已知網(wǎng)絡(luò)入侵模式的低匹配度數(shù)據(jù)信息集挖掘平臺設(shè)計

摘 要： 在已知網(wǎng)絡(luò)入侵模式下對低匹配度數(shù)據(jù)信息集進行挖掘時，缺少對低匹配度數(shù)據(jù)信息集的處理和分類選取過程，存在挖掘不準(zhǔn)確，效率低的問題。設(shè)計并實現(xiàn)了一種已知網(wǎng)絡(luò)入侵模式下對低匹配度數(shù)據(jù)信息集挖掘平臺，介紹了平臺的總體硬件結(jié)構(gòu)，利用數(shù)據(jù)采樣預(yù)處理模塊實現(xiàn)從源數(shù)據(jù)到挖掘數(shù)據(jù)的映射，完成離散化、數(shù)據(jù)過濾等處理過程。依據(jù)KC89C72 DIP40FILE分類器進行低匹配度數(shù)據(jù)信息集的分類，儲存到SSRAM中，并以此為基礎(chǔ)，通過數(shù)據(jù)挖掘模塊對儲存的低匹配度數(shù)據(jù)信息集進行確認(rèn)與挖掘。軟件設(shè)計過程中，對已知網(wǎng)絡(luò)入侵模式的低匹配度數(shù)據(jù)信息集挖掘平臺進行了詳細(xì)的分析，并給出低匹配度數(shù)據(jù)信息集挖掘的實現(xiàn)過程以及程序代碼。實驗結(jié)果表明，該平臺的低匹配度數(shù)據(jù)信息集挖掘準(zhǔn)確率、誤差率、時間及所需內(nèi)存均優(yōu)于傳統(tǒng)的Fuzzing平臺，具有一定的實用性。

關(guān)鍵詞： 網(wǎng)絡(luò)入侵模式； 低匹配度； 數(shù)據(jù)信息集； 挖掘平臺

中圖分類號： TN926?34； TP309 文獻標(biāo)識碼： A 文章編號： 1004?373X（2016）18?0012?05

Abstract： A low matching degree data information set mining platform for the known network intrusion patterns was designed and implemented. The structure of the overall hardware platform is introduced. The data mapping from the source data to the mining data is implemented with the data sampling pretreatment module to complete the process of discretization and data filtering processing. The low matching degree data information sets are classified with KC89C72 DIP40FILE classifier， and stored in SSRAM. On this basis， the stored low matching degree data information sets are confirmed and mined by means of the data mining module. In the software design process， the low compatibility data information set mining platform for the known network intrusion pattern is analyzed in detail. The realization process and program code of the low matching degree data information set mining are presented. The experimental results show that the low matching degree data information set mining accuracy， error rate， time and required memory of the platform is superior to those of the traditional Fuzzing platform， and the platform has a certain practicality.

Keywords： network intrusion pattern； low matching degree； data information set； mining platform

0 引 言

近年來，隨著計算機網(wǎng)絡(luò)技術(shù)的快速發(fā)展，計算機及網(wǎng)絡(luò)信息的安全問題顯得越來越重要。由于用戶使用量的增加及網(wǎng)絡(luò)信息內(nèi)容的增多，使得產(chǎn)生了多種網(wǎng)絡(luò)入侵模式[1?3]。在網(wǎng)絡(luò)入侵模式已知的情況下，對其匹配度低的數(shù)據(jù)信息集進行挖掘，是該領(lǐng)域亟待解決的問題，已經(jīng)成為相關(guān)學(xué)者研究的重點，受到廣泛的關(guān)注，也出現(xiàn)了很多好的方法[4]。

