張曉東

摘? 要： 為解決傳統(tǒng)網(wǎng)絡(luò)多信道異常通信數(shù)據(jù)在線監(jiān)測(cè)系統(tǒng)反應(yīng)靈敏度低，工作效率差等問(wèn)題，設(shè)計(jì)了一種新的網(wǎng)絡(luò)多信道異常通信數(shù)據(jù)在線監(jiān)測(cè)系統(tǒng)。首先，系統(tǒng)硬件主要設(shè)計(jì)了數(shù)據(jù)提取模塊、關(guān)聯(lián)監(jiān)測(cè)模塊和流量監(jiān)測(cè)模塊，為系統(tǒng)創(chuàng)建奠定硬件基礎(chǔ);其次，通過(guò)設(shè)定在線監(jiān)測(cè)依據(jù)、過(guò)濾不符合的監(jiān)測(cè)標(biāo)準(zhǔn)、記錄監(jiān)測(cè)數(shù)據(jù)結(jié)果、記錄數(shù)據(jù)辨別、獲取數(shù)據(jù)端口等軟件設(shè)計(jì)，實(shí)現(xiàn)了網(wǎng)絡(luò)多信道異常通信數(shù)據(jù)在線監(jiān)測(cè)系統(tǒng)的研究設(shè)計(jì)。實(shí)驗(yàn)結(jié)果表明，所提監(jiān)測(cè)系統(tǒng)可以快速監(jiān)測(cè)到異常通信數(shù)據(jù)，工作效率快，工作能力強(qiáng)。

關(guān)鍵詞： 在線監(jiān)測(cè); 系統(tǒng)設(shè)計(jì); 網(wǎng)絡(luò)多信道; 數(shù)據(jù)通信; 參數(shù)設(shè)定; 實(shí)驗(yàn)測(cè)試

中圖分類號(hào)： TN911?34; TP391? ? ? ? ? ? ? ? ? ?文獻(xiàn)標(biāo)識(shí)碼： A? ? ? ? ? ? ? ? ? ? ? 文章編號(hào)： 1004?373X（2020）06?0075?03

Design of on?line monitoring system for network multi?channel abnormal

communication data

ZHANG Xiaodong

（College of Information Engineering， Youth College of Political Science of Inner Mongolia Normal University， Hohhot 010051， China）

Abstract： A new on?line monitoring system for network multi?channel abnormal communication data is designed to improve low reaction sensitivity and work efficiency of traditional on?line monitoring system for multi?channel abnormal communication data. The hardware of the system mainly includes data extraction module， correlation monitoring module and flow monitoring module， which lays the hardware foundation for the establishment of the system. The research and design of online monitoring system for network multi?channel abnormal communication data are realized by setting the online monitoring basis， filtering the monitoring standards that do not meet， recording the monitoring data results， recording data identification， and acquiring data ports and other software design. The experimental results show that the proposed monitoring system can quickly detect abnormal communication data， and has fast working efficiency and strong working ability.

Keywords： on?line monitoring; system design; network multi?channel; data communication; parameter determination; experimental test

0? 引? 言

伴隨著計(jì)算機(jī)技術(shù)的發(fā)展，無(wú)線傳感網(wǎng)絡(luò)具備良好的發(fā)展趨勢(shì)。然而其遭受通信信道公開(kāi)性能的影響，易發(fā)生異常入侵等多種安全事故，因此對(duì)于網(wǎng)絡(luò)中的安全防范體系提出了更高的要求。在線監(jiān)測(cè)網(wǎng)絡(luò)中的異常成為目前研究的重中之重[1]。

