劉 斌

（四川城市職業(yè)學(xué)院，四川 成都 610110）

0 引言

網(wǎng)絡(luò)帶給人們便利的同時，也面臨著安全問題，不同類型的網(wǎng)絡(luò)入侵影響計算機(jī)網(wǎng)絡(luò)安全。頻繁發(fā)生的網(wǎng)絡(luò)安全事件，對網(wǎng)絡(luò)環(huán)境運(yùn)行產(chǎn)生影響，帶來較大的安全隱患。傳統(tǒng)網(wǎng)絡(luò)安全防護(hù)技術(shù)，難以抵御當(dāng)前網(wǎng)絡(luò)新病毒的惡意入侵。傳統(tǒng)的防火墻、數(shù)據(jù)加密存在一定問題，具體體現(xiàn)在無法阻擋現(xiàn)有網(wǎng)絡(luò)攻擊導(dǎo)致的入侵行為方面。只有建立更完善的入侵檢測技術(shù)，才能保障計算機(jī)網(wǎng)絡(luò)運(yùn)行安全。因此，有必要針對計算機(jī)網(wǎng)絡(luò)安全的入侵檢測技術(shù)進(jìn)行研究。

1 入侵檢測技術(shù)概述

入侵檢測技術(shù)廣泛應(yīng)用在網(wǎng)絡(luò)系統(tǒng)檢測中，用于檢測計算機(jī)網(wǎng)絡(luò)中存在的異常行為。由于其入侵檢測能力較強(qiáng)，也被定義為計算機(jī)網(wǎng)絡(luò)系統(tǒng)。檢測技術(shù)通過收集關(guān)鍵信息，查看是否存在影響網(wǎng)絡(luò)運(yùn)行的跡象。入侵檢測技術(shù)的運(yùn)行原理如圖1 所示，通過檢測異常與匹配模式，對入侵攻擊進(jìn)行分析。

圖1 入侵檢測技術(shù)原理

入侵檢測系統(tǒng)實(shí)際處理攻擊行為時，分為3 個過程。通過完成3 個過程，實(shí)現(xiàn)對網(wǎng)絡(luò)攻擊行為的處理。入侵檢測技術(shù)流程結(jié)構(gòu)，如圖2 所示，分為數(shù)據(jù)采集、分析、響應(yīng)三大模塊。

圖2 入侵檢測技術(shù)處理過程

2 基于入侵檢測技術(shù)的參數(shù)優(yōu)化

入侵檢測技術(shù)已發(fā)展多年，網(wǎng)絡(luò)病毒也同時發(fā)展。想保障網(wǎng)絡(luò)運(yùn)行安全，須不斷升級優(yōu)化檢測技術(shù)。當(dāng)前檢測技術(shù)存在較多不足，加重網(wǎng)絡(luò)負(fù)荷，對數(shù)據(jù)抓取產(chǎn)生影響。入侵檢測技術(shù)的運(yùn)行原理，基于系統(tǒng)的防火墻，通過主動檢測，根據(jù)網(wǎng)絡(luò)數(shù)據(jù)探究，對異常行為采取措施。入侵檢測對網(wǎng)絡(luò)的攻擊行為，分為收集安全日志、行為，檢測到異常攻擊對象，對其結(jié)構(gòu)進(jìn)行審查，采取動態(tài)安全保護(hù)等步驟。

2.1 粒子群算法尋優(yōu)思想

當(dāng)前檢測技術(shù)存在較多不足，網(wǎng)絡(luò)負(fù)荷較重，影響數(shù)據(jù)抓取，導(dǎo)致網(wǎng)絡(luò)運(yùn)行時間較長，影響入侵檢測技術(shù)的有效應(yīng)用。以往入侵檢測技術(shù)在收集網(wǎng)絡(luò)數(shù)據(jù)時，難度較高，導(dǎo)致收集過程中，大量的信息冗余，影響檢測分析效果。針對檢測階段，提出改進(jìn)方法，采用粒子群算法在系統(tǒng)中進(jìn)行深入搜索，獲得最佳參數(shù)。粒子群算法優(yōu)化誕生于1995 年，是一種并行啟發(fā)式算法。該算法的結(jié)構(gòu)相對簡單，與傳統(tǒng)遺傳算法相比較，更容易獲得最佳參數(shù)。粒子群算法有智能性，將種群中每個成員定義為粒子，代表不同的可行解，全局存在位移的最優(yōu)解。通過在空間中不斷探究尋找，調(diào)整粒子的自適應(yīng)函數(shù)與飛行方向，保證粒子能夠獲得最佳體驗(yàn)位置，從而接近最優(yōu)解。同時，種群中每個粒子都會不斷更新范圍，最終達(dá)到最優(yōu)位置。粒子在作用下不斷飛行，形成位置與速度的迭代過程。粒子擁有原本的速度發(fā)生改變，實(shí)現(xiàn)迭代過程，朝向最優(yōu)位置靠近。算法表示如下。

