網絡入侵檢測技術分析

◆薛傳東

操作系統、網絡體系與服務器技術

網絡入侵檢測技術分析

◆薛傳東

（徐州工程學院信息化中心 江蘇 221018）

網絡安全是相對安全而不是絕對安全，網絡入侵與攻擊會一直會持續存在。基于人工智能的機器自主深度學習算法和運用大數據進行數據深度挖掘分析技術相結合的入侵檢測算法是未來的發展趨勢，本文介紹了網絡入侵檢測技術，供相關讀者參。

網絡安全；入侵檢測；機器學習；大數據分析；人工智能

1 引言

網絡安全對于國家和社會都起著至關重要的作用，沒有網絡安全就沒有國家的安全、沒有社會的和諧穩定。在可預見的未來網絡入侵行為會一直伴隨著網絡的成長與發展。技術的進步帶來的是顛覆性傳統規則的改變。任何一種互聯網新技術的發展和創新，必然會引起網絡世界的連鎖式技術變革，進而產生新的入侵形式與新的攻擊方法。傳統的入侵檢測方法已不能滿足現在和未來的入侵檢測需求，日益多樣化和復雜化的網絡入侵形式給入侵檢測帶來了前所未有的挑戰。

2 入侵檢測技術研究背景

隨著計算機技術與網絡技術的快速發展，網絡技術的更新迭代速度呈指數級增長，網絡中傳輸的數據量呈幾何級暴增，海量的數據處理與檢測技術不足間的矛盾是當前網絡安全所面臨的主要問題。如何快速識別出入侵行為和攻擊行為是當前必須深入研究的課題。

網絡安全是相對安全而不是絕對安全，當前和未來時期網絡入侵與攻擊會一直會持續存在。傳統的入侵檢測技術是通過匹配特征庫進行識別非法入侵和攻擊行為。存在的問題：（1）黑客技術更新非常快，黑客非常容易規避現有規則，對已知的漏洞和缺陷進行全新模式的入侵和攻擊。（2）用于檢測識別的特征庫更新存在嚴重滯后問題。

3 入侵檢測技術研究的意義

入侵檢測技術是預防網絡入侵和抵御網絡攻擊的關鍵技術，通過立體交叉的多層次實時檢測和高效的大數據分析，可以準確地分析各類網絡協議，監控網絡異常流量，檢測出各類入侵攻擊行為。通過篩選比對判定是正常數據訪問還是異常非法的入侵攻擊行為。

入侵檢測設備一般部署在網絡邊界，但黑客會挑選網絡邊緣的網絡設備進行入侵，邊緣設備一般都沒有日志備份和日志異地存儲功能，黑客會利用邊緣設備為跳板進行入侵攻擊和數據收集分析。必須對所有網絡設備和服務應用盡可能全面地做好網絡安全防護，以防止可能遭到的網絡入侵破壞，盡可能減少因入侵攻擊造成的各項損失。

4 入侵檢測技術存在的不足和改進方向

目前的網絡防御還是處于被動防御階段，由于防火墻和入侵檢測設備自身的機制缺陷問題，應對入侵和攻擊的效果不能盡如人意。當前存在幾點缺陷：（1）不能阻斷入侵行為和對入侵攻擊行為進行實時的溯源分析；（2）各類檢測樣本特征庫更新嚴重滯后；（3）目前入侵檢測都是事后分析，無法做到實時檢測和與安全設備的實時聯動。

針對當前的入侵檢測技術響應滯后、錯誤率高等問題，入侵檢測技術需要從以下幾個方面進行改進和研究。

（1）建立實時高效可靠的分布式日志備份系統

傳統的日志備份系統存在資源消耗巨大，日志備份系統只能對重要節點的業務系統和關鍵網絡設備進行日志的備份，而相對邊緣的網絡設備和業務系統鑒于日志存儲設備功能的局限性，基本不會做日志的存儲備份，這恰恰是黑客入侵的重要通道和途徑。系統被入侵后黑客肯定會以最快的速度刪除日志，進行痕跡清理。

