蔣榮萍

（廣西民族大學(xué) 人工智能學(xué)院，廣西 南寧 530006）

0 引 言

與此同時(shí)，網(wǎng)絡(luò)安全領(lǐng)域的問(wèn)題也不斷滋生，使整個(gè)社會(huì)面臨著更加嚴(yán)峻的網(wǎng)絡(luò)安全狀況[1]。隨著各種經(jīng)濟(jì)活動(dòng)的不斷融入，本來(lái)就充滿(mǎn)風(fēng)險(xiǎn)的網(wǎng)絡(luò)面臨著更加危險(xiǎn)的狀況，各種入侵、木馬、病毒等網(wǎng)絡(luò)安全事件不斷發(fā)生，并且隨著越來(lái)越多黑客工具的出現(xiàn)，使黑客數(shù)量瘋狂增長(zhǎng)，網(wǎng)絡(luò)上也出現(xiàn)了更多危險(xiǎn)與陷阱，在線的目的性竊取成為主流的網(wǎng)絡(luò)攻擊方式。而隨著網(wǎng)絡(luò)攻擊的主要?jiǎng)訖C(jī)由炫耀技術(shù)轉(zhuǎn)向獲取利益，其定向性、專(zhuān)業(yè)性、趨利性與組織性都在持續(xù)加強(qiáng)，導(dǎo)致以獲取經(jīng)濟(jì)利益為目的的在線身份竊取與惡意代碼成為網(wǎng)絡(luò)攻擊方式中的主流[2]。大范圍無(wú)目的擴(kuò)散的網(wǎng)絡(luò)蠕蟲(chóng)淡出視野，而以特定用戶(hù)群體為目標(biāo)的信息定向化勒索與竊取則躍升為網(wǎng)絡(luò)攻擊中的新趨勢(shì)[3]。我國(guó)遭遇篡改的網(wǎng)站數(shù)量一直居高不下，甚至政府網(wǎng)站遭遇篡改的次數(shù)也持續(xù)升高，表明我國(guó)網(wǎng)站的安全性面臨著巨大壓力。

根據(jù)有關(guān)調(diào)查結(jié)果，近幾年來(lái)，網(wǎng)頁(yè)篡改、網(wǎng)絡(luò)仿冒、垃圾郵件等網(wǎng)絡(luò)安全事件的增加呈現(xiàn)直線上升趨勢(shì)，網(wǎng)絡(luò)攻擊的趨利性與目的性也在不斷增強(qiáng)[4]。僵尸網(wǎng)絡(luò)與木馬伴隨著網(wǎng)絡(luò)資源與網(wǎng)絡(luò)用戶(hù)的規(guī)?；黾佣兊脴O具擴(kuò)散性，呈現(xiàn)出小型化、局部化、專(zhuān)業(yè)化的進(jìn)化趨勢(shì)。網(wǎng)絡(luò)劫持、網(wǎng)址嫁接、網(wǎng)絡(luò)仿冒、惡意代碼等網(wǎng)絡(luò)安全事故為各種系統(tǒng)制造了大量漏洞，網(wǎng)絡(luò)安全防御面臨著更加緊張的態(tài)勢(shì)[5]。因此提出一種基于N-gram算法的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)檢測(cè)系統(tǒng)對(duì)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)進(jìn)行檢測(cè)。

1 網(wǎng)絡(luò)安全風(fēng)險(xiǎn)檢測(cè)系統(tǒng)設(shè)計(jì)

1.1 硬件設(shè)計(jì)

基于N-gram 算法的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)檢測(cè)系統(tǒng)的硬件包括數(shù)據(jù)預(yù)處理模塊、協(xié)同分析模塊[6]。

1.1.1 數(shù)據(jù)預(yù)處理模塊

數(shù)據(jù)預(yù)處理模塊主要負(fù)責(zé)處理被捕獲的、存在安全風(fēng)險(xiǎn)的數(shù)據(jù)包，由檢測(cè)引擎與包解碼器組成[7]。

對(duì)于采集到的數(shù)據(jù)包，首先通過(guò)包解碼器解碼其中包含的實(shí)際元素，具體的解碼器工作流程如圖1所示[8]。

圖1 具體的解碼器工作流程

包解碼器首先會(huì)連接解碼數(shù)據(jù)并構(gòu)建一個(gè)網(wǎng)絡(luò)堆棧，然后按照從底層逐層上移至高層的方式對(duì)協(xié)議元素進(jìn)行解碼[9]。最后，將各個(gè)已經(jīng)獲得解碼的包合并于一個(gè)數(shù)據(jù)結(jié)構(gòu)內(nèi)，并將其發(fā)送至檢測(cè)引擎中對(duì)其進(jìn)行分析[10]。