目前，對已知網(wǎng)絡(luò)入侵模式下的低匹配度數(shù)據(jù)信息集進行挖掘的方法有很多種。文獻[5]提出一種靜態(tài)分析技術(shù)，通過對待檢測程序的源代碼或二進制代碼進行掃描，獲取錯誤函數(shù)調(diào)用及數(shù)據(jù)信息集，并對其進行快速挖掘，該方法挖掘效率高，但該方法實現(xiàn)過程復(fù)雜、實用性差。文獻[6]提出一種動態(tài)分析技術(shù)，在調(diào)試器中對待檢測程序進行調(diào)試，當(dāng)程序運行時，對不同狀態(tài)的寄存器、內(nèi)存值改變情況進行分析，以此挖掘匹配度低的數(shù)據(jù)；但是該方法能耗較高、精度較低。文獻[7]將大型物聯(lián)網(wǎng)下的數(shù)據(jù)進行傳輸過程中，出現(xiàn)匹配度低的數(shù)據(jù)時處理器可及時對其進行挖掘；但該方法對硬件設(shè)備要求極高，適用范圍非常小。文獻[8]提出基于數(shù)據(jù)流完整性檢測方法，出現(xiàn)匹配度低的數(shù)據(jù)時，該方法對數(shù)據(jù)出現(xiàn)的前后狀態(tài)進行對比，來實現(xiàn)低匹配度數(shù)據(jù)的挖掘，實現(xiàn)過程復(fù)雜。文獻[9]通過分析訪問大型物聯(lián)網(wǎng)內(nèi)存數(shù)據(jù)的調(diào)度申請，同時將其應(yīng)用于數(shù)據(jù)存儲器分析上，將分析過程轉(zhuǎn)換成一個決策樹，并設(shè)置為低匹配度數(shù)據(jù)自動挖掘的基礎(chǔ)，存在耗時長、效率低下的缺陷。

針對上述方法的弊端，設(shè)計了一種已知網(wǎng)絡(luò)入侵模式下對低匹配度數(shù)據(jù)信息集挖掘平臺，并進行了實驗對比。實驗結(jié)果表明，本文平臺的低匹配度數(shù)據(jù)信息集挖掘準(zhǔn)確率、誤差率、時間及所需內(nèi)存均優(yōu)于傳統(tǒng)的Fuzzing平臺，具有一定的實用性。

1 已知網(wǎng)絡(luò)入侵模式的低匹配度數(shù)據(jù)信息集

挖掘平臺總體結(jié)構(gòu)

由于網(wǎng)絡(luò)技術(shù)的發(fā)展和網(wǎng)絡(luò)使用量的增加，網(wǎng)絡(luò)入侵模式呈現(xiàn)多樣化，其低匹配度數(shù)據(jù)信息集也存在不同的特征。當(dāng)網(wǎng)絡(luò)入侵模式已知的情況下，低匹配度數(shù)據(jù)信息集特征出現(xiàn)了一定的相似性。因此，對已知網(wǎng)絡(luò)入侵模式下低匹配度數(shù)據(jù)信息集挖掘進行平臺設(shè)計，成為了網(wǎng)絡(luò)使用過程中至關(guān)重要的部分。

本文通過實際測試情況與相關(guān)理論，設(shè)計了在已知網(wǎng)絡(luò)入侵模式下，對低匹配度數(shù)據(jù)信息集進行挖掘的平臺，平臺的總體結(jié)構(gòu)如圖1所示。

平臺總體結(jié)構(gòu)主要由數(shù)據(jù)選擇模塊、數(shù)據(jù)挖掘模塊、數(shù)據(jù)采樣模塊、數(shù)據(jù)處理模塊、數(shù)據(jù)庫及接口模塊組成。在已知網(wǎng)絡(luò)入侵模式的情況下，通過對數(shù)據(jù)庫內(nèi)的低匹配度數(shù)據(jù)進行采集并進行預(yù)處理，在通過數(shù)據(jù)選擇模塊選取符合的低匹配度的數(shù)據(jù)，并根據(jù)其特征進行挖掘，完成低匹配度數(shù)據(jù)信息集的挖掘。其中最主要的是數(shù)據(jù)選擇模塊和數(shù)據(jù)挖掘模塊。數(shù)據(jù)選擇模塊主要負(fù)責(zé)把通過數(shù)據(jù)處理模塊處理的數(shù)據(jù)，按照低匹配度數(shù)據(jù)的特征進行分類選取，獲取和數(shù)據(jù)挖掘相關(guān)聯(lián)的數(shù)據(jù)信息；數(shù)據(jù)挖掘模塊是整個過程中最關(guān)鍵的部分，在這里，使用數(shù)據(jù)挖掘的算法來進行運算，從數(shù)據(jù)中抽取所需數(shù)據(jù)信息集（即低匹配度數(shù)據(jù)信息集）。

