◆杜國真

基于遷移學(xué)習(xí)的入侵檢測技術(shù)研究

◆杜國真

（河南護理職業(yè)學(xué)院 河南 455000）

隨著計算機和網(wǎng)絡(luò)技術(shù)的快速發(fā)展，網(wǎng)絡(luò)的安全逐漸被各國重視，本文在深入了解國內(nèi)外信息安全方面現(xiàn)有研究的基礎(chǔ)上，針對入侵檢測技術(shù)存在的源數(shù)據(jù)樣本采集困難、數(shù)據(jù)模型建立時間長以及檢測率不平衡等問題，提出了一種基于遷移學(xué)習(xí)的入侵檢測技術(shù)，通過實驗分析得到預(yù)期的檢測效果。

網(wǎng)絡(luò)安全；入侵檢測；遷移學(xué)習(xí)；網(wǎng)絡(luò)異常檢測.

1 入侵檢測技術(shù)的研究意義

隨著計算機和網(wǎng)絡(luò)技術(shù)的飛速發(fā)展，網(wǎng)絡(luò)安全已經(jīng)逐漸被各個國家所重視，隨著我國網(wǎng)絡(luò)安全戰(zhàn)略的提出，網(wǎng)絡(luò)空間的安全問題被提升到前所未有的高度。網(wǎng)絡(luò)安全技術(shù)起初提出時主要是基于防火墻技術(shù)通過限制訪問列表等策略來實現(xiàn)的，防火墻技術(shù)顧名思義主要是通過軟件與硬件相結(jié)合設(shè)立外網(wǎng)與內(nèi)網(wǎng)之間的一道安全防范措施。防火墻技術(shù)是需要根據(jù)自身網(wǎng)絡(luò)的特點定義一些安全策略，但是這種偏向主觀的設(shè)置安全策略的方式，在遇到定義模糊或者漏項時，這些將會導(dǎo)致系統(tǒng)出現(xiàn)漏洞的危機現(xiàn)象，這些漏洞將有可能導(dǎo)致系統(tǒng)被入侵和攻擊。其次，防火墻技術(shù)主要是對進出內(nèi)部網(wǎng)絡(luò)的服務(wù)和訪問進行審計與控制，這種方式在面臨網(wǎng)絡(luò)或者計算機收到惡意代碼的入侵和攻擊時，這種處理方式帶來的效果將是有限度的。

綜上所述，入侵檢測技術(shù)很好地解決了上述問題，而且一經(jīng)提出便成為網(wǎng)絡(luò)安全領(lǐng)域的研究熱點之一，入侵檢測技術(shù)主要是對內(nèi)部網(wǎng)絡(luò)進行實時監(jiān)控，然后將內(nèi)部網(wǎng)絡(luò)的活動記錄下來，如果發(fā)現(xiàn)異?，F(xiàn)象便會采取相應(yīng)措施。而且從20世紀80年代提出以來，一直是網(wǎng)絡(luò)安全領(lǐng)域研究的熱點之一。

2 入侵檢測技術(shù)的分類

入侵檢測是指收集并記錄用戶以及系統(tǒng)的活動信息，然后按照預(yù)定的算法對收集到的系統(tǒng)信息進行分析計算，將分析結(jié)果與系統(tǒng)正常時的行為數(shù)據(jù)進行對比分析，參照一定的標(biāo)準(zhǔn)判斷當(dāng)前系統(tǒng)是否收到可疑文件，是否發(fā)生異常現(xiàn)象。主要包括攻擊預(yù)估、相應(yīng)攔截和檢測。入侵檢測系統(tǒng)的評價主要有以下幾個方面：有效性，入侵檢測技術(shù)的有效性是指系統(tǒng)受到入侵攻擊行為時能夠正確地做出響應(yīng)，并且保證對攻擊行為的誤報率要保持一定的低比例；實用性，主要是指當(dāng)系統(tǒng)遇到攻擊行為時能夠正確做出判斷，并對入侵行為能夠進行適時處理；適應(yīng)性，主要是指當(dāng)入侵檢測系統(tǒng)在設(shè)定并部署應(yīng)用之后能根據(jù)網(wǎng)絡(luò)和計算機系統(tǒng)的實時行為記錄對攻擊行為進行相應(yīng)的處理。

按照不同的分類方式，入侵檢測系統(tǒng)可以有以下幾種分類：

2.1 根據(jù)系統(tǒng)當(dāng)前的狀態(tài)與之前動態(tài)的正常行為進行對比，可以分為異常檢測技術(shù)和誤用檢測技術(shù)。

