河南 劉征 孫漢卿

機(jī)器學(xué)習(xí)在入侵檢測中的應(yīng)用

河南 劉征 孫漢卿

機(jī)器學(xué)習(xí)是人工智能的一個核心研究領(lǐng)域，現(xiàn)正被廣泛的應(yīng)用在機(jī)器學(xué)習(xí)中，但這種技術(shù)方法目前還不是很完備。本文首先介紹了入侵檢測的基本概念，然后介紹了幾種基于機(jī)器學(xué)習(xí)的入侵檢測技術(shù)，最后列舉了當(dāng)前異常檢測系統(tǒng)所要面臨的挑戰(zhàn)。

入侵檢測；異常入侵檢測；機(jī)器學(xué)習(xí)

1 介紹

入侵檢測就是對企圖入侵，正在進(jìn)行的入侵或者已經(jīng)發(fā)生的入侵進(jìn)行識別的過程。所有能夠執(zhí)行入侵檢測任務(wù)的系統(tǒng)，都可稱為入侵檢測系統(tǒng)。入侵檢測方法的分類有多種。從數(shù)據(jù)來源看，入侵檢測可以分為基于主機(jī)的入侵檢測和基于網(wǎng)絡(luò)的入侵檢測。從數(shù)據(jù)分析手段來看，入侵檢測通?？煞譃檎`用入侵檢測和異常入侵檢測。誤用檢測對比已知的攻擊所構(gòu)成的數(shù)據(jù)庫中的數(shù)據(jù)和當(dāng)前數(shù)據(jù)來發(fā)現(xiàn)入侵。而異常檢測是通過觀察當(dāng)前活動與歷史正?；顒又g的差異來發(fā)現(xiàn)入侵。

2 基于機(jī)器學(xué)習(xí)的入侵檢測技術(shù)

機(jī)器學(xué)習(xí)綜合了人工智能、概率統(tǒng)計、神經(jīng)生物學(xué)、認(rèn)知科學(xué)、信息論、控制論等學(xué)科的優(yōu)點，現(xiàn)在被廣泛應(yīng)用于異常入侵檢測中，其基本方法是，用檢測對象的正常行為實例樣本進(jìn)行學(xué)習(xí)機(jī)訓(xùn)練，一旦訓(xùn)練完成，就建立了該檢測對象的正常行為特征輪廓;在檢測中，將檢測對象當(dāng)前行為的特征度量輸入學(xué)習(xí)機(jī)，學(xué)習(xí)機(jī)經(jīng)過運算輸出一個異常判別值，從而實現(xiàn)對檢測對象的異常檢測。機(jī)器學(xué)習(xí)的主要技術(shù)有：貝葉斯網(wǎng)絡(luò)、馬爾可夫模型、人工神經(jīng)網(wǎng)絡(luò)、模糊邏輯技術(shù)、遺傳算法、數(shù)據(jù)挖掘等。

2.1 貝葉斯網(wǎng)絡(luò)

貝葉斯網(wǎng)絡(luò)是根據(jù)各個變量之間的概率關(guān)系建立的圖論模型，實際應(yīng)用中，網(wǎng)絡(luò)中每個節(jié)點代表一種測度及其概率分布，對于根節(jié)點，概率分布是不依賴其他測度的（客觀概率）;對于子節(jié)點，它是以根節(jié)點為條件的條件概率，輸入各測度的當(dāng)前值后，該網(wǎng)絡(luò)就能輸出一個綜合異常評價結(jié)果.

利用貝葉斯網(wǎng)絡(luò)進(jìn)行入侵檢測是非常高效得，但其主要問題是先驗知識的重要性.但問題是我們不可能對所有的人侵形式進(jìn)行計算，必須在現(xiàn)有知識下盡可能精確地確定先驗概率，這樣計算量會很大，這些都是我們今后需要解決的問題。

2.2 馬爾可夫模型

馬爾可夫模型應(yīng)用到入侵檢測中主要有兩種不同的方法：馬爾可夫鏈模型和隱馬爾可夫模型。一個馬爾可夫鏈就是由狀態(tài)轉(zhuǎn)移概率相關(guān)聯(lián)的一系列狀態(tài)變換，由此構(gòu)成了該模型的拓?fù)浣Y(jié)構(gòu)。在初始的訓(xùn)練數(shù)據(jù)階段，通過正常的系統(tǒng)行為得到概率。在隨后的異常檢測階段，通過對檢測行為序列評估得到一個數(shù)值（主要與概率相關(guān)）與我們事先設(shè)定的門限值比較判斷是否發(fā)生入侵。而隱馬爾可夫模型將狀態(tài)及其轉(zhuǎn)換隱藏，僅僅能看到其觀察值。與貝葉斯網(wǎng)絡(luò)相比，馬爾可夫模型不依賴于先驗概率，因此檢測效果較好。

2.3 神經(jīng)網(wǎng)絡(luò)

