基于自適應(yīng)濾波處理的網(wǎng)絡(luò)入侵監(jiān)測(cè)系統(tǒng)設(shè)計(jì)

方雪琴，石宏宇，王信科

（南方電網(wǎng)海南數(shù)字電網(wǎng)研究院有限公司，海南?？?570100）

隨著網(wǎng)絡(luò)時(shí)代的高速發(fā)展，網(wǎng)絡(luò)已經(jīng)貫穿了大眾的生活，根據(jù)網(wǎng)絡(luò)真實(shí)的運(yùn)行情況和大眾的需求，設(shè)計(jì)出一款保證網(wǎng)絡(luò)安全的系統(tǒng)[1]。傳統(tǒng)的網(wǎng)絡(luò)入侵監(jiān)測(cè)系統(tǒng)不能及時(shí)地發(fā)現(xiàn)高級(jí)的網(wǎng)絡(luò)入侵行為，使網(wǎng)絡(luò)入侵攻擊行為在網(wǎng)絡(luò)系統(tǒng)中存在的時(shí)間延長(zhǎng)，且誤報(bào)率較高，降低了網(wǎng)絡(luò)的安全性。因此，網(wǎng)絡(luò)運(yùn)行安全問(wèn)題逐漸成為網(wǎng)絡(luò)安全領(lǐng)域的重點(diǎn)研究方向，如何有效地發(fā)現(xiàn)網(wǎng)絡(luò)入侵攻擊行為，并快速地截獲網(wǎng)絡(luò)入侵行為，成為當(dāng)前亟待解決的問(wèn)題。

自適應(yīng)濾波算法是在維納濾波算法的基礎(chǔ)上擴(kuò)展推理出來(lái)的，其工作原理是通過(guò)采集分析各類型的網(wǎng)絡(luò)信號(hào)，對(duì)信號(hào)所屬器件進(jìn)行運(yùn)行分析，具有高效的適應(yīng)性和濾波性，被廣泛地應(yīng)用于信號(hào)處理和網(wǎng)絡(luò)領(lǐng)域[2-3]。

該文通過(guò)自適應(yīng)濾波處理算法，結(jié)合傳統(tǒng)系統(tǒng)的設(shè)計(jì)理念，構(gòu)建基于自適應(yīng)濾波處理的網(wǎng)絡(luò)入侵監(jiān)測(cè)系統(tǒng)，該系統(tǒng)可以及時(shí)檢測(cè)網(wǎng)絡(luò)入侵行為，且有效提升了結(jié)果準(zhǔn)確率，避免網(wǎng)絡(luò)受到非法攻擊造成的不良影響[4]。

1 系統(tǒng)硬件設(shè)計(jì)

該文設(shè)計(jì)的基于自適應(yīng)濾波處理的網(wǎng)絡(luò)入侵監(jiān)測(cè)系統(tǒng)硬件由濾波器、數(shù)據(jù)采集器、處理器和監(jiān)測(cè)器組成。系統(tǒng)硬件結(jié)構(gòu)如圖1 所示。

圖1 網(wǎng)絡(luò)入侵監(jiān)測(cè)系統(tǒng)硬件結(jié)構(gòu)

1.1 濾波器

濾波器是由電容、電感以及電阻共同構(gòu)建的一個(gè)濾波電路設(shè)備，可以識(shí)別網(wǎng)絡(luò)電路中的特定頻率和頻點(diǎn)。該文在硬件區(qū)域設(shè)計(jì)濾波器的目的是調(diào)用自適應(yīng)濾波處理算法，通過(guò)異常網(wǎng)絡(luò)與其他正常網(wǎng)絡(luò)的頻率和頻點(diǎn)不同的特點(diǎn)[5-8]，提高網(wǎng)絡(luò)入侵監(jiān)測(cè)系統(tǒng)的準(zhǔn)確率。濾波器結(jié)構(gòu)如圖2 所示。

圖2 濾波器結(jié)構(gòu)

1.2 數(shù)據(jù)采集器

數(shù)據(jù)采集器的工作任務(wù)是采集網(wǎng)絡(luò)運(yùn)行過(guò)程中所有的網(wǎng)絡(luò)數(shù)據(jù)包，為處理器和監(jiān)控器的處理提供分析數(shù)據(jù)。該文采用YUH75-1 系列的數(shù)據(jù)采集器，此采集器配置多個(gè)C825 接口、type 接口以及可擴(kuò)充的卡槽，使數(shù)據(jù)采集器的采集速率達(dá)到250～500 kb/s，最高可以達(dá)到8 Mb/s，在一定程度上提高網(wǎng)絡(luò)入侵監(jiān)測(cè)系統(tǒng)的監(jiān)測(cè)效率[9-11]。數(shù)據(jù)采集器電路如圖3所示。

