智能化入侵檢測算法研究綜述

方　向，王麗娜,2，賈　穎

(1.山東工商學(xué)院 計(jì)算機(jī)與科學(xué)技術(shù)學(xué)院，山東 煙臺 264005；

2.西北工業(yè)大學(xué) 管理學(xué)院，陜西 西安 710072)

?

智能化入侵檢測算法研究綜述

方向1，王麗娜1,2，賈穎1

(1.山東工商學(xué)院 計(jì)算機(jī)與科學(xué)技術(shù)學(xué)院，山東 煙臺 264005；

2.西北工業(yè)大學(xué) 管理學(xué)院，陜西 西安 710072)

Foundation Item:Programs for Science and Technology Development,Shandong Province,China (No.2014GGX101044)

摘要：入侵檢測作為網(wǎng)絡(luò)安全的第二道閘門，在網(wǎng)絡(luò)信息安全中具有重要的作用。智能化入侵檢測算法能夠發(fā)現(xiàn)入侵事件及其規(guī)律，已成為業(yè)界關(guān)注的焦點(diǎn)。首先，介紹了入侵檢測的定義和入侵檢測技術(shù)發(fā)展的重要事件；然后，在分別介紹各種智能算法的基礎(chǔ)上，綜述近十年來國內(nèi)外相關(guān)研究成果，對各種智能算法在入侵檢測系統(tǒng)中的優(yōu)勢和局限進(jìn)行了總結(jié)分析；最后，結(jié)合入侵檢測技術(shù)的發(fā)展情況，指出了該領(lǐng)域面臨的挑戰(zhàn)和未來的研究方向。

關(guān)鍵詞：入侵檢測；機(jī)器學(xué)習(xí)；智能算法；技術(shù)集成；移動網(wǎng)絡(luò)

0引言

隨著計(jì)算機(jī)技術(shù)和通訊技術(shù)的迅猛發(fā)展，計(jì)算機(jī)網(wǎng)絡(luò)已經(jīng)成為人們工作、學(xué)習(xí)和生活不可缺少的工具，給人們帶來極大的便利。然而，由于計(jì)算機(jī)網(wǎng)絡(luò)自身具有的開放性、共享性和國際性的特點(diǎn)，計(jì)算機(jī)網(wǎng)絡(luò)安全面臨著巨大的挑戰(zhàn)[1]?？梢院敛豢鋸埖卣f，網(wǎng)絡(luò)信息安全問題已成為制約網(wǎng)絡(luò)發(fā)展的重要因素之一，并且隨著網(wǎng)速的不斷提高、網(wǎng)絡(luò)服務(wù)日趨多元化，該問題變得日益突出和嚴(yán)重[2]。

2015年7月23日，中國互聯(lián)網(wǎng)絡(luò)信息中心(CNNIC)發(fā)布了《第36次中國互聯(lián)網(wǎng)絡(luò)發(fā)展?fàn)顩r統(tǒng)計(jì)報(bào)告》。報(bào)告顯示，截至2015年6月，我國網(wǎng)民規(guī)模達(dá)6.68億，互聯(lián)網(wǎng)普及率為48.8%，較2014年底提升了0.9個百分點(diǎn)。2015年4月30日，國家互聯(lián)網(wǎng)應(yīng)急中心(CNCERT)發(fā)布了《2014年我國互聯(lián)網(wǎng)網(wǎng)絡(luò)安全態(tài)勢報(bào)告》，數(shù)據(jù)顯示，2014年CNCERT通報(bào)的漏洞事件達(dá)9068起，較2013年增長3倍；捕獲惡意程序樣本達(dá)95.1萬余個。與此同時，維護(hù)網(wǎng)絡(luò)安全已列入政府工作報(bào)告，并成立中央網(wǎng)絡(luò)安全和信息化領(lǐng)導(dǎo)小組，習(xí)近平親任組長，體現(xiàn)了中國保障網(wǎng)絡(luò)信息安全、維護(hù)國家利益的堅(jiān)決態(tài)度。

網(wǎng)絡(luò)信息安全是由防護(hù)、檢測、反應(yīng)和恢復(fù)4個層次構(gòu)成的一種綜合防御體系[3]。入侵檢測作為一種主動防御技術(shù)，它彌補(bǔ)了防火墻等傳統(tǒng)安全技術(shù)的不足，當(dāng)之無愧地成為網(wǎng)絡(luò)安全的第二道防線，必然成為網(wǎng)絡(luò)信息安全防御系統(tǒng)的一個重要組成部分。入侵檢測方法及相關(guān)關(guān)鍵技術(shù)研究已成為網(wǎng)絡(luò)信息安全領(lǐng)域的研究的熱點(diǎn)課題[4-6]。

1入侵檢測的定義及發(fā)展歷程

入侵檢測是指通過一定的安全策略，分析從計(jì)算機(jī)網(wǎng)絡(luò)中若干關(guān)鍵節(jié)點(diǎn)采集的信息，從而發(fā)現(xiàn)是否有違反安全策略的行為或網(wǎng)絡(luò)入侵的行為/跡象，識別出正在發(fā)生的入侵企圖或已發(fā)生的入侵活動。

對入侵檢測技術(shù)的研究始于1980年4月，美國人James P. Anderson做的《計(jì)算機(jī)安全威脅監(jiān)控與監(jiān)視》的技術(shù)報(bào)告。在該報(bào)告中，首次提出了入侵及入侵檢測的概念[7]。

