黃振華，李春華，張 波，劉翠煥

(1.河北工程技術學院軟件學院，河北石家莊 050091;2.河北科技大學信息科學與工程學院，河北石家莊050018)

1 引言

在互聯(lián)網(wǎng)飛速發(fā)展的同時，越來越多的網(wǎng)絡安全問題接踵而來，計算機系統(tǒng)中防火墻無法全方面做到隔離軟件異類數(shù)據(jù)[1-2]。目前針對軟件異類入侵數(shù)據(jù)相關領域?qū)W者做了大量的研究，并取得了一定的成就，但是在檢測率和誤報率上仍然存在問題[3-4]。神經(jīng)網(wǎng)絡存在著一些不足，神經(jīng)網(wǎng)絡拓撲在一定程度上受到限制，神經(jīng)網(wǎng)絡比較復雜，計算負荷較重。

云檢測本質(zhì)上是一個隨機的過程，在軟件內(nèi)部組網(wǎng)端序列數(shù)據(jù)傳輸過程中，數(shù)據(jù)相對穩(wěn)定，異類數(shù)據(jù)難以入侵，數(shù)據(jù)難以產(chǎn)生巨大的波動，因此可行性更高[5]。云檢測是一種主動的網(wǎng)絡安全防御措施，能有效彌補防火墻的不足，對網(wǎng)絡采取實時性、全方位保護，對系統(tǒng)外部試圖入侵的異類數(shù)據(jù)進行檢測防護。

綜上所述，傳統(tǒng)的檢測方法已不能滿足現(xiàn)在網(wǎng)絡安全的需要，為了解決軟件異類入侵數(shù)據(jù)在傳送過程中精確度不足的問題，本文建立了一種基于異類入侵數(shù)據(jù)自我識別強度的云檢測方法，混合采用神經(jīng)網(wǎng)絡模型，實現(xiàn)了一種實時模擬分光器，采用ROC曲線對收集的數(shù)據(jù)與測試的數(shù)據(jù)進行對比評估。經(jīng)實驗證明，云檢測方法可以有效地提高數(shù)據(jù)的精確度。

2 軟件異類入侵數(shù)據(jù)識別

為更好地實現(xiàn)入侵數(shù)據(jù)的檢測，前提是需要識別異類入侵數(shù)據(jù)。入侵數(shù)據(jù)識別分為三部分，分別是：數(shù)據(jù)收集、入侵分析和響應處理。軟件異常入侵數(shù)據(jù)識別結構圖如圖1所示。

圖1 軟件異常入侵數(shù)據(jù)識別結構圖

觀察圖1可知，數(shù)據(jù)收集是采集軟件數(shù)據(jù)，是入侵檢測中的基礎。入侵分析是云檢測方法的核心步驟，對采集到的數(shù)據(jù)進行加工處理并分析與原始數(shù)據(jù)進行對比，判斷數(shù)據(jù)是否為異類數(shù)據(jù)，是否影響整體的運行狀態(tài)[6]。若數(shù)據(jù)屬于異類數(shù)據(jù)且存在異常入侵的情況，則通過響應處理進行報警，值班人員通過原始數(shù)據(jù)流提取異類數(shù)據(jù)并與儲存的數(shù)據(jù)進行對比更正。云檢測是通過整合主機網(wǎng)絡信息和若干分集機網(wǎng)絡信息方式進行發(fā)掘與分析。根據(jù)異類數(shù)據(jù)的軌跡發(fā)現(xiàn)其入侵行為，將主機的正常樣本與檢測的采集數(shù)據(jù)樣本進行對比，對異類數(shù)據(jù)進行糾正，確保系統(tǒng)資源的精確性。

因此在進行數(shù)據(jù)識別時，可按照檢測對象和入侵方式進行分類，按檢測對象的不同可以分為兩類，主機數(shù)據(jù)和網(wǎng)絡數(shù)據(jù)，按入侵的方式不同，分為數(shù)據(jù)異常和輸入錯誤兩種入侵方式。分類如表1所示。

表1 入侵數(shù)據(jù)分類

為盡量減少數(shù)據(jù)入侵，在輸入電腦程序時盡量避免錯誤，減小系統(tǒng)誤差，提高系統(tǒng)精確度。及時發(fā)現(xiàn)數(shù)據(jù)異常的入侵方式，避免對后期數(shù)據(jù)的影響。再根據(jù)日志與顯示數(shù)據(jù)，將已知的異常數(shù)據(jù)變成攻擊編碼模式[7]，數(shù)據(jù)編碼如圖2所示。