原位生物反應(yīng)池出水進(jìn)入A/O-MBR系統(tǒng)的厭氧池。A池設(shè)有射流攪拌，O池設(shè)有射流曝氣，MBR膜采用外置式陶瓷膜分離反應(yīng)器，其中好氧段停留時(shí)間為4 d。

而檢測(cè)引擎的主要作用是檢查解碼數(shù)據(jù)包中是否存在威脅網(wǎng)絡(luò)安全的可疑行為，并對(duì)其中存在的可疑行為實(shí)施修改操作[11]。由于一些數(shù)據(jù)包可以通過(guò)載荷變換等手法偽裝自己，因此在檢查可疑行為之前，檢測(cè)引擎首先要對(duì)數(shù)據(jù)包的規(guī)則進(jìn)行修改。除此之外，檢測(cè)引擎還能夠?qū)α髁磕Ｊ綄?shí)施標(biāo)準(zhǔn)化處理，從而準(zhǔn)確匹配數(shù)據(jù)包特征。

1.1.2 協(xié)同分析模塊

協(xié)同分析模塊主要由協(xié)同采集器、協(xié)同分析器、協(xié)同傳感器以及協(xié)同管理器構(gòu)成，具體模塊圖如圖2所示[12]。

圖2 協(xié)同分析模塊具體模塊圖

在協(xié)同分析模塊中，協(xié)同采集器主要負(fù)責(zé)接收各個(gè)節(jié)點(diǎn)的相關(guān)檢測(cè)數(shù)據(jù)，經(jīng)過(guò)協(xié)同傳感器報(bào)告給協(xié)同分析器。

協(xié)同分析器作為整個(gè)模塊的核心構(gòu)成部分，主要作用是整合分析協(xié)同采集器的報(bào)告數(shù)據(jù)，并對(duì)涉及多個(gè)部分的復(fù)雜攻擊進(jìn)行檢測(cè)，其核心功能是關(guān)聯(lián)分析，也就是負(fù)責(zé)進(jìn)行協(xié)同分析的具體過(guò)程[13]。協(xié)同分析器中共有兩個(gè)接口，一個(gè)是配置接口，一個(gè)是數(shù)據(jù)庫(kù)存儲(chǔ)接口。其中配置接口主要負(fù)責(zé)配置分析器規(guī)則以及查詢(xún)分析結(jié)果；而數(shù)據(jù)庫(kù)存儲(chǔ)接口主要負(fù)責(zé)存儲(chǔ)協(xié)同分析數(shù)據(jù)以及在數(shù)據(jù)庫(kù)中暫存協(xié)同管理器的報(bào)告數(shù)據(jù)。

協(xié)同傳感器的位置處于協(xié)同采集器與協(xié)同分析器之間，主要負(fù)責(zé)過(guò)濾那些與網(wǎng)絡(luò)安全風(fēng)險(xiǎn)無(wú)關(guān)的信息。

協(xié)同管理器主要負(fù)責(zé)協(xié)調(diào)管理協(xié)同分析模塊的數(shù)據(jù)響應(yīng)功能、數(shù)據(jù)處理功能以及數(shù)據(jù)接收功能。

1.2 軟件設(shè)計(jì)

基于N-gram 算法的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)檢測(cè)系統(tǒng)的軟件配置為網(wǎng)絡(luò)安全風(fēng)險(xiǎn)檢測(cè)模塊[14]。

基于N-gram 算法設(shè)計(jì)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)檢測(cè)模塊，該模塊主要通過(guò)協(xié)議分析與特征匹配實(shí)現(xiàn)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)的檢測(cè)，其中協(xié)議分析主要通過(guò)構(gòu)建協(xié)議分析樹(shù)實(shí)現(xiàn)；特征匹配則主要通過(guò)N-gram 算法實(shí)現(xiàn)[15]。

協(xié)議分析的具體過(guò)程為結(jié)合全部協(xié)議并將它們組合成一個(gè)協(xié)議樹(shù)，協(xié)議樹(shù)中的各個(gè)節(jié)點(diǎn)即表示不同的協(xié)議。在構(gòu)建的協(xié)議樹(shù)中，葉子節(jié)點(diǎn)到根節(jié)點(diǎn)的路徑表示該種協(xié)議類(lèi)型的數(shù)據(jù)包分析流程，并且在協(xié)議樹(shù)中可以自由添加協(xié)議自定義節(jié)點(diǎn)，以充分細(xì)化數(shù)據(jù)分析過(guò)程，從而提升網(wǎng)絡(luò)安全風(fēng)險(xiǎn)檢測(cè)效率。協(xié)議分析樹(shù)的具體結(jié)構(gòu)如圖3 所示。