1986年，W.T.Tener在IBM主機(jī)上用COBOL開發(fā)了Discovery系統(tǒng)，成為入侵檢測系統(tǒng)(IDS)的鼻祖。同年，Dorothy E. Denning等提出入侵檢測系統(tǒng)抽象模型——入侵檢測專家系統(tǒng)(Intrusion Detection Expert System,IDES)，成為入侵檢測模型的模板(見圖1)[8]。在IDES基礎(chǔ)，Herberlein等于1990年開發(fā)出第一個真正意義上的入侵檢測系統(tǒng)——NSM(Network Security Monitor)。

圖1　IDES入侵檢測模型

1997年，DARPA(美國國防部高級研究計(jì)劃署)于提出了公共入侵檢測框架(Common Intrusion Detection Framework, CIDF)(見圖2)[9]。

1998年，Ross Anderson和Abida Khattak將信息檢索技術(shù)引進(jìn)入侵檢測領(lǐng)域；W.Lee和Stolfo將數(shù)據(jù)挖掘技術(shù)引入到入侵檢測領(lǐng)域。從此，研究者們將各種智能信息處理理論與技術(shù)廣泛應(yīng)用于入侵檢測系統(tǒng)。

圖2　CIDF系統(tǒng)結(jié)構(gòu)

研究者們紛紛提出了各種入侵檢測算法及其優(yōu)化方法，主要包括：貝葉斯分類器、馬爾可夫模型、粗糙集、人工免疫原理、支持向量機(jī)及各種算法相融合的混合智能算法。

李冠廣提出了基于分治理論的貝葉斯網(wǎng)絡(luò)分類器，并將且應(yīng)用于的入侵檢測系統(tǒng)，采用分治思想降低貝葉斯分類器對屬性獨(dú)立性的前提要求[10]。Murthy等提出基于貝葉斯和遺傳算法的混合入侵檢測技術(shù)。首先，用貝葉斯分類器將訓(xùn)練集進(jìn)行分類，然后將其作為初始數(shù)據(jù)集，采用遺傳算法進(jìn)行變異操作，產(chǎn)生新的數(shù)據(jù)集，從而提高入侵檢測的檢測率[11]。

Sperotto等發(fā)現(xiàn)：當(dāng)發(fā)生SSH強(qiáng)力攻擊時，網(wǎng)絡(luò)數(shù)據(jù)包流量會發(fā)生明顯變化，提出了基于隱馬爾可夫模型的SSH強(qiáng)力攻擊網(wǎng)絡(luò)流量的時間序列，成功地模擬了攻擊者的行為，產(chǎn)生有意義的流量時間序列[12]；并進(jìn)一步提出了將隱馬爾可夫模型應(yīng)用于SSH強(qiáng)力攻擊的入侵檢測方法[13]。

Thomas C. 等提出基于數(shù)據(jù)的決策模型，該模型具有更強(qiáng)的適應(yīng)性，并且提高了整體檢測率，降低了誤報(bào)率[14]。

谷雨等提出了一種基于免疫多樣性的分布式入侵檢測方法，采用隨機(jī)子空間方法生成多樣化的SVM個體，再用人工免疫算法進(jìn)化個體，引入Q統(tǒng)計(jì)量和互信息作為抗體多樣性的度量，最后用集成的思想將種群中各檢測器的結(jié)論進(jìn)行合成。該方法檢測精度高于單個SVM和Bagging方法，并提高了檢測系統(tǒng)的健壯性[15]。Chitrakar R和Huang C提出半劃分選擇策略和保留那些在后續(xù)的增量SVM中可能成為支持向量的非支持向量——候選支持(CSV)，并設(shè)計(jì)了一種用于增量SVM的候選支持向量算法，實(shí)驗(yàn)結(jié)果和性能分析表明在實(shí)時網(wǎng)絡(luò)入侵檢測方面，其優(yōu)于傳統(tǒng)的SVM分類[16]。井小沛在網(wǎng)絡(luò)入侵檢測中引入了偽一致性變換函數(shù)，修正以黎曼幾何為基礎(chǔ)的核函數(shù)，解決了由于數(shù)據(jù)集合不平衡導(dǎo)致的SVM分類出現(xiàn)偏移[17]。Kelton A.P. Costa等用自然啟發(fā)式算法優(yōu)化最佳路徑森林算法(OPFC)，有效地提高了入侵檢測系統(tǒng)的速度[18]。

目前，對入侵檢測智能算法的研究主要集中：降低入侵檢測算法的時間復(fù)雜度和空間復(fù)雜度，提高入侵檢測速度減少入侵檢測空間；提高入侵檢測率，降低誤報(bào)率和漏報(bào)率；提高系統(tǒng)的自適應(yīng)能力。引入多技術(shù)，并將其進(jìn)行有機(jī)融合，形成優(yōu)勢互補(bǔ)，將入侵檢測系統(tǒng)與其它的網(wǎng)絡(luò)安全系統(tǒng)相結(jié)合，共同形成安全防護(hù)體系，提高網(wǎng)絡(luò)的安全性。與外，隨著云計(jì)算、物聯(lián)網(wǎng)的發(fā)展，新環(huán)境下的入侵檢測智能算法也是該領(lǐng)域的研究熱點(diǎn)。

