基于深度學習的網絡入侵檢測與防御研究

陳智勇

(武警湖南省總隊參謀部,湖南 常德 415000)

0 引言

網絡入侵檢測與防御系統是指技術人員采用網絡入侵檢測技術和網絡防御技術對計算機系統進行安全防護的一種方式。技術人員通過在計算機系統上安裝相應的軟件和硬件,對可能發生的各類攻擊行為進行識別;通過入侵防御系統的處理機制,對網絡攻擊行為進行攔截、阻斷、記錄等一系列的安全處理。在互聯網環境下,企業如果缺乏有效的入侵檢測與防御手段,一旦被非法用戶竊取或修改數據,將會對企業造成十分嚴重的后果和影響。因此,相關技術人員部署網絡入侵檢測與防御系統時,需要對其進行檢測與部署。

1 基于深度學習的網絡入侵檢測與防御的原理

數據獲取主要是通過對大量的歷史數據進行收集、處理和分析來提取出有價值的信息。技術人員通過這些信息來建立網絡安全系統中的入侵檢測與防御模型。同時,技術人員還需要根據不同種類的數據源,獲取與之相對應的不同數據類型來豐富系統。

針對網絡入侵檢測與防御領域,賈偉峰[1]提出了一種基于深度學習算法構建入侵檢測與防御的模型。本文主要對這種基于深度學習的網絡入侵檢測與防御模型進行分析與討論。在這一模型中,技術人員首先需要提取出訓練集中包含有價值信息的特征向量;其次,將這些特征向量輸入訓練好的神經網絡中進行學習和訓練,以得到最優的網絡模型參數;最后,對網絡模型的輸出結果進行統計,得到一個輸出結果的概率分布,以此為依據來判斷當前的入侵行為是否被檢測到。

在傳統的機器學習方法中,技術人員往往通過使用一些人工設計的特征向量。特征向量中包含了特征的描述信息,不同特征之間也存在一定的相關性。這些人工設計的特征向量存在著一些不足:比如在面對大規模數據時,人工設計的特征向量無法充分挖掘出數據中所蘊含的全部信息。這就導致在機器學習領域中,入侵檢測與防御領域的深度學習模型無法達到理想效果。本文所采用的基于深度學習的網絡入侵檢測與防御系統的模型,能夠更加適配于大部分特征向量,從而在檢測深度和防御效果等方面更具優勢。

2 基于深度學習的網絡入侵檢測的關鍵技術

2.1 網絡數據包捕獲

網絡數據包捕獲是入侵檢測技術的基礎,其中主要包括:網絡通信協議和主機接口兩個方面。首先,網絡通信協議主要包括:TCP、UDP、ICMP和IPX/SPX等。這些協議能夠在不同網絡之間實現數據傳輸與通信,因此網絡數據包必須對這些協議進行捕獲。目前,常用的網絡數據包捕獲方式主要分為:驅動程序方式和協議方式兩種。在驅動程序方式下,當操作系統或應用程序調用了某些特定的接口函數時,會被相應的驅動程序自動地捕捉到這些接口函數,從而實現對數據包的捕獲;在基于協議方式下,系統在每次執行一個新的協議時都會自動地對網絡通信進行檢測,從而實現對數據包的捕獲。由于前者往往比后者更高效、更準確,因此在實際中大多數的入侵檢測系統都是采用基于驅動程序方式進行數據包捕獲[1]。

2.2 特征提取

特征提取是指從網絡數據包中提取出一些關鍵信息,然后將其應用于入侵檢測系統中。特征提取的基本過程包括:(1)獲取網絡數據包并進行預處理,將其轉化為統計性數據;(2)對這些數據進行預處理,使之適合入侵檢測;(3)對預處理結果進行統計分析,以獲得特征值;在這3點中,對于預處理結果進行統計分析是整個過程的關鍵之處。根據不同的應用類型,可以將特征提取分為:基于包、基于流、基于協議和基于特征4種類型[2]。

2.3 入侵分析

入侵分析是從網絡數據包中檢測出有價值的信息,并進行進一步分析,以便在網絡受到惡意入侵時能夠迅速地做出反應與攔截。入侵分析可以分為兩個主要步驟:(1)從網絡數據包中提取特征;(2)對提取出的特征進行匹配并將結果傳送給響應處理。

入侵分析主要是從網絡數據包中提取出的特征進行匹配,通過這些特征對惡意活動進行識別,從而發現潛在的入侵行為。另外,入侵分析也可以通過異常檢測技術實現,利用系統調用和應用程序調用對系統狀態進行實時監測,一旦發現異常行為時就會發出警報[3]。

