基于入侵監測的網絡信息安全管理技術研究

葉樟巍

摘要：針對網絡安全面臨非法入侵威脅、實時防御性差的問題，文中研究和分析了基于入侵監測的網絡信息安全管理技術。通過在現有網絡模型中增加入侵監測模塊，將網絡信息采集、信息處理和信息分析3個模塊相結合進行入侵監測。為提升入侵監測的準確率，利用基于數據降維的決策樹方法對異常數據進行識別，有效實現不同類型的異常數據監測。系統驗證表明，所提出的入侵監測方法對于不同類型的入侵均有較好的監測效果，比現有算法提高了約8？/o。

關鍵詞：網絡信息安全：入侵監測：管理技術

隨著互聯網技術的發展，網絡在社會生產和生活中扮演著重要的角色，網絡信息安全也越來越重要。由于現有網絡系統存在諸多漏洞，網絡仍面臨著黑客攻擊的威脅。因此，需要研究新的主動性入侵監測方法來維護網絡安全。本文提出了基于入侵監測的網絡信息安全管理技術，通過在互聯網和服務器之間增加網絡入侵監測系統，利用信息采集、信息處理和信息分析這3個模塊協同進行入侵監測。為了提高入侵監測概率，本文利用基于數據降維的決策樹方法對異常數據進行識別。系統驗證與仿真分析結果表明，文中所提方法對于不同種類的入侵識別均有較好的適用性。

一、系統模型設計

為了實現對異常網絡數據的實時監測，保證整個網絡的健康。本文在原有網絡的基礎上增加了入侵監測模塊，其網絡架構，互聯網通過路由器和交換機與網絡終端及服務器進行連接，同時整個網絡的外接設備包括入侵攻擊者與安全設備兩種。為了及時發現入侵設備，本文在網絡終端前，利用入侵監測模塊對網絡異常數據進行監測，從而保證整個網絡的安全。入侵監測模塊處于網絡接入點與終端設備之間，可有效監測異常數據，并向系統報警，從而采取相應措施實現提前防御。對于入侵者，由于入侵監測模塊的存在，系統的服務器及設備終端對于入侵者是隱形的，入侵者僅可以接觸到路由器地址和交換機信息，而無法進一步獲得其他有效信息，并無法進一步執行攻擊。因此，可以有效維護網絡安全[1]。

二、入侵監測模塊架構

本文所設計的入侵監測模塊結構組成可以主要分為數據采集、數據處理和數據分析3個部分。數據采集模塊主要通過數據抓包來獲取局域網或互聯網的數據包，實現海量數據的抓取。面對海量數據的情況，可結合大數據挖掘技術進行拓展。在數據采集后，對數據進行預處理，借用事件引擎和策略解釋對于符合一定規則的數據進行預處理，并將處理結果反饋給數據分析模塊。數據分析模塊主要負責對預處理后的數據進行識別，通過數據匹配采用相應的判決算法對數據進行分類，以此發現異常數據并進行處理：另外，數據分析模塊可利用關聯檢測方法對未知數據是否異常進行預測，從而提高系統數據處理效率。

三、入侵監測關鍵技術

本文利用基于降維處理的決策樹算法對網絡信息進行分析，從而實現入侵監測，其訓練模型，構建決策樹的核心是根據一定準則對數據進行屬性劃分。理想的情況下，劃分出的屬性集合內的數據均屬于同一類別。但在實際執行過程中，較難獲取理想的劃分。因此在決策樹算法中，需要進行遞歸。

本文將數據信息增益作為劃分準則，假設系統所采集的網絡信息樣本集合為D。其中d為集合D的一個屬性，假設存在N個數據屬性，則集合D為N個數據樣本的集合，可表示為D={dl，d2，…，dN}。信息增益的可以表示為

在計算出網絡信息樣本集合D中所有樣本的信息增益后，根據信息增益大小對數據進行劃分，將信息增益最大的屬性作為數據的屬性。在進行屬性集合劃分時，并非集合關聯度越大，數據劃分越合理：在極端情況下，當某個屬性集合只存在一個元素時，集合關聯度最大。為避免該種情況，本文定義信息增益率與基尼系數來進行最優屬性劃分，其中信息增益率可以定義為

信息增益率對于樣本屬性數目較敏感，可以選取信息增益率最大的屬性作為劃分屬性。基尼系數表示數據集合中，兩個數據屬性不一致的概率。集合D中屬性的基尼系數可以定義為所有屬性子集合的基尼系數之和，當屬性集合中的數據關聯度越大，則數據的基尼系數越小。因此，使用基尼系數最小的屬性作為數據屬性。基尼系數可以定義為：

其中，a表示調節系數，取值范圍在0～1之間。

四、系統驗證與結果分析

針對不同類型的入侵攻擊監測概率進行驗證，為了驗證本文所采用的基于降維決策樹方法的入侵監測方法的性能，本文將所提出方法與幾種常見方法在同樣的數據集中進行比較。不同類型的網絡入侵的監測概率，本文所設計的入侵監測系統對PROBE BYPASS攻擊的監測概率最高，在數據記錄的百分比僅為12. 2%的情況下，即可實現95. 4%的監測概率。系統對于NORMAI攻擊的適應性最差，但也可達到90%的監測概率。在同一數據集下，本文所提降維決策樹方法與3種傳統方法的入侵監測概率對比，相比于3種傳統方法，本文所設計方法的入侵監測概率明顯提高。在存在兩種攻擊類型時，監測概率可以達到90.7%：在存在5種攻擊類型時，監測概率可以達到86. 5%，相對于現有算法提高了8%以上。

五、結論

本文提出了基于入侵監測的網絡安全管理技術，通過在現有網絡中增加入侵監測模塊，實現異常數據監測。為進一步提高入侵監測的概率，利用降維決策樹方法對數據進行識別，即可有效實現實時異常數據監測。通過系統驗證與結果分析可知，所提算法相對于現有算法有更高的入侵監測概率，對于不同類型的入侵均有較好的適應性。

參考文獻：

[1]網絡入侵監測系統[Z].北京大學.2006.