2智能化入侵檢測算法

目前，根據(jù)攻擊類型可以交IDS分為3類：誤用檢測(Misuse detection)、異常檢測(anomaly detection)和符號檢測[19]。

誤用檢測：收集總結(jié)非正常行為或系統(tǒng)漏洞的特征并建立相應(yīng)的特征庫，當(dāng)檢測到用戶或系統(tǒng)的當(dāng)前行為與特征庫相匹配時，則將該行為認(rèn)定為入侵行為。異常檢測：收集總結(jié)正常行為應(yīng)具有的特征，并建立參考模型，當(dāng)檢測到用戶或系統(tǒng)的當(dāng)前行為與參考模型有較大偏離時，則將該行為認(rèn)定為入侵行為[20]。符號檢測：通過手工輸入的方式設(shè)置攻擊行為的特征或正常行為的特征。

實(shí)踐中，眾多學(xué)者常將多種檢測方法相結(jié)合，稱為混合檢測；在設(shè)計(jì)檢測算法時也常將兩種或多種智能算法相結(jié)合，以實(shí)現(xiàn)對入侵行為的更優(yōu)檢測。

2.1決策樹和隨機(jī)森林

1998年，W. Lee將數(shù)據(jù)挖掘技術(shù)引入入侵檢測領(lǐng)域時，使用的就是決策樹算法將入侵檢測問題轉(zhuǎn)化為審計(jì)數(shù)據(jù)的分類問題，決策樹是最早應(yīng)用于入侵檢測領(lǐng)域，具有代表性的誤用檢測技術(shù)[21]。

決策樹(Decision Tree,DT)，是一種有向無環(huán)的樹型結(jié)構(gòu)，作為預(yù)測模型，它表示對象屬性與對象值之間的一種映射關(guān)系。J.R.Quinlan于1986年提出了只能處理離散數(shù)據(jù)的決策樹算法ID3，在1993年又提出了ID3的改進(jìn)算法C4.5，該算法能夠處理連續(xù)類型的屬性。決策樹是通過輸入大量的類別訓(xùn)練樣本，最終生成一棵輸出決策樹。將其應(yīng)用于入侵檢測時，決策樹中的每一條從根結(jié)點(diǎn)到葉子結(jié)點(diǎn)的通路都對應(yīng)一條檢測規(guī)則。

利用決策樹進(jìn)行入侵檢測時，僅需對入侵情況進(jìn)行檢測，正常行為的枝可以剪去。由于入侵行為的判斷只需進(jìn)行簡單的數(shù)據(jù)對比，并且在處理以離散型居多的入侵?jǐn)?shù)據(jù)屬性時還可以省去數(shù)據(jù)的離散化過程，因此，基于決策樹的入侵檢測算法學(xué)習(xí)能力強(qiáng)，速度快，訓(xùn)練結(jié)果直觀易懂；缺點(diǎn)在于對訓(xùn)練數(shù)據(jù)的依賴程度高，且大量的相似數(shù)據(jù)訓(xùn)練時會出現(xiàn)過擬合現(xiàn)象。

2.2人工神經(jīng)網(wǎng)絡(luò)

人工神經(jīng)網(wǎng)絡(luò)(Artificial Neural Networks, ANN)是在對人腦神經(jīng)網(wǎng)絡(luò)認(rèn)識的基礎(chǔ)上，用數(shù)理的方法，從信息處理角度對人腦神經(jīng)元進(jìn)行抽象，建立某種簡化模型，并將這些神經(jīng)元模型廣泛地相互連接而組成的復(fù)雜網(wǎng)絡(luò)系統(tǒng)[22]。1943年，心理學(xué)家W.S.McCulloch和數(shù)理邏輯學(xué)家W.H.Pitts最先提出了一個簡化的神經(jīng)元數(shù)學(xué)模型(MP模型)，如圖3所示[23]。神經(jīng)元模型作為ANN的基本組成單元，由輸入層、隱層和輸出層三部分構(gòu)成。

圖3　神經(jīng)元數(shù)學(xué)模型

其中θj為闕值，wij為神經(jīng)元i到j(luò)的連接權(quán)重。f( )稱為激勵函數(shù)或傳遞函數(shù)。

ANN因其具有的獨(dú)特模型結(jié)構(gòu)、非線性模擬能力、超強(qiáng)的學(xué)習(xí)和自適應(yīng)能力，在入侵檢測系統(tǒng)中得到廣泛應(yīng)用。先用一系列典型的用戶活動和對應(yīng)的輸出結(jié)果訓(xùn)練人工神經(jīng)網(wǎng)絡(luò)，網(wǎng)絡(luò)通過自學(xué)習(xí)，建立正常行為模式和入侵行為模式；再輸入用戶的行為特征時，就能夠進(jìn)行相應(yīng)分類。將ANN應(yīng)用于入侵檢測領(lǐng)域能提高檢測率，減少誤報(bào)率；但存在泛化能力不強(qiáng)；由于計(jì)算量過大而導(dǎo)致訓(xùn)練時間過長的不足。近年來，有些學(xué)者嘗試使用LVQ(學(xué)習(xí)向量量化Learning Vector Quantization)神經(jīng)網(wǎng)絡(luò)，首先針對某種入侵模式構(gòu)建具有單一識別能力的簡單小網(wǎng)絡(luò)，再將這些小網(wǎng)絡(luò)聯(lián)合構(gòu)建為功能強(qiáng)大的網(wǎng)絡(luò)，這樣在更改或加入新的入侵模式時，只需對網(wǎng)絡(luò)進(jìn)行局部訓(xùn)練調(diào)整。從而提高了訓(xùn)練速度[24]。

