基于特征選擇算法的網(wǎng)絡(luò)實(shí)時(shí)入侵檢測(cè)系統(tǒng)研究

摘? 要：為了保障網(wǎng)絡(luò)系統(tǒng)的安全與穩(wěn)定，需要進(jìn)行網(wǎng)絡(luò)入侵檢測(cè)模型研究，目前具有代表性的檢測(cè)系統(tǒng)是基于遺傳算法找出網(wǎng)絡(luò)入侵的特征子集，但該系統(tǒng)檢測(cè)準(zhǔn)確性較低且訓(xùn)練時(shí)間過(guò)長(zhǎng)。為此，本文將特征選擇算法應(yīng)用到網(wǎng)絡(luò)實(shí)時(shí)入侵檢測(cè)系統(tǒng)中，提出了一種基于特征選擇的實(shí)時(shí)入侵檢測(cè)方法。通過(guò)搭建非法入侵檢測(cè)實(shí)驗(yàn)平臺(tái)將該方法與基于遺傳算法的網(wǎng)絡(luò)入侵檢測(cè)方法做比較，實(shí)驗(yàn)結(jié)果表明，該方法在檢測(cè)攻擊的準(zhǔn)確率方面優(yōu)于另一入侵檢測(cè)系統(tǒng)，并且所需檢測(cè)時(shí)間也短于另一檢測(cè)系統(tǒng)。

關(guān)鍵詞：特征選擇算法;網(wǎng)絡(luò)入侵;實(shí)時(shí)檢測(cè)系統(tǒng)

中圖分類號(hào)：TP393.08;TP181? ? ? ?文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：2096-4706（2019）20-0157-03

Abstract：In order to ensure the security and stability of network system，it is necessary to study the network intrusion detection model. At present，the representative detection system is based on genetic algorithm to find the characteristic subset of network intrusion，but the detection accuracy of the system is low and the training time is too long. Therefore，feature selection algorithm is applied to network real-time intrusion detection system，and a real-time intrusion detection method based on feature selection is proposed. This method is compared with the network intrusion detection method based on genetic algorithm by building an experimental platform of illegal intrusion detection. The experimental results show that this method is superior to the other intrusion detection system in detection accuracy，and the detection time is shorter than the other detection system.

Keywords：feature selection algorithm;network intrusion;real-time detection system

0? 引? 言

特征選擇算法是近幾年來(lái)發(fā)展起來(lái)的一類安全算法，它通過(guò)分析挖掘、檢測(cè)網(wǎng)絡(luò)中的數(shù)據(jù)流量的相關(guān)性、關(guān)聯(lián)性，已經(jīng)廣泛應(yīng)用在金融，建筑，信息安全等領(lǐng)域[1]，從中發(fā)現(xiàn)網(wǎng)絡(luò)信息系統(tǒng)中是否有違反安全策略的關(guān)聯(lián)網(wǎng)絡(luò)和被破壞置信度的跡象。它彌補(bǔ)了神經(jīng)網(wǎng)絡(luò)模式的防護(hù)措施缺口。隨著攻擊類型越來(lái)越多，蠕蟲(chóng)、木馬、漏洞攻擊、邏輯炸彈等威脅通常混合出現(xiàn)，留給系統(tǒng)恢復(fù)的時(shí)間越來(lái)越短，網(wǎng)絡(luò)安全受到新的挑戰(zhàn)[2]。原始的入侵檢測(cè)機(jī)制通過(guò)模擬自然界的進(jìn)化機(jī)制，如遺傳信息尋優(yōu)編譯機(jī)制，找到粒子群數(shù)據(jù)特征集，取得了不錯(cuò)的檢測(cè)效果。但是遺傳算法要求樣本大、成本高，學(xué)習(xí)速度慢。無(wú)法把攻擊防御在企業(yè)網(wǎng)絡(luò)之外，影響入侵檢測(cè)的實(shí)時(shí)性，因此網(wǎng)絡(luò)入侵檢測(cè)具有廣泛的發(fā)展空間。本文將文獻(xiàn)[3]作為傳統(tǒng)檢測(cè)系統(tǒng)的代表，與本文提出的檢測(cè)系統(tǒng)進(jìn)行對(duì)比，以此求證本文設(shè)計(jì)的系統(tǒng)是否真正實(shí)現(xiàn)了檢測(cè)入侵的功能優(yōu)化。

1? 網(wǎng)絡(luò)實(shí)時(shí)入侵檢測(cè)系統(tǒng)硬件設(shè)計(jì)

