綜述“互聯網+”時代下網絡安全異常檢測技術

張志利 姚培娟

（黃河科技學院，河南鄭州 450063）

綜述“互聯網+”時代下網絡安全異常檢測技術

張志利 姚培娟

（黃河科技學院，河南鄭州 450063）

近年來，以移動通信、大數據、云計算等新技術為基礎，傳統行業為內容，互聯網為載體，經濟發展進入了“互聯網+”時代。“互聯網+”給人們帶來直接的經濟和社會效益的同時，也帶來了關鍵性問題——網絡安全問題。基于此，介紹已有的網絡安全檢測模型和算法，以及這些檢測技術的優點和缺點，在此基礎上優化和研究新的模型和算法，以更好地維護和加強網絡安全建設。

異常檢測；網絡安全；檢測算法；“互聯網+”

自從互聯網出現以來，網絡安全問題就一直被大家所關注。特別是近年來，隨著互聯網的高速發展，經濟發展進入了嶄新的“互聯網+”時代。但在“互聯網+”給人們帶來直接的經濟和社會效益的同時，網絡也受到了前所未有的安全威脅。每年全世界因為網絡遭受攻擊而造成的經濟損失達數千億美元，如何保護數據和資源的安全，免受攻擊成為全球面臨的刻不容緩的問題。

目前已有的網絡安全防范技術——入侵檢測技術，分為異常檢測和誤用檢測2種。本文主要討論異常檢測的主要技術和算法。

1 異常檢測技術概述

異常檢測是通過學習系統、應用程序或者用戶等的正常行為習慣，建立特征模式庫，然后將用戶當前行為特征與模式庫中的特征進行比較，以此來發現異常行為。

異常檢測技術具有能發現未知攻擊、漏報率低等優點，但也存在誤報率高、特征模型建立困難等缺陷。異常檢測模型如圖1所示。

圖1 異常檢測模型

2 異常檢測模型

2.1 基于神經網絡的異常檢測模型

神經網絡是模仿生物神經網絡行為特征，通過接受外部輸入刺激，調整內部大量節點之間相互連接的關系，從而獲取并積累知識，達到具有處理信息和一定判斷預測的能力。

神經網絡一種應用于分類器，如李鴻培和王新梅［1］“設計的基于神經網絡的入侵檢測系統模型”，通過訓練和學習，記憶了系統的正常行為或入侵行為，并能根據系統現狀進行自我調節，有效地發現并阻止各種入侵行為。另一種神經網絡可用來建立預測模型，如evni等設計的“面向入侵檢測的神經網絡模型”，通過在神經網絡的輸入端輸入用戶所用的命令序列可以預測下一個命令，如果不符合就可判定為異常。

神經網絡的優點是：不依賴對潛在數據的統計假設；能較好地處理噪聲數據；能自動調節影響輸出的各測度的權重。缺點在于：神經網絡的拓撲結構和各元素的權重只有在訓練后才能確定；輸入窗口的大小是個主觀因素，不易確定。

2.2 基于數據挖掘的異常檢測模型

數據挖掘是利用關聯分析、分類分析、序列模式分析等算法從大型數據庫中提取隱含的、事先未知的、潛在有用的、易被理解的信息的過程，然后用這些知識去檢測異常，模型如圖2所示。wenkeLee和alvatore J.Stolfo等［2］在1998年和1999年提出通過對正常數據建立決策樹的預測模型來作為檢測模型。2001年又提出將基于數據挖掘的檢測模型應用到實時環境中，解決了檢測的準確性、效率和可用性。

圖2 基于數據挖掘的異常檢測模型

該模型優點是能從海量的歷史數據中提取知識，并快速、自動地產生異常檢測模型。缺點是誤報率較高，計算復雜度大，訓練數據多。

2.3 基于遺傳算法的異常檢測模型

遺傳算法也稱基因算法，是一種基于遺傳和變異的生物進化方法。在基于遺傳和進化學習的入侵檢測研究方面，A.chittur［3］詳細闡述了基于GA的異常入侵方法，獲得了平均97.8%的檢測率，同時保持了極低的誤警率。但該方法訓練時間較長，數據選擇難度大。張鳳斌等［4］在2004年提出了一種基于GA的網絡異常入侵檢測算法，使用遺傳算法進化檢測規則集來覆蓋異常空間，該算法提高了檢測率。

遺傳算法適合數值求解帶有多參數、多目標和在多區域fH連通性較差的NP-hard優化問題，能處理帶有大量噪聲和無關數據的變化事件。缺點在于編碼表示不規范、染色體選擇和初始群體選取困難。

2.4 基于馬爾科夫的異常檢測模型

此方法主要是通過提取數據包特征進行量化、訓練，統計相應特征的出現概率以及轉移概率，以此建立馬克科夫鏈模型。然后再采用一些馬爾科夫模型評估方法進行評估，確定是否有異常發生，模型如圖3所示。

圖3 馬爾科夫異常檢測模型

2.5 基于支持向量機的異常檢測模型

支持向量機是基于結構風險最小化原理，根據有限的樣本信息在模型的復雜性和學習能力之間尋求最佳折衷，以獲得最好的范化能力，模型如圖4所示。M.Luo等［5］利用混合無監督的聚類方法和超平面的One-SVM算法作異常檢測。W.J.Hu等［6］針對入侵檢測遇到的含噪數據，提出了健壯SVM的分類方法。饒鮮［7］利用SVM方法對進程運行時產生的系統調用序列進行訓練，建立檢測模型。李輝、管曉宏［8］針對入侵檢測所獲得的高維小樣本異構函數集，將有監督的C-SVM算法和無監督的0neclass SVM算法用于網絡連接信息數據中的攻擊檢測和異常發現。

