刘 涛

(阜阳职业技术学院，安徽 阜阳 236031)

校园网入侵检测系统中机器学习算法的性能研究

刘 涛

(阜阳职业技术学院，安徽 阜阳 236031)

文章阐述了机器学习算法中遗传算法以及贝叶斯分类算法的概念，以及校园网入侵检测系统的基本构架。分析了基于机器算法中遗传算法和学习算法的校园网入侵检测系统优化策略，并对其他机器算法的应用性进行了系统的研究。

校园网；入侵检测系统；机器学习算法；性能研究

随着现代信息化技术的发展，信息化技术在高校教育领域被广泛应用，同时高校网络系统的安全与稳定也成为了校园网入侵检测系统的重要课题。高校校园网络平台的建立，不仅能够实现高校与外界的知识资源互动，而且为各学科的教学活动提供便利的网路教学平台。校园网络入侵检测系统能够保证广大师生对校园网络平台的正常使用，以及校园网络平台的网络安全。随着网络安全状况日趋复杂化，以及校园内部对网络平台功能型要求的提升，校园网入侵检测系统不断进行着更加科学而有效的优化，将性能更稳定、效率更高的机器学习算法融入到入侵检测系统的构建当中，使校园网入侵检测系统的性能日益提升。

1 机器学习技术的主要算法

1.1 遗传算法

机器学习技术中的遗传算法是Mendel遗传学和Darwin进化论核心概念构成的，运算程序进程中可以在没有问题导向的前提下进行直接搜索。遗传算法将待解决的问题编码成位，被编码的个体单位称之为基因，而遗传算法中的编码序列被称为串(染色体)。虽然遗传算法在长期的实践应用过程中不断地得到完善，但是其传统的基因算法没有改变，其运算原理是：编码是最先开展的运算行为，将解数据转变成为基因型串数据，这种必要的转换过程导致初始群体的形成〔1〕。在这个阶段结束以后，利用系统适应度函数对初始群体中每一个个体的适应度进行量化的计算，作为个体解的优势。之后的跌送过程中包含循环选择、交叉以及变异，在最终的繁殖和变异程序中产生新的问题或非问题解决方案。

1.2 贝叶斯分类算法

数据挖掘以及机器学习中包含很多优秀的算法，其中贝叶斯分类算法是运算程序相对更加完善的算法，是优化入侵检测系统的重要方式〔2〕。在机器学习技术中，贝叶斯分类算法是一种无监督学习模式。经实践证实，普通(朴素)贝叶斯分类算法能够准确地对问题进行运算和分析预测，其预测能力相当于决策树，且具有比其他算法更强的学习能力。贝叶斯分类的假设性运行判断是：对于已经特定给予的类，其包含所有属性都是以相对独立的形式进行分布的。

2 校园网入侵检测系统

2.1 校园网入侵检测系统的基本构架

IDS按照功能划分为：事件探测采集子系统、数据库管理子系统、响应子系统、数据分析子系统。校园网的系统控制平台将用户应用层数据与入侵检测检测系统的程序运行进行空间内的衔接，使校园网入侵检测系统中各子系统通过相互协调运行对用户应用层数据进行运算、分析以及统计，并最终做出问题判断。

2.2 校园网入侵检测系统中的子系统原理

1)事件探测采集子系统

根据CIDF规范，网络传输中的数据包以及System Log中获取的信息是在IDS中需要分析的数据，这些数据被IDS统称为事件。事件探测采集子系统在整体IDS中具有重要的意义，将收集并分析的所有事件传送到其他IDS子系统中。事件探测采集子系统虽然是IDS中基层的组织，却是IDS实现整体运行功能的重要部分，承担着事件的收集功能，对事件的收集必须要具有一定的范围性与有效性，避免由于信息遗漏而造成IDS功能失误进而影响校园网平台的安全。