圖3 數(shù)據(jù)采集器電路

YUH75-1 數(shù)據(jù)采集器可以同時(shí)采集掃描5 GB的網(wǎng)絡(luò)通信數(shù)據(jù)包，并且篩選異常網(wǎng)絡(luò)通信數(shù)據(jù)包的準(zhǔn)確率為100%。因?yàn)榫W(wǎng)絡(luò)信息量大，為了減少網(wǎng)絡(luò)進(jìn)程的排隊(duì)時(shí)間，YUH75-1 數(shù)據(jù)采集器的內(nèi)存為8+256G，采集處理器為8 核2.0 GHz 的C64 處理器。數(shù)據(jù)采集器的充電裝置采用移動(dòng)電源，可以隨時(shí)隨地更換電池，并且移動(dòng)電源的工作周期長(zhǎng)，可延長(zhǎng)系統(tǒng)其他設(shè)備的使用周期。因?yàn)榫W(wǎng)絡(luò)行為格式各種各樣，所以數(shù)據(jù)采集器具有多模式自動(dòng)調(diào)用功能，支持LTE CAT6 網(wǎng)絡(luò)行為轉(zhuǎn)碼[12]。

1.3 處理器

處理器是入侵監(jiān)測(cè)系統(tǒng)功能實(shí)現(xiàn)的基礎(chǔ)，只有處理器的性能強(qiáng)大，才能帶動(dòng)其他硬件設(shè)備完成系統(tǒng)的功能調(diào)用，為此基于自適應(yīng)濾波處理的網(wǎng)絡(luò)入侵監(jiān)測(cè)系統(tǒng)硬件區(qū)域選用英特爾I5 9400F 處理器。英特爾I5 9400F 處理器的光刻為14 nm，采用6 內(nèi)核12 線程的處理模式[13]，可以達(dá)到2.90 GHz 的基本頻率，此處理器的優(yōu)勢(shì)在于額外配置4 個(gè)1.5 GHz 的基本頻率模塊，提高處理器的處理速度，保障網(wǎng)絡(luò)的安全。英特爾I5 9400F 處理器的總線速度為1.5 Mb/s，處理器運(yùn)行過(guò)程中需要65 W 的TDP 進(jìn)行驅(qū)動(dòng)，否則達(dá)不到預(yù)期效果。為了適應(yīng)網(wǎng)絡(luò)的發(fā)展性，處理器本身的內(nèi)存規(guī)格為4*DDR4/128G，該文在處理器邊緣另外設(shè)計(jì)了多個(gè)插槽，一旦處理器空間不足，利用插槽存儲(chǔ)，同時(shí)清理處理器中的緩存冗余，提高處理器的利用率[14]。

1.4 監(jiān)測(cè)器

監(jiān)測(cè)器是基于自適應(yīng)濾波處理的網(wǎng)絡(luò)入侵監(jiān)測(cè)系統(tǒng)硬件區(qū)域的核心硬件設(shè)備，監(jiān)測(cè)器的功能是通過(guò)處理器、濾波器以及數(shù)據(jù)采集器的協(xié)助，監(jiān)測(cè)網(wǎng)絡(luò)整體運(yùn)行狀態(tài)，一旦發(fā)現(xiàn)網(wǎng)絡(luò)入侵行為或者識(shí)別出網(wǎng)絡(luò)入侵趨勢(shì)，立即將該區(qū)域的IP 地址以及其他關(guān)鍵信息發(fā)送到網(wǎng)絡(luò)管理中心，并且調(diào)用算法對(duì)網(wǎng)絡(luò)入侵行為做出合適的應(yīng)急處理。監(jiān)測(cè)器結(jié)構(gòu)如圖4 所示。

圖4 監(jiān)測(cè)器結(jié)構(gòu)

監(jiān)測(cè)器的芯片采用SICCDF0-92 芯片，此芯片具有超強(qiáng)的網(wǎng)絡(luò)行為識(shí)別能力，是一款雙核四通道模式的公用芯片。

監(jiān)測(cè)器的顯示屏幕為3 840×2 160分辨率的4k高清屏幕，另一方面監(jiān)測(cè)器采用6B/6C 雙協(xié)議以及UHF超高頻的網(wǎng)絡(luò)數(shù)據(jù)幀篩查模塊，使監(jiān)測(cè)器的內(nèi)部數(shù)據(jù)運(yùn)行速度達(dá)到247 MIPS，保證監(jiān)測(cè)器的工作效率。