2.3貝葉斯網(wǎng)絡(luò)

貝葉斯網(wǎng)絡(luò)分類器(Naive Bayes,NB)是利用概率統(tǒng)計(jì)知識進(jìn)行分類的一類算法，核心思想是利用先驗(yàn)概率估計(jì)后驗(yàn)概率，屬于無監(jiān)督的機(jī)器學(xué)習(xí)[25]。

將網(wǎng)絡(luò)結(jié)點(diǎn)間的鏈接概率用一個有向無環(huán)圖的形式表達(dá)出來就是貝葉斯網(wǎng)絡(luò)，在圖中結(jié)點(diǎn)代表隨機(jī)變量，弧表示父結(jié)點(diǎn)與子結(jié)點(diǎn)之間的依賴關(guān)系，并用條件概率集表達(dá)聯(lián)接的概率分布，這樣結(jié)點(diǎn)間隱含的因果關(guān)系就簡潔有效地表達(dá)出來了[26]。

基于貝葉斯網(wǎng)絡(luò)的檢測方法，入侵的每個步驟在網(wǎng)絡(luò)中表示為結(jié)點(diǎn)；入侵步驟之間的關(guān)系表示為??；各單步入侵間的關(guān)系量化為條件概率分布集，具體的值可以通過對網(wǎng)絡(luò)進(jìn)行訓(xùn)練得到[10]。由于貝葉斯網(wǎng)絡(luò)考慮數(shù)據(jù)集的先驗(yàn)概率和樣本的整體性，因而能夠進(jìn)行定量分析，有效地避免了過擬合現(xiàn)象；還能識別出新的未知的入侵行為，在訓(xùn)練特征正確的前提下，能夠保障檢測的穩(wěn)定性。缺點(diǎn)是:要求各個屬性為獨(dú)立隨機(jī)變量；在實(shí)際應(yīng)用時，并不能保證訓(xùn)練的數(shù)據(jù)的純凈，從而影響了檢測的性能。貝葉斯網(wǎng)絡(luò)算法已經(jīng)非常成熟，很多學(xué)者將其進(jìn)行改進(jìn)，主要集中在對參數(shù)的調(diào)控[27]和緩解算法對屬性獨(dú)立性的要求[28]。

2.4支持向量機(jī)

支持向量機(jī)(Support Vector Machine, SVM)是Vapnik等在多年研究統(tǒng)計(jì)學(xué)習(xí)理論的基礎(chǔ)上，于20世紀(jì)90年代初提出的一種分類器。針對線性可分情況進(jìn)行分析；對于線性不可分情況，通過特征映射函數(shù)φ(Xi):Rn→H將其從低維輸入空間Rn轉(zhuǎn)化到高維特征空間H，使其線性可分，從而在H空間采用線性算法對非線性特征進(jìn)行線性分析。它的決策過程只依賴于H空間中向量內(nèi)積的運(yùn)算，即核函數(shù)K(xi,xj)，分類決策函數(shù)可以表示為：

SVM是建立在統(tǒng)計(jì)學(xué)習(xí)理論的VC維理論和結(jié)構(gòu)風(fēng)險(xiǎn)最小化基礎(chǔ)上的，因此能根據(jù)少量的樣本、通過選取合適的核函數(shù)解決維數(shù)問題。SVM應(yīng)用在入侵檢測中訓(xùn)練速度快，在有未知的攻擊行為時仍能保證較高的檢測度，并能與其它方法通過核函數(shù)進(jìn)行融合改進(jìn)；缺點(diǎn)在于：建模時，存在核函數(shù)難以選取的問題，算法的高度復(fù)雜性決定了其對內(nèi)存的需求較大，在大的數(shù)據(jù)集上運(yùn)行速度較慢[29]。目前對SVM的研究主要集中在：核函數(shù)的選取、參數(shù)的調(diào)整、加權(quán)SVM算法、雙或多SVM算法、混合策略的檢測。

2.5極限學(xué)習(xí)機(jī)

2004年，南洋理工大學(xué)黃廣斌(Huang G.B)等提出了泛化的單隱層前饋神經(jīng)網(wǎng)絡(luò)，將SVM作為神經(jīng)網(wǎng)絡(luò)，把神經(jīng)網(wǎng)絡(luò)的輸入層到最后一層隱含層的部分或者SVM核函數(shù)映射的部分都看成了從輸入空間到一個新的空間的轉(zhuǎn)換，神經(jīng)網(wǎng)絡(luò)將誤差反向傳播更新權(quán)值使得誤差最小化，而SVM則力求找到最大分界間隔的分界面，將新空間映射到輸出空間，也就是極限學(xué)習(xí)機(jī)(Extreme Learning Machine， ELM)算法[30]。

ELM作為一個性能優(yōu)良的分類器，在大規(guī)模多層次學(xué)習(xí)問題上具有訓(xùn)練時間短，訓(xùn)練參數(shù)少的優(yōu)勢。將其應(yīng)用到大規(guī)模網(wǎng)絡(luò)入侵檢測系統(tǒng)中，由于其有效性和擴(kuò)展性，降低了計(jì)算復(fù)雜度；具有良好的泛化能力和較快的速度；極限學(xué)習(xí)機(jī)在保證分類準(zhǔn)確率的前提下，對空間和時間的消耗遠(yuǎn)遠(yuǎn)低于支持向量機(jī)算法[31]；也存在內(nèi)外權(quán)值的優(yōu)化和核函數(shù)的選取等問題。