2)数据分析子系统

数据分析子系统是IDS的重点，功能强大且具有实效性的数据分析子系统需要设计者进行科学而系统的开发才能实现。开发并建设数据分析子系统需要坚持三个主要原则，这三个原则同时也是优化数据分析子系统的数据分析功能的要点。首先，优化算法的设计以及监测模型能够保证数据分析子系统的执行效率。其次，包容性以及可扩展性是制定安全规则必须充分考虑的，能够提高数据分析子系统的伸缩性。最后，为避免消息格式的不规范，报警消息必须按照标准格式设计，进而增强系统的相互操作与共享能力。

3)响应子系统

响应子系统在IDS中发挥着重要的功能。首先按照定义方式对安全事件进行系统的记录，如出现危险状况将产生报警信息。对于事件的操作进行附加日志的记录，在出现入侵情况下隔离入侵者，并终止入侵者的数据入侵进程，禁止入侵数据与受害者的端口进行链接。

4)数据库管理子系统

数据库管理子系统的数据库用来储存数据分析系统分析或操作过的数据，这些数据将被用于管理员的调用查看，以及在入侵危险事件发生以后进行取证。

3 基于机器学习算法建立的校园网入侵检测系统

3.1 基于机器学习算法的校园网入侵检测系统的设计

1) 机器学习模块：机器学习模块是入侵检测系统的构成核心，通过对外部环境数据进行精确的检测与分析，对IDS的整体性能提升具有显著的作用。

2) 网络数据包捕获模块：入侵检测系统在监视和验证网络流量以及对IDS整体工作状态监督时，网络数据包捕获模块发挥着积极作用。IDS设计的核心是在实现在网络信息传播渠道中获取并分析不同协议层上的数据包，所以网络数据包捕获模块是入侵检测系统能够高效工作的基础。

3) 数据预处理模块：将网络数据包模块的数据进行整合处理，并对数据包进行一定程度的适应性修改，进而实现各系统对数据包的操作。预处理就是指对数据进行预先操作，是入侵检测系统后期处理工作的前期衔接部分。

4) 误用规则处理模块：误用规则处理模块是将IDS系统规则作为参照，对各环节的数据操作误用进行检测的功能模块。将数据库中数据模式规则与已知的网络入侵数据作为既定规则，对新收集到的信息进行对比与分析，从中发现非安全行为，从而保证了入侵检测系统较之以前更为准确和高效。

3.2 遗传算法在校园网入侵检测系统中的使用

遗传算法在理念上是基于生物基因的遗传和变异原理而形成的，为入侵检测系统的优化提供了更具优越性的检测异常现象能力。遗传算法在事件探测采集子系统中能够帮助系统程序在数据获取范围以及真实有效性上进行功能优化。根据遗传算法原理，外部环境数据经过程序处理后形成基因串数据。数据形成基因串之后体现为网络数据包模式，便于各子系统之间的操作与传递，对事件探测采集系统的信息捕获功能进行了有效的强化。遗传算法使数据分析子系统能够对数据包进行更有效的分析操作。由于遗传算法对每一个个体数据进行适应度的计算，使得数据分析子系统对数据包的分析更加具体也更加准确，并可以对信息数据进行一定程度的预判。遗传算法提高了检测模型的识别率，其原理基于基因的排他性原则，对于非系统规则外的具有入侵性质的信息数据进行适应度否定的判断，从而实现信息数据在IDS数据分析系统环节中被有效分辨。遗传算法在建立入侵检测系统中的核心优势是遗传算法的精密性，能够极大地提高入侵检测系统的安全性以及稳定性。

