文/乔玉萍

（甘肃省电力投资集团有限责任公司，甘肃 兰州 730046）

互联网、信息化技术的高速发展，以及计算机网络安全空间具有开放性与共享特征，导致网络安全攻击事件不断增加，各种恶意软件攻击事件、勒索事件层出不穷，给企业、社会造成很大的不良影响以及经济损失。[1]因此，现阶段急需研究如何有效防范网络攻击问题。

现阶段，国内外对网络安全防护措施研究的方向，主要分为被动式防护与主动式防护两种。被动式防护措施的主要代表是防火墙技术；主动式防护措施的主要代表是入侵检测技术，在20世纪80年代提出，从基于主机的发展，到基于网络方面发展应用。现阶段，入侵检测技术的发展方向已经是混合型、分布式系统等方向发展。[2]

1.入侵检测技术概念分析

入侵检测技术是指，实时监控与分析计算机与网络通信安全状况，将采集到的数据与信息进行识别与分析，检测网络通信中的异常现象，主动进行跟踪、分析、对比、计算以及响应等功能，检测系统或网络中是否存在攻击痕迹及违反系统网络的安全策略行为，及时发现与预警报告监测目标系统中异常现象或未授权活动，并对这些攻击与反常行为进行隔离阻止等处理，充分发挥网络安全的防护作用。入侵检测软件与硬件组合，形成了入侵检测系统，称为IDS系统。

2.入侵检测技术类型分析

2.1 异常入侵检测技术

检测机构通过对系统中的异常行为进行实时监测，利用参数数学模型（该模型包括了深度学习、可视化分析、传统机器学习以及强化学习等相关技术）的高斯随机变量模型，设置好单变量范围值，再将异常行为与正常行为进行对比分析，若发现该行为的偏离值超过设置范围，就会及时发出预警信息。

2.1.1 模型方式

由于网络流量行为具有短期特征与长期特征的特点，其中长期特征具有良好的稳定性与规律性，检测机构利用该特征，就可通过对网络流量情况进行实时监控、预测与分析，提前发现异常网络流量，及时发现或识别潜在入侵攻击事件。异常入侵检测技术主要有统计模型方式、数据挖掘方式、自相似特征方式以及累积和方法等四种。

（1）统计模型方式。异常入侵检测利用统计模型方法，使入侵检测技术可以学习主体的行为特征，将正常行为某一范围值外具有统计值偏差较大的行为定义为异常行为。一般使用的统计模型主要有时间序列分析模型、方差模型以及马尔柯夫过程模型等三种。检测机构通过将流量的预期、方差、统计参数与统计模型的结合，然后采用假说检验的方式对疑似攻击行为进行检测。

（2）数据挖掘方式。数据挖掘方式是通过在海量的、随机的以及模糊的数据中进行分析计算，从中尽量提取较多的安全信息，然后抽象出有利于进行判别和比较的特征模型。该特征模型可以分为异常检测行为的描述模型与常量检测的特征向量模型两种。检测机构看利用计算机对该模型进行计算分析，判断当前的特征行为的相关性质。现阶段应用的数据挖掘算法主要有序列分析、数据分类以及关联规则等三种。目前，数据挖掘方式的入侵检测技术是通过对不同网络应用环境，进行不同的特征模型训练，灵活应用性较差。

（3）自相似特征方式。自相似特征方式是在网络线路上的负载，随着时间的推移与扩展，经常性出现自相似的特征模式。检测机构可将自相似特征方式与小波分析方法相结合，依据网络流量中Hurst参数的变化检测，发现潜在攻击事件。

（4）累积和方法（CUSUM）。累积和方法是统计过程控制中常用的算法，它可以检测统计过程中均值的变化，通过使用累积和算法进行基于网络流量异常检测，及时发现网络流量中的异常或潜在攻击。这种方法相比上述流量入侵检测方法具有更高的灵活性、实用性，但是由于其自身具有异常值回归缓慢的问题，导致入侵检测技术出现误报的情况，需要进一步优化和改进。

