劉 斌

（四川城市職業(yè)學(xué)院，四川 成都 610110）

0 引言

網(wǎng)絡(luò)帶給人們便利的同時(shí)，也面臨著安全問(wèn)題，不同類型的網(wǎng)絡(luò)入侵影響計(jì)算機(jī)網(wǎng)絡(luò)安全。頻繁發(fā)生的網(wǎng)絡(luò)安全事件，對(duì)網(wǎng)絡(luò)環(huán)境運(yùn)行產(chǎn)生影響，帶來(lái)較大的安全隱患。傳統(tǒng)網(wǎng)絡(luò)安全防護(hù)技術(shù)，難以抵御當(dāng)前網(wǎng)絡(luò)新病毒的惡意入侵。傳統(tǒng)的防火墻、數(shù)據(jù)加密存在一定問(wèn)題，具體體現(xiàn)在無(wú)法阻擋現(xiàn)有網(wǎng)絡(luò)攻擊導(dǎo)致的入侵行為方面。只有建立更完善的入侵檢測(cè)技術(shù)，才能保障計(jì)算機(jī)網(wǎng)絡(luò)運(yùn)行安全。因此，有必要針對(duì)計(jì)算機(jī)網(wǎng)絡(luò)安全的入侵檢測(cè)技術(shù)進(jìn)行研究。

1 入侵檢測(cè)技術(shù)概述

入侵檢測(cè)技術(shù)廣泛應(yīng)用在網(wǎng)絡(luò)系統(tǒng)檢測(cè)中，用于檢測(cè)計(jì)算機(jī)網(wǎng)絡(luò)中存在的異常行為。由于其入侵檢測(cè)能力較強(qiáng)，也被定義為計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)。檢測(cè)技術(shù)通過(guò)收集關(guān)鍵信息，查看是否存在影響網(wǎng)絡(luò)運(yùn)行的跡象。入侵檢測(cè)技術(shù)的運(yùn)行原理如圖1 所示，通過(guò)檢測(cè)異常與匹配模式，對(duì)入侵攻擊進(jìn)行分析。

圖1 入侵檢測(cè)技術(shù)原理

入侵檢測(cè)系統(tǒng)實(shí)際處理攻擊行為時(shí)，分為3 個(gè)過(guò)程。通過(guò)完成3 個(gè)過(guò)程，實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)攻擊行為的處理。入侵檢測(cè)技術(shù)流程結(jié)構(gòu)，如圖2 所示，分為數(shù)據(jù)采集、分析、響應(yīng)三大模塊。

圖2 入侵檢測(cè)技術(shù)處理過(guò)程

2 基于入侵檢測(cè)技術(shù)的參數(shù)優(yōu)化

入侵檢測(cè)技術(shù)已發(fā)展多年，網(wǎng)絡(luò)病毒也同時(shí)發(fā)展。想保障網(wǎng)絡(luò)運(yùn)行安全，須不斷升級(jí)優(yōu)化檢測(cè)技術(shù)。當(dāng)前檢測(cè)技術(shù)存在較多不足，加重網(wǎng)絡(luò)負(fù)荷，對(duì)數(shù)據(jù)抓取產(chǎn)生影響。入侵檢測(cè)技術(shù)的運(yùn)行原理，基于系統(tǒng)的防火墻，通過(guò)主動(dòng)檢測(cè)，根據(jù)網(wǎng)絡(luò)數(shù)據(jù)探究，對(duì)異常行為采取措施。入侵檢測(cè)對(duì)網(wǎng)絡(luò)的攻擊行為，分為收集安全日志、行為，檢測(cè)到異常攻擊對(duì)象，對(duì)其結(jié)構(gòu)進(jìn)行審查，采取動(dòng)態(tài)安全保護(hù)等步驟。