2 系統(tǒng)軟件設(shè)計(jì)

自適應(yīng)濾波算法計(jì)算的關(guān)鍵指標(biāo)為濾波步長(zhǎng)、濾波穩(wěn)態(tài)誤差和信號(hào)的收斂速度，但是在傳統(tǒng)的自適應(yīng)濾波算法中，濾波步長(zhǎng)和濾波的穩(wěn)態(tài)誤差為正比例關(guān)系，濾波穩(wěn)態(tài)誤差和信號(hào)收斂速度兩個(gè)指標(biāo)參數(shù)為反比例關(guān)系，網(wǎng)絡(luò)信號(hào)的濾波穩(wěn)態(tài)誤差越小，信號(hào)的收斂速度越快[15]。

濾波步長(zhǎng)指的是算法每秒分析信號(hào)幀的速率，濾波收斂速度指的是在自適應(yīng)濾波算法開始的濾波分析模式與濾波選擇模式兩者間的濾波變化速度，其速度越快，自適應(yīng)濾波算法的處理精度越高，計(jì)算速度也越來(lái)越快。因此，平衡網(wǎng)絡(luò)信號(hào)中的濾波穩(wěn)態(tài)步長(zhǎng)和信號(hào)收斂速度的相對(duì)數(shù)值尤為重要。該文研究的自適應(yīng)濾波處理算法通過(guò)借助一個(gè)瞬時(shí)控制濾波步長(zhǎng)的控制函數(shù)，平衡濾波步長(zhǎng)、濾波穩(wěn)態(tài)誤差以及信號(hào)收斂速度的關(guān)系，提高對(duì)網(wǎng)絡(luò)信號(hào)的識(shí)別分析能力[16]。具體的控制函數(shù)如下：

其中，μmax為步長(zhǎng)因子能取得的最大值；μmin表示步長(zhǎng)因子的最小值。

信號(hào)濾波的步長(zhǎng)因子的最大值受其他因素的制約。為了提高自適應(yīng)濾波算法的收斂速度，其濾波步長(zhǎng)應(yīng)該適當(dāng)取值，但是濾波步長(zhǎng)不能超過(guò)μmax，也不能小于μmin。但是在平衡信號(hào)濾波的收斂速度時(shí)，勢(shì)必會(huì)引入信號(hào)的噪音誤差，對(duì)于網(wǎng)絡(luò)信號(hào)的分析具有一定的引導(dǎo)偏差，使自適應(yīng)濾波算法的分析效率得不到保障。所以該文在此基礎(chǔ)上引入sigmoid 函數(shù)，用于平衡自適應(yīng)濾波的步長(zhǎng)與信號(hào)穩(wěn)態(tài)誤差之間的關(guān)系，提高算法的計(jì)算精度，整合后的計(jì)算公式如下：

其中，μ(n)函數(shù)是一個(gè)非線性函數(shù)，在原有的自適應(yīng)濾波算法計(jì)算方法下的濾波步長(zhǎng)值較大時(shí)，會(huì)影響濾波穩(wěn)態(tài)，那么函數(shù)立即降低濾波步長(zhǎng)為零，去平衡整體的濾波分析算法的計(jì)算精度。在濾波步長(zhǎng)取值較小時(shí)，函數(shù)立即根據(jù)信號(hào)的強(qiáng)度，將濾波步長(zhǎng)提高至最大值。綜上所述，公式只能根據(jù)需求將濾波步長(zhǎng)最大化或者最小化，無(wú)法取中間值，因此最終的分析網(wǎng)絡(luò)信號(hào)狀態(tài)的自適應(yīng)濾波處理算法的計(jì)算如式（4）所示：

其中，β表示濾波步長(zhǎng)；e表示濾波的數(shù)據(jù)包個(gè)數(shù)；b表示自適應(yīng)濾波的穩(wěn)態(tài)系數(shù)；α表示網(wǎng)絡(luò)平衡系數(shù)。

基于自適應(yīng)濾波處理的網(wǎng)絡(luò)入侵監(jiān)測(cè)系統(tǒng)工作流程如圖5 所示。

圖5 網(wǎng)絡(luò)入侵監(jiān)測(cè)系統(tǒng)工作流程

1）首先啟動(dòng)基于自適應(yīng)濾波處理的網(wǎng)絡(luò)入侵監(jiān)測(cè)系統(tǒng)，激活硬件區(qū)域的器件，利用數(shù)據(jù)處理器收集網(wǎng)絡(luò)系統(tǒng)內(nèi)的異常攻擊信號(hào)和運(yùn)行信號(hào)，采集到數(shù)據(jù)信號(hào)時(shí)，立即將信號(hào)的地址和相應(yīng)操作系統(tǒng)信息的映射表打包傳輸?shù)教幚砥鳎?/p>

