亚洲免费av电影一区二区三区,日韩爱爱视频,51精品视频一区二区三区,91视频爱爱,日韩欧美在线播放视频,中文字幕少妇AV,亚洲电影中文字幕,久久久久亚洲av成人网址,久久综合视频网站,国产在线不卡免费播放

        ?

        基于Snort的Botnet網(wǎng)絡(luò)檢測(cè)系統(tǒng)設(shè)計(jì)研究

        2023-09-28 02:30:14
        中國新技術(shù)新產(chǎn)品 2023年16期
        關(guān)鍵詞:檢測(cè)系統(tǒng)

        曾 斯

        (湖南環(huán)境生物職業(yè)技術(shù)學(xué)院,湖南 衡陽 421005)

        Botnet網(wǎng)絡(luò)是一種采用多種傳播手段使主機(jī)感染病毒,從而在控制者與被感染主機(jī)間形成的一個(gè)可以一對(duì)多控制的網(wǎng)絡(luò)[1]。與木馬、蠕蟲等惡意軟件相比,其優(yōu)勢(shì)是可以通過獨(dú)立命令與攻擊者進(jìn)行通信,Botnet網(wǎng)絡(luò)可以利用各類通信協(xié)議配置通信信道,使通信信道更具隱蔽性。隨著時(shí)代發(fā)展,Botnet網(wǎng)絡(luò)迅速壯大,例如DDOS攻擊、竊取信息、發(fā)送垃圾郵件以及攻擊基礎(chǔ)設(shè)施等,給當(dāng)前網(wǎng)絡(luò)安全帶來了巨大威脅。Snort是一種開源入侵防御系統(tǒng),其適應(yīng)多類平臺(tái),具有源代碼開放、計(jì)算要求低等特點(diǎn)[2]。為了更好地應(yīng)對(duì)Botnet網(wǎng)絡(luò)的威脅,該文設(shè)計(jì)了一種基于Snort的Botnet網(wǎng)絡(luò)檢測(cè)系統(tǒng),其將流量分析方法作為識(shí)別工具,準(zhǔn)確性較高,能夠有效檢測(cè)大規(guī)模惡意Botnet網(wǎng)絡(luò)流量。

        1 系統(tǒng)架構(gòu)

        系統(tǒng)采用C/S架構(gòu),在這種結(jié)構(gòu)下,通過瀏覽器顯示工作界面,通過服務(wù)器、前端實(shí)現(xiàn)事物邏輯。如圖1所示,系統(tǒng)分為界面層、邏輯層、通信層以及數(shù)據(jù)層等4層架構(gòu)。其中,界面層包括系統(tǒng)管理、Botnet網(wǎng)絡(luò)流量監(jiān)測(cè)以及系統(tǒng)升級(jí)等,該層與用戶直接交互,用戶可以有效使用界面操作系統(tǒng),并根據(jù)檢測(cè)結(jié)果評(píng)估事件對(duì)系統(tǒng)的威脅程度,從而采取最優(yōu)的解決策略;邏輯層是系統(tǒng)核心部分,主要負(fù)責(zé)處理系統(tǒng)軟硬件的業(yè)務(wù)邏輯、數(shù)據(jù)訪問等工作,起到了數(shù)據(jù)交換的承上啟下作用;通信層主要負(fù)責(zé)客戶端與服務(wù)器之間的通信;數(shù)據(jù)層包括Snort規(guī)則和MariaDB數(shù)據(jù)庫,Snort規(guī)則是基于文本的輕量級(jí)語言描述,數(shù)據(jù)庫負(fù)責(zé)檢測(cè)流量特征、可疑行為等信息。

        圖1 系統(tǒng)架構(gòu)

        2 硬件設(shè)計(jì)