2.1 粒子群算法尋優(yōu)思想

當(dāng)前檢測(cè)技術(shù)存在較多不足，網(wǎng)絡(luò)負(fù)荷較重，影響數(shù)據(jù)抓取，導(dǎo)致網(wǎng)絡(luò)運(yùn)行時(shí)間較長(zhǎng)，影響入侵檢測(cè)技術(shù)的有效應(yīng)用。以往入侵檢測(cè)技術(shù)在收集網(wǎng)絡(luò)數(shù)據(jù)時(shí)，難度較高，導(dǎo)致收集過(guò)程中，大量的信息冗余，影響檢測(cè)分析效果。針對(duì)檢測(cè)階段，提出改進(jìn)方法，采用粒子群算法在系統(tǒng)中進(jìn)行深入搜索，獲得最佳參數(shù)。粒子群算法優(yōu)化誕生于1995 年，是一種并行啟發(fā)式算法。該算法的結(jié)構(gòu)相對(duì)簡(jiǎn)單，與傳統(tǒng)遺傳算法相比較，更容易獲得最佳參數(shù)。粒子群算法有智能性，將種群中每個(gè)成員定義為粒子，代表不同的可行解，全局存在位移的最優(yōu)解。通過(guò)在空間中不斷探究尋找，調(diào)整粒子的自適應(yīng)函數(shù)與飛行方向，保證粒子能夠獲得最佳體驗(yàn)位置，從而接近最優(yōu)解。同時(shí)，種群中每個(gè)粒子都會(huì)不斷更新范圍，最終達(dá)到最優(yōu)位置。粒子在作用下不斷飛行，形成位置與速度的迭代過(guò)程。粒子擁有原本的速度發(fā)生改變，實(shí)現(xiàn)迭代過(guò)程，朝向最優(yōu)位置靠近。算法表示如下。

2.2 粒子群算法流程與改進(jìn)

將粒子群算法應(yīng)用到入侵檢測(cè)的過(guò)程中，通過(guò)計(jì)算，能夠在網(wǎng)絡(luò)運(yùn)行期間識(shí)別不安全現(xiàn)象，并根據(jù)非法數(shù)據(jù)及時(shí)作出反應(yīng)，確保能夠保障網(wǎng)絡(luò)運(yùn)行安全。根據(jù)粒子群算法來(lái)看，其得到廣泛應(yīng)用的原因，是因?yàn)榱Ｗ尤核惴ㄋ俣瓤?，更容易?shí)現(xiàn)。但是在選定參數(shù)方面還不夠智能。因此，工作人員應(yīng)根據(jù)相關(guān)經(jīng)驗(yàn)，設(shè)置算法中的參數(shù)，結(jié)合當(dāng)前網(wǎng)絡(luò)運(yùn)行實(shí)際需求，對(duì)算法流程進(jìn)行改進(jìn)，具體可根據(jù)粒子規(guī)模隨機(jī)選擇數(shù)十個(gè)粒子，對(duì)種群數(shù)量來(lái)說(shuō)，數(shù)量越大，獲得最優(yōu)解的可能性越高，但是獲取最優(yōu)解，需要消耗的時(shí)間也會(huì)增加，因此，具體情況需要根據(jù)實(shí)際規(guī)模確定，保證時(shí)間與精度之間的平衡，確保能夠獲取完整的最優(yōu)解。將粒子看成樣本，根據(jù)樣本維度設(shè)定探索速度，并基于流程算法尋找最優(yōu)解，完成尋找過(guò)程。期間，工作人員需要通過(guò)收集、分析信息，找出網(wǎng)絡(luò)系統(tǒng)中的危險(xiǎn)行為，全方位檢測(cè)系統(tǒng)，并采用專業(yè)系統(tǒng)軟件，判斷是否存在入侵行為，通過(guò)粒子群算法下得到的信息，保障計(jì)算機(jī)網(wǎng)絡(luò)運(yùn)行安全。

