王秀英

摘 要： 分布式網(wǎng)絡采用網(wǎng)狀拓撲結構，傳輸鏈路數(shù)很大，在提高網(wǎng)絡穩(wěn)定性的同時也相應增加了遭受惡意入侵的風險。針對傳統(tǒng)網(wǎng)絡入侵行為檢測系統(tǒng)設計存在的檢測耗時長、準確率低、誤報率高等不足，提出基于時序關聯(lián)規(guī)則的分布式網(wǎng)絡入侵攻擊行為檢測系統(tǒng)?；跁r序關聯(lián)規(guī)則算法原理，設計了入侵檢測系統(tǒng)的硬件構成，系統(tǒng)硬件部分由數(shù)據(jù)采集、規(guī)則解析、協(xié)議解碼、數(shù)據(jù)預處理及檢測分析模塊等部分構成；在入侵檢測系統(tǒng)的軟件算法流程方面，重點將入侵數(shù)據(jù)集變換為一種基于時序的項集矩陣，求解出相關的頻繁項集及時序關聯(lián)規(guī)則，實現(xiàn)對分布式網(wǎng)絡入侵行為的精確檢測。實驗數(shù)據(jù)表明，提出的入侵系統(tǒng)設計具有良好的系統(tǒng)穩(wěn)定性及檢測效率，在檢測精度和誤報率控制方面也具有優(yōu)勢。

關鍵詞： 分布式網(wǎng)絡； 時序關聯(lián)規(guī)則； 協(xié)議； 入侵行為； 檢測； 系統(tǒng)設計

中圖分類號： TN915.08?34； TP391 文獻標識碼： A 文章編號： 1004?373X（2018）03?0107?04

Abstract： The distributed network adopting the mesh topology structure has a large number of transmission links， which can improve the network stability and increase the risk of vicious intrusion attacks. In view of the long time consumption， low accuracy and high false alarm rate existing in the traditional network intrusion behavior detection system， the research on distributed network intrusion behavior detection system based on temporal sequence association rules is proposed. On the principle of temporal sequence association rules algorithm， the hardware component of the intrusion detection system was designed. The hardware of the system is composed of data acquisition module， rules analysis module， protocol decoding module， data preprocessing module and detection analysis module. According to the process of software algorithm of intrusion detection system， the intrusion data set is converted into a item?set matrix based on time sequence to solve the relevant frequent item sets and time sequence association rules， and realize the accurate detection of the distributed network intrusion. The experimental data shows that the intrusion detection system has strong system stability and high detection efficiency， and advantages in detection accuracy and false positive rate control.

Keywords： distributed network； temporal sequence association rule； protocol； intrusion behavior； detection； system design

0 引 言

隨著計算機科學技術的飛速發(fā)展，全球信息資源的共享程度高速發(fā)展，人們在享受網(wǎng)絡帶來方便與快捷的同時，個人信息、商業(yè)機密甚至公司的網(wǎng)絡系統(tǒng)都面臨著嚴重的網(wǎng)絡威脅與攻擊[1?2]。如何保證網(wǎng)絡安全，設計和建立更為完善、安全的入侵檢測系統(tǒng)成為全世界互聯(lián)網(wǎng)專家和學者關注的熱點問題。

分布式網(wǎng)絡[3?4]具有更密集的鏈路設置[5?6]，在網(wǎng)絡的穩(wěn)定性和數(shù)據(jù)傳輸效率方面具有明顯的優(yōu)勢。在網(wǎng)絡范圍拓寬、數(shù)據(jù)傳輸速率提高的背景下，各種惡意數(shù)據(jù)也在不斷地升級、變種，這就使當前網(wǎng)絡入侵檢測系統(tǒng)難于適應。傳統(tǒng)基于遺傳算法[7?8]的檢測系統(tǒng)設計檢測效率低，耗時長；而基于智能BP算法[9]的檢測系統(tǒng)設計檢測過程過于復雜、誤判率高。為此，本文提出一種基于時序關聯(lián)規(guī)則的分布式網(wǎng)絡檢測系統(tǒng)設計。本文首先介紹了系統(tǒng)設計原理及硬件構成，在此基礎上給出檢測系統(tǒng)的軟件設計；通過對入侵數(shù)據(jù)集與項集矩陣的時序變化，得出相關的頻繁項集及時序關聯(lián)規(guī)則，最終完成對惡意攻擊數(shù)據(jù)的精確檢測。仿真實驗結果表明，提出的系統(tǒng)設計檢測效率高、誤報率低，在檢測精度和系統(tǒng)穩(wěn)定性方面均有良好表現(xiàn)。

