劉亞男

（安徽工商職業(yè)學(xué)院，安徽 合肥 231131）

0 引言

大部分政府單位、個人、企業(yè)等致力于加速網(wǎng)絡(luò)互聯(lián)進程，以此實現(xiàn)數(shù)據(jù)的共享與應(yīng)用［1］。網(wǎng)絡(luò)的普及推動了國家的進步與發(fā)展，也提高了社會信息的傳輸效率，但與此同時也帶來了一定的問題，其中網(wǎng)絡(luò)安全問題尤為突出，具有預(yù)防困難、動態(tài)性強等特點，成為了網(wǎng)絡(luò)發(fā)展道路上亟待解決的問題［2］。

隨著網(wǎng)絡(luò)應(yīng)用范圍的擴大，網(wǎng)絡(luò)入侵攻擊類型也在不斷增加，逐漸向著大規(guī)模、自動化、強傷害性方向發(fā)展。為了滿足用戶對網(wǎng)絡(luò)安全的需求，防火墻、殺毒軟件等多種安全措施被推出，但是上述安全措施無法保障大范圍網(wǎng)絡(luò)的安全［3］。在網(wǎng)絡(luò)應(yīng)用過程中，網(wǎng)絡(luò)用戶想要通過以往的狀況數(shù)據(jù)，預(yù)測未來可能要發(fā)生的網(wǎng)絡(luò)攻擊現(xiàn)象，識別攻擊者的意圖，并對其進行實時預(yù)警的網(wǎng)絡(luò)安全預(yù)警技術(shù)逐漸成為現(xiàn)階段網(wǎng)絡(luò)發(fā)展領(lǐng)域重點研究課題之一。

安全預(yù)警是一種主動性的防護技術(shù)，能夠有效補充防火墻等安全措施，即可以在網(wǎng)絡(luò)入侵攻擊前檢測到攻擊意圖，并實時預(yù)警，啟動相應(yīng)的防御機制。在入侵攻擊過程中或者完成后，安全預(yù)警也會起到一定的作用，例如降低入侵攻擊破壞性，收集入侵攻擊信息，豐富防御知識庫，提升系統(tǒng)的防御能力等措施。就已有文獻研究成果可知，現(xiàn)有網(wǎng)絡(luò)安全主動預(yù)警系統(tǒng)由于硬件與軟件的自身局限性，存在著入侵檢測時間過長、誤警率較高的問題，無法滿足用戶對網(wǎng)絡(luò)安全的需求，因此，基于Camshift設(shè)計了網(wǎng)絡(luò)安全主動預(yù)警系統(tǒng)。

1 網(wǎng)絡(luò)安全主動預(yù)警系統(tǒng)硬件設(shè)計

為了改善現(xiàn)有系統(tǒng)存在的問題，應(yīng)用Camshift算法設(shè)計新的網(wǎng)絡(luò)安全主動預(yù)警系統(tǒng)，硬件包括網(wǎng)絡(luò)安全主動預(yù)警體系結(jié)構(gòu)單元、檢測域硬件選取單元與預(yù)警代理單元，具體硬件單元設(shè)計過程如下。

1．1 網(wǎng)絡(luò)安全主動預(yù)警體系結(jié)構(gòu)單元 設(shè)計系統(tǒng)采用分布式結(jié)構(gòu)對網(wǎng)絡(luò)安全進行主動預(yù)警，整體由檢測域、預(yù)警代理、預(yù)警中心等部分構(gòu)成，具體體系結(jié)構(gòu)見圖1。

圖1 網(wǎng)絡(luò)安全主動預(yù)警體系結(jié)構(gòu)示意圖Fig.1 Schematic diagram of network security active early warning system structure

如圖1所示，此研究的網(wǎng)絡(luò)安全主動預(yù)警體系結(jié)構(gòu)中包括預(yù)警代理、路由器、檢測域等結(jié)構(gòu)，由此可知網(wǎng)絡(luò)安全主動預(yù)警體系結(jié)構(gòu)包含多個檢測域，而每個檢測域中還包含多個預(yù)警代理采集與處理整個網(wǎng)絡(luò)的數(shù)據(jù)包，精確檢測網(wǎng)絡(luò)入侵攻擊行為，為網(wǎng)絡(luò)環(huán)境安全提供可靠的保障［4］。

