叶樟巍

摘要：针对网络安全面临非法入侵威胁、实时防御性差的问题，文中研究和分析了基于入侵监测的网络信息安全管理技术。通过在现有网络模型中增加入侵监测模块，将网络信息采集、信息处理和信息分析3个模块相结合进行入侵监测。为提升入侵监测的准确率，利用基于数据降维的决策树方法对异常数据进行识别，有效实现不同类型的异常数据监测。系统验证表明，所提出的入侵监测方法对于不同类型的入侵均有较好的监测效果，比现有算法提高了约8？/o。

关键词：网络信息安全：入侵监测：管理技术

随着互联网技术的发展，网络在社会生产和生活中扮演着重要的角色，网络信息安全也越来越重要。由于现有网络系统存在诸多漏洞，网络仍面临着黑客攻击的威胁。因此，需要研究新的主动性入侵监测方法来维护网络安全。本文提出了基于入侵监测的网络信息安全管理技术，通过在互联网和服务器之间增加网络入侵监测系统，利用信息采集、信息处理和信息分析这3个模块协同进行入侵监测。为了提高入侵监测概率，本文利用基于数据降维的决策树方法对异常数据进行识别。系统验证与仿真分析结果表明，文中所提方法对于不同种类的入侵识别均有较好的适用性。

一、系统模型设计

为了实现对异常网络数据的实时监测，保证整个网络的健康。本文在原有网络的基础上增加了入侵监测模块，其网络架构，互联网通过路由器和交换机与网络终端及服务器进行连接，同时整个网络的外接设备包括入侵攻击者与安全设备两种。为了及时发现入侵设备，本文在网络终端前，利用入侵监测模块对网络异常数据进行监测，从而保证整个网络的安全。入侵监测模块处于网络接入点与终端设备之间，可有效监测异常数据，并向系统报警，从而采取相应措施实现提前防御。对于入侵者，由于入侵监测模块的存在，系统的服务器及设备终端对于入侵者是隐形的，入侵者仅可以接触到路由器地址和交换机信息，而无法进一步获得其他有效信息，并无法进一步执行攻击。因此，可以有效维护网络安全[1]。

二、入侵监测模块架构

本文所设计的入侵监测模块结构组成可以主要分为数据采集、数据处理和数据分析3个部分。数据采集模块主要通过数据抓包来获取局域网或互联网的数据包，实现海量数据的抓取。面对海量数据的情况，可结合大数据挖掘技术进行拓展。在数据采集后，对数据进行预处理，借用事件引擎和策略解釋对于符合一定规则的数据进行预处理，并将处理结果反馈给数据分析模块。数据分析模块主要负责对预处理后的数据进行识别，通过数据匹配采用相应的判决算法对数据进行分类，以此发现异常数据并进行处理：另外，数据分析模块可利用关联检测方法对未知数据是否异常进行预测，从而提高系统数据处理效率。

三、入侵监测关键技术

本文利用基于降维处理的决策树算法对网络信息进行分析，从而实现入侵监测，其训练模型，构建决策树的核心是根据一定准则对数据进行属性划分。理想的情况下，划分出的属性集合内的数据均属于同一类别。但在实际执行过程中，较难获取理想的划分。因此在决策树算法中，需要进行递归。

本文将数据信息增益作为划分准则，假设系统所采集的网络信息样本集合为D。其中d为集合D的一个属性，假设存在N个数据属性，则集合D为N个数据样本的集合，可表示为D={dl，d2，…，dN}。信息增益的可以表示为

在计算出网络信息样本集合D中所有样本的信息增益后，根据信息增益大小对数据进行划分，将信息增益最大的属性作为数据的属性。在进行属性集合划分时，并非集合关联度越大，数据划分越合理：在极端情况下，当某个属性集合只存在一个元素时，集合关联度最大。为避免该种情况，本文定义信息增益率与基尼系数来进行最优属性划分，其中信息增益率可以定义为

信息增益率对于样本属性数目较敏感，可以选取信息增益率最大的属性作为划分属性。基尼系数表示数据集合中，两个数据属性不一致的概率。集合D中属性的基尼系数可以定义为所有属性子集合的基尼系数之和，当属性集合中的数据关联度越大，则数据的基尼系数越小。因此，使用基尼系数最小的属性作为数据属性。基尼系数可以定义为：

其中，a表示调节系数，取值范围在0～1之间。

四、系统验证与结果分析

针对不同类型的入侵攻击监测概率进行验证，为了验证本文所采用的基于降维决策树方法的入侵监测方法的性能，本文将所提出方法与几种常见方法在同样的数据集中进行比较。不同类型的网络入侵的监测概率，本文所设计的入侵监测系统对PROBE BYPASS攻击的监测概率最高，在数据记录的百分比仅为12. 2%的情况下，即可实现95. 4%的监测概率。系统对于NORMAI攻击的适应性最差，但也可达到90%的监测概率。在同一数据集下，本文所提降维决策树方法与3种传统方法的入侵监测概率对比，相比于3种传统方法，本文所设计方法的入侵监测概率明显提高。在存在两种攻击类型时，监测概率可以达到90.7%：在存在5种攻击类型时，监测概率可以达到86. 5%，相对于现有算法提高了8%以上。

五、结论

本文提出了基于入侵监测的网络安全管理技术，通过在现有网络中增加入侵监测模块，实现异常数据监测。为进一步提高入侵监测的概率，利用降维决策树方法对数据进行识别，即可有效实现实时异常数据监测。通过系统验证与结果分析可知，所提算法相对于现有算法有更高的入侵监测概率，对于不同类型的入侵均有较好的适应性。

参考文献：

[1]网络入侵监测系统[Z].北京大学.2006.