張舒婷

（太原學(xué)院，山西 太原 030032）

1 引言

隨著網(wǎng)絡(luò)信息技術(shù)的不斷發(fā)展及其在人們生活工作學(xué)習中的廣泛使用，社會對于網(wǎng)絡(luò)的依賴程度越來越高。而在網(wǎng)絡(luò)信息化社會時代發(fā)展趨勢下，諸如病毒入侵、DNS攻擊、垃圾郵件等網(wǎng)絡(luò)入侵也呈現(xiàn)出復(fù)雜化、多樣性的發(fā)展特征，極大地影響了社會網(wǎng)絡(luò)應(yīng)用的正常發(fā)展。在這樣的背景下，入侵防護系統(tǒng)（Intrusion Prevention System，簡稱IPS）逐漸成為傳統(tǒng)IDS的替代產(chǎn)品，由于傳統(tǒng)IDS在網(wǎng)絡(luò)入侵檢測中誤報率高以及資源消耗大并且需要人工過多的參與等方面的缺陷，不能夠很好地應(yīng)對當前網(wǎng)絡(luò)入侵的進化。而IPS融合了入侵檢測技術(shù)和防火墻技術(shù)，其安全解決方案逐漸成為安全技術(shù)的主流，而網(wǎng)絡(luò)入侵檢測功能在IPS研究和應(yīng)用中都占有非常重要的地位。由此進行網(wǎng)絡(luò)入侵檢測中應(yīng)用機器學(xué)習的相關(guān)探討有著非常重要的理論意義。

2 機器學(xué)習概述

機器學(xué)習，簡單來說是通過智能技術(shù)的應(yīng)用，利用機器學(xué)習現(xiàn)有知識，并根據(jù)所學(xué)的知識識別并獲取新認知和技能的方法。機器學(xué)習研究和實踐早在上世紀五十年代在發(fā)達國家就已經(jīng)受到重視，我國關(guān)于機器學(xué)習以及基于機器學(xué)習的網(wǎng)絡(luò)入侵技術(shù)應(yīng)用研究較晚，但是發(fā)展較快，當然與發(fā)達國家相比仍然存在著一定的技術(shù)差距和研究實踐等方面的差距。自機器學(xué)習依托智能技術(shù)誕生以來，隨著智能技術(shù)網(wǎng)絡(luò)環(huán)境和外在應(yīng)用環(huán)境以及自身革新等因素的影響，機器學(xué)習從科學(xué)研究逐漸應(yīng)用到某些具體的領(lǐng)域，并且機器學(xué)習的理論體系得到了完善，以機器學(xué)習多領(lǐng)域理論的完善為基礎(chǔ)，機器學(xué)習方法中網(wǎng)絡(luò)神經(jīng)、支持向量機、增強學(xué)習、遺傳進化等方面的入侵技術(shù)應(yīng)用有了很大的發(fā)展。網(wǎng)絡(luò)入侵檢測從本質(zhì)上來說是分類和建模的問題，機器學(xué)習方法通過對于學(xué)習特點的掌握，利用所集合的信息資源，對網(wǎng)絡(luò)入侵的可能性可以做到較為科學(xué)的預(yù)測和識別，其已經(jīng)在模式識別上有了較大的發(fā)展。

3 機器學(xué)習方法應(yīng)用于網(wǎng)絡(luò)入侵檢測技術(shù)

3.1 基于模式識別思想認識的技術(shù)方法應(yīng)用

把入侵檢測看作是分類問題，通過對網(wǎng)絡(luò)流量和主機審計等相關(guān)設(shè)備數(shù)據(jù)信息的總結(jié)分析，區(qū)分出系統(tǒng)運行正常與否。在機器學(xué)習訓(xùn)練樣本不均衡或者數(shù)據(jù)集未識別的狀態(tài)下，把網(wǎng)絡(luò)檢測問題從復(fù)雜的環(huán)境中抽取出來，只對問題本身進行檢測。對于這類檢測問題，基于統(tǒng)計機器學(xué)習理論的解決方法有很多，比如k近鄰算法、聚類、模式匹配、支持向量機以及神經(jīng)網(wǎng)絡(luò)等。拿其中的神經(jīng)網(wǎng)絡(luò)來說，神經(jīng)網(wǎng)絡(luò)是一種具有高度并行計算能力、自學(xué)能力和容錯能力的處理方法，通過自適應(yīng)學(xué)習技術(shù)區(qū)別網(wǎng)絡(luò)異常問題或者誤用問題。當前對于神經(jīng)網(wǎng)絡(luò)技術(shù)的研究有很多，比如BP神經(jīng)網(wǎng)絡(luò)模型、SOM自組織映射模型、針對SYN泛洪攻擊和端口掃描攻擊的神經(jīng)網(wǎng)絡(luò)算法等。

