劉 濤

(阜陽職業(yè)技術(shù)學院，安徽 阜陽 236031)

校園網(wǎng)入侵檢測系統(tǒng)中機器學習算法的性能研究

劉 濤

(阜陽職業(yè)技術(shù)學院，安徽 阜陽 236031)

文章闡述了機器學習算法中遺傳算法以及貝葉斯分類算法的概念，以及校園網(wǎng)入侵檢測系統(tǒng)的基本構(gòu)架。分析了基于機器算法中遺傳算法和學習算法的校園網(wǎng)入侵檢測系統(tǒng)優(yōu)化策略，并對其他機器算法的應(yīng)用性進行了系統(tǒng)的研究。

校園網(wǎng)；入侵檢測系統(tǒng)；機器學習算法；性能研究

隨著現(xiàn)代信息化技術(shù)的發(fā)展，信息化技術(shù)在高校教育領(lǐng)域被廣泛應(yīng)用，同時高校網(wǎng)絡(luò)系統(tǒng)的安全與穩(wěn)定也成為了校園網(wǎng)入侵檢測系統(tǒng)的重要課題。高校校園網(wǎng)絡(luò)平臺的建立，不僅能夠?qū)崿F(xiàn)高校與外界的知識資源互動，而且為各學科的教學活動提供便利的網(wǎng)路教學平臺。校園網(wǎng)絡(luò)入侵檢測系統(tǒng)能夠保證廣大師生對校園網(wǎng)絡(luò)平臺的正常使用，以及校園網(wǎng)絡(luò)平臺的網(wǎng)絡(luò)安全。隨著網(wǎng)絡(luò)安全狀況日趨復(fù)雜化，以及校園內(nèi)部對網(wǎng)絡(luò)平臺功能型要求的提升，校園網(wǎng)入侵檢測系統(tǒng)不斷進行著更加科學而有效的優(yōu)化，將性能更穩(wěn)定、效率更高的機器學習算法融入到入侵檢測系統(tǒng)的構(gòu)建當中，使校園網(wǎng)入侵檢測系統(tǒng)的性能日益提升。

1 機器學習技術(shù)的主要算法

1.1 遺傳算法

機器學習技術(shù)中的遺傳算法是Mendel遺傳學和Darwin進化論核心概念構(gòu)成的，運算程序進程中可以在沒有問題導向的前提下進行直接搜索。遺傳算法將待解決的問題編碼成位，被編碼的個體單位稱之為基因，而遺傳算法中的編碼序列被稱為串(染色體)。雖然遺傳算法在長期的實踐應(yīng)用過程中不斷地得到完善，但是其傳統(tǒng)的基因算法沒有改變，其運算原理是：編碼是最先開展的運算行為，將解數(shù)據(jù)轉(zhuǎn)變成為基因型串數(shù)據(jù)，這種必要的轉(zhuǎn)換過程導致初始群體的形成〔1〕。在這個階段結(jié)束以后，利用系統(tǒng)適應(yīng)度函數(shù)對初始群體中每一個個體的適應(yīng)度進行量化的計算，作為個體解的優(yōu)勢。之后的跌送過程中包含循環(huán)選擇、交叉以及變異，在最終的繁殖和變異程序中產(chǎn)生新的問題或非問題解決方案。

1.2 貝葉斯分類算法

數(shù)據(jù)挖掘以及機器學習中包含很多優(yōu)秀的算法，其中貝葉斯分類算法是運算程序相對更加完善的算法，是優(yōu)化入侵檢測系統(tǒng)的重要方式〔2〕。在機器學習技術(shù)中，貝葉斯分類算法是一種無監(jiān)督學習模式。經(jīng)實踐證實，普通(樸素)貝葉斯分類算法能夠準確地對問題進行運算和分析預(yù)測，其預(yù)測能力相當于決策樹，且具有比其他算法更強的學習能力。貝葉斯分類的假設(shè)性運行判斷是：對于已經(jīng)特定給予的類，其包含所有屬性都是以相對獨立的形式進行分布的。

2 校園網(wǎng)入侵檢測系統(tǒng)

2.1 校園網(wǎng)入侵檢測系統(tǒng)的基本構(gòu)架

IDS按照功能劃分為：事件探測采集子系統(tǒng)、數(shù)據(jù)庫管理子系統(tǒng)、響應(yīng)子系統(tǒng)、數(shù)據(jù)分析子系統(tǒng)。校園網(wǎng)的系統(tǒng)控制平臺將用戶應(yīng)用層數(shù)據(jù)與入侵檢測檢測系統(tǒng)的程序運行進行空間內(nèi)的銜接，使校園網(wǎng)入侵檢測系統(tǒng)中各子系統(tǒng)通過相互協(xié)調(diào)運行對用戶應(yīng)用層數(shù)據(jù)進行運算、分析以及統(tǒng)計，并最終做出問題判斷。