因此迫切需要建立一套輕量級日志存儲收集系統，該系統需要資源占用率低、可靠高效，可以分布式實時動態地進行日志采集、傳輸、存儲。這樣就可以把所有業務系統、網絡設備、安全設備等設備的日志進行收集記錄，對于后續的入侵檢測起到至關重要的作用。

（2）將各類日志信息轉換為統一格式

搭建日志收集備份系統實時收集各系統所產生海量的各類型日志。如何對這些海量的日志進行高效處理？將各類型的日志信息格式進行統一。針對多源異構的日志信息需要進行數據補全、去重、去噪、降維、合并、聚類等技術處理，將日志數據轉換為統一格式，對數據進行徹底的清洗，為下一步檢測分析做好數據的前期準備。

（3）建立入侵攻擊特征樣本庫

樣本特征庫是網絡安全領域極其稀缺的安全資源。單獨黑客或黑客組織基本都不對外公開發布0 day漏洞信息。如何及時獲取各類黑樣本是個非常重要的問題。（1）利用廠家公開發布的已知漏洞信息，把黑樣本增補進攻擊特征樣本庫。（2）通過廠家公開發布的安全訪問特征信息，建立各類安全訪問的白名單特征樣本庫。（3）建立高效入侵檢測模型進行大數據分析，通過誤用檢測、異常檢測、混合檢測等檢測技術精準識別入侵和攻擊行為，并提取樣本特征信息添加進特征樣本庫。

真實的網絡環境中，新的入侵攻擊形式是需要時間才能發現的，需要收集盡可能多的黑樣本進行分析。然而0 day漏洞發現的當天入侵攻擊就已經開始，在沒有截獲或截獲很少的黑樣本時，入侵檢測系統根本沒法做出準確及時的響應，而產生的實質性危害已經不可避免。如何高效實時收集黑樣本是當前面臨的重大挑戰。

（4）建立實時高效大數據分析數學模型

面對復雜的網絡入侵攻擊，使用基于人工智能的機器自主學習技術和大數據深度挖掘分析技術是當前最前沿的安全防御措施之一。未來構建的入侵檢測模型需要做到實時入侵檢測，內聯入侵預防、外聯攻擊阻斷，實現網絡各層面數據的監控、安全設備間的智能聯動、安全事件上報等，繼而利用大數據分析建立網絡安全態勢感知系統，并以此作為網絡安全狀況評估的重要依據。

面對各種黑客的入侵、滲透、攻擊，是否能第一時間發現、識別、預警，是否能第一時間進行阻斷、防護，是否能第一時間進行分析、溯源、上報，這是衡量大數據分析數學模型好壞的唯一標準。

5 入侵檢測技術分析概述

入侵檢測技術的核心是如何辨別出入侵和攻擊行為的特征信息。入侵檢測分為：⑴特征檢測是依據特征庫進行識別非法入侵行為，識別準確率高，缺點是特征庫需要實時更新。⑵異常檢測是依據行為規則檢測，通過機器自主學習運用大數據比對檢測未知的入侵行為和攻擊行為，缺點是存在誤報。

即使通過大據進行比對分析發現海量數據中的異常個別行為，也不能確定入侵檢測的精度。不能期望只建立一個數據分析模型就能檢測出所有異常的行為，通常是建立多個異常檢測模型進行多層次全方位檢測，用來減少檢測的誤報率。

入侵攻擊的幾大類型雖然攻擊方法千差萬別，但基本攻擊形式是相同的，通過將攻擊代碼注入正常語句參數中進行攻擊，所以識別語句中參數的異常是可以檢測出絕大部分的異常行為。

網絡節點是否存在異常是由所處網絡環境中其他節點所決定的。如果大量的網絡節點都正常訪問同一個節點，那么這個被訪問節點的異常概率就很小。反而，一個節點相對孤立，只有很少的節點去訪問，那么這個節點異常的概率就非常大。

