在網(wǎng)絡(luò)入侵檢測中應(yīng)用機(jī)器學(xué)習(xí)的相關(guān)探討

張舒婷

（太原學(xué)院，山西 太原 030032）

1 引言

隨著網(wǎng)絡(luò)信息技術(shù)的不斷發(fā)展及其在人們生活工作學(xué)習(xí)中的廣泛使用，社會(huì)對于網(wǎng)絡(luò)的依賴程度越來越高。而在網(wǎng)絡(luò)信息化社會(huì)時(shí)代發(fā)展趨勢下，諸如病毒入侵、DNS攻擊、垃圾郵件等網(wǎng)絡(luò)入侵也呈現(xiàn)出復(fù)雜化、多樣性的發(fā)展特征，極大地影響了社會(huì)網(wǎng)絡(luò)應(yīng)用的正常發(fā)展。在這樣的背景下，入侵防護(hù)系統(tǒng)（Intrusion Prevention System，簡稱IPS）逐漸成為傳統(tǒng)IDS的替代產(chǎn)品，由于傳統(tǒng)IDS在網(wǎng)絡(luò)入侵檢測中誤報(bào)率高以及資源消耗大并且需要人工過多的參與等方面的缺陷，不能夠很好地應(yīng)對當(dāng)前網(wǎng)絡(luò)入侵的進(jìn)化。而IPS融合了入侵檢測技術(shù)和防火墻技術(shù)，其安全解決方案逐漸成為安全技術(shù)的主流，而網(wǎng)絡(luò)入侵檢測功能在IPS研究和應(yīng)用中都占有非常重要的地位。由此進(jìn)行網(wǎng)絡(luò)入侵檢測中應(yīng)用機(jī)器學(xué)習(xí)的相關(guān)探討有著非常重要的理論意義。

2 機(jī)器學(xué)習(xí)概述

機(jī)器學(xué)習(xí)，簡單來說是通過智能技術(shù)的應(yīng)用，利用機(jī)器學(xué)習(xí)現(xiàn)有知識，并根據(jù)所學(xué)的知識識別并獲取新認(rèn)知和技能的方法。機(jī)器學(xué)習(xí)研究和實(shí)踐早在上世紀(jì)五十年代在發(fā)達(dá)國家就已經(jīng)受到重視，我國關(guān)于機(jī)器學(xué)習(xí)以及基于機(jī)器學(xué)習(xí)的網(wǎng)絡(luò)入侵技術(shù)應(yīng)用研究較晚，但是發(fā)展較快，當(dāng)然與發(fā)達(dá)國家相比仍然存在著一定的技術(shù)差距和研究實(shí)踐等方面的差距。自機(jī)器學(xué)習(xí)依托智能技術(shù)誕生以來，隨著智能技術(shù)網(wǎng)絡(luò)環(huán)境和外在應(yīng)用環(huán)境以及自身革新等因素的影響，機(jī)器學(xué)習(xí)從科學(xué)研究逐漸應(yīng)用到某些具體的領(lǐng)域，并且機(jī)器學(xué)習(xí)的理論體系得到了完善，以機(jī)器學(xué)習(xí)多領(lǐng)域理論的完善為基礎(chǔ)，機(jī)器學(xué)習(xí)方法中網(wǎng)絡(luò)神經(jīng)、支持向量機(jī)、增強(qiáng)學(xué)習(xí)、遺傳進(jìn)化等方面的入侵技術(shù)應(yīng)用有了很大的發(fā)展。網(wǎng)絡(luò)入侵檢測從本質(zhì)上來說是分類和建模的問題，機(jī)器學(xué)習(xí)方法通過對于學(xué)習(xí)特點(diǎn)的掌握，利用所集合的信息資源，對網(wǎng)絡(luò)入侵的可能性可以做到較為科學(xué)的預(yù)測和識別，其已經(jīng)在模式識別上有了較大的發(fā)展。

3 機(jī)器學(xué)習(xí)方法應(yīng)用于網(wǎng)絡(luò)入侵檢測技術(shù)