2.2 校園網(wǎng)入侵檢測系統(tǒng)中的子系統(tǒng)原理

1)事件探測采集子系統(tǒng)

根據(jù)CIDF規(guī)范，網(wǎng)絡(luò)傳輸中的數(shù)據(jù)包以及System Log中獲取的信息是在IDS中需要分析的數(shù)據(jù)，這些數(shù)據(jù)被IDS統(tǒng)稱為事件。事件探測采集子系統(tǒng)在整體IDS中具有重要的意義，將收集并分析的所有事件傳送到其他IDS子系統(tǒng)中。事件探測采集子系統(tǒng)雖然是IDS中基層的組織，卻是IDS實現(xiàn)整體運行功能的重要部分，承擔著事件的收集功能，對事件的收集必須要具有一定的范圍性與有效性，避免由于信息遺漏而造成IDS功能失誤進而影響校園網(wǎng)平臺的安全。

2)數(shù)據(jù)分析子系統(tǒng)

數(shù)據(jù)分析子系統(tǒng)是IDS的重點，功能強大且具有實效性的數(shù)據(jù)分析子系統(tǒng)需要設(shè)計者進行科學而系統(tǒng)的開發(fā)才能實現(xiàn)。開發(fā)并建設(shè)數(shù)據(jù)分析子系統(tǒng)需要堅持三個主要原則，這三個原則同時也是優(yōu)化數(shù)據(jù)分析子系統(tǒng)的數(shù)據(jù)分析功能的要點。首先，優(yōu)化算法的設(shè)計以及監(jiān)測模型能夠保證數(shù)據(jù)分析子系統(tǒng)的執(zhí)行效率。其次，包容性以及可擴展性是制定安全規(guī)則必須充分考慮的，能夠提高數(shù)據(jù)分析子系統(tǒng)的伸縮性。最后，為避免消息格式的不規(guī)范，報警消息必須按照標準格式設(shè)計，進而增強系統(tǒng)的相互操作與共享能力。

3)響應(yīng)子系統(tǒng)

響應(yīng)子系統(tǒng)在IDS中發(fā)揮著重要的功能。首先按照定義方式對安全事件進行系統(tǒng)的記錄，如出現(xiàn)危險狀況將產(chǎn)生報警信息。對于事件的操作進行附加日志的記錄，在出現(xiàn)入侵情況下隔離入侵者，并終止入侵者的數(shù)據(jù)入侵進程，禁止入侵數(shù)據(jù)與受害者的端口進行鏈接。

4)數(shù)據(jù)庫管理子系統(tǒng)

數(shù)據(jù)庫管理子系統(tǒng)的數(shù)據(jù)庫用來儲存數(shù)據(jù)分析系統(tǒng)分析或操作過的數(shù)據(jù)，這些數(shù)據(jù)將被用于管理員的調(diào)用查看，以及在入侵危險事件發(fā)生以后進行取證。

3 基于機器學習算法建立的校園網(wǎng)入侵檢測系統(tǒng)

3.1 基于機器學習算法的校園網(wǎng)入侵檢測系統(tǒng)的設(shè)計

1) 機器學習模塊：機器學習模塊是入侵檢測系統(tǒng)的構(gòu)成核心，通過對外部環(huán)境數(shù)據(jù)進行精確的檢測與分析，對IDS的整體性能提升具有顯著的作用。

2) 網(wǎng)絡(luò)數(shù)據(jù)包捕獲模塊：入侵檢測系統(tǒng)在監(jiān)視和驗證網(wǎng)絡(luò)流量以及對IDS整體工作狀態(tài)監(jiān)督時，網(wǎng)絡(luò)數(shù)據(jù)包捕獲模塊發(fā)揮著積極作用。IDS設(shè)計的核心是在實現(xiàn)在網(wǎng)絡(luò)信息傳播渠道中獲取并分析不同協(xié)議層上的數(shù)據(jù)包，所以網(wǎng)絡(luò)數(shù)據(jù)包捕獲模塊是入侵檢測系統(tǒng)能夠高效工作的基礎(chǔ)。

