，，

(廣東創(chuàng)新科技職業(yè)學院 信息工程學院，廣東 東莞 523960)

0 引言

惡意代碼又稱惡意軟件，是在未明確提示用戶或未經(jīng)用戶許可的情況下，在用戶計算機或其他終端上安裝運行，侵犯用戶合法權(quán)益的軟件[1]。其入侵手段多樣，造成的損失成上升趨勢，共享與安全的矛盾逐漸凸顯[2]，已成為國家網(wǎng)絡經(jīng)濟發(fā)展的關(guān)鍵[3]。據(jù)統(tǒng)計：信息竊賊在過去幾年中以250%速度增長，超過90%的大公司都發(fā)生過惡意代碼入侵事件[4]。惡意代碼入侵自動監(jiān)測系統(tǒng)作為保證計算機安全的重要手段，對其的研究逐漸成為相關(guān)專家學者研究的熱點課題[5]。

為了優(yōu)化惡意代碼入侵監(jiān)測系統(tǒng)，達到監(jiān)測的高效性及有效性，提出基于BP神經(jīng)網(wǎng)絡的云計算架構(gòu)中惡意代碼入侵自動監(jiān)測系統(tǒng)設計方法，實驗結(jié)果表明，所提方法進行惡意代碼入侵監(jiān)測，監(jiān)測的準確度較高，丟包率較少，推動了該課題向應用領(lǐng)域邁進。

1 監(jiān)測系統(tǒng)整體方案設計

云計算架構(gòu)中惡意代碼入侵自動監(jiān)測系統(tǒng)主要由STM32主控板、傳感器、指南針模塊、信號調(diào)節(jié)電路、數(shù)據(jù)轉(zhuǎn)換模塊等模塊組成，具體系統(tǒng)設計的參數(shù)如表1所示。

表1 云計算架構(gòu)中惡意代碼入侵自動監(jiān)測系統(tǒng)參數(shù)

1.1 整體框架設計

由圖1可知，系統(tǒng)所用的傳感器電路都已模塊化，監(jiān)測到的信號輸出為高低電平，可以實現(xiàn)直接與ARM芯片的通信，通過對云計算構(gòu)架中的數(shù)據(jù)信號進行濾波放大和A/D轉(zhuǎn)換，從而實現(xiàn)對云計算構(gòu)架中信號的預處理，在此基礎(chǔ)上，對云計算構(gòu)架中信號進行監(jiān)測，確定云計算環(huán)境下惡意代碼入侵信號，完成對惡意代碼入侵的自動監(jiān)測。

圖1 整體框架設計

1.2 MUC主控單元

本文設計的云計算構(gòu)架中惡意代碼入侵自動監(jiān)測系統(tǒng)以STM32F103ZET6為主控芯片，STM32系列[6]以ARM Cortex-M3為核心，具有提高系統(tǒng)的性能，降低系統(tǒng)的成本和功耗的優(yōu)點，STM32F103作為STM32的增強型，是同類產(chǎn)品中具有最高性能的產(chǎn)品，其優(yōu)點主要體現(xiàn)在以下幾方面。

1)超低的產(chǎn)品價格。

2)外設較多。

3)具有較好的實時性。

4)功耗較低。

因此，該芯片符合惡意代碼入侵自動監(jiān)測系統(tǒng)需求的處理速度快，實時性好等內(nèi)容。

1.3 USB接口控制芯片

USB協(xié)議[7]的復雜性意味著USB外設必須具有智能，因此利用控制芯片實現(xiàn)對USB端口事件進行監(jiān)測，芯片的選擇取決于芯片所要執(zhí)行的功能，本文選用的USB接口控制芯片是由Cypress公司推出的帶智能USB接口的EZ-USB FX2 USB2.0控制芯片，包含智能串行接口，能完成所有基本的USB功能。

