基于人工智能技術(shù)的網(wǎng)絡(luò)入侵檢測(cè)方法

卜旭 李蓉 廣東農(nóng)工商職業(yè)技術(shù)學(xué)院

前言

所謂入侵檢測(cè)，簡(jiǎn)單來(lái)講，就是基于不對(duì)網(wǎng)絡(luò)性能帶來(lái)影響的前提下，通過(guò)分析和手機(jī)計(jì)算機(jī)或者是計(jì)算機(jī)系統(tǒng)中關(guān)鍵點(diǎn)信息，然后在這些關(guān)鍵點(diǎn)信息中找到網(wǎng)絡(luò)或系統(tǒng)在運(yùn)行過(guò)程中可能存在的違反相關(guān)安全規(guī)定行為以及遭受攻擊行為的情況，并收集相關(guān)的入侵證據(jù)信息，以此為之后開(kāi)展數(shù)據(jù)恢復(fù)以及處理事故時(shí)提供相應(yīng)的數(shù)據(jù)依據(jù)。下文基于人工智能技術(shù)，對(duì)當(dāng)前應(yīng)用比較常見(jiàn)的網(wǎng)絡(luò)入侵檢測(cè)方法進(jìn)行詳細(xì)探討。

一、統(tǒng)計(jì)分析

關(guān)于統(tǒng)計(jì)分析這一網(wǎng)絡(luò)入侵檢測(cè)方法，首先由異常檢測(cè)器對(duì)目標(biāo)行為進(jìn)行相應(yīng)觀察，然后生出一個(gè)框架，該框架不需要過(guò)多空間進(jìn)行存儲(chǔ)和更新。隨著時(shí)間的增長(zhǎng)，統(tǒng)計(jì)數(shù)據(jù)也隨著得到一定的更新，這時(shí)候計(jì)算機(jī)系統(tǒng)也會(huì)隨著周期性規(guī)律產(chǎn)生新的數(shù)據(jù)信息作為異常度的表示，而這種表示數(shù)值是根據(jù)某些具有獨(dú)立特征的方式衍生出來(lái)的一種子異常度函數(shù)，由系統(tǒng)根據(jù)當(dāng)前用戶(hù)行為獲取。從整體上來(lái)看統(tǒng)計(jì)分析方式，該種方式是當(dāng)前入侵檢測(cè)系統(tǒng)中應(yīng)用比較常見(jiàn)的產(chǎn)品化檢測(cè)方式，相比較其他檢測(cè)方法更為成熟，其具有“學(xué)習(xí)”用戶(hù)習(xí)慣的優(yōu)勢(shì)特征，因此有更高的檢出率和可用性；但也有相應(yīng)的缺陷，“學(xué)習(xí)”用戶(hù)這一特征給入侵者侵略機(jī)會(huì)，通過(guò)逐步對(duì)入侵事件進(jìn)行“訓(xùn)練”，使其符合正常操作時(shí)的統(tǒng)計(jì)規(guī)律，最后入侵檢測(cè)系統(tǒng)。

二、匹配

（一）簡(jiǎn)單模式匹配

具體來(lái)講，就是通過(guò)轉(zhuǎn)變?nèi)肭痔卣鞔a的方式，將其轉(zhuǎn)為與審計(jì)記錄之間相符的一種模式。這種模式不可與其他模式產(chǎn)生沖突，同時(shí)還可以識(shí)別出其變種。具體來(lái)講，當(dāng)產(chǎn)生新的審計(jì)事件，通過(guò)采用比較簡(jiǎn)單的模式進(jìn)行匹配，以此來(lái)找到與其之間相匹配的一種已知性入侵模式，若兩者匹配就會(huì)報(bào)警。模式可以隨需要進(jìn)行增加或刪減，不會(huì)對(duì)已有模式匹配帶來(lái)影響，也可不進(jìn)行依賴(lài)關(guān)系構(gòu)建。

（二）基于規(guī)則的檢測(cè)

