基于遷移學(xué)習(xí)的網(wǎng)絡(luò)入侵檢測(cè)

奚雨新

【關(guān)鍵詞】入侵檢測(cè)技術(shù);網(wǎng)絡(luò)入侵檢測(cè)模型;遷移學(xué)習(xí)

一、引言

如今，我們已經(jīng)進(jìn)入了“互聯(lián)網(wǎng)+”社會(huì)，互聯(lián)網(wǎng)廣泛應(yīng)用在跨境電商、金融交易、在線學(xué)習(xí)、移動(dòng)醫(yī)療、生活服務(wù)等領(lǐng)域，讓人們的生活更加便捷。與此同時(shí)，它也帶來(lái)了黑客的襲擊、信息泄露等網(wǎng)絡(luò)安全問(wèn)題。而網(wǎng)絡(luò)入侵技術(shù)則是網(wǎng)絡(luò)技術(shù)不斷發(fā)展的成果，它能夠彌補(bǔ)傳統(tǒng)的網(wǎng)絡(luò)安全技術(shù)的不足，協(xié)助網(wǎng)絡(luò)用戶檢測(cè)網(wǎng)絡(luò)內(nèi)各種安全漏洞，對(duì)網(wǎng)絡(luò)設(shè)備及流量進(jìn)行監(jiān)視和分析，并在發(fā)現(xiàn)入侵時(shí)發(fā)出警報(bào)。目前如何提高檢測(cè)技術(shù)的有效性、實(shí)用性、適應(yīng)性、可擴(kuò)展性是網(wǎng)絡(luò)安全方面研究的關(guān)鍵[1]。

二、入侵檢測(cè)系統(tǒng)的分類

（一）按數(shù)據(jù)來(lái)源不同分類

1、基于主機(jī)的入侵檢測(cè)系統(tǒng)

系統(tǒng)檢查的數(shù)據(jù)主要依據(jù)計(jì)算機(jī)操作系統(tǒng)日志文件，包括安全日志、應(yīng)用程序日志等。它不需要網(wǎng)絡(luò)數(shù)據(jù)的參與，只需要通過(guò)計(jì)算機(jī)內(nèi)部入侵?jǐn)?shù)據(jù)庫(kù)判斷這些日志文件是否異常。它的優(yōu)點(diǎn)是檢測(cè)速度比較快，能夠準(zhǔn)確地檢測(cè)到計(jì)算機(jī)系統(tǒng)所發(fā)生的事件，不受被加密的網(wǎng)絡(luò)數(shù)據(jù)所影響。但它的缺點(diǎn)是該檢測(cè)系統(tǒng)占用的空間大，檢測(cè)時(shí)占用計(jì)算機(jī)資源，CPU被占用后無(wú)法進(jìn)行其他的分析，因此無(wú)法檢測(cè)網(wǎng)絡(luò)中的多點(diǎn)入侵。

2、基于網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)

系統(tǒng)對(duì)網(wǎng)絡(luò)的流量數(shù)據(jù)進(jìn)行檢測(cè)，實(shí)時(shí)監(jiān)控網(wǎng)絡(luò)的數(shù)據(jù)包并建立對(duì)數(shù)據(jù)包的實(shí)時(shí)分析，通常采用模式匹配、頻率等判斷網(wǎng)絡(luò)是否處于異常。該系統(tǒng)一般設(shè)置在網(wǎng)關(guān)或防火墻之后。它的優(yōu)點(diǎn)是適用于大規(guī)模網(wǎng)絡(luò)的入侵檢測(cè)，占用的資源少，成本低。它的缺點(diǎn)是難以訓(xùn)練出一個(gè)較好的檢測(cè)數(shù)據(jù)模型，對(duì)數(shù)據(jù)庫(kù)及時(shí)更新所需成本很大。

3、分布式的入侵檢測(cè)系統(tǒng)

針對(duì)以上兩種檢測(cè)系統(tǒng)的不足，分布式檢測(cè)系統(tǒng)使以上兩種系統(tǒng)協(xié)調(diào)工作，既能檢測(cè)主機(jī)運(yùn)行所產(chǎn)生的數(shù)據(jù)，又能對(duì)網(wǎng)絡(luò)中的數(shù)據(jù)包進(jìn)行檢測(cè)，這樣不僅做到了對(duì)主機(jī)的保護(hù)，也實(shí)現(xiàn)了對(duì)不斷變化的網(wǎng)絡(luò)進(jìn)行監(jiān)控，確保計(jì)算機(jī)系統(tǒng)的安全。

（二）按照檢測(cè)技術(shù)的分類

檢測(cè)技術(shù)一直處于發(fā)展的狀態(tài)，新技術(shù)不斷地產(chǎn)生。網(wǎng)絡(luò)入侵檢測(cè)方法根據(jù)當(dāng)前網(wǎng)絡(luò)狀態(tài)和正常狀態(tài)下的網(wǎng)絡(luò)行為對(duì)比可以劃分為以下兩種：

