卜旭 李蓉 廣東農(nóng)工商職業(yè)技術(shù)學(xué)院

前言

所謂入侵檢測，簡單來講，就是基于不對網(wǎng)絡(luò)性能帶來影響的前提下，通過分析和手機(jī)計(jì)算機(jī)或者是計(jì)算機(jī)系統(tǒng)中關(guān)鍵點(diǎn)信息，然后在這些關(guān)鍵點(diǎn)信息中找到網(wǎng)絡(luò)或系統(tǒng)在運(yùn)行過程中可能存在的違反相關(guān)安全規(guī)定行為以及遭受攻擊行為的情況，并收集相關(guān)的入侵證據(jù)信息，以此為之后開展數(shù)據(jù)恢復(fù)以及處理事故時提供相應(yīng)的數(shù)據(jù)依據(jù)。下文基于人工智能技術(shù)，對當(dāng)前應(yīng)用比較常見的網(wǎng)絡(luò)入侵檢測方法進(jìn)行詳細(xì)探討。

一、統(tǒng)計(jì)分析

關(guān)于統(tǒng)計(jì)分析這一網(wǎng)絡(luò)入侵檢測方法，首先由異常檢測器對目標(biāo)行為進(jìn)行相應(yīng)觀察，然后生出一個框架，該框架不需要過多空間進(jìn)行存儲和更新。隨著時間的增長，統(tǒng)計(jì)數(shù)據(jù)也隨著得到一定的更新，這時候計(jì)算機(jī)系統(tǒng)也會隨著周期性規(guī)律產(chǎn)生新的數(shù)據(jù)信息作為異常度的表示，而這種表示數(shù)值是根據(jù)某些具有獨(dú)立特征的方式衍生出來的一種子異常度函數(shù)，由系統(tǒng)根據(jù)當(dāng)前用戶行為獲取。從整體上來看統(tǒng)計(jì)分析方式，該種方式是當(dāng)前入侵檢測系統(tǒng)中應(yīng)用比較常見的產(chǎn)品化檢測方式，相比較其他檢測方法更為成熟，其具有“學(xué)習(xí)”用戶習(xí)慣的優(yōu)勢特征，因此有更高的檢出率和可用性；但也有相應(yīng)的缺陷，“學(xué)習(xí)”用戶這一特征給入侵者侵略機(jī)會，通過逐步對入侵事件進(jìn)行“訓(xùn)練”，使其符合正常操作時的統(tǒng)計(jì)規(guī)律，最后入侵檢測系統(tǒng)。

二、匹配

（一）簡單模式匹配

具體來講，就是通過轉(zhuǎn)變?nèi)肭痔卣鞔a的方式，將其轉(zhuǎn)為與審計(jì)記錄之間相符的一種模式。這種模式不可與其他模式產(chǎn)生沖突，同時還可以識別出其變種。具體來講，當(dāng)產(chǎn)生新的審計(jì)事件，通過采用比較簡單的模式進(jìn)行匹配，以此來找到與其之間相匹配的一種已知性入侵模式，若兩者匹配就會報(bào)警。模式可以隨需要進(jìn)行增加或刪減，不會對已有模式匹配帶來影響，也可不進(jìn)行依賴關(guān)系構(gòu)建。

