軟件異類入侵數據自我識別強度云檢測方法

黃振華，李春華，張 波，劉翠煥

(1.河北工程技術學院軟件學院，河北石家莊 050091;2.河北科技大學信息科學與工程學院，河北石家莊050018)

1 引言

在互聯網飛速發展的同時，越來越多的網絡安全問題接踵而來，計算機系統中防火墻無法全方面做到隔離軟件異類數據[1-2]。目前針對軟件異類入侵數據相關領域學者做了大量的研究，并取得了一定的成就，但是在檢測率和誤報率上仍然存在問題[3-4]。神經網絡存在著一些不足，神經網絡拓撲在一定程度上受到限制，神經網絡比較復雜，計算負荷較重。

云檢測本質上是一個隨機的過程，在軟件內部組網端序列數據傳輸過程中，數據相對穩定，異類數據難以入侵，數據難以產生巨大的波動，因此可行性更高[5]。云檢測是一種主動的網絡安全防御措施，能有效彌補防火墻的不足，對網絡采取實時性、全方位保護，對系統外部試圖入侵的異類數據進行檢測防護。

綜上所述，傳統的檢測方法已不能滿足現在網絡安全的需要，為了解決軟件異類入侵數據在傳送過程中精確度不足的問題，本文建立了一種基于異類入侵數據自我識別強度的云檢測方法，混合采用神經網絡模型，實現了一種實時模擬分光器，采用ROC曲線對收集的數據與測試的數據進行對比評估。經實驗證明，云檢測方法可以有效地提高數據的精確度。

2 軟件異類入侵數據識別

為更好地實現入侵數據的檢測，前提是需要識別異類入侵數據。入侵數據識別分為三部分，分別是：數據收集、入侵分析和響應處理。軟件異常入侵數據識別結構圖如圖1所示。

圖1 軟件異常入侵數據識別結構圖

觀察圖1可知，數據收集是采集軟件數據，是入侵檢測中的基礎。入侵分析是云檢測方法的核心步驟，對采集到的數據進行加工處理并分析與原始數據進行對比，判斷數據是否為異類數據，是否影響整體的運行狀態[6]。若數據屬于異類數據且存在異常入侵的情況，則通過響應處理進行報警，值班人員通過原始數據流提取異類數據并與儲存的數據進行對比更正。云檢測是通過整合主機網絡信息和若干分集機網絡信息方式進行發掘與分析。根據異類數據的軌跡發現其入侵行為，將主機的正常樣本與檢測的采集數據樣本進行對比，對異類數據進行糾正，確保系統資源的精確性。

因此在進行數據識別時，可按照檢測對象和入侵方式進行分類，按檢測對象的不同可以分為兩類，主機數據和網絡數據，按入侵的方式不同，分為數據異常和輸入錯誤兩種入侵方式。分類如表1所示。

表1 入侵數據分類

為盡量減少數據入侵，在輸入電腦程序時盡量避免錯誤，減小系統誤差，提高系統精確度。及時發現數據異常的入侵方式，避免對后期數據的影響。再根據日志與顯示數據，將已知的異常數據變成攻擊編碼模式[7]，數據編碼如圖2所示。

圖2 數據編碼模式

存儲在入侵模擬數據庫中，將實施的正確數據與入侵模式中異常數據進行匹配，識別出入侵數據。

3 異類入侵數據自我識別強度云檢測

3.1 源程序數據傳輸的路徑優化模型

由于在直角坐標系中，異常數據樣本和正常數據的樣本是不一致的，因此本文通過建立直角坐標系完成數據處理工作。隨機抽取n個數據作為基礎樣本，通過Matlab軟件畫出ROC曲線，判斷出數據的精確值，再重復此操作。對其它樣本進行取樣計算標準數據與測出數據的偏移量，對重合的數據進行儲存，有差別的數據進行重新整合，直至ROC曲線是一條重合的線[8]。

若ROC不是一條光滑的曲線，則需將ROC曲線分為若干段，形成若干小梯形，計算出每個梯形的面積為數據的精確值，通過若干梯形面積相加得出數據的個數與正常數據數相減，得出異常數據的誤報率。在ROC曲線中尋找出檢測的最佳工作點。