3) 數(shù)據(jù)預(yù)處理模塊：將網(wǎng)絡(luò)數(shù)據(jù)包模塊的數(shù)據(jù)進行整合處理，并對數(shù)據(jù)包進行一定程度的適應(yīng)性修改，進而實現(xiàn)各系統(tǒng)對數(shù)據(jù)包的操作。預(yù)處理就是指對數(shù)據(jù)進行預(yù)先操作，是入侵檢測系統(tǒng)后期處理工作的前期銜接部分。

4) 誤用規(guī)則處理模塊：誤用規(guī)則處理模塊是將IDS系統(tǒng)規(guī)則作為參照，對各環(huán)節(jié)的數(shù)據(jù)操作誤用進行檢測的功能模塊。將數(shù)據(jù)庫中數(shù)據(jù)模式規(guī)則與已知的網(wǎng)絡(luò)入侵數(shù)據(jù)作為既定規(guī)則，對新收集到的信息進行對比與分析，從中發(fā)現(xiàn)非安全行為，從而保證了入侵檢測系統(tǒng)較之以前更為準確和高效。

3.2 遺傳算法在校園網(wǎng)入侵檢測系統(tǒng)中的使用

遺傳算法在理念上是基于生物基因的遺傳和變異原理而形成的，為入侵檢測系統(tǒng)的優(yōu)化提供了更具優(yōu)越性的檢測異?，F(xiàn)象能力。遺傳算法在事件探測采集子系統(tǒng)中能夠幫助系統(tǒng)程序在數(shù)據(jù)獲取范圍以及真實有效性上進行功能優(yōu)化。根據(jù)遺傳算法原理，外部環(huán)境數(shù)據(jù)經(jīng)過程序處理后形成基因串數(shù)據(jù)。數(shù)據(jù)形成基因串之后體現(xiàn)為網(wǎng)絡(luò)數(shù)據(jù)包模式，便于各子系統(tǒng)之間的操作與傳遞，對事件探測采集系統(tǒng)的信息捕獲功能進行了有效的強化。遺傳算法使數(shù)據(jù)分析子系統(tǒng)能夠?qū)?shù)據(jù)包進行更有效的分析操作。由于遺傳算法對每一個個體數(shù)據(jù)進行適應(yīng)度的計算，使得數(shù)據(jù)分析子系統(tǒng)對數(shù)據(jù)包的分析更加具體也更加準確，并可以對信息數(shù)據(jù)進行一定程度的預(yù)判。遺傳算法提高了檢測模型的識別率，其原理基于基因的排他性原則，對于非系統(tǒng)規(guī)則外的具有入侵性質(zhì)的信息數(shù)據(jù)進行適應(yīng)度否定的判斷，從而實現(xiàn)信息數(shù)據(jù)在IDS數(shù)據(jù)分析系統(tǒng)環(huán)節(jié)中被有效分辨。遺傳算法在建立入侵檢測系統(tǒng)中的核心優(yōu)勢是遺傳算法的精密性，能夠極大地提高入侵檢測系統(tǒng)的安全性以及穩(wěn)定性。

3.3 貝葉斯分類算法在校園網(wǎng)入侵檢測系統(tǒng)中的使用

貝葉斯分類算法是眾多機器學習算法中綜合性優(yōu)勢較高的算法，同時也是在各領(lǐng)域的IDS中應(yīng)用比較廣泛的算法。入侵檢測系統(tǒng)的審計機制能全面、系統(tǒng)地對事件進行記錄，從而實現(xiàn)對外部信息數(shù)據(jù)的入侵檢測。貝葉斯分類能夠?qū)?shù)據(jù)包進行更有效、更精準的劃分，提高各子系統(tǒng)之間數(shù)據(jù)操作的效率，從而使IDS的整體運行更加效率化〔3〕。貝葉斯分類算法利用信息數(shù)據(jù)中的關(guān)聯(lián)分析以及序列模式分析，改善了誤用規(guī)則處理模塊的性能。能夠更準確、更及時地自動識別外部環(huán)境的信息入侵事件，使數(shù)據(jù)預(yù)處理模塊以及誤用規(guī)則模塊具有準確的數(shù)據(jù)操作能力，進而實現(xiàn)入侵檢測系統(tǒng)本質(zhì)上的優(yōu)化。尤其是貝葉斯算法中的TAN算法，通過對數(shù)據(jù)屬性對之間的依賴關(guān)系來降低屬性間獨立的假設(shè)，從而以高強度的信息分辨能力大大提升了誤用規(guī)則處理模塊的能力，這也是在入侵檢測系統(tǒng)使用貝葉斯算法后最明顯的優(yōu)化。

