劉興明，王三虎，張躍進

（1.呂梁學院　計算機科學與技術系，山西　呂梁　033000；2.華東交通大學　信息工程學院，江西　南昌　330013）

已知網絡入侵模式的低匹配度數據信息集挖掘平臺設計

劉興明1，王三虎1，張躍進2

（1.呂梁學院計算機科學與技術系，山西呂梁033000；2.華東交通大學信息工程學院，江西南昌330013）

在已知網絡入侵模式下對低匹配度數據信息集進行挖掘時，缺少對低匹配度數據信息集的處理和分類選取過程，存在挖掘不準確，效率低的問題。設計并實現了一種已知網絡入侵模式下對低匹配度數據信息集挖掘平臺，介紹了平臺的總體硬件結構，利用數據采樣預處理模塊實現從源數據到挖掘數據的映射，完成離散化、數據過濾等處理過程。依據KC89C72 DIP40FILE分類器進行低匹配度數據信息集的分類，儲存到SSRAM中，并以此為基礎，通過數據挖掘模塊對儲存的低匹配度數據信息集進行確認與挖掘。軟件設計過程中，對已知網絡入侵模式的低匹配度數據信息集挖掘平臺進行了詳細的分析，并給出低匹配度數據信息集挖掘的實現過程以及程序代碼。實驗結果表明，該平臺的低匹配度數據信息集挖掘準確率、誤差率、時間及所需內存均優(yōu)于傳統(tǒng)的Fuzzing平臺，具有一定的實用性。

網絡入侵模式；低匹配度；數據信息集；挖掘平臺

0　引　言

近年來，隨著計算機網絡技術的快速發(fā)展，計算機及網絡信息的安全問題顯得越來越重要。由于用戶使用量的增加及網絡信息內容的增多，使得產生了多種網絡入侵模式［1?3］。在網絡入侵模式已知的情況下，對其匹配度低的數據信息集進行挖掘，是該領域亟待解決的問題，已經成為相關學者研究的重點，受到廣泛的關注，也出現了很多好的方法［4］。

目前，對已知網絡入侵模式下的低匹配度數據信息集進行挖掘的方法有很多種。文獻［5］提出一種靜態(tài)分析技術，通過對待檢測程序的源代碼或二進制代碼進行掃描，獲取錯誤函數調用及數據信息集，并對其進行快速挖掘，該方法挖掘效率高，但該方法實現過程復雜、實用性差。文獻［6］提出一種動態(tài)分析技術，在調試器中對待檢測程序進行調試，當程序運行時，對不同狀態(tài)的寄存器、內存值改變情況進行分析，以此挖掘匹配度低的數據；但是該方法能耗較高、精度較低。文獻［7］將大型物聯網下的數據進行傳輸過程中，出現匹配度低的數據時處理器可及時對其進行挖掘；但該方法對硬件設備要求極高，適用范圍非常小。文獻［8］提出基于數據流完整性檢測方法，出現匹配度低的數據時，該方法對數據出現的前后狀態(tài)進行對比，來實現低匹配度數據的挖掘，實現過程復雜。文獻［9］通過分析訪問大型物聯網內存數據的調度申請，同時將其應用于數據存儲器分析上，將分析過程轉換成一個決策樹，并設置為低匹配度數據自動挖掘的基礎，存在耗時長、效率低下的缺陷。

針對上述方法的弊端，設計了一種已知網絡入侵模式下對低匹配度數據信息集挖掘平臺，并進行了實驗對比。實驗結果表明，本文平臺的低匹配度數據信息集挖掘準確率、誤差率、時間及所需內存均優(yōu)于傳統(tǒng)的Fuzz?ing平臺，具有一定的實用性。

1　已知網絡入侵模式的低匹配度數據信息集挖掘平臺總體結構

由于網絡技術的發(fā)展和網絡使用量的增加，網絡入侵模式呈現多樣化，其低匹配度數據信息集也存在不同的特征。當網絡入侵模式已知的情況下，低匹配度數據信息集特征出現了一定的相似性。因此，對已知網絡入侵模式下低匹配度數據信息集挖掘進行平臺設計，成為了網絡使用過程中至關重要的部分。