目前，網(wǎng)絡(luò)多信道異常通信數(shù)據(jù)在線監(jiān)測(cè)系統(tǒng)主要有兩種[2]：第一種是以代價(jià)為基礎(chǔ)的異常攻擊在線監(jiān)測(cè)系統(tǒng)，通過(guò)獲取網(wǎng)絡(luò)弱點(diǎn)評(píng)判標(biāo)準(zhǔn)，獲取異常入侵圖表，實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)異常入侵的在線監(jiān)測(cè)，這種系統(tǒng)具備操作方便的優(yōu)勢(shì)，但容易受到多種條件的制約;第二種是以TVCSE擬合為基礎(chǔ)的異常攻擊在線監(jiān)測(cè)系統(tǒng)，該系統(tǒng)可以不間斷搜集大量的流量數(shù)據(jù)，統(tǒng)計(jì)實(shí)際產(chǎn)生的入侵累計(jì)概率，選取最容易受到攻擊的途徑，在此基礎(chǔ)上實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)異常入侵的在線監(jiān)測(cè)，系統(tǒng)操作簡(jiǎn)單，但在實(shí)際的操作過(guò)程中，難以獲得異常入侵的具體變化情況，在線監(jiān)測(cè)的精密度不夠[3]。

為解決上述存在的問(wèn)題，本文設(shè)計(jì)了一種新的網(wǎng)絡(luò)多信道異常通信數(shù)據(jù)在線監(jiān)測(cè)系統(tǒng)。該系統(tǒng)在動(dòng)態(tài)演化的基礎(chǔ)上構(gòu)建了網(wǎng)絡(luò)多信道異常通信數(shù)據(jù)在線監(jiān)測(cè)系統(tǒng)并開(kāi)展了相應(yīng)的實(shí)驗(yàn)。實(shí)驗(yàn)結(jié)果表明該系統(tǒng)具備精度高，對(duì)維護(hù)網(wǎng)絡(luò)安全具有重要意義。

1? 在線監(jiān)測(cè)系統(tǒng)硬件設(shè)計(jì)

本文構(gòu)建的系統(tǒng)主要包括數(shù)據(jù)提取模塊、關(guān)聯(lián)監(jiān)測(cè)模塊和流量監(jiān)測(cè)模塊，系統(tǒng)硬件結(jié)構(gòu)圖如圖1所示。

硬件包含數(shù)據(jù)提取和分析，結(jié)果處置以及用戶界面。數(shù)據(jù)分析包括關(guān)聯(lián)規(guī)則和流量在線監(jiān)測(cè)兩個(gè)部分的內(nèi)容[4]。關(guān)聯(lián)規(guī)則加載了各個(gè)記錄中數(shù)據(jù)存在的聯(lián)系，流量在線監(jiān)測(cè)對(duì)許多數(shù)據(jù)潛在的入侵方式進(jìn)行匯總，有效的維護(hù)網(wǎng)絡(luò)穩(wěn)定運(yùn)行。關(guān)聯(lián)監(jiān)測(cè)模塊主要針對(duì)網(wǎng)絡(luò)記錄按照其規(guī)則庫(kù)中的相關(guān)標(biāo)準(zhǔn)實(shí)施在線監(jiān)測(cè)，流量監(jiān)測(cè)模塊主要針對(duì)實(shí)施流量按照其流量庫(kù)中匯總的流量情況實(shí)施在線監(jiān)測(cè)。

1.1? 數(shù)據(jù)提取模塊設(shè)計(jì)

數(shù)據(jù)提取模塊主要是通過(guò)WinPcap庫(kù)進(jìn)行提取，提取過(guò)程可以確保抓包接口標(biāo)準(zhǔn)化，通過(guò)和LibPcap相互識(shí)別，實(shí)現(xiàn)Unix下分析工具的迅速?gòu)?fù)制，從而進(jìn)行數(shù)據(jù)提取。數(shù)據(jù)提取模塊結(jié)構(gòu)圖如圖2所示。

數(shù)據(jù)提取模塊系能夠?qū)崿F(xiàn)數(shù)據(jù)的在線監(jiān)測(cè)，其余兩個(gè)是連接庫(kù)Packet.Dll和WinPcap.lib，前者是低端動(dòng)態(tài)形式的，后者是高端靜態(tài)形式的。在一般情況下，鏈路層驅(qū)動(dòng)程序負(fù)責(zé)數(shù)據(jù)的傳輸工作，將其運(yùn)送給協(xié)議棧[5]。運(yùn)用BPF體系實(shí)施在線監(jiān)測(cè)，驅(qū)動(dòng)首先發(fā)送拷貝的數(shù)據(jù)給BPF，經(jīng)過(guò)其過(guò)濾裝置結(jié)合用戶制定的標(biāo)準(zhǔn)來(lái)判定該數(shù)據(jù)的去向，然后對(duì)該數(shù)據(jù)的運(yùn)送為本機(jī)與否進(jìn)行判定。BPF包在內(nèi)核的基礎(chǔ)上實(shí)現(xiàn)了過(guò)濾處理，在負(fù)載較大的網(wǎng)絡(luò)環(huán)境中保障運(yùn)行。將WinPcap和BPF聯(lián)系起來(lái)能夠提升獲取數(shù)據(jù)的質(zhì)量和速度[6]。