標(biāo)準(zhǔn)粒子群算法對(duì)位置和速度的選擇，采用的是隨機(jī)的方式，隨機(jī)的搜索范圍越大，越有可能獲得最佳位置，提升檢測(cè)精度。研究人員曾經(jīng)提出使用蟻群算法完善檢測(cè)過(guò)程，基于此檢測(cè)算法，提出最優(yōu)的粒子群算法。用網(wǎng)格搜索算法，對(duì)速度和位置進(jìn)行探索，獲得所有可能的組合，將其應(yīng)用到檢測(cè)模型中，評(píng)估實(shí)際表現(xiàn)。將評(píng)估結(jié)果應(yīng)用在搜索范圍內(nèi)，獲得最優(yōu)組合的速度與位置，提高檢測(cè)精度。將其應(yīng)用在優(yōu)化SVM 中，能夠保證SVM 最大程度獲得最佳參數(shù)。

3 網(wǎng)絡(luò)安全檢測(cè)模型測(cè)試

3.1 SVM對(duì)入侵檢測(cè)的可行性

根據(jù)收集的數(shù)據(jù)，進(jìn)行網(wǎng)絡(luò)入侵安全檢測(cè)。在分析SVM 對(duì)入侵檢測(cè)的可行性的過(guò)程中，相關(guān)人員還需要充分了解網(wǎng)絡(luò)入侵的維度，建立全新的檢測(cè)分析法，對(duì)以往的檢測(cè)模型加以改進(jìn)，確保網(wǎng)絡(luò)入侵模型能夠滿足檢測(cè)精度與時(shí)間要素，提升檢測(cè)效果，形成快速準(zhǔn)確的防御措施，成為保護(hù)網(wǎng)絡(luò)安全的重要屏障。根據(jù)SVM 對(duì)數(shù)據(jù)集中的不同層級(jí)進(jìn)行分類和檢測(cè)，構(gòu)建多個(gè)SVM 分類器，在對(duì)網(wǎng)絡(luò)環(huán)境進(jìn)行檢測(cè)時(shí)，能夠?qū)⑵涔纛愋涂闯赏活?，根?jù)對(duì)該攻擊類型的檢測(cè)，將其從完整的數(shù)據(jù)集中剔除。之后采用相同方式，對(duì)剩余類型進(jìn)行檢測(cè)。

3.2 支持SVM參數(shù)優(yōu)化

SVM 分類能力會(huì)受到懲罰參數(shù)與核函數(shù)的影響，盡管SVM 在計(jì)算機(jī)網(wǎng)絡(luò)入侵檢測(cè)過(guò)程中能夠保持良好的性能。但是該表現(xiàn)，離不開(kāi)參數(shù)與核函數(shù)因素。根據(jù)數(shù)據(jù)冗余、分類多的情況，選擇核函數(shù)為SVM 提供支撐。采用人為設(shè)定的方式設(shè)置懲罰函數(shù)，對(duì)懲罰系數(shù)和核函數(shù)進(jìn)行優(yōu)化，尋找最佳的組合?；诹Ｗ尤核惴軌騼?yōu)化SVM 參數(shù)，從而快速找到最佳參數(shù)組合。優(yōu)化方式設(shè)定最佳組合初始化（C，g），采用網(wǎng)格搜索的方式獲取數(shù)據(jù)，根據(jù)粒子位置進(jìn)行計(jì)算，獲取最佳的位置與速度并進(jìn)行更新；達(dá)到條件后，分析是否能夠終止條件，如果不能返回到計(jì)算單元，繼續(xù)尋找最佳的粒子位置。如果滿足條件，則將初始值帶入SVM 模型中，進(jìn)行最后的測(cè)試；根據(jù)SVM 模型測(cè)試分析可行性，不可行返回最初探索階段，符合則完成探索，輸出最終的檢測(cè)結(jié)果，保障網(wǎng)絡(luò)系統(tǒng)安全。

