劉 濤

(阜陽(yáng)職業(yè)技術(shù)學(xué)院，安徽 阜陽(yáng) 236031)

校園網(wǎng)入侵檢測(cè)系統(tǒng)中機(jī)器學(xué)習(xí)算法的性能研究

劉 濤

(阜陽(yáng)職業(yè)技術(shù)學(xué)院，安徽 阜陽(yáng) 236031)

文章闡述了機(jī)器學(xué)習(xí)算法中遺傳算法以及貝葉斯分類算法的概念，以及校園網(wǎng)入侵檢測(cè)系統(tǒng)的基本構(gòu)架。分析了基于機(jī)器算法中遺傳算法和學(xué)習(xí)算法的校園網(wǎng)入侵檢測(cè)系統(tǒng)優(yōu)化策略，并對(duì)其他機(jī)器算法的應(yīng)用性進(jìn)行了系統(tǒng)的研究。

校園網(wǎng)；入侵檢測(cè)系統(tǒng)；機(jī)器學(xué)習(xí)算法；性能研究

隨著現(xiàn)代信息化技術(shù)的發(fā)展，信息化技術(shù)在高校教育領(lǐng)域被廣泛應(yīng)用，同時(shí)高校網(wǎng)絡(luò)系統(tǒng)的安全與穩(wěn)定也成為了校園網(wǎng)入侵檢測(cè)系統(tǒng)的重要課題。高校校園網(wǎng)絡(luò)平臺(tái)的建立，不僅能夠?qū)崿F(xiàn)高校與外界的知識(shí)資源互動(dòng)，而且為各學(xué)科的教學(xué)活動(dòng)提供便利的網(wǎng)路教學(xué)平臺(tái)。校園網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)能夠保證廣大師生對(duì)校園網(wǎng)絡(luò)平臺(tái)的正常使用，以及校園網(wǎng)絡(luò)平臺(tái)的網(wǎng)絡(luò)安全。隨著網(wǎng)絡(luò)安全狀況日趨復(fù)雜化，以及校園內(nèi)部對(duì)網(wǎng)絡(luò)平臺(tái)功能型要求的提升，校園網(wǎng)入侵檢測(cè)系統(tǒng)不斷進(jìn)行著更加科學(xué)而有效的優(yōu)化，將性能更穩(wěn)定、效率更高的機(jī)器學(xué)習(xí)算法融入到入侵檢測(cè)系統(tǒng)的構(gòu)建當(dāng)中，使校園網(wǎng)入侵檢測(cè)系統(tǒng)的性能日益提升。

1 機(jī)器學(xué)習(xí)技術(shù)的主要算法

1.1 遺傳算法

機(jī)器學(xué)習(xí)技術(shù)中的遺傳算法是Mendel遺傳學(xué)和Darwin進(jìn)化論核心概念構(gòu)成的，運(yùn)算程序進(jìn)程中可以在沒有問題導(dǎo)向的前提下進(jìn)行直接搜索。遺傳算法將待解決的問題編碼成位，被編碼的個(gè)體單位稱之為基因，而遺傳算法中的編碼序列被稱為串(染色體)。雖然遺傳算法在長(zhǎng)期的實(shí)踐應(yīng)用過程中不斷地得到完善，但是其傳統(tǒng)的基因算法沒有改變，其運(yùn)算原理是：編碼是最先開展的運(yùn)算行為，將解數(shù)據(jù)轉(zhuǎn)變成為基因型串?dāng)?shù)據(jù)，這種必要的轉(zhuǎn)換過程導(dǎo)致初始群體的形成〔1〕。在這個(gè)階段結(jié)束以后，利用系統(tǒng)適應(yīng)度函數(shù)對(duì)初始群體中每一個(gè)個(gè)體的適應(yīng)度進(jìn)行量化的計(jì)算，作為個(gè)體解的優(yōu)勢(shì)。之后的跌送過程中包含循環(huán)選擇、交叉以及變異，在最終的繁殖和變異程序中產(chǎn)生新的問題或非問題解決方案。

