基于大數(shù)據(jù)環(huán)境下網(wǎng)絡非法入侵檢測系統(tǒng)設計

李 鵬，王方媛

（山西工商學院 山西 太原 030000）

0 引言

在大數(shù)據(jù)發(fā)展的過程中，網(wǎng)絡攻擊及數(shù)據(jù)盜取等行為越來越多，這不僅給用戶帶來了嚴重的不良影響，且木馬病毒等也對計算機應用的安全性造成了傷害。針對此情況，相關工作人員要意識到網(wǎng)絡非法入侵檢測系統(tǒng)應用的重要性，且一定要保證系統(tǒng)應用的有效性及科學性。傳統(tǒng)的入侵檢測系統(tǒng)已經(jīng)無法滿足當前時代發(fā)展的需求，因此需要積極利用大數(shù)據(jù)技術手段，完善和優(yōu)化網(wǎng)絡非法入侵檢測系統(tǒng)，進而保證計算機應用的安全性以及可靠性。

針對大數(shù)據(jù)環(huán)境下網(wǎng)絡非法入侵檢測系統(tǒng)的設計問題，提出了一種基于PB 神經(jīng)網(wǎng)絡網(wǎng)絡入侵檢測系統(tǒng)的方法，實驗結果表明，本文所提方法在大數(shù)據(jù)環(huán)境下設計的網(wǎng)絡入侵檢測系統(tǒng)運行資源消耗低，檢測準確度高，為該領域的研究和開發(fā)創(chuàng)造了條件。

1 總體設計

在大數(shù)據(jù)環(huán)境的影響下，對網(wǎng)絡非法入侵檢測系統(tǒng)進行設計的過程中，需要對功能性進行相應的探究和分析。在此基礎上，應對整體網(wǎng)絡非法入侵檢測系統(tǒng)的模塊進行設計，在系統(tǒng)設計上要積極利用大數(shù)據(jù)技術。因此，大數(shù)據(jù)環(huán)境下網(wǎng)絡非法入侵檢測系統(tǒng)，主要由6 個模塊組成：報文捕獲模塊、報文解碼模塊、預處理模塊、協(xié)議分析模塊、檢測引擎模塊及日志報警模塊。

1.1 報文捕獲模塊

報文捕獲模塊主要是通過大數(shù)據(jù)技術采集相應的數(shù)據(jù)信息，進行檢查分析，并判斷是否存在非法入侵行為。報文捕獲模塊是整體網(wǎng)絡非法入侵檢測系統(tǒng)中最為基礎的模塊，也是整體系統(tǒng)工作的起始，因此需要保證報文捕獲模塊運行的有效性，這樣才能保證后續(xù)分析處理模塊運行工作的效率及精準性[1]。報文捕獲模塊主要是對通過網(wǎng)絡接口信息進行全面性的數(shù)據(jù)整合，之后把相應數(shù)據(jù)進行分析與處理，最后把處理后的數(shù)據(jù)傳輸至報文解碼模塊進行下一步的工作。

1.2 報文解碼模塊

1.3 預處理模塊

在實際設計預處理模塊的過程中，可以在可擴展插件體系結構的基礎上進行相應設計，這樣更有利于對數(shù)據(jù)報文進行分析和處理[2]。在實際進行數(shù)據(jù)報文處理的過程中，一般會在文件中選擇預處理插件，這樣既可以幫助提升模塊運行的可靠性，又可以提升系統(tǒng)的可擴展性以及實用性。

1.4 協(xié)議分析模塊

為了可以保證計算機應用的安全性，需要應用網(wǎng)絡非法入侵檢測系統(tǒng)來準確檢測計算機中是否存在非法入侵。為了保證網(wǎng)絡非法入侵檢測系統(tǒng)的有效性，需要設計一個協(xié)議分析模塊，該模塊主要用于傳輸數(shù)據(jù)包。根據(jù)應用層協(xié)議類型分別檢測不同類型的數(shù)據(jù)包，這樣可以在很大程度上提升檢測的精準度及可靠性。

