吉林工商學(xué)院信息工程學(xué)院 張焱焱

吉林大學(xué)應(yīng)用技術(shù)學(xué)院 冉祥金

入侵檢測(cè)技術(shù)綜述

吉林工商學(xué)院信息工程學(xué)院 張焱焱

吉林大學(xué)應(yīng)用技術(shù)學(xué)院 冉祥金

網(wǎng)絡(luò)安全問題越來越受到世界的關(guān)注，入侵檢測(cè)技術(shù)是維護(hù)網(wǎng)絡(luò)安全的一種常用技術(shù)和手段，是網(wǎng)絡(luò)安全體系中一個(gè)重要的組成部分。本文闡述了入侵檢測(cè)技術(shù)的起源和發(fā)展，并對(duì)其智能化的方法進(jìn)行研究和探討，最后指出入侵檢測(cè)系統(tǒng)的發(fā)展趨勢(shì)及主要研究方向。

網(wǎng)絡(luò)安全；入侵檢測(cè)；智能化

互聯(lián)網(wǎng)從點(diǎn)擊時(shí)代到觸摸時(shí)代，再到人網(wǎng)一體時(shí)代，使社會(huì)的各個(gè)方面都發(fā)生了巨大的變化，互聯(lián)網(wǎng)技術(shù)已經(jīng)深深融入到人們的工作、生活、娛樂、思維等各個(gè)方面。與此同時(shí)，由于互聯(lián)網(wǎng)本身的開放性以及互聯(lián)網(wǎng)產(chǎn)品一些未知的漏洞，網(wǎng)絡(luò)安全問題日益突出，威脅網(wǎng)絡(luò)安全的手段也層出不窮，以前傳統(tǒng)、靜態(tài)、被動(dòng)的防護(hù)方式已經(jīng)不能完全滿足網(wǎng)絡(luò)安全新形式的發(fā)展。入侵檢測(cè)技術(shù)是被動(dòng)防護(hù)方式的有效補(bǔ)充，它能對(duì)網(wǎng)絡(luò)進(jìn)行實(shí)時(shí)的監(jiān)控，隨時(shí)發(fā)現(xiàn)網(wǎng)絡(luò)中可能出現(xiàn)的各種威脅，規(guī)避安全風(fēng)險(xiǎn)，提高網(wǎng)絡(luò)性能，增大網(wǎng)絡(luò)可用價(jià)值，是目前網(wǎng)絡(luò)安全技術(shù)研究的熱點(diǎn)。

1. 入侵檢測(cè)技術(shù)概述

1.1入侵檢測(cè)技術(shù)的起源

入侵檢測(cè)的研究開始于20世紀(jì)80年代，1980年負(fù)責(zé)主持美國(guó)國(guó)防部計(jì)算機(jī)安全審計(jì)工作的James Anderson首次提出了入侵檢測(cè)的概念。1986年，斯坦福研究院的Dorothy Denning首次建立了一個(gè)完整的入侵檢測(cè)系統(tǒng)模型，為入侵檢測(cè)的發(fā)展奠定了基礎(chǔ)。隨著人們網(wǎng)絡(luò)安全意識(shí)的提升，以及網(wǎng)絡(luò)攻擊手段的多樣化，入侵檢測(cè)技術(shù)也在飛快的發(fā)展，但新出現(xiàn)的很多模型都是在Denning模型基礎(chǔ)上的完善和拓展。

1.2入侵檢測(cè)技術(shù)的概念

美國(guó)國(guó)際計(jì)算機(jī)安全協(xié)會(huì)（ICSA）對(duì)入侵檢測(cè)的定義［1］：入侵檢測(cè)是對(duì)入侵行為的發(fā)覺，通過從計(jì)算機(jī)網(wǎng)絡(luò)或計(jì)算機(jī)系統(tǒng)中的若干關(guān)鍵點(diǎn)收集信息，并對(duì)這些信息進(jìn)行分析，從而發(fā)現(xiàn)網(wǎng)絡(luò)或系統(tǒng)中是否有違反安全策略的行為和遭到攻擊的跡象的一種安全技術(shù)。違反安全策略的行為有入侵（非法用戶的違規(guī)行為）和濫用（合法用戶的違規(guī)行為）。

1.3入侵檢測(cè)技術(shù)的分類

IDS的優(yōu)劣主要取決于入侵檢測(cè)技術(shù)的好壞，因此入侵檢測(cè)技術(shù)直接關(guān)系到整個(gè)IDS的檢測(cè)效率、誤報(bào)率及檢測(cè)效果等性能指標(biāo)。根據(jù)不同的入侵檢測(cè)技術(shù)分析方法，入侵檢測(cè)可分為異常檢測(cè)（Anomaly Detection）、誤用檢測(cè)（Misuse Detection）兩類。

