◆杜國真

基于遷移學(xué)習(xí)的入侵檢測(cè)技術(shù)研究

◆杜國真

（河南護(hù)理職業(yè)學(xué)院 河南 455000）

隨著計(jì)算機(jī)和網(wǎng)絡(luò)技術(shù)的快速發(fā)展，網(wǎng)絡(luò)的安全逐漸被各國重視，本文在深入了解國內(nèi)外信息安全方面現(xiàn)有研究的基礎(chǔ)上，針對(duì)入侵檢測(cè)技術(shù)存在的源數(shù)據(jù)樣本采集困難、數(shù)據(jù)模型建立時(shí)間長以及檢測(cè)率不平衡等問題，提出了一種基于遷移學(xué)習(xí)的入侵檢測(cè)技術(shù)，通過實(shí)驗(yàn)分析得到預(yù)期的檢測(cè)效果。

網(wǎng)絡(luò)安全；入侵檢測(cè)；遷移學(xué)習(xí)；網(wǎng)絡(luò)異常檢測(cè).

1 入侵檢測(cè)技術(shù)的研究意義

隨著計(jì)算機(jī)和網(wǎng)絡(luò)技術(shù)的飛速發(fā)展，網(wǎng)絡(luò)安全已經(jīng)逐漸被各個(gè)國家所重視，隨著我國網(wǎng)絡(luò)安全戰(zhàn)略的提出，網(wǎng)絡(luò)空間的安全問題被提升到前所未有的高度。網(wǎng)絡(luò)安全技術(shù)起初提出時(shí)主要是基于防火墻技術(shù)通過限制訪問列表等策略來實(shí)現(xiàn)的，防火墻技術(shù)顧名思義主要是通過軟件與硬件相結(jié)合設(shè)立外網(wǎng)與內(nèi)網(wǎng)之間的一道安全防范措施。防火墻技術(shù)是需要根據(jù)自身網(wǎng)絡(luò)的特點(diǎn)定義一些安全策略，但是這種偏向主觀的設(shè)置安全策略的方式，在遇到定義模糊或者漏項(xiàng)時(shí)，這些將會(huì)導(dǎo)致系統(tǒng)出現(xiàn)漏洞的危機(jī)現(xiàn)象，這些漏洞將有可能導(dǎo)致系統(tǒng)被入侵和攻擊。其次，防火墻技術(shù)主要是對(duì)進(jìn)出內(nèi)部網(wǎng)絡(luò)的服務(wù)和訪問進(jìn)行審計(jì)與控制，這種方式在面臨網(wǎng)絡(luò)或者計(jì)算機(jī)收到惡意代碼的入侵和攻擊時(shí)，這種處理方式帶來的效果將是有限度的。

綜上所述，入侵檢測(cè)技術(shù)很好地解決了上述問題，而且一經(jīng)提出便成為網(wǎng)絡(luò)安全領(lǐng)域的研究熱點(diǎn)之一，入侵檢測(cè)技術(shù)主要是對(duì)內(nèi)部網(wǎng)絡(luò)進(jìn)行實(shí)時(shí)監(jiān)控，然后將內(nèi)部網(wǎng)絡(luò)的活動(dòng)記錄下來，如果發(fā)現(xiàn)異?，F(xiàn)象便會(huì)采取相應(yīng)措施。而且從20世紀(jì)80年代提出以來，一直是網(wǎng)絡(luò)安全領(lǐng)域研究的熱點(diǎn)之一。

