吉林工商学院信息工程学院 张焱焱

吉林大学应用技术学院 冉祥金

入侵检测技术综述

吉林工商学院信息工程学院 张焱焱

吉林大学应用技术学院 冉祥金

网络安全问题越来越受到世界的关注，入侵检测技术是维护网络安全的一种常用技术和手段，是网络安全体系中一个重要的组成部分。本文阐述了入侵检测技术的起源和发展，并对其智能化的方法进行研究和探讨，最后指出入侵检测系统的发展趋势及主要研究方向。

网络安全；入侵检测；智能化

互联网从点击时代到触摸时代，再到人网一体时代，使社会的各个方面都发生了巨大的变化，互联网技术已经深深融入到人们的工作、生活、娱乐、思维等各个方面。与此同时，由于互联网本身的开放性以及互联网产品一些未知的漏洞，网络安全问题日益突出，威胁网络安全的手段也层出不穷，以前传统、静态、被动的防护方式已经不能完全满足网络安全新形式的发展。入侵检测技术是被动防护方式的有效补充，它能对网络进行实时的监控，随时发现网络中可能出现的各种威胁，规避安全风险，提高网络性能，增大网络可用价值，是目前网络安全技术研究的热点。

1. 入侵检测技术概述

1.1入侵检测技术的起源

入侵检测的研究开始于20世纪80年代，1980年负责主持美国国防部计算机安全审计工作的James Anderson首次提出了入侵检测的概念。1986年，斯坦福研究院的Dorothy Denning首次建立了一个完整的入侵检测系统模型，为入侵检测的发展奠定了基础。随着人们网络安全意识的提升，以及网络攻击手段的多样化，入侵检测技术也在飞快的发展，但新出现的很多模型都是在Denning模型基础上的完善和拓展。

1.2入侵检测技术的概念

美国国际计算机安全协会（ICSA）对入侵检测的定义［1］：入侵检测是对入侵行为的发觉，通过从计算机网络或计算机系统中的若干关键点收集信息，并对这些信息进行分析，从而发现网络或系统中是否有违反安全策略的行为和遭到攻击的迹象的一种安全技术。违反安全策略的行为有入侵（非法用户的违规行为）和滥用（合法用户的违规行为）。

1.3入侵检测技术的分类

IDS的优劣主要取决于入侵检测技术的好坏，因此入侵检测技术直接关系到整个IDS的检测效率、误报率及检测效果等性能指标。根据不同的入侵检测技术分析方法，入侵检测可分为异常检测（Anomaly Detection）、误用检测（Misuse Detection）两类。

异常检测，是建立在入侵活动和正常活动不同的基础上的。根据这一理念，首先建立基于正常网络事件的模型特征库，然后将用户当前的行为与特征库中的进行比较，如果两者存在较大的差异时，则认为出现了入侵行为。异常检测的优点是可以检测未知的入侵类型，不受已知入侵类型的限制。缺点是误报率较高，而且异常检测方法大多训练时间比较长。

误用检测，是建立在已知的入侵活动样本的基础上的。误用检测用一种方式表示已知的入侵活动，然后通过与观察对象进行对比判断这种入侵活动是否出现，如果检测出现则表明发生了入侵行为。误用检测的优点是误报率低，检测速度快。缺点是只能对已知的入侵行为进行检测，不能检测出新型的入侵行为。

2. 入侵检测技术的智能化

目前，研发高效的IDS的关键在于如何降低系统的误报率，提升分类的精准度。近年来，有许多较为有效的智能化的检测技术应用到入侵检测领域当中［2］，使入侵检测系统在检测效率和性能上都有很大的提升。其中，人工神经网络、遗传算法、人工免疫系统是典型的智能化入侵检测技术。

2.1人工神经网络

人工神经网络是指试图模仿大脑的神经元之间传递、处理信息的模式而建立的一种计算模型。它通过接受训练，不断的获取并积累知识，进而具有一定的判断和预测能力。

可以将人工神经网络用于入侵检测，首先是因为神经网络具有自学习、自适应的能力。其次是人工神经网络具有很好的容错能力。此外，人工神经网将信息分布式存储在所有的神经元的连接权中，而不是只存储在网络的某一部分中，使得人工神经网络具有分布式存储和并行计算的能力。

2.2遗传算法

遗传算法抽象于生物体的进化过程，基于自然选择中适者生存、优胜劣汰原理而建立的，用于解决最优化的搜索算法。

将遗传算法用于入侵检测，主要是因为基于遗传算法的入侵检测系统是一种基于自我学习的入侵检测系统，它可以模拟自然进化的过程，使特征库中的初始特征值进化发展，动态更新入侵检测特征库，从而得到针对特定检测环境的最优特征集合。

2.3人工免疫系统

人工免疫系统是从生物免疫系统的运行机制中模仿而来的，它借鉴了一些生物免疫系统的功能、原理和模型。

生物学中的免疫系统可以通过对自我和非自我的识别达到清除非自我细胞的能力，入侵检测系统中的入侵检测与免疫系统发现非自我的识别能力非常相似，因此将生物学中的免疫判断机制引入到网络入侵检测中。

3. 入侵检测系统的发展趋势

庞大的数据流量和特征信息，给入侵检测领域带来了巨大的挑战。近几年来，深度学习技术的提出及其在图像识别、语音识别和语义分析等多个领域的成功，使得其备受关注。把深度学习出色的特征学习能力应用到入侵检测系统中，可以为网络入侵检测准确率提供有力的支撑。

深度学习作为人工神经网络的一种新的方法，又被称为“深度神经网络”，它通过构建具有更多隐层的人工神经网络而具有优异的特征学习能力，而且其在训练模型时通过“逐层初始化”这种无监督学习较其他模型有很大的优势［3］。

文献［4］提出基于深度学习的混合入侵检测模型，并将其同当前较为流行的其他模型进行实验对比，得出该模型是一个高效的入侵检测模型。

文献［5］结合网络数据的特点提出了一种基于深度学习的网络入侵检测方法，并通过实验证明该方法能在保持高的检出率的同时，明显改善检测算法的误检率。

4. 结语

入侵检测技术的应用为网络系统提供了针对内部、外部攻击等方面实时的、主动的防御，在一定程度上保证了网络系统的安全。已经比较成熟的智能入侵检测技术对IDS性能的提升作用并不明显。深度学习技术在许多领域得到成功的应用，如何将深度学习技术应用到入侵检测系统中，发挥深度学习突出的特征学习能力，在大数据、云计算的时代具有积极的意义，当然将深度学习的理论和方法应用到入侵检测领域还有很多工作要做，在未来的发展中，还需要技术人员进一步的深入研究。

［1］Anderson James P.Computer Security Threat Monitoring and Surveillance［R］.Fort Washington，PA：James P.Anderson Co.，1980.

［2］王辉，陈泓予，刘淑芬.基于改进朴素贝叶斯算法的入侵检测系统［J］.计算机科学，2014，04：111-115+119.

［3］Bengio Y，Lamblin P，Popovici D，et al.Greedy layer-wise training of deep networks［J］.Advances in neural information processing systems，2007， 19：153.

［4］杨昆朋.基于深度学习的入侵检测［D］.北京：北京交通大学，2015.

［5］李春林，黄月江，王宏，牛长喜.一种基于深度学习的网络入侵检测方法［J］.信息安全与通信保密，2014，10：68-71.

张焱焱（1982—），女，吉林长春人，讲师，现供职于吉林工商学院信息工程学院，研究方向：计算机应用。

冉祥金（1982—），男，吉林长春人，讲师，现供职于吉林大学应用技术学院，研究方向：网络安全。