2 已知網(wǎng)絡(luò)入侵模式下的硬件模塊的設(shè)計

2.1 低匹配度數(shù)據(jù)信息集采集模塊的設(shè)計

本文選擇X5?TX數(shù)據(jù)采集模塊，如圖2所示，它有4個500 MPS或2個IGSPS16位的D/A，并且?guī)в蠽irtcx 5 FPGA的計算核心、DRAM和SRAM內(nèi)存，進行對低匹配度數(shù)據(jù)信息集的存儲、以及8通道PCIExprcss主機接口的XMC輸出模塊。獨有的FPGA與模擬接口緊密結(jié)合，可實時對網(wǎng)絡(luò)低匹配度數(shù)據(jù)信息集進行采集，采集速度可達300 GMACs，為后期的低匹配度數(shù)據(jù)信息集處理提供了基礎(chǔ)依據(jù)。X5?TX的XMC模塊使用高性能8通道的PCLExprcss接口與強大的Vclocia架構(gòu)結(jié)合，可持續(xù)的進行低匹配度數(shù)據(jù)信息集的傳輸，其持續(xù)傳輸速率超過了1 Gb/s。

2.2 低匹配度數(shù)據(jù)信息集處理模塊的設(shè)計

低匹配度數(shù)據(jù)信息集處理模塊，主要用于從數(shù)據(jù)采集后到挖掘數(shù)據(jù)的連接，實現(xiàn)對低匹配度進行數(shù)據(jù)離散化、過濾等處理。數(shù)據(jù)處理模塊主要由FPGA，SSRAM，模數(shù)轉(zhuǎn)換器，以太網(wǎng)接口等構(gòu)成，詳細(xì)硬件結(jié)構(gòu)如圖3所示。

數(shù)據(jù)處理模塊以ADS1178芯片為低匹配度數(shù)據(jù)信息集處理核心，其共有8個差分輸入通道，能同時對8個通道輸入的低匹配度數(shù)據(jù)信息集進行處理，處理后的低匹配度數(shù)據(jù)信息集輸出端與FPGA相連。為后期的低匹配度數(shù)據(jù)信息集的挖掘打下基礎(chǔ)。選取Cyclone Ⅳ GX系列的EP4CGX110CF23C7N型號芯片作為FPGA芯片，其功耗低、成本不高，具有一定的實用性。

2.3 低匹配度數(shù)據(jù)信息集選擇模塊的設(shè)計

數(shù)據(jù)選擇模塊主要用于對低匹配度數(shù)據(jù)信息集進行分類選取，主要由信號調(diào)直機、高速數(shù)據(jù)傳輸系統(tǒng)、KC89C72 DIP40FILE、Ermet Hard 354142型接口和Ermet Hard 973046型接口等構(gòu)成，詳細(xì)硬件結(jié)構(gòu)如圖4所示。

本文設(shè)計的數(shù)據(jù)處理模塊接口選擇2.0 mm Ermet Hard Metric連接器，為了使低匹配度數(shù)據(jù)信息集的傳輸效率和穩(wěn)定性達到平臺所需的要求，將連接器作為低匹配度數(shù)據(jù)信息集輸入端口，973046型號的連接器作為低匹配度數(shù)據(jù)信息集的傳輸端口。數(shù)據(jù)信息集到達KC89C72 DIP40FILE低匹配度數(shù)據(jù)信息集分類選擇模塊后，數(shù)據(jù)分類選擇模塊一旦發(fā)現(xiàn)是所需的低匹配度數(shù)據(jù)信息集，會直接存儲到SSRAM中，為下一步的低匹配度數(shù)據(jù)信息集的挖掘提供依據(jù)。

