基于人工智能技术的网络入侵检测方法

卜旭 李蓉 广东农工商职业技术学院

前言

所谓入侵检测，简单来讲，就是基于不对网络性能带来影响的前提下，通过分析和手机计算机或者是计算机系统中关键点信息，然后在这些关键点信息中找到网络或系统在运行过程中可能存在的违反相关安全规定行为以及遭受攻击行为的情况，并收集相关的入侵证据信息，以此为之后开展数据恢复以及处理事故时提供相应的数据依据。下文基于人工智能技术，对当前应用比较常见的网络入侵检测方法进行详细探讨。

一、统计分析

关于统计分析这一网络入侵检测方法，首先由异常检测器对目标行为进行相应观察，然后生出一个框架，该框架不需要过多空间进行存储和更新。随着时间的增长，统计数据也随着得到一定的更新，这时候计算机系统也会随着周期性规律产生新的数据信息作为异常度的表示，而这种表示数值是根据某些具有独立特征的方式衍生出来的一种子异常度函数，由系统根据当前用户行为获取。从整体上来看统计分析方式，该种方式是当前入侵检测系统中应用比较常见的产品化检测方式，相比较其他检测方法更为成熟，其具有“学习”用户习惯的优势特征，因此有更高的检出率和可用性；但也有相应的缺陷，“学习”用户这一特征给入侵者侵略机会，通过逐步对入侵事件进行“训练”，使其符合正常操作时的统计规律，最后入侵检测系统。

二、匹配

（一）简单模式匹配

具体来讲，就是通过转变入侵特征代码的方式，将其转为与审计记录之间相符的一种模式。这种模式不可与其他模式产生冲突，同时还可以识别出其变种。具体来讲，当产生新的审计事件，通过采用比较简单的模式进行匹配，以此来找到与其之间相匹配的一种已知性入侵模式，若两者匹配就会报警。模式可以随需要进行增加或删减，不会对已有模式匹配带来影响，也可不进行依赖关系构建。

（二）基于规则的检测

相比较于上述简单模式匹配，两者不同的地方就在于前者匹配入侵模式；后者匹配正常模式，通过该种检测方法进行网络入侵检测时，需要将时间序列及其相互联系考虑其中。通过对用户行为进行观察，以此来产生相应的规则集，并进行用户轮廓框架构建，并采取动态化方式对系统规则进行相应修改，使其具备更好的预测性和准确度。若所观察的事件，在序列匹配规则上所处位置在左侧，则后续事件与预测事件相背离，这时候系统就会将这种偏离情况检测出来，表明用户处于异常操作状态。这种方法能够对各种形式用户行为进行有效处理；通过对其中少部分存在关联性的安全事件采取集中的方式进行考察，而不是通过对可以进行会话过程的登陆进行重点关注；如果在检测过程中检测结果为系统受到攻击情况下，其具有非常强的灵敏度等优势。

（三）基于模型的检测

具体指的是该系统具有攻击情节数据库。若每次进行一套完整的攻击后，都应该会包含相应的攻击序列行为，如果怀疑某个时刻遭受攻击，对处于这种状态下，该系统则会因此生出与之相应的攻击情节子集，之后就会在整个储存系统中对与之相配的子集进行搜集，若搜集后的子集匹配成功后，就会接纳受到攻击的情节子集，反之拒绝。所谓子集，简单来讲就是攻击行为的序列模型，一个情节与一个行为相对应，结合现行活跃模型，预测其还会对未来可能发生的行为进行相应预测，然后将预测结果上报至系统或管理员，对于是否需要将预测后的行为记录归纳整理在系统独立日志部分，通常由相关管理员所决定。而发生时间就是对匹配模型、攻击清洁两者进行相应的检验以及更新，若存在攻击情况下，不仅仅会对某方面的攻击清洁起到正确累计作用，同时也会对其起到某种否定情节的作用。若匹配到的模型发生攻击行为，则该模型会添加至活跃模型库。以此对活跃模型表进行持续不断更新，换句话说，在事件出现过程中，提升系统攻击情节发生率就是活跃模型表中所在关键之处。

（四）基于图形的检测

所谓图形监测，就是系统为其需要进行检测的主机及其活动而建立的相应图形。例如蠕虫入侵，第一步从主机1进行入侵，对主机2和主机3进行攻击，攻击的两条链接都会进行相应的建立，并且都会报告至GrIDS，GrIDS就会以图形的方式对两个连接进行记录，若未来一段时间内，主机1、2、3没有出现任何动静，该图形就会自动化消失；相反，若蠕虫快速向主机4、5以及其他主机进行传播，这时候链接就会被记录下并构造图，同时该链接产生时间以及其他相关参数信息也都会由系统进行相应记录，若从时间的角度来看，链接相靠时间相对比较接近情况下，则说明入侵几率越大，这个图就会保存于数据库中，若该图再次出现，则系统会认定其为蠕虫，对于其他形式的攻击行为也会被系统定义成一张图，或者图中某些参数信息。除时间之外，还有端口、目标地址等都可表示其他入侵类型。

