机器学习在网络攻击检测中的应用

河南科技2011.7上一、机器学习的应用背景由于计算机网络组成形式的多样性、终端分布的开放性和互联性等特征，导致重要的网络信息容易受到来自世界各地的恶意人为攻击。在网络攻击检测系统中，机器学习可以看做是为了提高攻击检测系统的性能而建立的计算机程序。机器学习应用于网络入侵检测，对网络的大量数据进行分析，并通过学习算法自动产生规则，能够为管理员提供决策帮助，从而使网络具有自动识别攻击的能力。开展网络攻击检测系统的机器学习方法研究，使网络攻击检测系统具有自学习和自升级的能力，可以改变传统网络攻击检测系统的被动局面，提高网络信息系统的安全防护能力。二、机器学习的发展过程与研究方向1.机器学习的发展过程。机器学习的发展经历了4个阶段：第一阶段是从20世纪50年代中叶到60年代中叶，属于机器学习的狂烈时期；第二阶段是从20世纪60年代中叶到70年代中叶，被称为机器学习的冷静时期；第三阶段是从20世纪70年代中叶到80年代中叶，称为机器学习的复兴时期；第四阶段从l980年至今，为机器学习的全面兴起时期。2.机器学习的研究方向。当前机器学习主要围绕3个方向进行研究：面向任务研究，在预定的一些任务中分析和开发学习系统，以便于改善完成任务的水平，这是在专家系统的研究中提出的研究问题；认识模拟研究，主要研究人类在学习过程中的计算机行为模拟，这是从心理学角度研究的问题；理论分析研究，即从理论上探讨各种可能的学习方法和独立于应用领域之外的各种算法。三、网络攻击检测的过程1.信息收集。网络攻击检测的第一步是信息收集，网络攻击检测在很大程度上依赖于所收集信息的可靠性和正确性。所以，必须要保证网络系统检测软件的完整性，特别是入侵检测系统软件本身应具有较强的坚固性，防止软件被篡改从而收集到错误的信息。2.网络入侵行为的标志。网络入侵的行为的标志主要有以下几种形式：系统或网络的日志文件不正常；网络流量变化异常；系统目录和文件变化异常；程序执行中的异常行为。3.信息分析。在收集了信息和明确了网络入侵行为的标志后，就要依据网络入侵行为标志采取有效的分析方法对收集到的信息进行分析比较，最后得出是否受到入侵的结论。目前，比较常用的分析方式有模式匹配法和统计分析法。四、机器学习在网络攻击检测中的应用1.数据挖掘的应用。数据挖掘，就是从数据库中抽取隐含的、以前未知的和具有潜在应用价值信息的过程，它是从大型数据库或数据仓库中发现并提取隐藏在其中有用信息的一种新技术，主要是为了帮助决策者寻找数据间存在的潜在关联。数据挖掘应用于网络攻击检测主要实现2种功能：在异常检测中，主要从审计数据中发现正常的使用模式；在滥用检测中，主要实现审计数据的编码并与攻击模式进行匹配。2.遗传算法的应用。在网络攻击检测系统中，可以利用遗传算法产生的简单规则对网络通信量进行监控。这些规则是通过把异常链接和正常链接进行比较后产生的。它们使用简单的单链接模式，能从网络链接中区分出正常链接和非正常链接。3.基于贝叶斯算法的入侵检测。贝叶斯算法是一种在已知先验概率和类条件概率模式下的分类方法，分样本的分类结果取决于各类域中的全体样本。贝叶斯算法方法先将入侵方式对应于一个事件序列，然后通过观测事件发生的情况推测出入侵来自外部事件序列，最后根据贝叶斯定理进行入侵检测推理。4.神经网络的应用。神经网络能够通过反复调节系统内部结构来进行学习。将神经网络用于滥用检测时，神经网络用非线性回归从非正常的的训练实例中提取信息进行预测。其中，所用的神经网络为多层感知器，在异常检测时，神经网络可以检测出潜在的攻击。在攻击检测系统中，可用BP（BackPropagation）模型对正常行为进行分类，对异常行为进行标记。神经网络方法的优点是实现原理简单，分类错误率低；缺点是学习时间较长，且容易陷入局部极小化的错误，所获取的知识解释能力差，在增加新知识时必须重新训练网络，且不能实现在线检测攻击。5.决策树算法的应用。决策树可看做是一个树状预测模型，它通过把实例从根节点排列到某个叶子节点来分类实例，叶子节点即为实例所属的分类。决策树的核心问题是如何选择分裂属性和决策树的剪枝。决策树算法有很多，如ID3，CA.5，CART等等。这些算法均采用自顶向下的贪婪算法，即每个节点选择分类效果最好的属性将节点分裂为2个或多个子结点，然后继续这一过程直到这棵树能准确地分类训练集，或者所有属性都已被使用过。决策树算法的优点在于分类规则直观，易于理解。虽然在机器学习领域已经研制出不少实施决策树的有效算法，但这种方法仅限于分类任务且错误率较高。五、结论与建议笔者认为，网络攻击检测系统中机器学习技术的发展必须要重视以下问题的研究：为攻击检测系统提供一个便于重复进行模式提取、系统特征选择、构筑及评价检测模型的整体过程；机器学习过程中需要用到大量的审计数据集，为了保证学习的质量和效率，有必要对这些审计数据进行评价；目前网络攻击种类繁多且在不断增加，开展网络攻击类别的自学习算法研究可以快速、有效地识别网络攻击。HK河南省科学技术信息研究院徐栋机器学习在网络攻击检测中的应用49