1.4 電源電路

在上圖惡意代碼入侵自動監(jiān)測系統(tǒng)電源電路中，為了保證系統(tǒng)電壓的穩(wěn)定性和精度，本文采用LM2575系列的穩(wěn)壓器實現(xiàn)對12 V-5 V的電路轉(zhuǎn)化，LM2575系列芯片的最大輸出電路為45 V，輸出電壓為5 V，利用電源電路，保證系統(tǒng)正常運行。

圖2 系統(tǒng)電源電路

1.5 時鐘電路

為了保證系統(tǒng)自動監(jiān)測的及時性，需要對系統(tǒng)的時鐘電路進行設計，本文設計的惡意代碼入侵自動監(jiān)測系統(tǒng)時鐘電路如圖3所示。

圖3 惡意代碼入侵自動監(jiān)測系統(tǒng)時鐘電路

在云計算構(gòu)架中惡意代碼入侵自動監(jiān)測系統(tǒng)時鐘電路中，本文采用的振蕩源是12 MHz，其兩個引腳連接X1、X2引腳，從而形成閉合回路，并配合內(nèi)部的震蕩工期實現(xiàn)惡意代碼入侵自動監(jiān)測系統(tǒng)時鐘電路。并且，將晶振的兩個引腳與匹配電容和匹配電阻進行連接，從而提高惡意代碼入侵自動監(jiān)測系統(tǒng)的穩(wěn)定性。

1.6 復位電路

為實現(xiàn)惡意代碼入侵自動監(jiān)測系統(tǒng)復位，需要對系統(tǒng)的復位電路進行設計，本文設計的系統(tǒng)復位電路如圖4所示。

圖4 復位電路設計

上圖中，惡意代碼入侵自動監(jiān)測系統(tǒng)復位電路是利用TMS320LF2407A進行初始化，在系統(tǒng)運行過程中，實現(xiàn)對惡意代碼入侵的監(jiān)測，惡意代碼入侵自動監(jiān)測系統(tǒng)復位電路主要可以分為手動復位和自動復位兩種，本文中為實現(xiàn)自動監(jiān)測，并保證監(jiān)測效率，采用了手動復位和自動復位相結(jié)合的復位方式，根據(jù)系統(tǒng)運行的實際勤快，選擇自動復位和手動復位。

1.7 數(shù)據(jù)采集處理模塊

數(shù)據(jù)采集和預處理是整個惡意代碼入侵自動監(jiān)測系統(tǒng)的核心組件，通過從云計算構(gòu)架中獲取網(wǎng)絡數(shù)據(jù)報文，為其他模塊的順利進行奠定基礎(chǔ)。數(shù)據(jù)采集模塊的性能直接影響采集的準確性。

本文設計的數(shù)據(jù)采集模塊是基于數(shù)據(jù)平面開發(fā)套件技術(shù)實現(xiàn)的。在此基礎(chǔ)上，通過對采集的數(shù)據(jù)進行IP報文重組以及TCP流匯聚，主要目的是保證應用層數(shù)據(jù)的連續(xù)性，方便監(jiān)測模塊進行監(jiān)測。

1.8 數(shù)據(jù)監(jiān)測模塊

惡意代碼入侵自動監(jiān)測系統(tǒng)入侵監(jiān)測是通過監(jiān)測引擎模塊、腳本運行模塊、特征庫模塊和實施關(guān)聯(lián)引擎組成的，通過這四個模塊配合，實現(xiàn)入侵監(jiān)測系統(tǒng)的攻擊監(jiān)測流程。

監(jiān)測引擎模塊是入侵監(jiān)測的核心模塊，通過數(shù)據(jù)模式匹配，實現(xiàn)對惡意代碼的識別。腳本運行引擎模塊是通過Y語言開發(fā)的，利用特征庫模塊，對云計算構(gòu)架中惡意代碼入侵的行為特征進行定義，從而識別相應的攻擊事件。關(guān)聯(lián)事件與監(jiān)測引擎監(jiān)測到的基本監(jiān)測事件是相對應的，通過關(guān)聯(lián)引擎實現(xiàn)對云計算構(gòu)架中跨會話的和復雜的會話內(nèi)的惡意代碼入侵監(jiān)測，并且，還可以利用關(guān)聯(lián)引擎實現(xiàn)多種日志過濾功能。

