網絡入侵檢測技術的研究進展與展望

魏鵬飛

摘要：網絡入侵檢測是一種互聯網安全防御技術，經過多年的應用和實踐，已經引入很多更加先進的技術，比如深度包過濾技術、深度學習技術、固件技術，不僅可以提高網絡入侵檢測的可靠性和準確度，還可以提高網絡入侵檢測的速度。當前，互聯網接入設備不斷增多，不僅包括服務器、交換機、路由器等有線設備，還包括智能手機、平板電腦等無線設備，因此網絡組成架構和接入設備更加復雜，更加容易產生系統漏洞，受到網絡中潛在的病毒或木馬攻擊，因此未來還需要引入網格算法以及其它人工智能技術，進一步提高網絡入侵檢測的成效，保護網絡安全運行。

關鍵詞：網絡入侵檢測;深度包過濾;深度學習;人工智能

中圖分類號：TP309 文獻標識碼：A 文章編號：1007-9416（2020）05-0180-01

0引言

隨著云計算、大數據、5G通信等技術的快速發展，人們已經進入到了“互聯網+”社會，基于互聯網開發了許多的分布式應用軟件，覆蓋了智能旅游、在線學習、金融交易、智能制造、娛樂游戲等許多領域，大大地提高了人們工作、生活和學習的便捷性。互聯網可為人們提供數據信息服務，而互聯網組成設備、操作系統、應用軟件等多種軟硬件資源集成在一起產生的漏洞較多，為木馬和病毒的入侵帶來了一定的隱患。比如互聯網病毒或木馬可以發起DDOS攻擊，在短時間內制造數以億計的訪問請求，這樣就會占用網絡帶寬資源，導致正常用戶無法訪問服務器，也就會導致網絡無法正常訪問，影響用戶的正常使用，為用戶帶來了非常巨大的損失。DDOS攻擊通常分為帶寬攻擊和連通性攻擊，帶寬攻擊可以在瞬時使用大量的非法數據包占用網絡帶寬資源，合法用戶無法及時的訪問服務器，大大的降低了網絡效率。因此，網絡安全研究機構提出了入侵檢測技術，該技術可以收集網絡中的各種信息，提供給入侵檢測分析引擎，利用既定的規則判定入侵行為，及時地查殺病毒或木馬，阻止入侵者破壞網絡服務，具有一定的防御作用。

1網絡入侵檢測技術研究進展

網絡入侵檢測可以被部署于企業內網中，根據實際需求設定運行時間，也可以啟動實時檢測功能，以便監控網絡是否存在漏洞或非法入侵。網絡入侵檢測最為核心的部分就是數據分析，由于互聯網的流量大、網絡系統設備多，因此常規的數據分析無法滿足需求，逐漸引入了深度包過濾技術、深度學習技術和固件技術，提高了網絡入侵檢測的速度、準確度。

深度包過濾是一種軟硬件結合技術，其可以深度分析網絡中的每一個數據包內容，不僅包括包頭，還包括其他數據內容協議字段的數據，檢查每一個數據包的內容，同時結合硬件技術，提高了網絡入侵檢測的速度。深度包過濾可以根據網絡入侵需求設置過濾規則，采用啟發式的網絡安全防御軟件，詳細地分析IP地址和MAC地址是否符合規則，如果IP地址及MAC地址安全，此時可以通過網絡關口訪問服務器;如果不安全則無法通過。深度包過濾還可以針對數據包內的內容進行分析，從而可以查看每一個數據包內是否存在不合安全要求的信息字段。深度包過濾經過多年的普及，可以根據部署位置和保護對象的設置不同的深度包過濾工具，包括數據庫、Web服務器和網關服務器等，較好的保護網絡不受到損壞，同時部署代價也非常低，可以進一步提高網絡防御性能。

深度學習是一種自動化學習和分析技術，其基于卷積神經網絡，增加了池化層和全連接層，因此可以增加卷積神經網絡學習的深度和廣度，應用到網絡入侵檢測中，能夠將原始的網絡信息流輸入到深度學習模型中，然后采用Sigmoid函數進行特征分析和映射，從而可以提高網絡入侵檢測的準確度，還可以減少網絡數據的特征數量，提高網絡安全分析效率。目前，深度學習最為關鍵的應用就是記錄和分析攻擊信息，盡可能地采集詳細的攻擊數據，記錄黑客、病毒或木馬完整的攻擊過程，尤其是當攻擊源主機與網絡服務器進行信息交互時，可以使用先進的深度包過濾系統，記錄每一個進出網絡的數據包，深度學習系統在采集到所有數據之后，可以及時地針對這些數據進行分析和識別，發現黑客攻擊行為特征，識別潛在的風險和危害，及時啟動殺毒軟件清除攻擊數據。深度學習可以針對黑客攻擊的風險進行過濾和控制，以避免黑客發覺采用了防御技術而轉移攻擊目標。

固件技術是一種軟硬系統結合技術，比如網絡入侵檢測系統可以將深度學習技術作為一個固化的軟件，嵌入到一些硬件設備中，從而提高深度學習的檢測效率。固件也存在一定的缺陷，也即是不能夠實時地學習網絡入侵檢測特征，這樣就會導致網絡入侵檢測落后于病毒或木馬的變異速度，不能夠識別最新的網絡入侵威脅。

2網絡入侵檢測技術未來發展趨勢研究

目前，隨著互聯網的發展，人們又提出了物聯網、車聯網等概念，大大地擴展了互聯網的應用范圍和領域，隨之而來的是互聯網的接入設備、訪問用戶、應用軟件等越來越多，互聯網的構成不僅包括有線設備，還包括無線設備，因此網絡拓撲結構的構成更加復雜，傳統的網絡入侵檢測技術已經無法滿足高效的、快速的、準確的、實時的應用需求，需要繼續引入更加先進的網絡算法和人工智能技術，以便能夠提高入侵檢測覆蓋深度，進一步提升網絡入侵檢測準確度。

目前，入侵檢測系統的方法包括特征檢測、異常檢測、狀態檢測和協議分析，一定程度上這些檢測技術都存在缺陷，無法很好地識別大規模的組合式和分布式入侵攻擊需求，因此引入網格算法，可以將互聯網按照不同的方法劃分區域，實現骨干網、通信網、核心網的不同檢測，既可以降低檢測時的資源占用率，還可以更加廣泛地進行實時檢測。人工智能技術經過多年的發展，已經在很多領域得到應用，比如機器人、虛擬現實等，網絡入侵檢測引人更加先進的人工智能技術，比如遺傳算法、機器學習、模式識別等，進一步提高了網絡入侵檢測特征分析的準確度。

3結語

網絡入侵檢測是一個復雜的系統，其需要隨著網絡安全防御需求而進行改進，以便能夠適用于不同的應用場景，比如小型企業部署一個簡單的入侵檢測系統;大型互聯網內容服務商，比如騰訊云、阿里云、華為云等，都需要部署一個先進的入侵檢測系統，并且引入更加先進的人工智能技術，提高網絡數據信息的保護水平。因此，網絡入侵檢測可以根據網絡接人設備、訪問用戶和應用軟件規模，引入先進的網格算法和人工智能技術，提高網絡入侵檢測的廣度和深度，進一步改進入侵檢測的準確度，保護互聯網信息不被破壞，為政企單位提供一種安全的、可靠的網絡服務。