計算機網絡安全中的入侵檢測技術分析與應用

文/喬玉萍

（甘肅省電力投資集團有限責任公司，甘肅 蘭州 730046）

互聯網、信息化技術的高速發展，以及計算機網絡安全空間具有開放性與共享特征，導致網絡安全攻擊事件不斷增加，各種惡意軟件攻擊事件、勒索事件層出不窮，給企業、社會造成很大的不良影響以及經濟損失。[1]因此，現階段急需研究如何有效防范網絡攻擊問題。

現階段，國內外對網絡安全防護措施研究的方向，主要分為被動式防護與主動式防護兩種。被動式防護措施的主要代表是防火墻技術；主動式防護措施的主要代表是入侵檢測技術，在20世紀80年代提出，從基于主機的發展，到基于網絡方面發展應用。現階段，入侵檢測技術的發展方向已經是混合型、分布式系統等方向發展。[2]

1.入侵檢測技術概念分析

入侵檢測技術是指，實時監控與分析計算機與網絡通信安全狀況，將采集到的數據與信息進行識別與分析，檢測網絡通信中的異常現象，主動進行跟蹤、分析、對比、計算以及響應等功能，檢測系統或網絡中是否存在攻擊痕跡及違反系統網絡的安全策略行為，及時發現與預警報告監測目標系統中異常現象或未授權活動，并對這些攻擊與反常行為進行隔離阻止等處理，充分發揮網絡安全的防護作用。入侵檢測軟件與硬件組合，形成了入侵檢測系統，稱為IDS系統。

2.入侵檢測技術類型分析

2.1 異常入侵檢測技術

檢測機構通過對系統中的異常行為進行實時監測，利用參數數學模型（該模型包括了深度學習、可視化分析、傳統機器學習以及強化學習等相關技術）的高斯隨機變量模型，設置好單變量范圍值，再將異常行為與正常行為進行對比分析，若發現該行為的偏離值超過設置范圍，就會及時發出預警信息。

2.1.1 模型方式

由于網絡流量行為具有短期特征與長期特征的特點，其中長期特征具有良好的穩定性與規律性，檢測機構利用該特征，就可通過對網絡流量情況進行實時監控、預測與分析，提前發現異常網絡流量，及時發現或識別潛在入侵攻擊事件。異常入侵檢測技術主要有統計模型方式、數據挖掘方式、自相似特征方式以及累積和方法等四種。

（1）統計模型方式。異常入侵檢測利用統計模型方法，使入侵檢測技術可以學習主體的行為特征，將正常行為某一范圍值外具有統計值偏差較大的行為定義為異常行為。一般使用的統計模型主要有時間序列分析模型、方差模型以及馬爾柯夫過程模型等三種。檢測機構通過將流量的預期、方差、統計參數與統計模型的結合，然后采用假說檢驗的方式對疑似攻擊行為進行檢測。

（2）數據挖掘方式。數據挖掘方式是通過在海量的、隨機的以及模糊的數據中進行分析計算，從中盡量提取較多的安全信息，然后抽象出有利于進行判別和比較的特征模型。該特征模型可以分為異常檢測行為的描述模型與常量檢測的特征向量模型兩種。檢測機構看利用計算機對該模型進行計算分析，判斷當前的特征行為的相關性質。現階段應用的數據挖掘算法主要有序列分析、數據分類以及關聯規則等三種。目前，數據挖掘方式的入侵檢測技術是通過對不同網絡應用環境，進行不同的特征模型訓練，靈活應用性較差。

（3）自相似特征方式。自相似特征方式是在網絡線路上的負載，隨著時間的推移與擴展，經常性出現自相似的特征模式。檢測機構可將自相似特征方式與小波分析方法相結合，依據網絡流量中Hurst參數的變化檢測，發現潛在攻擊事件。

（4）累積和方法（CUSUM）。累積和方法是統計過程控制中常用的算法，它可以檢測統計過程中均值的變化，通過使用累積和算法進行基于網絡流量異常檢測，及時發現網絡流量中的異常或潛在攻擊。這種方法相比上述流量入侵檢測方法具有更高的靈活性、實用性，但是由于其自身具有異常值回歸緩慢的問題，導致入侵檢測技術出現誤報的情況，需要進一步優化和改進。

