张志利 姚培娟

（黄河科技学院，河南郑州 450063）

综述“互联网+”时代下网络安全异常检测技术

张志利 姚培娟

（黄河科技学院，河南郑州 450063）

近年来，以移动通信、大数据、云计算等新技术为基础，传统行业为内容，互联网为载体，经济发展进入了“互联网+”时代。“互联网+”给人们带来直接的经济和社会效益的同时，也带来了关键性问题——网络安全问题。基于此，介绍已有的网络安全检测模型和算法，以及这些检测技术的优点和缺点，在此基础上优化和研究新的模型和算法，以更好地维护和加强网络安全建设。

异常检测；网络安全；检测算法；“互联网+”

自从互联网出现以来，网络安全问题就一直被大家所关注。特别是近年来，随着互联网的高速发展，经济发展进入了崭新的“互联网+”时代。但在“互联网+”给人们带来直接的经济和社会效益的同时，网络也受到了前所未有的安全威胁。每年全世界因为网络遭受攻击而造成的经济损失达数千亿美元，如何保护数据和资源的安全，免受攻击成为全球面临的刻不容缓的问题。

目前已有的网络安全防范技术——入侵检测技术，分为异常检测和误用检测2种。本文主要讨论异常检测的主要技术和算法。

1 异常检测技术概述

异常检测是通过学习系统、应用程序或者用户等的正常行为习惯，建立特征模式库，然后将用户当前行为特征与模式库中的特征进行比较，以此来发现异常行为。

异常检测技术具有能发现未知攻击、漏报率低等优点，但也存在误报率高、特征模型建立困难等缺陷。异常检测模型如图1所示。

图1 异常检测模型

2 异常检测模型

2.1 基于神经网络的异常检测模型

神经网络是模仿生物神经网络行为特征，通过接受外部输入刺激，调整内部大量节点之间相互连接的关系，从而获取并积累知识，达到具有处理信息和一定判断预测的能力。

神经网络一种应用于分类器，如李鸿培和王新梅［1］“设计的基于神经网络的入侵检测系统模型”，通过训练和学习，记忆了系统的正常行为或入侵行为，并能根据系统现状进行自我调节，有效地发现并阻止各种入侵行为。另一种神经网络可用来建立预测模型，如evni等设计的“面向入侵检测的神经网络模型”，通过在神经网络的输入端输入用户所用的命令序列可以预测下一个命令，如果不符合就可判定为异常。

神经网络的优点是：不依赖对潜在数据的统计假设；能较好地处理噪声数据；能自动调节影响输出的各测度的权重。缺点在于：神经网络的拓扑结构和各元素的权重只有在训练后才能确定；输入窗口的大小是个主观因素，不易确定。

2.2 基于数据挖掘的异常检测模型

数据挖掘是利用关联分析、分类分析、序列模式分析等算法从大型数据库中提取隐含的、事先未知的、潜在有用的、易被理解的信息的过程，然后用这些知识去检测异常，模型如图2所示。wenkeLee和alvatore J.Stolfo等［2］在1998年和1999年提出通过对正常数据建立决策树的预测模型来作为检测模型。2001年又提出将基于数据挖掘的检测模型应用到实时环境中，解决了检测的准确性、效率和可用性。

图2 基于数据挖掘的异常检测模型

该模型优点是能从海量的历史数据中提取知识，并快速、自动地产生异常检测模型。缺点是误报率较高，计算复杂度大，训练数据多。

2.3 基于遗传算法的异常检测模型

遗传算法也称基因算法，是一种基于遗传和变异的生物进化方法。在基于遗传和进化学习的入侵检测研究方面，A.chittur［3］详细阐述了基于GA的异常入侵方法，获得了平均97.8%的检测率，同时保持了极低的误警率。但该方法训练时间较长，数据选择难度大。张凤斌等［4］在2004年提出了一种基于GA的网络异常入侵检测算法，使用遗传算法进化检测规则集来覆盖异常空间，该算法提高了检测率。

遗传算法适合数值求解带有多参数、多目标和在多区域fH连通性较差的NP-hard优化问题，能处理带有大量噪声和无关数据的变化事件。缺点在于编码表示不规范、染色体选择和初始群体选取困难。

2.4 基于马尔科夫的异常检测模型

此方法主要是通过提取数据包特征进行量化、训练，统计相应特征的出现概率以及转移概率，以此建立马克科夫链模型。然后再采用一些马尔科夫模型评估方法进行评估，确定是否有异常发生，模型如图3所示。

图3 马尔科夫异常检测模型

2.5 基于支持向量机的异常检测模型

支持向量机是基于结构风险最小化原理，根据有限的样本信息在模型的复杂性和学习能力之间寻求最佳折衷，以获得最好的范化能力，模型如图4所示。M.Luo等［5］利用混合无监督的聚类方法和超平面的One-SVM算法作异常检测。W.J.Hu等［6］针对入侵检测遇到的含噪数据，提出了健壮SVM的分类方法。饶鲜［7］利用SVM方法对进程运行时产生的系统调用序列进行训练，建立检测模型。李辉、管晓宏［8］针对入侵检测所获得的高维小样本异构函数集，将有监督的C-SVM算法和无监督的0neclass SVM算法用于网络连接信息数据中的攻击检测和异常发现。

