基于人工神經(jīng)網(wǎng)絡的企業(yè)黑客入侵防護系統(tǒng)設計

趙金夢，張靜，蘇蓓蓓，劉欣渝，尚智婕

（國家電網(wǎng)有限公司 信息通信分公司，北京，100000）

0 引言

隨著無線局域網(wǎng)發(fā)展越來越快，產(chǎn)生了許多網(wǎng)絡安全問題，IEEE 802.11協(xié)議存在固有漏洞，產(chǎn)生了許多網(wǎng)絡安全問題[1]。在企業(yè)中，網(wǎng)絡安全問題關系著企業(yè)的機密，也決定企業(yè)的發(fā)展，因此設計企業(yè)黑客入侵防護系統(tǒng)對企業(yè)發(fā)展來說非常重要[2]。目前，黑客可以通過多種方法入侵企業(yè)網(wǎng)絡，竊取企業(yè)內(nèi)部機密，例如無線電干擾等入侵，可導致企業(yè)網(wǎng)絡癱瘓，甚至無法使用。人工神經(jīng)網(wǎng)絡可以使用BP算法快速識別黑客入侵信息，及時進行防護，因此，基于人工神經(jīng)網(wǎng)絡設計了企業(yè)黑客入侵防護系統(tǒng)。

1 硬件設計

1.1 X8AT數(shù)據(jù)采集器

企業(yè)的網(wǎng)絡中可能有來自不同廠商的多種安全信息，因此，每個網(wǎng)絡安全設備都有自己的數(shù)字終端，可以生成各種事件信息，包括日志和警報信息[3]。因此，在設計企業(yè)的黑客入侵防護系統(tǒng)時，需要選取一個能夠有效整合來自各種網(wǎng)絡的信息數(shù)據(jù)采集器。因此本文選取X8AT作為本文設計系統(tǒng)的核心數(shù)據(jù)采集器，X8AT核心數(shù)據(jù)采集器不僅可以從網(wǎng)絡的各個部分收集安全事件信息，也可以對采集到的異構網(wǎng)絡安全事件進行歸一化，對各個設備發(fā)送的重復信息進行聚合過濾，合成一個綜合信息，其分辨率較高，具有高速轉運性能，可高速處理各種各樣的任務指令，該數(shù)據(jù)采集器的參數(shù)如表1所示。

表1 X8AT數(shù)據(jù)采集器參數(shù)

由表1可知，該數(shù)據(jù)采集器的相關參數(shù)符合本文設計的入侵防護系統(tǒng)的需求，但由于網(wǎng)絡安全事件管理和分析的完整實現(xiàn)必須依賴于安全的數(shù)據(jù)交互。因此，在應用數(shù)據(jù)采集器時，需要將采集的數(shù)據(jù)轉換為CIDF標準格式，便于進行數(shù)據(jù)加密。

1.2 Portocol協(xié)議解析器

協(xié)議解析器可以監(jiān)控和接收來自網(wǎng)絡上各種協(xié)議的安全事件，并進行綜合分析和處理[4]。因此其支持協(xié)議資源配置，可以使用初始化配置文件處理來自人工人精網(wǎng)絡的入侵事件，為了提高入侵防護系統(tǒng)的防護等級，協(xié)議解析器可以統(tǒng)一將事件規(guī)范化，將規(guī)范化后的事件發(fā)送到過濾模塊，再由過濾模塊根據(jù)預定義策略過濾安全事件或用合并標志標記重復發(fā)生的事件，來將多個安全事件合理化，提高檢測精度。

本文選取Portocol協(xié)議解析器作為入侵防護系統(tǒng)的核心解析器，該解析器支持長度為7的報文，內(nèi)部包括若干個功能碼，因此其能在超過8個數(shù)據(jù)域應用，當來自人工神經(jīng)網(wǎng)絡的企業(yè)黑客入侵數(shù)據(jù)傳入后，該協(xié)議解析器可以立即使用快速處理鍵修改不必要的配置文件，輸入合理的解析協(xié)議進行解析，解析后的文件再傳輸?shù)饺肭謾z測通道完成基礎檢測，最大程度上提高了入侵防護系統(tǒng)的防護安全性。在解析過程中，還需要使用File檢查解析格式的正確性，確保解析的入侵內(nèi)容符合檢測通道的檢測要求。

