基于Camshift的网络安全主动预警系统设计

刘亚男

（安徽工商职业学院，安徽 合肥 231131）

0 引言

大部分政府单位、个人、企业等致力于加速网络互联进程，以此实现数据的共享与应用［1］。网络的普及推动了国家的进步与发展，也提高了社会信息的传输效率，但与此同时也带来了一定的问题，其中网络安全问题尤为突出，具有预防困难、动态性强等特点，成为了网络发展道路上亟待解决的问题［2］。

随着网络应用范围的扩大，网络入侵攻击类型也在不断增加，逐渐向着大规模、自动化、强伤害性方向发展。为了满足用户对网络安全的需求，防火墙、杀毒软件等多种安全措施被推出，但是上述安全措施无法保障大范围网络的安全［3］。在网络应用过程中，网络用户想要通过以往的状况数据，预测未来可能要发生的网络攻击现象，识别攻击者的意图，并对其进行实时预警的网络安全预警技术逐渐成为现阶段网络发展领域重点研究课题之一。

安全预警是一种主动性的防护技术，能够有效补充防火墙等安全措施，即可以在网络入侵攻击前检测到攻击意图，并实时预警，启动相应的防御机制。在入侵攻击过程中或者完成后，安全预警也会起到一定的作用，例如降低入侵攻击破坏性，收集入侵攻击信息，丰富防御知识库，提升系统的防御能力等措施。就已有文献研究成果可知，现有网络安全主动预警系统由于硬件与软件的自身局限性，存在着入侵检测时间过长、误警率较高的问题，无法满足用户对网络安全的需求，因此，基于Camshift设计了网络安全主动预警系统。

1 网络安全主动预警系统硬件设计

为了改善现有系统存在的问题，应用Camshift算法设计新的网络安全主动预警系统，硬件包括网络安全主动预警体系结构单元、检测域硬件选取单元与预警代理单元，具体硬件单元设计过程如下。

1．1 网络安全主动预警体系结构单元 设计系统采用分布式结构对网络安全进行主动预警，整体由检测域、预警代理、预警中心等部分构成，具体体系结构见图1。

图1 网络安全主动预警体系结构示意图Fig.1 Schematic diagram of network security active early warning system structure

如图1所示，此研究的网络安全主动预警体系结构中包括预警代理、路由器、检测域等结构，由此可知网络安全主动预警体系结构包含多个检测域，而每个检测域中还包含多个预警代理采集与处理整个网络的数据包，精确检测网络入侵攻击行为，为网络环境安全提供可靠的保障［4］。

1．2 检测域硬件选取单元 检测域主要由多个硬件设备构成，主要包括路由器、服务器、交换机、主机、防火墙等。为了保障设计系统的稳定运行，由于篇幅的限制，此研究只选取主机的核心处理器（CPU）型号，并对其接线情况进行科学的设置［5］。

根据设计系统需求，选取英特尔公司生产的32核CPU作为核心处理器，其具备8个处理节点，每个处理节点包含4个处理核心，能够直接利用LLC与l2缓存［6］。核心处理器的接线情况也直接影响着主机以及检测域功能的发挥，间接影响设计系统的应用性能［7］。因此，根据检测域的设计需求，设置核心处理器接线布局情况，具体见图2。

图2 核心处理器接线布局示意图Fig.2 Schematic diagram of core processor wiring layout

1．3 预警代理单元 预警代理单元主要负责网络数据包的获取、处理与入侵检测，为最终预警信息的生成打下坚实的基础。预警代理单元的硬件设备主要为数据采集卡及其A/D转换器［8］。其中，数据采集卡主要承担着网络数据包的获取任务，其可以通过ISA、以太网等多种形式接入主机［9］。数据采集卡结构见图3。

图3 数据采集卡结构示意图Fig.3 Schematic diagram of data acquisition card structure

A/D 转换器主要承担着网络数据处理与格式转换的功能，是预警代理单元的关键硬件装置之一。A/D转换器原理见图4。

图4 A/D转换器原理图Fig.4 Schematic diagram of A/D converter

如图4所示，A/D转换器性能由自身的分辨率大小与转换误差大小决定。其中，分辨率可以通过计算输出位数得到，输出位数增加，分辨率随之升高；转换误差由输出误差计算得到。

上述过程完成了硬件单元的选型与设计，但是仍然无法实现网络安全的主动预警，达不到用户的安全需求，故设计系统软件模块。

2 网络安全主动预警系统软件设计

设计系统软件包括网络数据包获取与处理模块、入侵检测与追踪模块与主动预警信息生成模块，具体软件模块设计过程如下。

2．1 网络数据包获取与处理模块 网络数据包获取与处理是设计系统的第一步。为了防止数据包丢失，在数据包获取过程中，采用Libpcap捕获函数通过用户层捕获网络数据包［10］。