        系統(tǒng)硬件設(shè)計(jì)如圖2所示,主要包括協(xié)議分析儀、解碼器、流量識(shí)別器以及輸出管理器等部件。

        2.1 協(xié)議分析儀

        協(xié)議分析儀是檢測(cè)系統(tǒng)最基礎(chǔ)的數(shù)據(jù)監(jiān)視硬件設(shè)備,既可以用于合法網(wǎng)絡(luò)管理,也可以用于網(wǎng)絡(luò)數(shù)據(jù)竊取。該系統(tǒng)采用BEX400協(xié)議分析儀,能夠識(shí)別以太網(wǎng)、令牌環(huán)以及TCP/IP等高層協(xié)議,其具體工作流程如下:網(wǎng)絡(luò)適配卡捕獲網(wǎng)絡(luò)數(shù)據(jù)包,隨后以原始形態(tài)傳遞給解碼器,以對(duì)數(shù)據(jù)鏈路層中的原始數(shù)據(jù)包進(jìn)行深度解碼,解碼器從不同接口獲取包后完成解碼過程。

        2.2 解碼器

        在系統(tǒng)接收數(shù)據(jù)包后,無法直接將其上傳至流量識(shí)別器,必須進(jìn)行部分處理,并利用環(huán)境定義描述統(tǒng)一采集的數(shù)據(jù)。該系統(tǒng)采用XL-DS1/DD1高速解碼器,該設(shè)備提供軟件開發(fā)SDK及設(shè)備管理控制通信協(xié)議,便于與第三方軟件系統(tǒng)集成,其具體工作流程如下:對(duì)數(shù)據(jù)進(jìn)行歸類、去冗等操作,將主機(jī)數(shù)據(jù)、網(wǎng)絡(luò)數(shù)據(jù)、行為數(shù)據(jù)以及通信數(shù)據(jù)結(jié)合,以整體視角對(duì)各事件進(jìn)行關(guān)聯(lián)分析,創(chuàng)建元數(shù)據(jù)與操作集間的依賴關(guān)系,配合流量識(shí)別器完成數(shù)據(jù)處理工作。

        2.3 流量識(shí)別器

        流量識(shí)別器是系統(tǒng)核心硬件,除使用Snort自有的監(jiān)測(cè)機(jī)制外,還可以選用Cubro流量探針作為系統(tǒng)流量識(shí)別器,該設(shè)備根據(jù)聚類結(jié)果進(jìn)行網(wǎng)絡(luò)流量類型識(shí)別,準(zhǔn)確率較高,其具體工作包括加密識(shí)別、虛擬構(gòu)建。其中,加密識(shí)別通過計(jì)算隨機(jī)數(shù)據(jù)來識(shí)別數(shù)據(jù)流是否被加密,虛擬構(gòu)建則通過Renode模擬器來模擬Botnet運(yùn)行環(huán)境,并根據(jù)其行為來判斷是否為惡意流量。

        2.3.1 加密識(shí)別

        Cubro流量探針能夠?qū)用芰髁窟M(jìn)行有效識(shí)別。根據(jù)加密原理,加密后的數(shù)據(jù)與隨機(jī)數(shù)據(jù)較相似,由信息論可知,數(shù)據(jù)隨機(jī)性越大,不確定性就越高,熵值也隨之增加。因此,可以通過數(shù)據(jù)熵值來識(shí)別加密數(shù)據(jù)。

        2.3.2 虛擬構(gòu)建

        使用Renode模擬器進(jìn)行虛擬構(gòu)建,按照監(jiān)控配置與數(shù)據(jù)流進(jìn)行邏輯分析,標(biāo)記相關(guān)數(shù)據(jù),并對(duì)可疑程序API攔截記錄、污點(diǎn)記錄進(jìn)行深度分析[3]。將網(wǎng)絡(luò)中獲得的數(shù)據(jù)包解碼后,將其放于特定數(shù)據(jù)結(jié)構(gòu)內(nèi),由此完成識(shí)別、過濾以及解碼數(shù)據(jù)包流,隨后將數(shù)據(jù)表流上傳至Cubro流量探針,以此探測(cè)數(shù)據(jù)包中是否存在入侵行為。

        2.4 輸出管理器

        輸出管理器負(fù)責(zé)將報(bào)警與日志通過更靈活的格式、形式呈現(xiàn)給管理員,這些信息被記錄于文本文件與數(shù)據(jù)庫內(nèi)。該系統(tǒng)采用MUX-10F輸出管理器,其記錄方式見表1。

        表1 MUX-10F記錄方式

        3 軟件設(shè)計(jì)