異常檢測(cè)，是建立在入侵活動(dòng)和正?；顒?dòng)不同的基礎(chǔ)上的。根據(jù)這一理念，首先建立基于正常網(wǎng)絡(luò)事件的模型特征庫(kù)，然后將用戶當(dāng)前的行為與特征庫(kù)中的進(jìn)行比較，如果兩者存在較大的差異時(shí)，則認(rèn)為出現(xiàn)了入侵行為。異常檢測(cè)的優(yōu)點(diǎn)是可以檢測(cè)未知的入侵類型，不受已知入侵類型的限制。缺點(diǎn)是誤報(bào)率較高，而且異常檢測(cè)方法大多訓(xùn)練時(shí)間比較長(zhǎng)。

誤用檢測(cè)，是建立在已知的入侵活動(dòng)樣本的基礎(chǔ)上的。誤用檢測(cè)用一種方式表示已知的入侵活動(dòng)，然后通過與觀察對(duì)象進(jìn)行對(duì)比判斷這種入侵活動(dòng)是否出現(xiàn)，如果檢測(cè)出現(xiàn)則表明發(fā)生了入侵行為。誤用檢測(cè)的優(yōu)點(diǎn)是誤報(bào)率低，檢測(cè)速度快。缺點(diǎn)是只能對(duì)已知的入侵行為進(jìn)行檢測(cè)，不能檢測(cè)出新型的入侵行為。

2. 入侵檢測(cè)技術(shù)的智能化

目前，研發(fā)高效的IDS的關(guān)鍵在于如何降低系統(tǒng)的誤報(bào)率，提升分類的精準(zhǔn)度。近年來，有許多較為有效的智能化的檢測(cè)技術(shù)應(yīng)用到入侵檢測(cè)領(lǐng)域當(dāng)中［2］，使入侵檢測(cè)系統(tǒng)在檢測(cè)效率和性能上都有很大的提升。其中，人工神經(jīng)網(wǎng)絡(luò)、遺傳算法、人工免疫系統(tǒng)是典型的智能化入侵檢測(cè)技術(shù)。

2.1人工神經(jīng)網(wǎng)絡(luò)

人工神經(jīng)網(wǎng)絡(luò)是指試圖模仿大腦的神經(jīng)元之間傳遞、處理信息的模式而建立的一種計(jì)算模型。它通過接受訓(xùn)練，不斷的獲取并積累知識(shí)，進(jìn)而具有一定的判斷和預(yù)測(cè)能力。

可以將人工神經(jīng)網(wǎng)絡(luò)用于入侵檢測(cè)，首先是因?yàn)樯窠?jīng)網(wǎng)絡(luò)具有自學(xué)習(xí)、自適應(yīng)的能力。其次是人工神經(jīng)網(wǎng)絡(luò)具有很好的容錯(cuò)能力。此外，人工神經(jīng)網(wǎng)將信息分布式存儲(chǔ)在所有的神經(jīng)元的連接權(quán)中，而不是只存儲(chǔ)在網(wǎng)絡(luò)的某一部分中，使得人工神經(jīng)網(wǎng)絡(luò)具有分布式存儲(chǔ)和并行計(jì)算的能力。

2.2遺傳算法

遺傳算法抽象于生物體的進(jìn)化過程，基于自然選擇中適者生存、優(yōu)勝劣汰原理而建立的，用于解決最優(yōu)化的搜索算法。

將遺傳算法用于入侵檢測(cè)，主要是因?yàn)榛谶z傳算法的入侵檢測(cè)系統(tǒng)是一種基于自我學(xué)習(xí)的入侵檢測(cè)系統(tǒng)，它可以模擬自然進(jìn)化的過程，使特征庫(kù)中的初始特征值進(jìn)化發(fā)展，動(dòng)態(tài)更新入侵檢測(cè)特征庫(kù)，從而得到針對(duì)特定檢測(cè)環(huán)境的最優(yōu)特征集合。

2.3人工免疫系統(tǒng)

人工免疫系統(tǒng)是從生物免疫系統(tǒng)的運(yùn)行機(jī)制中模仿而來的，它借鑒了一些生物免疫系統(tǒng)的功能、原理和模型。

生物學(xué)中的免疫系統(tǒng)可以通過對(duì)自我和非自我的識(shí)別達(dá)到清除非自我細(xì)胞的能力，入侵檢測(cè)系統(tǒng)中的入侵檢測(cè)與免疫系統(tǒng)發(fā)現(xiàn)非自我的識(shí)別能力非常相似，因此將生物學(xué)中的免疫判斷機(jī)制引入到網(wǎng)絡(luò)入侵檢測(cè)中。

