機(jī)器學(xué)習(xí)在網(wǎng)絡(luò)入侵檢測(cè)中的應(yīng)用探討

韋紹毅

【摘 要】伴隨著網(wǎng)絡(luò)通信數(shù)據(jù)的幾何呈現(xiàn)出不斷增長的趨勢(shì)，這讓系統(tǒng)的自動(dòng)檢測(cè)能力受到了人為分析網(wǎng)絡(luò)入侵檢測(cè)方法的極大限制，軟計(jì)算機(jī)模擬技術(shù)對(duì)分析系統(tǒng)能力的提高具有非常大的幫助，其中對(duì)于網(wǎng)絡(luò)入侵自動(dòng)檢測(cè)上，則可以通對(duì)機(jī)器學(xué)習(xí)方法的利用。而這些技術(shù)都是通過對(duì)網(wǎng)絡(luò)數(shù)據(jù)統(tǒng)計(jì)分析的借助，實(shí)現(xiàn)使用之前發(fā)現(xiàn)的數(shù)據(jù)模式進(jìn)行數(shù)據(jù)處理算法的目的，進(jìn)而對(duì)網(wǎng)絡(luò)通信新數(shù)據(jù)作出更好的決策。本文主要對(duì)多種機(jī)器學(xué)習(xí)方法及軟件計(jì)算機(jī)技術(shù)，在智能網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)中的應(yīng)用方法進(jìn)行探討，切實(shí)的為智能網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)的建立奠定基礎(chǔ)，進(jìn)而讓網(wǎng)絡(luò)入侵檢測(cè)和防御系統(tǒng)變得更加的高效率。

【關(guān)鍵詞】機(jī)器學(xué)習(xí)；入侵檢測(cè)；網(wǎng)絡(luò)通信；軟計(jì)算

伴隨著互聯(lián)網(wǎng)迅速的發(fā)展，這讓本就非常脆弱的信息系統(tǒng)和通信網(wǎng)絡(luò)，成為了不同網(wǎng)絡(luò)類型主要攻擊的對(duì)象，因此這也讓網(wǎng)路安全成為了大家關(guān)注的重點(diǎn)。網(wǎng)絡(luò)受到的安全威脅呈現(xiàn)出不斷上漲的趨勢(shì)，基于智能網(wǎng)絡(luò)而言，入侵檢測(cè)和防御系統(tǒng)的建立就顯得尤為的重要。在當(dāng)前網(wǎng)絡(luò)安全研究課題上，網(wǎng)絡(luò)入侵檢測(cè)已經(jīng)成為了主要的課題，雖然在多種網(wǎng)絡(luò)攻擊風(fēng)險(xiǎn)在因特網(wǎng)環(huán)境當(dāng)中存在，但同時(shí)也有諸多針對(duì)網(wǎng)絡(luò)攻擊的預(yù)防系統(tǒng)，尤其是基于入侵檢測(cè)的網(wǎng)絡(luò)防御系統(tǒng)。

一、簽名和異常檢測(cè)

簽名檢測(cè)工作的原理主要是對(duì)比觀察和數(shù)據(jù)庫的簽名。全部的簽名模式是借助檢測(cè)環(huán)境當(dāng)中的數(shù)據(jù)包，然后將與數(shù)據(jù)庫當(dāng)中相匹配的簽名全部提取，如果標(biāo)記和安全政策不相符合，那就將其作為一個(gè)攻擊對(duì)象。簽名檢測(cè)能夠?qū)σ呀?jīng)指導(dǎo)的攻擊，或者是侵犯進(jìn)行有效的預(yù)防，但是它沒有辦法對(duì)新的攻擊對(duì)象進(jìn)行檢測(cè)，一直到已經(jīng)更新了它的簽名。基于簽名的入侵檢測(cè)系統(tǒng)，具有預(yù)處理和計(jì)算量小的顯著特征。

異常檢測(cè)能夠?qū)π碌墓簦蛘呤菨撛诘男碌墓暨M(jìn)行檢測(cè)，它借助已經(jīng)構(gòu)建好的配置文件，從而對(duì)其的正常行為進(jìn)行表示，然后把它現(xiàn)下的行為進(jìn)行對(duì)比和匹配。基于異常檢測(cè)的機(jī)制，能夠判定任意的通信行為，尤其是擅長掃描和探測(cè)網(wǎng)絡(luò)硬件。從網(wǎng)絡(luò)和端口異常中，這些系統(tǒng)對(duì)任意錯(cuò)誤所造成的攻擊進(jìn)行檢測(cè)。

二、機(jī)器學(xué)習(xí)技術(shù)

基于機(jī)器學(xué)習(xí)技術(shù)的異常入侵檢測(cè)系統(tǒng)，能夠通過數(shù)據(jù)來達(dá)到學(xué)習(xí)的目的。進(jìn)而建立起一個(gè)決策系統(tǒng)，也就是可以分析潛在數(shù)據(jù)的系統(tǒng)。

