(shù)據(jù)信息集的傳輸端口。數(shù)據(jù)信息集到達(dá)KC89C72 DIP40FILE低匹配度數(shù)據(jù)信息集分類選擇模塊后，數(shù)據(jù)分類選擇模塊一旦發(fā)現(xiàn)是所需的低匹配度數(shù)據(jù)信息集，會(huì)直接存儲(chǔ)到SSRAM中，為下一步的低匹配度數(shù)據(jù)信息集的挖掘提供依據(jù)。

2.4 低匹配度數(shù)據(jù)信息集挖掘模塊的設(shè)計(jì)

數(shù)據(jù)挖掘模塊主要負(fù)責(zé)對(duì)網(wǎng)絡(luò)入侵?jǐn)?shù)據(jù)中的低匹配度數(shù)據(jù)信息集進(jìn)行深層次的挖掘，并將挖掘結(jié)果進(jìn)行處理。低匹配度數(shù)據(jù)信息集挖掘模塊主要由處理器、智能接口控制器、數(shù)字I/O、職能I/O構(gòu)成，詳細(xì)硬件結(jié)構(gòu)如圖5所示。

選擇型號(hào)為IONI USB?6501的數(shù)字I/O，它是一種低價(jià)位USB數(shù)字I/O設(shè)備，能有效地加快低匹配度數(shù)據(jù)信息集挖掘時(shí)傳輸?shù)乃俾?。選擇型號(hào)為Eclipse Java的職能I/O，其大大縮減挖掘低匹配度數(shù)據(jù)信息集的過(guò)程，提高了低匹配度數(shù)據(jù)信息集的挖掘效率。

3 已知網(wǎng)絡(luò)入侵模式下數(shù)據(jù)信息集挖掘平臺(tái)的

軟件設(shè)計(jì)

3.1 低匹配度數(shù)據(jù)信息集挖掘的總流程圖分析

在已知網(wǎng)絡(luò)入侵模式的情況下，對(duì)低匹配度數(shù)據(jù)信息集挖掘平臺(tái)進(jìn)行設(shè)計(jì)時(shí)，在低匹配度數(shù)據(jù)信息挖掘平臺(tái)硬件設(shè)計(jì)的基礎(chǔ)上，結(jié)合軟件設(shè)計(jì)的特性和要求，設(shè)計(jì)了已知網(wǎng)絡(luò)入侵模式的低匹配度數(shù)據(jù)信息集挖掘平臺(tái)的軟件流程圖，如圖6所示。

4 實(shí)驗(yàn)結(jié)果與分析

為了驗(yàn)證本文設(shè)計(jì)的已知網(wǎng)絡(luò)入侵模式下低匹配度數(shù)據(jù)信息集挖掘平臺(tái)的有效性，需要進(jìn)行相關(guān)的實(shí)驗(yàn)分析。實(shí)驗(yàn)將Fuzzing平臺(tái)作為對(duì)比進(jìn)行分析，實(shí)驗(yàn)的硬件環(huán)境為Windows XP，2 GB內(nèi)存，40 GB硬盤。

4.1 兩種平臺(tái)性能的比對(duì)

為了測(cè)試本文平臺(tái)的挖掘性能，在上述實(shí)驗(yàn)環(huán)境的基礎(chǔ)上，分別采用本文平臺(tái)和Fuzzing平臺(tái)對(duì)已知網(wǎng)絡(luò)入侵模式下的低匹配度數(shù)據(jù)信息集進(jìn)行挖掘，對(duì)兩種平臺(tái)的挖掘準(zhǔn)確率和誤報(bào)率進(jìn)行統(tǒng)計(jì)，得到的結(jié)果如圖7、圖8所示。

由圖7、圖8可知，采用本文平臺(tái)的準(zhǔn)確率為55.7%（平均值），誤差率為23.6%（平均值），F(xiàn)uzzing平臺(tái)準(zhǔn)確率為37.9%（平均值），誤差率為44.3%（平均值），本文平臺(tái)相比Fuzzing平臺(tái)準(zhǔn)確率提高了17.8%（平均值），誤差率降低了20.7%（平均值），在保證準(zhǔn)確率的同時(shí)降低了平臺(tái)的誤差率，說(shuō)明本文平臺(tái)具有一定的挖掘精度。

4.2 兩種平臺(tái)內(nèi)存占用量的對(duì)比

分別采用本文平臺(tái)和Fuzzing平臺(tái)對(duì)已知網(wǎng)絡(luò)入侵模式下低匹配度數(shù)據(jù)信息集進(jìn)行挖掘時(shí)，兩種平臺(tái)的內(nèi)存使用量如圖9所示。