由于操作錯誤系統軟件會產生一些不正常的樣本點，一般情況下，與做出的ROC曲線不重合的孤立點是由于操作失誤而得到的，因此要保證數據的準確性，首先要確保主機系統內數據的準確性，對不規律的數據進行糾正，標記異類數據。軟件內部組網具有周期性，每一個程序都以異常數據攻擊的先后順序排列，根據程序的不同，所處環境不同。因此對程序進行調用，在軟件網絡中，每個節點都對應不同的程序，程序內部每條路徑代表著每個數據傳送的過程，建立不同的數據傳輸通道形成數據網，植入云檢測系統和報警系統，在一定安全策略下，進行入侵云檢測。由于軟件網絡中每條路徑都有起點和終點，在節點上具有儲存數據的功能，異常數據常常通過程序的漏洞對每個節點進行攻擊，通過改變源程序數據傳輸的路徑，使整體的序列與正常執行的序列有一定的差異。因此本文在數據處理過程中，構建了源程序數據傳輸的路徑優化模型

(1)

式(1)中，E(n)為獲得的數據處理模型，e為常數值，n為監測到的異常數據數量。

3.2 入侵數據自我識別強度云檢測

在上述路徑優化模型的基礎上，進行云檢測，云檢測方法主要分為數據庫清洗和集成、數據庫儲存、選擇與轉換特定數據集、數據挖掘形成模式、評估與表示五個階段。入侵數據自我識別強度云檢測流程如圖3所示。

圖3 入侵數據自我識別強度云檢測流程

觀察圖3可知，數據庫清洗和集成的作用是找出異樣數據，對異樣數據進行整合清洗；數據庫儲存的作用是將清洗過的數據進行儲存，將數據源中的數據組合到一起；選擇與轉換特定數據集作用是將整合后的數據進行篩選整合成數據包的形式進行特定的存儲；數據挖掘形成模式是對特定存儲的數據進行分解，智能的將數據進行有規律的分解；評估與表示知識作用是根據分解出的數據篩選出有意義的模式知識，利用數據的可視化向用戶展現出來。

數據通過傳輸網傳送，在節點的末端小型中央處理器對數據進行讀取、審計并記錄，用exevce/inetd系統檢測，產生新的數據，主機系統對數據進行自我識別[9]。若數據發生異常，則重新返回開始，進行糾察并重新傳輸數據，若數據與原數據一直繼續向下傳輸，得到path的數據值，判斷是否為正確的程序。如果數據經過加權后，得到了相應的服務權限矢量，判斷 PID是否存在矢量中，如果沒有，系統就需要重新編程，如果存在矢量繼續向下傳輸判斷是否 fork如果繼續向下傳輸，輸出的數據存儲在相應的數據資源庫中，如果不是，就需要檢查數據并糾正重新傳輸。

通過構建線性函數將原有的數據映射到三維空間內，將空間進行劃分，利用矩陣尋找異類數據的過程從而獲得最優解，采用最小誤差平均準則E=1，將整體數據集劃分成互不重合的數據塊，使整體數據形成緊湊的獨立體[10]。分割過程如圖4所示：

圖4 數據分割原理

根據圖4的分割原理得到數據獨立體，在獲得離散型屬性數據后，通過構建新線型函數將原有的數據映射到三維空間內，將空間進行劃分，利用矩陣尋找異類數據的過程從而獲得最優解[11]。云檢測的方法主要依賴于模擬數據庫，若模擬數據庫中無正常數據，則不能檢測出攻擊數據，若異常數據的實時編碼與正常數據超過一定的閾值，正常數據也會受到攻擊。對整體數據進行分析處理，展現出正常數據與異常數據之間的非線性關系，通過隨機取樣的方式來進行數據對比。利用HMM(Hidden Markov Model)模型的檢測功能[12]，通過云測試識別出異樣數據，實現信息分布化處理，增加處理過程的自適應性。HMM模型如圖5所示。