1.5 檢測引擎模塊

在網(wǎng)絡非法入侵檢測系統(tǒng)的6 項模塊之中，最為重要的就是檢測引擎模塊，該模塊直接影響了網(wǎng)絡非法入侵檢測系統(tǒng)的性能情況。檢測引擎模塊主要負責基于分析算法和數(shù)據(jù)挖掘算法，檢測出惡意入侵數(shù)據(jù)。該模塊發(fā)現(xiàn)惡意入侵網(wǎng)絡數(shù)據(jù)后，就會及時向系統(tǒng)管理員發(fā)出預警提示，另外系統(tǒng)的檢測工具也同時啟動，快速清除惡意入侵的網(wǎng)絡數(shù)據(jù)。在進行設計的過程中，可以根據(jù)實際情況選擇模式匹配方法，檢測引擎模塊處于工作狀態(tài)時，主要包括構造規(guī)則鏈表及特征匹配這2 個步驟。

1.6 日志報警模塊

日志報警模塊設計的主要目的是為了對數(shù)據(jù)信息進行記錄（日志功能）及進行報警（報警功能），這也在系統(tǒng)工作中發(fā)揮出重要的作用，該模塊工作主要是依靠輸出插件，這樣也為用戶的配置提供了便利條件[3]。其中，日志功能的主要作用是對數(shù)據(jù)報文進行相應的記錄，數(shù)據(jù)報文有2 種記錄方式，一是tcpdump 類型的二進制格式，二是可讀文本的形式。而報警功能的主要目的是傳遞報警信息，傳遞目標為日志文件或是數(shù)據(jù)庫。目前主要是利用命令形配置及輸出規(guī)則配置2 種方式進行配置輸出。當網(wǎng)絡非法入侵檢測系統(tǒng)默認發(fā)出報警時，也會在日志中進行信息記錄，從而大幅度節(jié)省文本設計的網(wǎng)絡非法入侵檢測系統(tǒng)資源消耗。

2 硬件設計

大數(shù)據(jù)環(huán)境下，為了實現(xiàn)各模塊的功能性作用，讓網(wǎng)絡非法入侵檢測系統(tǒng)發(fā)揮出最大的價值，需進一步研究和分析該系統(tǒng)的硬件設計工作，進而保證設計的科學性及合理性。如性能指標、采樣芯片、USB 接口控制芯片、現(xiàn)場可編程邏輯門陣列（field programmable gate array，F(xiàn)PGA）、電源管理芯片等硬件，而這也可以在很大程度上保證系統(tǒng)應用的有效性以及質量，提升計算機運行的安全性及可靠性，避免計算機被木馬病毒等破壞，影響整體的生產運行[4]。

2.1 性能指標

需明確各項性能指標，保證性能指標的科學性及合理性，性能指標主要包括5 點內容。系統(tǒng)性能指標見表1，其中對于接口模式的選擇，通常以USB 總線為主。

表1 系統(tǒng)性能指標

2.2 數(shù)據(jù)采樣芯片

對系統(tǒng)的數(shù)據(jù)采樣芯片進行設計，在考慮到系統(tǒng)的實際情況中，本文采用了MAX125 同步數(shù)據(jù)采樣芯片，主要由數(shù)模轉換器及參考輸入緩沖器2 部分組成，其中數(shù)模轉換器的參數(shù)為3 s、14 位分辨率。數(shù)據(jù)采樣芯片在工作中，電壓要求為2.5 V，MAX125 同步數(shù)據(jù)采樣芯片工作電路示意圖如圖1所示。

十九大報告提出，實施鄉(xiāng)村振興戰(zhàn)略，培養(yǎng)造就一支懂農業(yè)、愛農村、愛農民的“三農”工作隊伍[6]。2014年底習近平總書記視察江蘇時，要求江蘇加快建設現(xiàn)代農業(yè)，并突出強調要加快建設一支有文化、懂技術、會經(jīng)營的新型職業(yè)農民隊伍；2016年中央一號文件首次提出“職業(yè)農民的定向培養(yǎng)”這一重大命題[1]。