1 基于時序關聯(lián)規(guī)則的分布式網(wǎng)絡入侵檢測系統(tǒng)設計

1.1 時序關聯(lián)規(guī)則相關數(shù)據(jù)模型及算法原理

時序關聯(lián)規(guī)則算法是一種典型的數(shù)據(jù)挖掘算法，關聯(lián)規(guī)則會隨著時間的推移而發(fā)生特征上的變化，基于這種變化關系能夠識別出網(wǎng)絡入侵數(shù)據(jù)的特征，實現(xiàn)對網(wǎng)絡入侵和攻擊行為的精確檢測。時序關聯(lián)規(guī)則算法原理表述如下：endprint

設項集如果集合和滿足下列條件：，那么蘊含式即為一組關聯(lián)規(guī)則，為時序序列。令關聯(lián)規(guī)則的支持度和置信度分別為和分別表示為：

事務集中的數(shù)據(jù)項都由一個二元組時序項來表示，在基于時序檢測中可能會出現(xiàn)多個時序項，如表1所示。

]

表1中為時序項，基于時序關聯(lián)規(guī)則的算法在頻繁項集的求解及全部時序規(guī)則的運用中，要盡量保證每個時序規(guī)則滿足入侵數(shù)據(jù)檢測集的最小支持度，因此，保證數(shù)據(jù)檢測可轉換為頻繁時序規(guī)則的求解。

1.2 基于時序關聯(lián)規(guī)則的檢測系統(tǒng)硬件構成

基于時序關聯(lián)規(guī)則的數(shù)據(jù)入侵檢測模型及算法原理，本文設計了用于分布式網(wǎng)絡惡意數(shù)據(jù)攻擊檢測系統(tǒng)的硬件結構。系統(tǒng)硬件由數(shù)據(jù)采集模塊、解碼模塊、規(guī)則解析模塊、數(shù)據(jù)預處理模塊及檢測分析模塊構成，檢測系統(tǒng)的結構簡圖，如圖1所示。

數(shù)據(jù)采集通過網(wǎng)絡數(shù)據(jù)傳輸?shù)姆绞綄崿F(xiàn)，在檢測系統(tǒng)工作過程中，應用程序對網(wǎng)絡數(shù)據(jù)包進行篩選和過濾。入侵檢測系統(tǒng)的數(shù)據(jù)采集模塊直接訪問網(wǎng)絡數(shù)據(jù)鏈路層捕獲相關數(shù)據(jù)，數(shù)據(jù)包捕獲流程如圖2所示。

單純的模式匹配方法識別的模式簡單機械，檢測率低、誤報率高。而基于協(xié)議編碼的智能分析技術可以提高惡意數(shù)據(jù)檢測效率。網(wǎng)絡協(xié)議重新定義了數(shù)據(jù)包的格式，采用這種層級性的關系能夠簡化運算量，提高數(shù)據(jù)分析和處理效率。要具體地區(qū)分IP協(xié)議、TCP協(xié)議、ICMP協(xié)議及UDP協(xié)議，因為不同協(xié)議具有不同的特點。

用于惡意網(wǎng)絡數(shù)據(jù)檢測與分析的模塊是整個檢測系統(tǒng)設計的核心部分，它將捕獲網(wǎng)絡數(shù)據(jù)與建立時序關聯(lián)規(guī)則進行匹配，識別出惡意數(shù)據(jù)系統(tǒng)將自動報警。