本文通過實際測試情況與相關理論，設計了在已知網絡入侵模式下，對低匹配度數據信息集進行挖掘的平臺，平臺的總體結構如圖1所示。

圖1　平臺總體結構

平臺總體結構主要由數據選擇模塊、數據挖掘模塊、數據采樣模塊、數據處理模塊、數據庫及接口模塊組成。在已知網絡入侵模式的情況下，通過對數據庫內的低匹配度數據進行采集并進行預處理，在通過數據選擇模塊選取符合的低匹配度的數據，并根據其特征進行挖掘，完成低匹配度數據信息集的挖掘。其中最主要的是數據選擇模塊和數據挖掘模塊。數據選擇模塊主要負責把通過數據處理模塊處理的數據，按照低匹配度數據的特征進行分類選取，獲取和數據挖掘相關聯的數據信息；數據挖掘模塊是整個過程中最關鍵的部分，在這里，使用數據挖掘的算法來進行運算，從數據中抽取所需數據信息集（即低匹配度數據信息集）。

2　已知網絡入侵模式下的硬件模塊的設計

2.1低匹配度數據信息集采集模塊的設計

本文選擇X5?TX數據采集模塊，如圖2所示，它有4個500 MPS或2個IGSPS16位的D/A，并且?guī)в蠽irtcx 5 FPGA的計算核心、DRAM和SRAM內存，進行對低匹配度數據信息集的存儲、以及8通道PCIExprcss主機接口的XMC輸出模塊。獨有的FPGA與模擬接口緊密結合，可實時對網絡低匹配度數據信息集進行采集，采集速度可達300 GMACs，為后期的低匹配度數據信息集處理提供了基礎依據。X5?TX的XMC模塊使用高性能8通道的PCLExprcss接口與強大的Vclocia架構結合，可持續(xù)的進行低匹配度數據信息集的傳輸，其持續(xù)傳輸速率超過了1 Gb/s。

圖2　數據采樣模塊硬件結構

2.2低匹配度數據信息集處理模塊的設計

低匹配度數據信息集處理模塊，主要用于從數據采集后到挖掘數據的連接，實現對低匹配度進行數據離散化、過濾等處理。數據處理模塊主要由FPGA，SSRAM，模數轉換器，以太網接口等構成，詳細硬件結構如圖3所示。

圖3　數據處理模塊硬件結構圖

數據處理模塊以ADS1178芯片為低匹配度數據信息集處理核心，其共有8個差分輸入通道，能同時對8個通道輸入的低匹配度數據信息集進行處理，處理后的低匹配度數據信息集輸出端與FPGA相連。為后期的低匹配度數據信息集的挖掘打下基礎。選取CycloneⅣGX系列的EP4CGX110CF23C7N型號芯片作為FPGA芯片，其功耗低、成本不高，具有一定的實用性。

2.3低匹配度數據信息集選擇模塊的設計

數據選擇模塊主要用于對低匹配度數據信息集進行分類選取，主要由信號調直機、高速數據傳輸系統(tǒng)、KC89C72 DIP40FILE、Ermet Hard 354142型接口和Er?met Hard 973046型接口等構成，詳細硬件結構如圖4所示。

圖4　數據選擇模塊硬件結構圖

本文設計的數據處理模塊接口選擇2.0 mm Ermet Hard Metric連接器，為了使低匹配度數據信息集的傳輸效率和穩(wěn)定性達到平臺所需的要求，將連接器作為低匹配度數據信息集輸入端口，973046型號的連接器作為低匹配度數據信息集的傳輸端口。數據信息集到達KC89C72 DIP40FILE低匹配度數據信息集分類選擇模塊后，數據分類選擇模塊一旦發(fā)現是所需的低匹配度數據信息集，會直接存儲到SSRAM中，為下一步的低匹配度數據信息集的挖掘提供依據。

