摘 要：將遺傳算法應(yīng)用于入侵檢測有著廣闊的前景。當(dāng)今計算機技術(shù)和計算機網(wǎng)絡(luò)的不斷發(fā)展，促使黑客不斷的攻擊敏感數(shù)據(jù)，安全形勢越來越嚴(yán)峻。遺傳算法能夠從訓(xùn)練的數(shù)據(jù)中學(xué)習(xí)規(guī)則和不規(guī)則行為，并能在計算機系統(tǒng)上產(chǎn)生用來檢測攻擊的分類器。本文主要探討遺傳算法在網(wǎng)絡(luò)入侵系統(tǒng)中的應(yīng)用。

關(guān)鍵詞：遺傳算法；入侵檢測系統(tǒng)；網(wǎng)絡(luò)

中圖分類號：TP393.08

遺傳算法作為一種自動化的搜索算法，主要是通過自然選擇與基因變化的思想作為首選條件，在通過進化論的思想理論基礎(chǔ)升華，在實踐操作中，采用參數(shù)編碼的方式，并構(gòu)建初始條件與函數(shù)設(shè)計的方式，形成具體操作的整體運用，進行運用算法的迭代計算，能收到更好的效果，并為整個性能的實現(xiàn)創(chuàng)設(shè)良好的條件。

1 遺傳算法的基本步驟

遺傳算法主要是根據(jù)已有的網(wǎng)絡(luò)連接進行綜合模式的分析，在數(shù)據(jù)庫的產(chǎn)生與檢測系統(tǒng)中，主要是通過規(guī)則化的正常網(wǎng)絡(luò)區(qū)分，形成相應(yīng)的網(wǎng)絡(luò)連接，這些網(wǎng)絡(luò)系統(tǒng)的鏈接形成一定的侵入活動，在整個存儲方式中，突出一般的形式運用。

在這些網(wǎng)絡(luò)鏈接中，通過IDS的規(guī)則管理是否相匹配進行條件管理，對于源頭的IP地址，進行整個系統(tǒng)化的管理，系統(tǒng)體系結(jié)構(gòu)是一個由許多結(jié)構(gòu)要素及各種視圖（或觀點）所組成的綜合模型。目前主要的信息系統(tǒng)體系結(jié)構(gòu)模式有單用戶體系結(jié)構(gòu)、C/S體系結(jié)構(gòu)、B/S體系結(jié)構(gòu)、P2P體系結(jié)構(gòu)。通用數(shù)據(jù)挖掘平臺設(shè)計通過對幾種模式的評估與分析，決定使用B/S體系結(jié)構(gòu)。B/S體系結(jié)構(gòu)，即Browser/Server（瀏覽器/服務(wù)器）結(jié)構(gòu)，就是只安裝維護一個服務(wù)器（Server），而客戶端采用瀏覽器（Browse）運行軟件。在B/S體系結(jié)構(gòu)系統(tǒng)中，用戶通過瀏覽器向服務(wù)器發(fā)出請求，服務(wù)器對瀏覽器的請求進行處理并將用戶所需信息返回到瀏覽器。B/S三層體系結(jié)構(gòu)采用三層客戶/服務(wù)器結(jié)構(gòu)，在數(shù)據(jù)管理層（Server）和用戶界面層（Client）增加了一層稱為中間件（Middleware）的結(jié)構(gòu)，使整個體系結(jié)構(gòu)成為三層。中間件將應(yīng)用分為表示層、業(yè)務(wù)邏輯層和數(shù)據(jù)存儲層三個不同的處理層次，而且三層結(jié)構(gòu)在層與層之間相互獨立，任何一層的改變不會影響其它層的功能。

2 基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)

當(dāng)今計算機網(wǎng)絡(luò)技術(shù)的不斷發(fā)展，單獨地依靠主機審計信息進行入侵檢測已經(jīng)不能滿足人們對網(wǎng)絡(luò)安全的需求，于是人們在不斷研究下，提出了基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)體系結(jié)構(gòu)，這種檢測系統(tǒng)根據(jù)網(wǎng)絡(luò)流量、單臺或多臺主機的審計數(shù)據(jù)檢測入侵?；诰W(wǎng)絡(luò)的入侵檢測系統(tǒng)的數(shù)據(jù)源是網(wǎng)絡(luò)流量，它實時監(jiān)視并分析通過網(wǎng)絡(luò)的所有通信業(yè)務(wù)，檢測范圍是整個網(wǎng)絡(luò)，由于網(wǎng)絡(luò)數(shù)據(jù)是規(guī)范的TCP/IP協(xié)議數(shù)據(jù)包，所以基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)比較易于實現(xiàn)。但它只能檢測出遠程入侵，對于本地入侵它是看不到的。其基本結(jié)構(gòu)如圖1所示。探測器的功能是按一定的規(guī)則從網(wǎng)絡(luò)上獲取與安全事件相關(guān)的數(shù)據(jù)包，再傳遞給分析引擎器進行安全分析判斷，其一般由過濾器、網(wǎng)絡(luò)接口引擎器以及過濾規(guī)則決策器構(gòu)成。探測器上接收到的數(shù)據(jù)包通過分析引擎器結(jié)合網(wǎng)絡(luò)安全數(shù)據(jù)庫進行分析，然后把分析的結(jié)果傳遞給配置構(gòu)造器。配置構(gòu)造器將根據(jù)分析引擎的結(jié)果構(gòu)造出探測器所需要的配置規(guī)則。分析引擎器是它的一個重要部件，用來分析網(wǎng)絡(luò)數(shù)據(jù)中的異?，F(xiàn)象或可疑跡象，并提取出異常標(biāo)志。分析引擎器的分析和判斷決定了具有什么樣特征的網(wǎng)絡(luò)數(shù)據(jù)流是非正常的網(wǎng)絡(luò)行為，它常用的四種入侵和攻擊識別技術(shù)分別包括根據(jù)模式、表達式及字節(jié)匹配；利用出現(xiàn)頻率或穿越閾值；根據(jù)次要事件的相關(guān)性；統(tǒng)計學(xué)意義上的非常規(guī)現(xiàn)象檢測。