2.4 響應處理

響應處理是指系統對入侵攻擊進行識別和判斷后,將檢測到的入侵事件上報給網絡技術與安全管理人員,以便相關技術人員能夠快速作出相應的處理措施。

由于網絡上存在多種類型的攻擊,如:拒絕服務攻擊、欺騙攻擊、信息泄露攻擊等。因此,在入侵檢測系統響應處理階段,系統要對多種類型的攻擊進行識別。此外,由于網絡中存在多種不同類型的數據包,系統也需要對這些數據包進行專門的分析與識別。此外,響應處理系統還需要對數據庫進行實時更新,以便能夠在入侵事件到來時第一時間作出判斷和響應。

2.5 入侵檢測系統的評價標準

入侵檢測系統的評價標準是對入侵檢測系統的性能進行效果評價的重要依據,因此技術人員需要對整個系統建立起一套科學、合理的評價標準體系。入侵檢測系統的評價體系主要包括以下幾個方面:(1)可靠性。可靠性是指檢測系統在出現異常情況時,能夠正確地進行響應,并將相應的數據包返回給用戶。(2)效率。效率是指系統在檢測出異常情況后,能夠準確地將數據包返回給用戶,并將相應的響應發送到用戶終端,同時保證一定的響應速度。(3)安全性。安全性是指入侵檢測系統能夠及時地將異常情況報告給網絡安全管理人員,并將相應的數據包返回給用戶。(4)可擴展性。可擴展性是指系統能夠根據實際情況增加新的功能,以滿足網絡發展的需要。

2.6 系統架構設計

入侵檢測系統的設計主要包括:網絡拓撲結構設計、功能模塊設計、數據庫設計、程序界面設計和系統接口設計等。一般來說,入侵檢測系統的核心功能是對網絡流量數據包進行分析,并將分析結果發送給相應的管理人員,然后進行決策。網絡拓撲結構主要由數據采集層、網絡傳輸層和數據分析層構成,各部分的功能如下:(1)數據采集層:負責對網絡數據包進行捕獲和處理,并將檢測結果發送給網絡傳輸層;(2)網絡傳輸層:負責發送收到的檢測結果;(3)數據分析層:負責對接收到的檢測結果進行分析,并將結果發送給相應的管理人員;(4)數據庫設計:負責系統的數據庫管理,包括對數據包的處理和發送。(5)程序界面設計:負責控制整個系統的運行,包括對各個模塊進行設置、調用等操作。

3 網絡入侵檢測與防御系統的模塊設計

3.1 入侵防御模塊

入侵防御模塊包括:協議分析、統計分析、入侵防御、異常檢測和數據存儲等模塊。具體細化為:(1)協議分析模塊的主要功能是提取系統日志文件中的協議信息,然后根據這些協議信息提取相應的網絡協議特征,如端口、協議類型等,并對這些特征進行過濾。(2)統計分析模塊的主要功能是對系統日志文件中的數據進行統計和分析,以檢測網絡攻擊行為。(3)入侵防御模塊采用多層聯動機制來實現對網絡攻擊的防御。(4)異常檢測模塊主要是對網絡流量進行統計,發現其中存在的異常行為。(5)數據存儲模塊主要是對系統日志文件中的數據進行存儲和管理,為入侵防御模塊提供數據支持。

3.2 日志記錄模塊

日志記錄模塊是負責記錄系統和用戶在各種網絡安全事件中產生的事件和數據。該模塊主要記錄用戶在安全事件發生后的相關操作,并對這些操作進行統計。系統管理員可以通過日志記錄模塊來查看當前系統的安全狀態,以便更好地了解系統的運行狀況,并采取相應的措施,以加強對網絡的管理。

日志記錄模塊分為3個子模塊:日志采集子模塊、日志統計子模塊和日志存儲子模塊。其中,日志采集子模塊主要完成對系統事件和用戶事件的采集,并將采集到的數據進行匯總,保存到數據庫中。而日志統計子模塊則是對存儲在數據庫中的數據進行統計和分析,以便管理員能夠及時了解系統目前運行情況。