協(xié)議分析樹(shù)中的節(jié)點(diǎn)結(jié)構(gòu)中包含的信息如下：數(shù)據(jù)函數(shù)分析鏈表、下級(jí)協(xié)議代號(hào)、協(xié)議代號(hào)、協(xié)議名稱(chēng)、協(xié)議特征。完成協(xié)議分析后，通過(guò)下式進(jìn)行特征匹配，主要匹配數(shù)據(jù)包與現(xiàn)有規(guī)則，以檢測(cè)其攻擊特征。數(shù)據(jù)包與現(xiàn)有規(guī)則一旦匹配上，即表示檢測(cè)到一個(gè)可能攻擊。

式中：p代表匹配規(guī)則；S代表現(xiàn)有規(guī)則；ω1，ω2，…，ωn則分別代表各個(gè)匹配數(shù)據(jù)包。

圖3 協(xié)議分析樹(shù)的具體結(jié)構(gòu)

2 實(shí)驗(yàn)研究與分析

2.1 實(shí)驗(yàn)方法與流程

為了驗(yàn)證基于N-gram 算法的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)檢測(cè)系統(tǒng)的性能，進(jìn)行實(shí)驗(yàn)。

首先配置基于N-gram 算法的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)檢測(cè)系統(tǒng)的實(shí)驗(yàn)環(huán)境服務(wù)器，包括服務(wù)器硬件配置與服務(wù)器軟件配置，其硬件配置如表1 所示。

表1 服務(wù)器硬件配置

軟件配置如表2 所示。

以真實(shí)網(wǎng)絡(luò)數(shù)據(jù)作為實(shí)驗(yàn)數(shù)據(jù)，并對(duì)其實(shí)施邊界值處理，以形成典型實(shí)驗(yàn)數(shù)據(jù)。處理后的實(shí)驗(yàn)數(shù)據(jù)如表3所示。

表2 軟件配置

表3 處理后的實(shí)驗(yàn)數(shù)據(jù)

將實(shí)驗(yàn)數(shù)據(jù)輸入基于N-gram 算法的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)檢測(cè)系統(tǒng)中，基于服務(wù)器進(jìn)行網(wǎng)絡(luò)安全的風(fēng)險(xiǎn)檢測(cè)。為了保證本次實(shí)驗(yàn)的公正性與有效性，將傳統(tǒng)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)檢測(cè)系統(tǒng)與本文提出的基于N-gram 算法的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)檢測(cè)系統(tǒng)共同進(jìn)行實(shí)驗(yàn)，比較各個(gè)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)檢測(cè)系統(tǒng)的數(shù)據(jù)包檢測(cè)性能。

判斷數(shù)據(jù)包檢測(cè)性能高低的依據(jù)主要是多種類(lèi)別數(shù)據(jù)包的平均檢測(cè)時(shí)間，本文選取5 種數(shù)據(jù)包進(jìn)行實(shí)驗(yàn)，當(dāng)多種類(lèi)別數(shù)據(jù)包的平均檢測(cè)時(shí)間之和越小，即證明其數(shù)據(jù)包檢測(cè)性能越強(qiáng)，反之，則證明其數(shù)據(jù)包檢測(cè)性能越差。

2.2 結(jié)果探究

基于N-gram 算法的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)檢測(cè)系統(tǒng)與傳統(tǒng)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)檢測(cè)系統(tǒng)的數(shù)據(jù)包檢測(cè)性能對(duì)比實(shí)驗(yàn)結(jié)果如圖4 所示。

圖4 數(shù)據(jù)包檢測(cè)性能對(duì)比實(shí)驗(yàn)結(jié)果

根據(jù)圖4 的數(shù)據(jù)包檢測(cè)性能對(duì)比實(shí)驗(yàn)結(jié)果可知，傳統(tǒng)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)檢測(cè)系統(tǒng)5 種數(shù)據(jù)包類(lèi)別的平均檢測(cè)時(shí)間之和較大，而基于N-gram 算法的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)檢測(cè)系統(tǒng)5 種數(shù)據(jù)包類(lèi)別的平均檢測(cè)時(shí)間之和較小。也就是基于N-gram 算法的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)檢測(cè)系統(tǒng)的數(shù)據(jù)包檢測(cè)性能優(yōu)于傳統(tǒng)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)檢測(cè)系統(tǒng)，實(shí)現(xiàn)了性能的躍升。

3 結(jié) 語(yǔ)

基于N-gram 算法的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)檢測(cè)系統(tǒng)通過(guò)引入設(shè)計(jì)的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)檢測(cè)模塊實(shí)現(xiàn)了網(wǎng)絡(luò)安全風(fēng)險(xiǎn)的檢測(cè)，并且實(shí)現(xiàn)了數(shù)據(jù)包檢測(cè)性能的提升，但是該系統(tǒng)還存在提升空間，后續(xù)需要對(duì)該系統(tǒng)繼續(xù)進(jìn)行調(diào)整。