相比較于上述簡(jiǎn)單模式匹配，兩者不同的地方就在于前者匹配入侵模式；后者匹配正常模式，通過(guò)該種檢測(cè)方法進(jìn)行網(wǎng)絡(luò)入侵檢測(cè)時(shí)，需要將時(shí)間序列及其相互聯(lián)系考慮其中。通過(guò)對(duì)用戶(hù)行為進(jìn)行觀察，以此來(lái)產(chǎn)生相應(yīng)的規(guī)則集，并進(jìn)行用戶(hù)輪廓框架構(gòu)建，并采取動(dòng)態(tài)化方式對(duì)系統(tǒng)規(guī)則進(jìn)行相應(yīng)修改，使其具備更好的預(yù)測(cè)性和準(zhǔn)確度。若所觀察的事件，在序列匹配規(guī)則上所處位置在左側(cè)，則后續(xù)事件與預(yù)測(cè)事件相背離，這時(shí)候系統(tǒng)就會(huì)將這種偏離情況檢測(cè)出來(lái)，表明用戶(hù)處于異常操作狀態(tài)。這種方法能夠?qū)Ω鞣N形式用戶(hù)行為進(jìn)行有效處理；通過(guò)對(duì)其中少部分存在關(guān)聯(lián)性的安全事件采取集中的方式進(jìn)行考察，而不是通過(guò)對(duì)可以進(jìn)行會(huì)話(huà)過(guò)程的登陸進(jìn)行重點(diǎn)關(guān)注；如果在檢測(cè)過(guò)程中檢測(cè)結(jié)果為系統(tǒng)受到攻擊情況下，其具有非常強(qiáng)的靈敏度等優(yōu)勢(shì)。

（三）基于模型的檢測(cè)

具體指的是該系統(tǒng)具有攻擊情節(jié)數(shù)據(jù)庫(kù)。若每次進(jìn)行一套完整的攻擊后，都應(yīng)該會(huì)包含相應(yīng)的攻擊序列行為，如果懷疑某個(gè)時(shí)刻遭受攻擊，對(duì)處于這種狀態(tài)下，該系統(tǒng)則會(huì)因此生出與之相應(yīng)的攻擊情節(jié)子集，之后就會(huì)在整個(gè)儲(chǔ)存系統(tǒng)中對(duì)與之相配的子集進(jìn)行搜集，若搜集后的子集匹配成功后，就會(huì)接納受到攻擊的情節(jié)子集，反之拒絕。所謂子集，簡(jiǎn)單來(lái)講就是攻擊行為的序列模型，一個(gè)情節(jié)與一個(gè)行為相對(duì)應(yīng)，結(jié)合現(xiàn)行活躍模型，預(yù)測(cè)其還會(huì)對(duì)未來(lái)可能發(fā)生的行為進(jìn)行相應(yīng)預(yù)測(cè)，然后將預(yù)測(cè)結(jié)果上報(bào)至系統(tǒng)或管理員，對(duì)于是否需要將預(yù)測(cè)后的行為記錄歸納整理在系統(tǒng)獨(dú)立日志部分，通常由相關(guān)管理員所決定。而發(fā)生時(shí)間就是對(duì)匹配模型、攻擊清潔兩者進(jìn)行相應(yīng)的檢驗(yàn)以及更新，若存在攻擊情況下，不僅僅會(huì)對(duì)某方面的攻擊清潔起到正確累計(jì)作用，同時(shí)也會(huì)對(duì)其起到某種否定情節(jié)的作用。若匹配到的模型發(fā)生攻擊行為，則該模型會(huì)添加至活躍模型庫(kù)。以此對(duì)活躍模型表進(jìn)行持續(xù)不斷更新，換句話(huà)說(shuō)，在事件出現(xiàn)過(guò)程中，提升系統(tǒng)攻擊情節(jié)發(fā)生率就是活躍模型表中所在關(guān)鍵之處。

（四）基于圖形的檢測(cè)

所謂圖形監(jiān)測(cè)，就是系統(tǒng)為其需要進(jìn)行檢測(cè)的主機(jī)及其活動(dòng)而建立的相應(yīng)圖形。例如蠕蟲(chóng)入侵，第一步從主機(jī)1進(jìn)行入侵，對(duì)主機(jī)2和主機(jī)3進(jìn)行攻擊，攻擊的兩條鏈接都會(huì)進(jìn)行相應(yīng)的建立，并且都會(huì)報(bào)告至GrIDS，GrIDS就會(huì)以圖形的方式對(duì)兩個(gè)連接進(jìn)行記錄，若未來(lái)一段時(shí)間內(nèi)，主機(jī)1、2、3沒(méi)有出現(xiàn)任何動(dòng)靜，該圖形就會(huì)自動(dòng)化消失；相反，若蠕蟲(chóng)快速向主機(jī)4、5以及其他主機(jī)進(jìn)行傳播，這時(shí)候鏈接就會(huì)被記錄下并構(gòu)造圖，同時(shí)該鏈接產(chǎn)生時(shí)間以及其他相關(guān)參數(shù)信息也都會(huì)由系統(tǒng)進(jìn)行相應(yīng)記錄，若從時(shí)間的角度來(lái)看，鏈接相靠時(shí)間相對(duì)比較接近情況下，則說(shuō)明入侵幾率越大，這個(gè)圖就會(huì)保存于數(shù)據(jù)庫(kù)中，若該圖再次出現(xiàn)，則系統(tǒng)會(huì)認(rèn)定其為蠕蟲(chóng)，對(duì)于其他形式的攻擊行為也會(huì)被系統(tǒng)定義成一張圖，或者圖中某些參數(shù)信息。除時(shí)間之外，還有端口、目標(biāo)地址等都可表示其他入侵類(lèi)型。

