基于云计算的通信网络入侵检测方法.pdf

SOFTWARE2023软 件第 44 卷 第 7 期2023 年Vol.44,No.7作者简介：郭任（1984），男，山东菏泽人，硕士，工程师，从事于网络安全和信息化工作。基于云计算的通信网络入侵检测方法郭任（菏泽市福利彩票中心，山东菏泽 274000）摘要：常规通信网络入侵检测方法主要依托于机器学习算法进行固定式检测，导致检测率较低。因此，提出基于云计算的通信网络入侵检测方法。通过入侵信号建模，分析通信网络入侵节点聚集度，以此为依据，构建入侵行为特征函数，提取入侵行为特征，采用云计算技术针对入侵行为，对入侵数据进行模糊判定，实现入侵检测输出。对比结果证明，所提方法的检测率更高，检测性能较优。关键词：云计算技术；通信网络；入侵检测；检测率中图分类号：TN918.91 文献标识码：A DOI：10.3969/j.issn.1003-6970.2023.07.045本文著录格式：郭任.基于云计算的通信网络入侵检测方法J.软件,2023,44(07):167-170Acommunication Network Intrusion Detection Method Based on Cloud ComputingGUO Ren(Heze Welfare Lottery Center,Heze Shandong 274000)【Abstract】：Conventional communication network intrusion methods mainly rely on machine learning algorithms for fixed detection,resulting in low detection rate.Therefore,a communication network intrusion detection method based on cloud computing is proposed.Through the modeling of intrusion signals,the aggregation degree of communication network intrusion nodes is analyzed.Based on this,the intrusion behavior characteristic function is constructed,the intrusion behavior characteristics are extracted,and the cloud computing technology is used to conduct fuzzy judgment on intrusion data for intrusion behavior,so as to achieve the output of intrusion detection.The comparison results show that the proposed method has higher detection rate and better detection performance.【Key words】：cloud computing technology;communication network;intrusion detection;detection rate设计研究与应用0 引言在云计算平台的支持下，大量的通信网络节点数据与信息依靠云计算的方式实现通信与传输，而通信网络的安全性是维持其生命周期的关键。目前广泛应用的通信网络入侵检测方法有文献 1 基于 SSA-BRF 的网络入侵检测方法和文献 2 基于混合模式匹配的网络入侵检测方法。基于 SSA-BRF 的网络入侵检测方法主要是通过对通信网络中的全部数据进行对称加密处理，对系统安全进行保障，但此方法在很大程度上保证了入侵检测的严谨性，但依然存在较大欠缺，使得实际应用效果欠佳；基于混合模式匹配的网络入侵检测方法通过生成对抗网络与优化构建的检测模型来实现入侵检测，但该方法的主要缺陷体现在不易收敛、学习效率低两方面，导致入侵检测精度低。针对上述方法存在的问题，为进一步提高通信网络的安全等级，本文基于云计算技术的优势，扩展对通信网络入侵检测方法的设计研究。1 通信网络入侵检测方法设计1.1 通信网络入侵节点聚集度分析分析通信网络入侵节点的聚集度是实现入侵检测的第一个步骤，可在一定程度上提高入侵检测的精度。而在分析节点聚集度之前，需要明确入侵信号在网络各节点间的传输过程，故构建入侵信号模型，具体如式（1）所示：()()2dxaxbxs ttdt=+（1）式（1）中，a 表示通信系统中信道的超参数；b 表示通信系统的偏置系数；s(t)表示网络节点入侵信息的完全168软 件第 44 卷 第 7 期SOFTWARE发布条件概率；()t表示待检测信号的损失函数。通过调节通信网络的超参数与偏置系数，构建入侵信号模型。在复杂的通信网络环境下，节点入侵信号通常为一个散度函数3，表达式为如式（2）所示：()12dxU xabdt=+（2）式（2）中系统参数取 a=1，b=1。通信网络节点的入侵信号的散度函数一般包含 2 个激活函数和 1 个重构函数，采用欠采样更新方法分解入侵节点的时延特征，则可用一个含有最低激励值的激励方程来描述通信网络的数据传输模型如式（3）所示：kkkxve=（3）式（3）中，vk为 k 时刻的数据传输时延；ek表示 k时刻的数据通信带宽。