3.2 基于規(guī)則識別思想認識的技術(shù)方法應(yīng)用

把入侵檢測看作一個知識集合，通過機器學(xué)習能力的獲取，提取知識集合的內(nèi)在規(guī)則，從而正確表達出這個知識集合，以此區(qū)別出網(wǎng)絡(luò)系統(tǒng)是否存在異常問題。這種思想認識是針對當前網(wǎng)絡(luò)數(shù)據(jù)源越發(fā)多變、多類型以及高維數(shù)等發(fā)展特點開發(fā)出來的機器學(xué)習算法。面對多屬性、非線性海量網(wǎng)絡(luò)數(shù)據(jù)資源，通過基于符號歸納機器學(xué)習方法比如決策樹、粗糙集等對數(shù)據(jù)資源進行簡化處理，提取出系統(tǒng)正常行為的運行規(guī)則，實現(xiàn)對于異常狀態(tài)的預(yù)警和檢測。就拿決策樹來說，決策樹是一種非常常用的分類器，機器學(xué)習通過訓(xùn)練集構(gòu)建決策樹，利用決策樹進行分類，決策樹的識別過程對于專業(yè)領(lǐng)域知識沒有過多依賴，其算法運行的關(guān)鍵在于分裂屬性的劃分上。并且由于不依賴知識，設(shè)計簡便易行，與此同時能夠在短時間內(nèi)處理大量的網(wǎng)絡(luò)流量數(shù)據(jù)信息，是非常實用的網(wǎng)絡(luò)入侵檢測方法。

3.3 基于訓(xùn)練樣本集思想認識的技術(shù)方法應(yīng)用

把入侵檢測看作訓(xùn)練樣本集，通過賦予檢測系統(tǒng)一定的搜索策略，在樣本集范圍內(nèi)搜索出需要找到的問題。由此，機器成為一個搜索問題的工具，學(xué)習的過程即是對于問題的尋找過程，通過學(xué)習，尋找到目標函數(shù)的最優(yōu)解。隨著基因遺傳學(xué)的發(fā)展，遺傳學(xué)的相關(guān)學(xué)術(shù)研究被引入機器學(xué)習學(xué)科領(lǐng)域，遺傳和進化機器學(xué)習算法成為這種思想認識的有力解決方案。遺傳進化機器學(xué)習算法能夠檢測未知攻擊，同時具有極高的準確率，通過數(shù)值求解多參數(shù)、多變量、多目標和在多區(qū)域的NP難優(yōu)化的問題，有著較好的識別能力，省去了大量的資源消耗。在學(xué)術(shù)研究方面，基于遺傳算法的異常入侵方法有著較高的學(xué)術(shù)認可度。

3.4 增強機器學(xué)習的方法應(yīng)用

增強學(xué)習（Reinforcement Learning）是機器學(xué)習四大研究方向之一，又被稱為強化和評價學(xué)習，增強機器學(xué)習之所以受到學(xué)術(shù)研究的特別關(guān)注，一方面由于現(xiàn)實環(huán)境的飛速變化，比如網(wǎng)絡(luò)攻擊技術(shù)智能化、多樣化的發(fā)展趨勢，要求網(wǎng)絡(luò)入侵檢測系統(tǒng)在實時性上有一個較大的突破，通過可伸縮性的入侵網(wǎng)絡(luò)檢測體系的構(gòu)建，能夠使網(wǎng)絡(luò)入侵系統(tǒng)動態(tài)適應(yīng)網(wǎng)絡(luò)環(huán)境的變化。另一方面增強機器學(xué)習方法的優(yōu)越性上，多Agent系統(tǒng)學(xué)習是當前應(yīng)用最廣泛的增強機器學(xué)習的方法，由于Agent表現(xiàn)出來的自適性、移動性、智能性等特點能夠在網(wǎng)絡(luò)入侵檢測技術(shù)中得到較好的發(fā)揮，同時多種機器學(xué)習方法的結(jié)合能夠更好地解決遇到的實際檢測問題。