圖5 檢測模型

觀察圖5可知，每條通道上傳輸的數據可以簡稱為數據流，具有連續性，大容量，快速響應的特點，當異類數據入侵時，在數據流中執行云檢測，若數據為事件數據的一部分，則其為入侵數據。數據主要有三種數據類型：點異常、樣本異常、順序異常。感應數據流的傳輸數據，增強了數據流算法的穩定性，提高了檢測性能，增加檢測過程穩定性。

4 仿真與分析

為了檢測本文提出的軟件異類入侵數據自我識別強度云檢測方法的有效性，與現有方法進行對比實驗研究，選用的對比方法為基于SDN的智能入侵檢測系統模型與算法(文獻[3]方法)、基于云模型與決策樹的入侵檢測方法(文獻[4]方法)。

入侵檢測性能指標主要包括三方面：檢測率、誤檢率和漏報率。

1)檢測率是云檢測系統受到異類數據入侵時能夠準確報警的概率，檢測率越高，說明方法的性能越好，計算公式為

(2)

式中，C1為正確檢測異類數據入侵的次數，C為異類數據入侵的總次數。

2)誤檢率是云檢測系統錯誤判斷異類數據入侵的概率，誤檢率越低，說明方法的檢測性能越好，其計算公式為

(3)

式中，C2為錯誤判斷異類數據入侵的總次數。

3)漏報率是系統對未檢測到的異常數據大致估算概率，漏報率越低，說明檢測結果更可靠。其計算公式為

(4)

式中，SZ為漏報為正常的入侵次數，為異類數據入侵的總次數。

設定實驗參數如表2所示。

表2 實驗參數

設定實驗環境：實驗所用系統為Windows 2010 64位，內存4GB，CPU 3.30 Hz，仿真平臺為MATLAB R2018 b。具體實驗結果與分析如下內容所示。

4.1 檢測率實驗

根據上述實驗參數和實驗環境，利用三種檢測方法檢測軟件異類入侵數據，得到的檢測率實驗結果如圖6所示。

圖6 檢測率實驗結果

根據圖6可知，當檢測時間為4min時，文獻[3]方法檢測率為22%，文獻[4]方法檢測率為29%，研究的檢測方法檢測率為38%；當檢測時間為8min時，文獻[3]方法檢測率為44%，文獻[4]方法檢測率為48%，本文提出的檢測方法檢測率為65%；當檢測時間為12min時，文獻[3]方法檢測率為60%，文獻[4]方法檢測率為80%，本文提出的檢測方法檢測率為82%。由此可知，研究的檢測方法檢測率要始終高于傳統的檢測方法，隨著檢測時間的增加，三種檢測方法的檢測率也在逐漸提高。

4.2 誤檢率實驗

依據上述實驗環境，對比三種方法的誤檢率，將測試數據隨機劃分為10組，每組數據為1550個，檢測每組數據時隨機加入入侵數據30個?；诖耍`檢率實驗結果如圖7所示。

圖7 誤檢率實驗結果

由圖7可知，研究的檢測方法誤檢測率明顯低于對比檢測方法的誤檢測率，由于研究的方法采用云檢測，所以更好地對數據進行分析，探究數據的內部強度，提高了異類數據檢測精度。綜上所述，此次研究提出的檢測方法更適合應用到軟件異類入侵數據檢測中，適用性更廣，應用效果更強。

4.3 漏報率實驗

同樣依據上述實驗環境，以3.2節實驗的數據分組為基礎進行漏報率實驗，具體實驗結果如圖8所示。

圖8 漏報率實驗結果

由圖8可知，對比的兩種方法漏報率介于10%～16%之間，而研究的方法的漏報率介于2%～6%之間，低于對比方法。因為研究的方法考慮到軟件內部組網的攻擊順序排列問題，優化了數據傳輸路徑，并在數據網中植入了云檢測系統，形成了較穩定的檢測環境，同時也實現了降低漏報率的目的。

5 結束語

本文利用軟件異類入侵數據研究了一種新的自我識別強度云檢測模型，該模型具有強大的自我識別能力和傳送數據能力，可以快速的識別到異常數據，對入侵異常數據進行性能的檢測，有效地提高入侵系統的誤報率和漏報率。運用ROC曲線進行云檢測，將正常數據與異常數據進行對比，找出異常區域加以糾正，提高了檢測的精確度。