则通信网络节点的入侵信号的传输模型可表示为如式（4）所示：()log/NxkH xpSx=+（4）式（4）中，px表示通信网络入侵信号的传输时延误差；S N表示第 N 个节点的连接权重。在入侵信号传输模型基础上对入侵节点聚集度进行分析。将原始网络节点中的使用数据样本看作一个集合，记作 E n，样本中的数据最大值记作 Dx，网络中心节点记作 D，样本集合 E n与 D 之间的最短距离记作 d(x,w)。则根据以上设定，即可计算出任意一个节点与中心节点的相似程度，同时为防止通信网络节点信息损坏，则设置的判定条件如式（5）所示：()()1nxEDcpctH x+=+|+（5）式（5）中，cp|表示节点入侵信号占用的网络带宽；c表示节点线性修正密度；t 表示节点开放时间；H(x)表示入侵信号传输模型。则入侵节点的空间聚集度可表示为如式（6）所示：()maxtibpth|=（6）式（6）中，ti表示 t 时刻的第 i 个入侵节点；()bpt表示入侵节点对应的权值。从式（6）可知，通信网络节点入侵的空间聚集度 h能够反映出网络节点在整个通信系统中的离散程度，若 h越大，表示入侵节点越稀疏；若 h 越小，表示入侵节点越密集，则容易出现局部极小值现象4。通过构建通信网络入侵信号传输模型，明确信号在信道内的传输过程，并在此基础上对入侵节点的聚集度进行分析，确定入侵信号在通信网络节点的聚集离散程度，为接下来提取入侵行为特征奠定基础。1.2 入侵行为特征提取在明确通信网络入侵节点聚集度后，为实现对其入侵行为的特征提取，引入 FS 算法，将通信网络的流量审计记录作为提取对象，对其进行入侵行为特征的提取，以此发现异常入侵。如图 1 所示为基于 FS 算法的特征提取流程示意图。通信网络数据训练数据FS算法测试数据入侵行为特征提取预处理训练测试图 1 入侵行为特征提取流程图Fig.1 Flow chart of feature extraction of intrusion behavior结合图 1 当中的内容，在获取到通信数据原始数据后，为方便后续操作，首先需要对其进行预处理，对数据当中各个属性下的数据进行划分，并对其相互之间的连接进行记录。再采用 FS 算法对入侵行为特征进行提取，选择一种无限可微的激活函数，以此避免了对 FS算法中各个参数的调整，随机选择两组参数，并确保这两组参数在训练过程中始终保持不变，通过最小而承接的方式得到提取结果5，这一过程可用如式（7）所示的公式表示：mhHT=|（7）式（7）中，m表示最小二乘解；h 表示入侵节点聚集度；H 表示在隐含层当中输入的矩阵；T 表示常数项。基于公式（7）中的关系进一步得出入侵行为特征提取公式如式（8）所示：mnTH+=（8）式（8）中，n表示不同通信网络数据连接权重；H+表示输出矩阵的广义逆。基于上述公式，完成对提取通信网络入侵行为特征函数的构建，将该函数应用到通信网络环境当中，针对流量审计记录中的数据进行计算，从而实现对入侵行为特征的获取，为后续入侵行为检测与分类提供重要依据。同时，在实际应用中，上述过程可引入入侵规则，利用入侵规则实现对通信网络入侵行为的过滤，以此可实现对冗余数据的去除，同时也能实现对位置入侵行为特征的获取，以此进一步提高本文检测方法的检测结果精度。1.3 基于云计算技术的入侵检测输出本研究采用云计算技术实现通信网络入侵检测。基于云计算技术的入侵检测原理为：首先，利用云计算技169郭任：基于云计算的通信网络入侵检测方法术将通信网络的入侵检测任务划分为带有入侵行为特征的若干个子任务；其次，将子任务随机分配到云平台中的各个节点上进行建模，通过检测模型检测当前所在节点的入侵结果；最后，将多个结果进行融合，得到最终检测结果6，具体如图 2 所示。入侵数据模糊判定入侵数据模糊判定.入侵数据模糊判定入侵检测结果融合最终入侵检测结果输出图 2 基于云计算的入侵检测原理Fig.2 Intrusion detection principle based on cloud computing从图 2 中可以看出，在入侵行为特征提取的基础上，利于云计算技术判定通信网络入侵节点的模糊特征，根据特征获取异常数据样本，以此完成通信网络入侵检测的计算流程，具体计算如下：设定待检测的入侵数据集合为()12,.,iCc cc=，网络节点的所用数据样本集合为()12,.,nnnnycccc=，其中，cny表示样本集合 cn对应入侵数据集合中的第 y 个样本对象，通信网络中的判定节点为 V，则其对应的判定模糊子集为12,.,vC CC。对网络判定节点的判定系数进行自适应计算，得到如式（9）所示：22cnnGo f=（9）式（9）中，n表示入侵行为特征；fn表示网络入侵节点到判定节点的欧式距离；o 表示异常节点对应判定节点的特征基元系数，且满足隶属约束条件，如式（10）所示：0,1,1oo=（10）判定节点的判定系数 Gc可以在判定隶属约束条件下，判定任意一个异常节点到判定中心节点的欧式距离是否为最短距离7。令()12,.,VBB BB=表示 V 个网络节点的集合，在满足上述约束条件的情况下，可利于拉格朗日函数计算入侵节点的输出系数，如式（11）所示：212nnincocBoG=（11）根据式（11）计算得出的入侵节点输出系数，通过不断对当前节点进行隶属关系对比，直至得到一个最小的异常节点隶属系数值，此时得到的输出系数即是判定为入侵数据的高精度样本，包含入侵行为特征的所有入侵节点数据。