一種路由器端檢測模型結(jié)構(gòu)及檢測過程

鐘成琦　陳鈞　張展翔

摘 要 以往基于RBF網(wǎng)絡(luò)的異常檢測模型，其訓(xùn)練數(shù)據(jù)集通常包含正常數(shù)據(jù)和四種攻擊數(shù)據(jù)。這樣的RBF網(wǎng)絡(luò)雖然可以檢測多種數(shù)據(jù)，但對每種數(shù)據(jù)的檢測率都不高?，F(xiàn)有的檢測模型在全網(wǎng)中傳遞請求信息和檢測信息會引發(fā)網(wǎng)絡(luò)通信延遲、資源消耗增大、檢測難度增加、檢測效率降低等問題。本文提出了一種路由器端檢測模型結(jié)構(gòu)及檢測過程。

關(guān)鍵詞 路由器 檢測模型

中圖分類號：TP393 文獻標(biāo)識碼：A

1檢測模型工作原理

RBF網(wǎng)絡(luò)是通過設(shè)置訓(xùn)練數(shù)據(jù)與期望響應(yīng)間對應(yīng)關(guān)系來調(diào)整網(wǎng)絡(luò)參數(shù)，并預(yù)測被檢測數(shù)據(jù)的類型，訓(xùn)練數(shù)據(jù)種類較多，勢必造成網(wǎng)絡(luò)參數(shù)對訓(xùn)練數(shù)據(jù)特征的體現(xiàn)趨于平均化，導(dǎo)致在對被檢測數(shù)據(jù)類型預(yù)測時正確率偏低。另外，現(xiàn)有的無線網(wǎng)絡(luò)分布式異常檢測模型為解決各檢測點自身檢測能力不足的問題，設(shè)定當(dāng)某一個節(jié)點檢測到無法識別的數(shù)據(jù)時，會向全網(wǎng)廣播發(fā)出協(xié)作檢測請求。其它節(jié)點收到該請求，共同參與檢測這條數(shù)據(jù)，并向發(fā)出協(xié)作檢測請求的節(jié)點反饋檢測結(jié)果。

通過調(diào)整RBF網(wǎng)絡(luò)訓(xùn)練數(shù)據(jù)集和控制協(xié)作檢測范圍，提出了Mesh路由器端異常數(shù)據(jù)域內(nèi)協(xié)作檢測模型。該模型采用異常檢測與誤用檢測相結(jié)合的方法，在每個Mesh路由器中部署一個RBF網(wǎng)絡(luò)，負(fù)責(zé)檢測連接數(shù)據(jù)。根據(jù)連接數(shù)據(jù)的4種攻擊類型，將RBF網(wǎng)絡(luò)訓(xùn)練數(shù)據(jù)集也分為4種，每種訓(xùn)練數(shù)據(jù)集包括正常數(shù)據(jù)和一種攻擊數(shù)據(jù)，這樣設(shè)計可以保證網(wǎng)絡(luò)中的每個Mesh路由器在對正常數(shù)據(jù)識別的基礎(chǔ)上，只負(fù)責(zé)某一種攻擊數(shù)據(jù)的檢測。模型工作過程如下：

一條連接數(shù)據(jù)隨機進入某個Mesh路由器后被檢測，若為正常數(shù)據(jù)則被轉(zhuǎn)發(fā)；若為攻擊數(shù)據(jù)，則根據(jù)攻擊類型采取既定安全防護措施；若無法判斷該數(shù)據(jù)類型，則將其定義為異常數(shù)據(jù)，立刻調(diào)用協(xié)作檢測機制，將其轉(zhuǎn)發(fā)給同一個域內(nèi)的其它Mesh路由器進行檢測。根據(jù)其它Mesh路由器返回的檢測結(jié)果，判斷該數(shù)據(jù)類型。如果通過協(xié)作檢測仍無法判斷出數(shù)據(jù)類型，則將其上傳給網(wǎng)絡(luò)管理員。為了保證每條異常數(shù)據(jù)在一個域內(nèi)就可以得到全面檢測，域中檢測每種攻擊數(shù)據(jù)的Mesh路由器至少有一個。

2檢測模型中各功能模塊

該模型借鑒了通常包括數(shù)據(jù)采集模塊、特征庫訓(xùn)練模塊、異常檢測模塊和報警模塊4個部分的通用入侵檢測模型框架，并根據(jù)文中Mesh路由器所要實現(xiàn)的協(xié)作檢測功能和數(shù)據(jù)判別功能，將模型分為六個模塊，分別是數(shù)據(jù)監(jiān)控模塊，異常檢測模塊，危險評估模塊，特征庫訓(xùn)練模塊，安全通信模塊和報警響應(yīng)模塊。

（1）數(shù)據(jù)監(jiān)控模塊：該模塊又分為數(shù)據(jù)收集子模塊和數(shù)據(jù)預(yù)處理子模塊。數(shù)據(jù)預(yù)處理子模塊負(fù)責(zé)分析收集到的網(wǎng)絡(luò)連接數(shù)據(jù)和Mesh客戶端上傳的流量日志，通過格式轉(zhuǎn)換或統(tǒng)計計算將它們轉(zhuǎn)換成異常檢測模塊可用的信息。

