TCP/IP數(shù)據(jù)包匹配技術(shù)在企業(yè)黑客入侵檢測中的應(yīng)用

張 靜，蘇蓓蓓，黃星杰，尚智婕，趙金夢

（國家電網(wǎng)有限公司信息通信分公司，北京 100000）

0 引言

如今，互聯(lián)網(wǎng)的應(yīng)用愈加廣泛，為各個(gè)企業(yè)注入了新的血液，但隨著網(wǎng)絡(luò)技術(shù)的普及，網(wǎng)絡(luò)信息遭到惡意攻擊的事件越來越多，因內(nèi)部網(wǎng)絡(luò)遭到惡意入侵而出現(xiàn)重大損失的企業(yè)越來越多，一時(shí)間人心惶惶[1]。針對這一現(xiàn)狀，我國成立了互聯(lián)網(wǎng)研究小組，就相關(guān)黑客入侵事件進(jìn)行研究，為了降低網(wǎng)絡(luò)安全風(fēng)險(xiǎn)，研究人員研究開發(fā)了多種防御工具，比如防火墻、文件加密、軟件查殺等，在應(yīng)對網(wǎng)絡(luò)入侵時(shí)均可以起到一定的阻擋作用[2]，但是仍無法完全避免黑客從企業(yè)內(nèi)部入侵的現(xiàn)象，因此針對內(nèi)部入侵檢測的精度亟待加強(qiáng)。近年來，研究人員采用多種研究方法，主要包括神經(jīng)網(wǎng)絡(luò)、數(shù)據(jù)挖掘及關(guān)聯(lián)分析方法，得出網(wǎng)絡(luò)安全與數(shù)據(jù)集的聚類效果有關(guān)[3]。本研究基于TCP/IP數(shù)據(jù)包匹配技術(shù)設(shè)計(jì)一種企業(yè)黑客入侵檢測方法，通過建立檢測模型，提高企業(yè)黑客入侵的檢測次數(shù)，提升檢測精度，為企業(yè)網(wǎng)絡(luò)安全提供了保障。

1 基于TCP/IP數(shù)據(jù)包匹配技術(shù)設(shè)計(jì)企業(yè)黑客入侵檢測方法

1.1 處理企業(yè)黑客入侵檢測初始數(shù)據(jù)

初始數(shù)據(jù)是企業(yè)網(wǎng)絡(luò)運(yùn)行記錄的集合，由于系統(tǒng)在各運(yùn)行階段需要的數(shù)據(jù)不同，所以必須對初始數(shù)據(jù)進(jìn)行處理[4]。首先，在初始數(shù)據(jù)中查找企業(yè)各運(yùn)行階段的信息記錄，包括網(wǎng)絡(luò)連接歷史、文件屬性更改歷史、文件創(chuàng)建歷史等信息，將以上信息進(jìn)行標(biāo)注與記錄，保證初始數(shù)據(jù)的真實(shí)性。其次，通過逐條記錄初始數(shù)據(jù)，將每條記錄通過獨(dú)特的方式排列，并利用MLSI調(diào)試檢測數(shù)據(jù)后，將數(shù)據(jù)發(fā)送給入侵分析器。最后，對收集到的數(shù)據(jù)進(jìn)行調(diào)用，創(chuàng)建一個(gè)數(shù)據(jù)庫。將在數(shù)據(jù)庫收集到的數(shù)據(jù)稱為訓(xùn)練數(shù)據(jù)，訓(xùn)練數(shù)據(jù)質(zhì)量的好壞將直接影響入侵檢測方法的檢測效果。本研究通過網(wǎng)絡(luò)數(shù)據(jù)庫中的存儲行為對數(shù)據(jù)庫信息進(jìn)行補(bǔ)充和更新[5]，并將數(shù)據(jù)集切割成較短的序列，與常規(guī)庫進(jìn)行比較，確保企業(yè)黑客入侵檢測初始數(shù)據(jù)的真實(shí)性和有效性。一般情況下，入侵檢測的初始數(shù)據(jù)來源多樣，可以通過對單一電腦的審計(jì)日志監(jiān)測得到初始數(shù)據(jù)，在此類數(shù)據(jù)來源中，對于網(wǎng)絡(luò)是否存在黑客入侵行為的檢測較為散漫，容易出現(xiàn)漏掉攻擊行為的情況，并且對電腦內(nèi)部的病毒識別效果較差，影響主機(jī)運(yùn)行的安全性。本研究在處理企業(yè)黑客入侵檢測初始數(shù)據(jù)時(shí)，首先排除以上數(shù)據(jù)來源，然后對數(shù)據(jù)進(jìn)行集中化管理，在網(wǎng)絡(luò)信息流中對數(shù)據(jù)進(jìn)行分解與重組，保證得到更好的檢測效果，并且與24 h不間斷運(yùn)行的數(shù)據(jù)監(jiān)控中心連接，最大限度地保證初始數(shù)據(jù)的安全性。