2.4低匹配度數據信息集挖掘模塊的設計

數據挖掘模塊主要負責對網絡入侵數據中的低匹配度數據信息集進行深層次的挖掘，并將挖掘結果進行處理。低匹配度數據信息集挖掘模塊主要由處理器、智能接口控制器、數字I/O、職能I/O構成，詳細硬件結構如圖5所示。

圖5　數據挖掘模塊硬件結構圖

選擇型號為IONI USB?6501的數字I/O，它是一種低價位USB數字I/O設備，能有效地加快低匹配度數據信息集挖掘時傳輸的速率。選擇型號為Eclipse Java的職能I/O，其大大縮減挖掘低匹配度數據信息集的過程，提高了低匹配度數據信息集的挖掘效率。

3　已知網絡入侵模式下數據信息集挖掘平臺的軟件設計

3.1低匹配度數據信息集挖掘的總流程圖分析

在已知網絡入侵模式的情況下，對低匹配度數據信息集挖掘平臺進行設計時，在低匹配度數據信息挖掘平臺硬件設計的基礎上，結合軟件設計的特性和要求，設計了已知網絡入侵模式的低匹配度數據信息集挖掘平臺的軟件流程圖，如圖6所示。

圖6　平臺總體軟件流程圖

用戶在平臺的登錄界面上登錄后，如果低匹配度數據信息集挖掘所需的算法及數據信息都存在，則利用數據挖掘模塊進行數據的挖掘，獲取結果。

3.2軟件代碼設計

根據上述軟件系統(tǒng)流程圖進行代碼設計。本文設計的已知網絡入侵模式的低匹配度數據信息集挖掘平臺軟件，在Windows 7.0環(huán)境下，通過C++實現的，其軟件程序設計如下：

4　實驗結果與分析

為了驗證本文設計的已知網絡入侵模式下低匹配度數據信息集挖掘平臺的有效性，需要進行相關的實驗分析。實驗將Fuzzing平臺作為對比進行分析，實驗的硬件環(huán)境為Windows XP，2 GB內存，40 GB硬盤。

4.1兩種平臺性能的比對

為了測試本文平臺的挖掘性能，在上述實驗環(huán)境的基礎上，分別采用本文平臺和Fuzzing平臺對已知網絡入侵模式下的低匹配度數據信息集進行挖掘，對兩種平臺的挖掘準確率和誤報率進行統(tǒng)計，得到的結果如圖7、圖8所示。

由圖7、圖8可知，采用本文平臺的準確率為55.7%（平均值），誤差率為23.6%（平均值），Fuzzing平臺準確率為37.9%（平均值），誤差率為44.3%（平均值），本文平臺相比Fuzzing平臺準確率提高了17.8%（平均值），誤差率降低了20.7%（平均值），在保證準確率的同時降低了平臺的誤差率，說明本文平臺具有一定的挖掘精度。

圖7　兩種平臺的準確率對比圖

圖8　兩種平臺的誤差率對比圖

4.2兩種平臺內存占用量的對比

分別采用本文平臺和Fuzzing平臺對已知網絡入侵模式下低匹配度數據信息集進行挖掘時，兩種平臺的內存使用量如圖9所示。

圖9　兩種系統(tǒng)的內存占用量

由圖9可知，隨低匹配度數據信息集數量的增多，本文平臺的內存占用量為68.3 KB（平均值），且一直處于較低水平，而Fuzzing平臺的內存占用量為750 KB（平均值），明顯高于本文平臺，因此，本文平臺具有一定的優(yōu)勢。

4.3兩種平臺洞挖掘時所需時間的對比

采用本文平臺和Fuzzing平臺進行低匹配度數據信息集挖掘時所需時間進行對比，結果如圖10所示。

圖10　兩種平臺運行效率比較結果

由圖10可知，在相同低匹配度數據信息集情況下，本文平臺進行數據信息集挖掘所需的時間為22 s（平均值），Fuzzing平臺對低匹配度數據信息集進行挖掘所需時間為47.5 s（平均值），本文平臺相比Fuzzing平臺所需時間節(jié)省了25.5 s（平均值），說明本文平臺效率較高。

