計算機網(wǎng)絡(luò)安全中的入侵檢測技術(shù)分析與應(yīng)用

文/喬玉萍

（甘肅省電力投資集團有限責任公司，甘肅 蘭州 730046）

互聯(lián)網(wǎng)、信息化技術(shù)的高速發(fā)展，以及計算機網(wǎng)絡(luò)安全空間具有開放性與共享特征，導致網(wǎng)絡(luò)安全攻擊事件不斷增加，各種惡意軟件攻擊事件、勒索事件層出不窮，給企業(yè)、社會造成很大的不良影響以及經(jīng)濟損失。[1]因此，現(xiàn)階段急需研究如何有效防范網(wǎng)絡(luò)攻擊問題。

現(xiàn)階段，國內(nèi)外對網(wǎng)絡(luò)安全防護措施研究的方向，主要分為被動式防護與主動式防護兩種。被動式防護措施的主要代表是防火墻技術(shù)；主動式防護措施的主要代表是入侵檢測技術(shù)，在20世紀80年代提出，從基于主機的發(fā)展，到基于網(wǎng)絡(luò)方面發(fā)展應(yīng)用。現(xiàn)階段，入侵檢測技術(shù)的發(fā)展方向已經(jīng)是混合型、分布式系統(tǒng)等方向發(fā)展。[2]

1.入侵檢測技術(shù)概念分析

入侵檢測技術(shù)是指，實時監(jiān)控與分析計算機與網(wǎng)絡(luò)通信安全狀況，將采集到的數(shù)據(jù)與信息進行識別與分析，檢測網(wǎng)絡(luò)通信中的異常現(xiàn)象，主動進行跟蹤、分析、對比、計算以及響應(yīng)等功能，檢測系統(tǒng)或網(wǎng)絡(luò)中是否存在攻擊痕跡及違反系統(tǒng)網(wǎng)絡(luò)的安全策略行為，及時發(fā)現(xiàn)與預警報告監(jiān)測目標系統(tǒng)中異?，F(xiàn)象或未授權(quán)活動，并對這些攻擊與反常行為進行隔離阻止等處理，充分發(fā)揮網(wǎng)絡(luò)安全的防護作用。入侵檢測軟件與硬件組合，形成了入侵檢測系統(tǒng)，稱為IDS系統(tǒng)。

2.入侵檢測技術(shù)類型分析

2.1 異常入侵檢測技術(shù)

檢測機構(gòu)通過對系統(tǒng)中的異常行為進行實時監(jiān)測，利用參數(shù)數(shù)學模型（該模型包括了深度學習、可視化分析、傳統(tǒng)機器學習以及強化學習等相關(guān)技術(shù)）的高斯隨機變量模型，設(shè)置好單變量范圍值，再將異常行為與正常行為進行對比分析，若發(fā)現(xiàn)該行為的偏離值超過設(shè)置范圍，就會及時發(fā)出預警信息。

2.1.1 模型方式

由于網(wǎng)絡(luò)流量行為具有短期特征與長期特征的特點，其中長期特征具有良好的穩(wěn)定性與規(guī)律性，檢測機構(gòu)利用該特征，就可通過對網(wǎng)絡(luò)流量情況進行實時監(jiān)控、預測與分析，提前發(fā)現(xiàn)異常網(wǎng)絡(luò)流量，及時發(fā)現(xiàn)或識別潛在入侵攻擊事件。異常入侵檢測技術(shù)主要有統(tǒng)計模型方式、數(shù)據(jù)挖掘方式、自相似特征方式以及累積和方法等四種。

（1）統(tǒng)計模型方式。異常入侵檢測利用統(tǒng)計模型方法，使入侵檢測技術(shù)可以學習主體的行為特征，將正常行為某一范圍值外具有統(tǒng)計值偏差較大的行為定義為異常行為。一般使用的統(tǒng)計模型主要有時間序列分析模型、方差模型以及馬爾柯夫過程模型等三種。檢測機構(gòu)通過將流量的預期、方差、統(tǒng)計參數(shù)與統(tǒng)計模型的結(jié)合，然后采用假說檢驗的方式對疑似攻擊行為進行檢測。