（五）基于狀態(tài)轉(zhuǎn)移的檢測(cè)

該模型是以高層次語(yǔ)義為前提進(jìn)行檢測(cè)，能夠?qū)崿F(xiàn)預(yù)測(cè)未來(lái)這一功能?；谝韵聝煞N假設(shè)進(jìn)行檢測(cè)：其一，發(fā)生入侵這一行為應(yīng)在出現(xiàn)入侵行動(dòng)前就采取某些行動(dòng)，例如TCPIP端口掃描等；其二。行動(dòng)產(chǎn)生前沒(méi)有能力，如果獲取到主機(jī)回復(fù)的數(shù)據(jù)信息，則需要明確主機(jī)服務(wù)類(lèi)型。發(fā)生一次入侵行動(dòng)，則該行動(dòng)就會(huì)被系統(tǒng)定義為是其中某個(gè)入侵行為序列，由狀態(tài)模型初始直至結(jié)束，狀態(tài)不斷轉(zhuǎn)移，若遇到的關(guān)鍵狀態(tài)是已經(jīng)提前定義好的情況下，則表明發(fā)生入侵行為。從理論上來(lái)講，通過(guò)運(yùn)用狀態(tài)轉(zhuǎn)移分析這種檢測(cè)方法進(jìn)行網(wǎng)絡(luò)入侵檢測(cè)，通過(guò)將攻擊表示為一系列被監(jiān)控系統(tǒng)狀態(tài)轉(zhuǎn)移，攻擊狀態(tài)與系統(tǒng)狀態(tài)兩者相對(duì)應(yīng)，與此同時(shí)也會(huì)有狀態(tài)轉(zhuǎn)移條件判斷，事件類(lèi)型不需要全部與審計(jì)中的相關(guān)記錄對(duì)應(yīng)。因此攻擊模式只會(huì)對(duì)事件序列進(jìn)行相應(yīng)說(shuō)明，，不適應(yīng)更復(fù)雜事件中。

三、貝葉斯檢測(cè)

對(duì)于貝葉斯檢測(cè)方式，其建立方式是以各個(gè)變量之間存在概率關(guān)系來(lái)構(gòu)建的一種圖論模型，因此采用該檢測(cè)方式可對(duì)入侵檢測(cè)系統(tǒng)中不確定問(wèn)題進(jìn)行相應(yīng)解決。換句話(huà)說(shuō)，運(yùn)用貝葉斯檢測(cè)方式能夠?qū)⒁寻l(fā)生入侵行為最大可能行為序列與已知序列兩者相對(duì)比，從中獲取可能性最大的入侵類(lèi)型，其具有速度快、準(zhǔn)確度高的數(shù)據(jù)處理優(yōu)勢(shì)。I表示為系統(tǒng)受到入侵行為，a1、a2...an表示為觀測(cè)到的數(shù) 據(jù)，根 據(jù) 條 件 概 率 推 出：P(I|a1，a2，...，an)=[P(a1，a2，...，an|I)*P(I)]/[P(a1，a2，...，an)].若各個(gè)事件之間發(fā)生條件概率上處于相互獨(dú)立狀態(tài)，運(yùn)用樸素貝葉斯進(jìn)行分類(lèi)；若各事件存在明顯依賴(lài)性，那么通過(guò)運(yùn)用貝葉斯信念網(wǎng)絡(luò)對(duì)其進(jìn)行相應(yīng)的分類(lèi)。在運(yùn)用貝葉斯網(wǎng)絡(luò)進(jìn)行網(wǎng)絡(luò)入侵檢測(cè)時(shí)，其統(tǒng)一隨機(jī)變量之間進(jìn)行因果關(guān)系的表示，以圖表形式表示各變量關(guān)系，各隨機(jī)變量取決于其周?chē)兞?，?duì)于其中所有根據(jù)都具備初始概率，其他節(jié)點(diǎn)屬于根節(jié)點(diǎn)的條件概率，DAG圖表示貝葉斯網(wǎng)絡(luò)圖，若網(wǎng)絡(luò)圖中部分節(jié)點(diǎn)概率所處情況處于可知狀態(tài)下，則其他便處于可求狀態(tài)，通過(guò)貝葉斯網(wǎng)絡(luò)檢測(cè)方式能夠?yàn)榻o定數(shù)據(jù)的類(lèi)型數(shù)量進(jìn)行自動(dòng)確定，同時(shí)對(duì)停止條件、分類(lèi)標(biāo)準(zhǔn)等方面也沒(méi)有其他比較特殊性的要求，具有對(duì)離散和連續(xù)屬性的處理能力，還可對(duì)新出現(xiàn)的未知性入侵形式進(jìn)行學(xué)習(xí)和識(shí)別等方面的應(yīng)用優(yōu)勢(shì)。