4 基于機器學(xué)習的網(wǎng)絡(luò)入侵檢測技術(shù)發(fā)展方向

4.1 基于機器學(xué)習的網(wǎng)絡(luò)入侵檢測技術(shù)性能評估

前面就當前幾種機器學(xué)習方法在入侵檢測技術(shù)的應(yīng)用中做了細致的論述，針對基于統(tǒng)一網(wǎng)絡(luò)入侵檢測問題，不同類型的學(xué)習方法的實際應(yīng)用效果是性能評估的主要內(nèi)容。當然性能評估是出于人的主觀角度，以實用為目的。學(xué)習類型不同以及學(xué)習目標不同，所表現(xiàn)出來的實用性也有一定的差別，比如統(tǒng)計機器學(xué)習，主要從模式分類的角度來檢測入侵的問題，表現(xiàn)在機器學(xué)習上以泛化能力為目標，而基于遺傳進化學(xué)習方法則是從數(shù)據(jù)簡約和規(guī)則提取的角度來看待入侵檢測問題的，因此其學(xué)習目標可以理解為數(shù)據(jù)認知能力。具體來說，神經(jīng)網(wǎng)絡(luò)學(xué)習方法能夠在有無參數(shù)的狀態(tài)下進行泛化研究，不需要學(xué)習知識的數(shù)據(jù)設(shè)計，但是其缺點也很明顯，其學(xué)習過程中，訓(xùn)練節(jié)奏較慢，由此其對于網(wǎng)絡(luò)實時監(jiān)測的能力較弱；支持向量機學(xué)習方法以其樣本數(shù)據(jù)小，較高的訓(xùn)練接受能力，可以解決高維、非線性類型的檢測問題，但是其缺陷在于對于數(shù)據(jù)信息的要求度較高，表現(xiàn)在檢測應(yīng)用上缺乏靈活性和泛化能力較弱。總體來說，對于基于機器學(xué)習的網(wǎng)絡(luò)入侵檢測技術(shù)來說，如何降低資源消耗、減少訓(xùn)練集以及如何提高準確精度是機器學(xué)習方法的一個衡量標準。當然任何學(xué)習方法都有一定的局限性，針對不同的環(huán)境和應(yīng)用視角，同一種機器學(xué)習方法在應(yīng)用過程中可能表現(xiàn)出百分之百的準確和百分之百的誤報率。由此還需要根據(jù)現(xiàn)實需求以及時代發(fā)展需求，正確看待機器學(xué)習方法的性能評估。

4.2 基于機器學(xué)習的網(wǎng)絡(luò)入侵檢測技術(shù)的發(fā)展困境

目前，基于機器學(xué)習的網(wǎng)絡(luò)入侵檢測研究已經(jīng)在包括系統(tǒng)安全、網(wǎng)絡(luò)安全以及應(yīng)用安全領(lǐng)域中提出了很多切實可行的解決方案和應(yīng)用方法。但是從模式識別的泛化能力、檢測精度以及當前學(xué)術(shù)界極為關(guān)注的實時性問題上，基于機器學(xué)習方法的解決方案還有很長的路要走。從機器學(xué)習方法這個主體來說，其未來在網(wǎng)絡(luò)入侵檢測技術(shù)的應(yīng)用程度還要從其技術(shù)突破以及機器學(xué)習算法研究突破兩個方面進行，我們都知道機器學(xué)習算法當前缺乏一定的公開透明性，比如在神經(jīng)網(wǎng)絡(luò)入侵檢測技術(shù)應(yīng)用時，很容易出現(xiàn)算法錯判的問題，由于模型運行的不可解釋性，導(dǎo)致了對于代碼的分類總結(jié)不夠明確。由此產(chǎn)生的機器智能化發(fā)展是否安全的學(xué)術(shù)思考值得在未來機器學(xué)習研究中給予重視和關(guān)注。從網(wǎng)絡(luò)入侵檢測角度來看，基于機器學(xué)習的網(wǎng)絡(luò)入侵檢測應(yīng)用發(fā)展，當前最主要的影響因素來自于網(wǎng)絡(luò)攻擊技術(shù)及其發(fā)展特點的分析判斷上，從目前來看，網(wǎng)絡(luò)攻擊越來越多地采用分布式、多目標以及多層次的組合式攻擊，面對黑客攻擊手段越發(fā)智能化、多樣化和有預(yù)謀的特點，基于機器學(xué)習的網(wǎng)絡(luò)入侵檢測技術(shù)必然要構(gòu)建多節(jié)點部署、分布式檢測以及適應(yīng)網(wǎng)絡(luò)動態(tài)發(fā)展網(wǎng)絡(luò)檢測體系。另外還比如黑客也可以利用機器學(xué)習應(yīng)用到網(wǎng)絡(luò)入侵方面，機器學(xué)習網(wǎng)絡(luò)入侵檢測技術(shù)加密資源消耗問題，這些都是當前以及未來不容忽視的重要問題。