網(wǎng)絡(luò)入侵檢測(cè)技術(shù)的研究進(jìn)展與展望

魏鵬飛

摘要：網(wǎng)絡(luò)入侵檢測(cè)是一種互聯(lián)網(wǎng)安全防御技術(shù)，經(jīng)過(guò)多年的應(yīng)用和實(shí)踐，已經(jīng)引入很多更加先進(jìn)的技術(shù)，比如深度包過(guò)濾技術(shù)、深度學(xué)習(xí)技術(shù)、固件技術(shù)，不僅可以提高網(wǎng)絡(luò)入侵檢測(cè)的可靠性和準(zhǔn)確度，還可以提高網(wǎng)絡(luò)入侵檢測(cè)的速度。當(dāng)前，互聯(lián)網(wǎng)接入設(shè)備不斷增多，不僅包括服務(wù)器、交換機(jī)、路由器等有線設(shè)備，還包括智能手機(jī)、平板電腦等無(wú)線設(shè)備，因此網(wǎng)絡(luò)組成架構(gòu)和接入設(shè)備更加復(fù)雜，更加容易產(chǎn)生系統(tǒng)漏洞，受到網(wǎng)絡(luò)中潛在的病毒或木馬攻擊，因此未來(lái)還需要引入網(wǎng)格算法以及其它人工智能技術(shù)，進(jìn)一步提高網(wǎng)絡(luò)入侵檢測(cè)的成效，保護(hù)網(wǎng)絡(luò)安全運(yùn)行。

關(guān)鍵詞：網(wǎng)絡(luò)入侵檢測(cè);深度包過(guò)濾;深度學(xué)習(xí);人工智能

中圖分類號(hào)：TP309 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1007-9416（2020）05-0180-01

0引言

隨著云計(jì)算、大數(shù)據(jù)、5G通信等技術(shù)的快速發(fā)展，人們已經(jīng)進(jìn)入到了“互聯(lián)網(wǎng)+”社會(huì)，基于互聯(lián)網(wǎng)開(kāi)發(fā)了許多的分布式應(yīng)用軟件，覆蓋了智能旅游、在線學(xué)習(xí)、金融交易、智能制造、娛樂(lè)游戲等許多領(lǐng)域，大大地提高了人們工作、生活和學(xué)習(xí)的便捷性?；ヂ?lián)網(wǎng)可為人們提供數(shù)據(jù)信息服務(wù)，而互聯(lián)網(wǎng)組成設(shè)備、操作系統(tǒng)、應(yīng)用軟件等多種軟硬件資源集成在一起產(chǎn)生的漏洞較多，為木馬和病毒的入侵帶來(lái)了一定的隱患。比如互聯(lián)網(wǎng)病毒或木馬可以發(fā)起DDOS攻擊，在短時(shí)間內(nèi)制造數(shù)以億計(jì)的訪問(wèn)請(qǐng)求，這樣就會(huì)占用網(wǎng)絡(luò)帶寬資源，導(dǎo)致正常用戶無(wú)法訪問(wèn)服務(wù)器，也就會(huì)導(dǎo)致網(wǎng)絡(luò)無(wú)法正常訪問(wèn)，影響用戶的正常使用，為用戶帶來(lái)了非常巨大的損失。DDOS攻擊通常分為帶寬攻擊和連通性攻擊，帶寬攻擊可以在瞬時(shí)使用大量的非法數(shù)據(jù)包占用網(wǎng)絡(luò)帶寬資源，合法用戶無(wú)法及時(shí)的訪問(wèn)服務(wù)器，大大的降低了網(wǎng)絡(luò)效率。因此，網(wǎng)絡(luò)安全研究機(jī)構(gòu)提出了入侵檢測(cè)技術(shù)，該技術(shù)可以收集網(wǎng)絡(luò)中的各種信息，提供給入侵檢測(cè)分析引擎，利用既定的規(guī)則判定入侵行為，及時(shí)地查殺病毒或木馬，阻止入侵者破壞網(wǎng)絡(luò)服務(wù)，具有一定的防御作用。

1網(wǎng)絡(luò)入侵檢測(cè)技術(shù)研究進(jìn)展

網(wǎng)絡(luò)入侵檢測(cè)可以被部署于企業(yè)內(nèi)網(wǎng)中，根據(jù)實(shí)際需求設(shè)定運(yùn)行時(shí)間，也可以啟動(dòng)實(shí)時(shí)檢測(cè)功能，以便監(jiān)控網(wǎng)絡(luò)是否存在漏洞或非法入侵。網(wǎng)絡(luò)入侵檢測(cè)最為核心的部分就是數(shù)據(jù)分析，由于互聯(lián)網(wǎng)的流量大、網(wǎng)絡(luò)系統(tǒng)設(shè)備多，因此常規(guī)的數(shù)據(jù)分析無(wú)法滿足需求，逐漸引入了深度包過(guò)濾技術(shù)、深度學(xué)習(xí)技術(shù)和固件技術(shù)，提高了網(wǎng)絡(luò)入侵檢測(cè)的速度、準(zhǔn)確度。