2.2 粒子群算法流程與改進(jìn)

將粒子群算法應(yīng)用到入侵檢測的過程中，通過計算，能夠在網(wǎng)絡(luò)運(yùn)行期間識別不安全現(xiàn)象，并根據(jù)非法數(shù)據(jù)及時作出反應(yīng)，確保能夠保障網(wǎng)絡(luò)運(yùn)行安全。根據(jù)粒子群算法來看，其得到廣泛應(yīng)用的原因，是因?yàn)榱Ｗ尤核惴ㄋ俣瓤?，更容易?shí)現(xiàn)。但是在選定參數(shù)方面還不夠智能。因此，工作人員應(yīng)根據(jù)相關(guān)經(jīng)驗(yàn)，設(shè)置算法中的參數(shù)，結(jié)合當(dāng)前網(wǎng)絡(luò)運(yùn)行實(shí)際需求，對算法流程進(jìn)行改進(jìn)，具體可根據(jù)粒子規(guī)模隨機(jī)選擇數(shù)十個粒子，對種群數(shù)量來說，數(shù)量越大，獲得最優(yōu)解的可能性越高，但是獲取最優(yōu)解，需要消耗的時間也會增加，因此，具體情況需要根據(jù)實(shí)際規(guī)模確定，保證時間與精度之間的平衡，確保能夠獲取完整的最優(yōu)解。將粒子看成樣本，根據(jù)樣本維度設(shè)定探索速度，并基于流程算法尋找最優(yōu)解，完成尋找過程。期間，工作人員需要通過收集、分析信息，找出網(wǎng)絡(luò)系統(tǒng)中的危險行為，全方位檢測系統(tǒng)，并采用專業(yè)系統(tǒng)軟件，判斷是否存在入侵行為，通過粒子群算法下得到的信息，保障計算機(jī)網(wǎng)絡(luò)運(yùn)行安全。

標(biāo)準(zhǔn)粒子群算法對位置和速度的選擇，采用的是隨機(jī)的方式，隨機(jī)的搜索范圍越大，越有可能獲得最佳位置，提升檢測精度。研究人員曾經(jīng)提出使用蟻群算法完善檢測過程，基于此檢測算法，提出最優(yōu)的粒子群算法。用網(wǎng)格搜索算法，對速度和位置進(jìn)行探索，獲得所有可能的組合，將其應(yīng)用到檢測模型中，評估實(shí)際表現(xiàn)。將評估結(jié)果應(yīng)用在搜索范圍內(nèi)，獲得最優(yōu)組合的速度與位置，提高檢測精度。將其應(yīng)用在優(yōu)化SVM 中，能夠保證SVM 最大程度獲得最佳參數(shù)。

3 網(wǎng)絡(luò)安全檢測模型測試

3.1 SVM對入侵檢測的可行性

根據(jù)收集的數(shù)據(jù)，進(jìn)行網(wǎng)絡(luò)入侵安全檢測。在分析SVM 對入侵檢測的可行性的過程中，相關(guān)人員還需要充分了解網(wǎng)絡(luò)入侵的維度，建立全新的檢測分析法，對以往的檢測模型加以改進(jìn)，確保網(wǎng)絡(luò)入侵模型能夠滿足檢測精度與時間要素，提升檢測效果，形成快速準(zhǔn)確的防御措施，成為保護(hù)網(wǎng)絡(luò)安全的重要屏障。根據(jù)SVM 對數(shù)據(jù)集中的不同層級進(jìn)行分類和檢測，構(gòu)建多個SVM 分類器，在對網(wǎng)絡(luò)環(huán)境進(jìn)行檢測時，能夠?qū)⑵涔纛愋涂闯赏活?，根?jù)對該攻擊類型的檢測，將其從完整的數(shù)據(jù)集中剔除。之后采用相同方式，對剩余類型進(jìn)行檢測。

