基于特征選擇算法的網絡實時入侵檢測系統研究

摘? 要：為了保障網絡系統的安全與穩定，需要進行網絡入侵檢測模型研究，目前具有代表性的檢測系統是基于遺傳算法找出網絡入侵的特征子集，但該系統檢測準確性較低且訓練時間過長。為此，本文將特征選擇算法應用到網絡實時入侵檢測系統中，提出了一種基于特征選擇的實時入侵檢測方法。通過搭建非法入侵檢測實驗平臺將該方法與基于遺傳算法的網絡入侵檢測方法做比較，實驗結果表明，該方法在檢測攻擊的準確率方面優于另一入侵檢測系統，并且所需檢測時間也短于另一檢測系統。

關鍵詞：特征選擇算法;網絡入侵;實時檢測系統

中圖分類號：TP393.08;TP181? ? ? ?文獻標識碼：A 文章編號：2096-4706（2019）20-0157-03

Abstract：In order to ensure the security and stability of network system，it is necessary to study the network intrusion detection model. At present，the representative detection system is based on genetic algorithm to find the characteristic subset of network intrusion，but the detection accuracy of the system is low and the training time is too long. Therefore，feature selection algorithm is applied to network real-time intrusion detection system，and a real-time intrusion detection method based on feature selection is proposed. This method is compared with the network intrusion detection method based on genetic algorithm by building an experimental platform of illegal intrusion detection. The experimental results show that this method is superior to the other intrusion detection system in detection accuracy，and the detection time is shorter than the other detection system.

Keywords：feature selection algorithm;network intrusion;real-time detection system

0? 引? 言

特征選擇算法是近幾年來發展起來的一類安全算法，它通過分析挖掘、檢測網絡中的數據流量的相關性、關聯性，已經廣泛應用在金融，建筑，信息安全等領域[1]，從中發現網絡信息系統中是否有違反安全策略的關聯網絡和被破壞置信度的跡象。它彌補了神經網絡模式的防護措施缺口。隨著攻擊類型越來越多，蠕蟲、木馬、漏洞攻擊、邏輯炸彈等威脅通常混合出現，留給系統恢復的時間越來越短，網絡安全受到新的挑戰[2]。原始的入侵檢測機制通過模擬自然界的進化機制，如遺傳信息尋優編譯機制，找到粒子群數據特征集，取得了不錯的檢測效果。但是遺傳算法要求樣本大、成本高，學習速度慢。無法把攻擊防御在企業網絡之外，影響入侵檢測的實時性，因此網絡入侵檢測具有廣泛的發展空間。本文將文獻[3]作為傳統檢測系統的代表，與本文提出的檢測系統進行對比，以此求證本文設計的系統是否真正實現了檢測入侵的功能優化。

1? 網絡實時入侵檢測系統硬件設計

為實現網絡實時入侵檢測，需要對缺乏主動式的自我防御網絡下非法入侵檢測系統的動態特征以及采樣芯片、分類器接口控制芯片、電源管理芯片等硬件進行設計選型，從而實現在缺乏主動式的自我防御網絡環境下非法入侵檢測系統的硬件系統構建。

1.1? 網絡入侵檢測系統的數據采樣芯片

對于硬件系統的構建，本文經過對市面上排名靠前的芯片進行測評之后采用SVD411超平面特征芯片，它包含一個5ms386位可信度閾值的強規則關系器，其內部電路連接方式如圖1所示。

SVD411芯片中Dn代表檢測強度模式共有8種篩選模式，一旦掃描與探測程序運用高維程序樣本開始運轉，數模轉換器在既定方式下執行數據樣本采樣（REFIN）。

1.2? 網絡非法入侵檢測系統接口控制芯片的選型

特征選擇算法協議的復雜性要求外設硬件系統必須具有智能控制功能，需要調節接口控制芯片減少漏檢以及對非本地用戶強制訪問等情況[4]。本文從系統調制解調功能、成本、系統開發復雜程度等角度出發，對接口控制芯片進行選型。本文選用帶智能TIP接口的MAX532系統芯片，具備足夠的審計極限內核，具有快捷連接接口挖掘引擎，并且使得缺乏主動式的自我防御網絡環境下的網絡入侵檢測系統具有較強的易操作性。

1.3? 電源管理芯片

在網絡非法入侵檢測系統設計過程中，由于系統各模塊工作電壓場效應不一樣，因此也需要設計安裝一枚電源管理芯片，滿足輸出不同電壓的要求。本文選用TP-352型號的集成穩壓器，由于其采用全銅涂層，具有低電能損耗值等優點，可以提供12～220V的變壓區間，符合本文應用的芯片工作要求。排列方式有PNP和NPN兩種，具有變壓作用的工作簡化電路如圖2所示。

