分布式网络时序关联入侵攻击行为检测系统设计
2018-01-31王秀英
王秀英
摘 要: 分布式网络采用网状拓扑结构,传输链路数很大,在提高网络稳定性的同时也相应增加了遭受恶意入侵的风险。针对传统网络入侵行为检测系统设计存在的检测耗时长、准确率低、误报率高等不足,提出基于时序关联规则的分布式网络入侵攻击行为检测系统。基于时序关联规则算法原理,设计了入侵检测系统的硬件构成,系统硬件部分由数据采集、规则解析、协议解码、数据预处理及检测分析模块等部分构成;在入侵检测系统的软件算法流程方面,重点将入侵数据集变换为一种基于时序的项集矩阵,求解出相关的频繁项集及时序关联规则,实现对分布式网络入侵行为的精确检测。实验数据表明,提出的入侵系统设计具有良好的系统稳定性及检测效率,在检测精度和误报率控制方面也具有优势。
关键词: 分布式网络; 时序关联规则; 协议; 入侵行为; 检测; 系统设计
中图分类号: TN915.08?34; TP391 文献标识码: A 文章编号: 1004?373X(2018)03?0107?04
Abstract: The distributed network adopting the mesh topology structure has a large number of transmission links, which can improve the network stability and increase the risk of vicious intrusion attacks. In view of the long time consumption, low accuracy and high false alarm rate existing in the traditional network intrusion behavior detection system, the research on distributed network intrusion behavior detection system based on temporal sequence association rules is proposed. On the principle of temporal sequence association rules algorithm, the hardware component of the intrusion detection system was designed. The hardware of the system is composed of data acquisition module, rules analysis module, protocol decoding module, data preprocessing module and detection analysis module. According to the process of software algorithm of intrusion detection system, the intrusion data set is converted into a item?set matrix based on time sequence to solve the relevant frequent item sets and time sequence association rules, and realize the accurate detection of the distributed network intrusion. The experimental data shows that the intrusion detection system has strong system stability and high detection efficiency, and advantages in detection accuracy and false positive rate control.
Keywords: distributed network; temporal sequence association rule; protocol; intrusion behavior; detection; system design
0 引 言
随着计算机科学技术的飞速发展,全球信息资源的共享程度高速发展,人们在享受网络带来方便与快捷的同时,个人信息、商业机密甚至公司的网络系统都面临着严重的网络威胁与攻击[1?2]。如何保证网络安全,设计和建立更为完善、安全的入侵检测系统成为全世界互联网专家和学者关注的热点问题。