（二）基于規(guī)則的檢測

相比較于上述簡單模式匹配，兩者不同的地方就在于前者匹配入侵模式；后者匹配正常模式，通過該種檢測方法進(jìn)行網(wǎng)絡(luò)入侵檢測時，需要將時間序列及其相互聯(lián)系考慮其中。通過對用戶行為進(jìn)行觀察，以此來產(chǎn)生相應(yīng)的規(guī)則集，并進(jìn)行用戶輪廓框架構(gòu)建，并采取動態(tài)化方式對系統(tǒng)規(guī)則進(jìn)行相應(yīng)修改，使其具備更好的預(yù)測性和準(zhǔn)確度。若所觀察的事件，在序列匹配規(guī)則上所處位置在左側(cè)，則后續(xù)事件與預(yù)測事件相背離，這時候系統(tǒng)就會將這種偏離情況檢測出來，表明用戶處于異常操作狀態(tài)。這種方法能夠?qū)Ω鞣N形式用戶行為進(jìn)行有效處理；通過對其中少部分存在關(guān)聯(lián)性的安全事件采取集中的方式進(jìn)行考察，而不是通過對可以進(jìn)行會話過程的登陸進(jìn)行重點(diǎn)關(guān)注；如果在檢測過程中檢測結(jié)果為系統(tǒng)受到攻擊情況下，其具有非常強(qiáng)的靈敏度等優(yōu)勢。

（三）基于模型的檢測

具體指的是該系統(tǒng)具有攻擊情節(jié)數(shù)據(jù)庫。若每次進(jìn)行一套完整的攻擊后，都應(yīng)該會包含相應(yīng)的攻擊序列行為，如果懷疑某個時刻遭受攻擊，對處于這種狀態(tài)下，該系統(tǒng)則會因此生出與之相應(yīng)的攻擊情節(jié)子集，之后就會在整個儲存系統(tǒng)中對與之相配的子集進(jìn)行搜集，若搜集后的子集匹配成功后，就會接納受到攻擊的情節(jié)子集，反之拒絕。所謂子集，簡單來講就是攻擊行為的序列模型，一個情節(jié)與一個行為相對應(yīng)，結(jié)合現(xiàn)行活躍模型，預(yù)測其還會對未來可能發(fā)生的行為進(jìn)行相應(yīng)預(yù)測，然后將預(yù)測結(jié)果上報(bào)至系統(tǒng)或管理員，對于是否需要將預(yù)測后的行為記錄歸納整理在系統(tǒng)獨(dú)立日志部分，通常由相關(guān)管理員所決定。而發(fā)生時間就是對匹配模型、攻擊清潔兩者進(jìn)行相應(yīng)的檢驗(yàn)以及更新，若存在攻擊情況下，不僅僅會對某方面的攻擊清潔起到正確累計(jì)作用，同時也會對其起到某種否定情節(jié)的作用。若匹配到的模型發(fā)生攻擊行為，則該模型會添加至活躍模型庫。以此對活躍模型表進(jìn)行持續(xù)不斷更新，換句話說，在事件出現(xiàn)過程中，提升系統(tǒng)攻擊情節(jié)發(fā)生率就是活躍模型表中所在關(guān)鍵之處。

（四）基于圖形的檢測

所謂圖形監(jiān)測，就是系統(tǒng)為其需要進(jìn)行檢測的主機(jī)及其活動而建立的相應(yīng)圖形。例如蠕蟲入侵，第一步從主機(jī)1進(jìn)行入侵，對主機(jī)2和主機(jī)3進(jìn)行攻擊，攻擊的兩條鏈接都會進(jìn)行相應(yīng)的建立，并且都會報(bào)告至GrIDS，GrIDS就會以圖形的方式對兩個連接進(jìn)行記錄，若未來一段時間內(nèi)，主機(jī)1、2、3沒有出現(xiàn)任何動靜，該圖形就會自動化消失；相反，若蠕蟲快速向主機(jī)4、5以及其他主機(jī)進(jìn)行傳播，這時候鏈接就會被記錄下并構(gòu)造圖，同時該鏈接產(chǎn)生時間以及其他相關(guān)參數(shù)信息也都會由系統(tǒng)進(jìn)行相應(yīng)記錄，若從時間的角度來看，鏈接相靠時間相對比較接近情況下，則說明入侵幾率越大，這個圖就會保存于數(shù)據(jù)庫中，若該圖再次出現(xiàn)，則系統(tǒng)會認(rèn)定其為蠕蟲，對于其他形式的攻擊行為也會被系統(tǒng)定義成一張圖，或者圖中某些參數(shù)信息。除時間之外，還有端口、目標(biāo)地址等都可表示其他入侵類型。