1.2? 關(guān)聯(lián)監(jiān)測(cè)模塊設(shè)計(jì)

關(guān)聯(lián)監(jiān)測(cè)模塊由信道檢測(cè)器、信號(hào)分析器和處理芯片組成，監(jiān)測(cè)模塊如圖3所示。

關(guān)聯(lián)監(jiān)測(cè)模塊能夠很好地對(duì)檢測(cè)規(guī)則進(jìn)行獲取和掌握，并利用掌握的規(guī)則實(shí)施在線監(jiān)測(cè)。模塊中的關(guān)聯(lián)規(guī)則集通過(guò)相應(yīng)的過(guò)濾處理變化成為在線監(jiān)測(cè)規(guī)則集。在線監(jiān)測(cè)時(shí)期，通過(guò)尋找與之符合的在線監(jiān)測(cè)標(biāo)準(zhǔn)實(shí)施在線監(jiān)測(cè)[7]。

1.3? 流量監(jiān)測(cè)模塊設(shè)計(jì)

關(guān)聯(lián)規(guī)則監(jiān)測(cè)模塊側(cè)重于數(shù)據(jù)的相互聯(lián)系，對(duì)連接過(guò)程中存在的潛在異常的識(shí)別不是特別的敏銳。在多次異常侵入連接狀態(tài)下，該規(guī)則可能不會(huì)識(shí)別出來(lái)[12]。因此，需要設(shè)置流量監(jiān)測(cè)模塊對(duì)網(wǎng)絡(luò)流量進(jìn)行檢測(cè)，以檢測(cè)網(wǎng)絡(luò)入侵。流量監(jiān)測(cè)模塊采用的監(jiān)測(cè)芯片是Intel公司生產(chǎn)的型號(hào)為T(mén)SD551芯片[8]。

檢測(cè)時(shí)，針對(duì)每臺(tái)主機(jī)一定的時(shí)間區(qū)間里運(yùn)送的數(shù)據(jù)數(shù)量進(jìn)行統(tǒng)計(jì)，與以往的均值實(shí)施對(duì)比，構(gòu)建閾值k，通常它的最大值是2，最小值是-4，如果此時(shí)獲取的均值大于以往數(shù)值的k倍，系統(tǒng)發(fā)出報(bào)警處理，反之，對(duì)以往的均值的參考進(jìn)行重新調(diào)整[9]。

流量監(jiān)測(cè)模塊結(jié)構(gòu)圖如圖4所示。

對(duì)每天按照時(shí)間平均分為24個(gè)區(qū)間，在各個(gè)區(qū)間內(nèi)對(duì)其自身產(chǎn)生的記錄進(jìn)行保存，在該區(qū)間完成后，利用該區(qū)間收集的合理數(shù)據(jù)對(duì)以往的參考記錄進(jìn)行調(diào)整，并且在該時(shí)期的以往參考均值進(jìn)行調(diào)整。

2? 在線監(jiān)測(cè)系統(tǒng)軟件設(shè)計(jì)

針對(duì)系統(tǒng)軟件進(jìn)行設(shè)計(jì)，設(shè)計(jì)的軟件流程如圖5所示。

1） 設(shè)定在線監(jiān)測(cè)依據(jù)。以在線監(jiān)測(cè)規(guī)則集的內(nèi)容為依據(jù)，針對(duì)沒(méi)有在線監(jiān)測(cè)的記錄實(shí)施辨別，通過(guò)尋找與之符合的在線監(jiān)測(cè)標(biāo)準(zhǔn)實(shí)施在線監(jiān)測(cè)。