由圖9可知，隨低匹配度數(shù)據(jù)信息集數(shù)量的增多，本文平臺(tái)的內(nèi)存占用量為68.3 KB（平均值），且一直處于較低水平，而Fuzzing平臺(tái)的內(nèi)存占用量為750 KB（平均值），明顯高于本文平臺(tái)，因此，本文平臺(tái)具有一定的優(yōu)勢(shì)。

4.3 兩種平臺(tái)洞挖掘時(shí)所需時(shí)間的對(duì)比

采用本文平臺(tái)和Fuzzing平臺(tái)進(jìn)行低匹配度數(shù)據(jù)信息集挖掘時(shí)所需時(shí)間進(jìn)行對(duì)比，結(jié)果如圖10所示。

由圖10可知，在相同低匹配度數(shù)據(jù)信息集情況下，本文平臺(tái)進(jìn)行數(shù)據(jù)信息集挖掘所需的時(shí)間為22 s（平均值），F(xiàn)uzzing平臺(tái)對(duì)低匹配度數(shù)據(jù)信息集進(jìn)行挖掘所需時(shí)間為47.5 s（平均值），本文平臺(tái)相比Fuzzing平臺(tái)所需時(shí)間節(jié)省了25.5 s（平均值），說(shuō)明本文平臺(tái)效率較高。

5 結(jié) 論

本文設(shè)計(jì)并實(shí)現(xiàn)了一種已知網(wǎng)絡(luò)入侵模式下對(duì)低匹配度數(shù)據(jù)信息集挖掘平臺(tái)，介紹了平臺(tái)的總體硬件結(jié)構(gòu)，利用數(shù)據(jù)采樣預(yù)處理模塊實(shí)現(xiàn)從源數(shù)據(jù)到挖掘數(shù)據(jù)的映射，完成離散化、數(shù)據(jù)過(guò)濾等處理過(guò)程。依據(jù)KC89C72 DIP40FILE分類器進(jìn)行低匹配度數(shù)據(jù)信息集的分類，儲(chǔ)存到SSRAM中，并以此為基礎(chǔ)，通過(guò)數(shù)據(jù)挖掘模塊對(duì)儲(chǔ)存的低匹配度數(shù)據(jù)信息集進(jìn)行確認(rèn)與挖掘。軟件設(shè)計(jì)過(guò)程中，給出低匹配度數(shù)據(jù)信息集挖掘的實(shí)現(xiàn)過(guò)程以及程序代碼。實(shí)驗(yàn)結(jié)果表明，本文平臺(tái)的低匹配度數(shù)據(jù)信息集挖掘準(zhǔn)確率、誤差率、時(shí)間及所需內(nèi)存均優(yōu)于傳統(tǒng)的Fuzzing平臺(tái)，具有一定的實(shí)用性。

參考文獻(xiàn)

[1] 馬龍飛.基于無(wú)線傳感網(wǎng)的物聯(lián)網(wǎng)應(yīng)用平臺(tái)的設(shè)計(jì)與實(shí)現(xiàn)[D].北京：北京郵電大學(xué)，2014.

[2] 楊世德，梁光明，余凱.基于ARM嵌入式系統(tǒng)底層漏洞挖掘技術(shù)研究[J].現(xiàn)代電子技術(shù)，2015，38（18）：57?59.

[3] 孫哲，劉大光，武學(xué)禮，等.基于模糊測(cè)試的網(wǎng)絡(luò)協(xié)議自動(dòng)化漏洞挖掘工具設(shè)計(jì)與實(shí)現(xiàn)[J].信息網(wǎng)絡(luò)安全，2014，27（6）：23?30.

[4] 李永偉.基于Hex?Rays的緩沖區(qū)溢出漏洞挖掘技術(shù)研究[D].鄭州：中國(guó)人民解放軍信息工程大學(xué)，2013.

[5] 劉大光.基于模糊測(cè)試的網(wǎng)絡(luò)協(xié)議自動(dòng)化漏洞挖掘工具設(shè)計(jì)與實(shí)現(xiàn)[D].北京：北京大學(xué)，2014.

[6] 方喆君，劉奇旭，張玉清.Android應(yīng)用軟件功能泄露漏洞挖掘工具的設(shè)計(jì)與實(shí)現(xiàn)[J].中國(guó)科學(xué)院大學(xué)學(xué)報(bào)，2015，32（1）：127?135.

[7] 楊海民，張濤，趙敏，等.基于gdb的Android軟件漏洞挖掘系統(tǒng)[J].計(jì)算機(jī)技術(shù)與發(fā)展，2015，30（8）：156?160.

[8] 茍孟洛.Windows平臺(tái)下基于FUZZ技術(shù)的軟件漏洞挖掘與利用研究[D].成都：成都理工大學(xué)，2014.

[9] 劉濤，王海東.基于Fuzzing的文件格式漏洞挖掘技術(shù)[J].中國(guó)科技信息，2014（9）：160?162.