2.6其它

被用到的人工智能算法還有遺傳算法(GA)、粒子群算法(PSO)、蟻群優(yōu)化(ACO)、人工免疫算法、危險(xiǎn)理論算法、相關(guān)規(guī)則、差分進(jìn)化算法、K近鄰等等。鑒于篇幅所限，在此不贅述。

選取了這一時期的某些研究成果，見表1[36]。

表1　各智能算法的檢測率比較

2.7智能優(yōu)化的混合算法

大批學(xué)者在實(shí)際應(yīng)用研究中發(fā)現(xiàn)：單一的智能算法作用有限；如果采用一種算法為主體，另一種智能算法的思想對其進(jìn)行優(yōu)化，效果更好。上世紀(jì)70年代初，學(xué)者開始嘗試將多種智能算法相結(jié)合，取長補(bǔ)短得到更優(yōu)的參數(shù)[32]。這一多算法相結(jié)合的思想也很快被應(yīng)用于網(wǎng)絡(luò)入侵檢測領(lǐng)域，我們對近十年來的相關(guān)研究進(jìn)行了歸納，見表2；在2005年之前的研究成果請參考文獻(xiàn)[3]。

表2　多算法融合比較

這些算法中，ANN和SVM是最受歡迎的主體算法，常用的融合算法有遺傳算法、模糊邏輯、決策樹等。在入侵檢測系統(tǒng)中，合理利用樣本信息并通過合適的智能優(yōu)化混合算法，可以大大提高入侵檢測系統(tǒng)的預(yù)測精度，降低誤報(bào)率，提高入侵檢測的速度，在得到良好檢測效果的同時，提升系統(tǒng)的穩(wěn)定性和可靠性?？梢?，結(jié)合或整合兩種不同的智能算法構(gòu)建分類器，以提高入侵檢測系統(tǒng)的性能是未來的研究趨勢和研究熱點(diǎn)。

3未來工作

入侵檢測系統(tǒng)作為網(wǎng)絡(luò)安全多層防護(hù)體系的重要組成部分之一，引起了工業(yè)界和學(xué)術(shù)界的廣泛關(guān)注。本文對入侵檢測系統(tǒng)的智能化算法相關(guān)工作進(jìn)行了總結(jié)和分析?？傮w來看，現(xiàn)有入侵檢測系統(tǒng)性能已較前有大幅度的提升，但在提高速度，提高檢測準(zhǔn)確率、降低誤報(bào)率和漏報(bào)率、提高自適應(yīng)性、加強(qiáng)分布性等方面仍有許多有意義的問題值得研究，歸納如下：

3.1提高運(yùn)行效率

隨著千兆以太網(wǎng)的大范圍應(yīng)用，網(wǎng)絡(luò)用戶和網(wǎng)絡(luò)資源的持續(xù)快速增長，網(wǎng)絡(luò)流量急劇增加，IDS要解決海量數(shù)據(jù)包的捕獲識別問題；同時，高速的網(wǎng)絡(luò)環(huán)境又要求入侵檢測執(zhí)行時間必須大幅縮減。

目前，主要通過在數(shù)據(jù)的預(yù)處理將數(shù)據(jù)轉(zhuǎn)提純轉(zhuǎn)換或采用降維的方法，減少訓(xùn)練集中樣本的特征維數(shù)，保留本質(zhì)的核心特征，減少一些不必要的特征；在訓(xùn)練階段，用各種構(gòu)造函數(shù)替代原始數(shù)據(jù)集中的樣七數(shù)據(jù)，如用概率分布核函數(shù)或通過分布系統(tǒng)均衡負(fù)載。

將原始數(shù)據(jù)的特征進(jìn)行融合，關(guān)聯(lián)特征或者冗余特征的處理，尋找更為可行的特征提取方法；尋用更為科學(xué)有效的函數(shù)替代原始數(shù)據(jù)集；分布式網(wǎng)絡(luò)系統(tǒng)中如何建構(gòu)結(jié)點(diǎn)及負(fù)載均衡等等都是未來的提高運(yùn)行效率的途徑。

3.2安全技術(shù)的集成

入侵檢測系統(tǒng)作為網(wǎng)絡(luò)安全防護(hù)體系中的一員，必須與防火墻、加密技術(shù)、安全認(rèn)證、殺毒軟件以及防病毒系統(tǒng)等實(shí)現(xiàn)動態(tài)聯(lián)動，形成一個綜合的立體式縱深防御體系。

對于入侵檢測系統(tǒng)，也要引入各學(xué)科新的思想、實(shí)現(xiàn)多種智能算法的交叉融合，形成優(yōu)勢互補(bǔ)的有機(jī)智能檢測系統(tǒng)。當(dāng)前物理學(xué)、生物學(xué)、心理學(xué)新的理論和新的技術(shù)，如數(shù)據(jù)挖掘、人工智能、機(jī)器學(xué)習(xí)和深度學(xué)習(xí)等的借鑒和使用。

