吉林工商學(xué)院信息工程學(xué)院 張焱焱
吉林大學(xué)應(yīng)用技術(shù)學(xué)院 冉祥金
入侵檢測(cè)技術(shù)綜述
吉林工商學(xué)院信息工程學(xué)院 張焱焱
吉林大學(xué)應(yīng)用技術(shù)學(xué)院 冉祥金
網(wǎng)絡(luò)安全問題越來越受到世界的關(guān)注,入侵檢測(cè)技術(shù)是維護(hù)網(wǎng)絡(luò)安全的一種常用技術(shù)和手段,是網(wǎng)絡(luò)安全體系中一個(gè)重要的組成部分。本文闡述了入侵檢測(cè)技術(shù)的起源和發(fā)展,并對(duì)其智能化的方法進(jìn)行研究和探討,最后指出入侵檢測(cè)系統(tǒng)的發(fā)展趨勢(shì)及主要研究方向。
網(wǎng)絡(luò)安全;入侵檢測(cè);智能化
互聯(lián)網(wǎng)從點(diǎn)擊時(shí)代到觸摸時(shí)代,再到人網(wǎng)一體時(shí)代,使社會(huì)的各個(gè)方面都發(fā)生了巨大的變化,互聯(lián)網(wǎng)技術(shù)已經(jīng)深深融入到人們的工作、生活、娛樂、思維等各個(gè)方面。與此同時(shí),由于互聯(lián)網(wǎng)本身的開放性以及互聯(lián)網(wǎng)產(chǎn)品一些未知的漏洞,網(wǎng)絡(luò)安全問題日益突出,威脅網(wǎng)絡(luò)安全的手段也層出不窮,以前傳統(tǒng)、靜態(tài)、被動(dòng)的防護(hù)方式已經(jīng)不能完全滿足網(wǎng)絡(luò)安全新形式的發(fā)展。入侵檢測(cè)技術(shù)是被動(dòng)防護(hù)方式的有效補(bǔ)充,它能對(duì)網(wǎng)絡(luò)進(jìn)行實(shí)時(shí)的監(jiān)控,隨時(shí)發(fā)現(xiàn)網(wǎng)絡(luò)中可能出現(xiàn)的各種威脅,規(guī)避安全風(fēng)險(xiǎn),提高網(wǎng)絡(luò)性能,增大網(wǎng)絡(luò)可用價(jià)值,是目前網(wǎng)絡(luò)安全技術(shù)研究的熱點(diǎn)。
1.1入侵檢測(cè)技術(shù)的起源
入侵檢測(cè)的研究開始于20世紀(jì)80年代,1980年負(fù)責(zé)主持美國(guó)國(guó)防部計(jì)算機(jī)安全審計(jì)工作的James Anderson首次提出了入侵檢測(cè)的概念。1986年,斯坦福研究院的Dorothy Denning首次建立了一個(gè)完整的入侵檢測(cè)系統(tǒng)模型,為入侵檢測(cè)的發(fā)展奠定了基礎(chǔ)。隨著人們網(wǎng)絡(luò)安全意識(shí)的提升,以及網(wǎng)絡(luò)攻擊手段的多樣化,入侵檢測(cè)技術(shù)也在飛快的發(fā)展,但新出現(xiàn)的很多模型都是在Denning模型基礎(chǔ)上的完善和拓展。
1.2入侵檢測(cè)技術(shù)的概念
美國(guó)國(guó)際計(jì)算機(jī)安全協(xié)會(huì)(ICSA)對(duì)入侵檢測(cè)的定義[1]:入侵檢測(cè)是對(duì)入侵行為的發(fā)覺,通過從計(jì)算機(jī)網(wǎng)絡(luò)或計(jì)算機(jī)系統(tǒng)中的若干關(guān)鍵點(diǎn)收集信息,并對(duì)這些信息進(jìn)行分析,從而發(fā)現(xiàn)網(wǎng)絡(luò)或系統(tǒng)中是否有違反安全策略的行為和遭到攻擊的跡象的一種安全技術(shù)。違反安全策略的行為有入侵(非法用戶的違規(guī)行為)和濫用(合法用戶的違規(guī)行為)。
1.3入侵檢測(cè)技術(shù)的分類
IDS的優(yōu)劣主要取決于入侵檢測(cè)技術(shù)的好壞,因此入侵檢測(cè)技術(shù)直接關(guān)系到整個(gè)IDS的檢測(cè)效率、誤報(bào)率及檢測(cè)效果等性能指標(biāo)。根據(jù)不同的入侵檢測(cè)技術(shù)分析方法,入侵檢測(cè)可分為異常檢測(cè)(Anomaly Detection)、誤用檢測(cè)(Misuse Detection)兩類。