        為了提高系統(tǒng)檢測(cè)性能,軟件設(shè)計(jì)主要完成的工作包括NXDomain過濾、聚類分析以及交集分析。

        3.1 域名過濾

        在特定周期內(nèi),與正常主機(jī)相比,Botnet感染主機(jī)會(huì)訪問域名,其中多為NXDomain,如果觀察到的源IP是NAT后的IP地址,那么NXDomain訪問量可能更大[4]。因此,在聚類分析前可通過限度值l過濾NXDomain訪問較少的記錄。當(dāng)l為0時(shí),被過濾掉的訪問域名數(shù)僅占總域名數(shù)的0.1%;當(dāng)l為100時(shí),被過濾掉的訪問域名數(shù)約占總域名數(shù)的5%。由此可知,l值越大,過濾掉的域名數(shù)越多,能夠降低誤檢率,但是漏檢率也會(huì)提高。作為軟件設(shè)計(jì)的輔助檢測(cè),該步驟主要考慮降低漏檢率,因此l值為1。過濾后根據(jù)域名字符特征、行為特征進(jìn)行聚類分析。

        3.2 聚類分析

        為了聚類相似域名,在過濾后通過域名字符特征、行為特征對(duì)域名進(jìn)行聚類。在字符特征聚類中,提取2級(jí)域長度、2級(jí)域名數(shù)字占比、2級(jí)域名熵值、全域名熵值以及域名級(jí)別等域名字符特征組成聚類向量(見表2),隨后通過聚類算法對(duì)向量進(jìn)行聚類分析。聚類算法可以根據(jù)數(shù)據(jù)自動(dòng)選擇聚類數(shù)量,減少了因人為選擇聚類而出現(xiàn)的誤差。

        表2 域名字符聚類特征

        在域名訪問行為特征聚類中,利用感染相同Botnet的主機(jī)也會(huì)有相似的訪問模式特性,以小時(shí)為周期對(duì)域名進(jìn)行統(tǒng)計(jì),得出每日訪問序列,從而對(duì)域名進(jìn)行序列聚類[5]。域名行為聚類仍采用聚類算法,但是其無法有效處理時(shí)間序列的維度特征,因此應(yīng)先進(jìn)行特征提取,得到訪問總量、均值、方差以及訪問最大值等特征(見表3),隨后再對(duì)特征進(jìn)行聚類。

        表3 域名行為聚類特征

        3.3 交集分析

        對(duì)上述軟件設(shè)計(jì)結(jié)果進(jìn)行交集分析,能夠檢測(cè)出高度可疑域名。具體方法如下:設(shè)置集合x={x1、x2,…,xn}為字符聚類結(jié)果,集合y={y1、y2,…,yn}為行為聚類結(jié)果,那么交集集合為Sxy,如果Sxy內(nèi)域名數(shù)量過少,就認(rèn)為該集合內(nèi)域名是可疑域名的可能性較小,不考慮該分組,反之則將其作為高度可疑域名。

        4 系統(tǒng)試驗(yàn)

        4.1 試驗(yàn)標(biāo)準(zhǔn)

        為了驗(yàn)證Snort檢測(cè)Botnet網(wǎng)絡(luò)性能,采用誤差矩陣、正確率、精確率以及誤報(bào)率等指標(biāo)進(jìn)行系統(tǒng)性能評(píng)估,誤差矩陣見表4。

        表4 誤差矩陣

        正確率Acy是指流量被正確檢測(cè)出來的概率,如公式(1)所示。

        精確率Pon是指Botnet網(wǎng)絡(luò)被正確檢測(cè)與被檢測(cè)成Botnet網(wǎng)絡(luò)的比值,如公式(2)所示。

        誤報(bào)率Fpr是指正常流量被錯(cuò)誤檢測(cè)為Botnet流量的概率,如公式(3)所示。

        綜上所述,一個(gè)良好的Botnet網(wǎng)絡(luò)檢測(cè)系統(tǒng)應(yīng)具有較高的檢測(cè)精度和極低的誤報(bào)率。

        4.2 試驗(yàn)環(huán)境

        試驗(yàn)采用深度學(xué)習(xí)框架,架構(gòu)靈活,不僅支持各類網(wǎng)絡(luò)類型、結(jié)構(gòu),而且也支持學(xué)習(xí)率(Constant Warmup,CW)功能。試驗(yàn)計(jì)算機(jī)CPU為I5-13400F,內(nèi)存為XPG 8G*23200 DDR4,顯卡為RTX4070,未使用GPU加速。

