熊堯 雍蕊 江蘇第二師范學(xué)院數(shù)學(xué)與信息技術(shù)學(xué)院

1 緒論

目前，企業(yè)信息系統(tǒng)在信息安全建設(shè)方面普遍存在以下問(wèn)題：

(1）系統(tǒng)防御措施過(guò)于老舊。當(dāng)前大多數(shù)企業(yè)的安全防御策略?xún)H依賴(lài)防火墻本身，防火墻針對(duì)外部的攻擊，雖然提供一定的防御能力，但面對(duì)復(fù)雜多變的入侵手段時(shí)也會(huì)失去防衛(wèi)能力。

(2）系統(tǒng)本身安全漏洞太多。企業(yè)在信息化建設(shè)之初，系統(tǒng)安全策略上往往存在缺陷，從而使攻擊者能夠在未授權(quán)的情況下訪問(wèn)和破壞系統(tǒng)。

(3）安全防御意識(shí)薄弱。當(dāng)前許多企業(yè)在建設(shè)網(wǎng)絡(luò)時(shí)缺乏前瞻性，網(wǎng)絡(luò)安全意識(shí)薄弱，導(dǎo)致網(wǎng)絡(luò)信息安全建設(shè)不夠完善，當(dāng)網(wǎng)絡(luò)出現(xiàn)攻擊行為或網(wǎng)絡(luò)受到其他一些安全威脅時(shí)，無(wú)法進(jìn)行實(shí)時(shí)的檢測(cè)、監(jiān)控與警報(bào)，缺乏對(duì)網(wǎng)絡(luò)的可控性和可審查性等措施。

多標(biāo)記學(xué)習(xí)及多示例學(xué)習(xí)作為機(jī)器學(xué)習(xí)的一個(gè)新的領(lǐng)域，它能對(duì)多義性復(fù)雜數(shù)據(jù)進(jìn)行深入挖掘，從復(fù)雜多變的攻擊行為中獲取重要信息，能夠適應(yīng)復(fù)雜多變的攻擊形式及攻擊類(lèi)型，在入侵檢測(cè)中具有明顯的優(yōu)勢(shì)。如果把多標(biāo)記學(xué)習(xí)及多示例學(xué)習(xí)的方法應(yīng)用到入侵檢測(cè)系統(tǒng)中，將會(huì)很好地解決以上問(wèn)題。

本文對(duì)基于多標(biāo)記學(xué)習(xí)改進(jìn)算法的企業(yè)信息管理系統(tǒng)進(jìn)行研究，實(shí)現(xiàn)企業(yè)入侵檢測(cè)系統(tǒng)的實(shí)現(xiàn)。

2 多標(biāo)記學(xué)習(xí)改進(jìn)算法的入侵檢測(cè)模型介紹

入侵定義為任何試圖危及計(jì)算機(jī)資源的完整性、機(jī)密性或可用性的行為。入侵檢測(cè)是對(duì)入侵行為的發(fā)掘。入侵檢測(cè)系統(tǒng)是一種對(duì)網(wǎng)絡(luò)傳輸進(jìn)行實(shí)時(shí)監(jiān)控，在發(fā)現(xiàn)可疑行為時(shí)發(fā)出警報(bào)并采取主動(dòng)響應(yīng)的軟件和硬件設(shè)備的組合。

基于網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)（Network-based Intrusion Detection System，NIDS）一般作為一個(gè)獨(dú)立的系統(tǒng)去保護(hù)鎖管轄的網(wǎng)絡(luò)，它通過(guò)使用網(wǎng)絡(luò)原始分組數(shù)據(jù)包作為檢測(cè)的數(shù)據(jù)源來(lái)實(shí)時(shí)監(jiān)控并分析所有通過(guò)網(wǎng)絡(luò)進(jìn)行傳輸?shù)目梢傻脑L問(wèn)行為。當(dāng)系統(tǒng)檢測(cè)到攻擊行為時(shí)，響模塊立即采取對(duì)應(yīng)的響應(yīng)措施，例如報(bào)警、中斷連接等。

隨著網(wǎng)絡(luò)的不斷發(fā)展，入侵手段及入侵類(lèi)型變化莫測(cè)，入侵?jǐn)?shù)據(jù)復(fù)雜多變并具有多義性，傳統(tǒng)的入侵檢測(cè)方法可能無(wú)法很好使用，因此入侵檢測(cè)技術(shù)正面臨著巨大的挑戰(zhàn)。