圖1 MAX125 同步數(shù)據(jù)采樣芯片工作電路示意圖

由圖1可知，MAX125 同步數(shù)據(jù)采樣芯片在工作中存在9 種工作模式，其中包含8 種省電模式，1 種節(jié)電模式，該芯片主要是通過指令輸入及數(shù)據(jù)輸出靈通三態(tài)門實現(xiàn)。當轉換程序開始投入至工作狀態(tài)時，數(shù)據(jù)轉換器在進行轉換工作的過程中，會嚴格遵守已經(jīng)完成設置的轉化換方式，保證芯片規(guī)范化以及有序性[5]。

2.3 USB 接口控制芯片的選擇

USB 協(xié)議具有較高的復雜性，這對USB 接口也提出了更高的要求，這樣才能保證整體系統(tǒng)運行的良好性，因此USB 接口應具有較強的智能性，才能更好地發(fā)揮出作用和價值。可以對控制芯片進行相應的指導，幫助其進行非法行為的檢查，當USB 接口發(fā)生問題時可以及時做出反應，由此可見設備智能性的重要性。在實際選擇USB 接口控制芯片的過程中，除了需要考慮到網(wǎng)絡非法入侵檢測系統(tǒng)的整體性能情況，還需要考慮到USB 接口控制芯片的成本及系統(tǒng)開發(fā)的實際情況等因素，這樣才能保證選擇的合理性。提升USB 接口控制芯片的有效性，還可以提升了整體的工作質量及工作效率[6]。因此，可以選擇智能型USB 接口的EZ-USB FX2USB2.0 控制芯片，此控制芯片的內核相對來說更為強大。另外，設置智能串行接口引擎，可在很大程度上提升網(wǎng)絡非法入侵檢測系統(tǒng)的可擴展性，也為開發(fā)設計提供了更為便利的條件及技術支持。

2.4 FPGA

在進行FPGA 設計的過程中，需要考慮的因素較多，其中較為重要的就是FPGA 的芯片，可以選擇使用Alterations Cyclone Ⅱ芯片，主要是因為K 值較低且具備全銅層，這也是被使用的優(yōu)勢和亮點，且此芯片可以滿足設計的相關要求。Alterations Cyclone Ⅱ芯片與USB接口控制芯片進行連接，在連接的過程中需要嚴格遵守相關的設計要求，按照相應的圖紙進行鏈接，這樣可以在很大程度上保證了網(wǎng)絡非法入侵檢測系統(tǒng)運行的穩(wěn)定性，也保證了整體運行工作的持續(xù)性[7]。

2.5 電源管理芯片

對于芯片來說，運行工作所要求的電壓與網(wǎng)絡非法入侵檢測系統(tǒng)運行工作的電壓存在一定的差異性，針對此情況，為了芯片運行電壓符合要求，需要在系統(tǒng)的硬件之中設計電源管理芯片，滿足芯片的電壓要求，進而保持運行工作的穩(wěn)定性[8]。對于此，可以選擇使用7805集成穩(wěn)定器，這是一種三端器件，分別是輸入端、輸出端及接地端，可以保證后期工作的長期穩(wěn)定運行。

3 軟件設計

為了明確網(wǎng)絡結構的具體情況，對大數(shù)據(jù)環(huán)境下網(wǎng)絡非法入侵檢測系統(tǒng)模塊進行設計，系統(tǒng)的實現(xiàn)需將其分為多模塊，系統(tǒng)框架如圖2所示。利用BP 神經(jīng)網(wǎng)絡學習算法，結合使用遺傳算法，學習BP 神經(jīng)網(wǎng)絡的網(wǎng)絡權值，將學習結構作為非法入侵的特征。在此過程中需要利用到BP 神經(jīng)網(wǎng)絡的非線性以及學習能力[9]，具體過程如下。

圖2 系統(tǒng)框架

（1）首先，在大數(shù)據(jù)環(huán)境的影響下，需要對計算機運行中的非法入侵行為進行分析研究，掌握基本特征和特點，并以此為基礎對賦予權值；然后，需要對非法入侵行為進行編碼，在實際進行編碼工作的過程中主要是依靠二進制編碼方式，其公式可表示為

