摘要：互聯(lián)網(wǎng)時代，網(wǎng)絡(luò)安全問題日益凸顯，網(wǎng)絡(luò)入侵檢測系統(tǒng)已經(jīng)成為防范網(wǎng)絡(luò)攻擊的有效手段。為進一步提高檢測系統(tǒng)的性能，將信息熵應(yīng)用到網(wǎng)絡(luò)入侵檢測系統(tǒng)中。該文對網(wǎng)絡(luò)安全入侵檢測系統(tǒng)進行設(shè)計，涉及系統(tǒng)架構(gòu)、主要功能、入侵檢測算法設(shè)計及硬件結(jié)構(gòu)設(shè)計等。在此基礎(chǔ)上完成環(huán)境搭建與實驗評估。通過實驗證明，該文設(shè)計的入侵檢測系統(tǒng)在提高檢測效率與降低誤報率方面表現(xiàn)出色，具有一定的可行性與優(yōu)越性，可為入侵檢測系統(tǒng)設(shè)計提供借鑒與參考。

關(guān)鍵詞：信息熵；網(wǎng)絡(luò)安全；入侵檢測系統(tǒng)

doi：10.3969/J.ISSN.1672-7274.2024.08.031

中圖分類號：TP 393.08" " " " " " " " "文獻標(biāo)志碼：B" " " " " " 文章編碼：1672-7274（2024）08-00-03

Design of Network Intrusion Detection System Based on Information Entropy

ZHANG Tingting

（Shanxi Police Academy， Taiyuan 030000， China）

Abstract： In the Internet era， network security issues have become increasingly prominent， and network intrusion detection system has become an effective means to prevent network attacks. To further improve the performance of detection systems， information entropy is applied to network intrusion detection systems. This article designs a network security intrusion detection system， including system architecture， main functions， intrusion detection algorithm design， and hardware structure design. On this basis， complete the environment construction and experimental evaluation. Through experiments， it has been proven that the intrusion detection system designed in this article performs excellently in improving detection efficiency and reducing 1 alarm rates， and has certain feasibility and superiority， which can provide reference and guidance for the design of intrusion detection systems.

Keywords： information entropy; network security; intrusion detection system

0" "引言

網(wǎng)絡(luò)入侵檢測系統(tǒng)在保護信息網(wǎng)絡(luò)免受惡意攻擊等方面發(fā)揮著不可或缺的作用。然而，現(xiàn)有入侵檢測系統(tǒng)往往存在一些弊端與局限性，如對變種攻擊或新型攻擊的適應(yīng)性差、誤報率高等。這種背景下，信息熵作為一種度量系統(tǒng)混亂程度與不確定性的指標(biāo)，近年來在網(wǎng)絡(luò)安全技術(shù)領(lǐng)域得到了廣泛應(yīng)用。通過分析系統(tǒng)日志或網(wǎng)絡(luò)流量中的信息熵特征，有助于快速識別異常行為模式，及時發(fā)現(xiàn)并處理非法入侵活動。

1" "網(wǎng)絡(luò)入侵檢測系統(tǒng)設(shè)計

1.1 系統(tǒng)架構(gòu)設(shè)計

網(wǎng)絡(luò)入侵檢測系統(tǒng)設(shè)計主要目的是及時識別并防范處理惡意攻擊，有效保障網(wǎng)絡(luò)系統(tǒng)安全。本文對系統(tǒng)架構(gòu)進行設(shè)計，涉及數(shù)據(jù)收集、特征提取與模型訓(xùn)練及檢測與分類等環(huán)節(jié)[1]。入侵檢測系統(tǒng)架構(gòu)如圖1所示。

數(shù)據(jù)收集作為入侵檢測系統(tǒng)的基礎(chǔ)，負(fù)責(zé)從網(wǎng)絡(luò)中獲取原始數(shù)據(jù)包。為保證數(shù)據(jù)的代表性與準(zhǔn)確性，需要從實際網(wǎng)絡(luò)環(huán)境中獲取惡意與正常數(shù)據(jù)包作為訓(xùn)練數(shù)據(jù)。

