蔣成

摘 要： 由于受到網(wǎng)絡(luò)入侵類型多變的影響，傳統(tǒng)的網(wǎng)絡(luò)入侵后異常信號(hào)檢測系統(tǒng)調(diào)制能力和檢測穩(wěn)定性較差。設(shè)計(jì)基于人工免疫的網(wǎng)絡(luò)被入侵后異常信號(hào)檢測系統(tǒng)。系統(tǒng)中的信號(hào)采集模塊利用FPGA設(shè)計(jì)入侵參數(shù)，通過該參數(shù)采集被入侵網(wǎng)絡(luò)中的全部信號(hào)。調(diào)制模塊對信號(hào)采集模塊傳輸來的信號(hào)進(jìn)行拆解、放大和濾波操作，生成待檢測信號(hào)集合，同時(shí)對調(diào)制模塊中計(jì)時(shí)器電路和濾波電路進(jìn)行設(shè)計(jì)，異常信號(hào)檢測模塊利用TMS320VC5402芯片，對待檢測信號(hào)集合進(jìn)行異常信號(hào)檢測、存儲(chǔ)和報(bào)警，調(diào)制模塊和異常信號(hào)檢測模塊均基于人工免疫設(shè)計(jì)。同時(shí)編寫了人工免疫模型的組建代碼，利用人工免疫模型對系統(tǒng)工作流程進(jìn)行篩選。實(shí)驗(yàn)結(jié)果表明所設(shè)計(jì)的系統(tǒng)擁有較強(qiáng)的調(diào)制能力和檢測穩(wěn)定性。

關(guān)鍵詞： 網(wǎng)絡(luò)入侵； 異常信號(hào)； 檢測系統(tǒng)； TMS320VC5402

中圖分類號(hào)： TN926?34； TN815 文獻(xiàn)標(biāo)識(shí)碼： A 文章編號(hào)： 1004?373X（2016）24?0154?04

Purification method of intruded network feature variation signal

JIANG Cheng

（Hubei Engineering University， Xiaogan 432000， China）

Abstract： The modulating capacity and detecting stability of the traditional abnormal signal detection system after network is intruded become poor due to the influence of the variable network intrusion types. The artificial immunity based abnormal signal detection system dealing with intruded network was designed. The signal acquisition module in the system uses FPGA to design the invasion parameters to acquire all the signals in the intruded network. The modulating module is used to disassemble， amplify and filter the signals coming from the signal acquisition module to generate the signal set under detection. The timer circuit and filtering circuit in the modulating module were designed. The TMS320VC5402 chip is used by the abnormal signal detection module to perform the abnormal signal detection， storage， and alarming. The modulating module and anomaly signal detection module were designed based on artificial immunity. The forming code of the artificial immunity model was compiled. The artificial immunity model is used to screen the system workflow. The result of simulation experiment shows that the system has strong modulating capacity and detecting stability.

Keywords： network intrusion； abnormal signal； detection system； TMS320VC5402

當(dāng)今社會(huì)已進(jìn)入到網(wǎng)絡(luò)時(shí)代，各行各業(yè)的網(wǎng)絡(luò)信息化建設(shè)已成為提高企業(yè)競爭力的有效途徑[1]。與此同時(shí)，網(wǎng)絡(luò)易被入侵的弊端使得企業(yè)中重要信息無法被私密保存，各行各業(yè)開始期待著一種能夠?qū)W(wǎng)絡(luò)被入侵后異常信號(hào)進(jìn)行有效檢測的系統(tǒng)[2]。

傳統(tǒng)的網(wǎng)絡(luò)入侵后異常信號(hào)檢測系統(tǒng)包括：文獻(xiàn)[3]研發(fā)基于半徑動(dòng)態(tài)檢測的網(wǎng)絡(luò)入侵后異常信號(hào)檢測系統(tǒng)；文獻(xiàn)[4]基于危險(xiǎn)理論研發(fā)網(wǎng)絡(luò)入侵后異常信號(hào)檢測系統(tǒng)；文獻(xiàn)[5]基于動(dòng)態(tài)取證研發(fā)網(wǎng)絡(luò)入侵后異常信號(hào)檢測系統(tǒng)。但這些傳統(tǒng)系統(tǒng)運(yùn)行成本較高，因此并未被大面積推廣，設(shè)計(jì)基于人工免疫的網(wǎng)絡(luò)被入侵后異常信號(hào)檢測系統(tǒng)。

