入侵网络特征变化信号提纯方法研究

蒋成

摘 要： 由于受到网络入侵类型多变的影响，传统的网络入侵后异常信号检测系统调制能力和检测稳定性较差。设计基于人工免疫的网络被入侵后异常信号检测系统。系统中的信号采集模块利用FPGA设计入侵参数，通过该参数采集被入侵网络中的全部信号。调制模块对信号采集模块传输来的信号进行拆解、放大和滤波操作，生成待检测信号集合，同时对调制模块中计时器电路和滤波电路进行设计，异常信号检测模块利用TMS320VC5402芯片，对待检测信号集合进行异常信号检测、存储和报警，调制模块和异常信号检测模块均基于人工免疫设计。同时编写了人工免疫模型的组建代码，利用人工免疫模型对系统工作流程进行筛选。实验结果表明所设计的系统拥有较强的调制能力和检测稳定性。

关键词： 网络入侵； 异常信号； 检测系统； TMS320VC5402

中图分类号： TN926?34； TN815 文献标识码： A 文章编号： 1004?373X（2016）24?0154?04

Purification method of intruded network feature variation signal

JIANG Cheng

（Hubei Engineering University， Xiaogan 432000， China）

Abstract： The modulating capacity and detecting stability of the traditional abnormal signal detection system after network is intruded become poor due to the influence of the variable network intrusion types. The artificial immunity based abnormal signal detection system dealing with intruded network was designed. The signal acquisition module in the system uses FPGA to design the invasion parameters to acquire all the signals in the intruded network. The modulating module is used to disassemble， amplify and filter the signals coming from the signal acquisition module to generate the signal set under detection. The timer circuit and filtering circuit in the modulating module were designed. The TMS320VC5402 chip is used by the abnormal signal detection module to perform the abnormal signal detection， storage， and alarming. The modulating module and anomaly signal detection module were designed based on artificial immunity. The forming code of the artificial immunity model was compiled. The artificial immunity model is used to screen the system workflow. The result of simulation experiment shows that the system has strong modulating capacity and detecting stability.

Keywords： network intrusion； abnormal signal； detection system； TMS320VC5402

当今社会已进入到网络时代，各行各业的网络信息化建设已成为提高企业竞争力的有效途径[1]。与此同时，网络易被入侵的弊端使得企业中重要信息无法被私密保存，各行各业开始期待着一种能够对网络被入侵后异常信号进行有效检测的系统[2]。

传统的网络入侵后异常信号检测系统包括：文献[3]研发基于半径动态检测的网络入侵后异常信号检测系统；文献[4]基于危险理论研发网络入侵后异常信号检测系统；文献[5]基于动态取证研发网络入侵后异常信号检测系统。但这些传统系统运行成本较高，因此并未被大面积推广，设计基于人工免疫的网络被入侵后异常信号检测系统。

1 基于人工免疫的网络被入侵后异常信号检测

系统设计

人工免疫的首次提出是在医疗界，其拥有较强的“自我”和“非我”判断能力，将其应用于网络入侵后异常信号检测系统中，可以提高网络入侵异常信号检测系统的调制能力和检测稳定性。基于人工免疫的网络被入侵后异常信号检测系统由信号采集模块、调制模块和异常信号检测模块组成[6]。

1.1 信号采集模块设计

网络入侵异常信号检测系统选用现场可编程门阵列（Field?Programmable Gate Array，FPGA）作为信号采集模块核心管理元件。FPGA拥有便于携带、管控效果良好和稳定性强等特点，图1为FPGA连接电路图。

分析图1可知，FPGA有两个输入端，分别进行电源和被入侵网络信号的输入。信号采集模块可以对网络进行实时监控，当网络被入侵时，立刻对网络中的全部信号进行调出；电容C对所调出的被入侵网络信号进行循环计数和存储，当其中的信号量达到预设数值时， FPGA便将这些信号组建成信号包，并传输到调制模块，通过电感L实施信号包的缓冲传输，避免传输拥堵。

1.2 调制模块设计

调制模块能够对信号采集模块传输的信号包进行拆解、信号放大和滤波，是异常信号检测的基础。拆解是对信号包中信号进行依次调用的过程，信号放大是对信号幅值进行放大的过程，经放大后的信号，可以对其中的有用特征进行有效提取，随后，调制模块对信号的有用特征进行滤波。本文对调制模块的计时器电路和滤波电路进行重点设计，图2、图3分别为计时器电路和滤波电路。