特征提取與模型訓(xùn)練負(fù)責(zé)處理收集到的數(shù)據(jù)，從數(shù)據(jù)中提取具有區(qū)分性且有價值的特征向量，同時訓(xùn)練分類模型。具體來說，首先，清洗數(shù)據(jù)包，清除異常、重復(fù)數(shù)據(jù)；其次，使用2v-gram技術(shù)將數(shù)據(jù)包轉(zhuǎn)換成特征向量；接下來，結(jié)合特征向量，計算出各特征出現(xiàn)的頻率，從而構(gòu)建頻率矩陣；而后，基于頻率矩陣與貝葉斯定理，來計算新數(shù)據(jù)包屬于惡意類別與正常類別的概率；然后，對特征向量完成聚類，降低維度，以提高分類效率；最后，使用訓(xùn)練好的SVM模型來分類數(shù)據(jù)包[2]。

檢測與分類負(fù)責(zé)使用訓(xùn)練好的模型來檢測和分類新的數(shù)據(jù)包。主要過程是，在單類分類的基礎(chǔ)上，配合其他分類模型的結(jié)果，獲得最終的分類結(jié)果；根據(jù)數(shù)據(jù)包的驗證分類結(jié)果與預(yù)期假陽性率，設(shè)定相應(yīng)閾值；將閾值與待檢測數(shù)據(jù)包的分類結(jié)果進行對比，從而得到最終的檢測結(jié)果。

1.2 系統(tǒng)主要功能設(shè)計

1.2.1 異常檢測功能設(shè)計

本文將結(jié)合熵理論來設(shè)計異常檢測功能，熵計算公式如下：

（1）

對于不同網(wǎng)絡(luò)異常情況M，結(jié)合公式（1），可以得到信息熵的表達式如下：

（2）

信息熵Wn（M）可用來衡量系統(tǒng)受到攻擊的程度，信息熵值較低，表明系統(tǒng)較為穩(wěn)定；而信息熵值較高，表明系統(tǒng)處于混亂狀態(tài)。實際應(yīng)用中，通過實時監(jiān)測網(wǎng)絡(luò)流量的變化，并計算信息熵值，來及時判斷網(wǎng)絡(luò)中是否存在異常情況[3]。主要過程為：

①分析網(wǎng)絡(luò)中捕獲原始數(shù)據(jù)包，同時提取有效信息，如流量大小、協(xié)議類型、IP地址等。

②基于收集到的數(shù)據(jù)，計算出每種網(wǎng)絡(luò)異常情況發(fā)生的概率Pi。

③代入公式（2），計算出各種網(wǎng)絡(luò)異常情況下的信息熵值Wn（M）。

④結(jié)合實際情況與經(jīng)驗，設(shè)置恰當(dāng)?shù)撵刂甸撝怠?/p>

⑤如果實時計算的信息熵值超過特定的閾值，表明網(wǎng)絡(luò)中存在異常情況，如DDoS攻擊等。

⑥一旦檢測到異常，系統(tǒng)將及時發(fā)出報警，提醒相關(guān)工作人員采取針對性的處理措施，如阻斷連接、限制流量，有效減輕攻擊影響。

1.2.2 入侵防御功能設(shè)計

基于網(wǎng)絡(luò)異常檢測，設(shè)計入侵防御功能。具體如下：

①模擬內(nèi)部服務(wù)器，在虛擬機中部署服務(wù)器，模擬實際網(wǎng)絡(luò)環(huán)境中的服務(wù)器角色，并將請求從主機發(fā)送至虛擬機。