1.3 TCP過濾端口

為了保證企業(yè)黑客入侵防護系統(tǒng)的防護穩(wěn)定性和檢測靈敏性，本文在該系統(tǒng)內(nèi)部添加了TCP過濾端口，通過該端口的數(shù)據(jù)可以被端口內(nèi)部設置的數(shù)據(jù)管理模塊有效識別處理，再結合端口內(nèi)部邏輯進行數(shù)據(jù)過濾。為了保證系統(tǒng)的入侵防護效果，本文設計的過濾接口添加了有效的IP處理包，即數(shù)據(jù)輸入后可以根據(jù)數(shù)據(jù)地址和數(shù)據(jù)傳輸需求設置TCP過濾端口內(nèi)部的過濾因子，經(jīng)源IP地址傳輸?shù)侥康腎P地址，再輸入源TCP/UDP端口從而實現(xiàn)目的TCP/UDP端口的轉化。

在實際黑客入侵時，可能存在數(shù)據(jù)包長度過高導致的檢測異常問題，此時可以使用該TCP過濾端口內(nèi)部的TCP/IP網(wǎng)絡將輸入系統(tǒng)中的數(shù)據(jù)包進行分割，檢查發(fā)送IP和接收IP地址，完成入侵過濾，實現(xiàn)高效入侵防護檢測。

2 軟件設計

2.1 設計入侵防護控制中心

控制中心通過監(jiān)控代理和無線AP實現(xiàn)入侵檢測與防護。由于無線AP要提供接入服務，如果需要大量時間進行入侵檢測和防護，勢必會影響接入性能。因此，無線AP的入侵檢測和防護只能在正常無線連接的情況下檢測并響應黑客入侵。

與無線AP相比，監(jiān)控代理需要做更多的工作，才能實現(xiàn)入侵檢測與防護。監(jiān)控代理必須不斷地切換工作通道，如果在特定通道上工作，必須檢測該通道的特定入侵行為，并做出適當?shù)捻憫拍軐崿F(xiàn)入侵檢測?？刂茣r，監(jiān)控代理和無線AP必須分工協(xié)作，才能保護網(wǎng)絡不受侵犯。

控制中心對硬件沒有特殊要求，可以是普通PC，但必須配置網(wǎng)卡，只要能和無線路由器通信就可以上網(wǎng)，控制中心可以部署在任何地方，采用TCP/IP與路由器通信，無線路由器將無線AP檢測到的入侵和違規(guī)行為上報給控制中心，再由控制中心上報最新認證的AP信息，經(jīng)認證的AP 安全行為準則再由控制中心分發(fā)給無線路由器?？刂浦行牡淖饔檬潜O(jiān)控整個WLAN的安全狀態(tài)，并與無線AP和監(jiān)控代理即時通信，收集各個無線AP上報的入侵或異常事件，可以讓管理員及時了解WLAN的安全狀態(tài)，建立相應的安全策略[5]。

控制中心維護WLAN 內(nèi)每個授權AP 的信息。在授權AP的情況下，控制中心需要存儲的信息包括MAC地址、SSID名稱、物理位置等。控制中心還可以維護關鍵Intranet 客戶信息，要實現(xiàn)內(nèi)網(wǎng)客戶端的非法檢測，必須先在控制中心注冊內(nèi)網(wǎng)客戶端?？刂浦行奶峁┝艘环N機制來授權AP行為準則，網(wǎng)絡管理員可以指定WLAN中AP必須遵守的安全標準實現(xiàn)數(shù)據(jù)加密。