1.2 貝葉斯分類算法

數(shù)據(jù)挖掘以及機(jī)器學(xué)習(xí)中包含很多優(yōu)秀的算法，其中貝葉斯分類算法是運(yùn)算程序相對(duì)更加完善的算法，是優(yōu)化入侵檢測(cè)系統(tǒng)的重要方式〔2〕。在機(jī)器學(xué)習(xí)技術(shù)中，貝葉斯分類算法是一種無監(jiān)督學(xué)習(xí)模式。經(jīng)實(shí)踐證實(shí)，普通(樸素)貝葉斯分類算法能夠準(zhǔn)確地對(duì)問題進(jìn)行運(yùn)算和分析預(yù)測(cè)，其預(yù)測(cè)能力相當(dāng)于決策樹，且具有比其他算法更強(qiáng)的學(xué)習(xí)能力。貝葉斯分類的假設(shè)性運(yùn)行判斷是：對(duì)于已經(jīng)特定給予的類，其包含所有屬性都是以相對(duì)獨(dú)立的形式進(jìn)行分布的。

2 校園網(wǎng)入侵檢測(cè)系統(tǒng)

2.1 校園網(wǎng)入侵檢測(cè)系統(tǒng)的基本構(gòu)架

IDS按照功能劃分為：事件探測(cè)采集子系統(tǒng)、數(shù)據(jù)庫(kù)管理子系統(tǒng)、響應(yīng)子系統(tǒng)、數(shù)據(jù)分析子系統(tǒng)。校園網(wǎng)的系統(tǒng)控制平臺(tái)將用戶應(yīng)用層數(shù)據(jù)與入侵檢測(cè)檢測(cè)系統(tǒng)的程序運(yùn)行進(jìn)行空間內(nèi)的銜接，使校園網(wǎng)入侵檢測(cè)系統(tǒng)中各子系統(tǒng)通過相互協(xié)調(diào)運(yùn)行對(duì)用戶應(yīng)用層數(shù)據(jù)進(jìn)行運(yùn)算、分析以及統(tǒng)計(jì)，并最終做出問題判斷。

2.2 校園網(wǎng)入侵檢測(cè)系統(tǒng)中的子系統(tǒng)原理

1)事件探測(cè)采集子系統(tǒng)

根據(jù)CIDF規(guī)范，網(wǎng)絡(luò)傳輸中的數(shù)據(jù)包以及System Log中獲取的信息是在IDS中需要分析的數(shù)據(jù)，這些數(shù)據(jù)被IDS統(tǒng)稱為事件。事件探測(cè)采集子系統(tǒng)在整體IDS中具有重要的意義，將收集并分析的所有事件傳送到其他IDS子系統(tǒng)中。事件探測(cè)采集子系統(tǒng)雖然是IDS中基層的組織，卻是IDS實(shí)現(xiàn)整體運(yùn)行功能的重要部分，承擔(dān)著事件的收集功能，對(duì)事件的收集必須要具有一定的范圍性與有效性，避免由于信息遺漏而造成IDS功能失誤進(jìn)而影響校園網(wǎng)平臺(tái)的安全。

2)數(shù)據(jù)分析子系統(tǒng)

數(shù)據(jù)分析子系統(tǒng)是IDS的重點(diǎn)，功能強(qiáng)大且具有實(shí)效性的數(shù)據(jù)分析子系統(tǒng)需要設(shè)計(jì)者進(jìn)行科學(xué)而系統(tǒng)的開發(fā)才能實(shí)現(xiàn)。開發(fā)并建設(shè)數(shù)據(jù)分析子系統(tǒng)需要堅(jiān)持三個(gè)主要原則，這三個(gè)原則同時(shí)也是優(yōu)化數(shù)據(jù)分析子系統(tǒng)的數(shù)據(jù)分析功能的要點(diǎn)。首先，優(yōu)化算法的設(shè)計(jì)以及監(jiān)測(cè)模型能夠保證數(shù)據(jù)分析子系統(tǒng)的執(zhí)行效率。其次，包容性以及可擴(kuò)展性是制定安全規(guī)則必須充分考慮的，能夠提高數(shù)據(jù)分析子系統(tǒng)的伸縮性。最后，為避免消息格式的不規(guī)范，報(bào)警消息必須按照標(biāo)準(zhǔn)格式設(shè)計(jì)，進(jìn)而增強(qiáng)系統(tǒng)的相互操作與共享能力。

3)響應(yīng)子系統(tǒng)