②建立策略管理中心，實時分析網(wǎng)絡(luò)流量，以及時識別潛在威脅。

③計算熵值并確定熵閾值，計算時間t內(nèi)目的IP地址信息熵的均值，得到熵的估算量：

（3）

式中，α是采樣時間間隔；Wti是時間t內(nèi)的熵值[4]?；谶@兩個數(shù)據(jù)，可以進一步計算熵的標(biāo)準(zhǔn)差：

（4）

結(jié)合式（5），得出熵值的取值范圍：

（5）

④掃描并發(fā)送包含300字節(jié)C字符的UDP檢測包，并編寫匹配規(guī)則，將其添加至入侵預(yù)防系統(tǒng)規(guī)則庫。

⑤入侵檢測與防御，啟動入侵檢測，對服務(wù)器執(zhí)行端口進行掃描測試，一旦發(fā)現(xiàn)惡意行為，馬上發(fā)出警告信息。

⑥根據(jù)檢測模塊結(jié)果，日志與報警負(fù)責(zé)提供報警信息，并將攻擊信息存儲到數(shù)據(jù)庫中，從而為后續(xù)的數(shù)據(jù)分析與評估提供參考與依據(jù)。

⑦防止進一步惡意行為，攻擊檢測完成后，切斷網(wǎng)絡(luò)連接，以阻止入侵者進一步訪問。

1.3 基于信息熵的入侵檢測算法

基于信息熵的入侵檢測算法能夠高效精準(zhǔn)識別網(wǎng)絡(luò)入侵行為，通過抽取網(wǎng)絡(luò)信息特征，構(gòu)造超平面，并設(shè)計相關(guān)決策函數(shù)，同時融合不同SVM分類器，來實現(xiàn)對網(wǎng)絡(luò)入侵行為的及時識別與精準(zhǔn)檢測[5]。入侵檢測流程如圖2所示。

首先，該算法注重構(gòu)造一個能夠區(qū)分異常與正常網(wǎng)絡(luò)行為的超平面。其次，對入侵檢測分類器決策函數(shù)進行設(shè)計。基于訓(xùn)練好的單類SVM分類器，入侵檢測算法能夠快速學(xué)習(xí)正常網(wǎng)絡(luò)行為的模式，同時構(gòu)造用來判斷網(wǎng)絡(luò)行為是否正常的決策函數(shù)。最后，該算法融合了多個不同的SVM分類器，通過計算輸出結(jié)果的平均值，從而得到較為準(zhǔn)確的綜合判斷結(jié)果。當(dāng)平均值小于0時，網(wǎng)絡(luò)信息屬于入侵類；反之，網(wǎng)絡(luò)信息屬于目標(biāo)類，這極大提高了檢測的準(zhǔn)確性與魯棒性[6]。

1.4 系統(tǒng)硬件結(jié)構(gòu)設(shè)計

系統(tǒng)在硬件結(jié)構(gòu)上采用了分布式的客戶端模式，以策略管理中心為核心，協(xié)同多個檢測器共同執(zhí)行系統(tǒng)分析處理任務(wù)。該系統(tǒng)由兩級結(jié)構(gòu)組成，策略管理中心下轄多個探測器，形成網(wǎng)絡(luò)狀結(jié)構(gòu)，每個探測器都具備一定的數(shù)據(jù)分析與處理能力。為避免單點故障，探測節(jié)點與策略管理中心之間的通信實施了嚴(yán)密的驗證機制，通過授予證書確保內(nèi)部通信的安全性。

主機探測器將被部署在受保護的主機上，一旦檢測到入侵行為，會立即向策略管理中心報告。主機探測器細(xì)分成數(shù)據(jù)采集、數(shù)據(jù)分析、報警輸出及指令接收四大模塊，協(xié)同工作以高效處理安全威脅。

2" "環(huán)境搭建與實驗評估

2.1 環(huán)境搭建

為驗證本文設(shè)計的入侵檢測系統(tǒng)的性能，需要搭建合適的測試環(huán)境，主要涉及Linux系統(tǒng)、MySQL數(shù)據(jù)庫、C語言編程軟件及相應(yīng)的網(wǎng)絡(luò)硬件設(shè)備。為確保入侵檢測系統(tǒng)的可靠穩(wěn)定運行，本文選用C語言編程，并結(jié)合MySQL數(shù)據(jù)庫，同時，準(zhǔn)備相應(yīng)的網(wǎng)絡(luò)硬件設(shè)備，如防火墻、路由器、交換機等，以更好地模擬真實的網(wǎng)絡(luò)環(huán)境[7]。環(huán)境搭建完成后，對入侵檢測系統(tǒng)在檢測率、誤報率等方面進行詳細(xì)的測試與評估。本文采用DARPA數(shù)據(jù)集完成測試，主要提取10種網(wǎng)絡(luò)安全入侵程序，包括Dos、portsweep、teardrop、ICMP、Land、Pod、neptune、syn、satam、smurf。