2 軟件設計

在進行云計算架構(gòu)中惡意代碼入侵自動監(jiān)測系統(tǒng)設計過程中，監(jiān)測的準確性和及時性對系統(tǒng)的性能具有重要影響。誤差逆?zhèn)鞑ゾW(wǎng)絡(BP網(wǎng)絡)具有較強的映射能力，BP網(wǎng)絡是一個多層次網(wǎng)絡，其中最基本的網(wǎng)絡拓撲結(jié)構(gòu)是通過輸入層、隱含層、輸出層三個神經(jīng)元層次組成，通過將相鄰層的神經(jīng)元之間進行連接，從而實現(xiàn)BP神經(jīng)網(wǎng)絡。

BP神經(jīng)網(wǎng)絡是一種監(jiān)督式的學習算法[8]，其思想如下：BP神經(jīng)網(wǎng)絡由模式順傳播、誤差逆?zhèn)鞑?、記憶訓練、學習收斂四個過程組成，其通過連續(xù)不斷的在相對于誤差函數(shù)斜率下降的方向上計算網(wǎng)絡權(quán)值和變差變化而逐漸逼近目標[9]，從而提高云計算構(gòu)架下惡意代碼入侵自動監(jiān)測系統(tǒng)監(jiān)測的準確度。

BP神經(jīng)網(wǎng)絡所用到的計算過程如下所述：

設定輸入節(jié)點的輸入為xj，隱含節(jié)點的輸出可以表示為：

(1)

(2)

式中，Tij表示輸出節(jié)點的實際輸出值。

設定t1表示云計算中輸出節(jié)點的期望輸出值，則對其進行誤差控制的過程可以表示為：

(3)

BP神經(jīng)網(wǎng)絡的誤差公式可以表示為：

δl=(tl-ol)×ol×(1-ol)

(4)

權(quán)值修正公式可以表示為：

Tij(k+1)=Tij(k)+ηδlyi

(5)

式中，k表示權(quán)值修正的迭代次數(shù)，η表示神經(jīng)網(wǎng)絡的學習系數(shù)。閾值修正可以表示為：

θl(k+1)=θl(k)+nδl

(6)

輸出節(jié)點的誤差公式可以表示為：

(7)

為了實現(xiàn)云計算架構(gòu)中惡意代碼入侵監(jiān)測系統(tǒng)設計，訓練了一個BP神經(jīng)網(wǎng)絡，首先對云計算構(gòu)架中網(wǎng)絡加權(quán)輸入矢量、網(wǎng)絡輸出以及誤差矢量進行計算，并求得誤差平方和[10]，將所訓練矢量的誤差平方和與目標誤差進行對比，當小于目標誤差，則停止訓練，否則在輸出層計算誤差變化，以反向傳播學習規(guī)劃實現(xiàn)對目標權(quán)值的調(diào)整，并重復次過程，直到誤差平方和小于目標誤差。

基于BP神經(jīng)網(wǎng)絡的云計算架構(gòu)中惡意代碼自動入侵監(jiān)測系統(tǒng)的監(jiān)測流程可以表述為：首先初始化網(wǎng)絡，并采集云計算架構(gòu)中的惡意代碼入侵數(shù)據(jù)，給出訓練樣本，利用BP神經(jīng)網(wǎng)絡計算各神經(jīng)元的輸出值，從而確定監(jiān)測的誤差，根據(jù)監(jiān)測的誤差，調(diào)整網(wǎng)絡權(quán)值，降低監(jiān)測的誤差，從而提高監(jiān)測的準確度。通過上述論述，實現(xiàn)系統(tǒng)的軟件設計，并結(jié)合2.1，從而完成云計算架構(gòu)中惡意代碼入侵自動監(jiān)測系統(tǒng)設計。