圖4 基于支持向量機的異常檢測模型

該模型的缺點在于訓練之前必須進行模型選擇，并要確定一些參數，特別是核函數的選擇要憑經驗。SVM通常只能處理數值數據和二元分類問題。

3 異常檢測算法

3.1 統計分析異常檢測算法

統計分析異常檢測算法是根據用戶對象的活動為每個用戶都建立一個特征輪廓表，通過對當前特征與已建立的特征進行比較，來判斷當前行為的異常性。統計分析技術的關鍵是從描述網絡或系統的行為和狀態屬性中選擇一組統計度量，并根據歷史數據建立其正常的變化范圍。

該方法的優點是不需要太多先驗知識，跟蹤一組統計量對系統資源的占用率較低。但缺點在于設計描述正常行為和狀態的統計量、選擇統計量的屬性、設置基線是較難的問題，統計度量對事件發生的順序也不敏感。另外，本算法虛警率較高。

3.2 基于貝葉斯推理的異常檢測算法

基于貝葉斯推理的異常檢測算法是通過在任何給定的時刻，測量變量值，推理判斷系統是否發生入侵事件，即在任意給定的時刻，測量A1，A2，…，An，n種測度值，推理判斷系統是否有入侵事件發生。貝葉斯推理的公式如下：

等式左邊如果大于1，則判定為入侵。

3.3 基于模糊邏輯的異常檢測算法

模糊邏輯推理采用的是假言推理的近似式而不是精確形式。假言推理的規則可以寫為：

A～B大前提（蘊含）

A`小前提

B`～A`。（A～B）結論

在應用模糊邏輯推理的異常檢測系統中，根據當前的各測度值和模糊規則，得到一個異常的模糊度，如果模糊度大于某個闌值，則可判定為入侵。

3.4 K-近鄰算法

基于K-近鄰算法的異常檢測，方法是計算n個點相互的歐拉距離：

即對于i=1，2，…，n，都能得到點Xi到其最近鄰的距離。如果找到的點Xn的最近鄰距離處于上限，那就能夠判定點Xn是“太遠”了。該算法缺點是計算復雜度較高，優點是不需要先驗知識。

4 結語

本文介紹了“互聯網+”時代下網絡安全現狀，網絡發展越來越迅速，人們通過各種方式與互聯網相連，生活和工作越來越依賴于網絡，隨之也暴漏出了越來越多的安全問題。文中介紹了已有的網絡安全檢測模型和檢查算法，以及每種模型和算法的優缺點。隨著智能手機的普及，手機網絡安全問題的解決迫在眉睫，異常檢測已普遍應用于計算機網絡安全防范中，下一步需要不斷研究和完善已有的檢測模型，并將檢查方法應用于手機安全中。

［1］李鴻培，王新梅.基于神經網絡的入侵檢測系統模型［J］.西安電子科技大學學報（自然科學版），1999（5）：667-670.

［2］Wenke Lee，alvatoreJ.Stolfo.Data mining approaehes for intrusion deteetion［A］//San Antonlo：Proe.of the 7thUSENIX Seeurity Symposium，1998.

［3］A Chittur.Model Generation for an Intrusion etection Sys?tem U-siong Genetic Algorithms［EB/OL］.（2001-11-01）［2016-11-05］.http://www.cs.columbia.edu/ids/publications/gaids-the?sis01.pdf（2005）.

［4］張鳳斌，楊永田，江子揚.遺傳算法在基于網絡異常的入侵檢測中的應用［J］.電子學報，2004（5）：875-877.

［5］M Luo，LN Wang，HG Zhang，et al.A research on intru?sion de-tection based on unsupervised clustering and support vec?tor ma-chine［J］.Computer Engineering&Applications，2003（18）：325-336.

［6］WJ Hu，Song Q.Principle component classifier.NIPS.2000 workshop on New Perpectives in Kernel+based Learning Methods in Breckenridge US［EB/OL］.（2004-02-12）［2016-11-05］.http:// svm.first.gmd.de/.

［7］饒鮮，董春曦，楊紹全.基于支持向量機的入侵檢測系統［J］.軟件學報，2003（4）：798-803.

［8］李輝，管曉宏，昝鑫，等.基于支持向量機的網絡入侵檢測［J］.計算機研究與發展，2003（6）：799-807.

Review of Network Security Anomaly Detection Technology in the"Internet+"Era

Zhang ZhiliYao Peijuan
（Huanghe Science and Technology College，Zhengzhou Henan 450063）

In recent years,with the new mobile communication technology,big data,cloud computing and other tradi?tional industries as the basis,for the content of the Internet as a carrier,economic development has entered a"Inter?net+"era."Internet+"bring direct economic and social benefits to people,also brought a crucial problem-network security problem.Based on this,the network security detection model and algorithm were presented,and the advan?tages and disadvantages of these detection techniques were introduced,on the basis of this,we can optimize and study the new model and algorithm,to better protect and strengthen the construction of network security.

network security；anomaly detection；detection algorithm；"Internet+"

TP393.08

A

1003-5168（2016）12-0050-03

2016-11-10

河南省人文社會科學項目（2016-qn-051）。

張志利（1982-），女，碩士，助教，研究方向：計算機網絡安全；姚培娟（1987-），女，碩士，講師，研究方向：嵌入式系統安全研究。