智能化入侵檢測算法研究綜述

方　向，王麗娜,2，賈　穎

(1.山東工商學院 計算機與科學技術學院，山東 煙臺 264005；

2.西北工業大學 管理學院，陜西 西安 710072)

?

智能化入侵檢測算法研究綜述

方向1，王麗娜1,2，賈穎1

(1.山東工商學院 計算機與科學技術學院，山東 煙臺 264005；

2.西北工業大學 管理學院，陜西 西安 710072)

Foundation Item:Programs for Science and Technology Development,Shandong Province,China (No.2014GGX101044)

摘要：入侵檢測作為網絡安全的第二道閘門，在網絡信息安全中具有重要的作用。智能化入侵檢測算法能夠發現入侵事件及其規律，已成為業界關注的焦點。首先，介紹了入侵檢測的定義和入侵檢測技術發展的重要事件；然后，在分別介紹各種智能算法的基礎上，綜述近十年來國內外相關研究成果，對各種智能算法在入侵檢測系統中的優勢和局限進行了總結分析；最后，結合入侵檢測技術的發展情況，指出了該領域面臨的挑戰和未來的研究方向。

關鍵詞：入侵檢測；機器學習；智能算法；技術集成；移動網絡

0引言

隨著計算機技術和通訊技術的迅猛發展，計算機網絡已經成為人們工作、學習和生活不可缺少的工具，給人們帶來極大的便利。然而，由于計算機網絡自身具有的開放性、共享性和國際性的特點，計算機網絡安全面臨著巨大的挑戰[1]。可以毫不夸張地說，網絡信息安全問題已成為制約網絡發展的重要因素之一，并且隨著網速的不斷提高、網絡服務日趨多元化，該問題變得日益突出和嚴重[2]。

2015年7月23日，中國互聯網絡信息中心(CNNIC)發布了《第36次中國互聯網絡發展狀況統計報告》。報告顯示，截至2015年6月，我國網民規模達6.68億，互聯網普及率為48.8%，較2014年底提升了0.9個百分點。2015年4月30日，國家互聯網應急中心(CNCERT)發布了《2014年我國互聯網網絡安全態勢報告》，數據顯示，2014年CNCERT通報的漏洞事件達9068起，較2013年增長3倍；捕獲惡意程序樣本達95.1萬余個。與此同時，維護網絡安全已列入政府工作報告，并成立中央網絡安全和信息化領導小組，習近平親任組長，體現了中國保障網絡信息安全、維護國家利益的堅決態度。

網絡信息安全是由防護、檢測、反應和恢復4個層次構成的一種綜合防御體系[3]。入侵檢測作為一種主動防御技術，它彌補了防火墻等傳統安全技術的不足，當之無愧地成為網絡安全的第二道防線，必然成為網絡信息安全防御系統的一個重要組成部分。入侵檢測方法及相關關鍵技術研究已成為網絡信息安全領域的研究的熱點課題[4-6]。

1入侵檢測的定義及發展歷程

入侵檢測是指通過一定的安全策略，分析從計算機網絡中若干關鍵節點采集的信息，從而發現是否有違反安全策略的行為或網絡入侵的行為/跡象，識別出正在發生的入侵企圖或已發生的入侵活動。

對入侵檢測技術的研究始于1980年4月，美國人James P. Anderson做的《計算機安全威脅監控與監視》的技術報告。在該報告中，首次提出了入侵及入侵檢測的概念[7]。

1986年，W.T.Tener在IBM主機上用COBOL開發了Discovery系統，成為入侵檢測系統(IDS)的鼻祖。同年，Dorothy E. Denning等提出入侵檢測系統抽象模型——入侵檢測專家系統(Intrusion Detection Expert System,IDES)，成為入侵檢測模型的模板(見圖1)[8]。在IDES基礎，Herberlein等于1990年開發出第一個真正意義上的入侵檢測系統——NSM(Network Security Monitor)。

圖1　IDES入侵檢測模型

1997年，DARPA(美國國防部高級研究計劃署)于提出了公共入侵檢測框架(Common Intrusion Detection Framework, CIDF)(見圖2)[9]。