2 入侵檢測(cè)技術(shù)的分類

入侵檢測(cè)是指收集并記錄用戶以及系統(tǒng)的活動(dòng)信息，然后按照預(yù)定的算法對(duì)收集到的系統(tǒng)信息進(jìn)行分析計(jì)算，將分析結(jié)果與系統(tǒng)正常時(shí)的行為數(shù)據(jù)進(jìn)行對(duì)比分析，參照一定的標(biāo)準(zhǔn)判斷當(dāng)前系統(tǒng)是否收到可疑文件，是否發(fā)生異?，F(xiàn)象。主要包括攻擊預(yù)估、相應(yīng)攔截和檢測(cè)。入侵檢測(cè)系統(tǒng)的評(píng)價(jià)主要有以下幾個(gè)方面：有效性，入侵檢測(cè)技術(shù)的有效性是指系統(tǒng)受到入侵攻擊行為時(shí)能夠正確地做出響應(yīng)，并且保證對(duì)攻擊行為的誤報(bào)率要保持一定的低比例；實(shí)用性，主要是指當(dāng)系統(tǒng)遇到攻擊行為時(shí)能夠正確做出判斷，并對(duì)入侵行為能夠進(jìn)行適時(shí)處理；適應(yīng)性，主要是指當(dāng)入侵檢測(cè)系統(tǒng)在設(shè)定并部署應(yīng)用之后能根據(jù)網(wǎng)絡(luò)和計(jì)算機(jī)系統(tǒng)的實(shí)時(shí)行為記錄對(duì)攻擊行為進(jìn)行相應(yīng)的處理。

按照不同的分類方式，入侵檢測(cè)系統(tǒng)可以有以下幾種分類：

2.1 根據(jù)系統(tǒng)當(dāng)前的狀態(tài)與之前動(dòng)態(tài)的正常行為進(jìn)行對(duì)比，可以分為異常檢測(cè)技術(shù)和誤用檢測(cè)技術(shù)。

（1）異常檢測(cè)技術(shù)：這種檢測(cè)技術(shù)是當(dāng)前研究入侵檢測(cè)技術(shù)的主流之一，最初的Denning模型便是基于這種檢測(cè)技術(shù)建立的檢測(cè)模型。其建立過程大致為：首先將該系統(tǒng)模型部署在一個(gè)正常的計(jì)算機(jī)系統(tǒng)中，根據(jù)當(dāng)前正常的計(jì)算機(jī)信息，通過分析計(jì)算逐步建立正常的行為模式，然后將正常模式對(duì)計(jì)算機(jī)對(duì)系統(tǒng)進(jìn)行分析推理判斷。入侵檢測(cè)系統(tǒng)在采集收集數(shù)據(jù)時(shí)，通過檢測(cè)網(wǎng)絡(luò)和計(jì)算機(jī)操作日志對(duì)數(shù)據(jù)進(jìn)行前期處理。

（2）誤用檢測(cè)模型：主要是通過統(tǒng)計(jì)學(xué)原理而建立的模型。該模型首先通過對(duì)網(wǎng)絡(luò)和計(jì)算機(jī)系統(tǒng)正常模式下工作的數(shù)據(jù)進(jìn)行收集分析，逐步建立正常模式下的計(jì)算機(jī)系統(tǒng)信息數(shù)據(jù)庫，當(dāng)系統(tǒng)出現(xiàn)與之前數(shù)據(jù)庫信息相悖時(shí)，便定義為入侵行為。其主要缺點(diǎn)有：誤報(bào)率與正常行為的特征數(shù)據(jù)庫建立維度有關(guān)；正常行為特征庫的正常值難以確定；判斷入侵行為的閾值界定難度大，這些都容易導(dǎo)致誤報(bào)率高。隨著誤報(bào)率的提高，入侵檢測(cè)系統(tǒng)也會(huì)漸漸失去檢測(cè)能力。

2.2 按照受保護(hù)的對(duì)象不同可以分為三種：基于網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)、基于主機(jī)的入侵檢測(cè)系統(tǒng)，還有兩種方式同時(shí)使用的入侵檢測(cè)系統(tǒng)。

2.2.1基于主機(jī)的入侵檢測(cè)系統(tǒng)

