基于人工智能技術(shù)的分布式入侵檢測系統(tǒng)設(shè)計(jì)

摘要：現(xiàn)代計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)中的數(shù)據(jù)處理存在一些問題，這對系統(tǒng)的入侵檢測造成了威脅。為了解決此問題，設(shè)計(jì)了一款基于人工智能技術(shù)的分布式入侵檢測系統(tǒng)。通過對系統(tǒng)的總體結(jié)構(gòu)進(jìn)行分析，設(shè)計(jì)響應(yīng)入侵檢測的策略，利用通信設(shè)計(jì)對是否存在入侵行為進(jìn)行分析，并且對入侵檢測的數(shù)據(jù)進(jìn)行交換。利用報(bào)警模塊對入侵檢測行為進(jìn)行監(jiān)視，全面評估系統(tǒng)，設(shè)計(jì)入侵檢測流程。通過對系統(tǒng)進(jìn)行測試，驗(yàn)證系統(tǒng)能夠檢測外來入侵行為，保證系統(tǒng)應(yīng)用的安全性。

關(guān)鍵詞：人工智能；分布式檢測；入侵檢測

中圖分類號：TP18；TP393.08 文獻(xiàn)標(biāo)識碼：A

0 引言

在互聯(lián)網(wǎng)不斷發(fā)展的背景下，人們對網(wǎng)絡(luò)安全尤為重視。在計(jì)算機(jī)應(yīng)用過程中，難免會(huì)遇到不法攻擊，這對系統(tǒng)網(wǎng)絡(luò)的應(yīng)用造成了影響。因此，如何避免出現(xiàn)此問題，保證企業(yè)和個(gè)人安全，要求相關(guān)人員予以重視。采用入侵檢測系統(tǒng)能夠保證網(wǎng)絡(luò)安全性，并且大部分的網(wǎng)絡(luò)檢測都是利用機(jī)器學(xué)習(xí)方法來實(shí)現(xiàn)的。人工智能技術(shù)也被廣泛應(yīng)用于入侵檢測領(lǐng)域中，其能夠有效處理復(fù)雜數(shù)據(jù)。基于此，本文設(shè)計(jì)了一款基于人工智能技術(shù)的分布式入侵檢測系統(tǒng)[1]。

1 分布式入侵檢測系統(tǒng)的架構(gòu)

圖1 為系統(tǒng)總體架構(gòu)，分布式入侵檢測系統(tǒng)主要由路由器、防火墻、服務(wù)器、交換機(jī)等構(gòu)成，其主要功能為：①系統(tǒng)管理人員能夠利用專業(yè)化服務(wù)器控制中心來協(xié)助解決問題，并且更新系統(tǒng)中的規(guī)則集；②通過網(wǎng)絡(luò)主機(jī)能夠?qū)σ苿?dòng)代理平臺進(jìn)行分析，如果對疑似情況無法處理，需將這些數(shù)據(jù)傳輸至控制中心，深入分析主機(jī)是否存在入侵行為；③通過分區(qū)控制中心對網(wǎng)絡(luò)中的主機(jī)進(jìn)行管制，并且執(zhí)行中心的控制任務(wù)，在數(shù)據(jù)庫中輸入入侵的特征，在控制中心輸入分析結(jié)果。

Agent 人工智能庫能夠在執(zhí)行系統(tǒng)檢測任務(wù)時(shí)，對控制中心的管控部分進(jìn)行管理，從而按照實(shí)際需求來執(zhí)行配置工作，將不必要的工作刪除或者重新設(shè)置[2]。Agent 通信是利用消息傳遞的方式實(shí)現(xiàn)的，系統(tǒng)中通過傳遞消息進(jìn)行相互通信。Agent 控制中心服務(wù)器（云服務(wù)器平臺）能夠管理、控制、協(xié)調(diào)主機(jī)中的移動(dòng)代理，報(bào)告移動(dòng)代理情況，并且得到報(bào)警信息，針對下級無法判別的事情進(jìn)行處理，實(shí)現(xiàn)入侵事件的響應(yīng)。

2 分布式入侵檢測系統(tǒng)的硬件設(shè)計(jì)