為實(shí)現(xiàn)網(wǎng)絡(luò)實(shí)時(shí)入侵檢測(cè)，需要對(duì)缺乏主動(dòng)式的自我防御網(wǎng)絡(luò)下非法入侵檢測(cè)系統(tǒng)的動(dòng)態(tài)特征以及采樣芯片、分類器接口控制芯片、電源管理芯片等硬件進(jìn)行設(shè)計(jì)選型，從而實(shí)現(xiàn)在缺乏主動(dòng)式的自我防御網(wǎng)絡(luò)環(huán)境下非法入侵檢測(cè)系統(tǒng)的硬件系統(tǒng)構(gòu)建。

1.1? 網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)的數(shù)據(jù)采樣芯片

對(duì)于硬件系統(tǒng)的構(gòu)建，本文經(jīng)過(guò)對(duì)市面上排名靠前的芯片進(jìn)行測(cè)評(píng)之后采用SVD411超平面特征芯片，它包含一個(gè)5ms386位可信度閾值的強(qiáng)規(guī)則關(guān)系器，其內(nèi)部電路連接方式如圖1所示。

SVD411芯片中Dn代表檢測(cè)強(qiáng)度模式共有8種篩選模式，一旦掃描與探測(cè)程序運(yùn)用高維程序樣本開(kāi)始運(yùn)轉(zhuǎn)，數(shù)模轉(zhuǎn)換器在既定方式下執(zhí)行數(shù)據(jù)樣本采樣（REFIN）。

1.2? 網(wǎng)絡(luò)非法入侵檢測(cè)系統(tǒng)接口控制芯片的選型

特征選擇算法協(xié)議的復(fù)雜性要求外設(shè)硬件系統(tǒng)必須具有智能控制功能，需要調(diào)節(jié)接口控制芯片減少漏檢以及對(duì)非本地用戶強(qiáng)制訪問(wèn)等情況[4]。本文從系統(tǒng)調(diào)制解調(diào)功能、成本、系統(tǒng)開(kāi)發(fā)復(fù)雜程度等角度出發(fā)，對(duì)接口控制芯片進(jìn)行選型。本文選用帶智能TIP接口的MAX532系統(tǒng)芯片，具備足夠的審計(jì)極限內(nèi)核，具有快捷連接接口挖掘引擎，并且使得缺乏主動(dòng)式的自我防御網(wǎng)絡(luò)環(huán)境下的網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)具有較強(qiáng)的易操作性。

1.3? 電源管理芯片

在網(wǎng)絡(luò)非法入侵檢測(cè)系統(tǒng)設(shè)計(jì)過(guò)程中，由于系統(tǒng)各模塊工作電壓場(chǎng)效應(yīng)不一樣，因此也需要設(shè)計(jì)安裝一枚電源管理芯片，滿足輸出不同電壓的要求。本文選用TP-352型號(hào)的集成穩(wěn)壓器，由于其采用全銅涂層，具有低電能損耗值等優(yōu)點(diǎn)，可以提供12～220V的變壓區(qū)間，符合本文應(yīng)用的芯片工作要求。排列方式有PNP和NPN兩種，具有變壓作用的工作簡(jiǎn)化電路如圖2所示。

如電路圖2所示，電源管理芯片選用了符合歐盟RoHS標(biāo)準(zhǔn)的，型號(hào)為2N3055的三極管，選擇2個(gè)電阻并聯(lián)，約400Ω。輸入端、輸出端可以給一些需要高電壓、小電流的的電路供電，接地端保證了電路系統(tǒng)的安全。

2? 網(wǎng)絡(luò)實(shí)時(shí)入侵檢測(cè)系統(tǒng)軟件設(shè)計(jì)

入侵檢測(cè)系統(tǒng)軟件架構(gòu)如圖3所示?？芍顬殛P(guān)鍵的模塊為特征選擇和入侵檢測(cè)，本文提出的優(yōu)化算法兼顧兩者的工作效果。

2.1? 特征選擇模塊算法流程

Vor+rsion=10

DMSKStMSKS = Y（B）Vuln

Vor+ndor=BOCO

“BOCO-1999"}"loudong"}3} /shortdor+sc/}/fulldor+sc/}/solution/}/Windows2000sor+r

vor+r//Soloris8/}/CVOR+1999/，/CMSKSN1999/} 1，2}3，4

BOC000/}/loudong/}3}

........f=sMSKS#

fsMSfs ;lkMSKSjf ;MSs，.fMSKSdsf

fMSsfjk ;kMSKSjfdMSj#

y′k（t）

solution，

f=MSKSfMSKSs

Windows2000Sor+rvor+r

Windows2003Sor+rvor+r

Nerble1999

C3）入侵檢測(cè)漏洞掃描的XML， 定義源數(shù)據(jù)

分類1

分類1

2.2? 入侵檢測(cè)模塊算法流程

1） L 11=FAXIAN-fror+quor+nts-l- itor+msor+ tmor+nt（D）;//尋找發(fā)現(xiàn)決策樹(shù)1一項(xiàng)集

