企業(yè)入侵檢測系統(tǒng)的研究

熊堯 雍蕊 江蘇第二師范學(xué)院數(shù)學(xué)與信息技術(shù)學(xué)院

1 緒論

目前，企業(yè)信息系統(tǒng)在信息安全建設(shè)方面普遍存在以下問題：

(1）系統(tǒng)防御措施過于老舊。當(dāng)前大多數(shù)企業(yè)的安全防御策略僅依賴防火墻本身，防火墻針對外部的攻擊，雖然提供一定的防御能力，但面對復(fù)雜多變的入侵手段時也會失去防衛(wèi)能力。

(2）系統(tǒng)本身安全漏洞太多。企業(yè)在信息化建設(shè)之初，系統(tǒng)安全策略上往往存在缺陷，從而使攻擊者能夠在未授權(quán)的情況下訪問和破壞系統(tǒng)。

(3）安全防御意識薄弱。當(dāng)前許多企業(yè)在建設(shè)網(wǎng)絡(luò)時缺乏前瞻性，網(wǎng)絡(luò)安全意識薄弱，導(dǎo)致網(wǎng)絡(luò)信息安全建設(shè)不夠完善，當(dāng)網(wǎng)絡(luò)出現(xiàn)攻擊行為或網(wǎng)絡(luò)受到其他一些安全威脅時，無法進(jìn)行實時的檢測、監(jiān)控與警報，缺乏對網(wǎng)絡(luò)的可控性和可審查性等措施。

多標(biāo)記學(xué)習(xí)及多示例學(xué)習(xí)作為機(jī)器學(xué)習(xí)的一個新的領(lǐng)域，它能對多義性復(fù)雜數(shù)據(jù)進(jìn)行深入挖掘，從復(fù)雜多變的攻擊行為中獲取重要信息，能夠適應(yīng)復(fù)雜多變的攻擊形式及攻擊類型，在入侵檢測中具有明顯的優(yōu)勢。如果把多標(biāo)記學(xué)習(xí)及多示例學(xué)習(xí)的方法應(yīng)用到入侵檢測系統(tǒng)中，將會很好地解決以上問題。

本文對基于多標(biāo)記學(xué)習(xí)改進(jìn)算法的企業(yè)信息管理系統(tǒng)進(jìn)行研究，實現(xiàn)企業(yè)入侵檢測系統(tǒng)的實現(xiàn)。

2 多標(biāo)記學(xué)習(xí)改進(jìn)算法的入侵檢測模型介紹

入侵定義為任何試圖危及計算機(jī)資源的完整性、機(jī)密性或可用性的行為。入侵檢測是對入侵行為的發(fā)掘。入侵檢測系統(tǒng)是一種對網(wǎng)絡(luò)傳輸進(jìn)行實時監(jiān)控，在發(fā)現(xiàn)可疑行為時發(fā)出警報并采取主動響應(yīng)的軟件和硬件設(shè)備的組合。

基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)（Network-based Intrusion Detection System，NIDS）一般作為一個獨立的系統(tǒng)去保護(hù)鎖管轄的網(wǎng)絡(luò)，它通過使用網(wǎng)絡(luò)原始分組數(shù)據(jù)包作為檢測的數(shù)據(jù)源來實時監(jiān)控并分析所有通過網(wǎng)絡(luò)進(jìn)行傳輸?shù)目梢傻脑L問行為。當(dāng)系統(tǒng)檢測到攻擊行為時，響模塊立即采取對應(yīng)的響應(yīng)措施，例如報警、中斷連接等。

隨著網(wǎng)絡(luò)的不斷發(fā)展，入侵手段及入侵類型變化莫測，入侵?jǐn)?shù)據(jù)復(fù)雜多變并具有多義性，傳統(tǒng)的入侵檢測方法可能無法很好使用，因此入侵檢測技術(shù)正面臨著巨大的挑戰(zhàn)。

多標(biāo)記學(xué)習(xí)是目前機(jī)器學(xué)習(xí)的重要研究方向。其已經(jīng)成為多領(lǐng)域應(yīng)用最為廣泛的算法之一。多標(biāo)記學(xué)習(xí)框架中，一個示例對應(yīng)多個類別標(biāo)記，其性能評價指標(biāo)與傳統(tǒng)監(jiān)督學(xué)習(xí)系統(tǒng)有所不同。傳統(tǒng)的多標(biāo)記算法在輸入空間僅用單一示例表示多義性對象，過度簡化了對象的復(fù)雜內(nèi)涵，導(dǎo)致在表示階段丟失重要信息。改進(jìn)的多標(biāo)記學(xué)習(xí)算法在學(xué)習(xí)性能和分類效果表現(xiàn)良好，同時在面對復(fù)雜多義的入侵?jǐn)?shù)據(jù)時能夠表現(xiàn)出良好的檢測效果，相對于傳統(tǒng)入侵檢測算法具有明顯的優(yōu)勢。

現(xiàn)階段，多標(biāo)記學(xué)習(xí)算法已經(jīng)應(yīng)用到入侵檢測系統(tǒng)中。

基于多標(biāo)記學(xué)習(xí)改進(jìn)算法的企業(yè)入侵檢測模型主要包括數(shù)據(jù)采集單元、數(shù)據(jù)清洗單元及預(yù)處理單元、入侵檢測算法單元和響應(yīng)及處理單元。

數(shù)據(jù)采集單元是整個算法模型的基礎(chǔ)，數(shù)據(jù)采集工具是Libpcap/TCPdump；數(shù)據(jù)清洗單元負(fù)責(zé)清洗源數(shù)據(jù)，數(shù)據(jù)經(jīng)過數(shù)值化處理之后，必須對數(shù)據(jù)的特征屬性進(jìn)行標(biāo)準(zhǔn)化處理；入侵檢測算法單元入侵檢測算法單元為入侵檢測模型的核心單元，對建立在該模型上的入侵檢測系統(tǒng)檢測的準(zhǔn)確性及可行性起到重要作用。響應(yīng)及處理單元在面對攻擊時會及時作出響應(yīng)。

在設(shè)計好該入侵檢測模型后，需要將基于此入侵檢測系統(tǒng)部署到原有系統(tǒng)中，監(jiān)控并檢測針對企業(yè)的入侵?jǐn)?shù)據(jù)。

3 企業(yè)入侵檢測系統(tǒng)的應(yīng)用

針對當(dāng)前入侵檢測的特點及企業(yè)信息系統(tǒng)的網(wǎng)絡(luò)完全現(xiàn)狀及需求，將設(shè)計的入侵檢測模型應(yīng)用到企業(yè)的信息系統(tǒng)中，展示基于改進(jìn)算法的入侵檢測系統(tǒng)的應(yīng)用價值。

基于改進(jìn)算法的入侵檢測模型還處于初始測試階段，在入侵檢測的各個階段還有許多問題需要進(jìn)一步的考慮和研究，在數(shù)據(jù)的抓取，預(yù)處理及特征提取上還存在一些不足，在系統(tǒng)的部署及檢測效果上也存在一些問題，下一步將完善整個入侵檢測系統(tǒng)的過程。相信隨著研究的持續(xù)及推進(jìn)，對入侵檢測的研究一定會更加深入全面，多標(biāo)記學(xué)習(xí)算法及多示例學(xué)習(xí)算法在入侵檢測中的應(yīng)用也將會更加廣泛。