3.1 基于模式識別思想認(rèn)識的技術(shù)方法應(yīng)用

把入侵檢測看作是分類問題，通過對網(wǎng)絡(luò)流量和主機(jī)審計(jì)等相關(guān)設(shè)備數(shù)據(jù)信息的總結(jié)分析，區(qū)分出系統(tǒng)運(yùn)行正常與否。在機(jī)器學(xué)習(xí)訓(xùn)練樣本不均衡或者數(shù)據(jù)集未識別的狀態(tài)下，把網(wǎng)絡(luò)檢測問題從復(fù)雜的環(huán)境中抽取出來，只對問題本身進(jìn)行檢測。對于這類檢測問題，基于統(tǒng)計(jì)機(jī)器學(xué)習(xí)理論的解決方法有很多，比如k近鄰算法、聚類、模式匹配、支持向量機(jī)以及神經(jīng)網(wǎng)絡(luò)等。拿其中的神經(jīng)網(wǎng)絡(luò)來說，神經(jīng)網(wǎng)絡(luò)是一種具有高度并行計(jì)算能力、自學(xué)能力和容錯(cuò)能力的處理方法，通過自適應(yīng)學(xué)習(xí)技術(shù)區(qū)別網(wǎng)絡(luò)異常問題或者誤用問題。當(dāng)前對于神經(jīng)網(wǎng)絡(luò)技術(shù)的研究有很多，比如BP神經(jīng)網(wǎng)絡(luò)模型、SOM自組織映射模型、針對SYN泛洪攻擊和端口掃描攻擊的神經(jīng)網(wǎng)絡(luò)算法等。

3.2 基于規(guī)則識別思想認(rèn)識的技術(shù)方法應(yīng)用

把入侵檢測看作一個(gè)知識集合，通過機(jī)器學(xué)習(xí)能力的獲取，提取知識集合的內(nèi)在規(guī)則，從而正確表達(dá)出這個(gè)知識集合，以此區(qū)別出網(wǎng)絡(luò)系統(tǒng)是否存在異常問題。這種思想認(rèn)識是針對當(dāng)前網(wǎng)絡(luò)數(shù)據(jù)源越發(fā)多變、多類型以及高維數(shù)等發(fā)展特點(diǎn)開發(fā)出來的機(jī)器學(xué)習(xí)算法。面對多屬性、非線性海量網(wǎng)絡(luò)數(shù)據(jù)資源，通過基于符號歸納機(jī)器學(xué)習(xí)方法比如決策樹、粗糙集等對數(shù)據(jù)資源進(jìn)行簡化處理，提取出系統(tǒng)正常行為的運(yùn)行規(guī)則，實(shí)現(xiàn)對于異常狀態(tài)的預(yù)警和檢測。就拿決策樹來說，決策樹是一種非常常用的分類器，機(jī)器學(xué)習(xí)通過訓(xùn)練集構(gòu)建決策樹，利用決策樹進(jìn)行分類，決策樹的識別過程對于專業(yè)領(lǐng)域知識沒有過多依賴，其算法運(yùn)行的關(guān)鍵在于分裂屬性的劃分上。并且由于不依賴知識，設(shè)計(jì)簡便易行，與此同時(shí)能夠在短時(shí)間內(nèi)處理大量的網(wǎng)絡(luò)流量數(shù)據(jù)信息，是非常實(shí)用的網(wǎng)絡(luò)入侵檢測方法。

3.3 基于訓(xùn)練樣本集思想認(rèn)識的技術(shù)方法應(yīng)用

把入侵檢測看作訓(xùn)練樣本集，通過賦予檢測系統(tǒng)一定的搜索策略，在樣本集范圍內(nèi)搜索出需要找到的問題。由此，機(jī)器成為一個(gè)搜索問題的工具，學(xué)習(xí)的過程即是對于問題的尋找過程，通過學(xué)習(xí)，尋找到目標(biāo)函數(shù)的最優(yōu)解。隨著基因遺傳學(xué)的發(fā)展，遺傳學(xué)的相關(guān)學(xué)術(shù)研究被引入機(jī)器學(xué)習(xí)學(xué)科領(lǐng)域，遺傳和進(jìn)化機(jī)器學(xué)習(xí)算法成為這種思想認(rèn)識的有力解決方案。遺傳進(jìn)化機(jī)器學(xué)習(xí)算法能夠檢測未知攻擊，同時(shí)具有極高的準(zhǔn)確率，通過數(shù)值求解多參數(shù)、多變量、多目標(biāo)和在多區(qū)域的NP難優(yōu)化的問題，有著較好的識別能力，省去了大量的資源消耗。在學(xué)術(shù)研究方面，基于遺傳算法的異常入侵方法有著較高的學(xué)術(shù)認(rèn)可度。