（2）異常檢測模塊：該模塊分為兩個并列存在的檢測子模塊，相互間獨立檢測，不進行交互，檢測方法都采用RBF網(wǎng)絡(luò)算法。第一個為Mesh路由器端異常數(shù)據(jù)檢測子模塊D1，利用訓(xùn)練完畢的RBF網(wǎng)絡(luò)N1，對數(shù)據(jù)監(jiān)控模塊捕獲并預(yù)處理后傳來的網(wǎng)絡(luò)連接數(shù)據(jù)進行分析。N1所采用的訓(xùn)練樣本集是已知數(shù)據(jù)類型的網(wǎng)絡(luò)連接數(shù)據(jù)，包括正常數(shù)據(jù)集和攻擊數(shù)據(jù)集。第二個為Mesh客戶端的異常行為檢測子模塊D2，它通過訓(xùn)練完畢的RBF網(wǎng)絡(luò)N2，對由數(shù)據(jù)監(jiān)控模塊處理后傳來的流量日志集進行計算，將數(shù)值結(jié)果傳遞給危險評估模塊，進而判斷Mesh客戶端是否存在異常行為。N2采用的訓(xùn)練樣本集為已知的Mesh客戶端行為對應(yīng)的流量日志所組成的數(shù)據(jù)集。

（3）危險評估模塊：該模塊分為兩個評估子模塊，即E1和E2，目的都是通過評估檢測結(jié)果，發(fā)現(xiàn)攻擊和異常情況。E1負(fù)責(zé)評估由異常數(shù)據(jù)檢測子模塊D1計算出的數(shù)值結(jié)果。當(dāng)發(fā)現(xiàn)攻擊時，根據(jù)判定的攻擊類型向報警響應(yīng)模塊發(fā)送報警信息。但若判斷其為異常數(shù)據(jù)時，它會調(diào)用協(xié)作檢測機制，將異常數(shù)據(jù)轉(zhuǎn)發(fā)給同域內(nèi)的其它Mesh路由器，并評估由其它Mesh路由器的異常數(shù)據(jù)檢測子模塊D1計算并返回的數(shù)值結(jié)果。

異常行為檢測子模塊D2將計算的數(shù)值結(jié)果傳遞給E2。E2根據(jù)該數(shù)值結(jié)果是否在安全閾內(nèi)判斷Mesh客戶端的異常行為情況。如果不在安全閾內(nèi)，則判定Mesh客戶端發(fā)生異常行為，立刻向報警響應(yīng)模塊發(fā)送報警信息。

（4）特征庫訓(xùn)練模塊：該模塊分為訓(xùn)練子模塊T1和T2，任務(wù)是完成異常數(shù)據(jù)檢測子模塊D1和D2的更新。對D1和D2的更新，實質(zhì)是對部署在Mesh路由器上的RBF網(wǎng)絡(luò)N1和N2進行再次訓(xùn)練。更新時需要有網(wǎng)絡(luò)管理員的參與。這兩個訓(xùn)練子模塊中分別有一個與D1、D2對應(yīng)的完全相同的RBF網(wǎng)絡(luò)，包括訓(xùn)練數(shù)據(jù)及各項參數(shù)都相同。在對D1和D2更新時，首先更新T1和T2，結(jié)束后用T1、T2中新的RBF網(wǎng)絡(luò)N1和N2替換D1、D2中的N1和N2，替換速度遠(yuǎn)遠(yuǎn)快于更新速度。這樣設(shè)計是為了確保在更新整個WMN異常檢測模型時，網(wǎng)絡(luò)安全防御不會出現(xiàn)真空狀態(tài)。

（5）安全通信模塊：該模塊只用于Mesh路由器間相互通信。它為Mesh路由器提供了一個信任度很高的通信信道，是所有Mesh路由器相互間安全通信所必需的模塊。

（6）報警響應(yīng)模塊：該模塊收到危險評估模塊發(fā)送的報警信息，進行本地響應(yīng)。其具體響應(yīng)行為因攻擊類型、網(wǎng)絡(luò)協(xié)議類型、引用場合等的不同而具有多樣性。

參考文獻

[1] 周彥偉，楊波，張文政.安全高效的異構(gòu)無線網(wǎng)絡(luò)可控匿名漫游認(rèn)證協(xié)議[J].軟件學(xué)報，2016，27（2）：451？465.

[2] 王高才，馮鵬，王淖，彭穎，黃書強.一種速率自適應(yīng)的能耗優(yōu)化路由策略研究[J].計算機學(xué)報，2015，38（3）：555-566.

[3] 簡剛，韓國棟，馬釗坤，周玉瀚.基于參數(shù)的層次化Mesh互連片上網(wǎng)絡(luò)結(jié)構(gòu)[J]. 計算機應(yīng)用研究，2016，33（06）：1857-1861.