5　結　論

本文設計并實現了一種已知網絡入侵模式下對低匹配度數據信息集挖掘平臺，介紹了平臺的總體硬件結構，利用數據采樣預處理模塊實現從源數據到挖掘數據的映射，完成離散化、數據過濾等處理過程。依據KC89C72 DIP40FILE分類器進行低匹配度數據信息集的分類，儲存到SSRAM中，并以此為基礎，通過數據挖掘模塊對儲存的低匹配度數據信息集進行確認與挖掘。軟件設計過程中，給出低匹配度數據信息集挖掘的實現過程以及程序代碼。實驗結果表明，本文平臺的低匹配度數據信息集挖掘準確率、誤差率、時間及所需內存均優(yōu)于傳統(tǒng)的Fuzzing平臺，具有一定的實用性。

［1］馬龍飛.基于無線傳感網的物聯網應用平臺的設計與實現［D］.北京：北京郵電大學，2014.

［2］楊世德，梁光明，余凱.基于ARM嵌入式系統(tǒng)底層漏洞挖掘技術研究［J］.現代電子技術，2015，38（18）：57?59.

［3］孫哲，劉大光，武學禮，等.基于模糊測試的網絡協議自動化漏洞挖掘工具設計與實現［J］.信息網絡安全，2014，27（6）：23?30.

［4］李永偉.基于Hex?Rays的緩沖區(qū)溢出漏洞挖掘技術研究［D］.鄭州：中國人民解放軍信息工程大學，2013.

［5］劉大光.基于模糊測試的網絡協議自動化漏洞挖掘工具設計與實現［D］.北京：北京大學，2014.

［6］方喆君，劉奇旭，張玉清.Android應用軟件功能泄露漏洞挖掘工具的設計與實現［J］.中國科學院大學學報，2015，32（1）：127?135.

［7］楊海民，張濤，趙敏，等.基于gdb的Android軟件漏洞挖掘系統(tǒng)［J］.計算機技術與發(fā)展，2015，30（8）：156?160.

［8］茍孟洛.Windows平臺下基于FUZZ技術的軟件漏洞挖掘與利用研究［D］.成都：成都理工大學，2014.

［9］劉濤，王海東.基于Fuzzing的文件格式漏洞挖掘技術［J］.中國科技信息，2014（9）：160?162.

Design of low matching degree data information set mining platform for known network intrusion pattern

LIU Xingming1，WANG Sanhu1，ZHANG Yuejin2
（1.Department of Computer Science and Technology，Luliang University，Lüliang 033000，China；2.School of Information Engineering，East China Jiaotong University，Nanchang，330013，China）

A low matching degree data information set mining platform for the known network intrusion patterns was de?signed and implemented.The structure of the overall hardware platform is introduced.The data mapping from the source data to the mining data is implemented with the data sampling pretreatment module to complete the process of discretization and data fil?tering processing.The low matching degree data information sets are classified with KC89C72 DIP40FILE classifier，and stored in SSRAM.On this basis，the stored low matching degree data information sets are confirmed and mined by means of the data mining module.In the software design process，the low compatibility data information set mining platform for the known network intrusion pattern is analyzed in detail.The realization process and program code of the low matching degree data information set mining are presented.The experimental results show that the low matching degree data information set mining accuracy，error rate，time and required memory of the platform is superior to those of the traditional Fuzzing platform，and the platform has a certain practicality.

network intrusion pattern；low matching degree；data information set；mining platform

TN926?34；TP309

A

1004?373X（2016）18?0012?05

10.16652/j.issn.1004?373x.2016.18.004

劉興明（1973—），男，山西嵐縣人，講師，碩士。主要研究領域為計算機應用技術，數據挖掘。張躍進（1978—），男，湖北鐘祥人，副教授，博士。主要研究方向為計算機應用技術、通信技術。

2016?01?12

國家自然科學基金（31160200）；2015年度呂梁學院校級改革項目：高校網絡課程群的建設與改革（JYZD201507）