3 遺傳算法在網(wǎng)絡(luò)入侵檢測系統(tǒng)中的應(yīng)用

我們以計算機為工具，數(shù)據(jù)庫為核心，用計算機技術(shù)和方法、網(wǎng)絡(luò)技術(shù)和方法、通信技術(shù)和方法綜合應(yīng)用管理工程技術(shù)，行為科學(xué)技術(shù)等現(xiàn)代化科學(xué)技術(shù)，建立一個客戶關(guān)系管理系統(tǒng)，以操作簡便、界面友好、靈活、安全穩(wěn)定為出發(fā)點，對各種資源信息進行管理，并在網(wǎng)絡(luò)范圍內(nèi)進行共享。本測試系統(tǒng)服務(wù)器：CPU主頻1GHz以上，內(nèi)存1GB以上，硬盤自由空間在1GB以上。服務(wù)器：操作系統(tǒng)為Windows2003 Server或Windows XP，客戶端。操作系統(tǒng)：Microsoft WindowsXPSP3或win7，同時，軟件為B/S架構(gòu)，用戶使用IE瀏覽器即可登錄并訪問系統(tǒng)。為了保證數(shù)據(jù)的安全性以及平緩電網(wǎng)的波動給網(wǎng)絡(luò)帶來的影響，在服務(wù)器及工作站均采用了UPS不間斷電源?；诰W(wǎng)絡(luò)的入侵檢測系統(tǒng)可以獲得很多有價值的數(shù)據(jù)，去判別不良的意圖。即使防火墻抗拒這些嘗試，但防火墻之外的基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)也能查出躲在防火墻后的攻擊意圖。

式中： 為某個個體，a為正確檢測到的攻擊數(shù)目；A為總有攻擊數(shù)目；b為被誤判為攻擊的連接數(shù)；B為總的正常連接數(shù)；m為 中1的個數(shù)； 為m對于該適應(yīng)度函數(shù)的相關(guān)系數(shù)，即高檢出率低誤報率使適應(yīng)度函數(shù)值高，低檢出率高誤報率使適應(yīng)度函數(shù)值低。個體中置l的位數(shù)越少，適應(yīng)度值越大，這是出于尋找最小特征子集的考慮，其影響的強弱由相關(guān)系數(shù)d去控制。對于終端主機網(wǎng)絡(luò)安全技術(shù)來說，目前為人們所接受并大規(guī)模投入應(yīng)用的主要有：殺毒軟件、主機網(wǎng)絡(luò)防火墻、各種輔助的安全工具。其中，殺毒軟件主要用于計算機病毒和各種惡意代碼的防護。主機網(wǎng)絡(luò)防火墻可以對針對當(dāng)前主機的網(wǎng)絡(luò)訪問流量進行簡單控制并防護常見的針對主機的網(wǎng)絡(luò)攻擊行為，它可以大大減少來自網(wǎng)絡(luò)的潛在威脅，各種輔助安全工具可以有針對性的對某些環(huán)境或軟件起到專門的保護作用，如MSN防護盾、網(wǎng)銀安全控件等。

4 結(jié)論

作為一項安全技術(shù)，目前入侵系統(tǒng)有許多地方需要完善和改進，面對網(wǎng)絡(luò)的高速發(fā)展，入侵檢測系統(tǒng)存在檢測效率低，實時性不強、誤報和漏報率比較高等不足，如何提高入侵系統(tǒng)的性能就變得非常迫切。

參考文獻：

[1]陳喆.遺傳算法在網(wǎng)絡(luò)入侵檢測系統(tǒng)中的應(yīng)用研究[J].數(shù)字技術(shù)與應(yīng)用，2013，07：95.

[2]張輝.自體集網(wǎng)絡(luò)入侵檢測中的高效尋優(yōu)算法仿真[J].計算機仿真，2013，08：297-300.

[3]麻書欽.基于Kohonen神經(jīng)網(wǎng)絡(luò)算法的網(wǎng)絡(luò)入侵聚類算法的測試研究[J].中國測試，2013，04：113-116.

[4]王晟，趙壁芳.基于模糊數(shù)據(jù)挖掘和遺傳算法的網(wǎng)絡(luò)入侵檢測技術(shù)[J].計算機測量與控制，2012，03：660-663.

作者單位：廣州航天海特系統(tǒng)工程有限公司，廣州 510663