網(wǎng)絡(luò)入侵?jǐn)?shù)據(jù)通常具有較高維度，無(wú)法保證數(shù)據(jù)集中維度特征能對(duì)數(shù)據(jù)標(biāo)識(shí)產(chǎn)生影響。為了解決上述問(wèn)題，建議首先通過(guò)收集用戶行為數(shù)據(jù)的方式，對(duì)數(shù)據(jù)進(jìn)行整合，在此基礎(chǔ)上，結(jié)合分析模塊的特點(diǎn)，對(duì)整合后的數(shù)據(jù)進(jìn)行分析，采取多種方法，為數(shù)據(jù)特征的明確奠定基礎(chǔ)。大量冗余維度不僅占用資源，還導(dǎo)致檢測(cè)精度降低，而數(shù)據(jù)集特征選擇，對(duì)網(wǎng)絡(luò)入侵檢測(cè)來(lái)說(shuō)，則有重要作用。選擇優(yōu)質(zhì)的特征子集，能夠保證原始數(shù)據(jù)被覆蓋，提升模型的綜合能力。特征選擇是從原始數(shù)據(jù)進(jìn)行，完成特征子集抽取過(guò)程，選擇的子集對(duì)原始數(shù)據(jù)有較大影響。選擇特征能夠減緩噪聲特征，提取具有能力更完備的特征，從而提高檢測(cè)精度。需要注意的是，在特征選擇的過(guò)程中，保證系統(tǒng)能夠響應(yīng)較為重要，當(dāng)出現(xiàn)特征一致的數(shù)據(jù)時(shí)，系統(tǒng)需要通知管理員對(duì)其進(jìn)行及時(shí)處理。

根據(jù)生成數(shù)據(jù)代替原本的數(shù)據(jù)集：A= X+βX+βX+（=1，2，…，）（〈〈）。遠(yuǎn)小于。以個(gè)主成分作為新的數(shù)據(jù)向量，取代原始數(shù)據(jù)。降低數(shù)據(jù)整體維度，提升檢測(cè)速度。

當(dāng)主成分分析法維度降低后，計(jì)算協(xié)方差矩陣，占用的內(nèi)存普通內(nèi)存難以滿足，會(huì)導(dǎo)致取讀過(guò)程緩慢，無(wú)法在短期內(nèi)處理。采用塊取讀模式，運(yùn)行時(shí)間消耗過(guò)多，依舊無(wú)法滿足需求。因此，針對(duì)主成分分析法進(jìn)行改進(jìn)。保證預(yù)期結(jié)果的同時(shí)，對(duì)主成分?jǐn)?shù)據(jù)盡可能地壓縮，減少數(shù)據(jù)維數(shù)，保證內(nèi)存占用率低并滿足運(yùn)行需求。結(jié)合主成分算法提取特征，將大量冗余的數(shù)據(jù)篩除掉。利用提取特征的方法，實(shí)現(xiàn)進(jìn)一步降維操作。

經(jīng)過(guò)改進(jìn)后的主成分分析法，能夠縮短降維時(shí)間，與以往的降維操作相比有明顯提升，見(jiàn)表1。表1 中將降維前后6 次試驗(yàn)進(jìn)行對(duì)比，與傳統(tǒng)降維相比縮短了時(shí)間，最大程度地保留了信息量，效果明顯優(yōu)于改進(jìn)前的方法，為后續(xù)任務(wù)節(jié)約更多時(shí)間。

表1 降維前后對(duì)比（單位：s）

3.3 KDD數(shù)據(jù)集及預(yù)處理

KDD 數(shù)據(jù)集誕生于美國(guó)局域網(wǎng)，美國(guó)使用KDD 進(jìn)行網(wǎng)絡(luò)入侵檢測(cè)評(píng)估試驗(yàn)。通過(guò)建立網(wǎng)絡(luò)環(huán)境，模擬和攻擊，構(gòu)建更真實(shí)的網(wǎng)絡(luò)環(huán)境。在該過(guò)程中，建立了9 周的數(shù)據(jù)收集過(guò)程，通過(guò)收集原始數(shù)據(jù)與網(wǎng)絡(luò)連接記錄，并對(duì)概率進(jìn)行測(cè)試。根據(jù)數(shù)據(jù)協(xié)議進(jìn)行傳輸，確保每個(gè)網(wǎng)絡(luò)連接都能夠標(biāo)記。在試驗(yàn)后總結(jié)出的數(shù)據(jù)集特征，表現(xiàn)為數(shù)據(jù)量龐大。大量的網(wǎng)絡(luò)數(shù)據(jù)不利于入侵檢測(cè)技術(shù)發(fā)揮作用，影響檢測(cè)性能評(píng)價(jià)。此外，數(shù)據(jù)量較大不利于計(jì)算。同時(shí)數(shù)據(jù)記錄特征復(fù)雜，難以提取特征。盡管有較多特征，KDD依舊為現(xiàn)代網(wǎng)絡(luò)入侵檢測(cè)提供原始數(shù)據(jù)，為后續(xù)工作進(jìn)行提供方便。經(jīng)過(guò)改編后的數(shù)據(jù)集，能否應(yīng)用在現(xiàn)代化網(wǎng)絡(luò)環(huán)境中，還需要不斷探究?；谠紨?shù)據(jù)集處理方式，對(duì)未來(lái)數(shù)據(jù)集收集與處理提供有價(jià)值的參考。