圖2 數(shù)據(jù)編碼模式

存儲在入侵模擬數(shù)據(jù)庫中，將實施的正確數(shù)據(jù)與入侵模式中異常數(shù)據(jù)進行匹配，識別出入侵數(shù)據(jù)。

3 異類入侵數(shù)據(jù)自我識別強度云檢測

3.1 源程序數(shù)據(jù)傳輸?shù)穆窂絻?yōu)化模型

由于在直角坐標系中，異常數(shù)據(jù)樣本和正常數(shù)據(jù)的樣本是不一致的，因此本文通過建立直角坐標系完成數(shù)據(jù)處理工作。隨機抽取n個數(shù)據(jù)作為基礎樣本，通過Matlab軟件畫出ROC曲線，判斷出數(shù)據(jù)的精確值，再重復此操作。對其它樣本進行取樣計算標準數(shù)據(jù)與測出數(shù)據(jù)的偏移量，對重合的數(shù)據(jù)進行儲存，有差別的數(shù)據(jù)進行重新整合，直至ROC曲線是一條重合的線[8]。

若ROC不是一條光滑的曲線，則需將ROC曲線分為若干段，形成若干小梯形，計算出每個梯形的面積為數(shù)據(jù)的精確值，通過若干梯形面積相加得出數(shù)據(jù)的個數(shù)與正常數(shù)據(jù)數(shù)相減，得出異常數(shù)據(jù)的誤報率。在ROC曲線中尋找出檢測的最佳工作點。

由于操作錯誤系統(tǒng)軟件會產(chǎn)生一些不正常的樣本點，一般情況下，與做出的ROC曲線不重合的孤立點是由于操作失誤而得到的，因此要保證數(shù)據(jù)的準確性，首先要確保主機系統(tǒng)內(nèi)數(shù)據(jù)的準確性，對不規(guī)律的數(shù)據(jù)進行糾正，標記異類數(shù)據(jù)。軟件內(nèi)部組網(wǎng)具有周期性，每一個程序都以異常數(shù)據(jù)攻擊的先后順序排列，根據(jù)程序的不同，所處環(huán)境不同。因此對程序進行調(diào)用，在軟件網(wǎng)絡中，每個節(jié)點都對應不同的程序，程序內(nèi)部每條路徑代表著每個數(shù)據(jù)傳送的過程，建立不同的數(shù)據(jù)傳輸通道形成數(shù)據(jù)網(wǎng)，植入云檢測系統(tǒng)和報警系統(tǒng)，在一定安全策略下，進行入侵云檢測。由于軟件網(wǎng)絡中每條路徑都有起點和終點，在節(jié)點上具有儲存數(shù)據(jù)的功能，異常數(shù)據(jù)常常通過程序的漏洞對每個節(jié)點進行攻擊，通過改變源程序數(shù)據(jù)傳輸?shù)穆窂?，使整體的序列與正常執(zhí)行的序列有一定的差異。因此本文在數(shù)據(jù)處理過程中，構建了源程序數(shù)據(jù)傳輸?shù)穆窂絻?yōu)化模型

(1)

式(1)中，E(n)為獲得的數(shù)據(jù)處理模型，e為常數(shù)值，n為監(jiān)測到的異常數(shù)據(jù)數(shù)量。

3.2 入侵數(shù)據(jù)自我識別強度云檢測

在上述路徑優(yōu)化模型的基礎上，進行云檢測，云檢測方法主要分為數(shù)據(jù)庫清洗和集成、數(shù)據(jù)庫儲存、選擇與轉(zhuǎn)換特定數(shù)據(jù)集、數(shù)據(jù)挖掘形成模式、評估與表示五個階段。入侵數(shù)據(jù)自我識別強度云檢測流程如圖3所示。

圖3 入侵數(shù)據(jù)自我識別強度云檢測流程

觀察圖3可知，數(shù)據(jù)庫清洗和集成的作用是找出異樣數(shù)據(jù)，對異樣數(shù)據(jù)進行整合清洗；數(shù)據(jù)庫儲存的作用是將清洗過的數(shù)據(jù)進行儲存，將數(shù)據(jù)源中的數(shù)據(jù)組合到一起；選擇與轉(zhuǎn)換特定數(shù)據(jù)集作用是將整合后的數(shù)據(jù)進行篩選整合成數(shù)據(jù)包的形式進行特定的存儲；數(shù)據(jù)挖掘形成模式是對特定存儲的數(shù)據(jù)進行分解，智能的將數(shù)據(jù)進行有規(guī)律的分解；評估與表示知識作用是根據(jù)分解出的數(shù)據(jù)篩選出有意義的模式知識，利用數(shù)據(jù)的可視化向用戶展現(xiàn)出來。