異常檢測(cè),是建立在入侵活動(dòng)和正?;顒?dòng)不同的基礎(chǔ)上的。根據(jù)這一理念,首先建立基于正常網(wǎng)絡(luò)事件的模型特征庫(kù),然后將用戶當(dāng)前的行為與特征庫(kù)中的進(jìn)行比較,如果兩者存在較大的差異時(shí),則認(rèn)為出現(xiàn)了入侵行為。異常檢測(cè)的優(yōu)點(diǎn)是可以檢測(cè)未知的入侵類型,不受已知入侵類型的限制。缺點(diǎn)是誤報(bào)率較高,而且異常檢測(cè)方法大多訓(xùn)練時(shí)間比較長(zhǎng)。
誤用檢測(cè),是建立在已知的入侵活動(dòng)樣本的基礎(chǔ)上的。誤用檢測(cè)用一種方式表示已知的入侵活動(dòng),然后通過與觀察對(duì)象進(jìn)行對(duì)比判斷這種入侵活動(dòng)是否出現(xiàn),如果檢測(cè)出現(xiàn)則表明發(fā)生了入侵行為。誤用檢測(cè)的優(yōu)點(diǎn)是誤報(bào)率低,檢測(cè)速度快。缺點(diǎn)是只能對(duì)已知的入侵行為進(jìn)行檢測(cè),不能檢測(cè)出新型的入侵行為。
目前,研發(fā)高效的IDS的關(guān)鍵在于如何降低系統(tǒng)的誤報(bào)率,提升分類的精準(zhǔn)度。近年來,有許多較為有效的智能化的檢測(cè)技術(shù)應(yīng)用到入侵檢測(cè)領(lǐng)域當(dāng)中[2],使入侵檢測(cè)系統(tǒng)在檢測(cè)效率和性能上都有很大的提升。其中,人工神經(jīng)網(wǎng)絡(luò)、遺傳算法、人工免疫系統(tǒng)是典型的智能化入侵檢測(cè)技術(shù)。
2.1人工神經(jīng)網(wǎng)絡(luò)
人工神經(jīng)網(wǎng)絡(luò)是指試圖模仿大腦的神經(jīng)元之間傳遞、處理信息的模式而建立的一種計(jì)算模型。它通過接受訓(xùn)練,不斷的獲取并積累知識(shí),進(jìn)而具有一定的判斷和預(yù)測(cè)能力。
可以將人工神經(jīng)網(wǎng)絡(luò)用于入侵檢測(cè),首先是因?yàn)樯窠?jīng)網(wǎng)絡(luò)具有自學(xué)習(xí)、自適應(yīng)的能力。其次是人工神經(jīng)網(wǎng)絡(luò)具有很好的容錯(cuò)能力。此外,人工神經(jīng)網(wǎng)將信息分布式存儲(chǔ)在所有的神經(jīng)元的連接權(quán)中,而不是只存儲(chǔ)在網(wǎng)絡(luò)的某一部分中,使得人工神經(jīng)網(wǎng)絡(luò)具有分布式存儲(chǔ)和并行計(jì)算的能力。
2.2遺傳算法
遺傳算法抽象于生物體的進(jìn)化過程,基于自然選擇中適者生存、優(yōu)勝劣汰原理而建立的,用于解決最優(yōu)化的搜索算法。
將遺傳算法用于入侵檢測(cè),主要是因?yàn)榛谶z傳算法的入侵檢測(cè)系統(tǒng)是一種基于自我學(xué)習(xí)的入侵檢測(cè)系統(tǒng),它可以模擬自然進(jìn)化的過程,使特征庫(kù)中的初始特征值進(jìn)化發(fā)展,動(dòng)態(tài)更新入侵檢測(cè)特征庫(kù),從而得到針對(duì)特定檢測(cè)環(huán)境的最優(yōu)特征集合。
2.3人工免疫系統(tǒng)
人工免疫系統(tǒng)是從生物免疫系統(tǒng)的運(yùn)行機(jī)制中模仿而來的,它借鑒了一些生物免疫系統(tǒng)的功能、原理和模型。
生物學(xué)中的免疫系統(tǒng)可以通過對(duì)自我和非自我的識(shí)別達(dá)到清除非自我細(xì)胞的能力,入侵檢測(cè)系統(tǒng)中的入侵檢測(cè)與免疫系統(tǒng)發(fā)現(xiàn)非自我的識(shí)別能力非常相似,因此將生物學(xué)中的免疫判斷機(jī)制引入到網(wǎng)絡(luò)入侵檢測(cè)中。