（1）異常檢測技術(shù)：這種檢測技術(shù)是當(dāng)前研究入侵檢測技術(shù)的主流之一，最初的Denning模型便是基于這種檢測技術(shù)建立的檢測模型。其建立過程大致為：首先將該系統(tǒng)模型部署在一個正常的計算機系統(tǒng)中，根據(jù)當(dāng)前正常的計算機信息，通過分析計算逐步建立正常的行為模式，然后將正常模式對計算機對系統(tǒng)進行分析推理判斷。入侵檢測系統(tǒng)在采集收集數(shù)據(jù)時，通過檢測網(wǎng)絡(luò)和計算機操作日志對數(shù)據(jù)進行前期處理。

（2）誤用檢測模型：主要是通過統(tǒng)計學(xué)原理而建立的模型。該模型首先通過對網(wǎng)絡(luò)和計算機系統(tǒng)正常模式下工作的數(shù)據(jù)進行收集分析，逐步建立正常模式下的計算機系統(tǒng)信息數(shù)據(jù)庫，當(dāng)系統(tǒng)出現(xiàn)與之前數(shù)據(jù)庫信息相悖時，便定義為入侵行為。其主要缺點有：誤報率與正常行為的特征數(shù)據(jù)庫建立維度有關(guān)；正常行為特征庫的正常值難以確定；判斷入侵行為的閾值界定難度大，這些都容易導(dǎo)致誤報率高。隨著誤報率的提高，入侵檢測系統(tǒng)也會漸漸失去檢測能力。

2.2 按照受保護的對象不同可以分為三種：基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)、基于主機的入侵檢測系統(tǒng)，還有兩種方式同時使用的入侵檢測系統(tǒng)。

2.2.1基于主機的入侵檢測系統(tǒng)

根據(jù)計算機操作系統(tǒng)中如應(yīng)用程序的服務(wù)器事件、系統(tǒng)調(diào)用以及內(nèi)核記錄等日志文件，然后將這些數(shù)據(jù)信息與計算機內(nèi)部攻擊的數(shù)據(jù)庫進行對比分析，這種方式通常情況下只會保護計算機系統(tǒng)不受侵害。其結(jié)構(gòu)如圖1。

圖1 結(jié)構(gòu)示意圖

優(yōu)點主要有：（1）更好地利用計算機系統(tǒng)本身的數(shù)據(jù)信息，通過這種利用本機系統(tǒng)建立數(shù)據(jù)庫的方式使得收集到的信息更加精確，更加具有針對性；（2）能夠?qū)μ芈逡聊抉R以及其他破壞軟件的完整性進行檢測；（3）這種方式可以應(yīng)用在需要對數(shù)據(jù)進行加密和被交換的網(wǎng)絡(luò)環(huán)境；（4）可以檢測到管理員實施的非正常操作。不足之處在于：系統(tǒng)本身容易受到攻擊，管理難度大；因為系統(tǒng)需要收集的信息量大，因此需要很大的存儲空間；因為是基于主機的檢測系統(tǒng)，在執(zhí)行檢測的過程中會占用主機更多的CPU和內(nèi)存等資源，使得主機的其他數(shù)據(jù)處理能力下降；對來自網(wǎng)絡(luò)的多點攻擊很難做到完整判別。

2.2.2基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)

與基于主機的入侵檢測系統(tǒng)不同的是，該系統(tǒng)模式主要是對來自網(wǎng)絡(luò)的數(shù)據(jù)信息進行收集和處理。數(shù)據(jù)的收集主要是通過計算機本身的網(wǎng)卡進行實時收集并分析的，標(biāo)識攻擊行為的屬性通常有：通過網(wǎng)卡的最大值、表達式、模式、頻率以及低級事件的相關(guān)性，在整個網(wǎng)段及系統(tǒng)受到攻擊時，NIDS便會發(fā)出預(yù)警并采取相應(yīng)的阻止行為。該系統(tǒng)的優(yōu)點有：成本較低；能夠?qū)崿F(xiàn)對整個網(wǎng)絡(luò)系統(tǒng)的實時監(jiān)控和保護，大規(guī)模的網(wǎng)絡(luò)檢測較適用；主要缺點在于：分類器的訓(xùn)練時間太久，因為需要收集大量的數(shù)據(jù)才能分析建成，而且訓(xùn)練數(shù)據(jù)也是動態(tài)變化的，與現(xiàn)有的或者以往的數(shù)據(jù)存在很多不同。