2.4 低匹配度數(shù)據(jù)信息集挖掘模塊的設(shè)計

數(shù)據(jù)挖掘模塊主要負(fù)責(zé)對網(wǎng)絡(luò)入侵?jǐn)?shù)據(jù)中的低匹配度數(shù)據(jù)信息集進行深層次的挖掘，并將挖掘結(jié)果進行處理。低匹配度數(shù)據(jù)信息集挖掘模塊主要由處理器、智能接口控制器、數(shù)字I/O、職能I/O構(gòu)成，詳細(xì)硬件結(jié)構(gòu)如圖5所示。

選擇型號為IONI USB?6501的數(shù)字I/O，它是一種低價位USB數(shù)字I/O設(shè)備，能有效地加快低匹配度數(shù)據(jù)信息集挖掘時傳輸?shù)乃俾?。選擇型號為Eclipse Java的職能I/O，其大大縮減挖掘低匹配度數(shù)據(jù)信息集的過程，提高了低匹配度數(shù)據(jù)信息集的挖掘效率。

3 已知網(wǎng)絡(luò)入侵模式下數(shù)據(jù)信息集挖掘平臺的

軟件設(shè)計

3.1 低匹配度數(shù)據(jù)信息集挖掘的總流程圖分析

在已知網(wǎng)絡(luò)入侵模式的情況下，對低匹配度數(shù)據(jù)信息集挖掘平臺進行設(shè)計時，在低匹配度數(shù)據(jù)信息挖掘平臺硬件設(shè)計的基礎(chǔ)上，結(jié)合軟件設(shè)計的特性和要求，設(shè)計了已知網(wǎng)絡(luò)入侵模式的低匹配度數(shù)據(jù)信息集挖掘平臺的軟件流程圖，如圖6所示。

4 實驗結(jié)果與分析

為了驗證本文設(shè)計的已知網(wǎng)絡(luò)入侵模式下低匹配度數(shù)據(jù)信息集挖掘平臺的有效性，需要進行相關(guān)的實驗分析。實驗將Fuzzing平臺作為對比進行分析，實驗的硬件環(huán)境為Windows XP，2 GB內(nèi)存，40 GB硬盤。

4.1 兩種平臺性能的比對

為了測試本文平臺的挖掘性能，在上述實驗環(huán)境的基礎(chǔ)上，分別采用本文平臺和Fuzzing平臺對已知網(wǎng)絡(luò)入侵模式下的低匹配度數(shù)據(jù)信息集進行挖掘，對兩種平臺的挖掘準(zhǔn)確率和誤報率進行統(tǒng)計，得到的結(jié)果如圖7、圖8所示。

由圖7、圖8可知，采用本文平臺的準(zhǔn)確率為55.7%（平均值），誤差率為23.6%（平均值），F(xiàn)uzzing平臺準(zhǔn)確率為37.9%（平均值），誤差率為44.3%（平均值），本文平臺相比Fuzzing平臺準(zhǔn)確率提高了17.8%（平均值），誤差率降低了20.7%（平均值），在保證準(zhǔn)確率的同時降低了平臺的誤差率，說明本文平臺具有一定的挖掘精度。

4.2 兩種平臺內(nèi)存占用量的對比

分別采用本文平臺和Fuzzing平臺對已知網(wǎng)絡(luò)入侵模式下低匹配度數(shù)據(jù)信息集進行挖掘時，兩種平臺的內(nèi)存使用量如圖9所示。

由圖9可知，隨低匹配度數(shù)據(jù)信息集數(shù)量的增多，本文平臺的內(nèi)存占用量為68.3 KB（平均值），且一直處于較低水平，而Fuzzing平臺的內(nèi)存占用量為750 KB（平均值），明顯高于本文平臺，因此，本文平臺具有一定的優(yōu)勢。