1、誤用的網(wǎng)絡(luò)入侵檢測(cè)方法：該方法主要依據(jù)系統(tǒng)已有的特征庫(kù)來(lái)檢測(cè)不正常行為， 該方法首先通過(guò)對(duì)網(wǎng)絡(luò)被入侵模式下工作的數(shù)據(jù)進(jìn)行收集，形成入侵情況下的數(shù)據(jù)庫(kù)。將需要檢測(cè)的對(duì)象為目標(biāo)指令與形成的數(shù)據(jù)庫(kù)進(jìn)行對(duì)比，成功則判斷為入侵，反之則正常。由于直接匹配對(duì)比異常的行為模式，誤報(bào)率很低，但是該方法無(wú)法檢測(cè)到新的入侵行為，所以該策略的漏報(bào)率較高。現(xiàn)如今網(wǎng)絡(luò)經(jīng)常出現(xiàn)一些新的入侵行為，同時(shí)一些入侵行為也會(huì)發(fā)生變異，誤用的網(wǎng)絡(luò)入侵檢測(cè)已經(jīng)處于淘汰狀態(tài)。

2、異常的網(wǎng)絡(luò)入侵檢測(cè)方法：該方法是基于入侵的行為進(jìn)行檢測(cè)，建立正常工作時(shí)的行為模式，然后利用正常時(shí)的模式與計(jì)算機(jī)行為進(jìn)行比較，屬于正常工作模式范圍內(nèi)的行為被允許，反之阻止。由于是該方法可以檢測(cè)到新的入侵行為，因此漏報(bào)率很低。但正常工作時(shí)的數(shù)據(jù)有很多可能沒(méi)有得到訓(xùn)練，這就出現(xiàn)了非攻擊行為不在正常工作模式范圍內(nèi)的情況，所以這種方法的誤報(bào)率較高。我們?nèi)绾卫盟惴▉?lái)降低異常入侵檢測(cè)方法的誤報(bào)率，是我們研究的關(guān)鍵。

但是該方法需要部署配置文件，在其過(guò)程需要訓(xùn)練和測(cè)試數(shù)據(jù)。訓(xùn)練數(shù)據(jù)的目的是形成網(wǎng)絡(luò)正常時(shí)候的配置文件，在測(cè)試數(shù)據(jù)的過(guò)程是用新的入侵?jǐn)?shù)據(jù)來(lái)測(cè)試配置文件，觀察其結(jié)果，判斷是否有效。

三、遷移學(xué)習(xí)的理論方法

（一）概念

遷移學(xué)習(xí)是指利用數(shù)據(jù)、任務(wù)或者模型的相似性，將在原領(lǐng)域?qū)W習(xí)的知識(shí)，應(yīng)用到新的領(lǐng)域的一種學(xué)習(xí)過(guò)程[2]。

生活中，我們?nèi)祟惤?jīng)常會(huì)使用遷移學(xué)習(xí)的思想，比如，我們學(xué)會(huì)了C語(yǔ)言的語(yǔ)法，可以應(yīng)用于C++語(yǔ)言的學(xué)習(xí)中。再比如，我們學(xué)會(huì)了騎自行車的技能，可以將該技能應(yīng)用于學(xué)騎電動(dòng)車上。其實(shí)就是利用相關(guān)領(lǐng)域知識(shí)完成目標(biāo)領(lǐng)域的任務(wù)，也就是我們生活中所說(shuō)的“舉一反三”。但是機(jī)器就沒(méi)有舉一反三的能力。比如，阿爾法圍棋（AlphaGo）在19×19的圍棋棋盤(pán)能夠戰(zhàn)勝人類，而換一種棋盤(pán)和場(chǎng)景它就不一定可以戰(zhàn)勝人類了。

在如今數(shù)據(jù)時(shí)代，做什么都需要大量的數(shù)據(jù)，很多領(lǐng)域由于行業(yè)性質(zhì)、用戶隱私、商業(yè)利益，會(huì)造成小數(shù)據(jù)和數(shù)據(jù)孤島。我們之前是無(wú)能為力的，現(xiàn)在可以用遷移學(xué)習(xí)將已有的大數(shù)據(jù)模型遷移到小數(shù)據(jù)模型上來(lái)解決問(wèn)題，只要這個(gè)大數(shù)據(jù)模型和我們要解決的問(wèn)題有一定的相似性。

（二）遷移學(xué)習(xí)與傳統(tǒng)機(jī)器學(xué)習(xí)的區(qū)別

機(jī)器學(xué)習(xí)應(yīng)用的場(chǎng)景越來(lái)越多，但要想有更好的應(yīng)用效果，需要足夠的數(shù)據(jù)標(biāo)簽。我們知道足夠的數(shù)據(jù)標(biāo)簽需要經(jīng)過(guò)大量的訓(xùn)練和測(cè)試，在大多數(shù)情況下，我們是無(wú)法實(shí)現(xiàn)的。傳統(tǒng)的機(jī)器學(xué)習(xí)在每個(gè)任務(wù)中都需要利用大量訓(xùn)練的數(shù)據(jù)來(lái)創(chuàng)建模型，少量的訓(xùn)練數(shù)據(jù)是無(wú)法建立可靠的模型。而遷移學(xué)習(xí)作為機(jī)器學(xué)習(xí)的一個(gè)重要分支，它可以利用與我們需要的數(shù)據(jù)相似且已有標(biāo)注的數(shù)據(jù)建立模型，并不要求訓(xùn)練和測(cè)試的數(shù)據(jù)分布相同，它還可以將在大量標(biāo)注數(shù)據(jù)上訓(xùn)練好的模型進(jìn)行調(diào)節(jié)適應(yīng)，重用到新的任務(wù)中。