2） 過(guò)濾不符合的監(jiān)測(cè)標(biāo)準(zhǔn)。尋找與之符合的在線監(jiān)測(cè)標(biāo)準(zhǔn)必須在全部的在線監(jiān)測(cè)規(guī)則集中過(guò)濾。為降低資源的消耗以及增強(qiáng)在線監(jiān)測(cè)效率，本文增加了“位操作”實(shí)施以上過(guò)程。將準(zhǔn)備進(jìn)行在線監(jiān)測(cè)的數(shù)據(jù)和與之相適應(yīng)的規(guī)則依次實(shí)施位與操作。運(yùn)用上述的記錄和規(guī)則進(jìn)行闡述，將準(zhǔn)備進(jìn)行在線監(jiān)測(cè)的數(shù)據(jù)和規(guī)則依次實(shí)施位與操作，獲取結(jié)論。

3） 記錄監(jiān)測(cè)數(shù)據(jù)結(jié)果。在運(yùn)用規(guī)則集實(shí)施異常在線監(jiān)測(cè)時(shí)，需要將獲取的數(shù)據(jù)轉(zhuǎn)化為記錄的形式，在整個(gè)數(shù)據(jù)庫(kù)中查找有無(wú)與之相適應(yīng)的規(guī)則實(shí)施對(duì)異常的在線監(jiān)測(cè)。

4） 記錄數(shù)據(jù)辨別。在進(jìn)行在線監(jiān)測(cè)時(shí)，針對(duì)準(zhǔn)備在線監(jiān)測(cè)的記錄按照在線監(jiān)測(cè)規(guī)則集進(jìn)行辨別，在線監(jiān)測(cè)規(guī)則集中是否存在和數(shù)據(jù)相符的記錄。

5） 獲取數(shù)據(jù)端口，判斷是否需要報(bào)警。比較連接記錄中對(duì)應(yīng)于規(guī)則的條件的值，發(fā)現(xiàn)這條記錄滿足條件，說(shuō)明這條記錄與規(guī)則相符合，且規(guī)則的右項(xiàng)為正常，因此這是一條正常連接的記錄。

經(jīng)過(guò)上述記錄和規(guī)則的類比分析，能夠獲取“端口”，表明這項(xiàng)記錄和規(guī)則不能夠充分的適應(yīng)。所以在過(guò)濾處理中務(wù)必要包括主機(jī)的IP地址和端口兩個(gè)方面的內(nèi)容[10]。

3? 實(shí)驗(yàn)研究

為充分證實(shí)網(wǎng)絡(luò)多信道異常通信數(shù)據(jù)在線監(jiān)測(cè)系統(tǒng)所具備的突出優(yōu)勢(shì)，特進(jìn)行如下實(shí)驗(yàn)。在此過(guò)程中增加了AODV路由協(xié)議各種形式多樣的狀態(tài)，使得實(shí)驗(yàn)效果更加貼合實(shí)際中網(wǎng)絡(luò)的延遲性等一系列特性。所得在線監(jiān)測(cè)系統(tǒng)特性對(duì)比情況如圖所示。構(gòu)建的參數(shù)如表1所示。針對(duì)監(jiān)測(cè)系統(tǒng)的反應(yīng)靈敏度進(jìn)行檢驗(yàn)，得到的實(shí)驗(yàn)結(jié)果如圖6所示。通過(guò)實(shí)驗(yàn)得出，在無(wú)線傳感網(wǎng)絡(luò)中，隨著不正常節(jié)點(diǎn)數(shù)目的逐漸增長(zhǎng)，大范圍的異常攻擊現(xiàn)象極具增加，IDS發(fā)出許多警報(bào)，傳統(tǒng)的在線監(jiān)測(cè)反應(yīng)速度慢等缺點(diǎn)，由此設(shè)置的實(shí)時(shí)的在線監(jiān)測(cè)系統(tǒng)具有反應(yīng)速度快，抵抗異常入侵的能力強(qiáng)的特點(diǎn)，充分的證實(shí)了本文構(gòu)建的系統(tǒng)具備較高的精密度，能夠極大的改善無(wú)線傳感網(wǎng)絡(luò)遭受異常入侵的在線監(jiān)測(cè)過(guò)程。