1.2 基于TCP/IP數(shù)據(jù)包匹配技術(shù)構(gòu)建企業(yè)黑客入侵檢測模型

對初始數(shù)據(jù)處理后，進(jìn)一步提取網(wǎng)絡(luò)信息的關(guān)鍵性特征，與已知漏洞相匹配，如果與存儲在功能數(shù)據(jù)庫中的入侵記錄相匹配，則利用攻擊行為的狀態(tài)查找潛在的攻擊痕跡[6]。本研究設(shè)計(jì)方法的工作原理類似于使用病毒庫進(jìn)行病毒掃描，因此數(shù)據(jù)庫必須時(shí)常維護(hù)、不斷更新，目前的入侵檢測方法對已知的網(wǎng)絡(luò)攻擊表現(xiàn)良好，但無法準(zhǔn)確識別新的網(wǎng)絡(luò)攻擊，因此攻擊力不強(qiáng)[7]。

本研究設(shè)計(jì)的方法是利用TCP/IP數(shù)據(jù)包匹配技術(shù)勾勒出網(wǎng)絡(luò)上的正常行為，然后根據(jù)設(shè)定的閾值描述正常行為信息的狀態(tài)，如果在匹配時(shí)，潛在行為與既定的范圍有很大的偏差，就會被認(rèn)為是一種侵入的行為?；赥CP/IP數(shù)據(jù)包匹配技術(shù)的入侵模型如圖1所示。

圖1 入侵檢測模型

從圖1中可以看出，入侵檢測模型由TCP/IP數(shù)據(jù)包、數(shù)據(jù)信息、數(shù)據(jù)分析器、響應(yīng)單元、數(shù)據(jù)產(chǎn)生器、目標(biāo)等部分組成，因此入侵檢測模型可以最大限度地增強(qiáng)入侵檢測效果[8]。

1.3 計(jì)算入侵檢測模型的相異性度量

上述過程完成了企業(yè)黑客入侵檢測模型的設(shè)計(jì)，為了進(jìn)一步提高檢測的有效性，進(jìn)行入侵檢測模型相異性的度量。通過TCP/IP數(shù)據(jù)包匹配技術(shù)構(gòu)建的模型，利用FCM算法，尤其適用于大規(guī)模數(shù)據(jù)集的入侵模型。在實(shí)際應(yīng)用中，各種功能的重要程度差異很大[9]，為了達(dá)到更好的聚類效果，TCP/IP數(shù)據(jù)包匹配技術(shù)可以避免企業(yè)相關(guān)數(shù)據(jù)受到噪聲和異常值的影響，使聚類中心結(jié)果與預(yù)期結(jié)果之間的差異縮小。由于聚類中心結(jié)果是根據(jù)每個(gè)數(shù)據(jù)的相異性度量劃分的，所以當(dāng)相異性度量越小，相似數(shù)據(jù)聚類的可能性就越大，入侵檢測效果就越好。假設(shè)數(shù)據(jù)集S=[x1，x2，xn]，每個(gè)數(shù)據(jù)的維度為q，得到的相異性度量如下：

公式（1）中，i、j、k均表示入侵檢測數(shù)據(jù)；q為每個(gè)數(shù)據(jù)的維度；d（xi，xj）表示相異性度量函數(shù)，此外在相異性度量公式中，1＜i＜n，1＜j＜n，函數(shù)d（xi，xj）需要滿足非負(fù)性、對稱性的基本性質(zhì)，即d（xi，xj）＞0；d（xi，xj）＜d（xi，xk）+d（xk，xj）。通過對異常入侵檢測數(shù)據(jù)的相異性度量計(jì)算，在一定程度可以保證入侵?jǐn)?shù)據(jù)的完整性。也就是說，通過調(diào)用異常的度量與數(shù)據(jù)k的大小，可以直接影響檢測結(jié)果。

1.4 實(shí)現(xiàn)企業(yè)黑客入侵檢測

為了實(shí)現(xiàn)企業(yè)黑客入侵檢測，本研究使用TCP/IP數(shù)據(jù)包匹配技術(shù)，首先處理企業(yè)黑客入侵檢測初始數(shù)據(jù)；其次構(gòu)建企業(yè)黑客入侵檢測模型；最后計(jì)算入侵檢測模型的相異性度量。通過該研究思路，可以保證企業(yè)黑客入侵檢測效果，更加完整地提取每次黑客入侵的檢測次數(shù)，并根據(jù)每次入侵程度改進(jìn)防治方案。就目前的數(shù)據(jù)傳輸?shù)那闆r來看，數(shù)據(jù)傳輸過程中存在SQL語句結(jié)構(gòu)固定的問題，因此只需要使用客戶端給輸出的數(shù)據(jù)信息即可識別黑客入侵，保證檢測精度。由于SQL語句順序存在固定模式，因此必須按照固定順序進(jìn)行檢測，如果出現(xiàn)其他的順序，將會直接影響黑客入侵檢測效果[10]。為此，本研究使用TCP/IP數(shù)據(jù)包匹配技術(shù)，摒棄SQL語句結(jié)構(gòu)的固定模式，在檢測的最初步驟中設(shè)計(jì)一個(gè)功能數(shù)據(jù)庫，因此僅需對比數(shù)據(jù)庫存儲的數(shù)據(jù)信息就能找到黑客信息。并且，為了避免新型黑客的出現(xiàn)，本研究設(shè)計(jì)的模型不僅要對比功能數(shù)據(jù)庫中的數(shù)據(jù)信息，還會對每一個(gè)入侵企業(yè)賬戶的賬戶來源進(jìn)行分析，以此最大限度地保證入侵檢測的效果。