2.1.2 相關技術

現階段，異常的入侵檢測技術領域中擁有眾多的相關技術，如基于傳統機器學習的入侵檢測技術、強化學習的入侵檢測技術、可視化的入侵檢測技術以及基于深度學習的入侵檢測技術。

傳統的機器學習由于需要人工進行選取，同時網絡中的數據如井噴式出現，特征多樣性與數據復雜性已經超過了傳統機器學習能力，因此無法滿足現階段入侵檢測技術對網絡安全防護的需求。

基于深度學習的入侵檢測技術利用深度學習有效地處理多維度模式的識別問題，主要從生產方式、判別方式以及生成對抗網絡等三個方面來進行表述。生產方式主要包括自動編碼器、深度玻爾茲曼機、深度信念網絡、循環神經網絡等方式。判別方式是采用卷積審計網絡。生成對抗網絡是通過生成模型和判別模型的相互比較、相互學習產生高質量輸出。

2.2 誤用入侵檢測技術

誤用入侵檢測技術通過收集異常操作的行為特征來構建相關特征庫。當被監控的用戶或系統行為與庫中的記錄相匹配時，該用戶或行為就會被判定為入侵。所有入侵行為和手段都可以被識別并表示為一種模式（如攻擊簽名），可以使用匹配方法找到入侵。誤用檢測的優點是誤報率低、計算量較小；缺點是只能找到已知的攻擊，與未知的攻擊無關，而且模式庫很難統一定義，簽名庫必須不斷更新。

基于專家系統的入侵檢測方式將安全專家的知識表達為IF-THEN規則，形成專家知識庫，然后利用推理算法進行入侵檢測。編碼規則將攻擊的必要條件描述為IF的一部分，當規則左側的所有條件都滿足時，將執行規則右側的動作。入侵檢測的開發者不需要了解專家系統的內部功能和流程，但需要編寫確定規則引擎和規則的代碼。字符串匹配是通過假設入侵對應特定的字符序列模式，再對用戶字符模式進行監測，然后將該模式與入侵模式進行匹配，檢測匹配項高的行為就會被判定為攻擊行為。條件概率誤用入侵檢測方式屬于概率論范疇，通過對貝葉斯方法進行改進優化，需要提前給出先驗概率。檢測機構可通過將入侵方式對應一個事件序列，再觀測事件的發生情況，推測入侵事件的發生概率。

3.結果分析與應用

通過對數據來源劃分的入侵檢測技術一般分為網絡入侵檢測與主機入侵檢測兩種技術。網絡入侵檢測是對網絡流量進行實時檢測，查看數據包信息，檢測這些數據包信息是否符合入侵行為。網絡入侵檢測技術可以監視整個網絡，無須每臺主機上都安裝對應的軟件。但是網絡入侵檢測技術無法很好地獲取監視系統中的內部狀態信息，無法做到精準的異常檢測工作。

主機入侵檢測技術是對監控的主機系統的日志、文件修改信息、系統狀態以及相關活動檢測是否出現異常行為，及時預警。主機入侵檢測技術能夠在發送和接收數據前，對這些信息數據進行掃描，及時發現數據流量中的異常行為，掃除內部風險與威脅，但是需要在每臺主機上都安裝對應的軟件，并且只能針對有軟件的主機進行檢測。

4.入侵檢測響應機制

入侵檢測技術的檢測響應機制主要從系統用戶、操作運行環境、系統目標以及規則或法令需求等要素來考慮制定相應策略。其中，入侵檢測技術用戶可以根據對系統的使用要求、目的、方式等因素，劃分為網絡安全專家或管理員、系統管理員以及安全調查員等三種。操作運行環境是為入侵檢測技術提供信息以及運行環境。系統目標是為用戶提供關鍵數據和業務的系統。規則或法令的需求是在某種特定環境中，允許使用主動防御甚至攻擊技術來抵抗或攻擊入侵行為。

5.結語

互聯網信息化技術的高速發展與應用，使得計算機網絡安全面臨巨大的挑戰，為了很好地解決計算機網絡安全方面的隱患，本文建議采用一種主動的安全防護措施——入侵檢測技術。該項技術融合了統計學習、深度化學習、傳統機器學習、強化學習以及可視化分析等技術，能滿足當前計算機網絡安全措施需求。入侵檢測技術雖然能在計算機網絡安全防護措施中起到關鍵作用，但隨著相關技術的發展，檢測機構需要做好相關技術的創新與優化，與時俱進，從而更好地應對計算機網絡安全的新挑戰。