2） Du i yu （k=2 ;? Lk-1 }? }? ; k--）{//控制目標(biāo)協(xié)議

3） Cks=apriori-gor+nts（lk-1，? min-sum）;//根據(jù)頻繁（k-1）一項(xiàng)集產(chǎn)生k-項(xiàng)集合

4） Duiyu Mor+iyigor+ t OR+? D ;? //對(duì)目標(biāo)Websell進(jìn)行轉(zhuǎn)義攔截

5） Cts=subsor+ts （Ck， lauguage） ;//得到Cts所包含的安全分配權(quán)限

6） sdsdms + Ctc.count++;

7） }Umm urbandor+cay 初始化二進(jìn)制粒子群

8） Lk={ smanber+ Ct} c. count lang}min_ sup} ;//遍歷整個(gè)lang命令，找到漏洞原因

9） fa55weiweihui L=Uk association //

中斷屏蔽攻擊程序的抗檢測(cè)程序：

1） D3diy3d Mor+m3dwet+ L1 OR+? Lk-1

2） D3diy3d Mor+m3dwet+d3dror+s has_ infror + L2 OR+? Lk-1

3） if（}Ll [1]=12 [l}…i FALSOR+; （L1 [k-2]=L2 [k-2]）八（L1 [k一1]

4） c= L 1 O L 2; //將兩個(gè)決策樹(shù)項(xiàng)集進(jìn)行連接

5） if has- infror+q3dor+nt itor+msor+t（c， Lk-1）

6） suround3d c;? //刪除不可能產(chǎn)生誤差的可疑入侵節(jié)點(diǎn)候選

7） or+lsor+ Ck=Ck U a {c};

8） +quor+nt subsor+t （c， Lk-1）

9） end

3? 檢測(cè)系統(tǒng)對(duì)比實(shí)驗(yàn)

在網(wǎng)絡(luò)環(huán)境下搭建非法入侵檢測(cè)實(shí)驗(yàn)平臺(tái)。實(shí)驗(yàn)以包含四種數(shù)據(jù)類型的ORM99標(biāo)準(zhǔn)異常數(shù)據(jù)集為對(duì)象，利用本文所提方法與文獻(xiàn)[3]基于遺傳算法的檢測(cè)系統(tǒng)實(shí)行網(wǎng)絡(luò)實(shí)時(shí)入侵檢測(cè)實(shí)驗(yàn)，實(shí)驗(yàn)結(jié)果如表1所示。

表1展示的實(shí)驗(yàn)結(jié)果展示出本文設(shè)計(jì)的網(wǎng)絡(luò)非法入侵檢測(cè)系統(tǒng)在大數(shù)據(jù)環(huán)境下檢測(cè)效率較高，漏檢率較低，相比較而言檢測(cè)效果優(yōu)異。綜上所述，本文所提方法的運(yùn)行能耗較低，檢測(cè)速度較快，檢測(cè)效果較好，具有一定的應(yīng)用價(jià)值，表明本文的研究成果具有實(shí)用性。

4? 結(jié)? 論

本文采用的算法主要是特征選擇，不改變檢測(cè)內(nèi)容的特征屬性，這適用于數(shù)據(jù)具有較鮮明特征的檢測(cè)情景，檢測(cè)效果較好，但是在處理模糊單一特征的例如經(jīng)典數(shù)據(jù)集方面稍遜色一些。因此在下一步工作中，要選擇更加精準(zhǔn)的特征提取方法設(shè)計(jì)網(wǎng)絡(luò)實(shí)時(shí)入侵檢測(cè)系統(tǒng)，保障網(wǎng)絡(luò)系統(tǒng)和信息傳輸安全。

參考文獻(xiàn)：

[1] 戴遠(yuǎn)飛，陳星，陳宏，等.基于特征選擇的網(wǎng)絡(luò)入侵檢測(cè)方法 [J].計(jì)算機(jī)應(yīng)用研究，2017，34（8）：2429-2433.

[2] 徐慧，劉翔，方策，等.一種基于可拓距的特征變換方法及其在網(wǎng)絡(luò)入侵檢測(cè)中的應(yīng)用 [J].河南師范大學(xué)學(xué)報(bào)（自然科學(xué)版），2017，45（5）：101-107.

[3] 睢丹，黃永燦.基于改進(jìn)遺傳算法的網(wǎng)絡(luò)入侵檢測(cè) [J].數(shù)字技術(shù)與應(yīng)用，2016（4）：191-192.

[4] 安尼瓦爾·加馬力，亞森·艾則孜，木尼拉·塔里甫.基于連接數(shù)據(jù)分析和OSELM分類器的網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng) [J].計(jì)算機(jī)應(yīng)用研究，2017，34（12）：3749-3752.

作者簡(jiǎn)介：鄧興華（1982-），男，漢族，河南商丘人，講師，本科，研究方向：網(wǎng)絡(luò)技術(shù)，電子商務(wù)。