1998年，Ross Anderson和Abida Khattak將信息檢索技術引進入侵檢測領域；W.Lee和Stolfo將數據挖掘技術引入到入侵檢測領域。從此，研究者們將各種智能信息處理理論與技術廣泛應用于入侵檢測系統。

圖2　CIDF系統結構

研究者們紛紛提出了各種入侵檢測算法及其優化方法，主要包括：貝葉斯分類器、馬爾可夫模型、粗糙集、人工免疫原理、支持向量機及各種算法相融合的混合智能算法。

李冠廣提出了基于分治理論的貝葉斯網絡分類器，并將且應用于的入侵檢測系統，采用分治思想降低貝葉斯分類器對屬性獨立性的前提要求[10]。Murthy等提出基于貝葉斯和遺傳算法的混合入侵檢測技術。首先，用貝葉斯分類器將訓練集進行分類，然后將其作為初始數據集，采用遺傳算法進行變異操作，產生新的數據集，從而提高入侵檢測的檢測率[11]。

Sperotto等發現：當發生SSH強力攻擊時，網絡數據包流量會發生明顯變化，提出了基于隱馬爾可夫模型的SSH強力攻擊網絡流量的時間序列，成功地模擬了攻擊者的行為，產生有意義的流量時間序列[12]；并進一步提出了將隱馬爾可夫模型應用于SSH強力攻擊的入侵檢測方法[13]。

Thomas C. 等提出基于數據的決策模型，該模型具有更強的適應性，并且提高了整體檢測率，降低了誤報率[14]。

谷雨等提出了一種基于免疫多樣性的分布式入侵檢測方法，采用隨機子空間方法生成多樣化的SVM個體，再用人工免疫算法進化個體，引入Q統計量和互信息作為抗體多樣性的度量，最后用集成的思想將種群中各檢測器的結論進行合成。該方法檢測精度高于單個SVM和Bagging方法，并提高了檢測系統的健壯性[15]。Chitrakar R和Huang C提出半劃分選擇策略和保留那些在后續的增量SVM中可能成為支持向量的非支持向量——候選支持(CSV)，并設計了一種用于增量SVM的候選支持向量算法，實驗結果和性能分析表明在實時網絡入侵檢測方面，其優于傳統的SVM分類[16]。井小沛在網絡入侵檢測中引入了偽一致性變換函數，修正以黎曼幾何為基礎的核函數，解決了由于數據集合不平衡導致的SVM分類出現偏移[17]。Kelton A.P. Costa等用自然啟發式算法優化最佳路徑森林算法(OPFC)，有效地提高了入侵檢測系統的速度[18]。

目前，對入侵檢測智能算法的研究主要集中：降低入侵檢測算法的時間復雜度和空間復雜度，提高入侵檢測速度減少入侵檢測空間；提高入侵檢測率，降低誤報率和漏報率；提高系統的自適應能力。引入多技術，并將其進行有機融合，形成優勢互補，將入侵檢測系統與其它的網絡安全系統相結合，共同形成安全防護體系，提高網絡的安全性。與外，隨著云計算、物聯網的發展，新環境下的入侵檢測智能算法也是該領域的研究熱點。

2智能化入侵檢測算法

目前，根據攻擊類型可以交IDS分為3類：誤用檢測(Misuse detection)、異常檢測(anomaly detection)和符號檢測[19]。

誤用檢測：收集總結非正常行為或系統漏洞的特征并建立相應的特征庫，當檢測到用戶或系統的當前行為與特征庫相匹配時，則將該行為認定為入侵行為。異常檢測：收集總結正常行為應具有的特征，并建立參考模型，當檢測到用戶或系統的當前行為與參考模型有較大偏離時，則將該行為認定為入侵行為[20]。符號檢測：通過手工輸入的方式設置攻擊行為的特征或正常行為的特征。

