入侵檢測技術在網(wǎng)絡安全中的應用分析

王朱勞

摘要：近些年網(wǎng)絡安全受到社會各界的關注，本文主要分析了入侵檢測技術在網(wǎng)絡安全檢測中的的應用流程、入侵檢測技術分類，最后以BP神經(jīng)網(wǎng)絡算法為例分析了網(wǎng)絡安全入侵檢測的具體應用，期望為網(wǎng)絡安全的發(fā)展提供理論支持。

關鍵詞：入侵檢測技術；網(wǎng)絡安全；BP神經(jīng)網(wǎng)絡算法

中圖分類號：TN9 文獻標識碼：A 文章編號：1007-9416（2019）01-0209-02

近些年來網(wǎng)絡安全事件頻發(fā)，出現(xiàn)了很多非法入侵、竊取信息、篡改信息的情況，造成了不良影響和巨大的損失。傳統(tǒng)的安全技術包括加密技術和防火墻等，這些技術是一種被動式的、靜態(tài)的防御措施，但是對于內(nèi)部攻擊毫無防御能力。而入侵檢測技術有效彌補了傳統(tǒng)的安全技術存在的不足，對Dos攻擊、Arp攻擊等對網(wǎng)絡安全造成威脅的入侵行為進行實時動態(tài)監(jiān)控、檢測、抵御，是當前網(wǎng)絡安全技術的主要研究方向。

1 入侵檢測技術在網(wǎng)絡安全檢測中的應用流程

1.1 收集網(wǎng)絡運行信息

入侵檢測技術的第一步是收集網(wǎng)絡運行信息，包括網(wǎng)絡中的活動行為信息、網(wǎng)絡數(shù)據(jù)等，收集的信息要盡可能全面、準確。

1.2 分析已收集的信息

入侵檢測技術的信息分析包括模式匹配分析、完整分析、統(tǒng)計分析等，需要結合具體的網(wǎng)絡環(huán)境選擇分析方式。

1.3 實時記錄網(wǎng)絡信息制定反擊措施

入侵檢測技術在網(wǎng)絡安全檢測過程中需要實時記錄網(wǎng)絡信息以判定是否存在入侵的風險，如果被入侵的風險較高則及時制定反擊措施。如切斷網(wǎng)絡連接重新修復網(wǎng)絡安全防火墻。

2 網(wǎng)絡中應用的入侵檢測技術分類

2.1 基于統(tǒng)計分析入侵檢測技術

基于統(tǒng)計分析的入侵檢測技術當前已經(jīng)十分成熟，通過設置相應的閾值，如果檢測到某種行為與正常行為的閾值之間存在較大的偏差，則說明存在入侵行為，該技術中常用的算法包括馬爾柯夫過程模型、時間序列分析等，檢測率較高，但是也存在一定的漏檢現(xiàn)象。

2.2 基于規(guī)則的入侵檢測技術

基于規(guī)則的入侵檢測技術在應用過程中需要建立動態(tài)規(guī)則庫，通過相應的規(guī)則判斷事件的發(fā)生概率，規(guī)則分成向前推理規(guī)則和向后推理規(guī)則，向前推理規(guī)則以收集的網(wǎng)絡信息為依據(jù)進行推理，直到得出結果，可以預測出未入侵的事件但是推理結果誤報率高；向后推理規(guī)則從結果到原因，準確性高，不能實現(xiàn)未知入侵事件的預測。

2.3 基于數(shù)據(jù)挖掘的入侵檢測技術

基于數(shù)據(jù)挖掘的入侵檢測技術，利用數(shù)據(jù)挖掘算法對海量的網(wǎng)絡數(shù)據(jù)進行分析，提取數(shù)據(jù)特征、規(guī)則，發(fā)現(xiàn)網(wǎng)絡入侵行為。雖然這種技術檢測準確性較高，但是其實時性較差，不能滿足網(wǎng)絡安全防御的實時性需求。

2.4 基于機器學習的入侵檢測技術

當前基于機器學習的入侵檢測技術具有檢測效率高、誤報率和漏報率低的特點，可以提高入侵檢測性能?；跈C器學習的入侵檢測主要包括數(shù)據(jù)采集、數(shù)據(jù)預處理、特征選取及構造、機器學習及結果處理5個部分，其中數(shù)據(jù)采集、數(shù)據(jù)預處理為入侵檢測實現(xiàn)的基礎，采集數(shù)據(jù)之后進行預處理主要是對原始數(shù)據(jù)包進行加工，解碼之后濾除重復數(shù)據(jù)和錯誤數(shù)據(jù)，產(chǎn)生相應的特征值之后輸入機器學習模塊；機器學習模塊為核心，在入侵檢測中應用的機器學習算法包括決策樹算法、神經(jīng)網(wǎng)絡算法、貝葉斯理論、遺傳算法等，通過機器學習模塊的測試、訓練實現(xiàn)入侵檢測，展示相應的分類結果，如果存在入侵行為則發(fā)出日志報警。

