韋紹毅

【摘 要】伴隨著網(wǎng)絡通信數(shù)據(jù)的幾何呈現(xiàn)出不斷增長的趨勢，這讓系統(tǒng)的自動檢測能力受到了人為分析網(wǎng)絡入侵檢測方法的極大限制，軟計算機模擬技術對分析系統(tǒng)能力的提高具有非常大的幫助，其中對于網(wǎng)絡入侵自動檢測上，則可以通對機器學習方法的利用。而這些技術都是通過對網(wǎng)絡數(shù)據(jù)統(tǒng)計分析的借助，實現(xiàn)使用之前發(fā)現(xiàn)的數(shù)據(jù)模式進行數(shù)據(jù)處理算法的目的，進而對網(wǎng)絡通信新數(shù)據(jù)作出更好的決策。本文主要對多種機器學習方法及軟件計算機技術，在智能網(wǎng)絡入侵檢測系統(tǒng)中的應用方法進行探討，切實的為智能網(wǎng)絡入侵檢測系統(tǒng)的建立奠定基礎，進而讓網(wǎng)絡入侵檢測和防御系統(tǒng)變得更加的高效率。

【關鍵詞】機器學習；入侵檢測；網(wǎng)絡通信；軟計算

伴隨著互聯(lián)網(wǎng)迅速的發(fā)展，這讓本就非常脆弱的信息系統(tǒng)和通信網(wǎng)絡，成為了不同網(wǎng)絡類型主要攻擊的對象，因此這也讓網(wǎng)路安全成為了大家關注的重點。網(wǎng)絡受到的安全威脅呈現(xiàn)出不斷上漲的趨勢，基于智能網(wǎng)絡而言，入侵檢測和防御系統(tǒng)的建立就顯得尤為的重要。在當前網(wǎng)絡安全研究課題上，網(wǎng)絡入侵檢測已經(jīng)成為了主要的課題，雖然在多種網(wǎng)絡攻擊風險在因特網(wǎng)環(huán)境當中存在，但同時也有諸多針對網(wǎng)絡攻擊的預防系統(tǒng)，尤其是基于入侵檢測的網(wǎng)絡防御系統(tǒng)。

一、簽名和異常檢測

簽名檢測工作的原理主要是對比觀察和數(shù)據(jù)庫的簽名。全部的簽名模式是借助檢測環(huán)境當中的數(shù)據(jù)包，然后將與數(shù)據(jù)庫當中相匹配的簽名全部提取，如果標記和安全政策不相符合，那就將其作為一個攻擊對象。簽名檢測能夠對已經(jīng)指導的攻擊，或者是侵犯進行有效的預防，但是它沒有辦法對新的攻擊對象進行檢測，一直到已經(jīng)更新了它的簽名。基于簽名的入侵檢測系統(tǒng)，具有預處理和計算量小的顯著特征。

異常檢測能夠對新的攻擊，或者是潛在的新的攻擊進行檢測，它借助已經(jīng)構建好的配置文件，從而對其的正常行為進行表示，然后把它現(xiàn)下的行為進行對比和匹配?；诋惓z測的機制，能夠判定任意的通信行為，尤其是擅長掃描和探測網(wǎng)絡硬件。從網(wǎng)絡和端口異常中，這些系統(tǒng)對任意錯誤所造成的攻擊進行檢測。

二、機器學習技術

基于機器學習技術的異常入侵檢測系統(tǒng)，能夠通過數(shù)據(jù)來達到學習的目的。進而建立起一個決策系統(tǒng)，也就是可以分析潛在數(shù)據(jù)的系統(tǒng)。

（一）神經(jīng)網(wǎng)絡

在特征精簡當中，神經(jīng)網(wǎng)絡模型可以對問題進行分類，同時并能夠形成決策邊界，進而讓非線性判別函數(shù)得到有效的構建。每個特征微量元素在用于分類問題的過程中，都會和一個輸入節(jié)點相對應，與此同時每個輸出節(jié)點所對應的分類，可以作為對分配的類別。通過輸入節(jié)點和隱層節(jié)點的連接，并對初始權值進行分配，調整權值在神經(jīng)網(wǎng)絡的訓練。經(jīng)過對神經(jīng)網(wǎng)絡的觀察發(fā)現(xiàn)，其訓練時間比較長的重要原因就是因為有巨大的網(wǎng)絡訓練數(shù)據(jù)量。但是此類入侵近側系統(tǒng)，能夠在線分類攻擊類型。

（二）支持向量機

支持向量機在分類和回歸問題當中，是一種較為常見的任務式學習方法。此種方法中，兩個類別的一種救贖屬于一個訓練例子，然后通過對支持向量算法的利用，從而建立起，模型，然后再對新的實例是不是屬于其中的類別進行預測。這里首先需要定義一個輸入空間，也就是X，然后開始連接每個網(wǎng)絡，對是n維的屬性特征進行選擇。一個網(wǎng)路連接則用一個維度矢量x表示，x=（x1，x2，...，xn），其中i=1，2，...，n，代表樣本的特征值。Y表示的是定義輸出的區(qū)域，只需要對每個網(wǎng)絡連接是否正常進行判斷即可?？梢詫=（+1，-1）進行定義，當正常連接時為Y=+1，當連接為異常時為Y=-1。支持向量機的分類問題，主要是對非線性映射函數(shù)進行表示，也即為樣本空間對高緯的映射。此種方式具有兩個主要優(yōu)點，分別就是高決策速度和高訓練速度。