3.4 試驗(yàn)結(jié)果與分析

試驗(yàn)選擇檢測(cè)模型相對(duì)關(guān)鍵，由于模型性能并不能通過(guò)單一方向思考，因此需要根據(jù)檢測(cè)精度、時(shí)間等綜合指標(biāo)進(jìn)行選擇。在選擇試驗(yàn)參數(shù)與環(huán)境時(shí)，考慮到KDD 原始數(shù)據(jù)集冗余數(shù)據(jù)多的問(wèn)題，采用kddcup.data_10_percent 作為訓(xùn)練集。保證計(jì)算機(jī)內(nèi)存在8GB 以內(nèi)，使用英特爾處理器進(jìn)行試驗(yàn)。為了保證試驗(yàn)評(píng)估模型算法準(zhǔn)確，對(duì)傳統(tǒng)數(shù)據(jù)集降維的數(shù)據(jù)進(jìn)行檢測(cè)，再對(duì)技術(shù)水平后的數(shù)據(jù)集降維檢測(cè)?；谕葪l件下的不同數(shù)據(jù)，檢測(cè)入侵檢測(cè)技術(shù)水平是否提升。經(jīng)過(guò)參數(shù)設(shè)定和算法選定，對(duì)數(shù)據(jù)集KDD 進(jìn)行轉(zhuǎn)化?；谔嵘昂蟮臄?shù)據(jù)集數(shù)據(jù)進(jìn)行模擬試驗(yàn)對(duì)比，得出提升后的入侵檢測(cè)技術(shù)更加有效，能夠提升檢測(cè)數(shù)據(jù)與精度，保證網(wǎng)絡(luò)安全檢測(cè)質(zhì)量。

4 結(jié)論

綜上所述，網(wǎng)絡(luò)入侵行為對(duì)計(jì)算機(jī)網(wǎng)絡(luò)安全產(chǎn)生影響，現(xiàn)階段入侵檢測(cè)技術(shù)為了提升防火墻的防御等級(jí)，選用了IDS 技術(shù)，為防火墻防御能力提供屏障，在各大企業(yè)的計(jì)算機(jī)網(wǎng)絡(luò)中，也得到廣泛的應(yīng)用與推廣。由于現(xiàn)有入侵檢測(cè)技術(shù)難以揪出病毒，因此未來(lái)為了保障網(wǎng)絡(luò)運(yùn)行安全，需要建立更完善的技術(shù)，對(duì)網(wǎng)絡(luò)系統(tǒng)進(jìn)行檢測(cè)，防止外來(lái)入侵。入侵檢測(cè)技術(shù)在保障網(wǎng)絡(luò)安全方面發(fā)揮了重要的作用，在未來(lái)計(jì)算機(jī)網(wǎng)絡(luò)發(fā)展過(guò)程中，也將持續(xù)性地發(fā)揮重要作用。將入侵檢測(cè)技術(shù)的挖掘作用，充分應(yīng)用于網(wǎng)絡(luò)防護(hù)中，提升入侵檢測(cè)技術(shù)工作效率，保障計(jì)算機(jī)網(wǎng)絡(luò)運(yùn)行安全。