（一）神經(jīng)網(wǎng)絡(luò)

在特征精簡當(dāng)中，神經(jīng)網(wǎng)絡(luò)模型可以對(duì)問題進(jìn)行分類，同時(shí)并能夠形成決策邊界，進(jìn)而讓非線性判別函數(shù)得到有效的構(gòu)建。每個(gè)特征微量元素在用于分類問題的過程中，都會(huì)和一個(gè)輸入節(jié)點(diǎn)相對(duì)應(yīng)，與此同時(shí)每個(gè)輸出節(jié)點(diǎn)所對(duì)應(yīng)的分類，可以作為對(duì)分配的類別。通過輸入節(jié)點(diǎn)和隱層節(jié)點(diǎn)的連接，并對(duì)初始權(quán)值進(jìn)行分配，調(diào)整權(quán)值在神經(jīng)網(wǎng)絡(luò)的訓(xùn)練。經(jīng)過對(duì)神經(jīng)網(wǎng)絡(luò)的觀察發(fā)現(xiàn)，其訓(xùn)練時(shí)間比較長的重要原因就是因?yàn)橛芯薮蟮木W(wǎng)絡(luò)訓(xùn)練數(shù)據(jù)量。但是此類入侵近側(cè)系統(tǒng)，能夠在線分類攻擊類型。

（二）支持向量機(jī)

支持向量機(jī)在分類和回歸問題當(dāng)中，是一種較為常見的任務(wù)式學(xué)習(xí)方法。此種方法中，兩個(gè)類別的一種救贖屬于一個(gè)訓(xùn)練例子，然后通過對(duì)支持向量算法的利用，從而建立起，模型，然后再對(duì)新的實(shí)例是不是屬于其中的類別進(jìn)行預(yù)測(cè)。這里首先需要定義一個(gè)輸入空間，也就是X，然后開始連接每個(gè)網(wǎng)絡(luò)，對(duì)是n維的屬性特征進(jìn)行選擇。一個(gè)網(wǎng)路連接則用一個(gè)維度矢量x表示，x=（x1，x2，...，xn），其中i=1，2，...，n，代表樣本的特征值。Y表示的是定義輸出的區(qū)域，只需要對(duì)每個(gè)網(wǎng)絡(luò)連接是否正常進(jìn)行判斷即可。可以對(duì)Y=（+1，-1）進(jìn)行定義，當(dāng)正常連接時(shí)為Y=+1，當(dāng)連接為異常時(shí)為Y=-1。支持向量機(jī)的分類問題，主要是對(duì)非線性映射函數(shù)進(jìn)行表示，也即為樣本空間對(duì)高緯的映射。此種方式具有兩個(gè)主要優(yōu)點(diǎn)，分別就是高決策速度和高訓(xùn)練速度。

（三）遺傳算法

找到問題優(yōu)化的近似解就是遺傳算法的一個(gè)主要目標(biāo)。爬山法為遺傳算法的采用的一種方法，對(duì)任意基因數(shù)目的進(jìn)行選定，其分別有選擇、交叉、變異及初始化四個(gè)操作。一個(gè)單獨(dú)的染色體包括諸如服務(wù)等基因響度應(yīng)的屬性。分類規(guī)則可以通過遺傳算法的方式產(chǎn)生，與此同時(shí)對(duì)參數(shù)在檢測(cè)的過程中進(jìn)行優(yōu)化。

（四）決策樹

大部分情況下決策樹是在分類問題上進(jìn)行應(yīng)用的，在此算法當(dāng)中已經(jīng)對(duì)學(xué)習(xí)和模型化過數(shù)據(jù)集。同樣決策樹算法也可以在網(wǎng)絡(luò)入侵檢測(cè)當(dāng)中進(jìn)行應(yīng)用。而首先需要在訓(xùn)練數(shù)據(jù)的基礎(chǔ)上，對(duì)此種算法進(jìn)行學(xué)習(xí)并建立相應(yīng)的模型。決策樹模型在入侵檢測(cè)中，具有一個(gè)非常顯著的優(yōu)點(diǎn)，就是對(duì)龐大的數(shù)據(jù)集進(jìn)行處理。與此同時(shí)其在實(shí)時(shí)入侵檢測(cè)中的應(yīng)用也具有著非常明顯的效果，因此在性能上決策樹可以提供非常高的檢測(cè)，非常容易構(gòu)建和解釋模型。而其的另外一個(gè)優(yōu)點(diǎn)就是，決策樹具有非常泛化的精度，因?yàn)樵诓痪玫膶恚倳?huì)有一些潛在的新攻擊出現(xiàn)，而借助決策樹對(duì)研究的精度進(jìn)行泛化，可以對(duì)諸如此類的攻擊進(jìn)行更好的檢測(cè)。

三、機(jī)器學(xué)習(xí)在網(wǎng)絡(luò)入侵檢測(cè)應(yīng)用的優(yōu)缺點(diǎn)

