企業入侵檢測系統的研究

熊堯 雍蕊 江蘇第二師范學院數學與信息技術學院

1 緒論

目前，企業信息系統在信息安全建設方面普遍存在以下問題：

(1）系統防御措施過于老舊。當前大多數企業的安全防御策略僅依賴防火墻本身，防火墻針對外部的攻擊，雖然提供一定的防御能力，但面對復雜多變的入侵手段時也會失去防衛能力。

(2）系統本身安全漏洞太多。企業在信息化建設之初，系統安全策略上往往存在缺陷，從而使攻擊者能夠在未授權的情況下訪問和破壞系統。

(3）安全防御意識薄弱。當前許多企業在建設網絡時缺乏前瞻性，網絡安全意識薄弱，導致網絡信息安全建設不夠完善，當網絡出現攻擊行為或網絡受到其他一些安全威脅時，無法進行實時的檢測、監控與警報，缺乏對網絡的可控性和可審查性等措施。

多標記學習及多示例學習作為機器學習的一個新的領域，它能對多義性復雜數據進行深入挖掘，從復雜多變的攻擊行為中獲取重要信息，能夠適應復雜多變的攻擊形式及攻擊類型，在入侵檢測中具有明顯的優勢。如果把多標記學習及多示例學習的方法應用到入侵檢測系統中，將會很好地解決以上問題。

本文對基于多標記學習改進算法的企業信息管理系統進行研究，實現企業入侵檢測系統的實現。

2 多標記學習改進算法的入侵檢測模型介紹

入侵定義為任何試圖危及計算機資源的完整性、機密性或可用性的行為。入侵檢測是對入侵行為的發掘。入侵檢測系統是一種對網絡傳輸進行實時監控，在發現可疑行為時發出警報并采取主動響應的軟件和硬件設備的組合。

基于網絡的入侵檢測系統（Network-based Intrusion Detection System，NIDS）一般作為一個獨立的系統去保護鎖管轄的網絡，它通過使用網絡原始分組數據包作為檢測的數據源來實時監控并分析所有通過網絡進行傳輸的可疑的訪問行為。當系統檢測到攻擊行為時，響模塊立即采取對應的響應措施，例如報警、中斷連接等。

隨著網絡的不斷發展，入侵手段及入侵類型變化莫測，入侵數據復雜多變并具有多義性，傳統的入侵檢測方法可能無法很好使用，因此入侵檢測技術正面臨著巨大的挑戰。

多標記學習是目前機器學習的重要研究方向。其已經成為多領域應用最為廣泛的算法之一。多標記學習框架中，一個示例對應多個類別標記，其性能評價指標與傳統監督學習系統有所不同。傳統的多標記算法在輸入空間僅用單一示例表示多義性對象，過度簡化了對象的復雜內涵，導致在表示階段丟失重要信息。改進的多標記學習算法在學習性能和分類效果表現良好，同時在面對復雜多義的入侵數據時能夠表現出良好的檢測效果，相對于傳統入侵檢測算法具有明顯的優勢。

現階段，多標記學習算法已經應用到入侵檢測系統中。

基于多標記學習改進算法的企業入侵檢測模型主要包括數據采集單元、數據清洗單元及預處理單元、入侵檢測算法單元和響應及處理單元。

數據采集單元是整個算法模型的基礎，數據采集工具是Libpcap/TCPdump；數據清洗單元負責清洗源數據，數據經過數值化處理之后，必須對數據的特征屬性進行標準化處理；入侵檢測算法單元入侵檢測算法單元為入侵檢測模型的核心單元，對建立在該模型上的入侵檢測系統檢測的準確性及可行性起到重要作用。響應及處理單元在面對攻擊時會及時作出響應。

在設計好該入侵檢測模型后，需要將基于此入侵檢測系統部署到原有系統中，監控并檢測針對企業的入侵數據。

3 企業入侵檢測系統的應用

針對當前入侵檢測的特點及企業信息系統的網絡完全現狀及需求，將設計的入侵檢測模型應用到企業的信息系統中，展示基于改進算法的入侵檢測系統的應用價值。

基于改進算法的入侵檢測模型還處于初始測試階段，在入侵檢測的各個階段還有許多問題需要進一步的考慮和研究，在數據的抓取，預處理及特征提取上還存在一些不足，在系統的部署及檢測效果上也存在一些問題，下一步將完善整個入侵檢測系統的過程。相信隨著研究的持續及推進，對入侵檢測的研究一定會更加深入全面，多標記學習算法及多示例學習算法在入侵檢測中的應用也將會更加廣泛。