摘? 要：為了保障網(wǎng)絡(luò)系統(tǒng)的安全與穩(wěn)定，需要進(jìn)行網(wǎng)絡(luò)入侵檢測模型研究，目前具有代表性的檢測系統(tǒng)是基于遺傳算法找出網(wǎng)絡(luò)入侵的特征子集，但該系統(tǒng)檢測準(zhǔn)確性較低且訓(xùn)練時間過長。為此，本文將特征選擇算法應(yīng)用到網(wǎng)絡(luò)實(shí)時入侵檢測系統(tǒng)中，提出了一種基于特征選擇的實(shí)時入侵檢測方法。通過搭建非法入侵檢測實(shí)驗平臺將該方法與基于遺傳算法的網(wǎng)絡(luò)入侵檢測方法做比較，實(shí)驗結(jié)果表明，該方法在檢測攻擊的準(zhǔn)確率方面優(yōu)于另一入侵檢測系統(tǒng)，并且所需檢測時間也短于另一檢測系統(tǒng)。

關(guān)鍵詞：特征選擇算法;網(wǎng)絡(luò)入侵;實(shí)時檢測系統(tǒng)

中圖分類號：TP393.08;TP181? ? ? ?文獻(xiàn)標(biāo)識碼：A 文章編號：2096-4706（2019）20-0157-03

Abstract：In order to ensure the security and stability of network system，it is necessary to study the network intrusion detection model. At present，the representative detection system is based on genetic algorithm to find the characteristic subset of network intrusion，but the detection accuracy of the system is low and the training time is too long. Therefore，feature selection algorithm is applied to network real-time intrusion detection system，and a real-time intrusion detection method based on feature selection is proposed. This method is compared with the network intrusion detection method based on genetic algorithm by building an experimental platform of illegal intrusion detection. The experimental results show that this method is superior to the other intrusion detection system in detection accuracy，and the detection time is shorter than the other detection system.

Keywords：feature selection algorithm;network intrusion;real-time detection system

0? 引? 言

特征選擇算法是近幾年來發(fā)展起來的一類安全算法，它通過分析挖掘、檢測網(wǎng)絡(luò)中的數(shù)據(jù)流量的相關(guān)性、關(guān)聯(lián)性，已經(jīng)廣泛應(yīng)用在金融，建筑，信息安全等領(lǐng)域[1]，從中發(fā)現(xiàn)網(wǎng)絡(luò)信息系統(tǒng)中是否有違反安全策略的關(guān)聯(lián)網(wǎng)絡(luò)和被破壞置信度的跡象。它彌補(bǔ)了神經(jīng)網(wǎng)絡(luò)模式的防護(hù)措施缺口。隨著攻擊類型越來越多，蠕蟲、木馬、漏洞攻擊、邏輯炸彈等威脅通?；旌铣霈F(xiàn)，留給系統(tǒng)恢復(fù)的時間越來越短，網(wǎng)絡(luò)安全受到新的挑戰(zhàn)[2]。原始的入侵檢測機(jī)制通過模擬自然界的進(jìn)化機(jī)制，如遺傳信息尋優(yōu)編譯機(jī)制，找到粒子群數(shù)據(jù)特征集，取得了不錯的檢測效果。但是遺傳算法要求樣本大、成本高，學(xué)習(xí)速度慢。無法把攻擊防御在企業(yè)網(wǎng)絡(luò)之外，影響入侵檢測的實(shí)時性，因此網(wǎng)絡(luò)入侵檢測具有廣泛的發(fā)展空間。本文將文獻(xiàn)[3]作為傳統(tǒng)檢測系統(tǒng)的代表，與本文提出的檢測系統(tǒng)進(jìn)行對比，以此求證本文設(shè)計的系統(tǒng)是否真正實(shí)現(xiàn)了檢測入侵的功能優(yōu)化。

1? 網(wǎng)絡(luò)實(shí)時入侵檢測系統(tǒng)硬件設(shè)計

為實(shí)現(xiàn)網(wǎng)絡(luò)實(shí)時入侵檢測，需要對缺乏主動式的自我防御網(wǎng)絡(luò)下非法入侵檢測系統(tǒng)的動態(tài)特征以及采樣芯片、分類器接口控制芯片、電源管理芯片等硬件進(jìn)行設(shè)計選型，從而實(shí)現(xiàn)在缺乏主動式的自我防御網(wǎng)絡(luò)環(huán)境下非法入侵檢測系統(tǒng)的硬件系統(tǒng)構(gòu)建。