（三）遺傳算法

找到問題優(yōu)化的近似解就是遺傳算法的一個主要目標。爬山法為遺傳算法的采用的一種方法，對任意基因數(shù)目的進行選定，其分別有選擇、交叉、變異及初始化四個操作。一個單獨的染色體包括諸如服務等基因響度應的屬性。分類規(guī)則可以通過遺傳算法的方式產(chǎn)生，與此同時對參數(shù)在檢測的過程中進行優(yōu)化。

（四）決策樹

大部分情況下決策樹是在分類問題上進行應用的，在此算法當中已經(jīng)對學習和模型化過數(shù)據(jù)集。同樣決策樹算法也可以在網(wǎng)絡入侵檢測當中進行應用。而首先需要在訓練數(shù)據(jù)的基礎上，對此種算法進行學習并建立相應的模型。決策樹模型在入侵檢測中，具有一個非常顯著的優(yōu)點，就是對龐大的數(shù)據(jù)集進行處理。與此同時其在實時入侵檢測中的應用也具有著非常明顯的效果，因此在性能上決策樹可以提供非常高的檢測，非常容易構建和解釋模型。而其的另外一個優(yōu)點就是，決策樹具有非常泛化的精度，因為在不久的將來，總會有一些潛在的新攻擊出現(xiàn)，而借助決策樹對研究的精度進行泛化，可以對諸如此類的攻擊進行更好的檢測。

三、機器學習在網(wǎng)絡入侵檢測應用的優(yōu)缺點

面對越來越復雜的網(wǎng)絡環(huán)境，這給傳統(tǒng)的網(wǎng)絡入侵檢測技術帶來了很大的沖擊，因此在入侵檢測系統(tǒng)上，就非常需要提高其防御性能。而通過將機器學習的算法在入侵檢測系統(tǒng)當中的應用，不但可以讓系統(tǒng)的檢測效率得到顯著的提高，同時也讓智能優(yōu)化了系統(tǒng)的功能。機器學習當中有著各種各樣的算法，并且各自有各自的優(yōu)點和缺點，以下就是對各個算法存在的優(yōu)點和缺點的簡單總結，基于決策樹的網(wǎng)路入侵檢測系統(tǒng)，具有簡單易懂的優(yōu)點，因為屬性在對比的過程中，是沿著一條支線進行的，因此決策樹構建的也是最優(yōu)的，這讓入侵檢測系統(tǒng)的效率得到了大大的提高?；谏窠?jīng)網(wǎng)絡的網(wǎng)絡入侵檢測系統(tǒng)，具有的計算高速的優(yōu)勢。不管是決策樹，還是神經(jīng)網(wǎng)絡都讓入侵檢測系統(tǒng)的性能得到了極大的提高，但是這兩種方法都極易會出現(xiàn)擬合的情況發(fā)生。支持向量機入侵檢測系統(tǒng)在泛化能力上比較強，而遺傳算法對端口掃描檢測時會非常的有效。在網(wǎng)絡入侵檢測系統(tǒng)當中，將各個機器的學習算法應用在其中，沒有辦法對某個具體算法的最佳進行準確的斷定，而是需要按照算法自身所有的優(yōu)缺點，以及網(wǎng)絡環(huán)境具有的特殊性進行合適的選擇，需要較高的針對性。上述各種技術都是為了能夠讓高的檢測率得到更好的實現(xiàn)，但各自的技術都有自己的特點，總結如下。

（一）神經(jīng)網(wǎng)絡

無需專家知識，神經(jīng)網(wǎng)絡也能夠對未知和異常的入侵情況進行及時的發(fā)現(xiàn)，但是采用技術在實時監(jiān)測的過程中并不適用，且訓練過程也非常的緩慢。

（二）支持向量機

具有高訓練速度和高決策速度，且不敏感數(shù)據(jù)維度。但是采用此種技術會需要較長的訓練時間，無法給出攻擊類型的信息等。

（三）遺傳算法

和推理非常的近似，尤其是端口掃描檢測時會非常的有效，但是此種技術消耗的資源大，運行過程中相關規(guī)則的降低較為困難。

（四）決策樹

可以對大數(shù)據(jù)進行處理，有著非常高的檢測精度。但是此種技術的建立是需要在計算機密集型的基礎之上的。

四、結束語

不管在入侵檢測上采取何種方法都具有一定的優(yōu)勢和劣勢，因此只有不斷的加強對網(wǎng)絡入侵檢測的研究，才能夠找出機器學習在網(wǎng)絡入侵檢測當中的最佳方法。

【參考文獻】

[1] 解男男. 機器學習方法在入侵檢測中的應用研究[D]. 吉林大學， 2015.

[2] 朱琨， 張琪. 機器學習在網(wǎng)絡入侵檢測中的應用[J]. 數(shù)據(jù)采集與處理， 2017， 32（3）：479-488.

[3] 徐慧， 劉翔， 方策，等. 一種基于可拓距的特征變換方法及其在網(wǎng)絡入侵檢測中的應用[J]. 河南師范大學學報（自然版）， 2017（5）：101-107.endprint