2.2 捕獲無線分組

無線數(shù)據(jù)捕獲由監(jiān)控代理和無線AP 完成，監(jiān)控代理需要專用的無線網(wǎng)卡來進行無線通信。再捕獲時，無線AP必須開啟混雜模式，再捕獲初期，需要打開無線網(wǎng)卡對應無線接口的原始socket，得到網(wǎng)卡的原始MAC。監(jiān)控代理還必須捕獲所有可用信道上的無線電數(shù)據(jù)包。因此，為了達到較高的入侵檢測精度，監(jiān)控代理必須擁有足夠的監(jiān)控時間，每100毫秒發(fā)送一個正常的信標幀，如果監(jiān)控時間太短，則檢測不到入侵數(shù)據(jù)。

如果單個通道的監(jiān)控時間過長，入侵檢測延遲會增加，入侵檢測可能會失敗，在發(fā)起攻擊之前，入侵者可能是警覺的，可能存在足夠的時間來破壞網(wǎng)絡。因此，考慮到檢測精度和延遲，對每個通道進行150毫秒地監(jiān)控。無線AP不需要切換信道，在正常的無線接入操作后可以捕獲無線數(shù)據(jù)包。

在無線分組捕獲過程中存在Wire Shark抓包關系，本文設計的系統(tǒng)為了避免該抓包關系造成的入侵防護漏洞進行了抓包捕獲處理，首先打開入侵防護界面，選擇相應的抓包選項，再使用自動捕獲技術進行抓包，此時的數(shù)據(jù)包列表中可以顯示全部被捕獲的入侵數(shù)據(jù)包信息，根據(jù)各個信息的摘要即可進行捕獲分類，降低數(shù)據(jù)包捕獲難度。上述步驟完畢后可以打開cmd接口，找到自己的網(wǎng)關，點擊捕獲分組按鈕，抓取相應的入侵數(shù)據(jù)包，直至ping結束，即可點擊停止按鈕，完成抓取。

將上述抓取到的數(shù)據(jù)包放入TCP中進行分析，輸入TCP源碼，再以相同的方法輸入ICMP源碼，完成ICMP數(shù)據(jù)包識別。為了保證入侵防護系統(tǒng)的防護有效性，本文設計的系統(tǒng)在準備工作初期就完成了sudo的安裝，后續(xù)僅需要點擊捕獲按鈕，抓取相應的入侵數(shù)據(jù)包，即可完成無線分組高效捕獲。

2.3 基于人工神經(jīng)網(wǎng)絡設計入侵防護功能模塊

使用人工神經(jīng)網(wǎng)絡，可以將入侵檢測模塊按照抽象的連接方式連接，并進行合理運算，判斷各個防護節(jié)點之間的入侵防護連接關系，再結合信息處理法進行抽象化處理，建立有效的入侵防護模型，設計入侵防護模塊。流氓AP的存儲方式和操作方式與授權AP相同，流氓AP的BSSID地址具有6個八位字節(jié)。如果流氓AP在系統(tǒng)規(guī)定的時間內(nèi)沒有出現(xiàn)，則將其從鏈接列表中刪除，并在流氓AP的操作模式、信道等信息發(fā)生變化時更新鏈表。流氓AP可以向控制中心發(fā)送告警信息，防止控制中心被告警信息淹沒。

如果接收到的幀被無線AP 捕獲，并且該幀的BSSID 與無線AP 的MAC 地址相同，則代表流氓AP 正在欺騙本地AP的MAC 地址。根據(jù)首次發(fā)現(xiàn)流氓AP的時間，將流氓AP 添加到流氓AP 列表，并進行標記，從而完成入侵防護，基于此，本文設計了幾個不同的入侵防護功能模塊。

首先是入侵防護轉發(fā)模塊，該模塊主要由Linux內(nèi)核進行支撐，且配備了專屬編譯碼，可以根據(jù)系統(tǒng)的安全狀態(tài)完成源碼轉換，配置有效的入侵檢測防護網(wǎng)橋。第二是入侵檢測防護系統(tǒng)的檢測模塊，該模塊可以在IDS基礎上完成入侵檢測，一旦檢測到相關的入侵因子，會立即報警，最大程度上避免黑客入侵，本文設計的檢測模塊內(nèi)部添加了特征匹配、異常檢測等檢測中心，可以最大程度上完成異常檢測，提高入侵檢測效率，保證系統(tǒng)的防護有效性。

