入侵檢測技術綜述

吉林工商學院信息工程學院 張焱焱

吉林大學應用技術學院 冉祥金

入侵檢測技術綜述

吉林工商學院信息工程學院 張焱焱

吉林大學應用技術學院 冉祥金

網絡安全問題越來越受到世界的關注，入侵檢測技術是維護網絡安全的一種常用技術和手段，是網絡安全體系中一個重要的組成部分。本文闡述了入侵檢測技術的起源和發展，并對其智能化的方法進行研究和探討，最后指出入侵檢測系統的發展趨勢及主要研究方向。

網絡安全；入侵檢測；智能化

互聯網從點擊時代到觸摸時代，再到人網一體時代，使社會的各個方面都發生了巨大的變化，互聯網技術已經深深融入到人們的工作、生活、娛樂、思維等各個方面。與此同時，由于互聯網本身的開放性以及互聯網產品一些未知的漏洞，網絡安全問題日益突出，威脅網絡安全的手段也層出不窮，以前傳統、靜態、被動的防護方式已經不能完全滿足網絡安全新形式的發展。入侵檢測技術是被動防護方式的有效補充，它能對網絡進行實時的監控，隨時發現網絡中可能出現的各種威脅，規避安全風險，提高網絡性能，增大網絡可用價值，是目前網絡安全技術研究的熱點。

1. 入侵檢測技術概述

1.1入侵檢測技術的起源

入侵檢測的研究開始于20世紀80年代，1980年負責主持美國國防部計算機安全審計工作的James Anderson首次提出了入侵檢測的概念。1986年，斯坦福研究院的Dorothy Denning首次建立了一個完整的入侵檢測系統模型，為入侵檢測的發展奠定了基礎。隨著人們網絡安全意識的提升，以及網絡攻擊手段的多樣化，入侵檢測技術也在飛快的發展，但新出現的很多模型都是在Denning模型基礎上的完善和拓展。

1.2入侵檢測技術的概念

美國國際計算機安全協會（ICSA）對入侵檢測的定義［1］：入侵檢測是對入侵行為的發覺，通過從計算機網絡或計算機系統中的若干關鍵點收集信息，并對這些信息進行分析，從而發現網絡或系統中是否有違反安全策略的行為和遭到攻擊的跡象的一種安全技術。違反安全策略的行為有入侵（非法用戶的違規行為）和濫用（合法用戶的違規行為）。

1.3入侵檢測技術的分類

IDS的優劣主要取決于入侵檢測技術的好壞，因此入侵檢測技術直接關系到整個IDS的檢測效率、誤報率及檢測效果等性能指標。根據不同的入侵檢測技術分析方法，入侵檢測可分為異常檢測（Anomaly Detection）、誤用檢測（Misuse Detection）兩類。

異常檢測，是建立在入侵活動和正常活動不同的基礎上的。根據這一理念，首先建立基于正常網絡事件的模型特征庫，然后將用戶當前的行為與特征庫中的進行比較，如果兩者存在較大的差異時，則認為出現了入侵行為。異常檢測的優點是可以檢測未知的入侵類型，不受已知入侵類型的限制。缺點是誤報率較高，而且異常檢測方法大多訓練時間比較長。

誤用檢測，是建立在已知的入侵活動樣本的基礎上的。誤用檢測用一種方式表示已知的入侵活動，然后通過與觀察對象進行對比判斷這種入侵活動是否出現，如果檢測出現則表明發生了入侵行為。誤用檢測的優點是誤報率低，檢測速度快。缺點是只能對已知的入侵行為進行檢測，不能檢測出新型的入侵行為。

2. 入侵檢測技術的智能化

目前，研發高效的IDS的關鍵在于如何降低系統的誤報率，提升分類的精準度。近年來，有許多較為有效的智能化的檢測技術應用到入侵檢測領域當中［2］，使入侵檢測系統在檢測效率和性能上都有很大的提升。其中，人工神經網絡、遺傳算法、人工免疫系統是典型的智能化入侵檢測技術。

