張舒婷

（太原學(xué)院，山西 太原 030032）

1 引言

隨著網(wǎng)絡(luò)信息技術(shù)的不斷發(fā)展及其在人們生活工作學(xué)習(xí)中的廣泛使用，社會對于網(wǎng)絡(luò)的依賴程度越來越高。而在網(wǎng)絡(luò)信息化社會時代發(fā)展趨勢下，諸如病毒入侵、DNS攻擊、垃圾郵件等網(wǎng)絡(luò)入侵也呈現(xiàn)出復(fù)雜化、多樣性的發(fā)展特征，極大地影響了社會網(wǎng)絡(luò)應(yīng)用的正常發(fā)展。在這樣的背景下，入侵防護(hù)系統(tǒng)（Intrusion Prevention System，簡稱IPS）逐漸成為傳統(tǒng)IDS的替代產(chǎn)品，由于傳統(tǒng)IDS在網(wǎng)絡(luò)入侵檢測中誤報率高以及資源消耗大并且需要人工過多的參與等方面的缺陷，不能夠很好地應(yīng)對當(dāng)前網(wǎng)絡(luò)入侵的進(jìn)化。而IPS融合了入侵檢測技術(shù)和防火墻技術(shù)，其安全解決方案逐漸成為安全技術(shù)的主流，而網(wǎng)絡(luò)入侵檢測功能在IPS研究和應(yīng)用中都占有非常重要的地位。由此進(jìn)行網(wǎng)絡(luò)入侵檢測中應(yīng)用機(jī)器學(xué)習(xí)的相關(guān)探討有著非常重要的理論意義。

2 機(jī)器學(xué)習(xí)概述

機(jī)器學(xué)習(xí)，簡單來說是通過智能技術(shù)的應(yīng)用，利用機(jī)器學(xué)習(xí)現(xiàn)有知識，并根據(jù)所學(xué)的知識識別并獲取新認(rèn)知和技能的方法。機(jī)器學(xué)習(xí)研究和實踐早在上世紀(jì)五十年代在發(fā)達(dá)國家就已經(jīng)受到重視，我國關(guān)于機(jī)器學(xué)習(xí)以及基于機(jī)器學(xué)習(xí)的網(wǎng)絡(luò)入侵技術(shù)應(yīng)用研究較晚，但是發(fā)展較快，當(dāng)然與發(fā)達(dá)國家相比仍然存在著一定的技術(shù)差距和研究實踐等方面的差距。自機(jī)器學(xué)習(xí)依托智能技術(shù)誕生以來，隨著智能技術(shù)網(wǎng)絡(luò)環(huán)境和外在應(yīng)用環(huán)境以及自身革新等因素的影響，機(jī)器學(xué)習(xí)從科學(xué)研究逐漸應(yīng)用到某些具體的領(lǐng)域，并且機(jī)器學(xué)習(xí)的理論體系得到了完善，以機(jī)器學(xué)習(xí)多領(lǐng)域理論的完善為基礎(chǔ)，機(jī)器學(xué)習(xí)方法中網(wǎng)絡(luò)神經(jīng)、支持向量機(jī)、增強(qiáng)學(xué)習(xí)、遺傳進(jìn)化等方面的入侵技術(shù)應(yīng)用有了很大的發(fā)展。網(wǎng)絡(luò)入侵檢測從本質(zhì)上來說是分類和建模的問題，機(jī)器學(xué)習(xí)方法通過對于學(xué)習(xí)特點的掌握，利用所集合的信息資源，對網(wǎng)絡(luò)入侵的可能性可以做到較為科學(xué)的預(yù)測和識別，其已經(jīng)在模式識別上有了較大的發(fā)展。

3 機(jī)器學(xué)習(xí)方法應(yīng)用于網(wǎng)絡(luò)入侵檢測技術(shù)