面對(duì)越來越復(fù)雜的網(wǎng)絡(luò)環(huán)境，這給傳統(tǒng)的網(wǎng)絡(luò)入侵檢測(cè)技術(shù)帶來了很大的沖擊，因此在入侵檢測(cè)系統(tǒng)上，就非常需要提高其防御性能。而通過將機(jī)器學(xué)習(xí)的算法在入侵檢測(cè)系統(tǒng)當(dāng)中的應(yīng)用，不但可以讓系統(tǒng)的檢測(cè)效率得到顯著的提高，同時(shí)也讓智能優(yōu)化了系統(tǒng)的功能。機(jī)器學(xué)習(xí)當(dāng)中有著各種各樣的算法，并且各自有各自的優(yōu)點(diǎn)和缺點(diǎn)，以下就是對(duì)各個(gè)算法存在的優(yōu)點(diǎn)和缺點(diǎn)的簡單總結(jié)，基于決策樹的網(wǎng)路入侵檢測(cè)系統(tǒng)，具有簡單易懂的優(yōu)點(diǎn)，因?yàn)閷傩栽趯?duì)比的過程中，是沿著一條支線進(jìn)行的，因此決策樹構(gòu)建的也是最優(yōu)的，這讓入侵檢測(cè)系統(tǒng)的效率得到了大大的提高。基于神經(jīng)網(wǎng)絡(luò)的網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)，具有的計(jì)算高速的優(yōu)勢(shì)。不管是決策樹，還是神經(jīng)網(wǎng)絡(luò)都讓入侵檢測(cè)系統(tǒng)的性能得到了極大的提高，但是這兩種方法都極易會(huì)出現(xiàn)擬合的情況發(fā)生。支持向量機(jī)入侵檢測(cè)系統(tǒng)在泛化能力上比較強(qiáng)，而遺傳算法對(duì)端口掃描檢測(cè)時(shí)會(huì)非常的有效。在網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)當(dāng)中，將各個(gè)機(jī)器的學(xué)習(xí)算法應(yīng)用在其中，沒有辦法對(duì)某個(gè)具體算法的最佳進(jìn)行準(zhǔn)確的斷定，而是需要按照算法自身所有的優(yōu)缺點(diǎn)，以及網(wǎng)絡(luò)環(huán)境具有的特殊性進(jìn)行合適的選擇，需要較高的針對(duì)性。上述各種技術(shù)都是為了能夠讓高的檢測(cè)率得到更好的實(shí)現(xiàn)，但各自的技術(shù)都有自己的特點(diǎn)，總結(jié)如下。

（一）神經(jīng)網(wǎng)絡(luò)

無需專家知識(shí)，神經(jīng)網(wǎng)絡(luò)也能夠?qū)ξ粗彤惓５娜肭智闆r進(jìn)行及時(shí)的發(fā)現(xiàn)，但是采用技術(shù)在實(shí)時(shí)監(jiān)測(cè)的過程中并不適用，且訓(xùn)練過程也非常的緩慢。

（二）支持向量機(jī)

具有高訓(xùn)練速度和高決策速度，且不敏感數(shù)據(jù)維度。但是采用此種技術(shù)會(huì)需要較長的訓(xùn)練時(shí)間，無法給出攻擊類型的信息等。

（三）遺傳算法

和推理非常的近似，尤其是端口掃描檢測(cè)時(shí)會(huì)非常的有效，但是此種技術(shù)消耗的資源大，運(yùn)行過程中相關(guān)規(guī)則的降低較為困難。

（四）決策樹

可以對(duì)大數(shù)據(jù)進(jìn)行處理，有著非常高的檢測(cè)精度。但是此種技術(shù)的建立是需要在計(jì)算機(jī)密集型的基礎(chǔ)之上的。

四、結(jié)束語

不管在入侵檢測(cè)上采取何種方法都具有一定的優(yōu)勢(shì)和劣勢(shì)，因此只有不斷的加強(qiáng)對(duì)網(wǎng)絡(luò)入侵檢測(cè)的研究，才能夠找出機(jī)器學(xué)習(xí)在網(wǎng)絡(luò)入侵檢測(cè)當(dāng)中的最佳方法。

【參考文獻(xiàn)】

[1] 解男男. 機(jī)器學(xué)習(xí)方法在入侵檢測(cè)中的應(yīng)用研究[D]. 吉林大學(xué)， 2015.

[2] 朱琨， 張琪. 機(jī)器學(xué)習(xí)在網(wǎng)絡(luò)入侵檢測(cè)中的應(yīng)用[J]. 數(shù)據(jù)采集與處理， 2017， 32（3）：479-488.

[3] 徐慧， 劉翔， 方策，等. 一種基于可拓距的特征變換方法及其在網(wǎng)絡(luò)入侵檢測(cè)中的應(yīng)用[J]. 河南師范大學(xué)學(xué)報(bào)（自然版）， 2017（5）：101-107.endprint