神經(jīng)網(wǎng)絡(luò)是模擬人腦加工、存儲和處理信息機(jī)制而提出的一種智能化信息處理技術(shù),他是由大量簡單的處理單元(神經(jīng)元)進(jìn)行高度互連而形成的復(fù)雜網(wǎng)絡(luò)系統(tǒng)。人工神經(jīng)網(wǎng)絡(luò)實現(xiàn)的是一種從輸入到輸出的映射關(guān)系。利用神經(jīng)網(wǎng)絡(luò)檢測入侵的基本思想是用一系列信息單元訓(xùn)練神經(jīng)元,通過訓(xùn)練和學(xué)習(xí)過程來修改網(wǎng)絡(luò)互連權(quán)值,這樣在給定一組輸入后,就可能預(yù)測輸出。

神經(jīng)網(wǎng)絡(luò)應(yīng)用到異常檢測中，主要是由于他的靈活性和適應(yīng)性。這種方法已被應(yīng)用到創(chuàng)建用戶配置文件，從先前的命令序列來預(yù)測下一個命令，以及確定入侵行為的流量模式等。神經(jīng)網(wǎng)絡(luò)不依賴于任何有關(guān)數(shù)據(jù)種類的假設(shè)，能處理噪聲數(shù)據(jù)，實現(xiàn)簡單，但神經(jīng)網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)的形成不穩(wěn)定，且易陷于局部極小，學(xué)習(xí)時間長，而且對判斷為異常的事件不能提供解釋或說明信息。

2.4 模糊邏輯技術(shù)

模糊邏輯來源于模糊集理論。其主要研究近似推理，而不是我們經(jīng)典謂詞邏輯中的精確推導(dǎo)。由于異常檢測技術(shù)的特點我們可以考慮使用模糊變量來判別是否發(fā)生入侵。如果模糊變量在給定的范圍內(nèi)，則認(rèn)為系統(tǒng)正常。

模糊邏輯技術(shù)在異常檢測中被證明是高效的，尤其是端口掃描和探測中。但是其較高的資源消耗率是我們目前亟待解決的問題。另外，還有一些研究人員始終認(rèn)為只有概率才是唯一用來嚴(yán)格的描述數(shù)學(xué)中的不確定性。

2.5 遺傳算法

遺傳算法是計算數(shù)學(xué)中用于解決最優(yōu)化的搜索算法，是進(jìn)化算法的一種。進(jìn)化算法最初是借鑒了進(jìn)化生物學(xué)中的一些現(xiàn)象而發(fā)展起來的，這些現(xiàn)象包括遺傳、突變、自然選擇以及雜交等。因此，遺傳算法構(gòu)成另一種類型的機(jī)器學(xué)習(xí)的技術(shù)，它能產(chǎn)生的分類規(guī)則或選擇適當(dāng)?shù)墓δ芑蜃罴褏?shù)的檢測過程。

遺傳算法是解決多目標(biāo)優(yōu)化問題的算法，對于求解最優(yōu)化問題效率高。它的優(yōu)點是靈活，不用事先了解系統(tǒng)的活動的先驗知識。而它的缺點也很明顯，就是資源消耗率高。

2.6 聚類和孤立點檢測

聚類技術(shù)就是將數(shù)據(jù)集根據(jù)給定的相似度或者距離進(jìn)行歸類。聚類算法的一般過程是選擇一個點作為該簇的中心點，選擇幾個點就是分為幾簇。然后新的數(shù)據(jù)點根據(jù)和這些中心點的鄰近程度劃分到那個簇中。最后某些點可能不屬于任何簇，這些店被命名為離群點，代表檢測過程中的異?；顒印?/p>

一般認(rèn)為，將聚類應(yīng)用到異常檢測中關(guān)鍵是如何尋找到孤立點。現(xiàn)在有很多技術(shù)可以實現(xiàn)，例如，k-近鄰算法利用歐式距離來確定給定簇中的點，另外的一些方法使用馬氏距離。當(dāng)然也可以使用其他的的關(guān)聯(lián)變量，比如密度。

聚類的數(shù)據(jù)來源于主機(jī)的審計記錄，系統(tǒng)學(xué)習(xí)過程較慢，難于進(jìn)行實時檢測。

3 總結(jié)和展望

入侵檢測技術(shù)的不斷發(fā)展，其目標(biāo)是不斷改善網(wǎng)絡(luò)安全狀況和保護(hù)計算機(jī)基礎(chǔ)設(shè)施免遭破壞。盡管異常檢測技術(shù)充滿希望，但是其目前來看，還存在著巨大的挑戰(zhàn)，其主要如下：

3.1 檢測率低，特別是高誤報率仍然存在。

3.2 高成本，低吞吐量。

3.3 入侵檢測系統(tǒng)本身不能保護(hù)自己不受入侵。

異常檢測技術(shù)尚沒有完全成熟，其應(yīng)用還有較大的局限性。這就需要我們不斷探索研究，以便在不久的將來開發(fā)出一種完美的入侵檢測系統(tǒng)。

[1]唐正軍，李建華.入侵檢測技術(shù)[M].北京：清華大學(xué)出版社,2004:7-28.

[2]林果園,黃皓,張永平.入侵檢測系統(tǒng)研究進(jìn)展[J].計算機(jī)科學(xué).第35卷第2期，2008:69-74.

[3]Mitchell TM.Machine Learning[M].北京：機(jī)械工業(yè)出版社,2003:60-69.

（作者單位：河南商業(yè)高等?？茖W(xué)校計算機(jī)系）

（編輯 王旸）