響應模塊是本文設計的入侵防護系統(tǒng)的核心，其可以及時分析由檢測模塊傳輸?shù)臋z測數(shù)據(jù)，完成攻擊源碼提取，再結合攻擊特征設置相應參數(shù)，完成入侵告警，該模塊主要以系統(tǒng)日志、Full、UNIX、Tcpdump等輸出方式進行告警輸出，可以實時采取入侵防護行動，控制異常信息，提高入侵防護系統(tǒng)的防護可靠性。

3 系統(tǒng)測試

為了檢測本文設計的企業(yè)黑客入侵防護系統(tǒng)的性能，以及其在正常情況下的入侵檢測防護狀態(tài)，搭建了測試平臺，進行系統(tǒng)測試，如下。

3.1 測試準備

整個測試環(huán)境由兩部分組成，即入侵檢測防護網(wǎng)絡和入侵者。測試環(huán)境中入侵檢測防護網(wǎng)絡包括一個控制中心和兩個無線路由器，測試環(huán)境的結構如圖1所示。

圖1 測試結構

由圖1可知，將演示的入侵檢測類型包括：拒絕服務攻擊、惡意AP、Ad Hoc 網(wǎng)絡、授權AP 和Intranet 客戶端違規(guī)，測試環(huán)境中將要用到的各組件的作用及其相應的參數(shù)如表2所示。

表2 測試環(huán)境參數(shù)

根據(jù)表2的測試環(huán)境參數(shù)，需要在控制中心注冊三個授權AP，此時的參數(shù)比率需要進行預先設定，保證測試環(huán)境的穩(wěn)定性，參數(shù)比率計算的公式如下（1）所示。

公式（1）中，S代表參數(shù)比率，F(xiàn)代表信道系數(shù)，D代表環(huán)境指數(shù)，Q代表參數(shù)初始值，在設計的測試平臺輸入計算的參數(shù)比率，即可開始測試。

3.2 測試結果與討論

在上文測試準備搭建的測試條件下，模擬流氓AP對設計的系統(tǒng)進行入侵攻擊，觀察設計系統(tǒng)此時的運行界面，如圖2所示。由圖2可知，設計的入侵檢測系統(tǒng)能成功抵御流氓AP的攻擊，實現(xiàn)入侵防護，接下來檢測設計的企業(yè)黑客入侵檢測系統(tǒng)的綜合性能，測試在不同用戶登入情況下設計系統(tǒng)的登入延時與傳統(tǒng)的入侵防護系統(tǒng)的登入延時，檢測結果如表3所示。

圖2 測試界面

表3 企業(yè)黑客入侵防護系統(tǒng)性能測試

由表3可知，隨著用戶數(shù)量的增加，設計的企業(yè)黑客入侵防護系統(tǒng)的時延未明顯增加，且比傳統(tǒng)的入侵防護系統(tǒng)的時延低，因此設計的基于人工神經(jīng)網(wǎng)絡的企業(yè)黑客入侵防護系統(tǒng)的性能良好，有一定的應用價值。

4 結束語

綜上所述，硬件型入侵檢測成本高，人工神經(jīng)網(wǎng)絡技術在發(fā)展中為入侵防護系統(tǒng)提供了技術支持。為了及時發(fā)現(xiàn)網(wǎng)站安全隱患，需要結合人工神經(jīng)網(wǎng)絡，提高防護性能，因此本文設計了基于人工神經(jīng)網(wǎng)絡的企業(yè)黑客入侵防護系統(tǒng)，經(jīng)過系統(tǒng)測試，結果表明設計的入侵檢測系統(tǒng)性能良好，能成功抵御流氓AP的攻擊，實現(xiàn)入侵防護，有一定的應用價值。