入侵檢測技術(shù)在網(wǎng)絡(luò)安全中的應(yīng)用分析

王朱勞

摘要：近些年網(wǎng)絡(luò)安全受到社會各界的關(guān)注，本文主要分析了入侵檢測技術(shù)在網(wǎng)絡(luò)安全檢測中的的應(yīng)用流程、入侵檢測技術(shù)分類，最后以BP神經(jīng)網(wǎng)絡(luò)算法為例分析了網(wǎng)絡(luò)安全入侵檢測的具體應(yīng)用，期望為網(wǎng)絡(luò)安全的發(fā)展提供理論支持。

關(guān)鍵詞：入侵檢測技術(shù)；網(wǎng)絡(luò)安全；BP神經(jīng)網(wǎng)絡(luò)算法

中圖分類號：TN9 文獻標(biāo)識碼：A 文章編號：1007-9416（2019）01-0209-02

近些年來網(wǎng)絡(luò)安全事件頻發(fā)，出現(xiàn)了很多非法入侵、竊取信息、篡改信息的情況，造成了不良影響和巨大的損失。傳統(tǒng)的安全技術(shù)包括加密技術(shù)和防火墻等，這些技術(shù)是一種被動式的、靜態(tài)的防御措施，但是對于內(nèi)部攻擊毫無防御能力。而入侵檢測技術(shù)有效彌補了傳統(tǒng)的安全技術(shù)存在的不足，對Dos攻擊、Arp攻擊等對網(wǎng)絡(luò)安全造成威脅的入侵行為進行實時動態(tài)監(jiān)控、檢測、抵御，是當(dāng)前網(wǎng)絡(luò)安全技術(shù)的主要研究方向。

1 入侵檢測技術(shù)在網(wǎng)絡(luò)安全檢測中的應(yīng)用流程

1.1 收集網(wǎng)絡(luò)運行信息

入侵檢測技術(shù)的第一步是收集網(wǎng)絡(luò)運行信息，包括網(wǎng)絡(luò)中的活動行為信息、網(wǎng)絡(luò)數(shù)據(jù)等，收集的信息要盡可能全面、準(zhǔn)確。

1.2 分析已收集的信息

入侵檢測技術(shù)的信息分析包括模式匹配分析、完整分析、統(tǒng)計分析等，需要結(jié)合具體的網(wǎng)絡(luò)環(huán)境選擇分析方式。

1.3 實時記錄網(wǎng)絡(luò)信息制定反擊措施

入侵檢測技術(shù)在網(wǎng)絡(luò)安全檢測過程中需要實時記錄網(wǎng)絡(luò)信息以判定是否存在入侵的風(fēng)險，如果被入侵的風(fēng)險較高則及時制定反擊措施。如切斷網(wǎng)絡(luò)連接重新修復(fù)網(wǎng)絡(luò)安全防火墻。

2 網(wǎng)絡(luò)中應(yīng)用的入侵檢測技術(shù)分類

2.1 基于統(tǒng)計分析入侵檢測技術(shù)

基于統(tǒng)計分析的入侵檢測技術(shù)當(dāng)前已經(jīng)十分成熟，通過設(shè)置相應(yīng)的閾值，如果檢測到某種行為與正常行為的閾值之間存在較大的偏差，則說明存在入侵行為，該技術(shù)中常用的算法包括馬爾柯夫過程模型、時間序列分析等，檢測率較高，但是也存在一定的漏檢現(xiàn)象。

2.2 基于規(guī)則的入侵檢測技術(shù)

基于規(guī)則的入侵檢測技術(shù)在應(yīng)用過程中需要建立動態(tài)規(guī)則庫，通過相應(yīng)的規(guī)則判斷事件的發(fā)生概率，規(guī)則分成向前推理規(guī)則和向后推理規(guī)則，向前推理規(guī)則以收集的網(wǎng)絡(luò)信息為依據(jù)進行推理，直到得出結(jié)果，可以預(yù)測出未入侵的事件但是推理結(jié)果誤報率高；向后推理規(guī)則從結(jié)果到原因，準(zhǔn)確性高，不能實現(xiàn)未知入侵事件的預(yù)測。

2.3 基于數(shù)據(jù)挖掘的入侵檢測技術(shù)

基于數(shù)據(jù)挖掘的入侵檢測技術(shù)，利用數(shù)據(jù)挖掘算法對海量的網(wǎng)絡(luò)數(shù)據(jù)進行分析，提取數(shù)據(jù)特征、規(guī)則，發(fā)現(xiàn)網(wǎng)絡(luò)入侵行為。雖然這種技術(shù)檢測準(zhǔn)確性較高，但是其實時性較差，不能滿足網(wǎng)絡(luò)安全防御的實時性需求。

2.4 基于機器學(xué)習(xí)的入侵檢測技術(shù)