        4.3 試驗(yàn)分析

        以Botnet網(wǎng)絡(luò)數(shù)據(jù)集為基準(zhǔn),分別評(píng)估基于Snort的Botnet網(wǎng)絡(luò)檢測(cè)系統(tǒng)和傳統(tǒng)Botnet網(wǎng)絡(luò)檢測(cè)系統(tǒng)的性能。為了訓(xùn)練較高的性能,選定隱藏節(jié)點(diǎn)分別為10、20、30、40和50,基于Snort的Botnet網(wǎng)絡(luò)檢測(cè)系統(tǒng)、傳統(tǒng)Botnet網(wǎng)絡(luò)檢測(cè)系統(tǒng)分別在訓(xùn)練集和測(cè)試集上的正確率,結(jié)果見表5。

        表5 正確率比較

        由表5可知,當(dāng)選擇相同隱藏節(jié)點(diǎn)時(shí),基于Snort的Botnet網(wǎng)絡(luò)檢測(cè)系統(tǒng)在訓(xùn)練集上的檢測(cè)正確率比傳統(tǒng)檢測(cè)系統(tǒng)高。當(dāng)隱藏節(jié)點(diǎn)數(shù)量為10~40時(shí),基于Snort的Botnet網(wǎng)絡(luò)檢測(cè)系統(tǒng)在測(cè)試集上的檢測(cè)正確率比傳統(tǒng)檢測(cè)系統(tǒng)該,表明Snort在高維特征模型方面具備更強(qiáng)的建模能力。隨著隱藏節(jié)點(diǎn)數(shù)量不斷增加,當(dāng)隱藏節(jié)點(diǎn)數(shù)量為50時(shí),基于Snort的Botnet網(wǎng)絡(luò)檢測(cè)系統(tǒng)在訓(xùn)練集上保持了較高的檢測(cè)正確率,但是在測(cè)試集上的檢測(cè)正確率開始降低。當(dāng)隱藏節(jié)點(diǎn)數(shù)量為10時(shí),基于Snort的Botnet網(wǎng)絡(luò)檢測(cè)系統(tǒng)在訓(xùn)練集、測(cè)試集上檢測(cè)正確率最高,分別為81.15%、75.52%,此時(shí)誤差矩陣見表6。

        表6 基于Snort的Botnet網(wǎng)絡(luò)檢測(cè)系統(tǒng)在訓(xùn)練集、測(cè)試集上的誤差矩陣

        當(dāng)隱藏節(jié)點(diǎn)數(shù)量為20時(shí),傳統(tǒng)檢測(cè)系統(tǒng)在訓(xùn)練集、測(cè)試集上的檢測(cè)正確率最高,分別為73.75%、71.97%。基于Snort的Botnet網(wǎng)絡(luò)檢測(cè)系統(tǒng)(隱藏節(jié)點(diǎn)數(shù)量為10個(gè))和傳統(tǒng)檢測(cè)系統(tǒng)(隱藏節(jié)點(diǎn)數(shù)量為20個(gè))在訓(xùn)練集上檢測(cè)正確率的變化情況如圖3所示。由試驗(yàn)可知,基于Snort的Botnet網(wǎng)絡(luò)檢測(cè)系統(tǒng)的檢測(cè)正確率比傳統(tǒng)檢測(cè)系統(tǒng)高。

        在精確率方面,處于不同隱藏節(jié)點(diǎn)條件下,基于Snort的Botnet網(wǎng)絡(luò)檢測(cè)系統(tǒng)和傳統(tǒng)檢測(cè)系統(tǒng)在訓(xùn)練集、測(cè)試集上的精確率見表7。結(jié)果表明,當(dāng)選擇相同隱藏節(jié)點(diǎn)時(shí),基于Snort的Botnet網(wǎng)絡(luò)檢測(cè)系統(tǒng)在訓(xùn)練集、測(cè)試集上的檢測(cè)精確率比傳統(tǒng)檢測(cè)系統(tǒng)高。