1 基于人工免疫的網(wǎng)絡(luò)被入侵后異常信號(hào)檢測

系統(tǒng)設(shè)計(jì)

人工免疫的首次提出是在醫(yī)療界，其擁有較強(qiáng)的“自我”和“非我”判斷能力，將其應(yīng)用于網(wǎng)絡(luò)入侵后異常信號(hào)檢測系統(tǒng)中，可以提高網(wǎng)絡(luò)入侵異常信號(hào)檢測系統(tǒng)的調(diào)制能力和檢測穩(wěn)定性。基于人工免疫的網(wǎng)絡(luò)被入侵后異常信號(hào)檢測系統(tǒng)由信號(hào)采集模塊、調(diào)制模塊和異常信號(hào)檢測模塊組成[6]。

1.1 信號(hào)采集模塊設(shè)計(jì)

網(wǎng)絡(luò)入侵異常信號(hào)檢測系統(tǒng)選用現(xiàn)場可編程門陣列（Field?Programmable Gate Array，F(xiàn)PGA）作為信號(hào)采集模塊核心管理元件。FPGA擁有便于攜帶、管控效果良好和穩(wěn)定性強(qiáng)等特點(diǎn)，圖1為FPGA連接電路圖。

分析圖1可知，F(xiàn)PGA有兩個(gè)輸入端，分別進(jìn)行電源和被入侵網(wǎng)絡(luò)信號(hào)的輸入。信號(hào)采集模塊可以對網(wǎng)絡(luò)進(jìn)行實(shí)時(shí)監(jiān)控，當(dāng)網(wǎng)絡(luò)被入侵時(shí)，立刻對網(wǎng)絡(luò)中的全部信號(hào)進(jìn)行調(diào)出；電容C對所調(diào)出的被入侵網(wǎng)絡(luò)信號(hào)進(jìn)行循環(huán)計(jì)數(shù)和存儲(chǔ)，當(dāng)其中的信號(hào)量達(dá)到預(yù)設(shè)數(shù)值時(shí)， FPGA便將這些信號(hào)組建成信號(hào)包，并傳輸?shù)秸{(diào)制模塊，通過電感L實(shí)施信號(hào)包的緩沖傳輸，避免傳輸擁堵。

1.2 調(diào)制模塊設(shè)計(jì)

調(diào)制模塊能夠?qū)π盘?hào)采集模塊傳輸?shù)男盘?hào)包進(jìn)行拆解、信號(hào)放大和濾波，是異常信號(hào)檢測的基礎(chǔ)。拆解是對信號(hào)包中信號(hào)進(jìn)行依次調(diào)用的過程，信號(hào)放大是對信號(hào)幅值進(jìn)行放大的過程，經(jīng)放大后的信號(hào)，可以對其中的有用特征進(jìn)行有效提取，隨后，調(diào)制模塊對信號(hào)的有用特征進(jìn)行濾波。本文對調(diào)制模塊的計(jì)時(shí)器電路和濾波電路進(jìn)行重點(diǎn)設(shè)計(jì)，圖2、圖3分別為計(jì)時(shí)器電路和濾波電路。

分析圖2可知，調(diào)制模塊選用的是“看門狗”計(jì)時(shí)器，其擁有4個(gè)輸入接口和4個(gè)輸出接口，所提供的重要功能包括虛擬桌面、電子控制、異常判斷和電源復(fù)位等。虛擬桌面是指計(jì)時(shí)器為調(diào)制模塊工作流程構(gòu)建虛擬模型的過程，電子控制是指計(jì)時(shí)器的所有工作全部受計(jì)算機(jī)自動(dòng)控制，增強(qiáng)網(wǎng)絡(luò)入侵后異常信號(hào)檢測系統(tǒng)的調(diào)制能力；異常判斷是指計(jì)時(shí)器通過將調(diào)制模塊的實(shí)際發(fā)生數(shù)據(jù)與預(yù)設(shè)參數(shù)進(jìn)行對比，并實(shí)施計(jì)時(shí)判斷的過程，系統(tǒng)經(jīng)由此項(xiàng)功能對調(diào)制模塊的工作時(shí)間進(jìn)行控制，并將該接口設(shè)為電源接地端；當(dāng)異常判斷給出的判斷結(jié)果為“超時(shí)”[7]，調(diào)制模塊便會(huì)進(jìn)行電源復(fù)位，電源復(fù)位是保證系統(tǒng)調(diào)制性能的實(shí)際操作流程。