3.3 中央控制模塊

中央控制模塊主要負責整個系統的運行狀態和異常數據的處理。中央控制模塊主要由系統管理員、日志管理系統、日志分析系統等組成。當檢測到異常數據時,中央控制模塊會自動將該異常數據記錄下來,并在日志分析系統中顯示出來。中央控制模塊一旦發現未授權的用戶進行非法操作時,中央控制模塊會根據用戶身份將其隔離,并將該用戶標記為拒絕服務狀態。如果是由于病毒入侵引起的,中央控制模塊會自動向日志分析系統發出警報,并通過網絡進行報警。如果是由于系統配置錯誤引起的,中央控制模塊會將配置錯誤信息上報給日志分析系統,并通知管理員。

3.4 模塊間的通信

網絡入侵檢測與防御系統與入侵檢測技術有所不同,它是一個分布式的安全防御系統。本文設計的網絡入侵檢測與防御系統主要是通過Socket通信模塊進行數據交換,可以實現對來自不同模塊的信息進行交換,并可以進行數據包的收發。當Socket模塊接收到來自網絡入侵檢測與防御系統的請求后,首先向系統主程序發送一個查詢信號,然后系統主程序根據查詢信號中的消息來執行相應的功能,以完成對網絡入侵檢測與防御系統請求的響應。對于不需要的處理操作,系統主程序可通過網絡流量監控模塊對其進行監視,當流量出現異常時,會通過告警模塊向用戶發送告警消息。

4 網絡入侵檢測與防御系統的部署措施

4.1 系統構成部署

(1)入侵檢測系統是一種基于網絡的入侵檢測和報警系統,主要是對網絡中傳輸的數據包進行檢測、分類、過濾,并通過報警信息發送到控制臺。

(2)防火墻是入侵防御系統的重要組成部分,其主要是對網絡和網絡數據包進行攔截,并將其攔截下來,再通過系統的處理機制進行處理,達到網絡安全防護的目的。

(3)數據庫是入侵防御系統的重要組成部分,其主要是對系統中的數據信息進行記錄、保存,以便日后分析使用。

4.2 安全策略部署

技術人員通過分析和研究各種網絡入侵檢測與防御系統的部署方式,可以對網絡入侵檢測與防御系統進行合理的部署。通常情況下,企業需要根據自身的網絡環境和業務需求,制定相應的網絡安全策略,并部署相應的入侵防御系統,對網絡進行防護。

(1)在安全策略部署過程中,技術人員可以利用防火墻,對入侵防御系統進行攔截和阻斷。(2)技術人員通過部署入侵防御系統與入侵檢測系統,將網絡安全防護措施構建成一個完整的體系結構。(3)技術人員利用入侵防御系統與安全審計系統相結合的方式,實現對網絡安全狀態的實時監控和記錄。(4)技術人員利用入侵防御系統進行網絡資源分配和管理,實現對網絡資源的集中管理和分配。

4.3 邊界防御部署

邊界防御部署主要是針對一些規模較小的網絡,在這種情況下,技術人員可以將入侵防御系統部署在網絡邊界,此種方法無需將所有的數據流量都匯集到核心網絡中,只需將一些重要的數據流量匯聚到邊界處就可以進行。在這種情況下,入侵防御系統可以有效地對一些常見的攻擊行為進行識別,并對其進行攔截和阻斷。此外,邊界防御還可以對入侵防御系統進行集中管理和控制,并且能夠實時監控整個網絡的運行情況。邊界防御系統還具有良好的擴展能力和靈活性,可以根據實際需要增加網絡拓撲結構和數據流量,從而形成一個完整的邊界防御體系。

4.5 混合防御部署

混合防御部署是指將傳統的防火墻與入侵防御系統相結合,形成一個更強大的安全保護系統。混合防御部署可以在不改變原有網絡架構的基礎上,充分發揮兩者各自的優勢。首先,入侵防御系統可以為防火墻提供強大的數據包過濾功能,這樣就可以防止來自外部的非法數據進入企業內部網絡,同時還可以對內部網絡中的流量進行實時監控,一旦發現異常流量就會立即將其攔截。其次,防火墻與入侵防御系統都具備強大的處理能力,通過這種方式可以有效地提高整個網絡系統的安全性。因此,這種混合部署方式也是目前比較流行的一種部署方式,是目前企業中較為常見的一種部署方式。

5 結語

綜上所述,網絡安全防護是一個極為復雜的系統性工程,入侵檢測與防御系統是其中不可或缺的組成部分,其綜合性能的高低直接關系到整個系統的安全。本文所討論的基于深度學習的入侵檢測系統主要是針對傳統的網絡安全技術而言,因此在其自身性能還存在一定的缺陷時,需要引入新的技術和方法。在實際的應用過程中,技術人員必須結合具體情況,有針對性地對入侵檢測系統進行改進。