2.2 系統(tǒng)測試與評估

進行系統(tǒng)測試，并統(tǒng)計本文設(shè)計系統(tǒng)與現(xiàn)有系統(tǒng)在各種入侵程序下的檢測率與誤報率，具體測試結(jié)果如表1所示。

從表1測試結(jié)果可以看出，本文設(shè)計的入侵檢測系統(tǒng)在各種入侵程序下具有較高的檢測率，說明系統(tǒng)具備較好的檢測能力。在特定入侵程序如Dos、ICMP、satam等場景中，本文設(shè)計的系統(tǒng)具有較低的誤報率，這表明系統(tǒng)具備較好的準(zhǔn)確性，可以從海量網(wǎng)絡(luò)數(shù)據(jù)中準(zhǔn)確識別異常行為，為網(wǎng)絡(luò)安全防護提供更強有力的保障。

3" "結(jié)束語

綜上所述，該系統(tǒng)具備適應(yīng)性強、誤報率低、準(zhǔn)確性高等優(yōu)勢，可以更好地適應(yīng)新型攻擊與復(fù)雜多變的網(wǎng)絡(luò)環(huán)境。未來，將持續(xù)優(yōu)化與改進，如結(jié)合其他機器學(xué)習(xí)、人工智能等前沿技術(shù)，注重模型與算法的創(chuàng)新等，以進一步提高系統(tǒng)的性能。伴隨技術(shù)的發(fā)展，基于信息熵的入侵檢測系統(tǒng)有望成為網(wǎng)絡(luò)安全技術(shù)領(lǐng)域的一個發(fā)展方向。

參考文獻

[1] 吳亞楠，王斌．基于信息熵的網(wǎng)絡(luò)安全入侵檢測系統(tǒng)設(shè)計[J]．微型電腦應(yīng)用，2022，38（12）：119-123．

[2] 尤慧麗，王永鑫．FastICA算法網(wǎng)絡(luò)安全入侵檢測防護系統(tǒng)設(shè)計[J]．福建電腦，2023，39（7）：110-113．

[3] 于光許．基于大數(shù)據(jù)技術(shù)的網(wǎng)絡(luò)安全風(fēng)險檢測系統(tǒng)設(shè)計[J]．信息與電腦，2023，35（7）：240-242．

[4] 張小云，康曉霞．基于決策樹算法的網(wǎng)絡(luò)入侵檢測系統(tǒng)設(shè)計與評估[J]．信息技術(shù)，2023，47（2）：117-122．

[5] 靳曉琪，盧金奇，李林城．基于信息熵的網(wǎng)絡(luò)異常檢測及入侵防御系統(tǒng)設(shè)計[J]．電子設(shè)計工程，2021，29（18）：152-156．

[6] 董志瑋．基于深度學(xué)習(xí)的無線通信網(wǎng)絡(luò)入侵檢測系統(tǒng)設(shè)計[J]．長江信息通信，2023，36（2）：119-121，124．

[7] 馮國聰，樊凱，葉婉琦．基于卷積神經(jīng)網(wǎng)絡(luò)的網(wǎng)絡(luò)入侵檢測系統(tǒng)設(shè)計[J]．微型電腦應(yīng)用，2023，39（5）：141-143，154．

課題項目：2023社科院山西高質(zhì)量發(fā)展課題，數(shù)字經(jīng)濟視域下山西制造業(yè)振興轉(zhuǎn)型升級路徑研究（編號SXGZL202317）；2023山西文旅課題，山西省現(xiàn)代服務(wù)業(yè)與先進制造業(yè)深度融合發(fā)展策略和調(diào)查研究（編號SXSKWC2023011）。

作者簡介：張婷婷（1984—），女，漢族，山西太原人，講師，碩士研究生，研究方向為網(wǎng)絡(luò)安全與大數(shù)據(jù)。