1.3 分布式網(wǎng)絡入侵檢測系統(tǒng)設計的軟件實現(xiàn)流程

與分布式網(wǎng)絡檢測系統(tǒng)的硬件模塊相匹配，將入侵數(shù)據(jù)集變換為一種基于時序的項集矩陣，得出相關的頻繁項集及時序關聯(lián)規(guī)則，分布式網(wǎng)絡入侵數(shù)據(jù)的關系矩陣可以表示為：

將分布式網(wǎng)絡中入侵數(shù)據(jù)源轉換為矩陣形式，可以提高算法的運行效率和系統(tǒng)對于惡意網(wǎng)絡的數(shù)據(jù)檢測精度，基于時序關聯(lián)規(guī)則的分布式網(wǎng)絡入侵數(shù)據(jù)檢測流程，如圖3所示。

基于頻繁時序關聯(lián)規(guī)則對采集到的入侵數(shù)據(jù)集進行配比和檢測，設時序項集為，其中為數(shù)據(jù)項集，為時序項集的時間戳。若為全部時序中的最大值，則輸出為1，否則輸出為0，那么對于分布式網(wǎng)絡入侵數(shù)據(jù)識別與檢測的偽代碼如下：

在求解頻繁項集支持數(shù)及時序的關聯(lián)規(guī)則時，如果對應的均值一致時，結果為1，否則結果為0。

本文基于時序關聯(lián)規(guī)則設計了用于分布式網(wǎng)絡入侵攻擊行為檢測系統(tǒng)設計，基于時序關聯(lián)入侵規(guī)則原理，設計檢測系統(tǒng)硬件構成和軟件實現(xiàn)流程，對項集矩陣變化及頻繁項集的求解，實現(xiàn)對入侵源的精確檢測。

2 實驗結果與分析

本文在時序數(shù)據(jù)挖掘時長、支持度水平及樣本數(shù)據(jù)相同的條件下，將傳統(tǒng)基于遺傳算法的檢測系統(tǒng)設計與本文提出的系統(tǒng)設計入侵攻擊數(shù)據(jù)檢測性能進行對比驗證。

2.1 實驗測試環(huán)境

仿真實驗所需樣本數(shù)據(jù)來源、數(shù)據(jù)類型如表2所示。

本文實驗在Matlab 7.0測試平臺下進行，實驗的編程環(huán)境為VS2010，硬件環(huán)境要求Intel Core i7，Ram 8 GB，500 GB SATA存儲。

2.2 檢測性能分析

首先驗證本文提出的基于時序關聯(lián)規(guī)則檢測系統(tǒng)設計與傳統(tǒng)基于遺傳算法檢測系統(tǒng)設計在分布式網(wǎng)絡惡意數(shù)據(jù)入侵檢測方面的效率對比，數(shù)據(jù)從1 000～150 000條，兩種檢測系統(tǒng)設計的檢測效率如表3所示。

從表3的數(shù)據(jù)變化能夠分析出在入侵檢測和數(shù)據(jù)挖掘效率上，本文所采取的優(yōu)化策略起到了明顯效果，能夠識別出時序關聯(lián)規(guī)則及頻繁項集，將滿足條件的關聯(lián)規(guī)則挖掘和識別出來，提高了對于具有入侵和攻擊行為惡意數(shù)據(jù)的檢測效率。

對包含不同記錄數(shù)的入侵數(shù)據(jù)進行仿真實驗，驗證其在復合條件下的檢測性能，實驗結果如圖4所示。

本文選定了500個訓練周期對兩種系統(tǒng)設計的訓練精度進行對比驗證。在訓練精度方面，本文提出的系統(tǒng)設計比傳統(tǒng)設計性能更為穩(wěn)定，訓練精度更高，兩種系統(tǒng)設計的實驗驗證結果如圖5所示。

對兩種算法的誤報率和檢測率進行了數(shù)據(jù)分析，分析結果如表4所示。

從表4中的數(shù)據(jù)統(tǒng)計能夠看出，本文基于實現(xiàn)關聯(lián)規(guī)則的入侵攻擊行為檢測在相同的訓練周期下具有更高的檢測率和更低的誤報率。