2 仿真實(shí)驗(yàn)

上述過程從理論層面完成了企業(yè)入侵黑客入侵檢測，為了驗(yàn)證本研究設(shè)計(jì)的入侵方法是否具有可行性，進(jìn)行企業(yè)黑客入侵檢測性能的仿真驗(yàn)證。本研究利用UCI數(shù)據(jù)庫對設(shè)計(jì)的入侵方法進(jìn)行仿真實(shí)驗(yàn)。此數(shù)據(jù)庫中共含有499個(gè)數(shù)據(jù)集，并且在實(shí)驗(yàn)過程中數(shù)據(jù)集仍在持續(xù)增長。在UCI數(shù)據(jù)庫中選擇wine數(shù)據(jù)集，此數(shù)據(jù)集是由180個(gè)數(shù)據(jù)組成，每個(gè)數(shù)據(jù)的類別由4個(gè)特征決定，可以通過TCP/IP數(shù)據(jù)包匹配技術(shù)得出聚類結(jié)果，以得到真實(shí)有效的黑客入侵檢測結(jié)果。

2.1 實(shí)驗(yàn)過程

根據(jù)本次實(shí)驗(yàn)選定的wine數(shù)據(jù)集，處理其中180個(gè)數(shù)據(jù)，識別并刪除數(shù)據(jù)噪聲，將數(shù)據(jù)進(jìn)行歸一化處理，公式如下：

公式（2）中，b為TCP/IP數(shù)據(jù)包的聚類結(jié)果，由此計(jì)算出初始聚類中心結(jié)果（見表1）。

表1 初始聚類中心結(jié)果

表1中的數(shù)據(jù)為初始聚類中心結(jié)果，此結(jié)果通過wine數(shù)據(jù)集中的4個(gè)特征顯現(xiàn)出來，不同特征重要度利用初始聚類中心自動(dòng)生成，4種特征的重要程度見表2。

表2 4種特征的重要程度

表2中，4種特征的重要程度均不相同，其中petal width最重要；petal length次之；sepal width排最后，將此4種特征檢測企業(yè)黑客入侵結(jié)果用圖的形式表現(xiàn)出來（如圖2所示）。

圖2 4種特征檢測企業(yè)黑客入侵結(jié)果

圖2為4種特征檢測企業(yè)黑客入侵結(jié)果，從圖2中可以看出，在4種特征中，petal length特征的重要程度最高，因此其檢測到的黑客入侵次數(shù)較多；sepal width特征的重要程度較低，因此其檢測到的黑客入侵次數(shù)較少。

以上述4種特征檢測結(jié)果為基礎(chǔ)，對黑客入侵檢測效果進(jìn)行驗(yàn)證，并為了突出本研究方法的檢測性能，將本研究方法與傳統(tǒng)方法進(jìn)行對比驗(yàn)證。

2.2 實(shí)驗(yàn)結(jié)果

通過以上的實(shí)驗(yàn)過程，在相同條件下，將傳統(tǒng)企業(yè)黑客入侵檢測方法與本研究設(shè)計(jì)的入侵檢測方法對比，觀察兩種方法在一年內(nèi)檢測到的入侵次數(shù)，結(jié)果見表3。

表3 檢測到的入侵次數(shù)

從表3的數(shù)據(jù)可知，在實(shí)際入侵次數(shù)相同的條件下，傳統(tǒng)企業(yè)黑客入侵檢測方法檢測到的入侵次數(shù)，與實(shí)際入侵次數(shù)相差3～10次，檢測效果較差；而本研究設(shè)計(jì)的入侵檢測方法檢測到的入侵次數(shù)與實(shí)際入侵次數(shù)相差0～1次，檢測效果較好。

3 結(jié)語

近年來，網(wǎng)絡(luò)技術(shù)與信息化技術(shù)融合發(fā)展為企業(yè)帶來日新月異的變化，但是網(wǎng)絡(luò)的安全性并不高，安全漏洞較大，對企業(yè)的重要數(shù)據(jù)的保護(hù)效果較差，長此以往，將會對企業(yè)的發(fā)展造成毀滅性打擊。本研究基于TCP/IP數(shù)據(jù)包匹配技術(shù)設(shè)計(jì)企業(yè)黑客入侵檢測方法，從理論與實(shí)驗(yàn)兩個(gè)方面對本研究方法的檢測性能進(jìn)行驗(yàn)證，旨在提高企業(yè)黑客入侵檢測效果，增強(qiáng)網(wǎng)絡(luò)信息的安全防御性。