蔣榮萍

（廣西民族大學 人工智能學院，廣西 南寧 530006）

0 引 言

與此同時，網(wǎng)絡(luò)安全領(lǐng)域的問題也不斷滋生，使整個社會面臨著更加嚴峻的網(wǎng)絡(luò)安全狀況[1]。隨著各種經(jīng)濟活動的不斷融入，本來就充滿風險的網(wǎng)絡(luò)面臨著更加危險的狀況，各種入侵、木馬、病毒等網(wǎng)絡(luò)安全事件不斷發(fā)生，并且隨著越來越多黑客工具的出現(xiàn)，使黑客數(shù)量瘋狂增長，網(wǎng)絡(luò)上也出現(xiàn)了更多危險與陷阱，在線的目的性竊取成為主流的網(wǎng)絡(luò)攻擊方式。而隨著網(wǎng)絡(luò)攻擊的主要動機由炫耀技術(shù)轉(zhuǎn)向獲取利益，其定向性、專業(yè)性、趨利性與組織性都在持續(xù)加強，導(dǎo)致以獲取經(jīng)濟利益為目的的在線身份竊取與惡意代碼成為網(wǎng)絡(luò)攻擊方式中的主流[2]。大范圍無目的擴散的網(wǎng)絡(luò)蠕蟲淡出視野，而以特定用戶群體為目標的信息定向化勒索與竊取則躍升為網(wǎng)絡(luò)攻擊中的新趨勢[3]。我國遭遇篡改的網(wǎng)站數(shù)量一直居高不下，甚至政府網(wǎng)站遭遇篡改的次數(shù)也持續(xù)升高，表明我國網(wǎng)站的安全性面臨著巨大壓力。

根據(jù)有關(guān)調(diào)查結(jié)果，近幾年來，網(wǎng)頁篡改、網(wǎng)絡(luò)仿冒、垃圾郵件等網(wǎng)絡(luò)安全事件的增加呈現(xiàn)直線上升趨勢，網(wǎng)絡(luò)攻擊的趨利性與目的性也在不斷增強[4]。僵尸網(wǎng)絡(luò)與木馬伴隨著網(wǎng)絡(luò)資源與網(wǎng)絡(luò)用戶的規(guī)模化增加而變得極具擴散性，呈現(xiàn)出小型化、局部化、專業(yè)化的進化趨勢。網(wǎng)絡(luò)劫持、網(wǎng)址嫁接、網(wǎng)絡(luò)仿冒、惡意代碼等網(wǎng)絡(luò)安全事故為各種系統(tǒng)制造了大量漏洞，網(wǎng)絡(luò)安全防御面臨著更加緊張的態(tài)勢[5]。因此提出一種基于N-gram算法的網(wǎng)絡(luò)安全風險檢測系統(tǒng)對網(wǎng)絡(luò)安全風險進行檢測。

1 網(wǎng)絡(luò)安全風險檢測系統(tǒng)設(shè)計

1.1 硬件設(shè)計

基于N-gram 算法的網(wǎng)絡(luò)安全風險檢測系統(tǒng)的硬件包括數(shù)據(jù)預(yù)處理模塊、協(xié)同分析模塊[6]。

1.1.1 數(shù)據(jù)預(yù)處理模塊

數(shù)據(jù)預(yù)處理模塊主要負責處理被捕獲的、存在安全風險的數(shù)據(jù)包，由檢測引擎與包解碼器組成[7]。

對于采集到的數(shù)據(jù)包，首先通過包解碼器解碼其中包含的實際元素，具體的解碼器工作流程如圖1所示[8]。

圖1 具體的解碼器工作流程

包解碼器首先會連接解碼數(shù)據(jù)并構(gòu)建一個網(wǎng)絡(luò)堆棧，然后按照從底層逐層上移至高層的方式對協(xié)議元素進行解碼[9]。最后，將各個已經(jīng)獲得解碼的包合并于一個數(shù)據(jù)結(jié)構(gòu)內(nèi)，并將其發(fā)送至檢測引擎中對其進行分析[10]。