式中：yk（t）為網(wǎng)絡數(shù)據(jù)的實際輸出；y′k（t）為網(wǎng)絡數(shù)據(jù)的期望輸出；k為捕獲數(shù)據(jù)的數(shù)量。

（2）對于目標函數(shù)最大值的設定，一般是選擇網(wǎng)絡入侵的檢測問題作為設定，利用遺傳算法的相關公式計算適應度函數(shù)。

（3）利用BP 神經(jīng)網(wǎng)絡對網(wǎng)絡非法入侵特征的權值按照特點進行分類，并進行數(shù)據(jù)報文的提取。

（4）對于權值構成方面，可以選擇全體基因，這樣可以在很大程度上保證檢測的精準度，并對選擇的基因群體進行遺傳操作，最終完成網(wǎng)絡非法入侵檢測系統(tǒng)的軟件設計[10]。

4 相關實驗及結果與分析

通過實驗驗證，基于PB 神經(jīng)網(wǎng)絡的大數(shù)據(jù)環(huán)境下網(wǎng)絡非法入侵檢測系統(tǒng)設計方法的可行性。構建網(wǎng)絡環(huán)境下的非法入侵檢測實驗平臺，實驗對象為網(wǎng)絡中的大數(shù)據(jù)，通過網(wǎng)絡入侵檢測進行了實驗研究中應用本文所提方法，來證實該設計的數(shù)據(jù)環(huán)境下網(wǎng)絡入侵檢測系統(tǒng)的整體有效性[11]。

4.1 參數(shù)來源

利用TPS75533 型PMOS 裝置采集電流變化值，并利用Cyclone Ⅱ器件提高系統(tǒng)運行速度，最后對7 805 對系統(tǒng)各芯片電壓進行控制。實驗使用由麻省理工學院林肯實驗室提供的KDD Cup 數(shù)據(jù)集，該數(shù)據(jù)包含4 種數(shù)據(jù)類型，對比方法中，使用大數(shù)據(jù)環(huán)境下的網(wǎng)絡入侵檢測系統(tǒng)，將本文所提與其他2 種方法相比較，從而完成了實驗。

4.2 過程分析

對3 種方法的網(wǎng)絡入侵檢測系統(tǒng)進行了比較，計算公式可表示為

式中：Q為網(wǎng)絡非法入侵檢測系統(tǒng)的運行能耗，J；R為網(wǎng)絡非法入侵檢測系統(tǒng)，Ω；t為網(wǎng)絡非法入侵檢測系統(tǒng)的操作時間，h。經(jīng)過計算，分析出3 種方法的網(wǎng)絡入侵檢測系統(tǒng)在大數(shù)據(jù)環(huán)境中的能耗對比。為了使系統(tǒng)模塊簡明合理，達到降低能耗的目的，這就要針對非法入侵檢測系統(tǒng)的功能進行系統(tǒng)的分析。對3 種方法的網(wǎng)絡入侵檢測系統(tǒng)在大數(shù)據(jù)環(huán)境中的檢測效果進行了實驗對比，本文中將檢測效果體現(xiàn)為檢測率、漏檢率及誤檢率，具體計算方式可表示為：

4.3 結果與分析

入侵檢測結果對比見表2，可見，本文所提方法在大數(shù)據(jù)環(huán)境下進行網(wǎng)絡入侵檢測，具有較高的檢測率，且漏檢率和誤檢率較低。因此，本文所提方法運行能耗低、檢測速度快、檢測效果好，具有很強的實用價值。

表2 入侵檢測結果對比

5 結語

綜上所述，計算機在工作的過程中會被木馬病毒等影響，進而對計算機的安全性造成影響，目前人們加深對網(wǎng)絡非法入侵檢測系統(tǒng)設計的研究與分析。設計人員在實際進行設計的過程中，首先需要設計整體的框架，然后設計系統(tǒng)的硬件以及軟件，這樣才能保證網(wǎng)絡非法入侵檢測系統(tǒng)運行的穩(wěn)定性，進而保證計算機網(wǎng)絡的安全性以及可靠性。