張志利 姚培娟

（黃河科技學(xué)院，河南鄭州 450063）

綜述“互聯(lián)網(wǎng)+”時(shí)代下網(wǎng)絡(luò)安全異常檢測(cè)技術(shù)

張志利 姚培娟

（黃河科技學(xué)院，河南鄭州 450063）

近年來(lái)，以移動(dòng)通信、大數(shù)據(jù)、云計(jì)算等新技術(shù)為基礎(chǔ)，傳統(tǒng)行業(yè)為內(nèi)容，互聯(lián)網(wǎng)為載體，經(jīng)濟(jì)發(fā)展進(jìn)入了“互聯(lián)網(wǎng)+”時(shí)代?！盎ヂ?lián)網(wǎng)+”給人們帶來(lái)直接的經(jīng)濟(jì)和社會(huì)效益的同時(shí)，也帶來(lái)了關(guān)鍵性問(wèn)題——網(wǎng)絡(luò)安全問(wèn)題?；诖?，介紹已有的網(wǎng)絡(luò)安全檢測(cè)模型和算法，以及這些檢測(cè)技術(shù)的優(yōu)點(diǎn)和缺點(diǎn)，在此基礎(chǔ)上優(yōu)化和研究新的模型和算法，以更好地維護(hù)和加強(qiáng)網(wǎng)絡(luò)安全建設(shè)。

異常檢測(cè)；網(wǎng)絡(luò)安全；檢測(cè)算法；“互聯(lián)網(wǎng)+”

自從互聯(lián)網(wǎng)出現(xiàn)以來(lái)，網(wǎng)絡(luò)安全問(wèn)題就一直被大家所關(guān)注。特別是近年來(lái)，隨著互聯(lián)網(wǎng)的高速發(fā)展，經(jīng)濟(jì)發(fā)展進(jìn)入了嶄新的“互聯(lián)網(wǎng)+”時(shí)代。但在“互聯(lián)網(wǎng)+”給人們帶來(lái)直接的經(jīng)濟(jì)和社會(huì)效益的同時(shí)，網(wǎng)絡(luò)也受到了前所未有的安全威脅。每年全世界因?yàn)榫W(wǎng)絡(luò)遭受攻擊而造成的經(jīng)濟(jì)損失達(dá)數(shù)千億美元，如何保護(hù)數(shù)據(jù)和資源的安全，免受攻擊成為全球面臨的刻不容緩的問(wèn)題。

目前已有的網(wǎng)絡(luò)安全防范技術(shù)——入侵檢測(cè)技術(shù)，分為異常檢測(cè)和誤用檢測(cè)2種。本文主要討論異常檢測(cè)的主要技術(shù)和算法。

1 異常檢測(cè)技術(shù)概述

異常檢測(cè)是通過(guò)學(xué)習(xí)系統(tǒng)、應(yīng)用程序或者用戶等的正常行為習(xí)慣，建立特征模式庫(kù)，然后將用戶當(dāng)前行為特征與模式庫(kù)中的特征進(jìn)行比較，以此來(lái)發(fā)現(xiàn)異常行為。

異常檢測(cè)技術(shù)具有能發(fā)現(xiàn)未知攻擊、漏報(bào)率低等優(yōu)點(diǎn)，但也存在誤報(bào)率高、特征模型建立困難等缺陷。異常檢測(cè)模型如圖1所示。

圖1 異常檢測(cè)模型

2 異常檢測(cè)模型

2.1 基于神經(jīng)網(wǎng)絡(luò)的異常檢測(cè)模型

神經(jīng)網(wǎng)絡(luò)是模仿生物神經(jīng)網(wǎng)絡(luò)行為特征，通過(guò)接受外部輸入刺激，調(diào)整內(nèi)部大量節(jié)點(diǎn)之間相互連接的關(guān)系，從而獲取并積累知識(shí)，達(dá)到具有處理信息和一定判斷預(yù)測(cè)的能力。