3 系統(tǒng)測試分析

3.1 實驗參數(shù)與環(huán)境

為了證明本文所提方法設計的基于BP神經(jīng)網(wǎng)絡的云計算架構(gòu)中惡意代碼入侵自動監(jiān)測系統(tǒng)的使用效果，進行了一次實驗，實驗過程中，本文采用基于WNIDS的實驗系統(tǒng)，測試平臺如表2所述，實驗對象如圖5所示，通過將不同方法應用至該試驗對象，觀察不同方法的整體性能。

表2 實驗測試平臺配置

1)惡意代碼入侵自動監(jiān)測系統(tǒng)監(jiān)測的丟包率是判斷惡意代碼入侵自動監(jiān)測系統(tǒng)運行性能的重要指標，圖6是不同方法設計的系統(tǒng)監(jiān)測的丟包率對比。

2)在惡意代碼入侵自動監(jiān)測系統(tǒng)中通過正常節(jié)點與惡意節(jié)點的信任度確定網(wǎng)絡的安全度，圖7是本文所提方法正常節(jié)點與惡意節(jié)點的信任度對比。

3)在惡意代碼入侵自動監(jiān)測系統(tǒng)中，監(jiān)測的及時性是評價監(jiān)測系統(tǒng)的另一重要指標，其保證了安全數(shù)據(jù)的正常流入及惡意代碼入侵的及時識別，圖5是不同方法監(jiān)測的響應時間對比。

圖5 實驗對象

3.2 實驗結(jié)果

圖6 不同方法設計的系統(tǒng)監(jiān)測的丟包率對比

通過圖6可以看出，本文所提方法設計的系統(tǒng)丟包率低于文獻[8]和文獻[9]方法設計的系統(tǒng)監(jiān)測的丟包率，說明本文所提方法設計的系統(tǒng)能夠全面的對云計算構(gòu)架中的訪問進行監(jiān)測，本文所提方法設計的系統(tǒng)利用BP神經(jīng)網(wǎng)絡算法，對監(jiān)測過程中的誤差進行調(diào)整，提高了監(jiān)測的范圍，因此具有較低的丟包率。

通過對圖7的分析可知，本文所提方法設計的系統(tǒng)在監(jiān)測過程中，正常訪問的信任度之不低于70%，惡意代碼入侵訪問的信任度不超過40%，因此，本文所提方法能夠準確對云計算架構(gòu)中惡意代碼入侵進行識別，由于本文所提方法設計的系統(tǒng)增加了數(shù)據(jù)采集處理模塊和數(shù)據(jù)監(jiān)測的模塊，因此提高的監(jiān)測的準確性。

圖7 本文所提方法正常節(jié)點與惡意節(jié)點的信任度對比

圖8 不同方法監(jiān)測的響應時間對比

通過圖8可以看出，本文所提方法設計的系統(tǒng)響應速度快于文獻[8]和文獻[9]方法設計的系統(tǒng)監(jiān)測的響應速度，因此本文所提方法能夠較好的保證系統(tǒng)對云計算架構(gòu)中惡意代碼入侵監(jiān)測的及時性。綜上所述，本文所提方法設計的系統(tǒng)能夠較好的保證監(jiān)測的準確度和及時性，為該課題的研究發(fā)展奠定基礎(chǔ)。

4 結(jié)束語

在云計算架構(gòu)中，惡意代碼及其它入侵形式都需要有監(jiān)測，監(jiān)測自動進行就顯得尤為重要。本文介紹了自動監(jiān)測系統(tǒng)在云計算架構(gòu)中惡意代碼入侵中的實際應用。從系統(tǒng)整體結(jié)構(gòu)、軟硬件設計及系統(tǒng)測試角度對云計算架構(gòu)中惡意代碼入侵自動監(jiān)測系統(tǒng)進行深入介紹，利用仿真及實測相結(jié)合的形式證明了系統(tǒng)的可行性。