（三）遷移學(xué)習(xí)基本方法

遷移學(xué)習(xí)不是一種算法，而是一種解決問(wèn)題的思想。我們?cè)O(shè)定源域?yàn)椋繕?biāo)域?yàn)椋ㄟ^(guò)遷移學(xué)習(xí)思想應(yīng)用知識(shí)幫助目標(biāo)域的學(xué)習(xí)。按學(xué)習(xí)方法分類分為以下四種：

1、基于樣本的遷移學(xué)習(xí)方法：通過(guò)對(duì)和的樣本概率分析，根據(jù)的數(shù)據(jù)分布情況，來(lái)對(duì)有標(biāo)記數(shù)據(jù)的權(quán)重進(jìn)行增減，增加與相似的數(shù)據(jù)權(quán)重，降低與差別大的數(shù)據(jù)權(quán)重。通過(guò)對(duì)目標(biāo)領(lǐng)域有用的實(shí)例不斷加權(quán)，最后和的概率分布越來(lái)越相似。

2、基于模型的遷移學(xué)習(xí)方法：找到和數(shù)據(jù)模型中共享的參數(shù)，構(gòu)造一個(gè)參數(shù)共享模型。

3、基于關(guān)系的遷移學(xué)習(xí)方法：這種方法挖掘和利用和樣本之間的關(guān)系進(jìn)行類比遷移，在和之間建立相應(yīng)的映射。

4、基于特征的遷移學(xué)習(xí)方法：我們找一個(gè)方法將和的特征統(tǒng)一到一個(gè)空間中，減少它們之間的差距。

四、基于遷移學(xué)習(xí)的網(wǎng)絡(luò)入侵檢測(cè)

（一）網(wǎng)絡(luò)入侵檢測(cè)工作過(guò)程

它的過(guò)程一般包括數(shù)據(jù)收集、數(shù)據(jù)預(yù)處理、數(shù)據(jù)分析檢測(cè)和根據(jù)安全策略做出響應(yīng)[3]，其中數(shù)據(jù)收集包括計(jì)算機(jī)軟硬件工作狀態(tài)、網(wǎng)絡(luò)數(shù)據(jù)流、系統(tǒng)日志信息等。數(shù)據(jù)預(yù)處理則是對(duì)收集到的數(shù)據(jù)屬性特征進(jìn)行精簡(jiǎn)分類。之后，我們使用誤用或異常入侵檢測(cè)的方法對(duì)數(shù)據(jù)分析檢測(cè)。事件響應(yīng)是經(jīng)過(guò)分析后讓管理員或用戶知道系統(tǒng)存在的安全問(wèn)題。

（二）基于遷移學(xué)習(xí)的網(wǎng)絡(luò)入侵檢測(cè)模型

在實(shí)際檢測(cè)模型中，如果想要應(yīng)對(duì)新的入侵情況，那么需要重新訓(xùn)練模型，訓(xùn)練一個(gè)新的模型復(fù)雜度高且需要時(shí)間久。這時(shí)候考慮到數(shù)據(jù)具有相關(guān)性，可以在數(shù)據(jù)預(yù)處理后將遷移學(xué)習(xí)方法用于檢測(cè)技術(shù)中，利用已有的訓(xùn)練數(shù)據(jù)構(gòu)成新模型的訓(xùn)練數(shù)據(jù)，也可以對(duì)已有的模型進(jìn)行調(diào)整來(lái)適應(yīng)新的入侵，既實(shí)現(xiàn)了使用大量數(shù)據(jù)不斷更新模型，又實(shí)現(xiàn)了對(duì)模型的重用，加快了網(wǎng)絡(luò)入侵檢測(cè)技術(shù)的速度，同時(shí)也提高了入侵檢測(cè)的適應(yīng)性。

五、結(jié)論

總的來(lái)說(shuō)，要重視和落實(shí)互聯(lián)網(wǎng)安全工作，盡可能避免互聯(lián)網(wǎng)安全事故的發(fā)生。因?yàn)橐坏┌l(fā)生安全事件，其影響是不可逆轉(zhuǎn)的。各類網(wǎng)絡(luò)入侵手段層出不窮，這也使得網(wǎng)絡(luò)安全問(wèn)題成為當(dāng)下研究的熱點(diǎn)問(wèn)題。本文結(jié)合了網(wǎng)絡(luò)入侵檢測(cè)模型和遷移學(xué)習(xí)方法，將遷移學(xué)習(xí)用于網(wǎng)絡(luò)入侵檢測(cè)模型，能夠很好地完善入侵檢測(cè)的技術(shù)，具有積極的研究?jī)r(jià)值。