2）處理器接收異常網(wǎng)絡(luò)入侵信號(hào)和攻擊信號(hào)的數(shù)據(jù)包時(shí)，根據(jù)入侵信號(hào)的IP 地址和操作系統(tǒng)信息的映射表，確定兩者之間的網(wǎng)絡(luò)入侵規(guī)則集，不同規(guī)則集的入侵模式不同，通過(guò)對(duì)入侵模式進(jìn)行監(jiān)測(cè)，提高系統(tǒng)的監(jiān)測(cè)精度；

3）通過(guò)濾波器調(diào)用自適應(yīng)濾波處理算法并根據(jù)算法分析的網(wǎng)絡(luò)被入侵的攻擊IP 地址，驅(qū)動(dòng)監(jiān)測(cè)器對(duì)該區(qū)域進(jìn)行監(jiān)測(cè)，一旦發(fā)現(xiàn)實(shí)質(zhì)性的攻擊行為立即進(jìn)行初級(jí)阻止并及時(shí)反饋給網(wǎng)絡(luò)安全管理中心，保證網(wǎng)絡(luò)入侵的安全性。

3 實(shí)驗(yàn)研究

為了檢測(cè)該文提出的基于自適應(yīng)濾波處理的網(wǎng)絡(luò)入侵監(jiān)測(cè)系統(tǒng)的有效性，選用該文系統(tǒng)與傳統(tǒng)系統(tǒng)進(jìn)行實(shí)驗(yàn)對(duì)比。傳統(tǒng)的監(jiān)測(cè)系統(tǒng)分別為基于云計(jì)算的網(wǎng)絡(luò)入侵監(jiān)測(cè)系統(tǒng)、基于自適應(yīng)深度檢測(cè)的網(wǎng)絡(luò)入侵監(jiān)測(cè)系統(tǒng)。

設(shè)定實(shí)驗(yàn)參數(shù)如表1 所示。

表1 實(shí)驗(yàn)參數(shù)

根據(jù)上述參數(shù)，選用該文提出的系統(tǒng)和傳統(tǒng)系統(tǒng)進(jìn)行實(shí)驗(yàn)對(duì)比，實(shí)驗(yàn)次數(shù)共有10 次。3 種系統(tǒng)得到的漏報(bào)率實(shí)驗(yàn)結(jié)果如表2 所示。

表2 漏報(bào)率實(shí)驗(yàn)結(jié)果

根據(jù)表2 的實(shí)驗(yàn)結(jié)果可知，該文提出的系統(tǒng)漏報(bào)率遠(yuǎn)遠(yuǎn)低于傳統(tǒng)系統(tǒng)的漏報(bào)率，因此系統(tǒng)監(jiān)測(cè)能力更強(qiáng)。監(jiān)測(cè)準(zhǔn)確率實(shí)驗(yàn)結(jié)果如圖6 所示。

圖6 監(jiān)測(cè)準(zhǔn)確率實(shí)驗(yàn)結(jié)果

觀察圖6 可知，該文提出的監(jiān)測(cè)系統(tǒng)監(jiān)測(cè)準(zhǔn)確率高于傳統(tǒng)監(jiān)測(cè)系統(tǒng)的準(zhǔn)確率。該文提出的系統(tǒng)應(yīng)用自適應(yīng)濾波處理技術(shù)具有很強(qiáng)的信息篩選能力，能夠在短時(shí)間內(nèi)確定入侵監(jiān)測(cè)數(shù)據(jù)，從而實(shí)現(xiàn)監(jiān)測(cè)，而傳統(tǒng)系統(tǒng)受到噪聲數(shù)據(jù)影響，監(jiān)測(cè)準(zhǔn)確率較低。

4 結(jié)束語(yǔ)

該文設(shè)計(jì)了濾波器、數(shù)據(jù)采集器、處理器以及監(jiān)測(cè)器，分析各個(gè)器件的性能和工作任務(wù)，通過(guò)自適應(yīng)濾波算法調(diào)用硬件區(qū)域的各個(gè)器件，完成網(wǎng)絡(luò)入侵監(jiān)測(cè)系統(tǒng)設(shè)計(jì)。實(shí)驗(yàn)結(jié)果表明，設(shè)計(jì)的系統(tǒng)能夠達(dá)到提高網(wǎng)絡(luò)入侵監(jiān)測(cè)準(zhǔn)確率的研究目的。