4.3 兩種平臺洞挖掘時所需時間的對比

采用本文平臺和Fuzzing平臺進行低匹配度數(shù)據(jù)信息集挖掘時所需時間進行對比，結(jié)果如圖10所示。

由圖10可知，在相同低匹配度數(shù)據(jù)信息集情況下，本文平臺進行數(shù)據(jù)信息集挖掘所需的時間為22 s（平均值），F(xiàn)uzzing平臺對低匹配度數(shù)據(jù)信息集進行挖掘所需時間為47.5 s（平均值），本文平臺相比Fuzzing平臺所需時間節(jié)省了25.5 s（平均值），說明本文平臺效率較高。

5 結(jié) 論

本文設(shè)計并實現(xiàn)了一種已知網(wǎng)絡(luò)入侵模式下對低匹配度數(shù)據(jù)信息集挖掘平臺，介紹了平臺的總體硬件結(jié)構(gòu)，利用數(shù)據(jù)采樣預(yù)處理模塊實現(xiàn)從源數(shù)據(jù)到挖掘數(shù)據(jù)的映射，完成離散化、數(shù)據(jù)過濾等處理過程。依據(jù)KC89C72 DIP40FILE分類器進行低匹配度數(shù)據(jù)信息集的分類，儲存到SSRAM中，并以此為基礎(chǔ)，通過數(shù)據(jù)挖掘模塊對儲存的低匹配度數(shù)據(jù)信息集進行確認(rèn)與挖掘。軟件設(shè)計過程中，給出低匹配度數(shù)據(jù)信息集挖掘的實現(xiàn)過程以及程序代碼。實驗結(jié)果表明，本文平臺的低匹配度數(shù)據(jù)信息集挖掘準(zhǔn)確率、誤差率、時間及所需內(nèi)存均優(yōu)于傳統(tǒng)的Fuzzing平臺，具有一定的實用性。

參考文獻

[1] 馬龍飛.基于無線傳感網(wǎng)的物聯(lián)網(wǎng)應(yīng)用平臺的設(shè)計與實現(xiàn)[D].北京：北京郵電大學(xué)，2014.

[2] 楊世德，梁光明，余凱.基于ARM嵌入式系統(tǒng)底層漏洞挖掘技術(shù)研究[J].現(xiàn)代電子技術(shù)，2015，38（18）：57?59.

[3] 孫哲，劉大光，武學(xué)禮，等.基于模糊測試的網(wǎng)絡(luò)協(xié)議自動化漏洞挖掘工具設(shè)計與實現(xiàn)[J].信息網(wǎng)絡(luò)安全，2014，27（6）：23?30.

[4] 李永偉.基于Hex?Rays的緩沖區(qū)溢出漏洞挖掘技術(shù)研究[D].鄭州：中國人民解放軍信息工程大學(xué)，2013.

[5] 劉大光.基于模糊測試的網(wǎng)絡(luò)協(xié)議自動化漏洞挖掘工具設(shè)計與實現(xiàn)[D].北京：北京大學(xué)，2014.

[6] 方喆君，劉奇旭，張玉清.Android應(yīng)用軟件功能泄露漏洞挖掘工具的設(shè)計與實現(xiàn)[J].中國科學(xué)院大學(xué)學(xué)報，2015，32（1）：127?135.

[7] 楊海民，張濤，趙敏，等.基于gdb的Android軟件漏洞挖掘系統(tǒng)[J].計算機技術(shù)與發(fā)展，2015，30（8）：156?160.

[8] 茍孟洛.Windows平臺下基于FUZZ技術(shù)的軟件漏洞挖掘與利用研究[D].成都：成都理工大學(xué)，2014.

[9] 劉濤，王海東.基于Fuzzing的文件格式漏洞挖掘技術(shù)[J].中國科技信息，2014（9）：160?162.