響應(yīng)子系統(tǒng)在IDS中發(fā)揮著重要的功能。首先按照定義方式對(duì)安全事件進(jìn)行系統(tǒng)的記錄，如出現(xiàn)危險(xiǎn)狀況將產(chǎn)生報(bào)警信息。對(duì)于事件的操作進(jìn)行附加日志的記錄，在出現(xiàn)入侵情況下隔離入侵者，并終止入侵者的數(shù)據(jù)入侵進(jìn)程，禁止入侵?jǐn)?shù)據(jù)與受害者的端口進(jìn)行鏈接。

4)數(shù)據(jù)庫(kù)管理子系統(tǒng)

數(shù)據(jù)庫(kù)管理子系統(tǒng)的數(shù)據(jù)庫(kù)用來儲(chǔ)存數(shù)據(jù)分析系統(tǒng)分析或操作過的數(shù)據(jù)，這些數(shù)據(jù)將被用于管理員的調(diào)用查看，以及在入侵危險(xiǎn)事件發(fā)生以后進(jìn)行取證。

3 基于機(jī)器學(xué)習(xí)算法建立的校園網(wǎng)入侵檢測(cè)系統(tǒng)

3.1 基于機(jī)器學(xué)習(xí)算法的校園網(wǎng)入侵檢測(cè)系統(tǒng)的設(shè)計(jì)

1) 機(jī)器學(xué)習(xí)模塊：機(jī)器學(xué)習(xí)模塊是入侵檢測(cè)系統(tǒng)的構(gòu)成核心，通過對(duì)外部環(huán)境數(shù)據(jù)進(jìn)行精確的檢測(cè)與分析，對(duì)IDS的整體性能提升具有顯著的作用。

2) 網(wǎng)絡(luò)數(shù)據(jù)包捕獲模塊：入侵檢測(cè)系統(tǒng)在監(jiān)視和驗(yàn)證網(wǎng)絡(luò)流量以及對(duì)IDS整體工作狀態(tài)監(jiān)督時(shí)，網(wǎng)絡(luò)數(shù)據(jù)包捕獲模塊發(fā)揮著積極作用。IDS設(shè)計(jì)的核心是在實(shí)現(xiàn)在網(wǎng)絡(luò)信息傳播渠道中獲取并分析不同協(xié)議層上的數(shù)據(jù)包，所以網(wǎng)絡(luò)數(shù)據(jù)包捕獲模塊是入侵檢測(cè)系統(tǒng)能夠高效工作的基礎(chǔ)。

3) 數(shù)據(jù)預(yù)處理模塊：將網(wǎng)絡(luò)數(shù)據(jù)包模塊的數(shù)據(jù)進(jìn)行整合處理，并對(duì)數(shù)據(jù)包進(jìn)行一定程度的適應(yīng)性修改，進(jìn)而實(shí)現(xiàn)各系統(tǒng)對(duì)數(shù)據(jù)包的操作。預(yù)處理就是指對(duì)數(shù)據(jù)進(jìn)行預(yù)先操作，是入侵檢測(cè)系統(tǒng)后期處理工作的前期銜接部分。

4) 誤用規(guī)則處理模塊：誤用規(guī)則處理模塊是將IDS系統(tǒng)規(guī)則作為參照，對(duì)各環(huán)節(jié)的數(shù)據(jù)操作誤用進(jìn)行檢測(cè)的功能模塊。將數(shù)據(jù)庫(kù)中數(shù)據(jù)模式規(guī)則與已知的網(wǎng)絡(luò)入侵?jǐn)?shù)據(jù)作為既定規(guī)則，對(duì)新收集到的信息進(jìn)行對(duì)比與分析，從中發(fā)現(xiàn)非安全行為，從而保證了入侵檢測(cè)系統(tǒng)較之以前更為準(zhǔn)確和高效。