當(dāng)前基于機器學(xué)習(xí)的入侵檢測技術(shù)具有檢測效率高、誤報率和漏報率低的特點，可以提高入侵檢測性能。基于機器學(xué)習(xí)的入侵檢測主要包括數(shù)據(jù)采集、數(shù)據(jù)預(yù)處理、特征選取及構(gòu)造、機器學(xué)習(xí)及結(jié)果處理5個部分，其中數(shù)據(jù)采集、數(shù)據(jù)預(yù)處理為入侵檢測實現(xiàn)的基礎(chǔ)，采集數(shù)據(jù)之后進行預(yù)處理主要是對原始數(shù)據(jù)包進行加工，解碼之后濾除重復(fù)數(shù)據(jù)和錯誤數(shù)據(jù)，產(chǎn)生相應(yīng)的特征值之后輸入機器學(xué)習(xí)模塊；機器學(xué)習(xí)模塊為核心，在入侵檢測中應(yīng)用的機器學(xué)習(xí)算法包括決策樹算法、神經(jīng)網(wǎng)絡(luò)算法、貝葉斯理論、遺傳算法等，通過機器學(xué)習(xí)模塊的測試、訓(xùn)練實現(xiàn)入侵檢測，展示相應(yīng)的分類結(jié)果，如果存在入侵行為則發(fā)出日志報警。

3 應(yīng)用實例——基于BP神經(jīng)網(wǎng)絡(luò)的入侵檢測

由于基于機器學(xué)習(xí)的網(wǎng)絡(luò)安全入侵檢測效果較好，因此，以基于BP神經(jīng)網(wǎng)絡(luò)的入侵檢測為例具體分析網(wǎng)絡(luò)安全入侵檢測實例，具體如下所述。

3.1 BP神經(jīng)網(wǎng)絡(luò)學(xué)習(xí)算法

神經(jīng)網(wǎng)絡(luò)根據(jù)外界輸入的樣本不斷進行優(yōu)化、改進網(wǎng)絡(luò)連接權(quán)值，這樣可以使網(wǎng)絡(luò)輸出不斷接近期望值，神經(jīng)網(wǎng)絡(luò)包括3層結(jié)構(gòu)：輸入層、隱含層、輸出層。假設(shè)輸入層的神經(jīng)元有n個，隱含層的神經(jīng)元有p個，輸出層的神經(jīng)元有q個，則有輸入向量：，輸出層輸入向量：；輸出層輸出向量：，期望輸出向量：，隱含層輸入向量：；隱含層輸出向量： ；輸入層與隱含層的連接權(quán)值為wih，隱含層與輸出層的連接權(quán)值wio。

隱含層、輸出層各神經(jīng)元的閾值分別為bh、b0，樣本數(shù)據(jù)個數(shù)k=1，2，…，m，誤差函數(shù)e：

算法步驟如下：各個連接權(quán)值隨機選取（-1，1）區(qū)間內(nèi)的數(shù)值，設(shè)定誤差函數(shù)e，計算精度ε和最大學(xué)習(xí)次數(shù)M。計算隱含層不同神經(jīng)元的輸入和輸出，得出誤差函數(shù)對輸出層、隱含層各神經(jīng)元的偏導(dǎo)數(shù)，并利用偏導(dǎo)數(shù)修正連接權(quán)值，計算全局誤差，如果誤差達到設(shè)定的精度則算法結(jié)束，否則進入下一輪學(xué)習(xí)。

3.2 基于BP神經(jīng)網(wǎng)絡(luò)的入侵檢測系統(tǒng)

基于BP神經(jīng)網(wǎng)絡(luò)的入侵檢測系統(tǒng)的框架圖見圖1，捕捉實時網(wǎng)絡(luò)流量數(shù)據(jù)之后進行預(yù)處理，將數(shù)據(jù)轉(zhuǎn)化成標(biāo)準(zhǔn)的二進制形式，然后通過BP神經(jīng)網(wǎng)絡(luò)算法進行訓(xùn)練，對輸入網(wǎng)絡(luò)數(shù)據(jù)進行分類，確定每個集群的神經(jīng)元，構(gòu)建正常、潛在的攻擊、已知攻擊聚類圖；訓(xùn)練完成之后輸出結(jié)果日志，如果檢測到網(wǎng)絡(luò)異常則發(fā)出警報。

3.3 檢測結(jié)果分析

以KDD Cup數(shù)據(jù)集為例對上文提出的算法檢測效果進行仿真分析，仿真軟件選擇Matlab7.0，以漏報率、檢測率、誤報率對檢測結(jié)果進行評價，得出的入侵檢測結(jié)果如下：該算法的檢測率為93.33%、誤報率為5.14%、漏報率為6.39%，基本滿足應(yīng)用需求。

4 結(jié)語

綜上所述，入侵檢測技術(shù)對于網(wǎng)絡(luò)安全具有非常重要的作用，必須加強入侵檢測技術(shù)的研究，采用相關(guān)的措施確保網(wǎng)絡(luò)安全，期望通過本文的分析為網(wǎng)絡(luò)安全的研究提供一些理論支持。

參考文獻

[1] 王懷峰，高廣耀.網(wǎng)絡(luò)入侵檢測研究進展綜述[J].計算機安全，2011（12）：58-61.

[2] 劉鵬，孟炎，吳艷艷.大規(guī)模網(wǎng)絡(luò)安全態(tài)勢感知及預(yù)測[J].計算機安全，2013（03）：28-35.

[3] 永勝.入侵檢測技術(shù)在計算機網(wǎng)絡(luò)安全維護中的應(yīng)用探析[J].信息化建設(shè)，2015（11）：19.

Abstract：In recent years， network security has attracted attention from all walks of life. This paper mainly analyses the application process and classification of intrusion detection technology in network security detection. Finally， taking BP neural network algorithm as an example， it analyses the specific application of network security intrusion detection， hoping to provide theoretical support for the development of network security.

Key words：intrusion detection technology； network security； BP neural network algorithm