分析图2可知，调制模块选用的是“看门狗”计时器，其拥有4个输入接口和4个输出接口，所提供的重要功能包括虚拟桌面、电子控制、异常判断和电源复位等。虚拟桌面是指计时器为调制模块工作流程构建虚拟模型的过程，电子控制是指计时器的所有工作全部受计算机自动控制，增强网络入侵后异常信号检测系统的调制能力；异常判断是指计时器通过将调制模块的实际发生数据与预设参数进行对比，并实施计时判断的过程，系统经由此项功能对调制模块的工作时间进行控制，并将该接口设为电源接地端；当异常判断给出的判断结果为“超时”[7]，调制模块便会进行电源复位，电源复位是保证系统调制性能的实际操作流程。

分析图3可知，电容C1和C2为10 μF的普通电容，C3～C6是0.1 μF的陶瓷电容，陶瓷电容相对普通电容来说，拥有更为细化的滤波功能。该滤波电路利用2个普通电容对信息包进行强滤波，再使用4个陶瓷电容对信息包的细节进行处理，使调制模块拥有很强的滤波性能。调制模块的滤波结束后，将生成信号包的待检测信号集合，调制模块将该集合传输到异常信号检测模块中。

1.3 异常信号检测模块设计

异常信号检测模块对所接收到的待检测信号集合进行异常信号的检测。该模块以人工免疫为理论基础，其将人工免疫中“自我”和“非我”的判断理念设计于检测工作中。异常信号检测模块的核心元件是TMS320VC5402芯片[8]。TMS320VC5402芯片是美国某公司研发的一款高性能定点处理器，该芯片利用哈佛结构将程序指令和电路数据分开进行存储，使芯片具有低耗能和高检测能力的优点，且价格不高、兼容性较强，非常适合用于网络入侵后异常信号检测过程。TMS320VC5402芯片的供电电压有两种，分别为3.3 V和1.8 V。3.3 V电压为芯片的输入/输出接口供电，1.8 V电压为芯片的检测工作供给电能。对TMS320VC5402芯片供电电路的设计是一项非常重要的内容，应使所设计出的电路能够持续、低耗地为TMS320VC5402芯片供电，如图4所示。

由图4可知，异常信号检测模块中的TMS320

VC5402芯片提供的初始供电电压为5 V，经图4（a）将其转换成3.3 V的电压供TMS320VC5402芯片使用，在异常信号检测模块调用TMS320VC5402芯片进行检测工作时，将通过图4（b）中的电路把3.3 V电压转换成1.8 V电压。

异常信号检测模块利用TMS320VC5402芯片对待检测信号集合进行检测。TMS320VC5402芯片先将待检测信号集合解码，将解码后的待检测信号按照其特征类型进行分类，随后对其进行异常信号检测，TMS320VC5402芯片中含有两种检测电路，分别是标准检测电路和记忆检测电路。标准检测电路将待检测信号的特征与标准协议进行比对，所获取的异常信号将被存储和报警；记忆检测电路根据标准检测电路中的存储数据，对非首次入侵的异常信号进行拦截和检测，这一设计旨在提高所研发基于人工免疫的网络入侵后异常信号检测系统的检测效率和检测稳定性。

2 网络入侵后异常信号检测系统实现

2.1 人工免疫模型组建代码设计

人工免疫模型组建是网络入侵后异常信号检测系统实现的前提条件。假设x代表记忆检测电路，y代表标准检测电路，z代表检测电路最终集合，data代表待检测信号，则所设计的人工免疫模型组建代码如下：

Begin

Initialization x?set；

data=0；

do

{

A random y set to join x in the collection；

if（y not through negative selection）

{

Delete y

}

else

{

Calculate y fitness；

Add y to the set z；

y.number=1；

while（y.amputate

}

if（y detected an invasion）

{

Update z set；

z.number++；

}}

2.2 系统工作筛选流程设计

在网络入侵后异常信号检测系统实现过程中，采用第1节设计的人工免疫模型将初次系统流程与系统流程进行对比，筛选出系统工作中无效流程将被删除，增强系统的调制能力和检测稳定性。其中，系统工作流程有效的概率称作适应值，适应值越小的检测工作流程，其被删除的可能性就越大。因此，对系统工作流程的筛选是系统软件的设计重点，其流程图如图5所示。