龐大的數(shù)據(jù)流量和特征信息,給入侵檢測(cè)領(lǐng)域帶來了巨大的挑戰(zhàn)。近幾年來,深度學(xué)習(xí)技術(shù)的提出及其在圖像識(shí)別、語音識(shí)別和語義分析等多個(gè)領(lǐng)域的成功,使得其備受關(guān)注。把深度學(xué)習(xí)出色的特征學(xué)習(xí)能力應(yīng)用到入侵檢測(cè)系統(tǒng)中,可以為網(wǎng)絡(luò)入侵檢測(cè)準(zhǔn)確率提供有力的支撐。
深度學(xué)習(xí)作為人工神經(jīng)網(wǎng)絡(luò)的一種新的方法,又被稱為“深度神經(jīng)網(wǎng)絡(luò)”,它通過構(gòu)建具有更多隱層的人工神經(jīng)網(wǎng)絡(luò)而具有優(yōu)異的特征學(xué)習(xí)能力,而且其在訓(xùn)練模型時(shí)通過“逐層初始化”這種無監(jiān)督學(xué)習(xí)較其他模型有很大的優(yōu)勢(shì)[3]。
文獻(xiàn)[4]提出基于深度學(xué)習(xí)的混合入侵檢測(cè)模型,并將其同當(dāng)前較為流行的其他模型進(jìn)行實(shí)驗(yàn)對(duì)比,得出該模型是一個(gè)高效的入侵檢測(cè)模型。
文獻(xiàn)[5]結(jié)合網(wǎng)絡(luò)數(shù)據(jù)的特點(diǎn)提出了一種基于深度學(xué)習(xí)的網(wǎng)絡(luò)入侵檢測(cè)方法,并通過實(shí)驗(yàn)證明該方法能在保持高的檢出率的同時(shí),明顯改善檢測(cè)算法的誤檢率。
入侵檢測(cè)技術(shù)的應(yīng)用為網(wǎng)絡(luò)系統(tǒng)提供了針對(duì)內(nèi)部、外部攻擊等方面實(shí)時(shí)的、主動(dòng)的防御,在一定程度上保證了網(wǎng)絡(luò)系統(tǒng)的安全。已經(jīng)比較成熟的智能入侵檢測(cè)技術(shù)對(duì)IDS性能的提升作用并不明顯。深度學(xué)習(xí)技術(shù)在許多領(lǐng)域得到成功的應(yīng)用,如何將深度學(xué)習(xí)技術(shù)應(yīng)用到入侵檢測(cè)系統(tǒng)中,發(fā)揮深度學(xué)習(xí)突出的特征學(xué)習(xí)能力,在大數(shù)據(jù)、云計(jì)算的時(shí)代具有積極的意義,當(dāng)然將深度學(xué)習(xí)的理論和方法應(yīng)用到入侵檢測(cè)領(lǐng)域還有很多工作要做,在未來的發(fā)展中,還需要技術(shù)人員進(jìn)一步的深入研究。
[1]Anderson James P.Computer Security Threat Monitoring and Surveillance[R].Fort Washington,PA:James P.Anderson Co.,1980.
[2]王輝,陳泓予,劉淑芬.基于改進(jìn)樸素貝葉斯算法的入侵檢測(cè)系統(tǒng)[J].計(jì)算機(jī)科學(xué),2014,04:111-115+119.
[3]Bengio Y,Lamblin P,Popovici D,et al.Greedy layer-wise training of deep networks[J].Advances in neural information processing systems,2007, 19:153.
[4]楊昆朋.基于深度學(xué)習(xí)的入侵檢測(cè)[D].北京:北京交通大學(xué),2015.
[5]李春林,黃月江,王宏,牛長(zhǎng)喜.一種基于深度學(xué)習(xí)的網(wǎng)絡(luò)入侵檢測(cè)方法[J].信息安全與通信保密,2014,10:68-71.
張焱焱(1982—),女,吉林長(zhǎng)春人,講師,現(xiàn)供職于吉林工商學(xué)院信息工程學(xué)院,研究方向:計(jì)算機(jī)應(yīng)用。
冉祥金(1982—),男,吉林長(zhǎng)春人,講師,現(xiàn)供職于吉林大學(xué)應(yīng)用技術(shù)學(xué)院,研究方向:網(wǎng)絡(luò)安全。