（五）基于狀態(tài)轉(zhuǎn)移的檢測

該模型是以高層次語義為前提進(jìn)行檢測，能夠?qū)崿F(xiàn)預(yù)測未來這一功能。基于以下兩種假設(shè)進(jìn)行檢測：其一，發(fā)生入侵這一行為應(yīng)在出現(xiàn)入侵行動前就采取某些行動，例如TCPIP端口掃描等；其二。行動產(chǎn)生前沒有能力，如果獲取到主機(jī)回復(fù)的數(shù)據(jù)信息，則需要明確主機(jī)服務(wù)類型。發(fā)生一次入侵行動，則該行動就會被系統(tǒng)定義為是其中某個入侵行為序列，由狀態(tài)模型初始直至結(jié)束，狀態(tài)不斷轉(zhuǎn)移，若遇到的關(guān)鍵狀態(tài)是已經(jīng)提前定義好的情況下，則表明發(fā)生入侵行為。從理論上來講，通過運(yùn)用狀態(tài)轉(zhuǎn)移分析這種檢測方法進(jìn)行網(wǎng)絡(luò)入侵檢測，通過將攻擊表示為一系列被監(jiān)控系統(tǒng)狀態(tài)轉(zhuǎn)移，攻擊狀態(tài)與系統(tǒng)狀態(tài)兩者相對應(yīng)，與此同時也會有狀態(tài)轉(zhuǎn)移條件判斷，事件類型不需要全部與審計(jì)中的相關(guān)記錄對應(yīng)。因此攻擊模式只會對事件序列進(jìn)行相應(yīng)說明，，不適應(yīng)更復(fù)雜事件中。

三、貝葉斯檢測

對于貝葉斯檢測方式，其建立方式是以各個變量之間存在概率關(guān)系來構(gòu)建的一種圖論模型，因此采用該檢測方式可對入侵檢測系統(tǒng)中不確定問題進(jìn)行相應(yīng)解決。換句話說，運(yùn)用貝葉斯檢測方式能夠?qū)⒁寻l(fā)生入侵行為最大可能行為序列與已知序列兩者相對比，從中獲取可能性最大的入侵類型，其具有速度快、準(zhǔn)確度高的數(shù)據(jù)處理優(yōu)勢。I表示為系統(tǒng)受到入侵行為，a1、a2...an表示為觀測到的數(shù) 據(jù)，根 據(jù) 條 件 概 率 推 出：P(I|a1，a2，...，an)=[P(a1，a2，...，an|I)*P(I)]/[P(a1，a2，...，an)].若各個事件之間發(fā)生條件概率上處于相互獨(dú)立狀態(tài)，運(yùn)用樸素貝葉斯進(jìn)行分類；若各事件存在明顯依賴性，那么通過運(yùn)用貝葉斯信念網(wǎng)絡(luò)對其進(jìn)行相應(yīng)的分類。在運(yùn)用貝葉斯網(wǎng)絡(luò)進(jìn)行網(wǎng)絡(luò)入侵檢測時，其統(tǒng)一隨機(jī)變量之間進(jìn)行因果關(guān)系的表示，以圖表形式表示各變量關(guān)系，各隨機(jī)變量取決于其周圍變量，對于其中所有根據(jù)都具備初始概率，其他節(jié)點(diǎn)屬于根節(jié)點(diǎn)的條件概率，DAG圖表示貝葉斯網(wǎng)絡(luò)圖，若網(wǎng)絡(luò)圖中部分節(jié)點(diǎn)概率所處情況處于可知狀態(tài)下，則其他便處于可求狀態(tài)，通過貝葉斯網(wǎng)絡(luò)檢測方式能夠?yàn)榻o定數(shù)據(jù)的類型數(shù)量進(jìn)行自動確定，同時對停止條件、分類標(biāo)準(zhǔn)等方面也沒有其他比較特殊性的要求，具有對離散和連續(xù)屬性的處理能力，還可對新出現(xiàn)的未知性入侵形式進(jìn)行學(xué)習(xí)和識別等方面的應(yīng)用優(yōu)勢。