1．2 檢測域硬件選取單元 檢測域主要由多個硬件設(shè)備構(gòu)成，主要包括路由器、服務(wù)器、交換機、主機、防火墻等。為了保障設(shè)計系統(tǒng)的穩(wěn)定運行，由于篇幅的限制，此研究只選取主機的核心處理器（CPU）型號，并對其接線情況進行科學(xué)的設(shè)置［5］。

根據(jù)設(shè)計系統(tǒng)需求，選取英特爾公司生產(chǎn)的32核CPU作為核心處理器，其具備8個處理節(jié)點，每個處理節(jié)點包含4個處理核心，能夠直接利用LLC與l2緩存［6］。核心處理器的接線情況也直接影響著主機以及檢測域功能的發(fā)揮，間接影響設(shè)計系統(tǒng)的應(yīng)用性能［7］。因此，根據(jù)檢測域的設(shè)計需求，設(shè)置核心處理器接線布局情況，具體見圖2。

圖2 核心處理器接線布局示意圖Fig.2 Schematic diagram of core processor wiring layout

1．3 預(yù)警代理單元 預(yù)警代理單元主要負責(zé)網(wǎng)絡(luò)數(shù)據(jù)包的獲取、處理與入侵檢測，為最終預(yù)警信息的生成打下堅實的基礎(chǔ)。預(yù)警代理單元的硬件設(shè)備主要為數(shù)據(jù)采集卡及其A/D轉(zhuǎn)換器［8］。其中，數(shù)據(jù)采集卡主要承擔(dān)著網(wǎng)絡(luò)數(shù)據(jù)包的獲取任務(wù)，其可以通過ISA、以太網(wǎng)等多種形式接入主機［9］。數(shù)據(jù)采集卡結(jié)構(gòu)見圖3。

圖3 數(shù)據(jù)采集卡結(jié)構(gòu)示意圖Fig.3 Schematic diagram of data acquisition card structure

A/D 轉(zhuǎn)換器主要承擔(dān)著網(wǎng)絡(luò)數(shù)據(jù)處理與格式轉(zhuǎn)換的功能，是預(yù)警代理單元的關(guān)鍵硬件裝置之一。A/D轉(zhuǎn)換器原理見圖4。

圖4 A/D轉(zhuǎn)換器原理圖Fig.4 Schematic diagram of A/D converter

如圖4所示，A/D轉(zhuǎn)換器性能由自身的分辨率大小與轉(zhuǎn)換誤差大小決定。其中，分辨率可以通過計算輸出位數(shù)得到，輸出位數(shù)增加，分辨率隨之升高；轉(zhuǎn)換誤差由輸出誤差計算得到。

上述過程完成了硬件單元的選型與設(shè)計，但是仍然無法實現(xiàn)網(wǎng)絡(luò)安全的主動預(yù)警，達不到用戶的安全需求，故設(shè)計系統(tǒng)軟件模塊。

2 網(wǎng)絡(luò)安全主動預(yù)警系統(tǒng)軟件設(shè)計

設(shè)計系統(tǒng)軟件包括網(wǎng)絡(luò)數(shù)據(jù)包獲取與處理模塊、入侵檢測與追蹤模塊與主動預(yù)警信息生成模塊，具體軟件模塊設(shè)計過程如下。

2．1 網(wǎng)絡(luò)數(shù)據(jù)包獲取與處理模塊 網(wǎng)絡(luò)數(shù)據(jù)包獲取與處理是設(shè)計系統(tǒng)的第一步。為了防止數(shù)據(jù)包丟失，在數(shù)據(jù)包獲取過程中，采用Libpcap捕獲函數(shù)通過用戶層捕獲網(wǎng)絡(luò)數(shù)據(jù)包［10］。

將獲取的網(wǎng)絡(luò)數(shù)據(jù)包通過對應(yīng)設(shè)備存儲在數(shù)據(jù)表格中，在此過程中完成數(shù)據(jù)包格式轉(zhuǎn)換、歸類等處理［11］。網(wǎng)絡(luò)數(shù)據(jù)包形式見表1。