深度包過(guò)濾是一種軟硬件結(jié)合技術(shù)，其可以深度分析網(wǎng)絡(luò)中的每一個(gè)數(shù)據(jù)包內(nèi)容，不僅包括包頭，還包括其他數(shù)據(jù)內(nèi)容協(xié)議字段的數(shù)據(jù)，檢查每一個(gè)數(shù)據(jù)包的內(nèi)容，同時(shí)結(jié)合硬件技術(shù)，提高了網(wǎng)絡(luò)入侵檢測(cè)的速度。深度包過(guò)濾可以根據(jù)網(wǎng)絡(luò)入侵需求設(shè)置過(guò)濾規(guī)則，采用啟發(fā)式的網(wǎng)絡(luò)安全防御軟件，詳細(xì)地分析IP地址和MAC地址是否符合規(guī)則，如果IP地址及MAC地址安全，此時(shí)可以通過(guò)網(wǎng)絡(luò)關(guān)口訪問(wèn)服務(wù)器;如果不安全則無(wú)法通過(guò)。深度包過(guò)濾還可以針對(duì)數(shù)據(jù)包內(nèi)的內(nèi)容進(jìn)行分析，從而可以查看每一個(gè)數(shù)據(jù)包內(nèi)是否存在不合安全要求的信息字段。深度包過(guò)濾經(jīng)過(guò)多年的普及，可以根據(jù)部署位置和保護(hù)對(duì)象的設(shè)置不同的深度包過(guò)濾工具，包括數(shù)據(jù)庫(kù)、Web服務(wù)器和網(wǎng)關(guān)服務(wù)器等，較好的保護(hù)網(wǎng)絡(luò)不受到損壞，同時(shí)部署代價(jià)也非常低，可以進(jìn)一步提高網(wǎng)絡(luò)防御性能。

深度學(xué)習(xí)是一種自動(dòng)化學(xué)習(xí)和分析技術(shù)，其基于卷積神經(jīng)網(wǎng)絡(luò)，增加了池化層和全連接層，因此可以增加卷積神經(jīng)網(wǎng)絡(luò)學(xué)習(xí)的深度和廣度，應(yīng)用到網(wǎng)絡(luò)入侵檢測(cè)中，能夠?qū)⒃嫉木W(wǎng)絡(luò)信息流輸入到深度學(xué)習(xí)模型中，然后采用Sigmoid函數(shù)進(jìn)行特征分析和映射，從而可以提高網(wǎng)絡(luò)入侵檢測(cè)的準(zhǔn)確度，還可以減少網(wǎng)絡(luò)數(shù)據(jù)的特征數(shù)量，提高網(wǎng)絡(luò)安全分析效率。目前，深度學(xué)習(xí)最為關(guān)鍵的應(yīng)用就是記錄和分析攻擊信息，盡可能地采集詳細(xì)的攻擊數(shù)據(jù)，記錄黑客、病毒或木馬完整的攻擊過(guò)程，尤其是當(dāng)攻擊源主機(jī)與網(wǎng)絡(luò)服務(wù)器進(jìn)行信息交互時(shí)，可以使用先進(jìn)的深度包過(guò)濾系統(tǒng)，記錄每一個(gè)進(jìn)出網(wǎng)絡(luò)的數(shù)據(jù)包，深度學(xué)習(xí)系統(tǒng)在采集到所有數(shù)據(jù)之后，可以及時(shí)地針對(duì)這些數(shù)據(jù)進(jìn)行分析和識(shí)別，發(fā)現(xiàn)黑客攻擊行為特征，識(shí)別潛在的風(fēng)險(xiǎn)和危害，及時(shí)啟動(dòng)殺毒軟件清除攻擊數(shù)據(jù)。深度學(xué)習(xí)可以針對(duì)黑客攻擊的風(fēng)險(xiǎn)進(jìn)行過(guò)濾和控制，以避免黑客發(fā)覺(jué)采用了防御技術(shù)而轉(zhuǎn)移攻擊目標(biāo)。