四、人工神經(jīng)網(wǎng)絡(luò)

所謂人工神經(jīng)網(wǎng)絡(luò)，就是對人腦的加工信息、存儲信息以及處理信息機(jī)制進(jìn)行相應(yīng)模擬，從而產(chǎn)生的具有智能特征的信息處理技術(shù)。該種類型檢測方式具有概括抽象、學(xué)習(xí)性以及自適應(yīng)等方面的并行計(jì)算能力。通過運(yùn)用有序信息單元訓(xùn)練神經(jīng)網(wǎng)絡(luò)，經(jīng)過相應(yīng)訓(xùn)練后，神經(jīng)網(wǎng)絡(luò)就會根據(jù)現(xiàn)有行為活動、過去行為活動序列兩方面的信息，來對將來行為活動進(jìn)行相應(yīng)預(yù)測。基于一些比較典型的用戶活動來對神經(jīng)網(wǎng)絡(luò)進(jìn)行相應(yīng)的訓(xùn)練，通過這種構(gòu)建用戶活動框架，然后借助專家系統(tǒng)對其進(jìn)行神經(jīng)網(wǎng)絡(luò)訓(xùn)練入侵模式、正常模式兩者進(jìn)行相應(yīng)的比對和匹配。

五、遺傳算法

所謂遺傳算法，簡單來講就是以自然選擇為前提和基礎(chǔ)，通過模擬生命進(jìn)化機(jī)制的方式來進(jìn)行優(yōu)化方法的搜索。在這個過程中，對于自然選擇和遺傳過程中的復(fù)制、交換以及變異等現(xiàn)象進(jìn)行模擬，然后對空間進(jìn)行相應(yīng)搜索，就會將其映射到相應(yīng)的遺傳空間中，然后將各個可能編碼為向量，對此可將其稱為染色體向量。在向量中的元素，可將其稱為基因，根據(jù)之前已經(jīng)預(yù)定好的評價函數(shù)對染色體進(jìn)行相應(yīng)評價，并結(jié)合評價結(jié)構(gòu)給出適應(yīng)度數(shù)值。將系統(tǒng)中全部染色體組成群體形式，然后由種群開始，通過對其進(jìn)行隨機(jī)選擇、交叉以及變異操作后，就會產(chǎn)生更適應(yīng)環(huán)境的新個體，而原有的性能不佳染色體就會因此遭受淘汰處理，形成一種新群體。因新群體在本質(zhì)上屬于上一代中的優(yōu)秀者，具備上一代中特有的優(yōu)勢特征，通過遺傳算法反復(fù)迭代，朝向更優(yōu)質(zhì)的方向不斷發(fā)展，直到滿足某些優(yōu)化指標(biāo)即可。

六、總結(jié)

綜上所述，從本質(zhì)上來講，網(wǎng)絡(luò)入侵檢測技術(shù)是以主動的方式保護(hù)其自身不受攻擊的一種安全技術(shù)，一方面，通過該技術(shù)對付網(wǎng)絡(luò)攻擊行為，有效起到提升系統(tǒng)管理員在網(wǎng)絡(luò)安全方面的管理能力；另一方面，起到對信息安全基礎(chǔ)結(jié)構(gòu)完整性的提升作用。從人工智能的角度來講，其作為當(dāng)前比較熱門的研究領(lǐng)域，將其應(yīng)用于網(wǎng)絡(luò)入侵檢測中，能夠很好的解決其中很多檢測問題，具有積極性應(yīng)用意義。