3.2 遺傳算法在校園網(wǎng)入侵檢測(cè)系統(tǒng)中的使用

遺傳算法在理念上是基于生物基因的遺傳和變異原理而形成的，為入侵檢測(cè)系統(tǒng)的優(yōu)化提供了更具優(yōu)越性的檢測(cè)異?，F(xiàn)象能力。遺傳算法在事件探測(cè)采集子系統(tǒng)中能夠幫助系統(tǒng)程序在數(shù)據(jù)獲取范圍以及真實(shí)有效性上進(jìn)行功能優(yōu)化。根據(jù)遺傳算法原理，外部環(huán)境數(shù)據(jù)經(jīng)過程序處理后形成基因串?dāng)?shù)據(jù)。數(shù)據(jù)形成基因串之后體現(xiàn)為網(wǎng)絡(luò)數(shù)據(jù)包模式，便于各子系統(tǒng)之間的操作與傳遞，對(duì)事件探測(cè)采集系統(tǒng)的信息捕獲功能進(jìn)行了有效的強(qiáng)化。遺傳算法使數(shù)據(jù)分析子系統(tǒng)能夠?qū)?shù)據(jù)包進(jìn)行更有效的分析操作。由于遺傳算法對(duì)每一個(gè)個(gè)體數(shù)據(jù)進(jìn)行適應(yīng)度的計(jì)算，使得數(shù)據(jù)分析子系統(tǒng)對(duì)數(shù)據(jù)包的分析更加具體也更加準(zhǔn)確，并可以對(duì)信息數(shù)據(jù)進(jìn)行一定程度的預(yù)判。遺傳算法提高了檢測(cè)模型的識(shí)別率，其原理基于基因的排他性原則，對(duì)于非系統(tǒng)規(guī)則外的具有入侵性質(zhì)的信息數(shù)據(jù)進(jìn)行適應(yīng)度否定的判斷，從而實(shí)現(xiàn)信息數(shù)據(jù)在IDS數(shù)據(jù)分析系統(tǒng)環(huán)節(jié)中被有效分辨。遺傳算法在建立入侵檢測(cè)系統(tǒng)中的核心優(yōu)勢(shì)是遺傳算法的精密性，能夠極大地提高入侵檢測(cè)系統(tǒng)的安全性以及穩(wěn)定性。

3.3 貝葉斯分類算法在校園網(wǎng)入侵檢測(cè)系統(tǒng)中的使用

貝葉斯分類算法是眾多機(jī)器學(xué)習(xí)算法中綜合性優(yōu)勢(shì)較高的算法，同時(shí)也是在各領(lǐng)域的IDS中應(yīng)用比較廣泛的算法。入侵檢測(cè)系統(tǒng)的審計(jì)機(jī)制能全面、系統(tǒng)地對(duì)事件進(jìn)行記錄，從而實(shí)現(xiàn)對(duì)外部信息數(shù)據(jù)的入侵檢測(cè)。貝葉斯分類能夠?qū)?shù)據(jù)包進(jìn)行更有效、更精準(zhǔn)的劃分，提高各子系統(tǒng)之間數(shù)據(jù)操作的效率，從而使IDS的整體運(yùn)行更加效率化〔3〕。貝葉斯分類算法利用信息數(shù)據(jù)中的關(guān)聯(lián)分析以及序列模式分析，改善了誤用規(guī)則處理模塊的性能。能夠更準(zhǔn)確、更及時(shí)地自動(dòng)識(shí)別外部環(huán)境的信息入侵事件，使數(shù)據(jù)預(yù)處理模塊以及誤用規(guī)則模塊具有準(zhǔn)確的數(shù)據(jù)操作能力，進(jìn)而實(shí)現(xiàn)入侵檢測(cè)系統(tǒng)本質(zhì)上的優(yōu)化。尤其是貝葉斯算法中的TAN算法，通過對(duì)數(shù)據(jù)屬性對(duì)之間的依賴關(guān)系來降低屬性間獨(dú)立的假設(shè)，從而以高強(qiáng)度的信息分辨能力大大提升了誤用規(guī)則處理模塊的能力，這也是在入侵檢測(cè)系統(tǒng)使用貝葉斯算法后最明顯的優(yōu)化。