多標(biāo)記學(xué)習(xí)是目前機(jī)器學(xué)習(xí)的重要研究方向。其已經(jīng)成為多領(lǐng)域應(yīng)用最為廣泛的算法之一。多標(biāo)記學(xué)習(xí)框架中，一個(gè)示例對(duì)應(yīng)多個(gè)類(lèi)別標(biāo)記，其性能評(píng)價(jià)指標(biāo)與傳統(tǒng)監(jiān)督學(xué)習(xí)系統(tǒng)有所不同。傳統(tǒng)的多標(biāo)記算法在輸入空間僅用單一示例表示多義性對(duì)象，過(guò)度簡(jiǎn)化了對(duì)象的復(fù)雜內(nèi)涵，導(dǎo)致在表示階段丟失重要信息。改進(jìn)的多標(biāo)記學(xué)習(xí)算法在學(xué)習(xí)性能和分類(lèi)效果表現(xiàn)良好，同時(shí)在面對(duì)復(fù)雜多義的入侵?jǐn)?shù)據(jù)時(shí)能夠表現(xiàn)出良好的檢測(cè)效果，相對(duì)于傳統(tǒng)入侵檢測(cè)算法具有明顯的優(yōu)勢(shì)。

現(xiàn)階段，多標(biāo)記學(xué)習(xí)算法已經(jīng)應(yīng)用到入侵檢測(cè)系統(tǒng)中。

基于多標(biāo)記學(xué)習(xí)改進(jìn)算法的企業(yè)入侵檢測(cè)模型主要包括數(shù)據(jù)采集單元、數(shù)據(jù)清洗單元及預(yù)處理單元、入侵檢測(cè)算法單元和響應(yīng)及處理單元。

數(shù)據(jù)采集單元是整個(gè)算法模型的基礎(chǔ)，數(shù)據(jù)采集工具是Libpcap/TCPdump；數(shù)據(jù)清洗單元負(fù)責(zé)清洗源數(shù)據(jù)，數(shù)據(jù)經(jīng)過(guò)數(shù)值化處理之后，必須對(duì)數(shù)據(jù)的特征屬性進(jìn)行標(biāo)準(zhǔn)化處理；入侵檢測(cè)算法單元入侵檢測(cè)算法單元為入侵檢測(cè)模型的核心單元，對(duì)建立在該模型上的入侵檢測(cè)系統(tǒng)檢測(cè)的準(zhǔn)確性及可行性起到重要作用。響應(yīng)及處理單元在面對(duì)攻擊時(shí)會(huì)及時(shí)作出響應(yīng)。

在設(shè)計(jì)好該入侵檢測(cè)模型后，需要將基于此入侵檢測(cè)系統(tǒng)部署到原有系統(tǒng)中，監(jiān)控并檢測(cè)針對(duì)企業(yè)的入侵?jǐn)?shù)據(jù)。

3 企業(yè)入侵檢測(cè)系統(tǒng)的應(yīng)用

針對(duì)當(dāng)前入侵檢測(cè)的特點(diǎn)及企業(yè)信息系統(tǒng)的網(wǎng)絡(luò)完全現(xiàn)狀及需求，將設(shè)計(jì)的入侵檢測(cè)模型應(yīng)用到企業(yè)的信息系統(tǒng)中，展示基于改進(jìn)算法的入侵檢測(cè)系統(tǒng)的應(yīng)用價(jià)值。

基于改進(jìn)算法的入侵檢測(cè)模型還處于初始測(cè)試階段，在入侵檢測(cè)的各個(gè)階段還有許多問(wèn)題需要進(jìn)一步的考慮和研究，在數(shù)據(jù)的抓取，預(yù)處理及特征提取上還存在一些不足，在系統(tǒng)的部署及檢測(cè)效果上也存在一些問(wèn)題，下一步將完善整個(gè)入侵檢測(cè)系統(tǒng)的過(guò)程。相信隨著研究的持續(xù)及推進(jìn)，對(duì)入侵檢測(cè)的研究一定會(huì)更加深入全面，多標(biāo)記學(xué)習(xí)算法及多示例學(xué)習(xí)算法在入侵檢測(cè)中的應(yīng)用也將會(huì)更加廣泛。