3. 入侵檢測(cè)系統(tǒng)的發(fā)展趨勢(shì)

龐大的數(shù)據(jù)流量和特征信息，給入侵檢測(cè)領(lǐng)域帶來了巨大的挑戰(zhàn)。近幾年來，深度學(xué)習(xí)技術(shù)的提出及其在圖像識(shí)別、語音識(shí)別和語義分析等多個(gè)領(lǐng)域的成功，使得其備受關(guān)注。把深度學(xué)習(xí)出色的特征學(xué)習(xí)能力應(yīng)用到入侵檢測(cè)系統(tǒng)中，可以為網(wǎng)絡(luò)入侵檢測(cè)準(zhǔn)確率提供有力的支撐。

深度學(xué)習(xí)作為人工神經(jīng)網(wǎng)絡(luò)的一種新的方法，又被稱為“深度神經(jīng)網(wǎng)絡(luò)”，它通過構(gòu)建具有更多隱層的人工神經(jīng)網(wǎng)絡(luò)而具有優(yōu)異的特征學(xué)習(xí)能力，而且其在訓(xùn)練模型時(shí)通過“逐層初始化”這種無監(jiān)督學(xué)習(xí)較其他模型有很大的優(yōu)勢(shì)［3］。

文獻(xiàn)［4］提出基于深度學(xué)習(xí)的混合入侵檢測(cè)模型，并將其同當(dāng)前較為流行的其他模型進(jìn)行實(shí)驗(yàn)對(duì)比，得出該模型是一個(gè)高效的入侵檢測(cè)模型。

文獻(xiàn)［5］結(jié)合網(wǎng)絡(luò)數(shù)據(jù)的特點(diǎn)提出了一種基于深度學(xué)習(xí)的網(wǎng)絡(luò)入侵檢測(cè)方法，并通過實(shí)驗(yàn)證明該方法能在保持高的檢出率的同時(shí)，明顯改善檢測(cè)算法的誤檢率。

4. 結(jié)語

入侵檢測(cè)技術(shù)的應(yīng)用為網(wǎng)絡(luò)系統(tǒng)提供了針對(duì)內(nèi)部、外部攻擊等方面實(shí)時(shí)的、主動(dòng)的防御，在一定程度上保證了網(wǎng)絡(luò)系統(tǒng)的安全。已經(jīng)比較成熟的智能入侵檢測(cè)技術(shù)對(duì)IDS性能的提升作用并不明顯。深度學(xué)習(xí)技術(shù)在許多領(lǐng)域得到成功的應(yīng)用，如何將深度學(xué)習(xí)技術(shù)應(yīng)用到入侵檢測(cè)系統(tǒng)中，發(fā)揮深度學(xué)習(xí)突出的特征學(xué)習(xí)能力，在大數(shù)據(jù)、云計(jì)算的時(shí)代具有積極的意義，當(dāng)然將深度學(xué)習(xí)的理論和方法應(yīng)用到入侵檢測(cè)領(lǐng)域還有很多工作要做，在未來的發(fā)展中，還需要技術(shù)人員進(jìn)一步的深入研究。

［1］Anderson James P.Computer Security Threat Monitoring and Surveillance［R］.Fort Washington，PA：James P.Anderson Co.，1980.

［2］王輝，陳泓予，劉淑芬.基于改進(jìn)樸素貝葉斯算法的入侵檢測(cè)系統(tǒng)［J］.計(jì)算機(jī)科學(xué)，2014，04：111-115+119.

［3］Bengio Y，Lamblin P，Popovici D，et al.Greedy layer-wise training of deep networks［J］.Advances in neural information processing systems，2007， 19：153.

［4］楊昆朋.基于深度學(xué)習(xí)的入侵檢測(cè)［D］.北京：北京交通大學(xué)，2015.

［5］李春林，黃月江，王宏，牛長(zhǎng)喜.一種基于深度學(xué)習(xí)的網(wǎng)絡(luò)入侵檢測(cè)方法［J］.信息安全與通信保密，2014，10：68-71.

張焱焱（1982—），女，吉林長(zhǎng)春人，講師，現(xiàn)供職于吉林工商學(xué)院信息工程學(xué)院，研究方向：計(jì)算機(jī)應(yīng)用。

冉祥金（1982—），男，吉林長(zhǎng)春人，講師，現(xiàn)供職于吉林大學(xué)應(yīng)用技術(shù)學(xué)院，研究方向：網(wǎng)絡(luò)安全。