基于人工智能技術的網絡入侵檢測方法

卜旭 李蓉 廣東農工商職業技術學院

前言

所謂入侵檢測，簡單來講，就是基于不對網絡性能帶來影響的前提下，通過分析和手機計算機或者是計算機系統中關鍵點信息，然后在這些關鍵點信息中找到網絡或系統在運行過程中可能存在的違反相關安全規定行為以及遭受攻擊行為的情況，并收集相關的入侵證據信息，以此為之后開展數據恢復以及處理事故時提供相應的數據依據。下文基于人工智能技術，對當前應用比較常見的網絡入侵檢測方法進行詳細探討。

一、統計分析

關于統計分析這一網絡入侵檢測方法，首先由異常檢測器對目標行為進行相應觀察，然后生出一個框架，該框架不需要過多空間進行存儲和更新。隨著時間的增長，統計數據也隨著得到一定的更新，這時候計算機系統也會隨著周期性規律產生新的數據信息作為異常度的表示，而這種表示數值是根據某些具有獨立特征的方式衍生出來的一種子異常度函數，由系統根據當前用戶行為獲取。從整體上來看統計分析方式，該種方式是當前入侵檢測系統中應用比較常見的產品化檢測方式，相比較其他檢測方法更為成熟，其具有“學習”用戶習慣的優勢特征，因此有更高的檢出率和可用性；但也有相應的缺陷，“學習”用戶這一特征給入侵者侵略機會，通過逐步對入侵事件進行“訓練”，使其符合正常操作時的統計規律，最后入侵檢測系統。

二、匹配

（一）簡單模式匹配

具體來講，就是通過轉變入侵特征代碼的方式，將其轉為與審計記錄之間相符的一種模式。這種模式不可與其他模式產生沖突，同時還可以識別出其變種。具體來講，當產生新的審計事件，通過采用比較簡單的模式進行匹配，以此來找到與其之間相匹配的一種已知性入侵模式，若兩者匹配就會報警。模式可以隨需要進行增加或刪減，不會對已有模式匹配帶來影響，也可不進行依賴關系構建。

（二）基于規則的檢測

相比較于上述簡單模式匹配，兩者不同的地方就在于前者匹配入侵模式；后者匹配正常模式，通過該種檢測方法進行網絡入侵檢測時，需要將時間序列及其相互聯系考慮其中。通過對用戶行為進行觀察，以此來產生相應的規則集，并進行用戶輪廓框架構建，并采取動態化方式對系統規則進行相應修改，使其具備更好的預測性和準確度。若所觀察的事件，在序列匹配規則上所處位置在左側，則后續事件與預測事件相背離，這時候系統就會將這種偏離情況檢測出來，表明用戶處于異常操作狀態。這種方法能夠對各種形式用戶行為進行有效處理；通過對其中少部分存在關聯性的安全事件采取集中的方式進行考察，而不是通過對可以進行會話過程的登陸進行重點關注；如果在檢測過程中檢測結果為系統受到攻擊情況下，其具有非常強的靈敏度等優勢。

（三）基于模型的檢測

具體指的是該系統具有攻擊情節數據庫。若每次進行一套完整的攻擊后，都應該會包含相應的攻擊序列行為，如果懷疑某個時刻遭受攻擊，對處于這種狀態下，該系統則會因此生出與之相應的攻擊情節子集，之后就會在整個儲存系統中對與之相配的子集進行搜集，若搜集后的子集匹配成功后，就會接納受到攻擊的情節子集，反之拒絕。所謂子集，簡單來講就是攻擊行為的序列模型，一個情節與一個行為相對應，結合現行活躍模型，預測其還會對未來可能發生的行為進行相應預測，然后將預測結果上報至系統或管理員，對于是否需要將預測后的行為記錄歸納整理在系統獨立日志部分，通常由相關管理員所決定。而發生時間就是對匹配模型、攻擊清潔兩者進行相應的檢驗以及更新，若存在攻擊情況下，不僅僅會對某方面的攻擊清潔起到正確累計作用，同時也會對其起到某種否定情節的作用。若匹配到的模型發生攻擊行為，則該模型會添加至活躍模型庫。以此對活躍模型表進行持續不斷更新，換句話說，在事件出現過程中，提升系統攻擊情節發生率就是活躍模型表中所在關鍵之處。

（四）基于圖形的檢測

所謂圖形監測，就是系統為其需要進行檢測的主機及其活動而建立的相應圖形。例如蠕蟲入侵，第一步從主機1進行入侵，對主機2和主機3進行攻擊，攻擊的兩條鏈接都會進行相應的建立，并且都會報告至GrIDS，GrIDS就會以圖形的方式對兩個連接進行記錄，若未來一段時間內，主機1、2、3沒有出現任何動靜，該圖形就會自動化消失；相反，若蠕蟲快速向主機4、5以及其他主機進行傳播，這時候鏈接就會被記錄下并構造圖，同時該鏈接產生時間以及其他相關參數信息也都會由系統進行相應記錄，若從時間的角度來看，鏈接相靠時間相對比較接近情況下，則說明入侵幾率越大，這個圖就會保存于數據庫中，若該圖再次出現，則系統會認定其為蠕蟲，對于其他形式的攻擊行為也會被系統定義成一張圖，或者圖中某些參數信息。除時間之外，還有端口、目標地址等都可表示其他入侵類型。