3 結 論

本文提出一種基于時序關聯(lián)規(guī)則的分布式網(wǎng)絡入侵攻擊行為檢測系統(tǒng)設計，詳盡介紹了系統(tǒng)的硬件構成及軟件算法流程，仿真對比實驗結果證明了提出系統(tǒng)設計的有效性。

參考文獻

[1] 武裝，陳佳欣，王克平.一種改進的IPv4/v6網(wǎng)絡入侵檢測技術研究[J].計算機科學，2011，38（6）：140?141.

WU Zhuang， CHEN Jiaxin， WANG Keping. Improved IPv4/v6 network IDS technology [J]. Computer science， 2011， 38（6）： 140?141.

[2] 盧先鋒，楊頻，梁剛.基于動態(tài)IP黑名單的入侵防御系統(tǒng)模型[J].計算機工程與設計，2011，32（1）：10?13.

LU Xianfeng， YANG Pin， LIANG Gang. Model of intrusion prevention system based on dynamic IP blacklist [J]. Computer engineering and design， 2011， 32（1）： 10?13.

[3] 張信杰，王旭仁，吳剛.分布式網(wǎng)絡監(jiān)控系統(tǒng)設計與實現(xiàn)[J].計算機工程與設計，2010，31（17）：3797?3799.endprint

ZHANG Xinjie， WANG Xuren， WU Gang. Design and implementation of distributed net auditing system [J]. Computer engineering and design， 2010， 31（17）： 3797?3799.

[4] 安金鑫，王軍，孫章，等.基于分布式網(wǎng)絡的并行多通道數(shù)據(jù)采集系統(tǒng)設計[J].電測與儀表，2013（6）：109?114.

AN Jinxin， WANG Jun， SUN Zhang， et al. Design of parallel multi?channel data acquisition system based on distribution network [J]. Electrical measurement & instrumentation， 2013（6）： 109?114.

[5] 谷曉燕，代真，何鋒.基于虛擬鏈路的航電網(wǎng)絡信用量評估模型[J].計算機工程與設計，2015，36（4）：892?895.

GU Xiaoyan， DAI Zhen， HE Feng. Evaluation of credit consume of avionics network based on virtual link [J]. Computer engineering and design， 2015， 36（4）： 892?895.

[6] 胡曦，李喆，劉軍.移動Ad hoc網(wǎng)絡中基于鏈路穩(wěn)定性預測的按需路由協(xié)議[J].電子與信息學報，2010，32（2）：284?289.

HU Xi， LI Zhe， LIU Jun. A link stability prediction?based on?demand routing protocol in mobile Ad Hoc networks [J]. Journal of electronics & information technology， 2010， 32（2）： 284?289.

[7] 張超群，鄭建國，錢潔.遺傳算法編碼方案比較[J].計算機應用研究，2011，28（3）：819?822.

ZHANG Chaoqun， ZHENG Jianguo， QIAN Jie. Comparison of coding schemes for genetic algorithms [J]. Application research of computers， 2011， 28（3）： 819?822.

[8] 王華忠，楊智慧，顏秉勇，等.融合PCA和PSO?SVM方法在工控入侵檢測中的應用[J].科技通報，2017，33（1）：80?85.

WANG Huazhong， YANG Zhihui， YAN Bingyong， et al. Application of fusion PCA and PSO?SVM method in industrial control intrusion detection [J]. Bulletin of science and technology， 2017， 33（1）： 80?85.

[9] 李松，劉力軍，解永樂.遺傳算法優(yōu)化BP神經(jīng)網(wǎng)絡的短時交通流混沌預測[J].控制與決策，2011，26（10）：1581?1585.

LI Song， LIU Lijun， XIE Yongle. Chaotic prediction for short?term traffic flow of optimized BP neural network based on genetic algorithm [J]. Control and decision， 2011， 26（10）： 1581?1585.endprint