實踐中，眾多學者常將多種檢測方法相結合，稱為混合檢測；在設計檢測算法時也常將兩種或多種智能算法相結合，以實現對入侵行為的更優檢測。

2.1決策樹和隨機森林

1998年，W. Lee將數據挖掘技術引入入侵檢測領域時，使用的就是決策樹算法將入侵檢測問題轉化為審計數據的分類問題，決策樹是最早應用于入侵檢測領域，具有代表性的誤用檢測技術[21]。

決策樹(Decision Tree,DT)，是一種有向無環的樹型結構，作為預測模型，它表示對象屬性與對象值之間的一種映射關系。J.R.Quinlan于1986年提出了只能處理離散數據的決策樹算法ID3，在1993年又提出了ID3的改進算法C4.5，該算法能夠處理連續類型的屬性。決策樹是通過輸入大量的類別訓練樣本，最終生成一棵輸出決策樹。將其應用于入侵檢測時，決策樹中的每一條從根結點到葉子結點的通路都對應一條檢測規則。

利用決策樹進行入侵檢測時，僅需對入侵情況進行檢測，正常行為的枝可以剪去。由于入侵行為的判斷只需進行簡單的數據對比，并且在處理以離散型居多的入侵數據屬性時還可以省去數據的離散化過程，因此，基于決策樹的入侵檢測算法學習能力強，速度快，訓練結果直觀易懂；缺點在于對訓練數據的依賴程度高，且大量的相似數據訓練時會出現過擬合現象。

2.2人工神經網絡

人工神經網絡(Artificial Neural Networks, ANN)是在對人腦神經網絡認識的基礎上，用數理的方法，從信息處理角度對人腦神經元進行抽象，建立某種簡化模型，并將這些神經元模型廣泛地相互連接而組成的復雜網絡系統[22]。1943年，心理學家W.S.McCulloch和數理邏輯學家W.H.Pitts最先提出了一個簡化的神經元數學模型(MP模型)，如圖3所示[23]。神經元模型作為ANN的基本組成單元，由輸入層、隱層和輸出層三部分構成。

圖3　神經元數學模型

其中θj為闕值，wij為神經元i到j的連接權重。f( )稱為激勵函數或傳遞函數。

ANN因其具有的獨特模型結構、非線性模擬能力、超強的學習和自適應能力，在入侵檢測系統中得到廣泛應用。先用一系列典型的用戶活動和對應的輸出結果訓練人工神經網絡，網絡通過自學習，建立正常行為模式和入侵行為模式；再輸入用戶的行為特征時，就能夠進行相應分類。將ANN應用于入侵檢測領域能提高檢測率，減少誤報率；但存在泛化能力不強；由于計算量過大而導致訓練時間過長的不足。近年來，有些學者嘗試使用LVQ(學習向量量化Learning Vector Quantization)神經網絡，首先針對某種入侵模式構建具有單一識別能力的簡單小網絡，再將這些小網絡聯合構建為功能強大的網絡，這樣在更改或加入新的入侵模式時，只需對網絡進行局部訓練調整。從而提高了訓練速度[24]。

2.3貝葉斯網絡

貝葉斯網絡分類器(Naive Bayes,NB)是利用概率統計知識進行分類的一類算法，核心思想是利用先驗概率估計后驗概率，屬于無監督的機器學習[25]。

將網絡結點間的鏈接概率用一個有向無環圖的形式表達出來就是貝葉斯網絡，在圖中結點代表隨機變量，弧表示父結點與子結點之間的依賴關系，并用條件概率集表達聯接的概率分布，這樣結點間隱含的因果關系就簡潔有效地表達出來了[26]。

基于貝葉斯網絡的檢測方法，入侵的每個步驟在網絡中表示為結點；入侵步驟之間的關系表示為弧；各單步入侵間的關系量化為條件概率分布集，具體的值可以通過對網絡進行訓練得到[10]。由于貝葉斯網絡考慮數據集的先驗概率和樣本的整體性，因而能夠進行定量分析，有效地避免了過擬合現象；還能識別出新的未知的入侵行為，在訓練特征正確的前提下，能夠保障檢測的穩定性。缺點是:要求各個屬性為獨立隨機變量；在實際應用時，并不能保證訓練的數據的純凈，從而影響了檢測的性能。貝葉斯網絡算法已經非常成熟，很多學者將其進行改進，主要集中在對參數的調控[27]和緩解算法對屬性獨立性的要求[28]。