2.1 監(jiān)聽器

監(jiān)聽器能夠?qū)ο到y(tǒng)信道中的語音信號進(jìn)行加密和編碼，實(shí)現(xiàn)信息的監(jiān)聽，進(jìn)而構(gòu)成突發(fā)信號。利用接收話機(jī)端調(diào)制信號，并且對信號進(jìn)行解碼，使其成為手機(jī)語音信號。本文系統(tǒng)使用窄帶時(shí)分多址（time division multiple access，TDMA）技術(shù)，該技術(shù)能夠多次呼叫，在呼叫過程中使時(shí)間劃分成為周期性幀。在指定時(shí)隙中設(shè)置基站，用戶能夠利用幀信號在基站中發(fā)送信號。基站能夠收集不同信號，并且根據(jù)設(shè)置時(shí)間發(fā)送給用戶，整個(gè)過程不會(huì)受到干擾[3]。

2.2 分配器

分配器在傳輸系統(tǒng)中屬于主要信號傳輸元件，其能夠?qū)⑤斎胄盘杽澐譃槎鄠€(gè)輸出信號，在編程中定義數(shù)據(jù)結(jié)構(gòu)，使其作為容器，通過設(shè)定的程序進(jìn)行操作，分配動(dòng)態(tài)內(nèi)存，處理釋放的容器，并且分配內(nèi)存。

2.3 控制器

采用傳輸控制協(xié)議（transmission controlprotocol，TCP）繼電器控制器對控制電路和主電路接線方式進(jìn)行調(diào)整，根據(jù)預(yù)定順序改變電阻值，實(shí)現(xiàn)控制電機(jī)啟停等運(yùn)動(dòng)。利用命令寄存器執(zhí)行存儲(chǔ)命令，操作碼能夠展現(xiàn)操作的過程，傳輸指令能夠改變執(zhí)行指令的順序。

時(shí)序電路中包括時(shí)間標(biāo)記信號，微機(jī)中時(shí)間標(biāo)記信號包括時(shí)鐘、總線和指令3 個(gè)周期。微指令能夠執(zhí)行電路指令動(dòng)作，其通過命令和時(shí)間戳來實(shí)現(xiàn)。此電路的控制信號為單一微操作控制，較為復(fù)雜。因此，通過指令計(jì)數(shù)器對下一個(gè)指令地址進(jìn)行執(zhí)行，一般會(huì)在當(dāng)前地址添加1，從而構(gòu)成下一個(gè)指令地址，同時(shí)要求通過指令地址，才能夠執(zhí)行分支指令。

2.4 光纜探測器

本文使用JY211-QTQ 光纜探測器來設(shè)計(jì)發(fā)射機(jī)和接收機(jī)，發(fā)射機(jī)可以測試電池電壓，當(dāng)蜂鳴器驅(qū)動(dòng)電壓低于10 V 就會(huì)發(fā)送告警并停機(jī)，然后匹配自動(dòng)阻抗后顯示光纜信號的強(qiáng)度。通過接收機(jī)對光纜信號進(jìn)行接收，對光纜埋深、路由等進(jìn)行探測。工作人員能夠根據(jù)蜂鳴器聲音、表頭指針來確認(rèn)光纜情況[4]。

3 分布式入侵檢測系統(tǒng)的軟件功能

3.1 捕獲實(shí)時(shí)網(wǎng)絡(luò)數(shù)據(jù)

利用網(wǎng)絡(luò)能夠交互信息，如信息傳輸、下載和上傳。因?yàn)榫W(wǎng)絡(luò)的不同，所以約束協(xié)議也有所不同，這可以使網(wǎng)絡(luò)的運(yùn)行更加安全、穩(wěn)定，并且提高信息的傳輸安全性。IPv6 協(xié)議的地址空間大，能夠擴(kuò)展數(shù)據(jù)傳輸?shù)刂肺粩?shù)，該協(xié)議不僅能夠滿足網(wǎng)絡(luò)地址的增長需求，還能夠保證網(wǎng)絡(luò)鏈接標(biāo)識量。利用采集設(shè)備來檢索緩沖區(qū)，并且對數(shù)據(jù)包進(jìn)行傳遞。