原位生物反應(yīng)池出水進入A/O-MBR系統(tǒng)的厭氧池。A池設(shè)有射流攪拌，O池設(shè)有射流曝氣，MBR膜采用外置式陶瓷膜分離反應(yīng)器，其中好氧段停留時間為4 d。

而檢測引擎的主要作用是檢查解碼數(shù)據(jù)包中是否存在威脅網(wǎng)絡(luò)安全的可疑行為，并對其中存在的可疑行為實施修改操作[11]。由于一些數(shù)據(jù)包可以通過載荷變換等手法偽裝自己，因此在檢查可疑行為之前，檢測引擎首先要對數(shù)據(jù)包的規(guī)則進行修改。除此之外，檢測引擎還能夠?qū)α髁磕Ｊ綄嵤藴驶幚?，從而準確匹配數(shù)據(jù)包特征。

1.1.2 協(xié)同分析模塊

協(xié)同分析模塊主要由協(xié)同采集器、協(xié)同分析器、協(xié)同傳感器以及協(xié)同管理器構(gòu)成，具體模塊圖如圖2所示[12]。

圖2 協(xié)同分析模塊具體模塊圖

在協(xié)同分析模塊中，協(xié)同采集器主要負責接收各個節(jié)點的相關(guān)檢測數(shù)據(jù)，經(jīng)過協(xié)同傳感器報告給協(xié)同分析器。

協(xié)同分析器作為整個模塊的核心構(gòu)成部分，主要作用是整合分析協(xié)同采集器的報告數(shù)據(jù)，并對涉及多個部分的復(fù)雜攻擊進行檢測，其核心功能是關(guān)聯(lián)分析，也就是負責進行協(xié)同分析的具體過程[13]。協(xié)同分析器中共有兩個接口，一個是配置接口，一個是數(shù)據(jù)庫存儲接口。其中配置接口主要負責配置分析器規(guī)則以及查詢分析結(jié)果；而數(shù)據(jù)庫存儲接口主要負責存儲協(xié)同分析數(shù)據(jù)以及在數(shù)據(jù)庫中暫存協(xié)同管理器的報告數(shù)據(jù)。

協(xié)同傳感器的位置處于協(xié)同采集器與協(xié)同分析器之間，主要負責過濾那些與網(wǎng)絡(luò)安全風險無關(guān)的信息。

協(xié)同管理器主要負責協(xié)調(diào)管理協(xié)同分析模塊的數(shù)據(jù)響應(yīng)功能、數(shù)據(jù)處理功能以及數(shù)據(jù)接收功能。

1.2 軟件設(shè)計

基于N-gram 算法的網(wǎng)絡(luò)安全風險檢測系統(tǒng)的軟件配置為網(wǎng)絡(luò)安全風險檢測模塊[14]。

基于N-gram 算法設(shè)計網(wǎng)絡(luò)安全風險檢測模塊，該模塊主要通過協(xié)議分析與特征匹配實現(xiàn)網(wǎng)絡(luò)安全風險的檢測，其中協(xié)議分析主要通過構(gòu)建協(xié)議分析樹實現(xiàn)；特征匹配則主要通過N-gram 算法實現(xiàn)[15]。

協(xié)議分析的具體過程為結(jié)合全部協(xié)議并將它們組合成一個協(xié)議樹，協(xié)議樹中的各個節(jié)點即表示不同的協(xié)議。在構(gòu)建的協(xié)議樹中，葉子節(jié)點到根節(jié)點的路徑表示該種協(xié)議類型的數(shù)據(jù)包分析流程，并且在協(xié)議樹中可以自由添加協(xié)議自定義節(jié)點，以充分細化數(shù)據(jù)分析過程，從而提升網(wǎng)絡(luò)安全風險檢測效率。協(xié)議分析樹的具體結(jié)構(gòu)如圖3 所示。