2.4支持向量機

支持向量機(Support Vector Machine, SVM)是Vapnik等在多年研究統計學習理論的基礎上，于20世紀90年代初提出的一種分類器。針對線性可分情況進行分析；對于線性不可分情況，通過特征映射函數φ(Xi):Rn→H將其從低維輸入空間Rn轉化到高維特征空間H，使其線性可分，從而在H空間采用線性算法對非線性特征進行線性分析。它的決策過程只依賴于H空間中向量內積的運算，即核函數K(xi,xj)，分類決策函數可以表示為：

SVM是建立在統計學習理論的VC維理論和結構風險最小化基礎上的，因此能根據少量的樣本、通過選取合適的核函數解決維數問題。SVM應用在入侵檢測中訓練速度快，在有未知的攻擊行為時仍能保證較高的檢測度，并能與其它方法通過核函數進行融合改進；缺點在于：建模時，存在核函數難以選取的問題，算法的高度復雜性決定了其對內存的需求較大，在大的數據集上運行速度較慢[29]。目前對SVM的研究主要集中在：核函數的選取、參數的調整、加權SVM算法、雙或多SVM算法、混合策略的檢測。

2.5極限學習機

2004年，南洋理工大學黃廣斌(Huang G.B)等提出了泛化的單隱層前饋神經網絡，將SVM作為神經網絡，把神經網絡的輸入層到最后一層隱含層的部分或者SVM核函數映射的部分都看成了從輸入空間到一個新的空間的轉換，神經網絡將誤差反向傳播更新權值使得誤差最小化，而SVM則力求找到最大分界間隔的分界面，將新空間映射到輸出空間，也就是極限學習機(Extreme Learning Machine， ELM)算法[30]。

ELM作為一個性能優良的分類器，在大規模多層次學習問題上具有訓練時間短，訓練參數少的優勢。將其應用到大規模網絡入侵檢測系統中，由于其有效性和擴展性，降低了計算復雜度；具有良好的泛化能力和較快的速度；極限學習機在保證分類準確率的前提下，對空間和時間的消耗遠遠低于支持向量機算法[31]；也存在內外權值的優化和核函數的選取等問題。

2.6其它

被用到的人工智能算法還有遺傳算法(GA)、粒子群算法(PSO)、蟻群優化(ACO)、人工免疫算法、危險理論算法、相關規則、差分進化算法、K近鄰等等。鑒于篇幅所限，在此不贅述。

選取了這一時期的某些研究成果，見表1[36]。

表1　各智能算法的檢測率比較

2.7智能優化的混合算法

大批學者在實際應用研究中發現：單一的智能算法作用有限；如果采用一種算法為主體，另一種智能算法的思想對其進行優化，效果更好。上世紀70年代初，學者開始嘗試將多種智能算法相結合，取長補短得到更優的參數[32]。這一多算法相結合的思想也很快被應用于網絡入侵檢測領域，我們對近十年來的相關研究進行了歸納，見表2；在2005年之前的研究成果請參考文獻[3]。

表2　多算法融合比較

這些算法中，ANN和SVM是最受歡迎的主體算法，常用的融合算法有遺傳算法、模糊邏輯、決策樹等。在入侵檢測系統中，合理利用樣本信息并通過合適的智能優化混合算法，可以大大提高入侵檢測系統的預測精度，降低誤報率，提高入侵檢測的速度，在得到良好檢測效果的同時，提升系統的穩定性和可靠性。可見，結合或整合兩種不同的智能算法構建分類器，以提高入侵檢測系統的性能是未來的研究趨勢和研究熱點。

