基于人工神經網絡的企業黑客入侵防護系統設計

趙金夢，張靜，蘇蓓蓓，劉欣渝，尚智婕

（國家電網有限公司 信息通信分公司，北京，100000）

0 引言

隨著無線局域網發展越來越快，產生了許多網絡安全問題，IEEE 802.11協議存在固有漏洞，產生了許多網絡安全問題[1]。在企業中，網絡安全問題關系著企業的機密，也決定企業的發展，因此設計企業黑客入侵防護系統對企業發展來說非常重要[2]。目前，黑客可以通過多種方法入侵企業網絡，竊取企業內部機密，例如無線電干擾等入侵，可導致企業網絡癱瘓，甚至無法使用。人工神經網絡可以使用BP算法快速識別黑客入侵信息，及時進行防護，因此，基于人工神經網絡設計了企業黑客入侵防護系統。

1 硬件設計

1.1 X8AT數據采集器

企業的網絡中可能有來自不同廠商的多種安全信息，因此，每個網絡安全設備都有自己的數字終端，可以生成各種事件信息，包括日志和警報信息[3]。因此，在設計企業的黑客入侵防護系統時，需要選取一個能夠有效整合來自各種網絡的信息數據采集器。因此本文選取X8AT作為本文設計系統的核心數據采集器，X8AT核心數據采集器不僅可以從網絡的各個部分收集安全事件信息，也可以對采集到的異構網絡安全事件進行歸一化，對各個設備發送的重復信息進行聚合過濾，合成一個綜合信息，其分辨率較高，具有高速轉運性能，可高速處理各種各樣的任務指令，該數據采集器的參數如表1所示。

表1 X8AT數據采集器參數

由表1可知，該數據采集器的相關參數符合本文設計的入侵防護系統的需求，但由于網絡安全事件管理和分析的完整實現必須依賴于安全的數據交互。因此，在應用數據采集器時，需要將采集的數據轉換為CIDF標準格式，便于進行數據加密。

1.2 Portocol協議解析器

協議解析器可以監控和接收來自網絡上各種協議的安全事件，并進行綜合分析和處理[4]。因此其支持協議資源配置，可以使用初始化配置文件處理來自人工人精網絡的入侵事件，為了提高入侵防護系統的防護等級，協議解析器可以統一將事件規范化，將規范化后的事件發送到過濾模塊，再由過濾模塊根據預定義策略過濾安全事件或用合并標志標記重復發生的事件，來將多個安全事件合理化，提高檢測精度。

本文選取Portocol協議解析器作為入侵防護系統的核心解析器，該解析器支持長度為7的報文，內部包括若干個功能碼，因此其能在超過8個數據域應用，當來自人工神經網絡的企業黑客入侵數據傳入后，該協議解析器可以立即使用快速處理鍵修改不必要的配置文件，輸入合理的解析協議進行解析，解析后的文件再傳輸到入侵檢測通道完成基礎檢測，最大程度上提高了入侵防護系統的防護安全性。在解析過程中，還需要使用File檢查解析格式的正確性，確保解析的入侵內容符合檢測通道的檢測要求。

1.3 TCP過濾端口

為了保證企業黑客入侵防護系統的防護穩定性和檢測靈敏性，本文在該系統內部添加了TCP過濾端口，通過該端口的數據可以被端口內部設置的數據管理模塊有效識別處理，再結合端口內部邏輯進行數據過濾。為了保證系統的入侵防護效果，本文設計的過濾接口添加了有效的IP處理包，即數據輸入后可以根據數據地址和數據傳輸需求設置TCP過濾端口內部的過濾因子，經源IP地址傳輸到目的IP地址，再輸入源TCP/UDP端口從而實現目的TCP/UDP端口的轉化。

在實際黑客入侵時，可能存在數據包長度過高導致的檢測異常問題，此時可以使用該TCP過濾端口內部的TCP/IP網絡將輸入系統中的數據包進行分割，檢查發送IP和接收IP地址，完成入侵過濾，實現高效入侵防護檢測。

