葉樟巍

摘要：針對網(wǎng)絡(luò)安全面臨非法入侵威脅、實(shí)時(shí)防御性差的問題，文中研究和分析了基于入侵監(jiān)測的網(wǎng)絡(luò)信息安全管理技術(shù)。通過在現(xiàn)有網(wǎng)絡(luò)模型中增加入侵監(jiān)測模塊，將網(wǎng)絡(luò)信息采集、信息處理和信息分析3個(gè)模塊相結(jié)合進(jìn)行入侵監(jiān)測。為提升入侵監(jiān)測的準(zhǔn)確率，利用基于數(shù)據(jù)降維的決策樹方法對異常數(shù)據(jù)進(jìn)行識(shí)別，有效實(shí)現(xiàn)不同類型的異常數(shù)據(jù)監(jiān)測。系統(tǒng)驗(yàn)證表明，所提出的入侵監(jiān)測方法對于不同類型的入侵均有較好的監(jiān)測效果，比現(xiàn)有算法提高了約8？/o。

關(guān)鍵詞：網(wǎng)絡(luò)信息安全：入侵監(jiān)測：管理技術(shù)

隨著互聯(lián)網(wǎng)技術(shù)的發(fā)展，網(wǎng)絡(luò)在社會(huì)生產(chǎn)和生活中扮演著重要的角色，網(wǎng)絡(luò)信息安全也越來越重要。由于現(xiàn)有網(wǎng)絡(luò)系統(tǒng)存在諸多漏洞，網(wǎng)絡(luò)仍面臨著黑客攻擊的威脅。因此，需要研究新的主動(dòng)性入侵監(jiān)測方法來維護(hù)網(wǎng)絡(luò)安全。本文提出了基于入侵監(jiān)測的網(wǎng)絡(luò)信息安全管理技術(shù)，通過在互聯(lián)網(wǎng)和服務(wù)器之間增加網(wǎng)絡(luò)入侵監(jiān)測系統(tǒng)，利用信息采集、信息處理和信息分析這3個(gè)模塊協(xié)同進(jìn)行入侵監(jiān)測。為了提高入侵監(jiān)測概率，本文利用基于數(shù)據(jù)降維的決策樹方法對異常數(shù)據(jù)進(jìn)行識(shí)別。系統(tǒng)驗(yàn)證與仿真分析結(jié)果表明，文中所提方法對于不同種類的入侵識(shí)別均有較好的適用性。

一、系統(tǒng)模型設(shè)計(jì)

為了實(shí)現(xiàn)對異常網(wǎng)絡(luò)數(shù)據(jù)的實(shí)時(shí)監(jiān)測，保證整個(gè)網(wǎng)絡(luò)的健康。本文在原有網(wǎng)絡(luò)的基礎(chǔ)上增加了入侵監(jiān)測模塊，其網(wǎng)絡(luò)架構(gòu)，互聯(lián)網(wǎng)通過路由器和交換機(jī)與網(wǎng)絡(luò)終端及服務(wù)器進(jìn)行連接，同時(shí)整個(gè)網(wǎng)絡(luò)的外接設(shè)備包括入侵攻擊者與安全設(shè)備兩種。為了及時(shí)發(fā)現(xiàn)入侵設(shè)備，本文在網(wǎng)絡(luò)終端前，利用入侵監(jiān)測模塊對網(wǎng)絡(luò)異常數(shù)據(jù)進(jìn)行監(jiān)測，從而保證整個(gè)網(wǎng)絡(luò)的安全。入侵監(jiān)測模塊處于網(wǎng)絡(luò)接入點(diǎn)與終端設(shè)備之間，可有效監(jiān)測異常數(shù)據(jù)，并向系統(tǒng)報(bào)警，從而采取相應(yīng)措施實(shí)現(xiàn)提前防御。對于入侵者，由于入侵監(jiān)測模塊的存在，系統(tǒng)的服務(wù)器及設(shè)備終端對于入侵者是隱形的，入侵者僅可以接觸到路由器地址和交換機(jī)信息，而無法進(jìn)一步獲得其他有效信息，并無法進(jìn)一步執(zhí)行攻擊。因此，可以有效維護(hù)網(wǎng)絡(luò)安全[1]。

二、入侵監(jiān)測模塊架構(gòu)

本文所設(shè)計(jì)的入侵監(jiān)測模塊結(jié)構(gòu)組成可以主要分為數(shù)據(jù)采集、數(shù)據(jù)處理和數(shù)據(jù)分析3個(gè)部分。數(shù)據(jù)采集模塊主要通過數(shù)據(jù)抓包來獲取局域網(wǎng)或互聯(lián)網(wǎng)的數(shù)據(jù)包，實(shí)現(xiàn)海量數(shù)據(jù)的抓取。面對海量數(shù)據(jù)的情況，可結(jié)合大數(shù)據(jù)挖掘技術(shù)進(jìn)行拓展。在數(shù)據(jù)采集后，對數(shù)據(jù)進(jìn)行預(yù)處理，借用事件引擎和策略解釋對于符合一定規(guī)則的數(shù)據(jù)進(jìn)行預(yù)處理，并將處理結(jié)果反饋給數(shù)據(jù)分析模塊。數(shù)據(jù)分析模塊主要負(fù)責(zé)對預(yù)處理后的數(shù)據(jù)進(jìn)行識(shí)別，通過數(shù)據(jù)匹配采用相應(yīng)的判決算法對數(shù)據(jù)進(jìn)行分類，以此發(fā)現(xiàn)異常數(shù)據(jù)并進(jìn)行處理：另外，數(shù)據(jù)分析模塊可利用關(guān)聯(lián)檢測方法對未知數(shù)據(jù)是否異常進(jìn)行預(yù)測，從而提高系統(tǒng)數(shù)據(jù)處理效率。