分析圖3可知，電容C1和C2為10 μF的普通電容，C3～C6是0.1 μF的陶瓷電容，陶瓷電容相對普通電容來說，擁有更為細(xì)化的濾波功能。該濾波電路利用2個(gè)普通電容對信息包進(jìn)行強(qiáng)濾波，再使用4個(gè)陶瓷電容對信息包的細(xì)節(jié)進(jìn)行處理，使調(diào)制模塊擁有很強(qiáng)的濾波性能。調(diào)制模塊的濾波結(jié)束后，將生成信號(hào)包的待檢測信號(hào)集合，調(diào)制模塊將該集合傳輸?shù)疆惓Ｐ盘?hào)檢測模塊中。

1.3 異常信號(hào)檢測模塊設(shè)計(jì)

異常信號(hào)檢測模塊對所接收到的待檢測信號(hào)集合進(jìn)行異常信號(hào)的檢測。該模塊以人工免疫為理論基礎(chǔ)，其將人工免疫中“自我”和“非我”的判斷理念設(shè)計(jì)于檢測工作中。異常信號(hào)檢測模塊的核心元件是TMS320VC5402芯片[8]。TMS320VC5402芯片是美國某公司研發(fā)的一款高性能定點(diǎn)處理器，該芯片利用哈佛結(jié)構(gòu)將程序指令和電路數(shù)據(jù)分開進(jìn)行存儲(chǔ)，使芯片具有低耗能和高檢測能力的優(yōu)點(diǎn)，且價(jià)格不高、兼容性較強(qiáng)，非常適合用于網(wǎng)絡(luò)入侵后異常信號(hào)檢測過程。TMS320VC5402芯片的供電電壓有兩種，分別為3.3 V和1.8 V。3.3 V電壓為芯片的輸入/輸出接口供電，1.8 V電壓為芯片的檢測工作供給電能。對TMS320VC5402芯片供電電路的設(shè)計(jì)是一項(xiàng)非常重要的內(nèi)容，應(yīng)使所設(shè)計(jì)出的電路能夠持續(xù)、低耗地為TMS320VC5402芯片供電，如圖4所示。

由圖4可知，異常信號(hào)檢測模塊中的TMS320

VC5402芯片提供的初始供電電壓為5 V，經(jīng)圖4（a）將其轉(zhuǎn)換成3.3 V的電壓供TMS320VC5402芯片使用，在異常信號(hào)檢測模塊調(diào)用TMS320VC5402芯片進(jìn)行檢測工作時(shí)，將通過圖4（b）中的電路把3.3 V電壓轉(zhuǎn)換成1.8 V電壓。

異常信號(hào)檢測模塊利用TMS320VC5402芯片對待檢測信號(hào)集合進(jìn)行檢測。TMS320VC5402芯片先將待檢測信號(hào)集合解碼，將解碼后的待檢測信號(hào)按照其特征類型進(jìn)行分類，隨后對其進(jìn)行異常信號(hào)檢測，TMS320VC5402芯片中含有兩種檢測電路，分別是標(biāo)準(zhǔn)檢測電路和記憶檢測電路。標(biāo)準(zhǔn)檢測電路將待檢測信號(hào)的特征與標(biāo)準(zhǔn)協(xié)議進(jìn)行比對，所獲取的異常信號(hào)將被存儲(chǔ)和報(bào)警；記憶檢測電路根據(jù)標(biāo)準(zhǔn)檢測電路中的存儲(chǔ)數(shù)據(jù)，對非首次入侵的異常信號(hào)進(jìn)行攔截和檢測，這一設(shè)計(jì)旨在提高所研發(fā)基于人工免疫的網(wǎng)絡(luò)入侵后異常信號(hào)檢測系統(tǒng)的檢測效率和檢測穩(wěn)定性。