2 軟件設計

2.1 設計入侵防護控制中心

控制中心通過監控代理和無線AP實現入侵檢測與防護。由于無線AP要提供接入服務，如果需要大量時間進行入侵檢測和防護，勢必會影響接入性能。因此，無線AP的入侵檢測和防護只能在正常無線連接的情況下檢測并響應黑客入侵。

與無線AP相比，監控代理需要做更多的工作，才能實現入侵檢測與防護。監控代理必須不斷地切換工作通道，如果在特定通道上工作，必須檢測該通道的特定入侵行為，并做出適當的響應才能實現入侵檢測。控制時，監控代理和無線AP必須分工協作，才能保護網絡不受侵犯。

控制中心對硬件沒有特殊要求，可以是普通PC，但必須配置網卡，只要能和無線路由器通信就可以上網，控制中心可以部署在任何地方，采用TCP/IP與路由器通信，無線路由器將無線AP檢測到的入侵和違規行為上報給控制中心，再由控制中心上報最新認證的AP信息，經認證的AP 安全行為準則再由控制中心分發給無線路由器。控制中心的作用是監控整個WLAN的安全狀態，并與無線AP和監控代理即時通信，收集各個無線AP上報的入侵或異常事件，可以讓管理員及時了解WLAN的安全狀態，建立相應的安全策略[5]。

控制中心維護WLAN 內每個授權AP 的信息。在授權AP的情況下，控制中心需要存儲的信息包括MAC地址、SSID名稱、物理位置等。控制中心還可以維護關鍵Intranet 客戶信息，要實現內網客戶端的非法檢測，必須先在控制中心注冊內網客戶端。控制中心提供了一種機制來授權AP行為準則，網絡管理員可以指定WLAN中AP必須遵守的安全標準實現數據加密。

2.2 捕獲無線分組

無線數據捕獲由監控代理和無線AP 完成，監控代理需要專用的無線網卡來進行無線通信。再捕獲時，無線AP必須開啟混雜模式，再捕獲初期，需要打開無線網卡對應無線接口的原始socket，得到網卡的原始MAC。監控代理還必須捕獲所有可用信道上的無線電數據包。因此，為了達到較高的入侵檢測精度，監控代理必須擁有足夠的監控時間，每100毫秒發送一個正常的信標幀，如果監控時間太短，則檢測不到入侵數據。

如果單個通道的監控時間過長，入侵檢測延遲會增加，入侵檢測可能會失敗，在發起攻擊之前，入侵者可能是警覺的，可能存在足夠的時間來破壞網絡。因此，考慮到檢測精度和延遲，對每個通道進行150毫秒地監控。無線AP不需要切換信道，在正常的無線接入操作后可以捕獲無線數據包。

在無線分組捕獲過程中存在Wire Shark抓包關系，本文設計的系統為了避免該抓包關系造成的入侵防護漏洞進行了抓包捕獲處理，首先打開入侵防護界面，選擇相應的抓包選項，再使用自動捕獲技術進行抓包，此時的數據包列表中可以顯示全部被捕獲的入侵數據包信息，根據各個信息的摘要即可進行捕獲分類，降低數據包捕獲難度。上述步驟完畢后可以打開cmd接口，找到自己的網關，點擊捕獲分組按鈕，抓取相應的入侵數據包，直至ping結束，即可點擊停止按鈕，完成抓取。

將上述抓取到的數據包放入TCP中進行分析，輸入TCP源碼，再以相同的方法輸入ICMP源碼，完成ICMP數據包識別。為了保證入侵防護系統的防護有效性，本文設計的系統在準備工作初期就完成了sudo的安裝，后續僅需要點擊捕獲按鈕，抓取相應的入侵數據包，即可完成無線分組高效捕獲。

2.3 基于人工神經網絡設計入侵防護功能模塊

使用人工神經網絡，可以將入侵檢測模塊按照抽象的連接方式連接，并進行合理運算，判斷各個防護節點之間的入侵防護連接關系，再結合信息處理法進行抽象化處理，建立有效的入侵防護模型，設計入侵防護模塊。流氓AP的存儲方式和操作方式與授權AP相同，流氓AP的BSSID地址具有6個八位字節。如果流氓AP在系統規定的時間內沒有出現，則將其從鏈接列表中刪除，并在流氓AP的操作模式、信道等信息發生變化時更新鏈表。流氓AP可以向控制中心發送告警信息，防止控制中心被告警信息淹沒。