由图5可知，人工免疫主要对系统中的调制工作和检测工作进行流程筛选。人工免疫先进行调制工作的流程筛选，对其工作适应值进行计算，再将计算结果与否定选择进行对比。否定选择是人工免疫中的一项重要筛选方法，其将筛选标准定义为长度为A的字符串，将B定义为永久不删除的字符串。当调制工作流程中的某一项与A，B同时产生重叠，则视为该项流程通过，其将未通过的流程参数记录并存储，再将该项流程删除。人工免疫对检测工作进行的流程筛选与上述内容相同。软件最终会将已删除的流程参数和最终工作流程输出。

3 实验测试

3.1 系统调制能力测试

本文设计的基于人工免疫的网络入侵后异常信号检测系统的调制能力是系统检测工作的基础保障。对本文系统调制能力的测试应从被入侵网络信号经调制后的频域特性和时域特性入手，判定二者是否能够被有效提取。实验对被入侵网络的状态进行了模拟，并在该网络中加入一强一弱两个异常信号。设定强异常信号中时域特性的峰值为6.0 V，频率[9]为190 kHz。设定弱异常信号中时域特性的峰值为2.0 V，频率为110 kHz。规定调制过的信号电压值与实际电压差值应不高于0.25 V，若差值低于0.08 V，则可判断系统调制能力强。本文系统的调制结果曲线如图6、图7所示。

由图6和图7可知，经本文系统调制后的强异常信号时域特性的峰值为5.95 V，频率为190.6 kHz。弱异常信号的时域特性的峰值为1.95 V，频率为109.9 kHz。将以上结果与规定值进行比对能够得出，本文系统拥有较强的调制能力。

3.2 系统检测稳定性测试

在系统检测稳定性测试中，实验给出4种网络入侵类型，分别是网络监听、缓冲溢出、IP地址欺骗和SYN攻击。利用本文系统、基于危险理论的检测系统以及半径动态检测系统，对上述入侵进行异常信号检测，检测结果如表1所示，其中：

检测率=（系统检测出的异常信号数据量÷异常信号总数据量）×100%

表1中的检测率数据是通过系统对4种网络入侵分别进行2 000次检测得出的。经由对比上述数据中各系统的最低值和最高值之差，能够清晰地得出，本文系统拥有较强的检测稳定性。

4 结 论

本文设计基于人工免疫的网络被入侵后异常信号检测系统，仿真实验结果说明，所设计的系统拥有较强的调制能力和检测稳定性。

表1 异常信号检测结果统计表（检测率） %

参考文献

[1] 崔建平.基于3G?ASCX的小型飞行器异常导航信号检测系统设计[J].计算机测量与控制，2015，23（6）：2149?2151.

[2] 王玉萍，曾毅.基于PTG502?CAN的锅炉管道异常压力检测系统设计[J].计算机测量与控制，2015，23（8）：2673?2675.

[3] 昂正全，赵京广，李一超.卫星测控站频谱监测系统设计方案及实现[J].计算机测量与控制，2014，22（11）：3466?3469.

[4] 陈娇，潘天红，张明.基于信号变化速率的时间序列异常值检测方法[J].北京工业大学学报，2014，40（7）：992?995.

[5] 黄婷，刘政连，王巳.基于曲率扩散模型的可见数字图像水印攻击算法研究[J].中央民族大学学报（自然科学版），2014，23（3）：49?55.

[6] 穆丽文，彭贤博，黄岚.异构复杂信息网络下的异常数据检测算法[J].计算机科学，2015，42（11）：134?137.

[7] 杨福来，孙旭飞，李硕.基于FPGA的信号灯冲突检测电路的设计与实现[J].微型机与应用，2015，34（23）：23?26.

[8] 陈小军，时金桥，徐菲，等.面向内部威胁的最优安全策略算法研究[J].计算机研究与发展，2014，51（7）：1565?1577.

[9] 马晓贤，彭力.一种改进的无线传感器网络DV?Hop定位算法[J].计算机工程与应用，2015，51（21）：97?101.