图4 基于支持向量机的异常检测模型

该模型的缺点在于训练之前必须进行模型选择，并要确定一些参数，特别是核函数的选择要凭经验。SVM通常只能处理数值数据和二元分类问题。

3 异常检测算法

3.1 统计分析异常检测算法

统计分析异常检测算法是根据用户对象的活动为每个用户都建立一个特征轮廓表，通过对当前特征与已建立的特征进行比较，来判断当前行为的异常性。统计分析技术的关键是从描述网络或系统的行为和状态属性中选择一组统计度量，并根据历史数据建立其正常的变化范围。

该方法的优点是不需要太多先验知识，跟踪一组统计量对系统资源的占用率较低。但缺点在于设计描述正常行为和状态的统计量、选择统计量的属性、设置基线是较难的问题，统计度量对事件发生的顺序也不敏感。另外，本算法虚警率较高。

3.2 基于贝叶斯推理的异常检测算法

基于贝叶斯推理的异常检测算法是通过在任何给定的时刻，测量变量值，推理判断系统是否发生入侵事件，即在任意给定的时刻，测量A1，A2，…，An，n种测度值，推理判断系统是否有入侵事件发生。贝叶斯推理的公式如下：

等式左边如果大于1，则判定为入侵。

3.3 基于模糊逻辑的异常检测算法

模糊逻辑推理采用的是假言推理的近似式而不是精确形式。假言推理的规则可以写为：

A～B大前提（蕴含）

A`小前提

B`～A`。（A～B）结论

在应用模糊逻辑推理的异常检测系统中，根据当前的各测度值和模糊规则，得到一个异常的模糊度，如果模糊度大于某个阑值，则可判定为入侵。

3.4 K-近邻算法

基于K-近邻算法的异常检测，方法是计算n个点相互的欧拉距离：

即对于i=1，2，…，n，都能得到点Xi到其最近邻的距离。如果找到的点Xn的最近邻距离处于上限，那就能够判定点Xn是“太远”了。该算法缺点是计算复杂度较高，优点是不需要先验知识。

4 结语

本文介绍了“互联网+”时代下网络安全现状，网络发展越来越迅速，人们通过各种方式与互联网相连，生活和工作越来越依赖于网络，随之也暴漏出了越来越多的安全问题。文中介绍了已有的网络安全检测模型和检查算法，以及每种模型和算法的优缺点。随着智能手机的普及，手机网络安全问题的解决迫在眉睫，异常检测已普遍应用于计算机网络安全防范中，下一步需要不断研究和完善已有的检测模型，并将检查方法应用于手机安全中。

［1］李鸿培，王新梅.基于神经网络的入侵检测系统模型［J］.西安电子科技大学学报（自然科学版），1999（5）：667-670.

［2］Wenke Lee，alvatoreJ.Stolfo.Data mining approaehes for intrusion deteetion［A］//San Antonlo：Proe.of the 7thUSENIX Seeurity Symposium，1998.

［3］A Chittur.Model Generation for an Intrusion etection Sys⁃tem U-siong Genetic Algorithms［EB/OL］.（2001-11-01）［2016-11-05］.http://www.cs.columbia.edu/ids/publications/gaids-the⁃sis01.pdf（2005）.

［4］张凤斌，杨永田，江子扬.遗传算法在基于网络异常的入侵检测中的应用［J］.电子学报，2004（5）：875-877.

［5］M Luo，LN Wang，HG Zhang，et al.A research on intru⁃sion de-tection based on unsupervised clustering and support vec⁃tor ma-chine［J］.Computer Engineering&Applications，2003（18）：325-336.

［6］WJ Hu，Song Q.Principle component classifier.NIPS.2000 workshop on New Perpectives in Kernel+based Learning Methods in Breckenridge US［EB/OL］.（2004-02-12）［2016-11-05］.http:// svm.first.gmd.de/.

［7］饶鲜，董春曦，杨绍全.基于支持向量机的入侵检测系统［J］.软件学报，2003（4）：798-803.

［8］李辉，管晓宏，昝鑫，等.基于支持向量机的网络入侵检测［J］.计算机研究与发展，2003（6）：799-807.

Review of Network Security Anomaly Detection Technology in the"Internet+"Era

Zhang ZhiliYao Peijuan
（Huanghe Science and Technology College，Zhengzhou Henan 450063）

In recent years,with the new mobile communication technology,big data,cloud computing and other tradi⁃tional industries as the basis,for the content of the Internet as a carrier,economic development has entered a"Inter⁃net+"era."Internet+"bring direct economic and social benefits to people,also brought a crucial problem-network security problem.Based on this,the network security detection model and algorithm were presented,and the advan⁃tages and disadvantages of these detection techniques were introduced,on the basis of this,we can optimize and study the new model and algorithm,to better protect and strengthen the construction of network security.

network security；anomaly detection；detection algorithm；"Internet+"

TP393.08

A

1003-5168（2016）12-0050-03

2016-11-10

河南省人文社会科学项目（2016-qn-051）。

张志利（1982-），女，硕士，助教，研究方向：计算机网络安全；姚培娟（1987-），女，硕士，讲师，研究方向：嵌入式系统安全研究。