固件技術(shù)是一種軟硬系統(tǒng)結(jié)合技術(shù)，比如網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)可以將深度學(xué)習(xí)技術(shù)作為一個(gè)固化的軟件，嵌入到一些硬件設(shè)備中，從而提高深度學(xué)習(xí)的檢測(cè)效率。固件也存在一定的缺陷，也即是不能夠?qū)崟r(shí)地學(xué)習(xí)網(wǎng)絡(luò)入侵檢測(cè)特征，這樣就會(huì)導(dǎo)致網(wǎng)絡(luò)入侵檢測(cè)落后于病毒或木馬的變異速度，不能夠識(shí)別最新的網(wǎng)絡(luò)入侵威脅。

2網(wǎng)絡(luò)入侵檢測(cè)技術(shù)未來(lái)發(fā)展趨勢(shì)研究

目前，隨著互聯(lián)網(wǎng)的發(fā)展，人們又提出了物聯(lián)網(wǎng)、車(chē)聯(lián)網(wǎng)等概念，大大地?cái)U(kuò)展了互聯(lián)網(wǎng)的應(yīng)用范圍和領(lǐng)域，隨之而來(lái)的是互聯(lián)網(wǎng)的接入設(shè)備、訪問(wèn)用戶、應(yīng)用軟件等越來(lái)越多，互聯(lián)網(wǎng)的構(gòu)成不僅包括有線設(shè)備，還包括無(wú)線設(shè)備，因此網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)的構(gòu)成更加復(fù)雜，傳統(tǒng)的網(wǎng)絡(luò)入侵檢測(cè)技術(shù)已經(jīng)無(wú)法滿足高效的、快速的、準(zhǔn)確的、實(shí)時(shí)的應(yīng)用需求，需要繼續(xù)引入更加先進(jìn)的網(wǎng)絡(luò)算法和人工智能技術(shù)，以便能夠提高入侵檢測(cè)覆蓋深度，進(jìn)一步提升網(wǎng)絡(luò)入侵檢測(cè)準(zhǔn)確度。

目前，入侵檢測(cè)系統(tǒng)的方法包括特征檢測(cè)、異常檢測(cè)、狀態(tài)檢測(cè)和協(xié)議分析，一定程度上這些檢測(cè)技術(shù)都存在缺陷，無(wú)法很好地識(shí)別大規(guī)模的組合式和分布式入侵攻擊需求，因此引入網(wǎng)格算法，可以將互聯(lián)網(wǎng)按照不同的方法劃分區(qū)域，實(shí)現(xiàn)骨干網(wǎng)、通信網(wǎng)、核心網(wǎng)的不同檢測(cè)，既可以降低檢測(cè)時(shí)的資源占用率，還可以更加廣泛地進(jìn)行實(shí)時(shí)檢測(cè)。人工智能技術(shù)經(jīng)過(guò)多年的發(fā)展，已經(jīng)在很多領(lǐng)域得到應(yīng)用，比如機(jī)器人、虛擬現(xiàn)實(shí)等，網(wǎng)絡(luò)入侵檢測(cè)引人更加先進(jìn)的人工智能技術(shù)，比如遺傳算法、機(jī)器學(xué)習(xí)、模式識(shí)別等，進(jìn)一步提高了網(wǎng)絡(luò)入侵檢測(cè)特征分析的準(zhǔn)確度。

3結(jié)語(yǔ)

網(wǎng)絡(luò)入侵檢測(cè)是一個(gè)復(fù)雜的系統(tǒng)，其需要隨著網(wǎng)絡(luò)安全防御需求而進(jìn)行改進(jìn)，以便能夠適用于不同的應(yīng)用場(chǎng)景，比如小型企業(yè)部署一個(gè)簡(jiǎn)單的入侵檢測(cè)系統(tǒng);大型互聯(lián)網(wǎng)內(nèi)容服務(wù)商，比如騰訊云、阿里云、華為云等，都需要部署一個(gè)先進(jìn)的入侵檢測(cè)系統(tǒng)，并且引入更加先進(jìn)的人工智能技術(shù)，提高網(wǎng)絡(luò)數(shù)據(jù)信息的保護(hù)水平。因此，網(wǎng)絡(luò)入侵檢測(cè)可以根據(jù)網(wǎng)絡(luò)接人設(shè)備、訪問(wèn)用戶和應(yīng)用軟件規(guī)模，引入先進(jìn)的網(wǎng)格算法和人工智能技術(shù)，提高網(wǎng)絡(luò)入侵檢測(cè)的廣度和深度，進(jìn)一步改進(jìn)入侵檢測(cè)的準(zhǔn)確度，保護(hù)互聯(lián)網(wǎng)信息不被破壞，為政企單位提供一種安全的、可靠的網(wǎng)絡(luò)服務(wù)。