協(xié)議分析樹中的節(jié)點結(jié)構(gòu)中包含的信息如下：數(shù)據(jù)函數(shù)分析鏈表、下級協(xié)議代號、協(xié)議代號、協(xié)議名稱、協(xié)議特征。完成協(xié)議分析后，通過下式進行特征匹配，主要匹配數(shù)據(jù)包與現(xiàn)有規(guī)則，以檢測其攻擊特征。數(shù)據(jù)包與現(xiàn)有規(guī)則一旦匹配上，即表示檢測到一個可能攻擊。

式中：p代表匹配規(guī)則；S代表現(xiàn)有規(guī)則；ω1，ω2，…，ωn則分別代表各個匹配數(shù)據(jù)包。

圖3 協(xié)議分析樹的具體結(jié)構(gòu)

2 實驗研究與分析

2.1 實驗方法與流程

為了驗證基于N-gram 算法的網(wǎng)絡(luò)安全風險檢測系統(tǒng)的性能，進行實驗。

首先配置基于N-gram 算法的網(wǎng)絡(luò)安全風險檢測系統(tǒng)的實驗環(huán)境服務(wù)器，包括服務(wù)器硬件配置與服務(wù)器軟件配置，其硬件配置如表1 所示。

表1 服務(wù)器硬件配置

軟件配置如表2 所示。

以真實網(wǎng)絡(luò)數(shù)據(jù)作為實驗數(shù)據(jù)，并對其實施邊界值處理，以形成典型實驗數(shù)據(jù)。處理后的實驗數(shù)據(jù)如表3所示。

表2 軟件配置

表3 處理后的實驗數(shù)據(jù)

將實驗數(shù)據(jù)輸入基于N-gram 算法的網(wǎng)絡(luò)安全風險檢測系統(tǒng)中，基于服務(wù)器進行網(wǎng)絡(luò)安全的風險檢測。為了保證本次實驗的公正性與有效性，將傳統(tǒng)網(wǎng)絡(luò)安全風險檢測系統(tǒng)與本文提出的基于N-gram 算法的網(wǎng)絡(luò)安全風險檢測系統(tǒng)共同進行實驗，比較各個網(wǎng)絡(luò)安全風險檢測系統(tǒng)的數(shù)據(jù)包檢測性能。

判斷數(shù)據(jù)包檢測性能高低的依據(jù)主要是多種類別數(shù)據(jù)包的平均檢測時間，本文選取5 種數(shù)據(jù)包進行實驗，當多種類別數(shù)據(jù)包的平均檢測時間之和越小，即證明其數(shù)據(jù)包檢測性能越強，反之，則證明其數(shù)據(jù)包檢測性能越差。

2.2 結(jié)果探究

基于N-gram 算法的網(wǎng)絡(luò)安全風險檢測系統(tǒng)與傳統(tǒng)網(wǎng)絡(luò)安全風險檢測系統(tǒng)的數(shù)據(jù)包檢測性能對比實驗結(jié)果如圖4 所示。

圖4 數(shù)據(jù)包檢測性能對比實驗結(jié)果

根據(jù)圖4 的數(shù)據(jù)包檢測性能對比實驗結(jié)果可知，傳統(tǒng)網(wǎng)絡(luò)安全風險檢測系統(tǒng)5 種數(shù)據(jù)包類別的平均檢測時間之和較大，而基于N-gram 算法的網(wǎng)絡(luò)安全風險檢測系統(tǒng)5 種數(shù)據(jù)包類別的平均檢測時間之和較小。也就是基于N-gram 算法的網(wǎng)絡(luò)安全風險檢測系統(tǒng)的數(shù)據(jù)包檢測性能優(yōu)于傳統(tǒng)網(wǎng)絡(luò)安全風險檢測系統(tǒng)，實現(xiàn)了性能的躍升。

3 結(jié) 語

基于N-gram 算法的網(wǎng)絡(luò)安全風險檢測系統(tǒng)通過引入設(shè)計的網(wǎng)絡(luò)安全風險檢測模塊實現(xiàn)了網(wǎng)絡(luò)安全風險的檢測，并且實現(xiàn)了數(shù)據(jù)包檢測性能的提升，但是該系統(tǒng)還存在提升空間，后續(xù)需要對該系統(tǒng)繼續(xù)進行調(diào)整。