在以太網(wǎng)數(shù)據(jù)傳輸中可以通過數(shù)據(jù)報(bào)文對目的地址進(jìn)行傳送，網(wǎng)絡(luò)接口能夠接收自身的數(shù)據(jù)報(bào)文，同時(shí)將其他報(bào)文丟棄。通過設(shè)置混雜的接口模式，對全部網(wǎng)絡(luò)數(shù)據(jù)報(bào)文進(jìn)行接收。以Libpcap（一種計(jì)算機(jī)程序）獨(dú)立用戶級別，捕獲網(wǎng)絡(luò)數(shù)據(jù)包。在分析應(yīng)用程序可移植性時(shí)，要求通過多操作系統(tǒng)來實(shí)現(xiàn)便于網(wǎng)絡(luò)開發(fā)的程序，使其在捕獲網(wǎng)絡(luò)數(shù)據(jù)包時(shí)，不受主機(jī)協(xié)議的影響。

3.2 數(shù)據(jù)處理

對網(wǎng)絡(luò)數(shù)據(jù)進(jìn)行聚類處理，保證網(wǎng)絡(luò)入侵檢測的精度，以提高數(shù)據(jù)捕獲的質(zhì)量。在對網(wǎng)絡(luò)數(shù)據(jù)處理后，要求對各數(shù)據(jù)賦予權(quán)重，然后網(wǎng)絡(luò)數(shù)據(jù)轉(zhuǎn)變成為無單位變量聚類中心的隨機(jī)網(wǎng)絡(luò)數(shù)據(jù)，設(shè)置數(shù)字型或者離散型的數(shù)據(jù)特征量。網(wǎng)絡(luò)數(shù)據(jù)包、端口號等在網(wǎng)絡(luò)連接過程中都屬于數(shù)值型的數(shù)據(jù)，數(shù)據(jù)包、協(xié)議等類型的數(shù)據(jù)則屬于離散型數(shù)據(jù)。

3.3 網(wǎng)絡(luò)入侵檢測

針對網(wǎng)絡(luò)入侵檢測的規(guī)則，輸出網(wǎng)絡(luò)實(shí)時(shí)數(shù)據(jù)特征的檢測結(jié)果后，啟動(dòng)告警響應(yīng)程序，如圖2 所示。利用數(shù)據(jù)庫和分析器構(gòu)成綜合分析決策層，在預(yù)處理數(shù)據(jù)后檢查過程模型，設(shè)計(jì)響應(yīng)方式。利用控制管理層設(shè)置報(bào)警態(tài)勢，并且對實(shí)時(shí)收集的數(shù)據(jù)進(jìn)行審計(jì)，審計(jì)的重點(diǎn)為節(jié)點(diǎn)通信行為、操作行為和其他的通信行為。另外，還能夠利用節(jié)點(diǎn)的其他信息尋找異常的檢測狀態(tài)，并且針對此狀態(tài)輸出告警信號[5]。

3.4 通信消息協(xié)議

在設(shè)計(jì)系統(tǒng)時(shí)要以入侵檢測交換協(xié)議的格式對通信機(jī)制進(jìn)行完善。在入侵檢測消息交換格式（intrusion detection message exchange format，IDMEF）中能夠通過合適的對象實(shí)現(xiàn)入侵檢測模型設(shè)計(jì)，結(jié)合不同組件的作用對不同警報(bào)消息進(jìn)行統(tǒng)計(jì)。利用分布式入侵檢測系統(tǒng)的內(nèi)部智能主體提高交換協(xié)議的通信能力，其能夠詳細(xì)描述控制命令、配置信息等數(shù)據(jù)，分析IDMEF 消息格、XML文件的數(shù)據(jù)模型。入侵檢測交換協(xié)議（intrusiondetection exchange protocol，IDXP）要求監(jiān)測實(shí)體應(yīng)用層協(xié)議，有效使用二進(jìn)制數(shù)據(jù)和非結(jié)構(gòu)化文本信息。通過融合各安全特征信息，能夠提高IDXP入侵檢測交換協(xié)議的完整性和保密性。