3.1 基于模式識別思想認(rèn)識的技術(shù)方法應(yīng)用

把入侵檢測看作是分類問題，通過對網(wǎng)絡(luò)流量和主機(jī)審計等相關(guān)設(shè)備數(shù)據(jù)信息的總結(jié)分析，區(qū)分出系統(tǒng)運行正常與否。在機(jī)器學(xué)習(xí)訓(xùn)練樣本不均衡或者數(shù)據(jù)集未識別的狀態(tài)下，把網(wǎng)絡(luò)檢測問題從復(fù)雜的環(huán)境中抽取出來，只對問題本身進(jìn)行檢測。對于這類檢測問題，基于統(tǒng)計機(jī)器學(xué)習(xí)理論的解決方法有很多，比如k近鄰算法、聚類、模式匹配、支持向量機(jī)以及神經(jīng)網(wǎng)絡(luò)等。拿其中的神經(jīng)網(wǎng)絡(luò)來說，神經(jīng)網(wǎng)絡(luò)是一種具有高度并行計算能力、自學(xué)能力和容錯能力的處理方法，通過自適應(yīng)學(xué)習(xí)技術(shù)區(qū)別網(wǎng)絡(luò)異常問題或者誤用問題。當(dāng)前對于神經(jīng)網(wǎng)絡(luò)技術(shù)的研究有很多，比如BP神經(jīng)網(wǎng)絡(luò)模型、SOM自組織映射模型、針對SYN泛洪攻擊和端口掃描攻擊的神經(jīng)網(wǎng)絡(luò)算法等。

3.2 基于規(guī)則識別思想認(rèn)識的技術(shù)方法應(yīng)用

把入侵檢測看作一個知識集合，通過機(jī)器學(xué)習(xí)能力的獲取，提取知識集合的內(nèi)在規(guī)則，從而正確表達(dá)出這個知識集合，以此區(qū)別出網(wǎng)絡(luò)系統(tǒng)是否存在異常問題。這種思想認(rèn)識是針對當(dāng)前網(wǎng)絡(luò)數(shù)據(jù)源越發(fā)多變、多類型以及高維數(shù)等發(fā)展特點開發(fā)出來的機(jī)器學(xué)習(xí)算法。面對多屬性、非線性海量網(wǎng)絡(luò)數(shù)據(jù)資源，通過基于符號歸納機(jī)器學(xué)習(xí)方法比如決策樹、粗糙集等對數(shù)據(jù)資源進(jìn)行簡化處理，提取出系統(tǒng)正常行為的運行規(guī)則，實現(xiàn)對于異常狀態(tài)的預(yù)警和檢測。就拿決策樹來說，決策樹是一種非常常用的分類器，機(jī)器學(xué)習(xí)通過訓(xùn)練集構(gòu)建決策樹，利用決策樹進(jìn)行分類，決策樹的識別過程對于專業(yè)領(lǐng)域知識沒有過多依賴，其算法運行的關(guān)鍵在于分裂屬性的劃分上。并且由于不依賴知識，設(shè)計簡便易行，與此同時能夠在短時間內(nèi)處理大量的網(wǎng)絡(luò)流量數(shù)據(jù)信息，是非常實用的網(wǎng)絡(luò)入侵檢測方法。

3.3 基于訓(xùn)練樣本集思想認(rèn)識的技術(shù)方法應(yīng)用

把入侵檢測看作訓(xùn)練樣本集，通過賦予檢測系統(tǒng)一定的搜索策略，在樣本集范圍內(nèi)搜索出需要找到的問題。由此，機(jī)器成為一個搜索問題的工具，學(xué)習(xí)的過程即是對于問題的尋找過程，通過學(xué)習(xí)，尋找到目標(biāo)函數(shù)的最優(yōu)解。隨著基因遺傳學(xué)的發(fā)展，遺傳學(xué)的相關(guān)學(xué)術(shù)研究被引入機(jī)器學(xué)習(xí)學(xué)科領(lǐng)域，遺傳和進(jìn)化機(jī)器學(xué)習(xí)算法成為這種思想認(rèn)識的有力解決方案。遺傳進(jìn)化機(jī)器學(xué)習(xí)算法能夠檢測未知攻擊，同時具有極高的準(zhǔn)確率，通過數(shù)值求解多參數(shù)、多變量、多目標(biāo)和在多區(qū)域的NP難優(yōu)化的問題，有著較好的識別能力，省去了大量的資源消耗。在學(xué)術(shù)研究方面，基于遺傳算法的異常入侵方法有著較高的學(xué)術(shù)認(rèn)可度。