3.4 其他優(yōu)秀算法

機(jī)器學(xué)習(xí)算法中除了遺傳基因算法和貝葉斯算法以外還有很多優(yōu)秀算法，對(duì)建立校園網(wǎng)入侵檢測(cè)系統(tǒng)也具有不同程度的建設(shè)性作用。其中人工神經(jīng)網(wǎng)絡(luò)(ANN)是模擬人腦處理信息的模式而提煉出來的智能化信息處理技術(shù)，人工神經(jīng)網(wǎng)絡(luò)是由大量的神經(jīng)元構(gòu)成的高度互聯(lián)的網(wǎng)絡(luò)系統(tǒng)，實(shí)現(xiàn)新信息進(jìn)入網(wǎng)絡(luò)以后的輸入與輸出的映射關(guān)系。人工神經(jīng)網(wǎng)絡(luò)能夠降低異常檢測(cè)系統(tǒng)的檢測(cè)失誤率，同時(shí)能夠?qū)σ呀?jīng)檢測(cè)的入侵信息進(jìn)行有效識(shí)別，避免誤用檢測(cè)系統(tǒng)的錯(cuò)報(bào)與誤報(bào)行為發(fā)生。基于人工神經(jīng)網(wǎng)絡(luò)建立的入侵檢測(cè)系統(tǒng)能夠處理噪聲數(shù)據(jù)，能顯著提升誤用規(guī)則處理模塊的準(zhǔn)確性，但是對(duì)于未知入侵模式的防御與分辨能力卻效果不佳，同時(shí)人工神經(jīng)網(wǎng)絡(luò)的結(jié)構(gòu)過于復(fù)雜，缺少穩(wěn)定性，學(xué)習(xí)時(shí)間過長(zhǎng)，相對(duì)于遺傳算法和貝葉斯算法效率較低。人工免疫系統(tǒng)(AIS)是從生物免疫系統(tǒng)的構(gòu)造原理中提煉出來的計(jì)算范式，善于對(duì)于復(fù)雜的事件問題進(jìn)行精確的求解，其在IDS中的運(yùn)作原理是準(zhǔn)確區(qū)分“自我”與“非我”。“自我”是指在IDS數(shù)據(jù)庫(kù)中已經(jīng)按照設(shè)計(jì)規(guī)則設(shè)定的數(shù)據(jù)模式， “非我”是指原則以外的可能存在風(fēng)險(xiǎn)的外部環(huán)境信息數(shù)據(jù)。人工免疫系統(tǒng)具有一定的自適應(yīng)性，滿足IDS分布性、低消耗性的要求，具有極強(qiáng)的自動(dòng)應(yīng)答和自我修復(fù)特征，從而為IDS建立多級(jí)防御來對(duì)外界的數(shù)據(jù)入侵進(jìn)行防御與一定程度的自我修復(fù)。但是人工防疫系統(tǒng)算法缺乏遺傳算法和貝葉斯分類算法的高效性，也缺乏貝葉斯分類算法的準(zhǔn)確性，雖然具備一定修復(fù)功能優(yōu)勢(shì)，但對(duì)入侵檢測(cè)系統(tǒng)綜合性能的提升相對(duì)前兩者更低一些。

〔1〕王旭仁，許榕生.基于機(jī)器學(xué)習(xí)的入侵檢測(cè)系統(tǒng)研究〔J〕.計(jì)算機(jī)工程,2006,(14):52-55.

〔2〕蔣道霞.入侵檢測(cè)系統(tǒng)的規(guī)則研究與基于機(jī)器學(xué)習(xí)的入侵檢測(cè)系統(tǒng)模型〔J〕.現(xiàn)代電子技術(shù),2005,(17):34-37.

〔3〕李藝穎,鄧皓文,王思齊,龍軍.基于機(jī)器學(xué)習(xí)和NetFPGA的智能高速入侵防御系統(tǒng)〔J〕.信息網(wǎng)絡(luò)安全,2014,(02):31-35.

Study on the Computer Learning Algorithm for the Incursion Detecting System of Campus Network

LIU Tao

(FuyangCollegeofVocationalTechnology,Fuyang,Anhui, 236031,China)

The paper expounds the concept of hereditary algorithm within computer learning algorithm, and the classified algorithm, as well as the basic frame for the incursion detecting system of campus network, and analyses the optimized tactics of incursion detecting system of campus network based on the hereditary algorithm and learning algorithm.The paper also systematically studies the application of other computer algorithms.

Campus network; Incursion detecting system; Computer learning algorithm; Performance study

1008-3723(2017)03-008-03

10.3969/j.issn.1008-3723.2017.03.004

2017-03-15

安徽省高校自然科學(xué)重點(diǎn)研究項(xiàng)目“基于機(jī)器學(xué)習(xí)的校園網(wǎng)入侵檢測(cè)技術(shù)的研究”(KJ2017A606).

劉濤(1978-)，男，安徽阜陽(yáng)人，阜陽(yáng)職業(yè)技術(shù)學(xué)院副教授，研究方向：計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)、網(wǎng)絡(luò)編程技術(shù).

TP393.08

A