表1 網(wǎng)絡(luò)數(shù)據(jù)包形式Tab.1 Network packet form

網(wǎng)絡(luò)數(shù)據(jù)包結(jié)構(gòu)過濾需要設(shè)計系統(tǒng)核心處理器實現(xiàn)，并將過濾后的數(shù)據(jù)包存放在緩沖區(qū)內(nèi)，為數(shù)據(jù)包應(yīng)用打下堅實的基礎(chǔ)［12］。

2．2 入侵檢測與追蹤模塊 以上述處理后的網(wǎng)絡(luò)數(shù)據(jù)包為基礎(chǔ)，基于數(shù)據(jù)挖掘技術(shù)檢測網(wǎng)絡(luò)入侵行為，并利用Camshift算法對入侵個體進行追蹤，保障網(wǎng)絡(luò)的安全性［13］。在網(wǎng)絡(luò)入侵檢測過程中，需要準(zhǔn)備2種規(guī)則庫，分別為正常模式庫與入侵特征庫，通過模式匹配方式對入侵攻擊類型進行判定［14］。規(guī)則庫構(gòu)成見表2。

表2 規(guī)則庫構(gòu)成示意表Tab.2 Schematic diagram of rule base composition

基于特定分類程序構(gòu)造分類器，依據(jù)正常模式庫與入侵特征庫，對網(wǎng)絡(luò)入侵類型進行判定與分類，為下述網(wǎng)絡(luò)入侵跟蹤提供依據(jù)［15］。

Camshift算法可以對網(wǎng)絡(luò)入侵個體進行特定目標(biāo)的跟蹤計算，增加網(wǎng)絡(luò)安全主動預(yù)警系統(tǒng)的自適應(yīng)能力。在網(wǎng)絡(luò)入侵個體跟蹤過程中，首先選取網(wǎng)絡(luò)入侵區(qū)域，采用( x,y )表示；再次提取網(wǎng)絡(luò)入侵個體的目標(biāo)特征，構(gòu)建目標(biāo)特征的反向投影圖，采用H( x,y )表示；最后計算H( x,y )的零階矩與一階矩，以此來確定入侵個體的質(zhì)心［16］。

H( x,y )的零階矩與一階矩計算公式為

式（1）中，M00表示的是零階矩；M10與 M01表示的是一階矩。

則網(wǎng)絡(luò)入侵個體的質(zhì)心位置信息表達式為

式（3）中，xc與yc分別表示的是質(zhì)心的橫坐標(biāo)與縱坐標(biāo)。

Camshift算法中搜索窗口的長軸、短軸與方向角計算公式為

式（4）中，l、w 與θ 表示的是搜索窗口的長軸、短軸與方向角；a、b 與c 表示的是參數(shù)，需要依據(jù)H( x,y )的二階矩賦值。

Camshift算法需要進行迭代運算，直到最終結(jié)果收斂為止，輸出網(wǎng)絡(luò)入侵個體跟蹤結(jié)果。

2．3 主動預(yù)警信息生成模塊 依據(jù)上述檢測以及追蹤的入侵個體信息為基礎(chǔ)，生成網(wǎng)絡(luò)安全主動預(yù)警信息，實現(xiàn)設(shè)計系統(tǒng)的主動預(yù)警功能。

主動預(yù)警信息細分如下：（1）發(fā)送者，表明網(wǎng)絡(luò)安全主動預(yù)警信息的發(fā)送人；（2）時間，表明主動預(yù)警信息生成的時間與日期；（3）類型，表明網(wǎng)絡(luò)入侵攻擊行為的類型；（4）參與者，表明網(wǎng)絡(luò)入侵攻擊預(yù)警的信息源；（5）附加數(shù)據(jù)，表明主動預(yù)警信息的附加數(shù)據(jù)，增加主動預(yù)警信息的復(fù)雜程度［17］。

通過上述硬件單元與軟件模塊的設(shè)計，實現(xiàn)了網(wǎng)絡(luò)安全主動預(yù)警系統(tǒng)的運行，為網(wǎng)絡(luò)安全提供更加有效的保障，也為用戶提供更優(yōu)質(zhì)、更安全的網(wǎng)絡(luò)環(huán)境。