3.4 增強(qiáng)機(jī)器學(xué)習(xí)的方法應(yīng)用

增強(qiáng)學(xué)習(xí)（Reinforcement Learning）是機(jī)器學(xué)習(xí)四大研究方向之一，又被稱為強(qiáng)化和評價學(xué)習(xí)，增強(qiáng)機(jī)器學(xué)習(xí)之所以受到學(xué)術(shù)研究的特別關(guān)注，一方面由于現(xiàn)實環(huán)境的飛速變化，比如網(wǎng)絡(luò)攻擊技術(shù)智能化、多樣化的發(fā)展趨勢，要求網(wǎng)絡(luò)入侵檢測系統(tǒng)在實時性上有一個較大的突破，通過可伸縮性的入侵網(wǎng)絡(luò)檢測體系的構(gòu)建，能夠使網(wǎng)絡(luò)入侵系統(tǒng)動態(tài)適應(yīng)網(wǎng)絡(luò)環(huán)境的變化。另一方面增強(qiáng)機(jī)器學(xué)習(xí)方法的優(yōu)越性上，多Agent系統(tǒng)學(xué)習(xí)是當(dāng)前應(yīng)用最廣泛的增強(qiáng)機(jī)器學(xué)習(xí)的方法，由于Agent表現(xiàn)出來的自適性、移動性、智能性等特點能夠在網(wǎng)絡(luò)入侵檢測技術(shù)中得到較好的發(fā)揮，同時多種機(jī)器學(xué)習(xí)方法的結(jié)合能夠更好地解決遇到的實際檢測問題。

4 基于機(jī)器學(xué)習(xí)的網(wǎng)絡(luò)入侵檢測技術(shù)發(fā)展方向

4.1 基于機(jī)器學(xué)習(xí)的網(wǎng)絡(luò)入侵檢測技術(shù)性能評估

前面就當(dāng)前幾種機(jī)器學(xué)習(xí)方法在入侵檢測技術(shù)的應(yīng)用中做了細(xì)致的論述，針對基于統(tǒng)一網(wǎng)絡(luò)入侵檢測問題，不同類型的學(xué)習(xí)方法的實際應(yīng)用效果是性能評估的主要內(nèi)容。當(dāng)然性能評估是出于人的主觀角度，以實用為目的。學(xué)習(xí)類型不同以及學(xué)習(xí)目標(biāo)不同，所表現(xiàn)出來的實用性也有一定的差別，比如統(tǒng)計機(jī)器學(xué)習(xí)，主要從模式分類的角度來檢測入侵的問題，表現(xiàn)在機(jī)器學(xué)習(xí)上以泛化能力為目標(biāo)，而基于遺傳進(jìn)化學(xué)習(xí)方法則是從數(shù)據(jù)簡約和規(guī)則提取的角度來看待入侵檢測問題的，因此其學(xué)習(xí)目標(biāo)可以理解為數(shù)據(jù)認(rèn)知能力。具體來說，神經(jīng)網(wǎng)絡(luò)學(xué)習(xí)方法能夠在有無參數(shù)的狀態(tài)下進(jìn)行泛化研究，不需要學(xué)習(xí)知識的數(shù)據(jù)設(shè)計，但是其缺點也很明顯，其學(xué)習(xí)過程中，訓(xùn)練節(jié)奏較慢，由此其對于網(wǎng)絡(luò)實時監(jiān)測的能力較弱；支持向量機(jī)學(xué)習(xí)方法以其樣本數(shù)據(jù)小，較高的訓(xùn)練接受能力，可以解決高維、非線性類型的檢測問題，但是其缺陷在于對于數(shù)據(jù)信息的要求度較高，表現(xiàn)在檢測應(yīng)用上缺乏靈活性和泛化能力較弱?？傮w來說，對于基于機(jī)器學(xué)習(xí)的網(wǎng)絡(luò)入侵檢測技術(shù)來說，如何降低資源消耗、減少訓(xùn)練集以及如何提高準(zhǔn)確精度是機(jī)器學(xué)習(xí)方法的一個衡量標(biāo)準(zhǔn)。當(dāng)然任何學(xué)習(xí)方法都有一定的局限性，針對不同的環(huán)境和應(yīng)用視角，同一種機(jī)器學(xué)習(xí)方法在應(yīng)用過程中可能表現(xiàn)出百分之百的準(zhǔn)確和百分之百的誤報率。由此還需要根據(jù)現(xiàn)實需求以及時代發(fā)展需求，正確看待機(jī)器學(xué)習(xí)方法的性能評估。