1.1? 網(wǎng)絡(luò)入侵檢測系統(tǒng)的數(shù)據(jù)采樣芯片

對于硬件系統(tǒng)的構(gòu)建，本文經(jīng)過對市面上排名靠前的芯片進(jìn)行測評之后采用SVD411超平面特征芯片，它包含一個5ms386位可信度閾值的強(qiáng)規(guī)則關(guān)系器，其內(nèi)部電路連接方式如圖1所示。

SVD411芯片中Dn代表檢測強(qiáng)度模式共有8種篩選模式，一旦掃描與探測程序運(yùn)用高維程序樣本開始運(yùn)轉(zhuǎn)，數(shù)模轉(zhuǎn)換器在既定方式下執(zhí)行數(shù)據(jù)樣本采樣（REFIN）。

1.2? 網(wǎng)絡(luò)非法入侵檢測系統(tǒng)接口控制芯片的選型

特征選擇算法協(xié)議的復(fù)雜性要求外設(shè)硬件系統(tǒng)必須具有智能控制功能，需要調(diào)節(jié)接口控制芯片減少漏檢以及對非本地用戶強(qiáng)制訪問等情況[4]。本文從系統(tǒng)調(diào)制解調(diào)功能、成本、系統(tǒng)開發(fā)復(fù)雜程度等角度出發(fā)，對接口控制芯片進(jìn)行選型。本文選用帶智能TIP接口的MAX532系統(tǒng)芯片，具備足夠的審計極限內(nèi)核，具有快捷連接接口挖掘引擎，并且使得缺乏主動式的自我防御網(wǎng)絡(luò)環(huán)境下的網(wǎng)絡(luò)入侵檢測系統(tǒng)具有較強(qiáng)的易操作性。

1.3? 電源管理芯片

在網(wǎng)絡(luò)非法入侵檢測系統(tǒng)設(shè)計過程中，由于系統(tǒng)各模塊工作電壓場效應(yīng)不一樣，因此也需要設(shè)計安裝一枚電源管理芯片，滿足輸出不同電壓的要求。本文選用TP-352型號的集成穩(wěn)壓器，由于其采用全銅涂層，具有低電能損耗值等優(yōu)點(diǎn)，可以提供12～220V的變壓區(qū)間，符合本文應(yīng)用的芯片工作要求。排列方式有PNP和NPN兩種，具有變壓作用的工作簡化電路如圖2所示。

如電路圖2所示，電源管理芯片選用了符合歐盟RoHS標(biāo)準(zhǔn)的，型號為2N3055的三極管，選擇2個電阻并聯(lián)，約400Ω。輸入端、輸出端可以給一些需要高電壓、小電流的的電路供電，接地端保證了電路系統(tǒng)的安全。

2? 網(wǎng)絡(luò)實(shí)時入侵檢測系統(tǒng)軟件設(shè)計

入侵檢測系統(tǒng)軟件架構(gòu)如圖3所示?？芍顬殛P(guān)鍵的模塊為特征選擇和入侵檢測，本文提出的優(yōu)化算法兼顧兩者的工作效果。

2.1? 特征選擇模塊算法流程

Vor+rsion=10

DMSKStMSKS = Y（B）Vuln

Vor+ndor=BOCO

“BOCO-1999"}"loudong"}3} /shortdor+sc/}/fulldor+sc/}/solution/}/Windows2000sor+r

vor+r//Soloris8/}/CVOR+1999/，/CMSKSN1999/} 1，2}3，4

BOC000/}/loudong/}3}

........f=sMSKS#

fsMSfs ;lkMSKSjf ;MSs，.fMSKSdsf

fMSsfjk ;kMSKSjfdMSj#

y′k（t）

solution，

f=MSKSfMSKSs

Windows2000Sor+rvor+r

Windows2003Sor+rvor+r

Nerble1999

C3）入侵檢測漏洞掃描的XML， 定義源數(shù)據(jù)