3.4 其他優(yōu)秀算法

機器學習算法中除了遺傳基因算法和貝葉斯算法以外還有很多優(yōu)秀算法，對建立校園網(wǎng)入侵檢測系統(tǒng)也具有不同程度的建設(shè)性作用。其中人工神經(jīng)網(wǎng)絡(luò)(ANN)是模擬人腦處理信息的模式而提煉出來的智能化信息處理技術(shù)，人工神經(jīng)網(wǎng)絡(luò)是由大量的神經(jīng)元構(gòu)成的高度互聯(lián)的網(wǎng)絡(luò)系統(tǒng)，實現(xiàn)新信息進入網(wǎng)絡(luò)以后的輸入與輸出的映射關(guān)系。人工神經(jīng)網(wǎng)絡(luò)能夠降低異常檢測系統(tǒng)的檢測失誤率，同時能夠?qū)σ呀?jīng)檢測的入侵信息進行有效識別，避免誤用檢測系統(tǒng)的錯報與誤報行為發(fā)生?；谌斯ど窠?jīng)網(wǎng)絡(luò)建立的入侵檢測系統(tǒng)能夠處理噪聲數(shù)據(jù)，能顯著提升誤用規(guī)則處理模塊的準確性，但是對于未知入侵模式的防御與分辨能力卻效果不佳，同時人工神經(jīng)網(wǎng)絡(luò)的結(jié)構(gòu)過于復(fù)雜，缺少穩(wěn)定性，學習時間過長，相對于遺傳算法和貝葉斯算法效率較低。人工免疫系統(tǒng)(AIS)是從生物免疫系統(tǒng)的構(gòu)造原理中提煉出來的計算范式，善于對于復(fù)雜的事件問題進行精確的求解，其在IDS中的運作原理是準確區(qū)分“自我”與“非我”?！白晕摇笔侵冈贗DS數(shù)據(jù)庫中已經(jīng)按照設(shè)計規(guī)則設(shè)定的數(shù)據(jù)模式， “非我”是指原則以外的可能存在風險的外部環(huán)境信息數(shù)據(jù)。人工免疫系統(tǒng)具有一定的自適應(yīng)性，滿足IDS分布性、低消耗性的要求，具有極強的自動應(yīng)答和自我修復(fù)特征，從而為IDS建立多級防御來對外界的數(shù)據(jù)入侵進行防御與一定程度的自我修復(fù)。但是人工防疫系統(tǒng)算法缺乏遺傳算法和貝葉斯分類算法的高效性，也缺乏貝葉斯分類算法的準確性，雖然具備一定修復(fù)功能優(yōu)勢，但對入侵檢測系統(tǒng)綜合性能的提升相對前兩者更低一些。

〔1〕王旭仁，許榕生.基于機器學習的入侵檢測系統(tǒng)研究〔J〕.計算機工程,2006,(14):52-55.

〔2〕蔣道霞.入侵檢測系統(tǒng)的規(guī)則研究與基于機器學習的入侵檢測系統(tǒng)模型〔J〕.現(xiàn)代電子技術(shù),2005,(17):34-37.

〔3〕李藝穎,鄧皓文,王思齊,龍軍.基于機器學習和NetFPGA的智能高速入侵防御系統(tǒng)〔J〕.信息網(wǎng)絡(luò)安全,2014,(02):31-35.

Study on the Computer Learning Algorithm for the Incursion Detecting System of Campus Network

LIU Tao

(FuyangCollegeofVocationalTechnology,Fuyang,Anhui, 236031,China)

The paper expounds the concept of hereditary algorithm within computer learning algorithm, and the classified algorithm, as well as the basic frame for the incursion detecting system of campus network, and analyses the optimized tactics of incursion detecting system of campus network based on the hereditary algorithm and learning algorithm.The paper also systematically studies the application of other computer algorithms.

Campus network; Incursion detecting system; Computer learning algorithm; Performance study

1008-3723(2017)03-008-03

10.3969/j.issn.1008-3723.2017.03.004

2017-03-15

安徽省高校自然科學重點研究項目“基于機器學習的校園網(wǎng)入侵檢測技術(shù)的研究”(KJ2017A606).

劉濤(1978-)，男，安徽阜陽人，阜陽職業(yè)技術(shù)學院副教授，研究方向：計算機網(wǎng)絡(luò)技術(shù)、網(wǎng)絡(luò)編程技術(shù).

TP393.08

A