如電路圖2所示，電源管理芯片選用了符合歐盟RoHS標準的，型號為2N3055的三極管，選擇2個電阻并聯，約400Ω。輸入端、輸出端可以給一些需要高電壓、小電流的的電路供電，接地端保證了電路系統的安全。

2? 網絡實時入侵檢測系統軟件設計

入侵檢測系統軟件架構如圖3所示。可知最為關鍵的模塊為特征選擇和入侵檢測，本文提出的優化算法兼顧兩者的工作效果。

2.1? 特征選擇模塊算法流程

Vor+rsion=10

DMSKStMSKS = Y（B）Vuln

Vor+ndor=BOCO

“BOCO-1999"}"loudong"}3} /shortdor+sc/}/fulldor+sc/}/solution/}/Windows2000sor+r

vor+r//Soloris8/}/CVOR+1999/，/CMSKSN1999/} 1，2}3，4

BOC000/}/loudong/}3}

........f=sMSKS#

fsMSfs ;lkMSKSjf ;MSs，.fMSKSdsf

fMSsfjk ;kMSKSjfdMSj#

y′k（t）

solution，

f=MSKSfMSKSs

Windows2000Sor+rvor+r

Windows2003Sor+rvor+r

Nerble1999

C3）入侵檢測漏洞掃描的XML， 定義源數據

分類1

分類1

2.2? 入侵檢測模塊算法流程

1） L 11=FAXIAN-fror+quor+nts-l- itor+msor+ tmor+nt（D）;//尋找發現決策樹1一項集

2） Du i yu （k=2 ;? Lk-1 }? }? ; k--）{//控制目標協議

3） Cks=apriori-gor+nts（lk-1，? min-sum）;//根據頻繁（k-1）一項集產生k-項集合

4） Duiyu Mor+iyigor+ t OR+? D ;? //對目標Websell進行轉義攔截

5） Cts=subsor+ts （Ck， lauguage） ;//得到Cts所包含的安全分配權限

6） sdsdms + Ctc.count++;

7） }Umm urbandor+cay 初始化二進制粒子群

8） Lk={ smanber+ Ct} c. count lang}min_ sup} ;//遍歷整個lang命令，找到漏洞原因

9） fa55weiweihui L=Uk association //

中斷屏蔽攻擊程序的抗檢測程序：

1） D3diy3d Mor+m3dwet+ L1 OR+? Lk-1

2） D3diy3d Mor+m3dwet+d3dror+s has_ infror + L2 OR+? Lk-1

3） if（}Ll [1]=12 [l}…i FALSOR+; （L1 [k-2]=L2 [k-2]）八（L1 [k一1]

4） c= L 1 O L 2; //將兩個決策樹項集進行連接

5） if has- infror+q3dor+nt itor+msor+t（c， Lk-1）

6） suround3d c;? //刪除不可能產生誤差的可疑入侵節點候選

7） or+lsor+ Ck=Ck U a {c};

8） +quor+nt subsor+t （c， Lk-1）

9） end

3? 檢測系統對比實驗

在網絡環境下搭建非法入侵檢測實驗平臺。實驗以包含四種數據類型的ORM99標準異常數據集為對象，利用本文所提方法與文獻[3]基于遺傳算法的檢測系統實行網絡實時入侵檢測實驗，實驗結果如表1所示。

表1展示的實驗結果展示出本文設計的網絡非法入侵檢測系統在大數據環境下檢測效率較高，漏檢率較低，相比較而言檢測效果優異。綜上所述，本文所提方法的運行能耗較低，檢測速度較快，檢測效果較好，具有一定的應用價值，表明本文的研究成果具有實用性。

4? 結? 論

本文采用的算法主要是特征選擇，不改變檢測內容的特征屬性，這適用于數據具有較鮮明特征的檢測情景，檢測效果較好，但是在處理模糊單一特征的例如經典數據集方面稍遜色一些。因此在下一步工作中，要選擇更加精準的特征提取方法設計網絡實時入侵檢測系統，保障網絡系統和信息傳輸安全。

參考文獻：

[1] 戴遠飛，陳星，陳宏，等.基于特征選擇的網絡入侵檢測方法 [J].計算機應用研究，2017，34（8）：2429-2433.

[2] 徐慧，劉翔，方策，等.一種基于可拓距的特征變換方法及其在網絡入侵檢測中的應用 [J].河南師范大學學報（自然科學版），2017，45（5）：101-107.

[3] 睢丹，黃永燦.基于改進遺傳算法的網絡入侵檢測 [J].數字技術與應用，2016（4）：191-192.

[4] 安尼瓦爾·加馬力，亞森·艾則孜，木尼拉·塔里甫.基于連接數據分析和OSELM分類器的網絡入侵檢測系統 [J].計算機應用研究，2017，34（12）：3749-3752.

作者簡介：鄧興華（1982-），男，漢族，河南商丘人，講師，本科，研究方向：網絡技術，電子商務。