三、入侵監(jiān)測關(guān)鍵技術(shù)

本文利用基于降維處理的決策樹算法對網(wǎng)絡(luò)信息進(jìn)行分析，從而實(shí)現(xiàn)入侵監(jiān)測，其訓(xùn)練模型，構(gòu)建決策樹的核心是根據(jù)一定準(zhǔn)則對數(shù)據(jù)進(jìn)行屬性劃分。理想的情況下，劃分出的屬性集合內(nèi)的數(shù)據(jù)均屬于同一類別。但在實(shí)際執(zhí)行過程中，較難獲取理想的劃分。因此在決策樹算法中，需要進(jìn)行遞歸。

本文將數(shù)據(jù)信息增益作為劃分準(zhǔn)則，假設(shè)系統(tǒng)所采集的網(wǎng)絡(luò)信息樣本集合為D。其中d為集合D的一個(gè)屬性，假設(shè)存在N個(gè)數(shù)據(jù)屬性，則集合D為N個(gè)數(shù)據(jù)樣本的集合，可表示為D={dl，d2，…，dN}。信息增益的可以表示為

在計(jì)算出網(wǎng)絡(luò)信息樣本集合D中所有樣本的信息增益后，根據(jù)信息增益大小對數(shù)據(jù)進(jìn)行劃分，將信息增益最大的屬性作為數(shù)據(jù)的屬性。在進(jìn)行屬性集合劃分時(shí)，并非集合關(guān)聯(lián)度越大，數(shù)據(jù)劃分越合理：在極端情況下，當(dāng)某個(gè)屬性集合只存在一個(gè)元素時(shí)，集合關(guān)聯(lián)度最大。為避免該種情況，本文定義信息增益率與基尼系數(shù)來進(jìn)行最優(yōu)屬性劃分，其中信息增益率可以定義為

信息增益率對于樣本屬性數(shù)目較敏感，可以選取信息增益率最大的屬性作為劃分屬性?；嵯禂?shù)表示數(shù)據(jù)集合中，兩個(gè)數(shù)據(jù)屬性不一致的概率。集合D中屬性的基尼系數(shù)可以定義為所有屬性子集合的基尼系數(shù)之和，當(dāng)屬性集合中的數(shù)據(jù)關(guān)聯(lián)度越大，則數(shù)據(jù)的基尼系數(shù)越小。因此，使用基尼系數(shù)最小的屬性作為數(shù)據(jù)屬性?；嵯禂?shù)可以定義為：

其中，a表示調(diào)節(jié)系數(shù)，取值范圍在0～1之間。

四、系統(tǒng)驗(yàn)證與結(jié)果分析

針對不同類型的入侵攻擊監(jiān)測概率進(jìn)行驗(yàn)證，為了驗(yàn)證本文所采用的基于降維決策樹方法的入侵監(jiān)測方法的性能，本文將所提出方法與幾種常見方法在同樣的數(shù)據(jù)集中進(jìn)行比較。不同類型的網(wǎng)絡(luò)入侵的監(jiān)測概率，本文所設(shè)計(jì)的入侵監(jiān)測系統(tǒng)對PROBE BYPASS攻擊的監(jiān)測概率最高，在數(shù)據(jù)記錄的百分比僅為12. 2%的情況下，即可實(shí)現(xiàn)95. 4%的監(jiān)測概率。系統(tǒng)對于NORMAI攻擊的適應(yīng)性最差，但也可達(dá)到90%的監(jiān)測概率。在同一數(shù)據(jù)集下，本文所提降維決策樹方法與3種傳統(tǒng)方法的入侵監(jiān)測概率對比，相比于3種傳統(tǒng)方法，本文所設(shè)計(jì)方法的入侵監(jiān)測概率明顯提高。在存在兩種攻擊類型時(shí)，監(jiān)測概率可以達(dá)到90.7%：在存在5種攻擊類型時(shí)，監(jiān)測概率可以達(dá)到86. 5%，相對于現(xiàn)有算法提高了8%以上。

五、結(jié)論

本文提出了基于入侵監(jiān)測的網(wǎng)絡(luò)安全管理技術(shù)，通過在現(xiàn)有網(wǎng)絡(luò)中增加入侵監(jiān)測模塊，實(shí)現(xiàn)異常數(shù)據(jù)監(jiān)測。為進(jìn)一步提高入侵監(jiān)測的概率，利用降維決策樹方法對數(shù)據(jù)進(jìn)行識(shí)別，即可有效實(shí)現(xiàn)實(shí)時(shí)異常數(shù)據(jù)監(jiān)測。通過系統(tǒng)驗(yàn)證與結(jié)果分析可知，所提算法相對于現(xiàn)有算法有更高的入侵監(jiān)測概率，對于不同類型的入侵均有較好的適應(yīng)性。

參考文獻(xiàn)：

[1]網(wǎng)絡(luò)入侵監(jiān)測系統(tǒng)[Z].北京大學(xué).2006.