神經(jīng)網(wǎng)絡(luò)一種應(yīng)用于分類(lèi)器，如李鴻培和王新梅［1］“設(shè)計(jì)的基于神經(jīng)網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)模型”，通過(guò)訓(xùn)練和學(xué)習(xí)，記憶了系統(tǒng)的正常行為或入侵行為，并能根據(jù)系統(tǒng)現(xiàn)狀進(jìn)行自我調(diào)節(jié)，有效地發(fā)現(xiàn)并阻止各種入侵行為。另一種神經(jīng)網(wǎng)絡(luò)可用來(lái)建立預(yù)測(cè)模型，如evni等設(shè)計(jì)的“面向入侵檢測(cè)的神經(jīng)網(wǎng)絡(luò)模型”，通過(guò)在神經(jīng)網(wǎng)絡(luò)的輸入端輸入用戶所用的命令序列可以預(yù)測(cè)下一個(gè)命令，如果不符合就可判定為異常。

神經(jīng)網(wǎng)絡(luò)的優(yōu)點(diǎn)是：不依賴(lài)對(duì)潛在數(shù)據(jù)的統(tǒng)計(jì)假設(shè)；能較好地處理噪聲數(shù)據(jù)；能自動(dòng)調(diào)節(jié)影響輸出的各測(cè)度的權(quán)重。缺點(diǎn)在于：神經(jīng)網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)和各元素的權(quán)重只有在訓(xùn)練后才能確定；輸入窗口的大小是個(gè)主觀因素，不易確定。

2.2 基于數(shù)據(jù)挖掘的異常檢測(cè)模型

數(shù)據(jù)挖掘是利用關(guān)聯(lián)分析、分類(lèi)分析、序列模式分析等算法從大型數(shù)據(jù)庫(kù)中提取隱含的、事先未知的、潛在有用的、易被理解的信息的過(guò)程，然后用這些知識(shí)去檢測(cè)異常，模型如圖2所示。wenkeLee和alvatore J.Stolfo等［2］在1998年和1999年提出通過(guò)對(duì)正常數(shù)據(jù)建立決策樹(shù)的預(yù)測(cè)模型來(lái)作為檢測(cè)模型。2001年又提出將基于數(shù)據(jù)挖掘的檢測(cè)模型應(yīng)用到實(shí)時(shí)環(huán)境中，解決了檢測(cè)的準(zhǔn)確性、效率和可用性。

圖2 基于數(shù)據(jù)挖掘的異常檢測(cè)模型

該模型優(yōu)點(diǎn)是能從海量的歷史數(shù)據(jù)中提取知識(shí)，并快速、自動(dòng)地產(chǎn)生異常檢測(cè)模型。缺點(diǎn)是誤報(bào)率較高，計(jì)算復(fù)雜度大，訓(xùn)練數(shù)據(jù)多。

2.3 基于遺傳算法的異常檢測(cè)模型

遺傳算法也稱(chēng)基因算法，是一種基于遺傳和變異的生物進(jìn)化方法。在基于遺傳和進(jìn)化學(xué)習(xí)的入侵檢測(cè)研究方面，A.chittur［3］詳細(xì)闡述了基于GA的異常入侵方法，獲得了平均97.8%的檢測(cè)率，同時(shí)保持了極低的誤警率。但該方法訓(xùn)練時(shí)間較長(zhǎng)，數(shù)據(jù)選擇難度大。張鳳斌等［4］在2004年提出了一種基于GA的網(wǎng)絡(luò)異常入侵檢測(cè)算法，使用遺傳算法進(jìn)化檢測(cè)規(guī)則集來(lái)覆蓋異?？臻g，該算法提高了檢測(cè)率。

遺傳算法適合數(shù)值求解帶有多參數(shù)、多目標(biāo)和在多區(qū)域fH連通性較差的NP-hard優(yōu)化問(wèn)題，能處理帶有大量噪聲和無(wú)關(guān)數(shù)據(jù)的變化事件。缺點(diǎn)在于編碼表示不規(guī)范、染色體選擇和初始群體選取困難。

2.4 基于馬爾科夫的異常檢測(cè)模型

此方法主要是通過(guò)提取數(shù)據(jù)包特征進(jìn)行量化、訓(xùn)練，統(tǒng)計(jì)相應(yīng)特征的出現(xiàn)概率以及轉(zhuǎn)移概率，以此建立馬克科夫鏈模型。然后再采用一些馬爾科夫模型評(píng)估方法進(jìn)行評(píng)估，確定是否有異常發(fā)生，模型如圖3所示。