3未來工作

入侵檢測系統作為網絡安全多層防護體系的重要組成部分之一，引起了工業界和學術界的廣泛關注。本文對入侵檢測系統的智能化算法相關工作進行了總結和分析。總體來看，現有入侵檢測系統性能已較前有大幅度的提升，但在提高速度，提高檢測準確率、降低誤報率和漏報率、提高自適應性、加強分布性等方面仍有許多有意義的問題值得研究，歸納如下：

3.1提高運行效率

隨著千兆以太網的大范圍應用，網絡用戶和網絡資源的持續快速增長，網絡流量急劇增加，IDS要解決海量數據包的捕獲識別問題；同時，高速的網絡環境又要求入侵檢測執行時間必須大幅縮減。

目前，主要通過在數據的預處理將數據轉提純轉換或采用降維的方法，減少訓練集中樣本的特征維數，保留本質的核心特征，減少一些不必要的特征；在訓練階段，用各種構造函數替代原始數據集中的樣七數據，如用概率分布核函數或通過分布系統均衡負載。

將原始數據的特征進行融合，關聯特征或者冗余特征的處理，尋找更為可行的特征提取方法；尋用更為科學有效的函數替代原始數據集；分布式網絡系統中如何建構結點及負載均衡等等都是未來的提高運行效率的途徑。

3.2安全技術的集成

入侵檢測系統作為網絡安全防護體系中的一員，必須與防火墻、加密技術、安全認證、殺毒軟件以及防病毒系統等實現動態聯動，形成一個綜合的立體式縱深防御體系。

對于入侵檢測系統，也要引入各學科新的思想、實現多種智能算法的交叉融合，形成優勢互補的有機智能檢測系統。當前物理學、生物學、心理學新的理論和新的技術，如數據挖掘、人工智能、機器學習和深度學習等的借鑒和使用。

目前，美國Secure Decisions公司的安全決策系統產品，集成了入侵檢測系統、防火墻、掃描器等功能，并能可視化處理報警數據。但從國家安全角度考慮和受美國出口政策的影響，國外的安全系統并不能解決我國的實際問題，因此，網絡安全防護體系的聯動問題仍然是我國廣大專家學者必須面對和解決的緊迫問題[41]。

3.3檢測算法評價數據集

目前，很多智能檢測算法的評價都是直接使用現有的KDD CUP 99數據集和 DARPA2000進行測試。雖然這兩個數據集是入侵檢測領域的經典數據集，但它們使用的時間較長，且都在后期進行了人工處理，與現在的網絡安全實際環境，存在越來越大的差異。已有許多研究者對其檢測的可信度提出質疑。

因此尋找更為合適的數據集進行智能算法的模擬和評測是非常緊迫和重要的工作。

3.4適應新環境的入侵檢測算法

近年來，智能移動終端、物連網、云計算機等等的迅猛發展。然而在新環境下入侵檢測算法的研究卻遠遠落后于需求，在云計算方面的入侵檢測平臺非常罕見。因此，如何利用當前的多核處理器與分布式處理技術，云計算技術實現對于入侵攻擊的檢測，已成為業界亟待解決的問題之一。

4結語

本文回顧了各種智能化入侵檢測算法的研究成果，給出了各種算法的基本概念與基本模型，著重展示了近十年來智能化優化的混合算法在網絡入侵檢測系統中的應用。并在此基礎上，討論了智能化入侵檢測算法的未來發展趨勢。

35年來，盡管入侵檢測系統一直受到“花瓶”的詬病，但研究者們從未放棄對入侵檢測技術的研究。隨著網絡環境的不斷變化，新的攻擊技術和攻擊手段不斷涌現，對入侵檢測系統提出更高的要求，如：檢測的效率、檢測的準確率、分布式檢測、大數據挖掘、攻擊意圖的識別、專業領域的入侵檢測系統以及入侵檢測系統自身的實時性、安全性等等。這些問題的解決在很大程度上依賴于智能化入侵檢測算法的研究，將智能算法應用于入侵檢測系統在未來會有更大的發展。

參考文獻：

[1]劉遠生 辛一.計算機網絡安全[M].北京：清華大學出版社2009.