四、人工神經(jīng)網(wǎng)絡(luò)

所謂人工神經(jīng)網(wǎng)絡(luò)，就是對(duì)人腦的加工信息、存儲(chǔ)信息以及處理信息機(jī)制進(jìn)行相應(yīng)模擬，從而產(chǎn)生的具有智能特征的信息處理技術(shù)。該種類(lèi)型檢測(cè)方式具有概括抽象、學(xué)習(xí)性以及自適應(yīng)等方面的并行計(jì)算能力。通過(guò)運(yùn)用有序信息單元訓(xùn)練神經(jīng)網(wǎng)絡(luò)，經(jīng)過(guò)相應(yīng)訓(xùn)練后，神經(jīng)網(wǎng)絡(luò)就會(huì)根據(jù)現(xiàn)有行為活動(dòng)、過(guò)去行為活動(dòng)序列兩方面的信息，來(lái)對(duì)將來(lái)行為活動(dòng)進(jìn)行相應(yīng)預(yù)測(cè)?；谝恍┍容^典型的用戶(hù)活動(dòng)來(lái)對(duì)神經(jīng)網(wǎng)絡(luò)進(jìn)行相應(yīng)的訓(xùn)練，通過(guò)這種構(gòu)建用戶(hù)活動(dòng)框架，然后借助專(zhuān)家系統(tǒng)對(duì)其進(jìn)行神經(jīng)網(wǎng)絡(luò)訓(xùn)練入侵模式、正常模式兩者進(jìn)行相應(yīng)的比對(duì)和匹配。

五、遺傳算法

所謂遺傳算法，簡(jiǎn)單來(lái)講就是以自然選擇為前提和基礎(chǔ)，通過(guò)模擬生命進(jìn)化機(jī)制的方式來(lái)進(jìn)行優(yōu)化方法的搜索。在這個(gè)過(guò)程中，對(duì)于自然選擇和遺傳過(guò)程中的復(fù)制、交換以及變異等現(xiàn)象進(jìn)行模擬，然后對(duì)空間進(jìn)行相應(yīng)搜索，就會(huì)將其映射到相應(yīng)的遺傳空間中，然后將各個(gè)可能編碼為向量，對(duì)此可將其稱(chēng)為染色體向量。在向量中的元素，可將其稱(chēng)為基因，根據(jù)之前已經(jīng)預(yù)定好的評(píng)價(jià)函數(shù)對(duì)染色體進(jìn)行相應(yīng)評(píng)價(jià)，并結(jié)合評(píng)價(jià)結(jié)構(gòu)給出適應(yīng)度數(shù)值。將系統(tǒng)中全部染色體組成群體形式，然后由種群開(kāi)始，通過(guò)對(duì)其進(jìn)行隨機(jī)選擇、交叉以及變異操作后，就會(huì)產(chǎn)生更適應(yīng)環(huán)境的新個(gè)體，而原有的性能不佳染色體就會(huì)因此遭受淘汰處理，形成一種新群體。因新群體在本質(zhì)上屬于上一代中的優(yōu)秀者，具備上一代中特有的優(yōu)勢(shì)特征，通過(guò)遺傳算法反復(fù)迭代，朝向更優(yōu)質(zhì)的方向不斷發(fā)展，直到滿(mǎn)足某些優(yōu)化指標(biāo)即可。

六、總結(jié)

綜上所述，從本質(zhì)上來(lái)講，網(wǎng)絡(luò)入侵檢測(cè)技術(shù)是以主動(dòng)的方式保護(hù)其自身不受攻擊的一種安全技術(shù)，一方面，通過(guò)該技術(shù)對(duì)付網(wǎng)絡(luò)攻擊行為，有效起到提升系統(tǒng)管理員在網(wǎng)絡(luò)安全方面的管理能力；另一方面，起到對(duì)信息安全基礎(chǔ)結(jié)構(gòu)完整性的提升作用。從人工智能的角度來(lái)講，其作為當(dāng)前比較熱門(mén)的研究領(lǐng)域，將其應(yīng)用于網(wǎng)絡(luò)入侵檢測(cè)中，能夠很好的解決其中很多檢測(cè)問(wèn)題，具有積極性應(yīng)用意義。