论文部分内容阅读
摘 要:随着网络通信数据的几何增长,基于人为分析的网络入侵检测方法限制了系统的自动检测能力。软计算模拟技术可以有效地提高分析系统的能力,其中基于机器学习的方法可以进行网络入侵自动检测。这些技术都是基于网络数据的统计分析,数据处理算法可以使用先前发现的数据模式,对网络通信的新数据模式做出决策。本文探讨了智能网络入侵检测系统中应用的多种软计算技术和机器学习方法,为建立一个健壮的智能网络入侵检测系统奠定基础,从而获得高效的网络入侵检测与防御系统。
关键词:入侵检测;机器学习;网络通信;软计算
中图分类号:TP393.08
随着互联网的快速发展,通信网络和信息系统成为一个脆弱的容易受到多种网络类型攻击的对象,网络安全变得越来越受关注。网络安全的威胁日益增加,基于智能网络建立一个高效的入侵检测与防御系统非常必要。网络入侵检测已经成为涉及网络安全的主要研究课题,因特网环境中存在多种网络攻击风险,同时有多种预防网络攻击的系统,特别是基于入侵检测的网络防御系统[1,2]。
1 签名检测与异常检测
签名检测的工作原理是对观察签名与数据库签名进行比较。所有签名模式是通过从监测环境的数据包中提取特征匹配数据库中的签名,如果标记为违反安全政策的,则作为一个攻击。签名检测可以有效地防止已知攻击或侵犯,但它无法检测新的攻击,直到它的签名已更新[3]。基于签名的入侵检测系统具有计算量小和预处理的特点。
异常检测能够检测到新的攻击或任何新的潜在攻击。它通过构建配置文件代表正常行为,然后将它与当前的行为进行比较匹配。基于异常检测的机制可以对任意通信进行判定,特别善于对网络硬件识别扫描和探测。这类系统针对从端口异常和网络异常中检测到任意错误所形成的攻击[4]。
每个检测方法都有一定的局限性。签名检测技术无法检测到即时攻击,基于异常的检测技术通过对不同应用区域的特征提取,则会产生较高的误报率。异常检测系统是基于机器学习技术,有些采用单一的学习技术,如神经网络、遗传算法、支持向量机等,也有些系统综合不同的机器学习技术。
2 机器学习技术
基于机器学习技术的异常入侵检测系统从数据中进行学习,从而建立一个可对潜在数据进行分析的决策系统。
(1)神经网络。神经网络模型可以在特征空间中对分类问题形成决策边界,从而构建非线性判别函数。在用于分类问题时,每个特征向量元素都对应一个输入节点,同时为每个分类对应一个输出节点作为分配的类别。隐层节点与输入节点连接,并且分配初始权值,在神经网络的训练过程中对权值会进行调整。多层感知器的学习算法采用误差反向传播方式,是基于网络计算输出与期望输出之间差异的误差函数。神经网络中节点之间的权值可以通过误差反向传播进行调整,从而降低网络的输出误差。输入/输出神经元根据输入/输出向量进行控制。隐层神经元根据网络性能要求进行调整。
根据观察,神经网络训练时间较长的一个主要原因是网络训练中的数据量巨大。但此类入侵检测系统可以对攻击类型进行在线分类。
(2)支持向量机。
(3)遗传算法。遗传算法的目标是找到优化问题的近似解。遗传算法采用爬山法,选定任意的基因数目,其有四个操作:初始化、选择、交叉和变异。一个单独染色体包含基因对应的属性,如服务、标志、登录与否和超级用户意图。遗传算法能够产生分类规则,同时在检测过程对参数选择优化[6]。
(6)决策树。决策树通常用于分类问题,在该算法中数据集已经经过学习和模型化。决策树算法也同样适用于网络入侵检测。该算法需要在训练数据的基础上进行学习和建立模型。在入侵检测中,决策树模型一个优点是可以处理庞大的数据集。在实时入侵检测中应用效果很好,因为决策树提供了高检测性能,易于模型的构建与解释。决策树模型的另一个的优点是其泛化精度,因为未来总是存在一些新的攻击趋势,通过决策树泛化研究的精度,可以检测到这类攻击。
3 方法对比
上述各种技术都是为了实现高的检测率,但每种技术都有各自的特点。表1给出了各种方法的优缺点。
表1 方法对比
4 结束语
基于机器学习的入侵检测研究已经受到智能计算领域的关注。在入侵检测算法中,需要对大量数据进行分析,以此构建高速网络中增长的攻击数量所适用的新检测规则。入侵检测算法应考虑攻击行为的复杂特征,提高检测速度和精度。分析网络中的大数据、提高检测精度,在基于机器学习的入侵检测中成为一个重要的研究领域。基于机器学习的入侵检测系统的优点是在检测或分类永久性特征中不需要环境反馈。其缺点是如果缺乏可信的正常通信数据,该技术的训练将变得非常困难。入侵检测系统中所采用的任何一个方法都具有自身的优势和劣势,因此在实施入侵检测系统时选择一个特定的方法比较困难。
参考文献:
[1]Singh J,Nene M J.A Survey on Machine Learning Techniques for Intrusion Detection Systems[J].International Journal of Advanced Research in Computer and Communication Engineering,2013(11):4349-4355.