（五）基于状态转移的检测

该模型是以高层次语义为前提进行检测，能够实现预测未来这一功能。基于以下两种假设进行检测：其一，发生入侵这一行为应在出现入侵行动前就采取某些行动，例如TCPIP端口扫描等；其二。行动产生前没有能力，如果获取到主机回复的数据信息，则需要明确主机服务类型。发生一次入侵行动，则该行动就会被系统定义为是其中某个入侵行为序列，由状态模型初始直至结束，状态不断转移，若遇到的关键状态是已经提前定义好的情况下，则表明发生入侵行为。从理论上来讲，通过运用状态转移分析这种检测方法进行网络入侵检测，通过将攻击表示为一系列被监控系统状态转移，攻击状态与系统状态两者相对应，与此同时也会有状态转移条件判断，事件类型不需要全部与审计中的相关记录对应。因此攻击模式只会对事件序列进行相应说明，，不适应更复杂事件中。

三、贝叶斯检测

对于贝叶斯检测方式，其建立方式是以各个变量之间存在概率关系来构建的一种图论模型，因此采用该检测方式可对入侵检测系统中不确定问题进行相应解决。换句话说，运用贝叶斯检测方式能够将已发生入侵行为最大可能行为序列与已知序列两者相对比，从中获取可能性最大的入侵类型，其具有速度快、准确度高的数据处理优势。I表示为系统受到入侵行为，a1、a2...an表示为观测到的数 据，根 据 条 件 概 率 推 出：P(I|a1，a2，...，an)=[P(a1，a2，...，an|I)*P(I)]/[P(a1，a2，...，an)].若各个事件之间发生条件概率上处于相互独立状态，运用朴素贝叶斯进行分类；若各事件存在明显依赖性，那么通过运用贝叶斯信念网络对其进行相应的分类。在运用贝叶斯网络进行网络入侵检测时，其统一随机变量之间进行因果关系的表示，以图表形式表示各变量关系，各随机变量取决于其周围变量，对于其中所有根据都具备初始概率，其他节点属于根节点的条件概率，DAG图表示贝叶斯网络图，若网络图中部分节点概率所处情况处于可知状态下，则其他便处于可求状态，通过贝叶斯网络检测方式能够为给定数据的类型数量进行自动确定，同时对停止条件、分类标准等方面也没有其他比较特殊性的要求，具有对离散和连续属性的处理能力，还可对新出现的未知性入侵形式进行学习和识别等方面的应用优势。

四、人工神经网络

所谓人工神经网络，就是对人脑的加工信息、存储信息以及处理信息机制进行相应模拟，从而产生的具有智能特征的信息处理技术。该种类型检测方式具有概括抽象、学习性以及自适应等方面的并行计算能力。通过运用有序信息单元训练神经网络，经过相应训练后，神经网络就会根据现有行为活动、过去行为活动序列两方面的信息，来对将来行为活动进行相应预测。基于一些比较典型的用户活动来对神经网络进行相应的训练，通过这种构建用户活动框架，然后借助专家系统对其进行神经网络训练入侵模式、正常模式两者进行相应的比对和匹配。

五、遗传算法

所谓遗传算法，简单来讲就是以自然选择为前提和基础，通过模拟生命进化机制的方式来进行优化方法的搜索。在这个过程中，对于自然选择和遗传过程中的复制、交换以及变异等现象进行模拟，然后对空间进行相应搜索，就会将其映射到相应的遗传空间中，然后将各个可能编码为向量，对此可将其称为染色体向量。在向量中的元素，可将其称为基因，根据之前已经预定好的评价函数对染色体进行相应评价，并结合评价结构给出适应度数值。将系统中全部染色体组成群体形式，然后由种群开始，通过对其进行随机选择、交叉以及变异操作后，就会产生更适应环境的新个体，而原有的性能不佳染色体就会因此遭受淘汰处理，形成一种新群体。因新群体在本质上属于上一代中的优秀者，具备上一代中特有的优势特征，通过遗传算法反复迭代，朝向更优质的方向不断发展，直到满足某些优化指标即可。

六、总结

综上所述，从本质上来讲，网络入侵检测技术是以主动的方式保护其自身不受攻击的一种安全技术，一方面，通过该技术对付网络攻击行为，有效起到提升系统管理员在网络安全方面的管理能力；另一方面，起到对信息安全基础结构完整性的提升作用。从人工智能的角度来讲，其作为当前比较热门的研究领域，将其应用于网络入侵检测中，能够很好的解决其中很多检测问题，具有积极性应用意义。