圖3 馬爾科夫異常檢測(cè)模型

2.5 基于支持向量機(jī)的異常檢測(cè)模型

支持向量機(jī)是基于結(jié)構(gòu)風(fēng)險(xiǎn)最小化原理，根據(jù)有限的樣本信息在模型的復(fù)雜性和學(xué)習(xí)能力之間尋求最佳折衷，以獲得最好的范化能力，模型如圖4所示。M.Luo等［5］利用混合無(wú)監(jiān)督的聚類(lèi)方法和超平面的One-SVM算法作異常檢測(cè)。W.J.Hu等［6］針對(duì)入侵檢測(cè)遇到的含噪數(shù)據(jù)，提出了健壯SVM的分類(lèi)方法。饒鮮［7］利用SVM方法對(duì)進(jìn)程運(yùn)行時(shí)產(chǎn)生的系統(tǒng)調(diào)用序列進(jìn)行訓(xùn)練，建立檢測(cè)模型。李輝、管曉宏［8］針對(duì)入侵檢測(cè)所獲得的高維小樣本異構(gòu)函數(shù)集，將有監(jiān)督的C-SVM算法和無(wú)監(jiān)督的0neclass SVM算法用于網(wǎng)絡(luò)連接信息數(shù)據(jù)中的攻擊檢測(cè)和異常發(fā)現(xiàn)。

圖4 基于支持向量機(jī)的異常檢測(cè)模型

該模型的缺點(diǎn)在于訓(xùn)練之前必須進(jìn)行模型選擇，并要確定一些參數(shù)，特別是核函數(shù)的選擇要憑經(jīng)驗(yàn)。SVM通常只能處理數(shù)值數(shù)據(jù)和二元分類(lèi)問(wèn)題。

3 異常檢測(cè)算法

3.1 統(tǒng)計(jì)分析異常檢測(cè)算法

統(tǒng)計(jì)分析異常檢測(cè)算法是根據(jù)用戶對(duì)象的活動(dòng)為每個(gè)用戶都建立一個(gè)特征輪廓表，通過(guò)對(duì)當(dāng)前特征與已建立的特征進(jìn)行比較，來(lái)判斷當(dāng)前行為的異常性。統(tǒng)計(jì)分析技術(shù)的關(guān)鍵是從描述網(wǎng)絡(luò)或系統(tǒng)的行為和狀態(tài)屬性中選擇一組統(tǒng)計(jì)度量，并根據(jù)歷史數(shù)據(jù)建立其正常的變化范圍。

該方法的優(yōu)點(diǎn)是不需要太多先驗(yàn)知識(shí)，跟蹤一組統(tǒng)計(jì)量對(duì)系統(tǒng)資源的占用率較低。但缺點(diǎn)在于設(shè)計(jì)描述正常行為和狀態(tài)的統(tǒng)計(jì)量、選擇統(tǒng)計(jì)量的屬性、設(shè)置基線是較難的問(wèn)題，統(tǒng)計(jì)度量對(duì)事件發(fā)生的順序也不敏感。另外，本算法虛警率較高。

3.2 基于貝葉斯推理的異常檢測(cè)算法

基于貝葉斯推理的異常檢測(cè)算法是通過(guò)在任何給定的時(shí)刻，測(cè)量變量值，推理判斷系統(tǒng)是否發(fā)生入侵事件，即在任意給定的時(shí)刻，測(cè)量A1，A2，…，An，n種測(cè)度值，推理判斷系統(tǒng)是否有入侵事件發(fā)生。貝葉斯推理的公式如下：

等式左邊如果大于1，則判定為入侵。

3.3 基于模糊邏輯的異常檢測(cè)算法

模糊邏輯推理采用的是假言推理的近似式而不是精確形式。假言推理的規(guī)則可以寫(xiě)為：

A～B大前提（蘊(yùn)含）

A`小前提

B`～A`。（A～B）結(jié)論

在應(yīng)用模糊邏輯推理的異常檢測(cè)系統(tǒng)中，根據(jù)當(dāng)前的各測(cè)度值和模糊規(guī)則，得到一個(gè)異常的模糊度，如果模糊度大于某個(gè)闌值，則可判定為入侵。