LIU Yuan-sheng, XIN Yi. Computer Network Security [M]. Beijing: Tsinghua University Press, 2009.

[2]LI W, XIANG D. Information-Theoretic Measures for Anomaly Detection: Proceedings of the 2001 IEEE Symposium on Security and Privacy[C]. May, 2001:130-143.

[3]卿斯漢,蔣建春,馬恒太,文偉平,劉雪飛.入侵檢測技術研究綜述[J]. 通信學報,2004,25(7):19-29.

QING Si-han, JIANG Jian-chun, MA Heng-tai, WEN Wei-ping, LIU Xue-fei. Research on Intrusion Detection Technology :a Survey[J]. Journal of China Institute of Communications, 2004, 25 (7) : 19- 29.

[4]Kumar S. Classification and Detection of Computer Intrusions[D]. Dissertation, Purdue University,1995.

[5]Lippman R, Haines J W, et al.Analysis and Results of the 1999 DARPA Off-Line Intrusion Detection Evaluation: Proceedings of the 3rdInternational Workshop on Recent Advances in Intrusion Detection[C], 2000:162-182.

[6]Dhurjati D, Bollineni P. A Fast Automaton-based Method for Detecting Anomalous Program Behaviors: Proceedings of the 2001 IEEE Symposium on Security and Privacy[C]. Oakland, California.2001:144-155.

[7]Anderson J P. Computer Security Threat Monitoring and Surveillance[R]. James P Anderson Co, Fort Washington, Pennsylvania,1980.

[8]Dorothy E. Denning. An Intrusion Detection Model[J].IEEE transaction on software engineering,1987,13(2):222-233.

[9]CHEN S, TANG B, Schnackenberg D. The Common Intrusion Detection Framework-Data Formats[R]. Internet Draft Draft-ietf-cidf-data-formats-00.txt,1998.

[10]李冠廣.基于貝葉網絡的入侵檢測[D].大連：大連理工,2010.

LI Guan-guang. Intrusion Detection based on Bayesian Network[D].Dalian:Dalian Institute of Technology,2010.

[11]Murthy Y V S, Harish K, Varma D K V, et al.Hybrid Intelligent Intrusion Detection System using Bayesian and Genetic Algorithm (BAGA): Comparitive Study[J]. International Journal of Computer Applications, 2014, 99(2): 1-8.

[12]Sperotto A, Sadre R. Hidden Markov Model Modeling of SSH Brute-Force Attacks[J].Integrated Management of Systems, Services, Processes and People in IT Lecture Notes in Computer Science 2009,5841:164-176.

[13]Sperotto A, Sadre R, and Pras A. Anomaly Characterization in Flow-based Traffic Time Series [C]. In Proc. of the 8th IEEE Int Workshop on IP Operations and Management, 2008, 15-27.

[14]Thomas, C (reprint author),Coll Engn, Trivandrum, Kerala, India. Improving Intrusion Detection for Imbalanced Network Traffic[J]. Security and Communication Networks, 2013, 6(3):309-324.

[15]谷雨,趙佳樞,張天軍.基于免疫多樣性的分布式入侵檢測算法[J].西安交通大學學報 2006,40(10): 1052-1057.

GU Yu, ZHAO Jia-shu, ZHANG Tian-jun. Distributed Intrusion Detection Algorithm based on Immune Diversity [J]. Journal of Xi 'an Jiaotong University 2006,40(10): 1052-1057.

[16]Chitrakar R, Huang C. Selection of Candidate Support Vectors in Incremental SVM for Network Intrusion Detection[J]. Computers & Security,2014,45:231-241.

[17]井小沛,汪厚祥,轟凱.基于修正核函數SVM的網絡入侵檢測[J]. 系統工程與電子技術.2012,34(5): 1036-1040.

JING Xiao-pei, WANG Hou-xiang , HONG Kai. Network Intrusion Detection based on the Modified Kernel Function SVM [J].Journal of Systems Engineering and Electronics.2012,(5): 1036-1040.