根據(jù)計(jì)算機(jī)操作系統(tǒng)中如應(yīng)用程序的服務(wù)器事件、系統(tǒng)調(diào)用以及內(nèi)核記錄等日志文件，然后將這些數(shù)據(jù)信息與計(jì)算機(jī)內(nèi)部攻擊的數(shù)據(jù)庫進(jìn)行對(duì)比分析，這種方式通常情況下只會(huì)保護(hù)計(jì)算機(jī)系統(tǒng)不受侵害。其結(jié)構(gòu)如圖1。

圖1 結(jié)構(gòu)示意圖

優(yōu)點(diǎn)主要有：（1）更好地利用計(jì)算機(jī)系統(tǒng)本身的數(shù)據(jù)信息，通過這種利用本機(jī)系統(tǒng)建立數(shù)據(jù)庫的方式使得收集到的信息更加精確，更加具有針對(duì)性；（2）能夠?qū)μ芈逡聊抉R以及其他破壞軟件的完整性進(jìn)行檢測(cè)；（3）這種方式可以應(yīng)用在需要對(duì)數(shù)據(jù)進(jìn)行加密和被交換的網(wǎng)絡(luò)環(huán)境；（4）可以檢測(cè)到管理員實(shí)施的非正常操作。不足之處在于：系統(tǒng)本身容易受到攻擊，管理難度大；因?yàn)橄到y(tǒng)需要收集的信息量大，因此需要很大的存儲(chǔ)空間；因?yàn)槭腔谥鳈C(jī)的檢測(cè)系統(tǒng)，在執(zhí)行檢測(cè)的過程中會(huì)占用主機(jī)更多的CPU和內(nèi)存等資源，使得主機(jī)的其他數(shù)據(jù)處理能力下降；對(duì)來自網(wǎng)絡(luò)的多點(diǎn)攻擊很難做到完整判別。

2.2.2基于網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)

與基于主機(jī)的入侵檢測(cè)系統(tǒng)不同的是，該系統(tǒng)模式主要是對(duì)來自網(wǎng)絡(luò)的數(shù)據(jù)信息進(jìn)行收集和處理。數(shù)據(jù)的收集主要是通過計(jì)算機(jī)本身的網(wǎng)卡進(jìn)行實(shí)時(shí)收集并分析的，標(biāo)識(shí)攻擊行為的屬性通常有：通過網(wǎng)卡的最大值、表達(dá)式、模式、頻率以及低級(jí)事件的相關(guān)性，在整個(gè)網(wǎng)段及系統(tǒng)受到攻擊時(shí)，NIDS便會(huì)發(fā)出預(yù)警并采取相應(yīng)的阻止行為。該系統(tǒng)的優(yōu)點(diǎn)有：成本較低；能夠?qū)崿F(xiàn)對(duì)整個(gè)網(wǎng)絡(luò)系統(tǒng)的實(shí)時(shí)監(jiān)控和保護(hù)，大規(guī)模的網(wǎng)絡(luò)檢測(cè)較適用；主要缺點(diǎn)在于：分類器的訓(xùn)練時(shí)間太久，因?yàn)樾枰占罅康臄?shù)據(jù)才能分析建成，而且訓(xùn)練數(shù)據(jù)也是動(dòng)態(tài)變化的，與現(xiàn)有的或者以往的數(shù)據(jù)存在很多不同。

3 遷移學(xué)習(xí)理論

在不同領(lǐng)域之間的知識(shí)遷移稱為遷移學(xué)習(xí)。而對(duì)于機(jī)器學(xué)習(xí)是指在處理不同任務(wù)能夠?qū)崿F(xiàn)不同域或者不同任務(wù)之間的學(xué)習(xí)。遷移學(xué)習(xí)大致可以分為以下幾類：

3.1 歸納型遷移學(xué)習(xí)

這種遷移學(xué)習(xí)方式要求目標(biāo)任務(wù)和源任務(wù)不同，但是不考慮目標(biāo)域與源域是否相同。

3.2 直推型遷移學(xué)習(xí)

與歸納型遷移學(xué)習(xí)方式不同的是，這種學(xué)習(xí)方式要求源任務(wù)必須與目標(biāo)任務(wù)完全一致，但是要求源域與目標(biāo)域不相同。因此根據(jù)兩個(gè)域之間的不同情況，可以分為以下兩種：