針對(duì)監(jiān)測(cè)系統(tǒng)的測(cè)試效率進(jìn)行檢驗(yàn)，得到的實(shí)驗(yàn)結(jié)果如圖7所示。

通過(guò)實(shí)驗(yàn)可知，本文建立的系統(tǒng)提高了在線監(jiān)測(cè)的效率和精度，對(duì)于所有記錄的在線監(jiān)測(cè)都要查找規(guī)則集，極大的增加了工作量和規(guī)則集的運(yùn)用，在線監(jiān)測(cè)時(shí)，能夠在一批次的記錄實(shí)施集中查找與其相適應(yīng)的規(guī)則集，以此降低規(guī)則庫(kù)的調(diào)用率，能夠維護(hù)網(wǎng)絡(luò)穩(wěn)定運(yùn)行。本文的檢測(cè)系統(tǒng)對(duì)記錄的在線監(jiān)測(cè)變成位操作實(shí)施，有效提升系統(tǒng)的工作效率。

4? 結(jié)? 語(yǔ)

傳統(tǒng)系統(tǒng)在進(jìn)行網(wǎng)絡(luò)通信通道發(fā)生異常入侵進(jìn)行在線監(jiān)測(cè)時(shí)，不能獲得具體的流程信息對(duì)于異常產(chǎn)生的原因以及對(duì)于網(wǎng)絡(luò)的影響等不能夠分析，得到的誤差太大。針對(duì)以上問(wèn)題，本文在動(dòng)態(tài)變換的基礎(chǔ)上構(gòu)建了對(duì)異常入侵的在線監(jiān)測(cè)系統(tǒng)，并設(shè)置了實(shí)驗(yàn)進(jìn)行論證。結(jié)果顯示，本文構(gòu)建的系統(tǒng)極大地提升了在線監(jiān)測(cè)的精密度，充分維護(hù)了網(wǎng)絡(luò)的穩(wěn)定運(yùn)行。

參考文獻(xiàn)

[1] 丁壘，朱欣華，周同，等.多參數(shù)無(wú)線傳感器網(wǎng)絡(luò)監(jiān)測(cè)系統(tǒng)設(shè)計(jì)[J].自動(dòng)化儀表，2018，39（4）：51?54.

[2] 王禎璋，王奇平.基于無(wú)線遠(yuǎn)程通信技術(shù)的變壓器狀態(tài)在線監(jiān)測(cè)系統(tǒng)設(shè)計(jì)[J].電力與能源，2017，38（6）：688?691.

[3] 王云濤.調(diào)度自動(dòng)化系統(tǒng)通信網(wǎng)絡(luò)在線分析及故障診斷定位技術(shù)[J].電子制作，2018（10）：70?71.

[4] 陳堅(jiān).數(shù)據(jù)通信網(wǎng)絡(luò)維護(hù)與網(wǎng)絡(luò)安全問(wèn)題的探討[J].電子世界，2017，11（20）：151.

[5] 山琦.數(shù)據(jù)通信網(wǎng)絡(luò)維護(hù)與網(wǎng)絡(luò)安全問(wèn)題思考[J].數(shù)字技術(shù)與應(yīng)用，2017，22（5）：215.

[6] 林斌，王磊.試論大數(shù)據(jù)分析在移動(dòng)通信網(wǎng)絡(luò)優(yōu)化中的應(yīng)用[J].科學(xué)技術(shù)創(chuàng)新，2018，19（18）：83?84.

[7] 曾杰麟.大數(shù)據(jù)分析在移動(dòng)通信網(wǎng)絡(luò)優(yōu)化中的運(yùn)用研究[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2018（7）：79.

[8] 高倩.網(wǎng)絡(luò)通信中的異常數(shù)據(jù)檢測(cè)技術(shù)研究[J].信息通信，2018，55（4）：122?123.

[9] 馬立新，許報(bào)，李黎濱，等.基于大數(shù)據(jù)技術(shù)的網(wǎng)絡(luò)異常行為分析監(jiān)測(cè)系統(tǒng)[J].通信電源技術(shù)，2018（7）：162?163.

[10] 韓冬.關(guān)于數(shù)據(jù)通信網(wǎng)絡(luò)維護(hù)與網(wǎng)絡(luò)安全問(wèn)題研究[J].信息系統(tǒng)工程，2018（6）：81?82.