目前，美國Secure Decisions公司的安全決策系統(tǒng)產(chǎn)品，集成了入侵檢測系統(tǒng)、防火墻、掃描器等功能，并能可視化處理報(bào)警數(shù)據(jù)。但從國家安全角度考慮和受美國出口政策的影響，國外的安全系統(tǒng)并不能解決我國的實(shí)際問題，因此，網(wǎng)絡(luò)安全防護(hù)體系的聯(lián)動問題仍然是我國廣大專家學(xué)者必須面對和解決的緊迫問題[41]。

3.3檢測算法評價數(shù)據(jù)集

目前，很多智能檢測算法的評價都是直接使用現(xiàn)有的KDD CUP 99數(shù)據(jù)集和 DARPA2000進(jìn)行測試。雖然這兩個數(shù)據(jù)集是入侵檢測領(lǐng)域的經(jīng)典數(shù)據(jù)集，但它們使用的時間較長，且都在后期進(jìn)行了人工處理，與現(xiàn)在的網(wǎng)絡(luò)安全實(shí)際環(huán)境，存在越來越大的差異。已有許多研究者對其檢測的可信度提出質(zhì)疑。

因此尋找更為合適的數(shù)據(jù)集進(jìn)行智能算法的模擬和評測是非常緊迫和重要的工作。

3.4適應(yīng)新環(huán)境的入侵檢測算法

近年來，智能移動終端、物連網(wǎng)、云計(jì)算機(jī)等等的迅猛發(fā)展。然而在新環(huán)境下入侵檢測算法的研究卻遠(yuǎn)遠(yuǎn)落后于需求，在云計(jì)算方面的入侵檢測平臺非常罕見。因此，如何利用當(dāng)前的多核處理器與分布式處理技術(shù)，云計(jì)算技術(shù)實(shí)現(xiàn)對于入侵攻擊的檢測，已成為業(yè)界亟待解決的問題之一。

4結(jié)語

本文回顧了各種智能化入侵檢測算法的研究成果，給出了各種算法的基本概念與基本模型，著重展示了近十年來智能化優(yōu)化的混合算法在網(wǎng)絡(luò)入侵檢測系統(tǒng)中的應(yīng)用。并在此基礎(chǔ)上，討論了智能化入侵檢測算法的未來發(fā)展趨勢。

35年來，盡管入侵檢測系統(tǒng)一直受到“花瓶”的詬病，但研究者們從未放棄對入侵檢測技術(shù)的研究。隨著網(wǎng)絡(luò)環(huán)境的不斷變化，新的攻擊技術(shù)和攻擊手段不斷涌現(xiàn)，對入侵檢測系統(tǒng)提出更高的要求，如：檢測的效率、檢測的準(zhǔn)確率、分布式檢測、大數(shù)據(jù)挖掘、攻擊意圖的識別、專業(yè)領(lǐng)域的入侵檢測系統(tǒng)以及入侵檢測系統(tǒng)自身的實(shí)時性、安全性等等。這些問題的解決在很大程度上依賴于智能化入侵檢測算法的研究，將智能算法應(yīng)用于入侵檢測系統(tǒng)在未來會有更大的發(fā)展。

參考文獻(xiàn)：

[1]劉遠(yuǎn)生 辛一.計(jì)算機(jī)網(wǎng)絡(luò)安全[M].北京：清華大學(xué)出版社2009.

LIU Yuan-sheng, XIN Yi. Computer Network Security [M]. Beijing: Tsinghua University Press, 2009.

[2]LI W, XIANG D. Information-Theoretic Measures for Anomaly Detection: Proceedings of the 2001 IEEE Symposium on Security and Privacy[C]. May, 2001:130-143.

[3]卿斯?jié)h,蔣建春,馬恒太,文偉平,劉雪飛.入侵檢測技術(shù)研究綜述[J]. 通信學(xué)報(bào),2004,25(7):19-29.

QING Si-han, JIANG Jian-chun, MA Heng-tai, WEN Wei-ping, LIU Xue-fei. Research on Intrusion Detection Technology :a Survey[J]. Journal of China Institute of Communications, 2004, 25 (7) : 19- 29.

[4]Kumar S. Classification and Detection of Computer Intrusions[D]. Dissertation, Purdue University,1995.

[5]Lippman R, Haines J W, et al.Analysis and Results of the 1999 DARPA Off-Line Intrusion Detection Evaluation: Proceedings of the 3rdInternational Workshop on Recent Advances in Intrusion Detection[C], 2000:162-182.

[6]Dhurjati D, Bollineni P. A Fast Automaton-based Method for Detecting Anomalous Program Behaviors: Proceedings of the 2001 IEEE Symposium on Security and Privacy[C]. Oakland, California.2001:144-155.

[7]Anderson J P. Computer Security Threat Monitoring and Surveillance[R]. James P Anderson Co, Fort Washington, Pennsylvania,1980.

[8]Dorothy E. Denning. An Intrusion Detection Model[J].IEEE transaction on software engineering,1987,13(2):222-233.

[9]CHEN S, TANG B, Schnackenberg D. The Common Intrusion Detection Framework-Data Formats[R]. Internet Draft Draft-ietf-cidf-data-formats-00.txt,1998.

[10]李冠廣.基于貝葉網(wǎng)絡(luò)的入侵檢測[D].大連：大連理工,2010.

LI Guan-guang. Intrusion Detection based on Bayesian Network[D].Dalian:Dalian Institute of Technology,2010.

[11]Murthy Y V S, Harish K, Varma D K V, et al.Hybrid Intelligent Intrusion Detection System using Bayesian and Genetic Algorithm (BAGA): Comparitive Study[J]. International Journal of Computer Applications, 2014, 99(2): 1-8.