（1）目標(biāo)域與源域概率密度函數(shù)相同，但是兩者的分布位置不同；

（2）目標(biāo)域與源域邊緣在特征空間和分布位置上相同，但是兩者的概率密度函數(shù)不同。

4 基于遷移學(xué)習(xí)的入侵檢測(cè)系統(tǒng)模型

4.1 一般過程

根據(jù)數(shù)據(jù)流的處理以及檢測(cè)反應(yīng)可以將入侵檢測(cè)模型的組成劃分為：收集計(jì)算機(jī)系統(tǒng)數(shù)據(jù)模塊、數(shù)據(jù)預(yù)處理模塊、特征學(xué)習(xí)模塊和分析檢測(cè)模塊。其一般過程為對(duì)網(wǎng)絡(luò)和計(jì)算機(jī)系統(tǒng)數(shù)據(jù)進(jìn)行收集，并存放于數(shù)據(jù)庫中，該過程可以劃分為清洗冗余數(shù)據(jù)、數(shù)據(jù)規(guī)范化、數(shù)據(jù)歸一處理等；產(chǎn)生的數(shù)據(jù)通過概率計(jì)算等方式進(jìn)行特征提取和學(xué)習(xí)，主要是為后期入侵檢測(cè)做準(zhǔn)備，然后系統(tǒng)根據(jù)預(yù)先得到的數(shù)據(jù)樣本特征進(jìn)行判斷系統(tǒng)是否受到入侵攻擊。

4.2 通用入侵檢測(cè)框架

通用入侵檢測(cè)模型結(jié)構(gòu)大致如下：事件產(chǎn)生器，事件分析器，事件數(shù)據(jù)庫和響應(yīng)單元。大致流程如下：事件產(chǎn)生器首先收集相關(guān)事件的數(shù)據(jù)，然后將信息檢測(cè)誤用模式；將事件信息存放到事件數(shù)據(jù)庫中，并為其他事件分析提供額外的信息。

4.3 基于遷移學(xué)習(xí)的網(wǎng)絡(luò)入侵檢測(cè)模型

模型大致包括以下單元：數(shù)據(jù)采集，數(shù)據(jù)格式設(shè)置，數(shù)據(jù)預(yù)處理，樣本訓(xùn)練和學(xué)習(xí)模塊，數(shù)據(jù)多分類器，專家判別模塊，入侵規(guī)則和日志數(shù)據(jù)庫。

5 結(jié)論

本文在深入研究國內(nèi)外關(guān)于入侵檢測(cè)技術(shù)和遷移學(xué)習(xí)理論等相關(guān)研究背景和發(fā)展趨勢(shì)的基礎(chǔ)上，針對(duì)當(dāng)前系統(tǒng)應(yīng)用中出現(xiàn)的問題，將遷移學(xué)習(xí)的觀點(diǎn)和方法應(yīng)用到計(jì)算機(jī)網(wǎng)絡(luò)安全的入侵檢測(cè)系統(tǒng)中，并應(yīng)用于基于網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)，為今后遷移學(xué)習(xí)在入侵檢測(cè)系統(tǒng)中的應(yīng)用研究奠定了一定的基礎(chǔ)。

[1]王東東.基于遷移學(xué)習(xí)的入侵檢測(cè)技術(shù)研究[D].山西太原：中北大學(xué),2015.

[2]趙新杰,劉淵,孫劍.基于遷移學(xué)習(xí)和D-S理論的網(wǎng)絡(luò)異常檢測(cè)[J].計(jì)算機(jī)應(yīng)用研究，2016(04):1137-1140.

2016年河南省高等學(xué)校青年骨干教師培養(yǎng)計(jì)劃項(xiàng)目：遷移學(xué)習(xí)方法在網(wǎng)絡(luò)入侵檢測(cè)中的應(yīng)用研究，編號(hào)：2016GGJS-285。