3 應用實例——基于BP神經(jīng)網(wǎng)絡的入侵檢測

由于基于機器學習的網(wǎng)絡安全入侵檢測效果較好，因此，以基于BP神經(jīng)網(wǎng)絡的入侵檢測為例具體分析網(wǎng)絡安全入侵檢測實例，具體如下所述。

3.1 BP神經(jīng)網(wǎng)絡學習算法

神經(jīng)網(wǎng)絡根據(jù)外界輸入的樣本不斷進行優(yōu)化、改進網(wǎng)絡連接權值，這樣可以使網(wǎng)絡輸出不斷接近期望值，神經(jīng)網(wǎng)絡包括3層結構：輸入層、隱含層、輸出層。假設輸入層的神經(jīng)元有n個，隱含層的神經(jīng)元有p個，輸出層的神經(jīng)元有q個，則有輸入向量：，輸出層輸入向量：；輸出層輸出向量：，期望輸出向量：，隱含層輸入向量：；隱含層輸出向量： ；輸入層與隱含層的連接權值為wih，隱含層與輸出層的連接權值wio。

隱含層、輸出層各神經(jīng)元的閾值分別為bh、b0，樣本數(shù)據(jù)個數(shù)k=1，2，…，m，誤差函數(shù)e：

算法步驟如下：各個連接權值隨機選?。?1，1）區(qū)間內(nèi)的數(shù)值，設定誤差函數(shù)e，計算精度ε和最大學習次數(shù)M。計算隱含層不同神經(jīng)元的輸入和輸出，得出誤差函數(shù)對輸出層、隱含層各神經(jīng)元的偏導數(shù)，并利用偏導數(shù)修正連接權值，計算全局誤差，如果誤差達到設定的精度則算法結束，否則進入下一輪學習。

3.2 基于BP神經(jīng)網(wǎng)絡的入侵檢測系統(tǒng)

基于BP神經(jīng)網(wǎng)絡的入侵檢測系統(tǒng)的框架圖見圖1，捕捉實時網(wǎng)絡流量數(shù)據(jù)之后進行預處理，將數(shù)據(jù)轉(zhuǎn)化成標準的二進制形式，然后通過BP神經(jīng)網(wǎng)絡算法進行訓練，對輸入網(wǎng)絡數(shù)據(jù)進行分類，確定每個集群的神經(jīng)元，構建正常、潛在的攻擊、已知攻擊聚類圖；訓練完成之后輸出結果日志，如果檢測到網(wǎng)絡異常則發(fā)出警報。

3.3 檢測結果分析

以KDD Cup數(shù)據(jù)集為例對上文提出的算法檢測效果進行仿真分析，仿真軟件選擇Matlab7.0，以漏報率、檢測率、誤報率對檢測結果進行評價，得出的入侵檢測結果如下：該算法的檢測率為93.33%、誤報率為5.14%、漏報率為6.39%，基本滿足應用需求。

4 結語

綜上所述，入侵檢測技術對于網(wǎng)絡安全具有非常重要的作用，必須加強入侵檢測技術的研究，采用相關的措施確保網(wǎng)絡安全，期望通過本文的分析為網(wǎng)絡安全的研究提供一些理論支持。

參考文獻

[1] 王懷峰，高廣耀.網(wǎng)絡入侵檢測研究進展綜述[J].計算機安全，2011（12）：58-61.

[2] 劉鵬，孟炎，吳艷艷.大規(guī)模網(wǎng)絡安全態(tài)勢感知及預測[J].計算機安全，2013（03）：28-35.

[3] 永勝.入侵檢測技術在計算機網(wǎng)絡安全維護中的應用探析[J].信息化建設，2015（11）：19.

Abstract：In recent years， network security has attracted attention from all walks of life. This paper mainly analyses the application process and classification of intrusion detection technology in network security detection. Finally， taking BP neural network algorithm as an example， it analyses the specific application of network security intrusion detection， hoping to provide theoretical support for the development of network security.

Key words：intrusion detection technology； network security； BP neural network algorithm