至此，完成基于云计算技术的通信网络入侵检测输出。2 实验论证分析2.1 实验准备为测试文中所提检测方法的应用可行性，搭建云计算仿真平台。实验通信网络系统的节点共计 200 个，且每个节点的各项配置均相同，具体为：网络相同的最大工作带宽为 300M；整体实验环境为 Intel(R)Core(TM)i5-7200；节点编码方式为稀疏编码；平台为 Pycharm；学习库为 Kcars。实验选用标准 KDD CPU 数据集，样本中的每个数据集均包含 36 个特征，具体如表 1 所示。表 1 网络入侵检测样本数量Tab.1 Number of network intrusion detection samples网络状态训练样本测试样本Normal100002000Dos1000200R2L1000200Probe1000200U2R500100实验中选用 4 台配置完全相同的计算机作为实验系统，模拟通信网络无极端数据和存在入侵数据时这两种运行情况，同时采用不同入侵检测方法对实验通信网络进行入侵检测，对比不同方法的检测率。2.2 实验说明为提高实验的普遍性，测试集当中的数据类型包含多种通信网络当中常见的数据类型，在引入数据前，还需要按照如式（12）所示的公式完成对数据集的标准化处理：1zzz=（12）式（12）中，z1表示标准化处理后的数据；z 表示初始数据；z表示所有原始通信网络数据特征值的平均值；表示初始数据特征的方差。根据上述公式计算完成对所有测试集中数据的标准化处理，以此完成整个实验准备内容。2.3 实验结果分析为了验证设计的检测方法的有效性及可行性，采用文献 1 基于 SSA-BRF 的网络入侵检测方法（方法 1）、文献 2 基于混合模式匹配的网络入侵检测方法（方法 2）为对比，以检测率为指标，对不同入侵类型条件下的检测性能对比分析，结果如图 3 所示。根据图 3 可知，本文设计的检测方法在不同通信网络入侵类型情况下，其检测率均高于 87%，远高于方170软 件第 44 卷 第 7 期SOFTWARE法 1 与方法 2。方法 1 与方法 2 的检测率相对较低的原因是这两种方法均是依靠经验方法确定检测模型的权值，非线性处理能力较差，因此，入侵检测效果欠佳。通过比较可以说明，文中所提方法对于研究对象通信网络非法入侵具有较高的检测率，检测性能较佳。3 结语为提高通信网络的安全等级，实现网络安全防御能力，本文提出基于云计算的通信网络入侵检测方法，对入侵节点的聚集度进行分析，并提取节点入侵行为特征，采用云计算技术判定入侵模糊特征，实现入侵检测。经过对比试验可知，本文设计的方法具有良好的入侵检测性能，检测率较高。参考文献1 魏明军,张鑫楠,刘亚志,等.一种基于SSA-BRF的网络入侵检测方法J.河北大学学报(自然科学版),2022,42(5):552-560.2 周琰,马强.基于混合模式匹配算法的网络入侵检测J.计算机测量与控制,2022,30(11):65-70.3 张志飞,王露漫.基于机器学习的网络入侵检测算法研究J.计算机应用与软件,2022,39(10):336-343.4 任守东,陈亮,佟晓童,等.基于机器学习与大数据技术的入侵检测方法研究J.计算技术与自动化,2022,41(3):172-175.5 李道全,杨乾乾,鲁晓夫.基于决策树的SDN网络入侵分类检测模型J.计算机工程与设计,2022,43(8):2146-2152.6 王霞.基于人工智能网络入侵检测技术研究J.江西通信科技,2022(3):46-48+51.7 李群,王超,任天宇.基于渗透测试的多层次网络安全入侵检测方法J.沈阳工业大学学报,2022,44(4):372-377.工具、方法，比如数据流图。3 局限性嵌入式平台存在多样性，不同平台之间的Flash、RAM、CPU 主频等差距比较大，一般 Flash、RAM 越大，主频越高，芯片的价格就越高；相反的，Flash、RAM 越小，主频越慢，芯片的价格就越低。出于成本的考虑，某些厂家在选型时会选择 Flash、RAM 很小主频很慢的芯片。这种芯片在某些特定的约束下也刚好能实现用户所需的功能，但是，它是基于没有框架结构的基础之上，代码相对比较混乱，但因为成本较低，深受某些客户的喜爱，如果对这种类型的嵌入式软件考虑将其代码平面型架构设计的话，会出现 Flash 或 RAM 不足，或性能下降的情况。这种情况下平面型代码的架构设计就会起到相反的作用。4 结语为了适应当前嵌入式环境地快速变化，并且为了减少硬件平台的差异带来的重复开发和移植的工作量，在嵌入式软件开发时提前规划、设计一个好的嵌入式软件架构，对嵌入式软件的开发进度会起到一定的帮助。本文指出一个通用的嵌入式软件开发架构，帮助嵌入式工程师规范设计开发嵌入式软件，提高嵌入式开发和移植的效率。参考文献1 李丽.低代码开发,让你的业务“快活”起来N.计算机世界,2019-08-05(05).2 谢希仁.计算机网络(第7版)M.北京:电子工业出版社,2017.3 Ian Sommerville.软件工程(原书第9版)M.程成,译.北京:机械工业出版社,2011.上接第166页图 3 不同方法检测率对比结果Fig.3 Comparison of detection rates of different methodsNormalDosR2LProbeU2R7580859095100入侵类型检测率/%方法1方法2本文方法