2 網(wǎng)絡(luò)入侵后異常信號(hào)檢測系統(tǒng)實(shí)現(xiàn)

2.1 人工免疫模型組建代碼設(shè)計(jì)

人工免疫模型組建是網(wǎng)絡(luò)入侵后異常信號(hào)檢測系統(tǒng)實(shí)現(xiàn)的前提條件。假設(shè)x代表記憶檢測電路，y代表標(biāo)準(zhǔn)檢測電路，z代表檢測電路最終集合，data代表待檢測信號(hào)，則所設(shè)計(jì)的人工免疫模型組建代碼如下：

Begin

Initialization x?set；

data=0；

do

{

A random y set to join x in the collection；

if（y not through negative selection）

{

Delete y

}

else

{

Calculate y fitness；

Add y to the set z；

y.number=1；

while（y.amputate

}

if（y detected an invasion）

{

Update z set；

z.number++；

}}

2.2 系統(tǒng)工作篩選流程設(shè)計(jì)

在網(wǎng)絡(luò)入侵后異常信號(hào)檢測系統(tǒng)實(shí)現(xiàn)過程中，采用第1節(jié)設(shè)計(jì)的人工免疫模型將初次系統(tǒng)流程與系統(tǒng)流程進(jìn)行對比，篩選出系統(tǒng)工作中無效流程將被刪除，增強(qiáng)系統(tǒng)的調(diào)制能力和檢測穩(wěn)定性。其中，系統(tǒng)工作流程有效的概率稱作適應(yīng)值，適應(yīng)值越小的檢測工作流程，其被刪除的可能性就越大。因此，對系統(tǒng)工作流程的篩選是系統(tǒng)軟件的設(shè)計(jì)重點(diǎn)，其流程圖如圖5所示。

由圖5可知，人工免疫主要對系統(tǒng)中的調(diào)制工作和檢測工作進(jìn)行流程篩選。人工免疫先進(jìn)行調(diào)制工作的流程篩選，對其工作適應(yīng)值進(jìn)行計(jì)算，再將計(jì)算結(jié)果與否定選擇進(jìn)行對比。否定選擇是人工免疫中的一項(xiàng)重要篩選方法，其將篩選標(biāo)準(zhǔn)定義為長度為A的字符串，將B定義為永久不刪除的字符串。當(dāng)調(diào)制工作流程中的某一項(xiàng)與A，B同時(shí)產(chǎn)生重疊，則視為該項(xiàng)流程通過，其將未通過的流程參數(shù)記錄并存儲(chǔ)，再將該項(xiàng)流程刪除。人工免疫對檢測工作進(jìn)行的流程篩選與上述內(nèi)容相同。軟件最終會(huì)將已刪除的流程參數(shù)和最終工作流程輸出。

3 實(shí)驗(yàn)測試

3.1 系統(tǒng)調(diào)制能力測試

本文設(shè)計(jì)的基于人工免疫的網(wǎng)絡(luò)入侵后異常信號(hào)檢測系統(tǒng)的調(diào)制能力是系統(tǒng)檢測工作的基礎(chǔ)保障。對本文系統(tǒng)調(diào)制能力的測試應(yīng)從被入侵網(wǎng)絡(luò)信號(hào)經(jīng)調(diào)制后的頻域特性和時(shí)域特性入手，判定二者是否能夠被有效提取。實(shí)驗(yàn)對被入侵網(wǎng)絡(luò)的狀態(tài)進(jìn)行了模擬，并在該網(wǎng)絡(luò)中加入一強(qiáng)一弱兩個(gè)異常信號(hào)。設(shè)定強(qiáng)異常信號(hào)中時(shí)域特性的峰值為6.0 V，頻率[9]為190 kHz。設(shè)定弱異常信號(hào)中時(shí)域特性的峰值為2.0 V，頻率為110 kHz。規(guī)定調(diào)制過的信號(hào)電壓值與實(shí)際電壓差值應(yīng)不高于0.25 V，若差值低于0.08 V，則可判斷系統(tǒng)調(diào)制能力強(qiáng)。本文系統(tǒng)的調(diào)制結(jié)果曲線如圖6、圖7所示。