3.2 支持SVM參數(shù)優(yōu)化

SVM 分類能力會受到懲罰參數(shù)與核函數(shù)的影響，盡管SVM 在計算機(jī)網(wǎng)絡(luò)入侵檢測過程中能夠保持良好的性能。但是該表現(xiàn)，離不開參數(shù)與核函數(shù)因素。根據(jù)數(shù)據(jù)冗余、分類多的情況，選擇核函數(shù)為SVM 提供支撐。采用人為設(shè)定的方式設(shè)置懲罰函數(shù)，對懲罰系數(shù)和核函數(shù)進(jìn)行優(yōu)化，尋找最佳的組合。基于粒子群算法能夠優(yōu)化SVM 參數(shù)，從而快速找到最佳參數(shù)組合。優(yōu)化方式設(shè)定最佳組合初始化（C，g），采用網(wǎng)格搜索的方式獲取數(shù)據(jù)，根據(jù)粒子位置進(jìn)行計算，獲取最佳的位置與速度并進(jìn)行更新；達(dá)到條件后，分析是否能夠終止條件，如果不能返回到計算單元，繼續(xù)尋找最佳的粒子位置。如果滿足條件，則將初始值帶入SVM 模型中，進(jìn)行最后的測試；根據(jù)SVM 模型測試分析可行性，不可行返回最初探索階段，符合則完成探索，輸出最終的檢測結(jié)果，保障網(wǎng)絡(luò)系統(tǒng)安全。

網(wǎng)絡(luò)入侵?jǐn)?shù)據(jù)通常具有較高維度，無法保證數(shù)據(jù)集中維度特征能對數(shù)據(jù)標(biāo)識產(chǎn)生影響。為了解決上述問題，建議首先通過收集用戶行為數(shù)據(jù)的方式，對數(shù)據(jù)進(jìn)行整合，在此基礎(chǔ)上，結(jié)合分析模塊的特點(diǎn)，對整合后的數(shù)據(jù)進(jìn)行分析，采取多種方法，為數(shù)據(jù)特征的明確奠定基礎(chǔ)。大量冗余維度不僅占用資源，還導(dǎo)致檢測精度降低，而數(shù)據(jù)集特征選擇，對網(wǎng)絡(luò)入侵檢測來說，則有重要作用。選擇優(yōu)質(zhì)的特征子集，能夠保證原始數(shù)據(jù)被覆蓋，提升模型的綜合能力。特征選擇是從原始數(shù)據(jù)進(jìn)行，完成特征子集抽取過程，選擇的子集對原始數(shù)據(jù)有較大影響。選擇特征能夠減緩噪聲特征，提取具有能力更完備的特征，從而提高檢測精度。需要注意的是，在特征選擇的過程中，保證系統(tǒng)能夠響應(yīng)較為重要，當(dāng)出現(xiàn)特征一致的數(shù)據(jù)時，系統(tǒng)需要通知管理員對其進(jìn)行及時處理。

根據(jù)生成數(shù)據(jù)代替原本的數(shù)據(jù)集：A= X+βX+βX+（=1，2，…，）（〈〈）。遠(yuǎn)小于。以個主成分作為新的數(shù)據(jù)向量，取代原始數(shù)據(jù)。降低數(shù)據(jù)整體維度，提升檢測速度。

當(dāng)主成分分析法維度降低后，計算協(xié)方差矩陣，占用的內(nèi)存普通內(nèi)存難以滿足，會導(dǎo)致取讀過程緩慢，無法在短期內(nèi)處理。采用塊取讀模式，運(yùn)行時間消耗過多，依舊無法滿足需求。因此，針對主成分分析法進(jìn)行改進(jìn)。保證預(yù)期結(jié)果的同時，對主成分?jǐn)?shù)據(jù)盡可能地壓縮，減少數(shù)據(jù)維數(shù)，保證內(nèi)存占用率低并滿足運(yùn)行需求。結(jié)合主成分算法提取特征，將大量冗余的數(shù)據(jù)篩除掉。利用提取特征的方法，實(shí)現(xiàn)進(jìn)一步降維操作。

經(jīng)過改進(jìn)后的主成分分析法，能夠縮短降維時間，與以往的降維操作相比有明顯提升，見表1。表1 中將降維前后6 次試驗(yàn)進(jìn)行對比，與傳統(tǒng)降維相比縮短了時間，最大程度地保留了信息量，效果明顯優(yōu)于改進(jìn)前的方法，為后續(xù)任務(wù)節(jié)約更多時間。