2.1.2 相关技术

现阶段，异常的入侵检测技术领域中拥有众多的相关技术，如基于传统机器学习的入侵检测技术、强化学习的入侵检测技术、可视化的入侵检测技术以及基于深度学习的入侵检测技术。

传统的机器学习由于需要人工进行选取，同时网络中的数据如井喷式出现，特征多样性与数据复杂性已经超过了传统机器学习能力，因此无法满足现阶段入侵检测技术对网络安全防护的需求。

基于深度学习的入侵检测技术利用深度学习有效地处理多维度模式的识别问题，主要从生产方式、判别方式以及生成对抗网络等三个方面来进行表述。生产方式主要包括自动编码器、深度玻尔兹曼机、深度信念网络、循环神经网络等方式。判别方式是采用卷积审计网络。生成对抗网络是通过生成模型和判别模型的相互比较、相互学习产生高质量输出。

2.2 误用入侵检测技术

误用入侵检测技术通过收集异常操作的行为特征来构建相关特征库。当被监控的用户或系统行为与库中的记录相匹配时，该用户或行为就会被判定为入侵。所有入侵行为和手段都可以被识别并表示为一种模式（如攻击签名），可以使用匹配方法找到入侵。误用检测的优点是误报率低、计算量较小；缺点是只能找到已知的攻击，与未知的攻击无关，而且模式库很难统一定义，签名库必须不断更新。

基于专家系统的入侵检测方式将安全专家的知识表达为IF-THEN规则，形成专家知识库，然后利用推理算法进行入侵检测。编码规则将攻击的必要条件描述为IF的一部分，当规则左侧的所有条件都满足时，将执行规则右侧的动作。入侵检测的开发者不需要了解专家系统的内部功能和流程，但需要编写确定规则引擎和规则的代码。字符串匹配是通过假设入侵对应特定的字符序列模式，再对用户字符模式进行监测，然后将该模式与入侵模式进行匹配，检测匹配项高的行为就会被判定为攻击行为。条件概率误用入侵检测方式属于概率论范畴，通过对贝叶斯方法进行改进优化，需要提前给出先验概率。检测机构可通过将入侵方式对应一个事件序列，再观测事件的发生情况，推测入侵事件的发生概率。

3.结果分析与应用

通过对数据来源划分的入侵检测技术一般分为网络入侵检测与主机入侵检测两种技术。网络入侵检测是对网络流量进行实时检测，查看数据包信息，检测这些数据包信息是否符合入侵行为。网络入侵检测技术可以监视整个网络，无须每台主机上都安装对应的软件。但是网络入侵检测技术无法很好地获取监视系统中的内部状态信息，无法做到精准的异常检测工作。

主机入侵检测技术是对监控的主机系统的日志、文件修改信息、系统状态以及相关活动检测是否出现异常行为，及时预警。主机入侵检测技术能够在发送和接收数据前，对这些信息数据进行扫描，及时发现数据流量中的异常行为，扫除内部风险与威胁，但是需要在每台主机上都安装对应的软件，并且只能针对有软件的主机进行检测。

4.入侵检测响应机制

入侵检测技术的检测响应机制主要从系统用户、操作运行环境、系统目标以及规则或法令需求等要素来考虑制定相应策略。其中，入侵检测技术用户可以根据对系统的使用要求、目的、方式等因素，划分为网络安全专家或管理员、系统管理员以及安全调查员等三种。操作运行环境是为入侵检测技术提供信息以及运行环境。系统目标是为用户提供关键数据和业务的系统。规则或法令的需求是在某种特定环境中，允许使用主动防御甚至攻击技术来抵抗或攻击入侵行为。

5.结语

互联网信息化技术的高速发展与应用，使得计算机网络安全面临巨大的挑战，为了很好地解决计算机网络安全方面的隐患，本文建议采用一种主动的安全防护措施——入侵检测技术。该项技术融合了统计学习、深度化学习、传统机器学习、强化学习以及可视化分析等技术，能满足当前计算机网络安全措施需求。入侵检测技术虽然能在计算机网络安全防护措施中起到关键作用，但随着相关技术的发展，检测机构需要做好相关技术的创新与优化，与时俱进，从而更好地应对计算机网络安全的新挑战。