基于人工智能算法的入侵檢測技術研究

摘 要：隨著網絡信息化的快速發展，網絡系統所受到的威脅越來越多，網絡安全問題日益嚴重，靜態網絡安全防御技術對于新型的網絡攻擊所起的作用非常小，為了有效保護網絡的安全，必須采用入侵檢測等主動型網絡安全防御技術。本文介紹了入侵檢測技術的分類以及基于神經網絡和遺傳算法的入侵檢測技術。

關鍵詞：入侵檢測；神經網絡；遺傳算法

中圖分類號：TP393 文獻標識碼：A 文章編號：1674-7712 （2013） 22-0000-01

入侵是指未經授權的試圖繞過計算機或網絡的安全機制進行非法數據訪問或者篡改數據等危害網絡資源保密性、完整性或可用性的行為。入侵檢測是一種主動的網絡安全防御技術，有效彌補了靜態安全防御技術的不足，能夠對網絡系統提供全面保護。因此，對于入侵檢測技術的研究是很有必要的，而智能化的入侵檢測技術是其中一個研究重點。

一、入侵檢測技術分類

（一）按數據來源分類

1.基于主機的入侵檢測。基于主機的入侵檢測通常以主機系統事件和日志文件作為主要數據來源加以分析，對攻擊事件進行分析、自動檢測審計記錄來發現攻擊，選擇適當方法來抵御攻擊。基于主機的入侵檢測系統保護的目標僅僅是運行該系統的主機，對于網絡環境下發生的大規模攻擊行為通常做不出及時反應。

2.基于網絡的入侵檢測。基于網絡的入侵檢測使用網絡中傳輸的數據包作為主要數據來源，通過統計分析、模式匹配等手段判斷是否發生攻擊行為，能夠實時監控網絡中的數據流量，在攻擊發生時就能將其檢測出來，并做出快速響應。

（二）按檢測方法分類

1.異常入侵檢測。異常入侵檢測是一種基于行為的檢測，根據目標系統的正常行為模式創建狀態模型不斷更新，將用戶行為的各參數與模型中的特征值相比較，若兩者相差較大則視為入侵行為。在檢測過程中，有些正常用戶行為僅僅是因為改變了以往的行為習慣而產生了新的行為，這些行為與狀態模型庫中的值偏差較大，但并不是真正的入侵，會有誤報情況出現，誤報率較高是異常入侵檢測不可避免的問題。

2.誤用入侵檢測。誤用入侵檢測是一種基于知識的檢測，將已知的攻擊方法進行歸納分析創建入侵行為模式狀態模型庫，將實際用戶行為數據與模型中的特征值進行特征匹配或規則匹配，若發現滿足條件的匹配則視為入侵行為。但它檢測范圍很有限，只能檢測出預先定義好的已知入侵行為，對未知入侵行為不能做出正確的響應，所以不斷更新入侵行為模式庫才能保證檢測的完整性。

（三）按響應方式分類

1.主動入侵檢測。主動入侵檢測是在檢測出入侵行為后主動對其進行響應處理，采用的響應方式有自動修復目標系統漏洞、強制關閉相關服務端口或者對有可疑行為的用戶強制其退出系統登錄等。

2.被動入侵檢測。被動入侵檢測是在檢測出入侵行為后只產生報警信息而不主動進行響應處理，系統安全管理員收到報警信息辨別入侵行為，進而對入侵行為進行處理。

（四）按體系結構分類

1.集中式入侵檢測。集中式入侵檢測將系統的各個模塊都集中在一臺主機上，包括收集數據、分析數據及響應處理，它適用于網絡環境比較簡單的情況。

2.分布式入侵檢測。分布式入侵檢測將系統的各個模塊分布到網絡上不同的計算機設備中，通過收集合并多個主機的審計數據作為主要數據來源，對這些數據進行分布式監聽、集中式分析，并通過檢查網絡的通信，可以檢測出由多個主機共同發起的協同攻擊行為，它適用于網絡環境比較復雜的情況。

二、智能化入侵檢測技術

（一）神經網絡

神經網絡是基于模仿人腦結構和功能而形成的一種智能化信息處理技術，它具備自適應、自學習的能力，可以發展知識，適合處理背景知識不確定、背景信息很復雜的問題。它的學習方式有兩種：一是有監督的學習，利用給定的樣本標準進行分類或模仿學習；二是無監督的學習，不給定學習樣本，只規定學習方式或某些規則，根據系統所處的環境產生不同的學習內容，自動發現環境特征和規律性，此時具有更接近人腦的功能。正是由于神經網絡的自我學習能力使其在入侵檢測領域得到了很好的應用。

（二）遺傳算法

遺傳算法是基于自然選擇和遺傳機理的自適應全局優化概率搜索算法，該算法通過使用計算機模擬生物遺傳和進化過程的方法使得系統具有自學習和優化能力并且適應能力強等特征，它是現代有關智能計算方面的關鍵技術。遺傳算法的優點主要有：對數據對象的個體編碼進行運算，有效地使用遺傳算子解決非數值個體的優化問題；每一代群體中有多個個體，每一次迭代都是對數據集合中的多個個體進行搜索，所以搜索效率較高；它是一種自適應概率搜索技術，以一定的概率確定是否執行各種遺傳操作，所以搜索更靈活。

（三）遺傳算法結合神經網絡的入侵檢測技術

神經網絡技術在智能控制、模式識別、信號處理等方面得到了快速發展，已經滲透到計算機的各個應用領域，但仍然存在一些難以解決的問題。由于遺傳算法全局搜索能力強，利用它的優點可以克服神經網絡算法收斂慢和易局部收斂的問題，兩者相結合，也解決了單獨利用遺傳算法不易在短時間內搜索到接近最優解的問題。

1.將遺傳算法用于神經網絡訓練。將神經網絡中所有可能存在的神經元的連接權值編碼成二進制碼串表示的個體，利用遺傳算法進行常規的優化計算。將碼串解碼成神經網絡，通過計算此神經網絡的所有訓練樣本產生的平均誤差來確定個體的適應度。采用這種方式遺傳算法的運算量較大，當優化設計解決復雜問題的大規模神經網絡時，遺傳算法的搜索空間會急劇增大。

2.利用遺傳算法優化神經網絡結構。利用遺傳算法優化設計神經網絡的結構以及神經網絡的學習規則和與之相關聯的參數。對于每個選擇的個體都解碼成未經訓練的神經網絡，將其結構模式和學習規則編碼成碼串表示的個體，再對神經網絡進行訓練以確定神經網絡的連接權值，此時遺傳算法搜索的空間相對較小。

三、結束語

本文研究了基于神經網絡和遺傳算法的入侵檢測技術，隨著神經網絡和遺傳算法理論的進一步完善，兩者結合可以應用在很多技術領域。

參考文獻：

[1]黃羅光.基于遺傳算法的網絡入侵檢測技術研究[D].浙江工業大學，2011.

[2]張梁.基于智能化的入侵檢測研究[D].河北工業大學，2011.