熊堯 雍蕊 江蘇第二師范學(xué)院數(shù)學(xué)與信息技術(shù)學(xué)院
目前,企業(yè)信息系統(tǒng)在信息安全建設(shè)方面普遍存在以下問題:
(1)系統(tǒng)防御措施過于老舊。當(dāng)前大多數(shù)企業(yè)的安全防御策略僅依賴防火墻本身,防火墻針對外部的攻擊,雖然提供一定的防御能力,但面對復(fù)雜多變的入侵手段時也會失去防衛(wèi)能力。
(2)系統(tǒng)本身安全漏洞太多。企業(yè)在信息化建設(shè)之初,系統(tǒng)安全策略上往往存在缺陷,從而使攻擊者能夠在未授權(quán)的情況下訪問和破壞系統(tǒng)。
(3)安全防御意識薄弱。當(dāng)前許多企業(yè)在建設(shè)網(wǎng)絡(luò)時缺乏前瞻性,網(wǎng)絡(luò)安全意識薄弱,導(dǎo)致網(wǎng)絡(luò)信息安全建設(shè)不夠完善,當(dāng)網(wǎng)絡(luò)出現(xiàn)攻擊行為或網(wǎng)絡(luò)受到其他一些安全威脅時,無法進(jìn)行實時的檢測、監(jiān)控與警報,缺乏對網(wǎng)絡(luò)的可控性和可審查性等措施。
多標(biāo)記學(xué)習(xí)及多示例學(xué)習(xí)作為機(jī)器學(xué)習(xí)的一個新的領(lǐng)域,它能對多義性復(fù)雜數(shù)據(jù)進(jìn)行深入挖掘,從復(fù)雜多變的攻擊行為中獲取重要信息,能夠適應(yīng)復(fù)雜多變的攻擊形式及攻擊類型,在入侵檢測中具有明顯的優(yōu)勢。如果把多標(biāo)記學(xué)習(xí)及多示例學(xué)習(xí)的方法應(yīng)用到入侵檢測系統(tǒng)中,將會很好地解決以上問題。
本文對基于多標(biāo)記學(xué)習(xí)改進(jìn)算法的企業(yè)信息管理系統(tǒng)進(jìn)行研究,實現(xiàn)企業(yè)入侵檢測系統(tǒng)的實現(xiàn)。
入侵定義為任何試圖危及計算機(jī)資源的完整性、機(jī)密性或可用性的行為。入侵檢測是對入侵行為的發(fā)掘。入侵檢測系統(tǒng)是一種對網(wǎng)絡(luò)傳輸進(jìn)行實時監(jiān)控,在發(fā)現(xiàn)可疑行為時發(fā)出警報并采取主動響應(yīng)的軟件和硬件設(shè)備的組合。
基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)(Network-based Intrusion Detection System,NIDS)一般作為一個獨立的系統(tǒng)去保護(hù)鎖管轄的網(wǎng)絡(luò),它通過使用網(wǎng)絡(luò)原始分組數(shù)據(jù)包作為檢測的數(shù)據(jù)源來實時監(jiān)控并分析所有通過網(wǎng)絡(luò)進(jìn)行傳輸?shù)目梢傻脑L問行為。當(dāng)系統(tǒng)檢測到攻擊行為時,響模塊立即采取對應(yīng)的響應(yīng)措施,例如報警、中斷連接等。
隨著網(wǎng)絡(luò)的不斷發(fā)展,入侵手段及入侵類型變化莫測,入侵?jǐn)?shù)據(jù)復(fù)雜多變并具有多義性,傳統(tǒng)的入侵檢測方法可能無法很好使用,因此入侵檢測技術(shù)正面臨著巨大的挑戰(zhàn)。
多標(biāo)記學(xué)習(xí)是目前機(jī)器學(xué)習(xí)的重要研究方向。其已經(jīng)成為多領(lǐng)域應(yīng)用最為廣泛的算法之一。多標(biāo)記學(xué)習(xí)框架中,一個示例對應(yīng)多個類別標(biāo)記,其性能評價指標(biāo)與傳統(tǒng)監(jiān)督學(xué)習(xí)系統(tǒng)有所不同。傳統(tǒng)的多標(biāo)記算法在輸入空間僅用單一示例表示多義性對象,過度簡化了對象的復(fù)雜內(nèi)涵,導(dǎo)致在表示階段丟失重要信息。改進(jìn)的多標(biāo)記學(xué)習(xí)算法在學(xué)習(xí)性能和分類效果表現(xiàn)良好,同時在面對復(fù)雜多義的入侵?jǐn)?shù)據(jù)時能夠表現(xiàn)出良好的檢測效果,相對于傳統(tǒng)入侵檢測算法具有明顯的優(yōu)勢。
現(xiàn)階段,多標(biāo)記學(xué)習(xí)算法已經(jīng)應(yīng)用到入侵檢測系統(tǒng)中。
基于多標(biāo)記學(xué)習(xí)改進(jìn)算法的企業(yè)入侵檢測模型主要包括數(shù)據(jù)采集單元、數(shù)據(jù)清洗單元及預(yù)處理單元、入侵檢測算法單元和響應(yīng)及處理單元。
數(shù)據(jù)采集單元是整個算法模型的基礎(chǔ),數(shù)據(jù)采集工具是Libpcap/TCPdump;數(shù)據(jù)清洗單元負(fù)責(zé)清洗源數(shù)據(jù),數(shù)據(jù)經(jīng)過數(shù)值化處理之后,必須對數(shù)據(jù)的特征屬性進(jìn)行標(biāo)準(zhǔn)化處理;入侵檢測算法單元入侵檢測算法單元為入侵檢測模型的核心單元,對建立在該模型上的入侵檢測系統(tǒng)檢測的準(zhǔn)確性及可行性起到重要作用。響應(yīng)及處理單元在面對攻擊時會及時作出響應(yīng)。
在設(shè)計好該入侵檢測模型后,需要將基于此入侵檢測系統(tǒng)部署到原有系統(tǒng)中,監(jiān)控并檢測針對企業(yè)的入侵?jǐn)?shù)據(jù)。
針對當(dāng)前入侵檢測的特點及企業(yè)信息系統(tǒng)的網(wǎng)絡(luò)完全現(xiàn)狀及需求,將設(shè)計的入侵檢測模型應(yīng)用到企業(yè)的信息系統(tǒng)中,展示基于改進(jìn)算法的入侵檢測系統(tǒng)的應(yīng)用價值。
基于改進(jìn)算法的入侵檢測模型還處于初始測試階段,在入侵檢測的各個階段還有許多問題需要進(jìn)一步的考慮和研究,在數(shù)據(jù)的抓取,預(yù)處理及特征提取上還存在一些不足,在系統(tǒng)的部署及檢測效果上也存在一些問題,下一步將完善整個入侵檢測系統(tǒng)的過程。相信隨著研究的持續(xù)及推進(jìn),對入侵檢測的研究一定會更加深入全面,多標(biāo)記學(xué)習(xí)算法及多示例學(xué)習(xí)算法在入侵檢測中的應(yīng)用也將會更加廣泛。