3.4 增強(qiáng)機(jī)器學(xué)習(xí)的方法應(yīng)用

增強(qiáng)學(xué)習(xí)（Reinforcement Learning）是機(jī)器學(xué)習(xí)四大研究方向之一，又被稱為強(qiáng)化和評價(jià)學(xué)習(xí)，增強(qiáng)機(jī)器學(xué)習(xí)之所以受到學(xué)術(shù)研究的特別關(guān)注，一方面由于現(xiàn)實(shí)環(huán)境的飛速變化，比如網(wǎng)絡(luò)攻擊技術(shù)智能化、多樣化的發(fā)展趨勢，要求網(wǎng)絡(luò)入侵檢測系統(tǒng)在實(shí)時(shí)性上有一個(gè)較大的突破，通過可伸縮性的入侵網(wǎng)絡(luò)檢測體系的構(gòu)建，能夠使網(wǎng)絡(luò)入侵系統(tǒng)動(dòng)態(tài)適應(yīng)網(wǎng)絡(luò)環(huán)境的變化。另一方面增強(qiáng)機(jī)器學(xué)習(xí)方法的優(yōu)越性上，多Agent系統(tǒng)學(xué)習(xí)是當(dāng)前應(yīng)用最廣泛的增強(qiáng)機(jī)器學(xué)習(xí)的方法，由于Agent表現(xiàn)出來的自適性、移動(dòng)性、智能性等特點(diǎn)能夠在網(wǎng)絡(luò)入侵檢測技術(shù)中得到較好的發(fā)揮，同時(shí)多種機(jī)器學(xué)習(xí)方法的結(jié)合能夠更好地解決遇到的實(shí)際檢測問題。

4 基于機(jī)器學(xué)習(xí)的網(wǎng)絡(luò)入侵檢測技術(shù)發(fā)展方向

4.1 基于機(jī)器學(xué)習(xí)的網(wǎng)絡(luò)入侵檢測技術(shù)性能評估

前面就當(dāng)前幾種機(jī)器學(xué)習(xí)方法在入侵檢測技術(shù)的應(yīng)用中做了細(xì)致的論述，針對基于統(tǒng)一網(wǎng)絡(luò)入侵檢測問題，不同類型的學(xué)習(xí)方法的實(shí)際應(yīng)用效果是性能評估的主要內(nèi)容。當(dāng)然性能評估是出于人的主觀角度，以實(shí)用為目的。學(xué)習(xí)類型不同以及學(xué)習(xí)目標(biāo)不同，所表現(xiàn)出來的實(shí)用性也有一定的差別，比如統(tǒng)計(jì)機(jī)器學(xué)習(xí)，主要從模式分類的角度來檢測入侵的問題，表現(xiàn)在機(jī)器學(xué)習(xí)上以泛化能力為目標(biāo)，而基于遺傳進(jìn)化學(xué)習(xí)方法則是從數(shù)據(jù)簡約和規(guī)則提取的角度來看待入侵檢測問題的，因此其學(xué)習(xí)目標(biāo)可以理解為數(shù)據(jù)認(rèn)知能力。具體來說，神經(jīng)網(wǎng)絡(luò)學(xué)習(xí)方法能夠在有無參數(shù)的狀態(tài)下進(jìn)行泛化研究，不需要學(xué)習(xí)知識的數(shù)據(jù)設(shè)計(jì)，但是其缺點(diǎn)也很明顯，其學(xué)習(xí)過程中，訓(xùn)練節(jié)奏較慢，由此其對于網(wǎng)絡(luò)實(shí)時(shí)監(jiān)測的能力較弱；支持向量機(jī)學(xué)習(xí)方法以其樣本數(shù)據(jù)小，較高的訓(xùn)練接受能力，可以解決高維、非線性類型的檢測問題，但是其缺陷在于對于數(shù)據(jù)信息的要求度較高，表現(xiàn)在檢測應(yīng)用上缺乏靈活性和泛化能力較弱。總體來說，對于基于機(jī)器學(xué)習(xí)的網(wǎng)絡(luò)入侵檢測技術(shù)來說，如何降低資源消耗、減少訓(xùn)練集以及如何提高準(zhǔn)確精度是機(jī)器學(xué)習(xí)方法的一個(gè)衡量標(biāo)準(zhǔn)。當(dāng)然任何學(xué)習(xí)方法都有一定的局限性，針對不同的環(huán)境和應(yīng)用視角，同一種機(jī)器學(xué)習(xí)方法在應(yīng)用過程中可能表現(xiàn)出百分之百的準(zhǔn)確和百分之百的誤報(bào)率。由此還需要根據(jù)現(xiàn)實(shí)需求以及時(shí)代發(fā)展需求，正確看待機(jī)器學(xué)習(xí)方法的性能評估。