表1 降維前后對比（單位：s）

3.3 KDD數(shù)據(jù)集及預(yù)處理

KDD 數(shù)據(jù)集誕生于美國局域網(wǎng)，美國使用KDD 進(jìn)行網(wǎng)絡(luò)入侵檢測評估試驗(yàn)。通過建立網(wǎng)絡(luò)環(huán)境，模擬和攻擊，構(gòu)建更真實(shí)的網(wǎng)絡(luò)環(huán)境。在該過程中，建立了9 周的數(shù)據(jù)收集過程，通過收集原始數(shù)據(jù)與網(wǎng)絡(luò)連接記錄，并對概率進(jìn)行測試。根據(jù)數(shù)據(jù)協(xié)議進(jìn)行傳輸，確保每個網(wǎng)絡(luò)連接都能夠標(biāo)記。在試驗(yàn)后總結(jié)出的數(shù)據(jù)集特征，表現(xiàn)為數(shù)據(jù)量龐大。大量的網(wǎng)絡(luò)數(shù)據(jù)不利于入侵檢測技術(shù)發(fā)揮作用，影響檢測性能評價。此外，數(shù)據(jù)量較大不利于計算。同時數(shù)據(jù)記錄特征復(fù)雜，難以提取特征。盡管有較多特征，KDD依舊為現(xiàn)代網(wǎng)絡(luò)入侵檢測提供原始數(shù)據(jù)，為后續(xù)工作進(jìn)行提供方便。經(jīng)過改編后的數(shù)據(jù)集，能否應(yīng)用在現(xiàn)代化網(wǎng)絡(luò)環(huán)境中，還需要不斷探究。基于原始數(shù)據(jù)集處理方式，對未來數(shù)據(jù)集收集與處理提供有價值的參考。

3.4 試驗(yàn)結(jié)果與分析

試驗(yàn)選擇檢測模型相對關(guān)鍵，由于模型性能并不能通過單一方向思考，因此需要根據(jù)檢測精度、時間等綜合指標(biāo)進(jìn)行選擇。在選擇試驗(yàn)參數(shù)與環(huán)境時，考慮到KDD 原始數(shù)據(jù)集冗余數(shù)據(jù)多的問題，采用kddcup.data_10_percent 作為訓(xùn)練集。保證計算機(jī)內(nèi)存在8GB 以內(nèi)，使用英特爾處理器進(jìn)行試驗(yàn)。為了保證試驗(yàn)評估模型算法準(zhǔn)確，對傳統(tǒng)數(shù)據(jù)集降維的數(shù)據(jù)進(jìn)行檢測，再對技術(shù)水平后的數(shù)據(jù)集降維檢測。基于同等條件下的不同數(shù)據(jù)，檢測入侵檢測技術(shù)水平是否提升。經(jīng)過參數(shù)設(shè)定和算法選定，對數(shù)據(jù)集KDD 進(jìn)行轉(zhuǎn)化?；谔嵘昂蟮臄?shù)據(jù)集數(shù)據(jù)進(jìn)行模擬試驗(yàn)對比，得出提升后的入侵檢測技術(shù)更加有效，能夠提升檢測數(shù)據(jù)與精度，保證網(wǎng)絡(luò)安全檢測質(zhì)量。

4 結(jié)論

綜上所述，網(wǎng)絡(luò)入侵行為對計算機(jī)網(wǎng)絡(luò)安全產(chǎn)生影響，現(xiàn)階段入侵檢測技術(shù)為了提升防火墻的防御等級，選用了IDS 技術(shù)，為防火墻防御能力提供屏障，在各大企業(yè)的計算機(jī)網(wǎng)絡(luò)中，也得到廣泛的應(yīng)用與推廣。由于現(xiàn)有入侵檢測技術(shù)難以揪出病毒，因此未來為了保障網(wǎng)絡(luò)運(yùn)行安全，需要建立更完善的技術(shù)，對網(wǎng)絡(luò)系統(tǒng)進(jìn)行檢測，防止外來入侵。入侵檢測技術(shù)在保障網(wǎng)絡(luò)安全方面發(fā)揮了重要的作用，在未來計算機(jī)網(wǎng)絡(luò)發(fā)展過程中，也將持續(xù)性地發(fā)揮重要作用。將入侵檢測技術(shù)的挖掘作用，充分應(yīng)用于網(wǎng)絡(luò)防護(hù)中，提升入侵檢測技術(shù)工作效率，保障計算機(jī)網(wǎng)絡(luò)運(yùn)行安全。