分布式网络[3?4]具有更密集的链路设置[5?6],在网络的稳定性和数据传输效率方面具有明显的优势。在网络范围拓宽、数据传输速率提高的背景下,各种恶意数据也在不断地升级、变种,这就使当前网络入侵检测系统难于适应。传统基于遗传算法[7?8]的检测系统设计检测效率低,耗时长;而基于智能BP算法[9]的检测系统设计检测过程过于复杂、误判率高。为此,本文提出一种基于时序关联规则的分布式网络检测系统设计。本文首先介绍了系统设计原理及硬件构成,在此基础上给出检测系统的软件设计;通过对入侵数据集与项集矩阵的时序变化,得出相关的频繁项集及时序关联规则,最终完成对恶意攻击数据的精确检测。仿真实验结果表明,提出的系统设计检测效率高、误报率低,在检测精度和系统稳定性方面均有良好表现。
1 基于时序关联规则的分布式网络入侵检测系统设计
1.1 时序关联规则相关数据模型及算法原理
时序关联规则算法是一种典型的数据挖掘算法,关联规则会随着时间的推移而发生特征上的变化,基于这种变化关系能够识别出网络入侵数据的特征,实现对网络入侵和攻击行为的精确检测。时序关联规则算法原理表述如下:endprint
设项集如果集合和满足下列条件:,那么蕴含式即为一组关联规则,为时序序列。令关联规则的支持度和置信度分别为和分别表示为:
事务集中的数据项都由一个二元组时序项来表示,在基于时序检测中可能会出现多个时序项,如表1所示。
]
表1中为时序项,基于时序关联规则的算法在频繁项集的求解及全部时序规则的运用中,要尽量保证每个时序规则满足入侵数据检测集的最小支持度,因此,保证数据检测可转换为频繁时序规则的求解。
1.2 基于时序关联规则的检测系统硬件构成
基于时序关联规则的数据入侵检测模型及算法原理,本文设计了用于分布式网络恶意数据攻击检测系统的硬件结构。系统硬件由数据采集模块、解码模块、规则解析模块、数据预处理模块及检测分析模块构成,检测系统的结构简图,如图1所示。
数据采集通过网络数据传输的方式实现,在检测系统工作过程中,应用程序对网络数据包进行筛选和过滤。入侵检测系统的数据采集模块直接访问网络数据链路层捕获相关数据,数据包捕获流程如图2所示。
单纯的模式匹配方法识别的模式简单机械,检测率低、误报率高。而基于协议编码的智能分析技术可以提高恶意数据检测效率。网络协议重新定义了数据包的格式,采用这种层级性的关系能够简化运算量,提高数据分析和处理效率。要具体地区分IP协议、TCP协议、ICMP协议及UDP协议,因为不同协议具有不同的特点。
用于恶意网络数据检测与分析的模块是整个检测系统设计的核心部分,它将捕获网络数据与建立时序关联规则进行匹配,识别出恶意数据系统将自动报警。
1.3 分布式网络入侵检测系统设计的软件实现流程
与分布式网络检测系统的硬件模块相匹配,将入侵数据集变换为一种基于时序的项集矩阵,得出相关的频繁项集及时序关联规则,分布式网络入侵数据的关系矩阵可以表示为:
将分布式网络中入侵数据源转换为矩阵形式,可以提高算法的运行效率和系统对于恶意网络的数据检测精度,基于时序关联规则的分布式网络入侵数據检测流程,如图3所示。
基于频繁时序关联规则对采集到的入侵数据集进行配比和检测,设时序项集为,其中为数据项集,为时序项集的时间戳。若为全部时序中的最大值,则输出为1,否则输出为0,那么对于分布式网络入侵数据识别与检测的伪代码如下:
在求解频繁项集支持数及时序的关联规则时,如果对应的均值一致时,结果为1,否则结果为0。
本文基于时序关联规则设计了用于分布式网络入侵攻击行为检测系统设计,基于时序关联入侵规则原理,设计检测系统硬件构成和软件实现流程,对项集矩阵变化及频繁项集的求解,实现对入侵源的精确检测。
2 实验结果与分析
本文在时序数据挖掘时长、支持度水平及样本数据相同的条件下,将传统基于遗传算法的检测系统设计与本文提出的系统设计入侵攻击数据检测性能进行对比验证。
2.1 实验测试环境
仿真实验所需样本数据来源、数据类型如表2所示。
本文实验在Matlab 7.0测试平台下进行,实验的编程环境为VS2010,硬件环境要求Intel Core i7,Ram 8 GB,500 GB SATA存储。
2.2 检测性能分析
首先验证本文提出的基于时序关联规则检测系统设计与传统基于遗传算法检测系统设计在分布式网络恶意数据入侵检测方面的效率对比,数据从1 000~150 000条,两种检测系统设计的检测效率如表3所示。
从表3的数据变化能够分析出在入侵检测和数据挖掘效率上,本文所采取的优化策略起到了明显效果,能够识别出时序关联规则及频繁项集,将满足条件的关联规则挖掘和识别出来,提高了对于具有入侵和攻击行为恶意数据的检测效率。
对包含不同记录数的入侵数据进行仿真实验,验证其在复合条件下的检测性能,实验结果如图4所示。
本文选定了500个训练周期对两种系统设计的训练精度进行对比验证。在训练精度方面,本文提出的系统设计比传统设计性能更为稳定,训练精度更高,两种系统设计的实验验证结果如图5所示。
对两种算法的误报率和检测率进行了数据分析,分析结果如表4所示。
从表4中的数据统计能够看出,本文基于实现关联规则的入侵攻击行为检测在相同的训练周期下具有更高的检测率和更低的误报率。
3 结 论
本文提出一种基于时序关联规则的分布式网络入侵攻击行为检测系统设计,详尽介绍了系统的硬件构成及软件算法流程,仿真对比实验结果证明了提出系统设计的有效性。
参考文献
[1] 武装,陈佳欣,王克平.一种改进的IPv4/v6网络入侵检测技术研究[J].计算机科学,2011,38(6):140?141.