4.2 基于機(jī)器學(xué)習(xí)的網(wǎng)絡(luò)入侵檢測技術(shù)的發(fā)展困境

目前，基于機(jī)器學(xué)習(xí)的網(wǎng)絡(luò)入侵檢測研究已經(jīng)在包括系統(tǒng)安全、網(wǎng)絡(luò)安全以及應(yīng)用安全領(lǐng)域中提出了很多切實可行的解決方案和應(yīng)用方法。但是從模式識別的泛化能力、檢測精度以及當(dāng)前學(xué)術(shù)界極為關(guān)注的實時性問題上，基于機(jī)器學(xué)習(xí)方法的解決方案還有很長的路要走。從機(jī)器學(xué)習(xí)方法這個主體來說，其未來在網(wǎng)絡(luò)入侵檢測技術(shù)的應(yīng)用程度還要從其技術(shù)突破以及機(jī)器學(xué)習(xí)算法研究突破兩個方面進(jìn)行，我們都知道機(jī)器學(xué)習(xí)算法當(dāng)前缺乏一定的公開透明性，比如在神經(jīng)網(wǎng)絡(luò)入侵檢測技術(shù)應(yīng)用時，很容易出現(xiàn)算法錯判的問題，由于模型運行的不可解釋性，導(dǎo)致了對于代碼的分類總結(jié)不夠明確。由此產(chǎn)生的機(jī)器智能化發(fā)展是否安全的學(xué)術(shù)思考值得在未來機(jī)器學(xué)習(xí)研究中給予重視和關(guān)注。從網(wǎng)絡(luò)入侵檢測角度來看，基于機(jī)器學(xué)習(xí)的網(wǎng)絡(luò)入侵檢測應(yīng)用發(fā)展，當(dāng)前最主要的影響因素來自于網(wǎng)絡(luò)攻擊技術(shù)及其發(fā)展特點的分析判斷上，從目前來看，網(wǎng)絡(luò)攻擊越來越多地采用分布式、多目標(biāo)以及多層次的組合式攻擊，面對黑客攻擊手段越發(fā)智能化、多樣化和有預(yù)謀的特點，基于機(jī)器學(xué)習(xí)的網(wǎng)絡(luò)入侵檢測技術(shù)必然要構(gòu)建多節(jié)點部署、分布式檢測以及適應(yīng)網(wǎng)絡(luò)動態(tài)發(fā)展網(wǎng)絡(luò)檢測體系。另外還比如黑客也可以利用機(jī)器學(xué)習(xí)應(yīng)用到網(wǎng)絡(luò)入侵方面，機(jī)器學(xué)習(xí)網(wǎng)絡(luò)入侵檢測技術(shù)加密資源消耗問題，這些都是當(dāng)前以及未來不容忽視的重要問題。