3.4 K-近鄰算法

基于K-近鄰算法的異常檢測(cè)，方法是計(jì)算n個(gè)點(diǎn)相互的歐拉距離：

即對(duì)于i=1，2，…，n，都能得到點(diǎn)Xi到其最近鄰的距離。如果找到的點(diǎn)Xn的最近鄰距離處于上限，那就能夠判定點(diǎn)Xn是“太遠(yuǎn)”了。該算法缺點(diǎn)是計(jì)算復(fù)雜度較高，優(yōu)點(diǎn)是不需要先驗(yàn)知識(shí)。

4 結(jié)語(yǔ)

本文介紹了“互聯(lián)網(wǎng)+”時(shí)代下網(wǎng)絡(luò)安全現(xiàn)狀，網(wǎng)絡(luò)發(fā)展越來(lái)越迅速，人們通過(guò)各種方式與互聯(lián)網(wǎng)相連，生活和工作越來(lái)越依賴(lài)于網(wǎng)絡(luò)，隨之也暴漏出了越來(lái)越多的安全問(wèn)題。文中介紹了已有的網(wǎng)絡(luò)安全檢測(cè)模型和檢查算法，以及每種模型和算法的優(yōu)缺點(diǎn)。隨著智能手機(jī)的普及，手機(jī)網(wǎng)絡(luò)安全問(wèn)題的解決迫在眉睫，異常檢測(cè)已普遍應(yīng)用于計(jì)算機(jī)網(wǎng)絡(luò)安全防范中，下一步需要不斷研究和完善已有的檢測(cè)模型，并將檢查方法應(yīng)用于手機(jī)安全中。

［1］李鴻培，王新梅.基于神經(jīng)網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)模型［J］.西安電子科技大學(xué)學(xué)報(bào)（自然科學(xué)版），1999（5）：667-670.

［2］Wenke Lee，alvatoreJ.Stolfo.Data mining approaehes for intrusion deteetion［A］//San Antonlo：Proe.of the 7thUSENIX Seeurity Symposium，1998.

［3］A Chittur.Model Generation for an Intrusion etection Sys?tem U-siong Genetic Algorithms［EB/OL］.（2001-11-01）［2016-11-05］.http://www.cs.columbia.edu/ids/publications/gaids-the?sis01.pdf（2005）.

［4］張鳳斌，楊永田，江子揚(yáng).遺傳算法在基于網(wǎng)絡(luò)異常的入侵檢測(cè)中的應(yīng)用［J］.電子學(xué)報(bào)，2004（5）：875-877.

［5］M Luo，LN Wang，HG Zhang，et al.A research on intru?sion de-tection based on unsupervised clustering and support vec?tor ma-chine［J］.Computer Engineering&Applications，2003（18）：325-336.

［6］WJ Hu，Song Q.Principle component classifier.NIPS.2000 workshop on New Perpectives in Kernel+based Learning Methods in Breckenridge US［EB/OL］.（2004-02-12）［2016-11-05］.http:// svm.first.gmd.de/.

［7］饒鮮，董春曦，楊紹全.基于支持向量機(jī)的入侵檢測(cè)系統(tǒng)［J］.軟件學(xué)報(bào)，2003（4）：798-803.

［8］李輝，管曉宏，昝鑫，等.基于支持向量機(jī)的網(wǎng)絡(luò)入侵檢測(cè)［J］.計(jì)算機(jī)研究與發(fā)展，2003（6）：799-807.

Review of Network Security Anomaly Detection Technology in the"Internet+"Era

Zhang ZhiliYao Peijuan
（Huanghe Science and Technology College，Zhengzhou Henan 450063）

In recent years,with the new mobile communication technology,big data,cloud computing and other tradi?tional industries as the basis,for the content of the Internet as a carrier,economic development has entered a"Inter?net+"era."Internet+"bring direct economic and social benefits to people,also brought a crucial problem-network security problem.Based on this,the network security detection model and algorithm were presented,and the advan?tages and disadvantages of these detection techniques were introduced,on the basis of this,we can optimize and study the new model and algorithm,to better protect and strengthen the construction of network security.

network security；anomaly detection；detection algorithm；"Internet+"

TP393.08

A

1003-5168（2016）12-0050-03

2016-11-10

河南省人文社會(huì)科學(xué)項(xiàng)目（2016-qn-051）。

張志利（1982-），女，碩士，助教，研究方向：計(jì)算機(jī)網(wǎng)絡(luò)安全；姚培娟（1987-），女，碩士，講師，研究方向：嵌入式系統(tǒng)安全研究。