（五）基于狀態轉移的檢測

該模型是以高層次語義為前提進行檢測，能夠實現預測未來這一功能。基于以下兩種假設進行檢測：其一，發生入侵這一行為應在出現入侵行動前就采取某些行動，例如TCPIP端口掃描等；其二。行動產生前沒有能力，如果獲取到主機回復的數據信息，則需要明確主機服務類型。發生一次入侵行動，則該行動就會被系統定義為是其中某個入侵行為序列，由狀態模型初始直至結束，狀態不斷轉移，若遇到的關鍵狀態是已經提前定義好的情況下，則表明發生入侵行為。從理論上來講，通過運用狀態轉移分析這種檢測方法進行網絡入侵檢測，通過將攻擊表示為一系列被監控系統狀態轉移，攻擊狀態與系統狀態兩者相對應，與此同時也會有狀態轉移條件判斷，事件類型不需要全部與審計中的相關記錄對應。因此攻擊模式只會對事件序列進行相應說明，，不適應更復雜事件中。

三、貝葉斯檢測

對于貝葉斯檢測方式，其建立方式是以各個變量之間存在概率關系來構建的一種圖論模型，因此采用該檢測方式可對入侵檢測系統中不確定問題進行相應解決。換句話說，運用貝葉斯檢測方式能夠將已發生入侵行為最大可能行為序列與已知序列兩者相對比，從中獲取可能性最大的入侵類型，其具有速度快、準確度高的數據處理優勢。I表示為系統受到入侵行為，a1、a2...an表示為觀測到的數 據，根 據 條 件 概 率 推 出：P(I|a1，a2，...，an)=[P(a1，a2，...，an|I)*P(I)]/[P(a1，a2，...，an)].若各個事件之間發生條件概率上處于相互獨立狀態，運用樸素貝葉斯進行分類；若各事件存在明顯依賴性，那么通過運用貝葉斯信念網絡對其進行相應的分類。在運用貝葉斯網絡進行網絡入侵檢測時，其統一隨機變量之間進行因果關系的表示，以圖表形式表示各變量關系，各隨機變量取決于其周圍變量，對于其中所有根據都具備初始概率，其他節點屬于根節點的條件概率，DAG圖表示貝葉斯網絡圖，若網絡圖中部分節點概率所處情況處于可知狀態下，則其他便處于可求狀態，通過貝葉斯網絡檢測方式能夠為給定數據的類型數量進行自動確定，同時對停止條件、分類標準等方面也沒有其他比較特殊性的要求，具有對離散和連續屬性的處理能力，還可對新出現的未知性入侵形式進行學習和識別等方面的應用優勢。

四、人工神經網絡

所謂人工神經網絡，就是對人腦的加工信息、存儲信息以及處理信息機制進行相應模擬，從而產生的具有智能特征的信息處理技術。該種類型檢測方式具有概括抽象、學習性以及自適應等方面的并行計算能力。通過運用有序信息單元訓練神經網絡，經過相應訓練后，神經網絡就會根據現有行為活動、過去行為活動序列兩方面的信息，來對將來行為活動進行相應預測。基于一些比較典型的用戶活動來對神經網絡進行相應的訓練，通過這種構建用戶活動框架，然后借助專家系統對其進行神經網絡訓練入侵模式、正常模式兩者進行相應的比對和匹配。

五、遺傳算法

所謂遺傳算法，簡單來講就是以自然選擇為前提和基礎，通過模擬生命進化機制的方式來進行優化方法的搜索。在這個過程中，對于自然選擇和遺傳過程中的復制、交換以及變異等現象進行模擬，然后對空間進行相應搜索，就會將其映射到相應的遺傳空間中，然后將各個可能編碼為向量，對此可將其稱為染色體向量。在向量中的元素，可將其稱為基因，根據之前已經預定好的評價函數對染色體進行相應評價，并結合評價結構給出適應度數值。將系統中全部染色體組成群體形式，然后由種群開始，通過對其進行隨機選擇、交叉以及變異操作后，就會產生更適應環境的新個體，而原有的性能不佳染色體就會因此遭受淘汰處理，形成一種新群體。因新群體在本質上屬于上一代中的優秀者，具備上一代中特有的優勢特征，通過遺傳算法反復迭代，朝向更優質的方向不斷發展，直到滿足某些優化指標即可。

六、總結

綜上所述，從本質上來講，網絡入侵檢測技術是以主動的方式保護其自身不受攻擊的一種安全技術，一方面，通過該技術對付網絡攻擊行為，有效起到提升系統管理員在網絡安全方面的管理能力；另一方面，起到對信息安全基礎結構完整性的提升作用。從人工智能的角度來講，其作為當前比較熱門的研究領域，將其應用于網絡入侵檢測中，能夠很好的解決其中很多檢測問題，具有積極性應用意義。