4 系統(tǒng)測試

根據(jù)網(wǎng)絡(luò)仿真軟件實(shí)現(xiàn)本文系統(tǒng)的調(diào)試仿真，采用不同的攻擊次數(shù)對系統(tǒng)檢測準(zhǔn)確率進(jìn)行檢驗(yàn)。在仿真軟件模仿入侵攻擊方式時(shí)，對目標(biāo)節(jié)點(diǎn)發(fā)送非正常數(shù)據(jù)包，區(qū)分系統(tǒng)對不同數(shù)據(jù)包的傳送率，從而對系統(tǒng)設(shè)計(jì)進(jìn)行合理性驗(yàn)證。

4.1 攻擊參數(shù)設(shè)置

在某局域網(wǎng)中安裝Aglet 平臺，機(jī)房1 為實(shí)訓(xùn)樓管控中心，機(jī)房2 和機(jī)房3 在樓層中陳列，并且分別設(shè)置主機(jī)和監(jiān)控服務(wù)器。本試驗(yàn)將機(jī)房1 布設(shè)環(huán)境，通過兩臺服務(wù)器運(yùn)行，表1 為設(shè)置的參數(shù)。在攻擊方發(fā)送數(shù)據(jù)的時(shí)候，系統(tǒng)能夠給安全檢測人員發(fā)送相應(yīng)的數(shù)據(jù)包進(jìn)行告警，檢測人員對攻擊數(shù)據(jù)及時(shí)攔截。

4.2 調(diào)試結(jié)果

針對樣本測試數(shù)據(jù)開展偽裝入侵檢測，系統(tǒng)的檢測數(shù)據(jù)采樣序列較為規(guī)律。客戶端中數(shù)據(jù)的采樣序列范圍為[-1，1]，檢測入侵行為。客戶端中TCP 數(shù)據(jù)包被劃分為S1 和S2，設(shè)置5 個(gè)客戶端。在系統(tǒng)檢測數(shù)量不斷增加時(shí)，會(huì)導(dǎo)致檢測準(zhǔn)確度變化。如果系統(tǒng)前5 個(gè)客戶端出現(xiàn)入侵，就要對系統(tǒng)是否出現(xiàn)異常進(jìn)行及時(shí)檢查，檢測精準(zhǔn)度最高為99%。在其他客戶端入侵檢測中，檢測精準(zhǔn)度最高為94%。因此，本文設(shè)計(jì)的系統(tǒng)在入侵檢測方面具有較高精準(zhǔn)度。

5 結(jié)語

隨著互聯(lián)網(wǎng)的不斷發(fā)展，網(wǎng)絡(luò)數(shù)據(jù)量不斷增加，傳統(tǒng)入侵檢測系統(tǒng)已經(jīng)無法使網(wǎng)絡(luò)入侵和檢測等問題得到解決。本文以人工智能技術(shù)為基礎(chǔ)，實(shí)現(xiàn)了入侵檢測系統(tǒng)的設(shè)計(jì)。通過系統(tǒng)調(diào)試，該系統(tǒng)能夠?qū)?fù)雜數(shù)據(jù)進(jìn)行處理和檢測，檢測精準(zhǔn)度高，誤報(bào)率有效降低。

參考文獻(xiàn)

[1] 黎日文. 基于人工智能的通信網(wǎng)絡(luò)入侵檢測技術(shù)研究與設(shè)計(jì)[J]. 通訊世界，2020，27（8）：79-80.

[2] 王璐，文武松. 基于人工智能的分布式入侵檢測研究[J]. 計(jì)算機(jī)科學(xué)，2022，49（10）：353-357.

[3] 譚秦紅，田應(yīng)信. 基于人工智能的通信網(wǎng)絡(luò)入侵檢測系統(tǒng)設(shè)計(jì)[J]. 長江信息通信，2022，35（12）：189-191.

[4] 周萌萌. 基于人工智能的通信網(wǎng)絡(luò)入侵檢測系統(tǒng)設(shè)計(jì)研究[J]. 信息記錄材料，2023，24（12）：192-194.

[5] 李剛，孫耀文，于德新，等. 基于Agent 人工智能技術(shù)的分布式入侵檢測系統(tǒng)設(shè)計(jì)[J]. 計(jì)算機(jī)測量與控制，2020，28（7）：29-33，38.