如果接收到的幀被無線AP 捕獲，并且該幀的BSSID 與無線AP 的MAC 地址相同，則代表流氓AP 正在欺騙本地AP的MAC 地址。根據首次發現流氓AP的時間，將流氓AP 添加到流氓AP 列表，并進行標記，從而完成入侵防護，基于此，本文設計了幾個不同的入侵防護功能模塊。

首先是入侵防護轉發模塊，該模塊主要由Linux內核進行支撐，且配備了專屬編譯碼，可以根據系統的安全狀態完成源碼轉換，配置有效的入侵檢測防護網橋。第二是入侵檢測防護系統的檢測模塊，該模塊可以在IDS基礎上完成入侵檢測，一旦檢測到相關的入侵因子，會立即報警，最大程度上避免黑客入侵，本文設計的檢測模塊內部添加了特征匹配、異常檢測等檢測中心，可以最大程度上完成異常檢測，提高入侵檢測效率，保證系統的防護有效性。

響應模塊是本文設計的入侵防護系統的核心，其可以及時分析由檢測模塊傳輸的檢測數據，完成攻擊源碼提取，再結合攻擊特征設置相應參數，完成入侵告警，該模塊主要以系統日志、Full、UNIX、Tcpdump等輸出方式進行告警輸出，可以實時采取入侵防護行動，控制異常信息，提高入侵防護系統的防護可靠性。

3 系統測試

為了檢測本文設計的企業黑客入侵防護系統的性能，以及其在正常情況下的入侵檢測防護狀態，搭建了測試平臺，進行系統測試，如下。

3.1 測試準備

整個測試環境由兩部分組成，即入侵檢測防護網絡和入侵者。測試環境中入侵檢測防護網絡包括一個控制中心和兩個無線路由器，測試環境的結構如圖1所示。

圖1 測試結構

由圖1可知，將演示的入侵檢測類型包括：拒絕服務攻擊、惡意AP、Ad Hoc 網絡、授權AP 和Intranet 客戶端違規，測試環境中將要用到的各組件的作用及其相應的參數如表2所示。

表2 測試環境參數

根據表2的測試環境參數，需要在控制中心注冊三個授權AP，此時的參數比率需要進行預先設定，保證測試環境的穩定性，參數比率計算的公式如下（1）所示。

公式（1）中，S代表參數比率，F代表信道系數，D代表環境指數，Q代表參數初始值，在設計的測試平臺輸入計算的參數比率，即可開始測試。

3.2 測試結果與討論

在上文測試準備搭建的測試條件下，模擬流氓AP對設計的系統進行入侵攻擊，觀察設計系統此時的運行界面，如圖2所示。由圖2可知，設計的入侵檢測系統能成功抵御流氓AP的攻擊，實現入侵防護，接下來檢測設計的企業黑客入侵檢測系統的綜合性能，測試在不同用戶登入情況下設計系統的登入延時與傳統的入侵防護系統的登入延時，檢測結果如表3所示。

圖2 測試界面

表3 企業黑客入侵防護系統性能測試

由表3可知，隨著用戶數量的增加，設計的企業黑客入侵防護系統的時延未明顯增加，且比傳統的入侵防護系統的時延低，因此設計的基于人工神經網絡的企業黑客入侵防護系統的性能良好，有一定的應用價值。

4 結束語

綜上所述，硬件型入侵檢測成本高，人工神經網絡技術在發展中為入侵防護系統提供了技術支持。為了及時發現網站安全隱患，需要結合人工神經網絡，提高防護性能，因此本文設計了基于人工神經網絡的企業黑客入侵防護系統，經過系統測試，結果表明設計的入侵檢測系統性能良好，能成功抵御流氓AP的攻擊，實現入侵防護，有一定的應用價值。