[2]王素香.计算机数据库的入侵检测技术分析[J].计算机光盘软件与应用,2013(01):101+110.
[3]邓辉,梁波,王锋.基于多模匹配改进算法实现特征签名的动态协议探测技术[J].计算机工程与科学,2010(04):36-38.
[4]刘征.异常网络入侵检测技术[J].硅谷,2011(06):42-42.
[5]颜谦和,颜珍平.遗传算法优化的神经网络入侵检测系统[J].计算机仿真,2011(04):141-144.
[6]王晟,赵壁芳.基于模糊数据挖掘和遗传算法的网络入侵检测技术[J].计算机测量与控制,2012(03):660-663.
[7]程传慧,郑秋华.一种基于二层贝叶斯网的网络入侵检测方法[J].武汉理工大学学报:交通科学与工程版,2010(01):171-174.
[8]蒲元芳,杜红乐.决策树在网络入侵检测中的研究与应用[J].数字社区&智能家居,2010(07):1560-1563.
作者简介:田亚娟(1965-),女,陕西长安人,讲师,工科学士学位,研究方向:电子信息及网络工程、智能计算、计算机应用。
作者单位:西安石油大学电子工程学院,西安 710065;西安石油大学财务处,西安 710065;西安石油大学计算机学院,西安 710065
基金项目:基于数据挖掘的高校资产管理信息系统网络安全研究(陕教财[2013]39号)。
关键词:入侵检测;机器学习;网络通信;软计算
中图分类号:TP393.08
随着互联网的快速发展,通信网络和信息系统成为一个脆弱的容易受到多种网络类型攻击的对象,网络安全变得越来越受关注。网络安全的威胁日益增加,基于智能网络建立一个高效的入侵检测与防御系统非常必要。网络入侵检测已经成为涉及网络安全的主要研究课题,因特网环境中存在多种网络攻击风险,同时有多种预防网络攻击的系统,特别是基于入侵检测的网络防御系统[1,2]。
1 签名检测与异常检测
签名检测的工作原理是对观察签名与数据库签名进行比较。所有签名模式是通过从监测环境的数据包中提取特征匹配数据库中的签名,如果标记为违反安全政策的,则作为一个攻击。签名检测可以有效地防止已知攻击或侵犯,但它无法检测新的攻击,直到它的签名已更新[3]。基于签名的入侵检测系统具有计算量小和预处理的特点。
异常检测能够检测到新的攻击或任何新的潜在攻击。它通过构建配置文件代表正常行为,然后将它与当前的行为进行比较匹配。基于异常检测的机制可以对任意通信进行判定,特别善于对网络硬件识别扫描和探测。这类系统针对从端口异常和网络异常中检测到任意错误所形成的攻击[4]。
每个检测方法都有一定的局限性。签名检测技术无法检测到即时攻击,基于异常的检测技术通过对不同应用区域的特征提取,则会产生较高的误报率。异常检测系统是基于机器学习技术,有些采用单一的学习技术,如神经网络、遗传算法、支持向量机等,也有些系统综合不同的机器学习技术。
2 机器学习技术
基于机器学习技术的异常入侵检测系统从数据中进行学习,从而建立一个可对潜在数据进行分析的决策系统。
(1)神经网络。神经网络模型可以在特征空间中对分类问题形成决策边界,从而构建非线性判别函数。在用于分类问题时,每个特征向量元素都对应一个输入节点,同时为每个分类对应一个输出节点作为分配的类别。隐层节点与输入节点连接,并且分配初始权值,在神经网络的训练过程中对权值会进行调整。多层感知器的学习算法采用误差反向传播方式,是基于网络计算输出与期望输出之间差异的误差函数。神经网络中节点之间的权值可以通过误差反向传播进行调整,从而降低网络的输出误差。输入/输出神经元根据输入/输出向量进行控制。隐层神经元根据网络性能要求进行调整。
