基于信息熵的網絡入侵檢測系統設計

摘要：互聯網時代，網絡安全問題日益凸顯，網絡入侵檢測系統已經成為防范網絡攻擊的有效手段。為進一步提高檢測系統的性能，將信息熵應用到網絡入侵檢測系統中。該文對網絡安全入侵檢測系統進行設計，涉及系統架構、主要功能、入侵檢測算法設計及硬件結構設計等。在此基礎上完成環境搭建與實驗評估。通過實驗證明，該文設計的入侵檢測系統在提高檢測效率與降低誤報率方面表現出色，具有一定的可行性與優越性，可為入侵檢測系統設計提供借鑒與參考。

關鍵詞：信息熵；網絡安全；入侵檢測系統

doi：10.3969/J.ISSN.1672-7274.2024.08.031

中圖分類號：TP 393.08" " " " " " " " "文獻標志碼：B" " " " " " 文章編碼：1672-7274（2024）08-00-03

Design of Network Intrusion Detection System Based on Information Entropy

ZHANG Tingting

（Shanxi Police Academy， Taiyuan 030000， China）

Abstract： In the Internet era， network security issues have become increasingly prominent， and network intrusion detection system has become an effective means to prevent network attacks. To further improve the performance of detection systems， information entropy is applied to network intrusion detection systems. This article designs a network security intrusion detection system， including system architecture， main functions， intrusion detection algorithm design， and hardware structure design. On this basis， complete the environment construction and experimental evaluation. Through experiments， it has been proven that the intrusion detection system designed in this article performs excellently in improving detection efficiency and reducing 1 alarm rates， and has certain feasibility and superiority， which can provide reference and guidance for the design of intrusion detection systems.

Keywords： information entropy; network security; intrusion detection system

0" "引言

網絡入侵檢測系統在保護信息網絡免受惡意攻擊等方面發揮著不可或缺的作用。然而，現有入侵檢測系統往往存在一些弊端與局限性，如對變種攻擊或新型攻擊的適應性差、誤報率高等。這種背景下，信息熵作為一種度量系統混亂程度與不確定性的指標，近年來在網絡安全技術領域得到了廣泛應用。通過分析系統日志或網絡流量中的信息熵特征，有助于快速識別異常行為模式，及時發現并處理非法入侵活動。

1" "網絡入侵檢測系統設計

1.1 系統架構設計

網絡入侵檢測系統設計主要目的是及時識別并防范處理惡意攻擊，有效保障網絡系統安全。本文對系統架構進行設計，涉及數據收集、特征提取與模型訓練及檢測與分類等環節[1]。入侵檢測系統架構如圖1所示。

數據收集作為入侵檢測系統的基礎，負責從網絡中獲取原始數據包。為保證數據的代表性與準確性，需要從實際網絡環境中獲取惡意與正常數據包作為訓練數據。

特征提取與模型訓練負責處理收集到的數據，從數據中提取具有區分性且有價值的特征向量，同時訓練分類模型。具體來說，首先，清洗數據包，清除異常、重復數據；其次，使用2v-gram技術將數據包轉換成特征向量；接下來，結合特征向量，計算出各特征出現的頻率，從而構建頻率矩陣；而后，基于頻率矩陣與貝葉斯定理，來計算新數據包屬于惡意類別與正常類別的概率；然后，對特征向量完成聚類，降低維度，以提高分類效率；最后，使用訓練好的SVM模型來分類數據包[2]。

檢測與分類負責使用訓練好的模型來檢測和分類新的數據包。主要過程是，在單類分類的基礎上，配合其他分類模型的結果，獲得最終的分類結果；根據數據包的驗證分類結果與預期假陽性率，設定相應閾值；將閾值與待檢測數據包的分類結果進行對比，從而得到最終的檢測結果。

1.2 系統主要功能設計

1.2.1 異常檢測功能設計

本文將結合熵理論來設計異常檢測功能，熵計算公式如下：

（1）

對于不同網絡異常情況M，結合公式（1），可以得到信息熵的表達式如下：

（2）

信息熵Wn（M）可用來衡量系統受到攻擊的程度，信息熵值較低，表明系統較為穩定；而信息熵值較高，表明系統處于混亂狀態。實際應用中，通過實時監測網絡流量的變化，并計算信息熵值，來及時判斷網絡中是否存在異常情況[3]。主要過程為：