通常90%的異常行為都不是攻擊行為。而90%攻擊行為又都是無害行為。發現異常行為并不難，難的是對每個異常行為做出準確的判斷，難的是對所有的異常行為進行溯源分析。需要判斷出哪些行為是危害程度高的異常行為，哪些異常行為是已經造成危害的行為。建立威脅模型的難點是既要求對已知攻擊行為有較高的檢測準確度，又要對未知攻擊行為的保持較高的檢測靈敏度。

當前絕大多數的安全模型都是淺層次的線索分析模型，只能應對大部分常見的攻擊入侵。而與危害巨大的地下黑產業鏈攻擊相比，這些入侵防護就是小兒科。只有以數據驅動安全，充分發揮機器自主深度學習能力結合人工智能使用大數據深度挖掘技術，這樣才能抵消與黑產威脅攻擊不對稱的局面。面對攻擊的未知領域，我們需要探索的路還非常漫長。

6 常用入侵檢測技術分類與發展方向

常用的入侵檢測分為兩種：⑴基于主機入侵檢測是通過分析檢測主機的各類行為判定主機是否被入侵攻擊。⑵基于網絡入侵檢測是通過分析網絡傳輸中的數據特征和與主機嘗試連接的數據特征來判斷網絡是否被入侵攻擊。

不論采用哪一種入侵檢測方法都需要保證檢測的實時性和準確性。如果數據檢測實時性低就不能及時發現入侵攻擊行為。相反如果入侵檢測識別率不是很高，將大部分的正常數據訪問行為識別為攻擊行為，將會嚴重消耗主機和服務器的處理器性能和內存性能。

入侵檢測技術的發展趨勢是基于人工智能機器自主深度學習算法，運用大數據分析進行數據深度挖掘，實時判斷分析出入侵行為和攻擊行為，再與防火墻進行智能聯動阻斷入侵和攻擊，并及時數據上報、溯源分析、證據取證等。各國的網絡安全研究人員正在改進算法和提出新的檢測算法，增加了網絡態勢感知能力和對未知攻擊的探測能力。目前入侵檢測技術剛剛開啟智能化研究，基于人工智能機器自主深度學習算法和大數據挖掘分析檢測算法已經成為網絡安全領域各國爭奪的制高點。

7 機器自主學習的入侵檢測算法

機器深度學習是讓機器模擬人類的學習、思維、分析、判斷的一種人工智能的深度學習算法。運用智能化大數據分析算法對數據進行判斷，得出那些數據行為是正常行為和非正常行為。利用機器學習建立入侵檢測模型，通過數據挖掘找出攻擊間的關聯性、分析出攻擊行為中的關聯信息。可以把入侵檢測理解為數據挖掘和數據關聯分析的研究，利用機器學習讓基于攻擊目標的攻擊行為的攻擊過程邏輯結構清晰地展現出來，提高應急響應效率。機器深度學習廣泛應用在人工智能領域、語音處理領域、模擬識別領域、機器翻譯領域等信號處理領域。機器深度學習算法用來訓練自動提取和篩選有效的攻擊特征黑樣本，并有效解決了抓取檢測數據特征而消耗大量系統資源的問題，在入侵檢測效率上有大幅度的提高。

8 總結與展望

網絡安全問題的研究需要有前瞻性和開拓性，需要引入新方法和新思維，不能局限于當前的入侵檢測方法。針對未來的遠景期望，面對日益嚴重的網絡安全問題，我們需要更加智能化的入侵檢測手段。根據不同的入侵場景，在基于機器自主深度學習和基于深度神經網絡的樣本提取中，結合大數據深度挖掘和人工智能技術，使用針對性的入侵檢測方法是未來時期網絡安全研究的重點方向。

⑴許聰源.基于深度學習的網絡入侵檢測方法研究[J].浙江大學，2019，6.

⑵郝科偉.基于機器學習方法的網絡入侵檢測技術研究[J].西安科技大學，2018，6.