钟成琦 陈钧 张展翔
摘 要 以往基于RBF网络的异常检测模型,其训练数据集通常包含正常数据和四种攻击数据。这样的RBF网络虽然可以检测多种数据,但对每种数据的检测率都不高。现有的检测模型在全网中传递请求信息和检测信息会引发网络通信延迟、资源消耗增大、检测难度增加、检测效率降低等问题。本文提出了一种路由器端检测模型结构及检测过程。
关键词 路由器 检测模型
中图分类号:TP393 文献标识码:A
1检测模型工作原理
RBF网络是通过设置训练数据与期望响应间对应关系来调整网络参数,并预测被检测数据的类型,训练数据种类较多,势必造成网络参数对训练数据特征的体现趋于平均化,导致在对被检测数据类型预测时正确率偏低。另外,现有的无线网络分布式异常检测模型为解决各检测点自身检测能力不足的问题,设定当某一个节点检测到无法识别的数据时,会向全网广播发出协作检测请求。其它节点收到该请求,共同参与检测这条数据,并向发出协作检测请求的节点反馈检测结果。
通过调整RBF网络训练数据集和控制协作检测范围,提出了Mesh路由器端异常数据域内协作检测模型。该模型采用异常检测与误用检测相结合的方法,在每个Mesh路由器中部署一个RBF网络,负责检测连接数据。根据连接数据的4种攻击类型,将RBF网络训练数据集也分为4种,每种训练数据集包括正常数据和一种攻击数据,这样设计可以保证网络中的每个Mesh路由器在对正常数据识别的基础上,只负责某一种攻击数据的检测。模型工作过程如下:
一条连接数据随机进入某个Mesh路由器后被检测,若为正常数据则被转发;若为攻击数据,则根据攻击类型采取既定安全防护措施;若无法判断该数据类型,则将其定义为异常数据,立刻调用协作检测机制,将其转发给同一个域内的其它Mesh路由器进行检测。根据其它Mesh路由器返回的检测结果,判断该数据类型。如果通过协作检测仍无法判断出数据类型,则将其上传给网络管理员。为了保证每条异常数据在一个域内就可以得到全面检测,域中检测每种攻击数据的Mesh路由器至少有一个。
2检测模型中各功能模块
该模型借鉴了通常包括数据采集模块、特征库训练模块、异常检测模块和报警模块4个部分的通用入侵检测模型框架,并根据文中Mesh路由器所要实现的协作检测功能和数据判别功能,将模型分为六个模块,分别是数据监控模块,异常检测模块,危险评估模块,特征库训练模块,安全通信模块和报警响应模块。
(1)数据监控模块:该模块又分为数据收集子模块和数据预处理子模块。数据预处理子模块负责分析收集到的网络连接数据和Mesh客户端上传的流量日志,通过格式转换或统计计算将它们转换成异常检测模块可用的信息。
(2)异常检测模块:该模块分为两个并列存在的检测子模块,相互间独立检测,不进行交互,检测方法都采用RBF网络算法。第一个为Mesh路由器端异常数据检测子模块D1,利用训练完毕的RBF网络N1,对数据监控模块捕获并预处理后传来的网络连接数据进行分析。N1所采用的训练样本集是已知数据类型的网络连接数据,包括正常数据集和攻击数据集。第二个为Mesh客户端的异常行为检测子模块D2,它通过训练完毕的RBF网络N2,对由数据监控模块处理后传来的流量日志集进行计算,将数值结果传递给危险评估模块,进而判断Mesh客户端是否存在异常行为。N2采用的训练样本集为已知的Mesh客户端行为对应的流量日志所组成的数据集。
(3)危险评估模块:该模块分为两个评估子模块,即E1和E2,目的都是通过评估检测结果,发现攻击和异常情况。E1负责评估由异常数据检测子模块D1计算出的数值结果。当发现攻击时,根据判定的攻击类型向报警响应模块发送报警信息。但若判断其为异常数据时,它会调用协作检测机制,将异常数据转发给同域内的其它Mesh路由器,并评估由其它Mesh路由器的异常数据检测子模块D1计算并返回的数值结果。
异常行为检测子模块D2将计算的数值结果传递给E2。E2根据该数值结果是否在安全阈内判断Mesh客户端的异常行为情况。如果不在安全阈内,则判定Mesh客户端发生异常行为,立刻向报警响应模块发送报警信息。
(4)特征库训练模块:该模块分为训练子模块T1和T2,任务是完成异常数据检测子模块D1和D2的更新。对D1和D2的更新,实质是对部署在Mesh路由器上的RBF网络N1和N2进行再次训练。更新时需要有网络管理员的参与。这两个训练子模块中分别有一个与D1、D2对应的完全相同的RBF网络,包括训练数据及各项参数都相同。在对D1和D2更新时,首先更新T1和T2,结束后用T1、T2中新的RBF网络N1和N2替换D1、D2中的N1和N2,替换速度远远快于更新速度。这样设计是为了确保在更新整个WMN异常检测模型时,网络安全防御不会出现真空状态。
(5)安全通信模块:该模块只用于Mesh路由器间相互通信。它为Mesh路由器提供了一个信任度很高的通信信道,是所有Mesh路由器相互间安全通信所必需的模块。
(6)报警响应模块:该模块收到危险评估模块发送的报警信息,进行本地响应。其具体响应行为因攻击类型、网络协议类型、引用场合等的不同而具有多样性。
参考文献
[1] 周彦伟,杨波,张文政.安全高效的异构无线网络可控匿名漫游认证协议[J].软件学报,2016,27(2):451?465.
[2] 王高才,冯鹏,王淖,彭颖,黄书强.一种速率自适应的能耗优化路由策略研究[J].计算机学报,2015,38(3):555-566.
[3] 简刚,韩国栋,马钊坤,周玉瀚.基于参数的层次化Mesh互连片上网络结构[J]. 计算机应用研究,2016,33(06):1857-1861.