将获取的网络数据包通过对应设备存储在数据表格中，在此过程中完成数据包格式转换、归类等处理［11］。网络数据包形式见表1。

表1 网络数据包形式Tab.1 Network packet form

网络数据包结构过滤需要设计系统核心处理器实现，并将过滤后的数据包存放在缓冲区内，为数据包应用打下坚实的基础［12］。

2．2 入侵检测与追踪模块 以上述处理后的网络数据包为基础，基于数据挖掘技术检测网络入侵行为，并利用Camshift算法对入侵个体进行追踪，保障网络的安全性［13］。在网络入侵检测过程中，需要准备2种规则库，分别为正常模式库与入侵特征库，通过模式匹配方式对入侵攻击类型进行判定［14］。规则库构成见表2。

表2 规则库构成示意表Tab.2 Schematic diagram of rule base composition

基于特定分类程序构造分类器，依据正常模式库与入侵特征库，对网络入侵类型进行判定与分类，为下述网络入侵跟踪提供依据［15］。

Camshift算法可以对网络入侵个体进行特定目标的跟踪计算，增加网络安全主动预警系统的自适应能力。在网络入侵个体跟踪过程中，首先选取网络入侵区域，采用( x,y )表示；再次提取网络入侵个体的目标特征，构建目标特征的反向投影图，采用H( x,y )表示；最后计算H( x,y )的零阶矩与一阶矩，以此来确定入侵个体的质心［16］。

H( x,y )的零阶矩与一阶矩计算公式为

式（1）中，M00表示的是零阶矩；M10与 M01表示的是一阶矩。

则网络入侵个体的质心位置信息表达式为

式（3）中，xc与yc分别表示的是质心的横坐标与纵坐标。

Camshift算法中搜索窗口的长轴、短轴与方向角计算公式为

式（4）中，l、w 与θ 表示的是搜索窗口的长轴、短轴与方向角；a、b 与c 表示的是参数，需要依据H( x,y )的二阶矩赋值。

Camshift算法需要进行迭代运算，直到最终结果收敛为止，输出网络入侵个体跟踪结果。

2．3 主动预警信息生成模块 依据上述检测以及追踪的入侵个体信息为基础，生成网络安全主动预警信息，实现设计系统的主动预警功能。

主动预警信息细分如下：（1）发送者，表明网络安全主动预警信息的发送人；（2）时间，表明主动预警信息生成的时间与日期；（3）类型，表明网络入侵攻击行为的类型；（4）参与者，表明网络入侵攻击预警的信息源；（5）附加数据，表明主动预警信息的附加数据，增加主动预警信息的复杂程度［17］。

通过上述硬件单元与软件模块的设计，实现了网络安全主动预警系统的运行，为网络安全提供更加有效的保障，也为用户提供更优质、更安全的网络环境。

3 实验与结果分析

为了验证设计系统的应用性能，采用仿真软件设计实验，具体实验过程如下。

3．1 实验环境搭建 以某公司内部网络作为实验对象，设置相应检测点、监控中心与预警中心，具体实验环境情况见图5。

图5 实验环境示意图Fig.5 Schematic diagram of experimental environment

此研究实验部分网络入侵处理引擎采用二级关联体系结构，可以克服集中式体系结构存在的单点问题，也能够缓解每个关联引擎同时工作的压力。常规情况下，层次最高的引擎主动预警量越少，相应的网络安全主动预警信息的复杂程度也逐渐增加。

网络入侵处理引擎体系结构见图6。

图6 网络入侵处理引擎体系结构示意图Fig.6 Schematic diagram of network intr usion processing engine architecture

3．2 实验结果分析 以上述搭建的实验环境，确定的网络入侵处理引擎结构为基础，进行网络安全主动预警实验，通过入侵检测时间与误警率指标测试显示系统的应用性能，为保证实验的有效性，分别利用设计系统和文献［4］基于诱捕技术的网络安全预警监管平台进行对比测试。

通过实验获得系统应用性能数据见表3。

表3 系统应用性能数据表Tab.3 System application performance data sheet

如表3数据显示，文献［4］系统入侵检测时间数据范围为45.26 ms～56.49 ms，误警率数据范围为10.02%～15.23%；设计系统入侵检测时间数据范围为18.42 ms～24.13 ms，误警率数据范围为3.56%～9.45%。

通过上述实验数据对比研究可知，与现有系统应用性能数据相比较，设计系统入侵检测时间得到了大幅度的缩减，误警率得到了大幅度的降低，充分证实了设计系统具备更好的网络安全主动预警效果，为用户提供更优质的网络环境。

4 结语

现今社会处于高度信息化时代，人类工作、生活、学习等多个方面均与网络技术及其计算机技术相关，再加上全球信息化进程的不断加快，人类生产及其生活的方方面面均与网络相关，对网络依赖性也更加严重，因此，网络安全受到了大家的广泛关注。笔者应用Camshift算法设计了新的网络安全主动预警系统，缩短了入侵检测时间，降低了误警率，为网络安全保障提供了新的系统支撑，也为网络发展及其应用提供了更有力的支撑。