4.2 基于機(jī)器學(xué)習(xí)的網(wǎng)絡(luò)入侵檢測技術(shù)的發(fā)展困境

目前，基于機(jī)器學(xué)習(xí)的網(wǎng)絡(luò)入侵檢測研究已經(jīng)在包括系統(tǒng)安全、網(wǎng)絡(luò)安全以及應(yīng)用安全領(lǐng)域中提出了很多切實(shí)可行的解決方案和應(yīng)用方法。但是從模式識別的泛化能力、檢測精度以及當(dāng)前學(xué)術(shù)界極為關(guān)注的實(shí)時(shí)性問題上，基于機(jī)器學(xué)習(xí)方法的解決方案還有很長的路要走。從機(jī)器學(xué)習(xí)方法這個(gè)主體來說，其未來在網(wǎng)絡(luò)入侵檢測技術(shù)的應(yīng)用程度還要從其技術(shù)突破以及機(jī)器學(xué)習(xí)算法研究突破兩個(gè)方面進(jìn)行，我們都知道機(jī)器學(xué)習(xí)算法當(dāng)前缺乏一定的公開透明性，比如在神經(jīng)網(wǎng)絡(luò)入侵檢測技術(shù)應(yīng)用時(shí)，很容易出現(xiàn)算法錯(cuò)判的問題，由于模型運(yùn)行的不可解釋性，導(dǎo)致了對于代碼的分類總結(jié)不夠明確。由此產(chǎn)生的機(jī)器智能化發(fā)展是否安全的學(xué)術(shù)思考值得在未來機(jī)器學(xué)習(xí)研究中給予重視和關(guān)注。從網(wǎng)絡(luò)入侵檢測角度來看，基于機(jī)器學(xué)習(xí)的網(wǎng)絡(luò)入侵檢測應(yīng)用發(fā)展，當(dāng)前最主要的影響因素來自于網(wǎng)絡(luò)攻擊技術(shù)及其發(fā)展特點(diǎn)的分析判斷上，從目前來看，網(wǎng)絡(luò)攻擊越來越多地采用分布式、多目標(biāo)以及多層次的組合式攻擊，面對黑客攻擊手段越發(fā)智能化、多樣化和有預(yù)謀的特點(diǎn)，基于機(jī)器學(xué)習(xí)的網(wǎng)絡(luò)入侵檢測技術(shù)必然要構(gòu)建多節(jié)點(diǎn)部署、分布式檢測以及適應(yīng)網(wǎng)絡(luò)動(dòng)態(tài)發(fā)展網(wǎng)絡(luò)檢測體系。另外還比如黑客也可以利用機(jī)器學(xué)習(xí)應(yīng)用到網(wǎng)絡(luò)入侵方面，機(jī)器學(xué)習(xí)網(wǎng)絡(luò)入侵檢測技術(shù)加密資源消耗問題，這些都是當(dāng)前以及未來不容忽視的重要問題。