[12]Sperotto A, Sadre R. Hidden Markov Model Modeling of SSH Brute-Force Attacks[J].Integrated Management of Systems, Services, Processes and People in IT Lecture Notes in Computer Science 2009,5841:164-176.

[13]Sperotto A, Sadre R, and Pras A. Anomaly Characterization in Flow-based Traffic Time Series [C]. In Proc. of the 8th IEEE Int Workshop on IP Operations and Management, 2008, 15-27.

[14]Thomas, C (reprint author),Coll Engn, Trivandrum, Kerala, India. Improving Intrusion Detection for Imbalanced Network Traffic[J]. Security and Communication Networks, 2013, 6(3):309-324.

[15]谷雨,趙佳樞,張?zhí)燔?基于免疫多樣性的分布式入侵檢測算法[J].西安交通大學(xué)學(xué)報(bào) 2006,40(10): 1052-1057.

GU Yu, ZHAO Jia-shu, ZHANG Tian-jun. Distributed Intrusion Detection Algorithm based on Immune Diversity [J]. Journal of Xi 'an Jiaotong University 2006,40(10): 1052-1057.

[16]Chitrakar R, Huang C. Selection of Candidate Support Vectors in Incremental SVM for Network Intrusion Detection[J]. Computers & Security,2014,45:231-241.

[17]井小沛,汪厚祥,轟凱.基于修正核函數(shù)SVM的網(wǎng)絡(luò)入侵檢測[J]. 系統(tǒng)工程與電子技術(shù).2012,34(5): 1036-1040.

JING Xiao-pei, WANG Hou-xiang , HONG Kai. Network Intrusion Detection based on the Modified Kernel Function SVM [J].Journal of Systems Engineering and Electronics.2012,(5): 1036-1040.

[18]Kelton A P, Costaa, Luis A M Pereirab, Rodrigo Y M, et al. A Nature-Inspired Approach to Speed up Optimum-Path Forest Clustering and Its Application to Intrusion Detection in Computer Networks. Information Sciences, Volume 294, 10 February 2015, Pages 95-108.

[19]周奇,基于移動代理WSN分布入侵檢測研究[J].通信技術(shù),2012,45(04):34-37.

ZHOU Qi. Mobile Agent-based Distributed Intrusion Detection System for Wireless Sensor Network[J]. Communications Technology ,2012,45(04):34-37.

[20]Animesh Patcha, Jung-Min Park. An Overview of Anomaly Detection Techniques: Existing Solutions and Latest Technological Trends[J]. Computer Networks, 2007, 51(12):3448-3470.

[21]Kruegel C, Mutz D, Robertson W, et al. Recent Advances in Intrusion Detection: RAID 2003:6thInternational Symposium. Pittsburgh[C]. PA, USA, 2003: 17-35.

[22]蔣宗禮.人工神經(jīng)網(wǎng)絡(luò)導(dǎo)論[M]. 北京：高等教育出版社2001.

JAING Zong-li. Introduction to Artificial Neural Network [M]. Beijing: Higher Education Press, 2001.

[23]McCulloch W S, Pitts W H. A Logical Calculus of the Ideas Immanent in Nervous Activity[J]. Bulletin of Mathematical Biophysics, 1990,52(1):99-115.

[24]賈鐵軍,劉泓漫.基于MA及LVQ神經(jīng)網(wǎng)絡(luò)的智能NIPS模型與實(shí)現(xiàn)[J].小型微型計(jì)算機(jī)系統(tǒng),2012,33(8):1836-1840.

JIA Tie-jun, LIU Hong-man. Intelligent NIPS Model and Implementation based on MA and LVQ Neural Network, Journal of Chinese Computer System ,2012,33(8):1836-1840.

[25]韋來生,張偉平.貝葉斯分析[M].合肥:中國科學(xué)技術(shù)大學(xué)出版社,2013.

WEI Lai-sheng, ZHANG Wei-ping. Bayesian Analysis[M]. Hefei: Press of University of Science and Technology of China, 2013.

[26]肖秦琨,高嵩,高曉光.動態(tài)貝葉斯網(wǎng)絡(luò)推理學(xué)習(xí)理論及應(yīng)用[M]. 北京：國防工業(yè)出版社,2014.

XIAO Qin-kun,GAO Song,GAO Xiao-guang. Dynamic Bayesian Network Inference Learning Theory and Application[M].Beijing: National Defence Industry Press,2014.

[27]王輝,陳泓予,劉淑芬.基于改進(jìn)樸素貝葉斯算法的入侵檢測系統(tǒng)[J].計(jì)算機(jī)科學(xué),2014,41(4):111-115,119.

WANG Hui, CHEN Hong-yu, LIU Shu-fen. Istrusion Detection System based on Improved Naive Bayesian Algorithm[J].Computer Science, 2014,41(4):111-115,119.

[28]姚武軍,魏彬.基于貝葉斯樹和集成學(xué)習(xí)的異常檢測[J].武漢大學(xué)學(xué)報(bào):理學(xué)版,2014,60(6):497-500.

YAO Wu-jun, WEI Bin. Anomaly Detection based on Bayesian Tree Algorithm and intergrated Learning, J.Wuhan Univ. 2014,60(6):497-500.

[29]連一嶺,戴英俠,干航.基于模式挖掘的用戶行為異常檢測[J].計(jì)算機(jī)學(xué)報(bào),2002, 25(3): 325-330.