[18]Kelton A P, Costaa, Luis A M Pereirab, Rodrigo Y M, et al. A Nature-Inspired Approach to Speed up Optimum-Path Forest Clustering and Its Application to Intrusion Detection in Computer Networks. Information Sciences, Volume 294, 10 February 2015, Pages 95-108.

[19]周奇,基于移動代理WSN分布入侵檢測研究[J].通信技術,2012,45(04):34-37.

ZHOU Qi. Mobile Agent-based Distributed Intrusion Detection System for Wireless Sensor Network[J]. Communications Technology ,2012,45(04):34-37.

[20]Animesh Patcha, Jung-Min Park. An Overview of Anomaly Detection Techniques: Existing Solutions and Latest Technological Trends[J]. Computer Networks, 2007, 51(12):3448-3470.

[21]Kruegel C, Mutz D, Robertson W, et al. Recent Advances in Intrusion Detection: RAID 2003:6thInternational Symposium. Pittsburgh[C]. PA, USA, 2003: 17-35.

[22]蔣宗禮.人工神經網絡導論[M]. 北京：高等教育出版社2001.

JAING Zong-li. Introduction to Artificial Neural Network [M]. Beijing: Higher Education Press, 2001.

[23]McCulloch W S, Pitts W H. A Logical Calculus of the Ideas Immanent in Nervous Activity[J]. Bulletin of Mathematical Biophysics, 1990,52(1):99-115.

[24]賈鐵軍,劉泓漫.基于MA及LVQ神經網絡的智能NIPS模型與實現[J].小型微型計算機系統,2012,33(8):1836-1840.

JIA Tie-jun, LIU Hong-man. Intelligent NIPS Model and Implementation based on MA and LVQ Neural Network, Journal of Chinese Computer System ,2012,33(8):1836-1840.

[25]韋來生,張偉平.貝葉斯分析[M].合肥:中國科學技術大學出版社,2013.

WEI Lai-sheng, ZHANG Wei-ping. Bayesian Analysis[M]. Hefei: Press of University of Science and Technology of China, 2013.

[26]肖秦琨,高嵩,高曉光.動態貝葉斯網絡推理學習理論及應用[M]. 北京：國防工業出版社,2014.

XIAO Qin-kun,GAO Song,GAO Xiao-guang. Dynamic Bayesian Network Inference Learning Theory and Application[M].Beijing: National Defence Industry Press,2014.

[27]王輝,陳泓予,劉淑芬.基于改進樸素貝葉斯算法的入侵檢測系統[J].計算機科學,2014,41(4):111-115,119.

WANG Hui, CHEN Hong-yu, LIU Shu-fen. Istrusion Detection System based on Improved Naive Bayesian Algorithm[J].Computer Science, 2014,41(4):111-115,119.

[28]姚武軍,魏彬.基于貝葉斯樹和集成學習的異常檢測[J].武漢大學學報:理學版,2014,60(6):497-500.

YAO Wu-jun, WEI Bin. Anomaly Detection based on Bayesian Tree Algorithm and intergrated Learning, J.Wuhan Univ. 2014,60(6):497-500.

[29]連一嶺,戴英俠,干航.基于模式挖掘的用戶行為異常檢測[J].計算機學報,2002, 25(3): 325-330.

LIAN Yi-ling, DAI Ying-xia, GAN Hang. User Behavior Anomaly Detection based on Pattern Mining Chinese Journal of Computers, 2002, 25(3): 325-330.

[30]HUANG G B, ZHU Q Y, Siew C K. Extreme Learning Machine: A New Learning Scheme of Feedforward Neural Networks[C]. Proceeding of the International Joint Conference on Neural Networks, Piscataway, N. J.: IEEE Press, 2004.

[31]李新磊. 改進布谷鳥算法優化極限學習機的網絡入侵檢測[J]. 激光雜志, 2015,36(1):105-108.

LI Xin-lei. Network Intrusion Detection based on Modified Cuckoo Search Algorithm Optimizing Extreme Learning Machine[J]. Laser Journal, 2015,36(1):105-108.

[32]汪定偉,王俊偉.智能優化方法[M].北京:高等教育出版社,2007.