        表7 精確率比較

        在誤報(bào)率方面,處于不同隱藏節(jié)點(diǎn)條件下,基于Snort的Botnet網(wǎng)絡(luò)檢測(cè)系統(tǒng)和傳統(tǒng)檢測(cè)系統(tǒng)在訓(xùn)練集、測(cè)試集上的誤報(bào)率見表8。結(jié)果表明,當(dāng)選擇不同隱藏節(jié)點(diǎn)時(shí),基于Snort的Botnet網(wǎng)絡(luò)檢測(cè)系統(tǒng)在測(cè)試集上的誤報(bào)率比同等條件下傳統(tǒng)檢測(cè)系統(tǒng)的誤報(bào)率低。在訓(xùn)練集上,當(dāng)隱藏節(jié)點(diǎn)為20時(shí),基于Snort的Botnet網(wǎng)絡(luò)檢測(cè)系統(tǒng)的誤報(bào)率比同等條件下傳統(tǒng)檢測(cè)系統(tǒng)的誤報(bào)率高。

        表8 誤報(bào)率比較

        5 結(jié)語

        綜上所述,Botnet網(wǎng)絡(luò)會(huì)對(duì)互聯(lián)網(wǎng)安全造成嚴(yán)重威脅,關(guān)于其檢測(cè)系統(tǒng)的研究也是當(dāng)今網(wǎng)絡(luò)安全領(lǐng)域的核心課題。Botnet網(wǎng)絡(luò)通過多種傳播手段使大量主機(jī)感染病毒,需要有效的檢測(cè)方法對(duì)其進(jìn)行防御,因此該文設(shè)計(jì)了一種基于Snort的Botnet網(wǎng)絡(luò)檢測(cè)系統(tǒng)。試驗(yàn)結(jié)果表明,與傳統(tǒng)檢測(cè)系統(tǒng)相比,該系統(tǒng)具有較高的檢測(cè)率和較低的誤報(bào)率,可以提高Botnet網(wǎng)絡(luò)檢測(cè)的正確率,能夠?qū)崟r(shí)檢測(cè)惡意網(wǎng)絡(luò)流量、攻擊行為。在后續(xù)研究中,應(yīng)改進(jìn)系統(tǒng)的匹配算法,從而進(jìn)一步提高檢測(cè)精度。

        猜你喜歡
        檢測(cè)系統(tǒng)
        Smartflower POP 一體式光伏系統(tǒng)
        “不等式”檢測(cè)題
        “一元一次不等式”檢測(cè)題
        “一元一次不等式組”檢測(cè)題
        WJ-700無人機(jī)系統(tǒng)
        “幾何圖形”檢測(cè)題
        “角”檢測(cè)題
        ZC系列無人機(jī)遙感系統(tǒng)
        基于PowerPC+FPGA顯示系統(tǒng)
        半沸制皂系統(tǒng)(下)
        国产亚洲精品在线视频| 日日摸夜夜欧美一区二区| 亚洲人成影院在线高清| 亚洲人妻精品一区二区三区| 亚洲男人天堂一区二区| 午夜福利院电影| 无码熟妇人妻AV影音先锋| 中文字幕精品乱码一二三区| 人成综合视频在线播放| 人妻有码中文字幕| AV永久天堂网| 在线免费午夜视频一区二区| 国产精品沙发午睡系列| 好屌草这里只有精品| 亚洲AV无码成人精品区天堂| 国产在线视频一区二区三区| 日韩人妻熟女中文字幕a美景之屋| 亚洲男人的天堂在线播放| 女人的天堂av免费看| 精品福利一区二区三区| 免费a级毛片无码a∨中文字幕下载| 国内精品久久久久久久影视麻豆| 久久久久国产精品四虎| 国产女优一区在线观看| 48久久国产精品性色aⅴ人妻| 精品久久久久久久久午夜福利| 免费福利视频二区三区 | 亚洲中文字幕久久精品色老板| 中文亚洲av片在线观看| 一区二区无码中出| 日韩字幕无线乱码免费| 色婷婷一区二区三区四区成人网| a级毛片毛片免费观看久潮喷| 精品视频在线观看一区二区三区 | 免费毛儿一区二区十八岁| 国产成人精品一区二区三区免费| 国产在线欧美日韩精品一区二区 | 国产激情一区二区三区在线| 中文字幕v亚洲日本| 日韩女人毛片在线播放| 在线国产丝袜自拍观看|