2.1人工神經網絡

人工神經網絡是指試圖模仿大腦的神經元之間傳遞、處理信息的模式而建立的一種計算模型。它通過接受訓練，不斷的獲取并積累知識，進而具有一定的判斷和預測能力。

可以將人工神經網絡用于入侵檢測，首先是因為神經網絡具有自學習、自適應的能力。其次是人工神經網絡具有很好的容錯能力。此外，人工神經網將信息分布式存儲在所有的神經元的連接權中，而不是只存儲在網絡的某一部分中，使得人工神經網絡具有分布式存儲和并行計算的能力。

2.2遺傳算法

遺傳算法抽象于生物體的進化過程，基于自然選擇中適者生存、優勝劣汰原理而建立的，用于解決最優化的搜索算法。

將遺傳算法用于入侵檢測，主要是因為基于遺傳算法的入侵檢測系統是一種基于自我學習的入侵檢測系統，它可以模擬自然進化的過程，使特征庫中的初始特征值進化發展，動態更新入侵檢測特征庫，從而得到針對特定檢測環境的最優特征集合。

2.3人工免疫系統

人工免疫系統是從生物免疫系統的運行機制中模仿而來的，它借鑒了一些生物免疫系統的功能、原理和模型。

生物學中的免疫系統可以通過對自我和非自我的識別達到清除非自我細胞的能力，入侵檢測系統中的入侵檢測與免疫系統發現非自我的識別能力非常相似，因此將生物學中的免疫判斷機制引入到網絡入侵檢測中。

3. 入侵檢測系統的發展趨勢

龐大的數據流量和特征信息，給入侵檢測領域帶來了巨大的挑戰。近幾年來，深度學習技術的提出及其在圖像識別、語音識別和語義分析等多個領域的成功，使得其備受關注。把深度學習出色的特征學習能力應用到入侵檢測系統中，可以為網絡入侵檢測準確率提供有力的支撐。

深度學習作為人工神經網絡的一種新的方法，又被稱為“深度神經網絡”，它通過構建具有更多隱層的人工神經網絡而具有優異的特征學習能力，而且其在訓練模型時通過“逐層初始化”這種無監督學習較其他模型有很大的優勢［3］。

文獻［4］提出基于深度學習的混合入侵檢測模型，并將其同當前較為流行的其他模型進行實驗對比，得出該模型是一個高效的入侵檢測模型。

文獻［5］結合網絡數據的特點提出了一種基于深度學習的網絡入侵檢測方法，并通過實驗證明該方法能在保持高的檢出率的同時，明顯改善檢測算法的誤檢率。

4. 結語

入侵檢測技術的應用為網絡系統提供了針對內部、外部攻擊等方面實時的、主動的防御，在一定程度上保證了網絡系統的安全。已經比較成熟的智能入侵檢測技術對IDS性能的提升作用并不明顯。深度學習技術在許多領域得到成功的應用，如何將深度學習技術應用到入侵檢測系統中，發揮深度學習突出的特征學習能力，在大數據、云計算的時代具有積極的意義，當然將深度學習的理論和方法應用到入侵檢測領域還有很多工作要做，在未來的發展中，還需要技術人員進一步的深入研究。

［1］Anderson James P.Computer Security Threat Monitoring and Surveillance［R］.Fort Washington，PA：James P.Anderson Co.，1980.

［2］王輝，陳泓予，劉淑芬.基于改進樸素貝葉斯算法的入侵檢測系統［J］.計算機科學，2014，04：111-115+119.

［3］Bengio Y，Lamblin P，Popovici D，et al.Greedy layer-wise training of deep networks［J］.Advances in neural information processing systems，2007， 19：153.

［4］楊昆朋.基于深度學習的入侵檢測［D］.北京：北京交通大學，2015.

［5］李春林，黃月江，王宏，牛長喜.一種基于深度學習的網絡入侵檢測方法［J］.信息安全與通信保密，2014，10：68-71.

張焱焱（1982—），女，吉林長春人，講師，現供職于吉林工商學院信息工程學院，研究方向：計算機應用。

冉祥金（1982—），男，吉林長春人，講師，現供職于吉林大學應用技術學院，研究方向：網絡安全。