WU Zhuang, CHEN Jiaxin, WANG Keping. Improved IPv4/v6 network IDS technology [J]. Computer science, 2011, 38(6): 140?141.
[2] 卢先锋,杨频,梁刚.基于动态IP黑名单的入侵防御系统模型[J].计算机工程与设计,2011,32(1):10?13.
LU Xianfeng, YANG Pin, LIANG Gang. Model of intrusion prevention system based on dynamic IP blacklist [J]. Computer engineering and design, 2011, 32(1): 10?13.
[3] 张信杰,王旭仁,吴刚.分布式网络监控系统设计与实现[J].计算机工程与设计,2010,31(17):3797?3799.endprint
ZHANG Xinjie, WANG Xuren, WU Gang. Design and implementation of distributed net auditing system [J]. Computer engineering and design, 2010, 31(17): 3797?3799.
[4] 安金鑫,王军,孙章,等.基于分布式网络的并行多通道数据采集系统设计[J].电测与仪表,2013(6):109?114.
AN Jinxin, WANG Jun, SUN Zhang, et al. Design of parallel multi?channel data acquisition system based on distribution network [J]. Electrical measurement & instrumentation, 2013(6): 109?114.
[5] 谷晓燕,代真,何锋.基于虚拟链路的航电网络信用量评估模型[J].计算机工程与设计,2015,36(4):892?895.
GU Xiaoyan, DAI Zhen, HE Feng. Evaluation of credit consume of avionics network based on virtual link [J]. Computer engineering and design, 2015, 36(4): 892?895.
[6] 胡曦,李喆,刘军.移动Ad hoc网络中基于链路稳定性预测的按需路由协议[J].电子与信息学报,2010,32(2):284?289.
HU Xi, LI Zhe, LIU Jun. A link stability prediction?based on?demand routing protocol in mobile Ad Hoc networks [J]. Journal of electronics & information technology, 2010, 32(2): 284?289.
[7] 张超群,郑建国,钱洁.遗传算法编码方案比较[J].计算机应用研究,2011,28(3):819?822.
ZHANG Chaoqun, ZHENG Jianguo, QIAN Jie. Comparison of coding schemes for genetic algorithms [J]. Application research of computers, 2011, 28(3): 819?822.
[8] 王华忠,杨智慧,颜秉勇,等.融合PCA和PSO?SVM方法在工控入侵检测中的应用[J].科技通报,2017,33(1):80?85.
WANG Huazhong, YANG Zhihui, YAN Bingyong, et al. Application of fusion PCA and PSO?SVM method in industrial control intrusion detection [J]. Bulletin of science and technology, 2017, 33(1): 80?85.
[9] 李松,刘力军,解永乐.遗传算法优化BP神经网络的短时交通流混沌预测[J].控制与决策,2011,26(10):1581?1585.
LI Song, LIU Lijun, XIE Yongle. Chaotic prediction for short?term traffic flow of optimized BP neural network based on genetic algorithm [J]. Control and decision, 2011, 26(10): 1581?1585.endprint