WANG Ding-wei, WANG Jun-wei. Intelligent Optimization Method[M]. Beijing:Higher Education Press,2001.

[33]解男男.機器學習方法在入侵檢測中的應用研究[D].長春：吉林大學,2015.

XIE Nan-nan. Application Research on Instrusion Detection based on Machine Learning. Changchun: Jilin University,2015.

[34]Elhag S, Fernández A, Bawakid A, et al. On the Combination of Genetic Fuzzy Systems and Pairwise Learning for Improving Detection Rates on Intrusion Detection Systems[J]. Expert Systems with Applications, 2015, 42:193-202.

[35]Fossaceca J M, Mazzuchi T A, Sarkani S. MARK-ELM: Application of a Novel Multiple Kernel Learning Framework for Improving the Robustness of Network Intrusion Detection[J].Expert Systems with Applications , 2015, 42:4062-4080.

[36]FENG W, ZHANG Q, HU G, et al. Mining Network Data for Intrusion Detection through Combining SVMs with ant Colony Networks[J]. Future Generation Computer Systems, 2014, 37(7):127-140.

[37]周星,彭勤科,王靜波.基于兩層隱馬爾可夫模型的入侵檢測方法[J].計算機應用研究 2008,25(03)：911-914.

ZHOU Xing, PENG Qin-ke, WANG Jing-bo. Intrusion Detection Method based on Two Layer HMM[J]. Computer Application2008, 25(03): 911-914.

[38]WANG G., HAO J, MA J, HUANG L, A New Approach to Intrusion Detection using Artificial Neural Networks and Fuzzy Clustering[J]. Expert Systems with Applications,2010,37(9): 6225-6232.

[39]Tajbakhsh A, Rahmati M, Mirzaei A, Intrusion Detection using Fuzzy Association Rules[J]. Applied Soft Computing 2009, 9(9):462-469.

[40]Khan L, Awad M, Thuraisingham B. A New Intrusion Detection System Using Support Vector Machines And Hierarchical Clustering[J]. Vldb Journal — the International Journal on Very Large Data Bases, 2007, 16(4):507-521.

[41]劉密霞.網絡安全態勢分析與可生存性評估研究[D].蘭州：蘭州理工大學，2011.

LIU Mi-xia.Status Analysis of Network Security and Its Survivability Evaluation[D].Lanzhou:Lanzhou University of Technology,2011.

方向(1978—)，女，碩士，副教授，主要研究方向為智能信息處理、網絡與信息安全；

王麗娜(1980-)，女，博士，講師，主要研究方向為智能信息處理；

賈穎(1979-),女,博士,講師,主要研究方向為網絡安全與數據處理。

Detection Algorithm for Intelligent Intrusion

FANG Xiang1，WANG Li-na1,2,JIA Ying1

(1.School of Computer Science and Technology,Shandong Institute of Business and Technology,Yantai Shandong 264005,China;

2.School of Computer Science, Northwestern Polytechnical University,Xi’an Shaanxi 710072, China)

Abstract：Intrusion detection, as the second gate of network security, plays an important role in network information security. Detection algorithm for intelligent intrusion could discover intrusion event and its regularity, and thus attracts much attention from the industry. Firstly, the definition of intrusion detection and the most important events in the technical development are described, and then based on the respective introduction of different intelligent algorithms, the related research achievement, over the past decade are overviewed, the advantages and limitations of each intelligent algorithm in detection system also summarized and analyzed, and finally the remaining challenges and future trends in this area are pointed out in combination with the technical development of intrusion detection.

Key words：IDS; machine learning; intelligent algorithms; technology integration; mobile network

作者簡介：

中圖分類號：TP393.08

文獻標志碼：A

文章編號：1002-0802(2015)12-1321-08

基金項目：山東省科技發展計劃項目(No.2014GGX101044)

收稿日期：2015-07-14；修回日期：2015-11-10Received date:2015-07-14；Revised date：2015-11-10

doi:10.3969/j.issn.1002-0802.2015.12.001