3.3 贝叶斯分类算法在校园网入侵检测系统中的使用

贝叶斯分类算法是众多机器学习算法中综合性优势较高的算法，同时也是在各领域的IDS中应用比较广泛的算法。入侵检测系统的审计机制能全面、系统地对事件进行记录，从而实现对外部信息数据的入侵检测。贝叶斯分类能够将数据包进行更有效、更精准的划分，提高各子系统之间数据操作的效率，从而使IDS的整体运行更加效率化〔3〕。贝叶斯分类算法利用信息数据中的关联分析以及序列模式分析，改善了误用规则处理模块的性能。能够更准确、更及时地自动识别外部环境的信息入侵事件，使数据预处理模块以及误用规则模块具有准确的数据操作能力，进而实现入侵检测系统本质上的优化。尤其是贝叶斯算法中的TAN算法，通过对数据属性对之间的依赖关系来降低属性间独立的假设，从而以高强度的信息分辨能力大大提升了误用规则处理模块的能力，这也是在入侵检测系统使用贝叶斯算法后最明显的优化。

3.4 其他优秀算法

机器学习算法中除了遗传基因算法和贝叶斯算法以外还有很多优秀算法，对建立校园网入侵检测系统也具有不同程度的建设性作用。其中人工神经网络(ANN)是模拟人脑处理信息的模式而提炼出来的智能化信息处理技术，人工神经网络是由大量的神经元构成的高度互联的网络系统，实现新信息进入网络以后的输入与输出的映射关系。人工神经网络能够降低异常检测系统的检测失误率，同时能够对已经检测的入侵信息进行有效识别，避免误用检测系统的错报与误报行为发生。基于人工神经网络建立的入侵检测系统能够处理噪声数据，能显著提升误用规则处理模块的准确性，但是对于未知入侵模式的防御与分辨能力却效果不佳，同时人工神经网络的结构过于复杂，缺少稳定性，学习时间过长，相对于遗传算法和贝叶斯算法效率较低。人工免疫系统(AIS)是从生物免疫系统的构造原理中提炼出来的计算范式，善于对于复杂的事件问题进行精确的求解，其在IDS中的运作原理是准确区分“自我”与“非我”。“自我”是指在IDS数据库中已经按照设计规则设定的数据模式， “非我”是指原则以外的可能存在风险的外部环境信息数据。人工免疫系统具有一定的自适应性，满足IDS分布性、低消耗性的要求，具有极强的自动应答和自我修复特征，从而为IDS建立多级防御来对外界的数据入侵进行防御与一定程度的自我修复。但是人工防疫系统算法缺乏遗传算法和贝叶斯分类算法的高效性，也缺乏贝叶斯分类算法的准确性，虽然具备一定修复功能优势，但对入侵检测系统综合性能的提升相对前两者更低一些。

〔1〕王旭仁，许榕生.基于机器学习的入侵检测系统研究〔J〕.计算机工程,2006,(14):52-55.

〔2〕蒋道霞.入侵检测系统的规则研究与基于机器学习的入侵检测系统模型〔J〕.现代电子技术,2005,(17):34-37.

〔3〕李艺颖,邓皓文,王思齐,龙军.基于机器学习和NetFPGA的智能高速入侵防御系统〔J〕.信息网络安全,2014,(02):31-35.

Study on the Computer Learning Algorithm for the Incursion Detecting System of Campus Network

LIU Tao

(FuyangCollegeofVocationalTechnology,Fuyang,Anhui, 236031,China)

The paper expounds the concept of hereditary algorithm within computer learning algorithm, and the classified algorithm, as well as the basic frame for the incursion detecting system of campus network, and analyses the optimized tactics of incursion detecting system of campus network based on the hereditary algorithm and learning algorithm.The paper also systematically studies the application of other computer algorithms.

Campus network; Incursion detecting system; Computer learning algorithm; Performance study

1008-3723(2017)03-008-03

10.3969/j.issn.1008-3723.2017.03.004

2017-03-15

安徽省高校自然科学重点研究项目“基于机器学习的校园网入侵检测技术的研究”(KJ2017A606).

刘涛(1978-)，男，安徽阜阳人，阜阳职业技术学院副教授，研究方向：计算机网络技术、网络编程技术.

TP393.08

A