由圖6和圖7可知，經(jīng)本文系統(tǒng)調(diào)制后的強(qiáng)異常信號(hào)時(shí)域特性的峰值為5.95 V，頻率為190.6 kHz。弱異常信號(hào)的時(shí)域特性的峰值為1.95 V，頻率為109.9 kHz。將以上結(jié)果與規(guī)定值進(jìn)行比對能夠得出，本文系統(tǒng)擁有較強(qiáng)的調(diào)制能力。

3.2 系統(tǒng)檢測穩(wěn)定性測試

在系統(tǒng)檢測穩(wěn)定性測試中，實(shí)驗(yàn)給出4種網(wǎng)絡(luò)入侵類型，分別是網(wǎng)絡(luò)監(jiān)聽、緩沖溢出、IP地址欺騙和SYN攻擊。利用本文系統(tǒng)、基于危險(xiǎn)理論的檢測系統(tǒng)以及半徑動(dòng)態(tài)檢測系統(tǒng)，對上述入侵進(jìn)行異常信號(hào)檢測，檢測結(jié)果如表1所示，其中：

檢測率=（系統(tǒng)檢測出的異常信號(hào)數(shù)據(jù)量÷異常信號(hào)總數(shù)據(jù)量）×100%

表1中的檢測率數(shù)據(jù)是通過系統(tǒng)對4種網(wǎng)絡(luò)入侵分別進(jìn)行2 000次檢測得出的。經(jīng)由對比上述數(shù)據(jù)中各系統(tǒng)的最低值和最高值之差，能夠清晰地得出，本文系統(tǒng)擁有較強(qiáng)的檢測穩(wěn)定性。

4 結(jié) 論

本文設(shè)計(jì)基于人工免疫的網(wǎng)絡(luò)被入侵后異常信號(hào)檢測系統(tǒng)，仿真實(shí)驗(yàn)結(jié)果說明，所設(shè)計(jì)的系統(tǒng)擁有較強(qiáng)的調(diào)制能力和檢測穩(wěn)定性。

表1 異常信號(hào)檢測結(jié)果統(tǒng)計(jì)表（檢測率） %

參考文獻(xiàn)

[1] 崔建平.基于3G?ASCX的小型飛行器異常導(dǎo)航信號(hào)檢測系統(tǒng)設(shè)計(jì)[J].計(jì)算機(jī)測量與控制，2015，23（6）：2149?2151.

[2] 王玉萍，曾毅.基于PTG502?CAN的鍋爐管道異常壓力檢測系統(tǒng)設(shè)計(jì)[J].計(jì)算機(jī)測量與控制，2015，23（8）：2673?2675.

[3] 昂正全，趙京廣，李一超.衛(wèi)星測控站頻譜監(jiān)測系統(tǒng)設(shè)計(jì)方案及實(shí)現(xiàn)[J].計(jì)算機(jī)測量與控制，2014，22（11）：3466?3469.

[4] 陳嬌，潘天紅，張明.基于信號(hào)變化速率的時(shí)間序列異常值檢測方法[J].北京工業(yè)大學(xué)學(xué)報(bào)，2014，40（7）：992?995.

[5] 黃婷，劉政連，王巳.基于曲率擴(kuò)散模型的可見數(shù)字圖像水印攻擊算法研究[J].中央民族大學(xué)學(xué)報(bào)（自然科學(xué)版），2014，23（3）：49?55.

[6] 穆麗文，彭賢博，黃嵐.異構(gòu)復(fù)雜信息網(wǎng)絡(luò)下的異常數(shù)據(jù)檢測算法[J].計(jì)算機(jī)科學(xué)，2015，42（11）：134?137.

[7] 楊福來，孫旭飛，李碩.基于FPGA的信號(hào)燈沖突檢測電路的設(shè)計(jì)與實(shí)現(xiàn)[J].微型機(jī)與應(yīng)用，2015，34（23）：23?26.

[8] 陳小軍，時(shí)金橋，徐菲，等.面向內(nèi)部威脅的最優(yōu)安全策略算法研究[J].計(jì)算機(jī)研究與發(fā)展，2014，51（7）：1565?1577.

[9] 馬曉賢，彭力.一種改進(jìn)的無線傳感器網(wǎng)絡(luò)DV?Hop定位算法[J].計(jì)算機(jī)工程與應(yīng)用，2015，51（21）：97?101.