LIAN Yi-ling, DAI Ying-xia, GAN Hang. User Behavior Anomaly Detection based on Pattern Mining Chinese Journal of Computers, 2002, 25(3): 325-330.

[30]HUANG G B, ZHU Q Y, Siew C K. Extreme Learning Machine: A New Learning Scheme of Feedforward Neural Networks[C]. Proceeding of the International Joint Conference on Neural Networks, Piscataway, N. J.: IEEE Press, 2004.

[31]李新磊. 改進(jìn)布谷鳥算法優(yōu)化極限學(xué)習(xí)機(jī)的網(wǎng)絡(luò)入侵檢測[J]. 激光雜志, 2015,36(1):105-108.

LI Xin-lei. Network Intrusion Detection based on Modified Cuckoo Search Algorithm Optimizing Extreme Learning Machine[J]. Laser Journal, 2015,36(1):105-108.

[32]汪定偉,王俊偉.智能優(yōu)化方法[M].北京:高等教育出版社,2007.

WANG Ding-wei, WANG Jun-wei. Intelligent Optimization Method[M]. Beijing:Higher Education Press,2001.

[33]解男男.機(jī)器學(xué)習(xí)方法在入侵檢測中的應(yīng)用研究[D].長春：吉林大學(xué),2015.

XIE Nan-nan. Application Research on Instrusion Detection based on Machine Learning. Changchun: Jilin University,2015.

[34]Elhag S, Fernández A, Bawakid A, et al. On the Combination of Genetic Fuzzy Systems and Pairwise Learning for Improving Detection Rates on Intrusion Detection Systems[J]. Expert Systems with Applications, 2015, 42:193-202.

[35]Fossaceca J M, Mazzuchi T A, Sarkani S. MARK-ELM: Application of a Novel Multiple Kernel Learning Framework for Improving the Robustness of Network Intrusion Detection[J].Expert Systems with Applications , 2015, 42:4062-4080.

[36]FENG W, ZHANG Q, HU G, et al. Mining Network Data for Intrusion Detection through Combining SVMs with ant Colony Networks[J]. Future Generation Computer Systems, 2014, 37(7):127-140.

[37]周星,彭勤科,王靜波.基于兩層隱馬爾可夫模型的入侵檢測方法[J].計(jì)算機(jī)應(yīng)用研究 2008,25(03)：911-914.

ZHOU Xing, PENG Qin-ke, WANG Jing-bo. Intrusion Detection Method based on Two Layer HMM[J]. Computer Application2008, 25(03): 911-914.

[38]WANG G., HAO J, MA J, HUANG L, A New Approach to Intrusion Detection using Artificial Neural Networks and Fuzzy Clustering[J]. Expert Systems with Applications,2010,37(9): 6225-6232.

[39]Tajbakhsh A, Rahmati M, Mirzaei A, Intrusion Detection using Fuzzy Association Rules[J]. Applied Soft Computing 2009, 9(9):462-469.

[40]Khan L, Awad M, Thuraisingham B. A New Intrusion Detection System Using Support Vector Machines And Hierarchical Clustering[J]. Vldb Journal — the International Journal on Very Large Data Bases, 2007, 16(4):507-521.

[41]劉密霞.網(wǎng)絡(luò)安全態(tài)勢分析與可生存性評估研究[D].蘭州：蘭州理工大學(xué)，2011.

LIU Mi-xia.Status Analysis of Network Security and Its Survivability Evaluation[D].Lanzhou:Lanzhou University of Technology,2011.

方向(1978—)，女，碩士，副教授，主要研究方向?yàn)橹悄苄畔⑻幚?、網(wǎng)絡(luò)與信息安全；

王麗娜(1980-)，女，博士，講師，主要研究方向?yàn)橹悄苄畔⑻幚恚?/p>

賈穎(1979-),女,博士,講師,主要研究方向?yàn)榫W(wǎng)絡(luò)安全與數(shù)據(jù)處理。

Detection Algorithm for Intelligent Intrusion

FANG Xiang1，WANG Li-na1,2,JIA Ying1

(1.School of Computer Science and Technology,Shandong Institute of Business and Technology,Yantai Shandong 264005,China;

2.School of Computer Science, Northwestern Polytechnical University,Xi’an Shaanxi 710072, China)

Abstract：Intrusion detection, as the second gate of network security, plays an important role in network information security. Detection algorithm for intelligent intrusion could discover intrusion event and its regularity, and thus attracts much attention from the industry. Firstly, the definition of intrusion detection and the most important events in the technical development are described, and then based on the respective introduction of different intelligent algorithms, the related research achievement, over the past decade are overviewed, the advantages and limitations of each intelligent algorithm in detection system also summarized and analyzed, and finally the remaining challenges and future trends in this area are pointed out in combination with the technical development of intrusion detection.

Key words：IDS; machine learning; intelligent algorithms; technology integration; mobile network

作者簡介：

中圖分類號：TP393.08

文獻(xiàn)標(biāo)志碼：A

文章編號：1002-0802(2015)12-1321-08

基金項(xiàng)目：山東省科技發(fā)展計(jì)劃項(xiàng)目(No.2014GGX101044)

收稿日期：2015-07-14；修回日期：2015-11-10Received date:2015-07-14；Revised date：2015-11-10

doi:10.3969/j.issn.1002-0802.2015.12.001