根据观察,神经网络训练时间较长的一个主要原因是网络训练中的数据量巨大。但此类入侵检测系统可以对攻击类型进行在线分类。
(2)支持向量机。
(3)遗传算法。遗传算法的目标是找到优化问题的近似解。遗传算法采用爬山法,选定任意的基因数目,其有四个操作:初始化、选择、交叉和变异。一个单独染色体包含基因对应的属性,如服务、标志、登录与否和超级用户意图。遗传算法能够产生分类规则,同时在检测过程对参数选择优化[6]。
(6)决策树。决策树通常用于分类问题,在该算法中数据集已经经过学习和模型化。决策树算法也同样适用于网络入侵检测。该算法需要在训练数据的基础上进行学习和建立模型。在入侵检测中,决策树模型一个优点是可以处理庞大的数据集。在实时入侵检测中应用效果很好,因为决策树提供了高检测性能,易于模型的构建与解释。决策树模型的另一个的优点是其泛化精度,因为未来总是存在一些新的攻击趋势,通过决策树泛化研究的精度,可以检测到这类攻击。
3 方法对比
上述各种技术都是为了实现高的检测率,但每种技术都有各自的特点。表1给出了各种方法的优缺点。
表1 方法对比
4 结束语
基于机器学习的入侵检测研究已经受到智能计算领域的关注。在入侵检测算法中,需要对大量数据进行分析,以此构建高速网络中增长的攻击数量所适用的新检测规则。入侵检测算法应考虑攻击行为的复杂特征,提高检测速度和精度。分析网络中的大数据、提高检测精度,在基于机器学习的入侵检测中成为一个重要的研究领域。基于机器学习的入侵检测系统的优点是在检测或分类永久性特征中不需要环境反馈。其缺点是如果缺乏可信的正常通信数据,该技术的训练将变得非常困难。入侵检测系统中所采用的任何一个方法都具有自身的优势和劣势,因此在实施入侵检测系统时选择一个特定的方法比较困难。
参考文献:
[1]Singh J,Nene M J.A Survey on Machine Learning Techniques for Intrusion Detection Systems[J].International Journal of Advanced Research in Computer and Communication Engineering,2013(11):4349-4355.
[2]王素香.计算机数据库的入侵检测技术分析[J].计算机光盘软件与应用,2013(01):101+110.
[3]邓辉,梁波,王锋.基于多模匹配改进算法实现特征签名的动态协议探测技术[J].计算机工程与科学,2010(04):36-38.
[4]刘征.异常网络入侵检测技术[J].硅谷,2011(06):42-42.
[5]颜谦和,颜珍平.遗传算法优化的神经网络入侵检测系统[J].计算机仿真,2011(04):141-144.
[6]王晟,赵壁芳.基于模糊数据挖掘和遗传算法的网络入侵检测技术[J].计算机测量与控制,2012(03):660-663.
[7]程传慧,郑秋华.一种基于二层贝叶斯网的网络入侵检测方法[J].武汉理工大学学报:交通科学与工程版,2010(01):171-174.
[8]蒲元芳,杜红乐.决策树在网络入侵检测中的研究与应用[J].数字社区&智能家居,2010(07):1560-1563.
作者简介:田亚娟(1965-),女,陕西长安人,讲师,工科学士学位,研究方向:电子信息及网络工程、智能计算、计算机应用。
作者单位:西安石油大学电子工程学院,西安 710065;西安石油大学财务处,西安 710065;西安石油大学计算机学院,西安 710065
基金项目:基于数据挖掘的高校资产管理信息系统网络安全研究(陕教财[2013]39号)。