數(shù)據(jù)通過傳輸網(wǎng)傳送，在節(jié)點的末端小型中央處理器對數(shù)據(jù)進行讀取、審計并記錄，用exevce/inetd系統(tǒng)檢測，產(chǎn)生新的數(shù)據(jù)，主機系統(tǒng)對數(shù)據(jù)進行自我識別[9]。若數(shù)據(jù)發(fā)生異常，則重新返回開始，進行糾察并重新傳輸數(shù)據(jù)，若數(shù)據(jù)與原數(shù)據(jù)一直繼續(xù)向下傳輸，得到path的數(shù)據(jù)值，判斷是否為正確的程序。如果數(shù)據(jù)經(jīng)過加權后，得到了相應的服務權限矢量，判斷 PID是否存在矢量中，如果沒有，系統(tǒng)就需要重新編程，如果存在矢量繼續(xù)向下傳輸判斷是否 fork如果繼續(xù)向下傳輸，輸出的數(shù)據(jù)存儲在相應的數(shù)據(jù)資源庫中，如果不是，就需要檢查數(shù)據(jù)并糾正重新傳輸。

通過構建線性函數(shù)將原有的數(shù)據(jù)映射到三維空間內(nèi)，將空間進行劃分，利用矩陣尋找異類數(shù)據(jù)的過程從而獲得最優(yōu)解，采用最小誤差平均準則E=1，將整體數(shù)據(jù)集劃分成互不重合的數(shù)據(jù)塊，使整體數(shù)據(jù)形成緊湊的獨立體[10]。分割過程如圖4所示：

圖4 數(shù)據(jù)分割原理

根據(jù)圖4的分割原理得到數(shù)據(jù)獨立體，在獲得離散型屬性數(shù)據(jù)后，通過構建新線型函數(shù)將原有的數(shù)據(jù)映射到三維空間內(nèi)，將空間進行劃分，利用矩陣尋找異類數(shù)據(jù)的過程從而獲得最優(yōu)解[11]。云檢測的方法主要依賴于模擬數(shù)據(jù)庫，若模擬數(shù)據(jù)庫中無正常數(shù)據(jù)，則不能檢測出攻擊數(shù)據(jù)，若異常數(shù)據(jù)的實時編碼與正常數(shù)據(jù)超過一定的閾值，正常數(shù)據(jù)也會受到攻擊。對整體數(shù)據(jù)進行分析處理，展現(xiàn)出正常數(shù)據(jù)與異常數(shù)據(jù)之間的非線性關系，通過隨機取樣的方式來進行數(shù)據(jù)對比。利用HMM(Hidden Markov Model)模型的檢測功能[12]，通過云測試識別出異樣數(shù)據(jù)，實現(xiàn)信息分布化處理，增加處理過程的自適應性。HMM模型如圖5所示。

圖5 檢測模型

觀察圖5可知，每條通道上傳輸?shù)臄?shù)據(jù)可以簡稱為數(shù)據(jù)流，具有連續(xù)性，大容量，快速響應的特點，當異類數(shù)據(jù)入侵時，在數(shù)據(jù)流中執(zhí)行云檢測，若數(shù)據(jù)為事件數(shù)據(jù)的一部分，則其為入侵數(shù)據(jù)。數(shù)據(jù)主要有三種數(shù)據(jù)類型：點異常、樣本異常、順序異常。感應數(shù)據(jù)流的傳輸數(shù)據(jù)，增強了數(shù)據(jù)流算法的穩(wěn)定性，提高了檢測性能，增加檢測過程穩(wěn)定性。

4 仿真與分析

為了檢測本文提出的軟件異類入侵數(shù)據(jù)自我識別強度云檢測方法的有效性，與現(xiàn)有方法進行對比實驗研究，選用的對比方法為基于SDN的智能入侵檢測系統(tǒng)模型與算法(文獻[3]方法)、基于云模型與決策樹的入侵檢測方法(文獻[4]方法)。