（2）數(shù)據(jù)挖掘方式。數(shù)據(jù)挖掘方式是通過在海量的、隨機的以及模糊的數(shù)據(jù)中進行分析計算，從中盡量提取較多的安全信息，然后抽象出有利于進行判別和比較的特征模型。該特征模型可以分為異常檢測行為的描述模型與常量檢測的特征向量模型兩種。檢測機構(gòu)看利用計算機對該模型進行計算分析，判斷當前的特征行為的相關(guān)性質(zhì)?，F(xiàn)階段應(yīng)用的數(shù)據(jù)挖掘算法主要有序列分析、數(shù)據(jù)分類以及關(guān)聯(lián)規(guī)則等三種。目前，數(shù)據(jù)挖掘方式的入侵檢測技術(shù)是通過對不同網(wǎng)絡(luò)應(yīng)用環(huán)境，進行不同的特征模型訓練，靈活應(yīng)用性較差。

（3）自相似特征方式。自相似特征方式是在網(wǎng)絡(luò)線路上的負載，隨著時間的推移與擴展，經(jīng)常性出現(xiàn)自相似的特征模式。檢測機構(gòu)可將自相似特征方式與小波分析方法相結(jié)合，依據(jù)網(wǎng)絡(luò)流量中Hurst參數(shù)的變化檢測，發(fā)現(xiàn)潛在攻擊事件。

（4）累積和方法（CUSUM）。累積和方法是統(tǒng)計過程控制中常用的算法，它可以檢測統(tǒng)計過程中均值的變化，通過使用累積和算法進行基于網(wǎng)絡(luò)流量異常檢測，及時發(fā)現(xiàn)網(wǎng)絡(luò)流量中的異?；驖撛诠?。這種方法相比上述流量入侵檢測方法具有更高的靈活性、實用性，但是由于其自身具有異常值回歸緩慢的問題，導致入侵檢測技術(shù)出現(xiàn)誤報的情況，需要進一步優(yōu)化和改進。

2.1.2 相關(guān)技術(shù)

現(xiàn)階段，異常的入侵檢測技術(shù)領(lǐng)域中擁有眾多的相關(guān)技術(shù)，如基于傳統(tǒng)機器學習的入侵檢測技術(shù)、強化學習的入侵檢測技術(shù)、可視化的入侵檢測技術(shù)以及基于深度學習的入侵檢測技術(shù)。

傳統(tǒng)的機器學習由于需要人工進行選取，同時網(wǎng)絡(luò)中的數(shù)據(jù)如井噴式出現(xiàn)，特征多樣性與數(shù)據(jù)復雜性已經(jīng)超過了傳統(tǒng)機器學習能力，因此無法滿足現(xiàn)階段入侵檢測技術(shù)對網(wǎng)絡(luò)安全防護的需求。

基于深度學習的入侵檢測技術(shù)利用深度學習有效地處理多維度模式的識別問題，主要從生產(chǎn)方式、判別方式以及生成對抗網(wǎng)絡(luò)等三個方面來進行表述。生產(chǎn)方式主要包括自動編碼器、深度玻爾茲曼機、深度信念網(wǎng)絡(luò)、循環(huán)神經(jīng)網(wǎng)絡(luò)等方式。判別方式是采用卷積審計網(wǎng)絡(luò)。生成對抗網(wǎng)絡(luò)是通過生成模型和判別模型的相互比較、相互學習產(chǎn)生高質(zhì)量輸出。

2.2 誤用入侵檢測技術(shù)

誤用入侵檢測技術(shù)通過收集異常操作的行為特征來構(gòu)建相關(guān)特征庫。當被監(jiān)控的用戶或系統(tǒng)行為與庫中的記錄相匹配時，該用戶或行為就會被判定為入侵。所有入侵行為和手段都可以被識別并表示為一種模式（如攻擊簽名），可以使用匹配方法找到入侵。誤用檢測的優(yōu)點是誤報率低、計算量較??；缺點是只能找到已知的攻擊，與未知的攻擊無關(guān)，而且模式庫很難統(tǒng)一定義，簽名庫必須不斷更新。