3 實驗與結(jié)果分析

為了驗證設(shè)計系統(tǒng)的應(yīng)用性能，采用仿真軟件設(shè)計實驗，具體實驗過程如下。

3．1 實驗環(huán)境搭建 以某公司內(nèi)部網(wǎng)絡(luò)作為實驗對象，設(shè)置相應(yīng)檢測點、監(jiān)控中心與預(yù)警中心，具體實驗環(huán)境情況見圖5。

圖5 實驗環(huán)境示意圖Fig.5 Schematic diagram of experimental environment

此研究實驗部分網(wǎng)絡(luò)入侵處理引擎采用二級關(guān)聯(lián)體系結(jié)構(gòu)，可以克服集中式體系結(jié)構(gòu)存在的單點問題，也能夠緩解每個關(guān)聯(lián)引擎同時工作的壓力。常規(guī)情況下，層次最高的引擎主動預(yù)警量越少，相應(yīng)的網(wǎng)絡(luò)安全主動預(yù)警信息的復(fù)雜程度也逐漸增加。

網(wǎng)絡(luò)入侵處理引擎體系結(jié)構(gòu)見圖6。

圖6 網(wǎng)絡(luò)入侵處理引擎體系結(jié)構(gòu)示意圖Fig.6 Schematic diagram of network intr usion processing engine architecture

3．2 實驗結(jié)果分析 以上述搭建的實驗環(huán)境，確定的網(wǎng)絡(luò)入侵處理引擎結(jié)構(gòu)為基礎(chǔ)，進行網(wǎng)絡(luò)安全主動預(yù)警實驗，通過入侵檢測時間與誤警率指標(biāo)測試顯示系統(tǒng)的應(yīng)用性能，為保證實驗的有效性，分別利用設(shè)計系統(tǒng)和文獻［4］基于誘捕技術(shù)的網(wǎng)絡(luò)安全預(yù)警監(jiān)管平臺進行對比測試。

通過實驗獲得系統(tǒng)應(yīng)用性能數(shù)據(jù)見表3。

表3 系統(tǒng)應(yīng)用性能數(shù)據(jù)表Tab.3 System application performance data sheet

如表3數(shù)據(jù)顯示，文獻［4］系統(tǒng)入侵檢測時間數(shù)據(jù)范圍為45.26 ms～56.49 ms，誤警率數(shù)據(jù)范圍為10.02%～15.23%；設(shè)計系統(tǒng)入侵檢測時間數(shù)據(jù)范圍為18.42 ms～24.13 ms，誤警率數(shù)據(jù)范圍為3.56%～9.45%。

通過上述實驗數(shù)據(jù)對比研究可知，與現(xiàn)有系統(tǒng)應(yīng)用性能數(shù)據(jù)相比較，設(shè)計系統(tǒng)入侵檢測時間得到了大幅度的縮減，誤警率得到了大幅度的降低，充分證實了設(shè)計系統(tǒng)具備更好的網(wǎng)絡(luò)安全主動預(yù)警效果，為用戶提供更優(yōu)質(zhì)的網(wǎng)絡(luò)環(huán)境。

4 結(jié)語

現(xiàn)今社會處于高度信息化時代，人類工作、生活、學(xué)習(xí)等多個方面均與網(wǎng)絡(luò)技術(shù)及其計算機技術(shù)相關(guān)，再加上全球信息化進程的不斷加快，人類生產(chǎn)及其生活的方方面面均與網(wǎng)絡(luò)相關(guān)，對網(wǎng)絡(luò)依賴性也更加嚴(yán)重，因此，網(wǎng)絡(luò)安全受到了大家的廣泛關(guān)注。筆者應(yīng)用Camshift算法設(shè)計了新的網(wǎng)絡(luò)安全主動預(yù)警系統(tǒng)，縮短了入侵檢測時間，降低了誤警率，為網(wǎng)絡(luò)安全保障提供了新的系統(tǒng)支撐，也為網(wǎng)絡(luò)發(fā)展及其應(yīng)用提供了更有力的支撐。