入侵檢測性能指標主要包括三方面：檢測率、誤檢率和漏報率。

1)檢測率是云檢測系統(tǒng)受到異類數(shù)據(jù)入侵時能夠準確報警的概率，檢測率越高，說明方法的性能越好，計算公式為

(2)

式中，C1為正確檢測異類數(shù)據(jù)入侵的次數(shù)，C為異類數(shù)據(jù)入侵的總次數(shù)。

2)誤檢率是云檢測系統(tǒng)錯誤判斷異類數(shù)據(jù)入侵的概率，誤檢率越低，說明方法的檢測性能越好，其計算公式為

(3)

式中，C2為錯誤判斷異類數(shù)據(jù)入侵的總次數(shù)。

3)漏報率是系統(tǒng)對未檢測到的異常數(shù)據(jù)大致估算概率，漏報率越低，說明檢測結果更可靠。其計算公式為

(4)

式中，SZ為漏報為正常的入侵次數(shù)，為異類數(shù)據(jù)入侵的總次數(shù)。

設定實驗參數(shù)如表2所示。

表2 實驗參數(shù)

設定實驗環(huán)境：實驗所用系統(tǒng)為Windows 2010 64位，內(nèi)存4GB，CPU 3.30 Hz，仿真平臺為MATLAB R2018 b。具體實驗結果與分析如下內(nèi)容所示。

4.1 檢測率實驗

根據(jù)上述實驗參數(shù)和實驗環(huán)境，利用三種檢測方法檢測軟件異類入侵數(shù)據(jù)，得到的檢測率實驗結果如圖6所示。

圖6 檢測率實驗結果

根據(jù)圖6可知，當檢測時間為4min時，文獻[3]方法檢測率為22%，文獻[4]方法檢測率為29%，研究的檢測方法檢測率為38%；當檢測時間為8min時，文獻[3]方法檢測率為44%，文獻[4]方法檢測率為48%，本文提出的檢測方法檢測率為65%；當檢測時間為12min時，文獻[3]方法檢測率為60%，文獻[4]方法檢測率為80%，本文提出的檢測方法檢測率為82%。由此可知，研究的檢測方法檢測率要始終高于傳統(tǒng)的檢測方法，隨著檢測時間的增加，三種檢測方法的檢測率也在逐漸提高。

4.2 誤檢率實驗

依據(jù)上述實驗環(huán)境，對比三種方法的誤檢率，將測試數(shù)據(jù)隨機劃分為10組，每組數(shù)據(jù)為1550個，檢測每組數(shù)據(jù)時隨機加入入侵數(shù)據(jù)30個?；诖?，誤檢率實驗結果如圖7所示。

圖7 誤檢率實驗結果

由圖7可知，研究的檢測方法誤檢測率明顯低于對比檢測方法的誤檢測率，由于研究的方法采用云檢測，所以更好地對數(shù)據(jù)進行分析，探究數(shù)據(jù)的內(nèi)部強度，提高了異類數(shù)據(jù)檢測精度。綜上所述，此次研究提出的檢測方法更適合應用到軟件異類入侵數(shù)據(jù)檢測中，適用性更廣，應用效果更強。

4.3 漏報率實驗

同樣依據(jù)上述實驗環(huán)境，以3.2節(jié)實驗的數(shù)據(jù)分組為基礎進行漏報率實驗，具體實驗結果如圖8所示。

圖8 漏報率實驗結果

由圖8可知，對比的兩種方法漏報率介于10%～16%之間，而研究的方法的漏報率介于2%～6%之間，低于對比方法。因為研究的方法考慮到軟件內(nèi)部組網(wǎng)的攻擊順序排列問題，優(yōu)化了數(shù)據(jù)傳輸路徑，并在數(shù)據(jù)網(wǎng)中植入了云檢測系統(tǒng)，形成了較穩(wěn)定的檢測環(huán)境，同時也實現(xiàn)了降低漏報率的目的。

5 結束語

本文利用軟件異類入侵數(shù)據(jù)研究了一種新的自我識別強度云檢測模型，該模型具有強大的自我識別能力和傳送數(shù)據(jù)能力，可以快速的識別到異常數(shù)據(jù)，對入侵異常數(shù)據(jù)進行性能的檢測，有效地提高入侵系統(tǒng)的誤報率和漏報率。運用ROC曲線進行云檢測，將正常數(shù)據(jù)與異常數(shù)據(jù)進行對比，找出異常區(qū)域加以糾正，提高了檢測的精確度。