基于專家系統(tǒng)的入侵檢測方式將安全專家的知識表達為IF-THEN規(guī)則，形成專家知識庫，然后利用推理算法進行入侵檢測。編碼規(guī)則將攻擊的必要條件描述為IF的一部分，當規(guī)則左側(cè)的所有條件都滿足時，將執(zhí)行規(guī)則右側(cè)的動作。入侵檢測的開發(fā)者不需要了解專家系統(tǒng)的內(nèi)部功能和流程，但需要編寫確定規(guī)則引擎和規(guī)則的代碼。字符串匹配是通過假設(shè)入侵對應(yīng)特定的字符序列模式，再對用戶字符模式進行監(jiān)測，然后將該模式與入侵模式進行匹配，檢測匹配項高的行為就會被判定為攻擊行為。條件概率誤用入侵檢測方式屬于概率論范疇，通過對貝葉斯方法進行改進優(yōu)化，需要提前給出先驗概率。檢測機構(gòu)可通過將入侵方式對應(yīng)一個事件序列，再觀測事件的發(fā)生情況，推測入侵事件的發(fā)生概率。

3.結(jié)果分析與應(yīng)用

通過對數(shù)據(jù)來源劃分的入侵檢測技術(shù)一般分為網(wǎng)絡(luò)入侵檢測與主機入侵檢測兩種技術(shù)。網(wǎng)絡(luò)入侵檢測是對網(wǎng)絡(luò)流量進行實時檢測，查看數(shù)據(jù)包信息，檢測這些數(shù)據(jù)包信息是否符合入侵行為。網(wǎng)絡(luò)入侵檢測技術(shù)可以監(jiān)視整個網(wǎng)絡(luò)，無須每臺主機上都安裝對應(yīng)的軟件。但是網(wǎng)絡(luò)入侵檢測技術(shù)無法很好地獲取監(jiān)視系統(tǒng)中的內(nèi)部狀態(tài)信息，無法做到精準的異常檢測工作。

主機入侵檢測技術(shù)是對監(jiān)控的主機系統(tǒng)的日志、文件修改信息、系統(tǒng)狀態(tài)以及相關(guān)活動檢測是否出現(xiàn)異常行為，及時預警。主機入侵檢測技術(shù)能夠在發(fā)送和接收數(shù)據(jù)前，對這些信息數(shù)據(jù)進行掃描，及時發(fā)現(xiàn)數(shù)據(jù)流量中的異常行為，掃除內(nèi)部風險與威脅，但是需要在每臺主機上都安裝對應(yīng)的軟件，并且只能針對有軟件的主機進行檢測。

4.入侵檢測響應(yīng)機制

入侵檢測技術(shù)的檢測響應(yīng)機制主要從系統(tǒng)用戶、操作運行環(huán)境、系統(tǒng)目標以及規(guī)則或法令需求等要素來考慮制定相應(yīng)策略。其中，入侵檢測技術(shù)用戶可以根據(jù)對系統(tǒng)的使用要求、目的、方式等因素，劃分為網(wǎng)絡(luò)安全專家或管理員、系統(tǒng)管理員以及安全調(diào)查員等三種。操作運行環(huán)境是為入侵檢測技術(shù)提供信息以及運行環(huán)境。系統(tǒng)目標是為用戶提供關(guān)鍵數(shù)據(jù)和業(yè)務(wù)的系統(tǒng)。規(guī)則或法令的需求是在某種特定環(huán)境中，允許使用主動防御甚至攻擊技術(shù)來抵抗或攻擊入侵行為。

5.結(jié)語

互聯(lián)網(wǎng)信息化技術(shù)的高速發(fā)展與應(yīng)用，使得計算機網(wǎng)絡(luò)安全面臨巨大的挑戰(zhàn)，為了很好地解決計算機網(wǎng)絡(luò)安全方面的隱患，本文建議采用一種主動的安全防護措施——入侵檢測技術(shù)。該項技術(shù)融合了統(tǒng)計學習、深度化學習、傳統(tǒng)機器學習、強化學習以及可視化分析等技術(shù)，能滿足當前計算機網(wǎng)絡(luò)安全措施需求。入侵檢測技術(shù)雖然能在計算機網(wǎng)絡(luò)安全防護措施中起到關(guān)鍵作用，但隨著相關(guān)技術(shù)的發(fā)展，檢測機構(gòu)需要做好相關(guān)技術(shù)的創(chuàng)新與優(yōu)化，與時俱進，從而更好地應(yīng)對計算機網(wǎng)絡(luò)安全的新挑戰(zhàn)。