①分析網絡中捕獲原始數據包，同時提取有效信息，如流量大小、協議類型、IP地址等。

②基于收集到的數據，計算出每種網絡異常情況發生的概率Pi。

③代入公式（2），計算出各種網絡異常情況下的信息熵值Wn（M）。

④結合實際情況與經驗，設置恰當的熵值閾值。

⑤如果實時計算的信息熵值超過特定的閾值，表明網絡中存在異常情況，如DDoS攻擊等。

⑥一旦檢測到異常，系統將及時發出報警，提醒相關工作人員采取針對性的處理措施，如阻斷連接、限制流量，有效減輕攻擊影響。

1.2.2 入侵防御功能設計

基于網絡異常檢測，設計入侵防御功能。具體如下：

①模擬內部服務器，在虛擬機中部署服務器，模擬實際網絡環境中的服務器角色，并將請求從主機發送至虛擬機。

②建立策略管理中心，實時分析網絡流量，以及時識別潛在威脅。

③計算熵值并確定熵閾值，計算時間t內目的IP地址信息熵的均值，得到熵的估算量：

（3）

式中，α是采樣時間間隔；Wti是時間t內的熵值[4]。基于這兩個數據，可以進一步計算熵的標準差：

（4）

結合式（5），得出熵值的取值范圍：

（5）

④掃描并發送包含300字節C字符的UDP檢測包，并編寫匹配規則，將其添加至入侵預防系統規則庫。

⑤入侵檢測與防御，啟動入侵檢測，對服務器執行端口進行掃描測試，一旦發現惡意行為，馬上發出警告信息。

⑥根據檢測模塊結果，日志與報警負責提供報警信息，并將攻擊信息存儲到數據庫中，從而為后續的數據分析與評估提供參考與依據。

⑦防止進一步惡意行為，攻擊檢測完成后，切斷網絡連接，以阻止入侵者進一步訪問。

1.3 基于信息熵的入侵檢測算法

基于信息熵的入侵檢測算法能夠高效精準識別網絡入侵行為，通過抽取網絡信息特征，構造超平面，并設計相關決策函數，同時融合不同SVM分類器，來實現對網絡入侵行為的及時識別與精準檢測[5]。入侵檢測流程如圖2所示。

首先，該算法注重構造一個能夠區分異常與正常網絡行為的超平面。其次，對入侵檢測分類器決策函數進行設計。基于訓練好的單類SVM分類器，入侵檢測算法能夠快速學習正常網絡行為的模式，同時構造用來判斷網絡行為是否正常的決策函數。最后，該算法融合了多個不同的SVM分類器，通過計算輸出結果的平均值，從而得到較為準確的綜合判斷結果。當平均值小于0時，網絡信息屬于入侵類；反之，網絡信息屬于目標類，這極大提高了檢測的準確性與魯棒性[6]。

1.4 系統硬件結構設計

系統在硬件結構上采用了分布式的客戶端模式，以策略管理中心為核心，協同多個檢測器共同執行系統分析處理任務。該系統由兩級結構組成，策略管理中心下轄多個探測器，形成網絡狀結構，每個探測器都具備一定的數據分析與處理能力。為避免單點故障，探測節點與策略管理中心之間的通信實施了嚴密的驗證機制，通過授予證書確保內部通信的安全性。

主機探測器將被部署在受保護的主機上，一旦檢測到入侵行為，會立即向策略管理中心報告。主機探測器細分成數據采集、數據分析、報警輸出及指令接收四大模塊，協同工作以高效處理安全威脅。

2" "環境搭建與實驗評估

2.1 環境搭建

為驗證本文設計的入侵檢測系統的性能，需要搭建合適的測試環境，主要涉及Linux系統、MySQL數據庫、C語言編程軟件及相應的網絡硬件設備。為確保入侵檢測系統的可靠穩定運行，本文選用C語言編程，并結合MySQL數據庫，同時，準備相應的網絡硬件設備，如防火墻、路由器、交換機等，以更好地模擬真實的網絡環境[7]。環境搭建完成后，對入侵檢測系統在檢測率、誤報率等方面進行詳細的測試與評估。本文采用DARPA數據集完成測試，主要提取10種網絡安全入侵程序，包括Dos、portsweep、teardrop、ICMP、Land、Pod、neptune、syn、satam、smurf。

2.2 系統測試與評估

進行系統測試，并統計本文設計系統與現有系統在各種入侵程序下的檢測率與誤報率，具體測試結果如表1所示。

從表1測試結果可以看出，本文設計的入侵檢測系統在各種入侵程序下具有較高的檢測率，說明系統具備較好的檢測能力。在特定入侵程序如Dos、ICMP、satam等場景中，本文設計的系統具有較低的誤報率，這表明系統具備較好的準確性，可以從海量網絡數據中準確識別異常行為，為網絡安全防護提供更強有力的保障。

3" "結束語

綜上所述，該系統具備適應性強、誤報率低、準確性高等優勢，可以更好地適應新型攻擊與復雜多變的網絡環境。未來，將持續優化與改進，如結合其他機器學習、人工智能等前沿技術，注重模型與算法的創新等，以進一步提高系統的性能。伴隨技術的發展，基于信息熵的入侵檢測系統有望成為網絡安全技術領域的一個發展方向。

參考文獻

[1] 吳亞楠，王斌．基于信息熵的網絡安全入侵檢測系統設計[J]．微型電腦應用，2022，38（12）：119-123．

[2] 尤慧麗，王永鑫．FastICA算法網絡安全入侵檢測防護系統設計[J]．福建電腦，2023，39（7）：110-113．

[3] 于光許．基于大數據技術的網絡安全風險檢測系統設計[J]．信息與電腦，2023，35（7）：240-242．

[4] 張小云，康曉霞．基于決策樹算法的網絡入侵檢測系統設計與評估[J]．信息技術，2023，47（2）：117-122．

[5] 靳曉琪，盧金奇，李林城．基于信息熵的網絡異常檢測及入侵防御系統設計[J]．電子設計工程，2021，29（18）：152-156．

[6] 董志瑋．基于深度學習的無線通信網絡入侵檢測系統設計[J]．長江信息通信，2023，36（2）：119-121，124．

[7] 馮國聰，樊凱，葉婉琦．基于卷積神經網絡的網絡入侵檢測系統設計[J]．微型電腦應用，2023，39（5）：141-143，154．

課題項目：2023社科院山西高質量發展課題，數字經濟視域下山西制造業振興轉型升級路徑研究（編號SXGZL202317）；2023山西文旅課題，山西省現代服務業與先進制造業深度融合發展策略和調查研究（編號SXSKWC2023011）。

作者簡介：張婷婷（1984—），女，漢族，山西太原人，講師，碩士研究生，研究方向為網絡安全與大數據。