分類1

分類1

2.2? 入侵檢測模塊算法流程

1） L 11=FAXIAN-fror+quor+nts-l- itor+msor+ tmor+nt（D）;//尋找發(fā)現(xiàn)決策樹1一項集

2） Du i yu （k=2 ;? Lk-1 }? }? ; k--）{//控制目標(biāo)協(xié)議

3） Cks=apriori-gor+nts（lk-1，? min-sum）;//根據(jù)頻繁（k-1）一項集產(chǎn)生k-項集合

4） Duiyu Mor+iyigor+ t OR+? D ;? //對目標(biāo)Websell進(jìn)行轉(zhuǎn)義攔截

5） Cts=subsor+ts （Ck， lauguage） ;//得到Cts所包含的安全分配權(quán)限

6） sdsdms + Ctc.count++;

7） }Umm urbandor+cay 初始化二進(jìn)制粒子群

8） Lk={ smanber+ Ct} c. count lang}min_ sup} ;//遍歷整個lang命令，找到漏洞原因

9） fa55weiweihui L=Uk association //

中斷屏蔽攻擊程序的抗檢測程序：

1） D3diy3d Mor+m3dwet+ L1 OR+? Lk-1

2） D3diy3d Mor+m3dwet+d3dror+s has_ infror + L2 OR+? Lk-1

3） if（}Ll [1]=12 [l}…i FALSOR+; （L1 [k-2]=L2 [k-2]）八（L1 [k一1]

4） c= L 1 O L 2; //將兩個決策樹項集進(jìn)行連接

5） if has- infror+q3dor+nt itor+msor+t（c， Lk-1）

6） suround3d c;? //刪除不可能產(chǎn)生誤差的可疑入侵節(jié)點(diǎn)候選

7） or+lsor+ Ck=Ck U a {c};

8） +quor+nt subsor+t （c， Lk-1）

9） end

3? 檢測系統(tǒng)對比實(shí)驗

在網(wǎng)絡(luò)環(huán)境下搭建非法入侵檢測實(shí)驗平臺。實(shí)驗以包含四種數(shù)據(jù)類型的ORM99標(biāo)準(zhǔn)異常數(shù)據(jù)集為對象，利用本文所提方法與文獻(xiàn)[3]基于遺傳算法的檢測系統(tǒng)實(shí)行網(wǎng)絡(luò)實(shí)時入侵檢測實(shí)驗，實(shí)驗結(jié)果如表1所示。

表1展示的實(shí)驗結(jié)果展示出本文設(shè)計的網(wǎng)絡(luò)非法入侵檢測系統(tǒng)在大數(shù)據(jù)環(huán)境下檢測效率較高，漏檢率較低，相比較而言檢測效果優(yōu)異。綜上所述，本文所提方法的運(yùn)行能耗較低，檢測速度較快，檢測效果較好，具有一定的應(yīng)用價值，表明本文的研究成果具有實(shí)用性。

4? 結(jié)? 論

本文采用的算法主要是特征選擇，不改變檢測內(nèi)容的特征屬性，這適用于數(shù)據(jù)具有較鮮明特征的檢測情景，檢測效果較好，但是在處理模糊單一特征的例如經(jīng)典數(shù)據(jù)集方面稍遜色一些。因此在下一步工作中，要選擇更加精準(zhǔn)的特征提取方法設(shè)計網(wǎng)絡(luò)實(shí)時入侵檢測系統(tǒng)，保障網(wǎng)絡(luò)系統(tǒng)和信息傳輸安全。

參考文獻(xiàn)：

[1] 戴遠(yuǎn)飛，陳星，陳宏，等.基于特征選擇的網(wǎng)絡(luò)入侵檢測方法 [J].計算機(jī)應(yīng)用研究，2017，34（8）：2429-2433.

[2] 徐慧，劉翔，方策，等.一種基于可拓距的特征變換方法及其在網(wǎng)絡(luò)入侵檢測中的應(yīng)用 [J].河南師范大學(xué)學(xué)報（自然科學(xué)版），2017，45（5）：101-107.

[3] 睢丹，黃永燦.基于改進(jìn)遺傳算法的網(wǎng)絡(luò)入侵檢測 [J].數(shù)字技術(shù)與應(yīng)用，2016（4）：191-192.

[4] 安尼瓦爾·加馬力，亞森·艾則孜，木尼拉·塔里甫.基于連接數(shù)據(jù)分析和OSELM分類器的網(wǎng)絡(luò)入侵檢測系統(tǒng) [J].計算機(jī)應(yīng)用研究，2017，34（12）：3749-3752.

作者簡介：鄧興華（1982-），男，漢族，河南商丘人，講師，本科，研究方向：網(wǎng)絡(luò)技術(shù)，電子商務(wù)。