3 遷移學(xué)習(xí)理論

在不同領(lǐng)域之間的知識遷移稱為遷移學(xué)習(xí)。而對于機器學(xué)習(xí)是指在處理不同任務(wù)能夠?qū)崿F(xiàn)不同域或者不同任務(wù)之間的學(xué)習(xí)。遷移學(xué)習(xí)大致可以分為以下幾類：

3.1 歸納型遷移學(xué)習(xí)

這種遷移學(xué)習(xí)方式要求目標(biāo)任務(wù)和源任務(wù)不同，但是不考慮目標(biāo)域與源域是否相同。

3.2 直推型遷移學(xué)習(xí)

與歸納型遷移學(xué)習(xí)方式不同的是，這種學(xué)習(xí)方式要求源任務(wù)必須與目標(biāo)任務(wù)完全一致，但是要求源域與目標(biāo)域不相同。因此根據(jù)兩個域之間的不同情況，可以分為以下兩種：

（1）目標(biāo)域與源域概率密度函數(shù)相同，但是兩者的分布位置不同；

（2）目標(biāo)域與源域邊緣在特征空間和分布位置上相同，但是兩者的概率密度函數(shù)不同。

4 基于遷移學(xué)習(xí)的入侵檢測系統(tǒng)模型

4.1 一般過程

根據(jù)數(shù)據(jù)流的處理以及檢測反應(yīng)可以將入侵檢測模型的組成劃分為：收集計算機系統(tǒng)數(shù)據(jù)模塊、數(shù)據(jù)預(yù)處理模塊、特征學(xué)習(xí)模塊和分析檢測模塊。其一般過程為對網(wǎng)絡(luò)和計算機系統(tǒng)數(shù)據(jù)進行收集，并存放于數(shù)據(jù)庫中，該過程可以劃分為清洗冗余數(shù)據(jù)、數(shù)據(jù)規(guī)范化、數(shù)據(jù)歸一處理等；產(chǎn)生的數(shù)據(jù)通過概率計算等方式進行特征提取和學(xué)習(xí)，主要是為后期入侵檢測做準(zhǔn)備，然后系統(tǒng)根據(jù)預(yù)先得到的數(shù)據(jù)樣本特征進行判斷系統(tǒng)是否受到入侵攻擊。

4.2 通用入侵檢測框架

通用入侵檢測模型結(jié)構(gòu)大致如下：事件產(chǎn)生器，事件分析器，事件數(shù)據(jù)庫和響應(yīng)單元。大致流程如下：事件產(chǎn)生器首先收集相關(guān)事件的數(shù)據(jù)，然后將信息檢測誤用模式；將事件信息存放到事件數(shù)據(jù)庫中，并為其他事件分析提供額外的信息。

4.3 基于遷移學(xué)習(xí)的網(wǎng)絡(luò)入侵檢測模型

模型大致包括以下單元：數(shù)據(jù)采集，數(shù)據(jù)格式設(shè)置，數(shù)據(jù)預(yù)處理，樣本訓(xùn)練和學(xué)習(xí)模塊，數(shù)據(jù)多分類器，專家判別模塊，入侵規(guī)則和日志數(shù)據(jù)庫。

5 結(jié)論

本文在深入研究國內(nèi)外關(guān)于入侵檢測技術(shù)和遷移學(xué)習(xí)理論等相關(guān)研究背景和發(fā)展趨勢的基礎(chǔ)上，針對當(dāng)前系統(tǒng)應(yīng)用中出現(xiàn)的問題，將遷移學(xué)習(xí)的觀點和方法應(yīng)用到計算機網(wǎng)絡(luò)安全的入侵檢測系統(tǒng)中，并應(yīng)用于基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)，為今后遷移學(xué)習(xí)在入侵檢測系統(tǒng)中的應(yīng)用研究奠定了一定的基礎(chǔ)。

[1]王東東.基于遷移學(xué)習(xí)的入侵檢測技術(shù)研究[D].山西太原：中北大學(xué),2015.

[2]趙新杰,劉淵,孫劍.基于遷移學(xué)習(xí)和D-S理論的網(wǎng)絡(luò)異常檢測[J].計算機應(yīng)用研究，2016(04):1137-1140.

2016年河南省高等學(xué)校青年骨干教師培養(yǎng)計劃項目：遷移學(xué)習(xí)方法在網(wǎng)絡(luò)入侵檢測中的應(yīng)用研究，編號：2016GGJS-285。