网络入侵检测研究进展综述　王怀峰　（１．河南大学远程与继续教育学院，河南开封　，高广耀　

４７５００１；２．河南电视广播大学，河南郑州４５０００８）　

圈　

摘要：网络入侵检测技术是网络安全研究的热点，对近年来误用入侵检测和异常入侵检测方法的研究成果进行了回顾，介绍　了其模型和算法，对未来的研究方向进行了展望。　关键词：网络入侵、／，￣ｆｌ检测、异常检测　

Ａ　ｓｕｍｍａｒｉｚａｔｉｏｎ　ｏｆ　ｄｅｖｅｌｏｐｍｅｎｔ　ｉｎ　ｔｈｅ　ｓｔｕｄｙ　ｏｆ　Ｎｅｔｗｏｒｋ　Ｉｎｔｒｕｓｉｏｎ　Ｄｅｔｅｃｔｉｏｎ　ＷＡＮＧ　Ｈｕａｉ－ｆｅｎｇ　，ＧＡＯ　Ｇｕａｇ－ｙａｏ　｛｜　Ｓｃｈｍ／ｏｆ　Ｅｓｔａｎｃｅ　ａｎｄ　Ｃｏｎｔｉｎｕｉｎｇ　Ｅｄ＃ｃａ＃ｏｎ，Ｈｅｎａｎ　Ｕｍ￣＇ｅｍ＃ｙ，ｔ（ａ＃ｅｎｇ，＃ｅｎａｎ　４７５００１：　２　Ｃｈｉｎａ；＃ｅｎａｎ　∞＆Ｔｅ绝Ｖｆｓ　Ｕｎｉｖｅｒｓｉｔｙ，Ｚｈｅｎｇｚｈｏｕ，№滟ｎ　４＃ｃｏｏ＆Ｃｈｉｎａ）　

Ａｂａｔｒａｃｔ：Ｎｅｔｗｏｒｋ　Ｉｎｔｒｕｓｉｏｎ　ｄｅｔｅｃｔｉｏｎ　ｔｅｃｈｎｉｑｕｅ　ｉｓ　ａ　ｈｏ％ｐｏｉｎｔ　ｉｎ　ｔｈｅ　ｓｔｕｄｙ　ｏｆ　ｎｅｔｗｏｒｋ　ｓａｆｅｔｙ，ｔｈｉｓ　ｐａｐｅｒ　ｆｉｒｓｔ　ｒｅｖｉｅｗｅｄ　ｔｈｅ　ｒｅｓｅａｒｃｈ　ｆｉｎｄｉｎｇｓ　ｏｆ　Ｍｉｓｕｓｅ　Ｄｅｔｅｃｔｉｏｎ　ａｎｄ　Ａｎｏｍａｌｙ　Ｄｅ％ｅｃ％ｉｏｎ　ｉｎ　ｒｅｃｅｎｔ　ｙｅａｒｓ，ｔｈｅｎ　ｐｒｏｓｐｅｃｔｅｄ　ｔｈｅ　ｆｕｔｕｒｅ　ｒｅｓｅａｒｃｈ　ｄｉｒｅｃｔｉｏｎｓ．　Ｋｅｙ　ｗｏｒｄｓ：Ｎｅｔｗｏｒｋ　Ｉｎｔｒｕｓｉｏｎ，Ｍｉｓｕｓｅ　Ｄｅｔｅｃｔｉｏｎ，Ａｎｏｍａｌｙ　Ｄｅｔｅｃｔｉｏｎ　

随着网络技术和网络规模的发展，网络入侵Ｅｌ　益严重，其造成的系统破坏、信息泄露、数据损毁、　非法控制等安全问题对网络的发展造成了巨大的威　胁。为了保证网络安全，各种网络安全技术应运而　生，如防火墙、网络入侵检测技术、安全扫描技术　等，其中网络入侵检测技术因其主动防御的特性而　成为研究的热点。　１网络入侵检测技术简述　网络入侵检测技术就是通过收集和分析各种网　络行为、安全日志、审计数据及其他网络上的相关　信息，检查网络或系统中是否违反安全策略的行　为，从而予以响应，阻止可能的入侵行为，降低甚　至避免入侵的危害。入侵检测方法分为两类：异　常入侵检测（Ａｎｏｍａｌｙ　Ｄｅｔｅｃｔｉｏｎ）和误用入侵检　测（Ｍｉｓｕｓｅ　Ｄｅｔｅｃｔｉｏｎ）“　。误用入侵检测是通过提　取已知的入侵行为的特征，构造入侵行为的规则库。　如果某个行为与规则库中的规则匹配，则判断该行　为属于入侵行为，作出响应。常用的误用入侵检测　方法有：基于条件概率的误用检测方法、基于状态　迁移分析的误用检测方法、基于键盘监控的误用检　测方法、基于规则的误用检测方法、基于专家系统　的误用检测方法、基于模型推理的误用检测方法、　基于Ｐｅｔｒｉ网状态转换的误用检测方法等　。误用　检测能够准确检测到已知的攻击事例，但对未知的　攻击行为无能为力。异常检测依赖于异常模型的建　立，模型不同检测方法也不同。常用的异常入侵检　测方法有：基于特征选择的异常检测方法、基于数　据挖掘的异常检测方法、基于模式预测的异常检测　方法、基于贝叶斯网络的异常检测方法、基于贝叶　斯推理的异常检测方法、基于贝叶斯聚类的异常检　测方法、基于机器学习的异常检测方法、基于数据　挖掘的异常检测方法、基于神经网络的异常检测方　法、基于统计的入侵检测方法等。异常检测可以检　测到新型的攻击，具有较低的漏警率，因而近年来　研究成果较多，其缺点是误警率高。　

２　０　１　１．１　２国田园园圜　５８　舻Ｎ　ｗ　Ｆ；Ｃ　Ｏｌ９ｔ　２误用入侵检测研究进展　近年来，误用入侵检测的研究相对较少，但也　出现了一些新的成果。张宗飞　针对基于网络误用　入侵检测模型的入侵特征库构建困难、自适应差的　缺点，提出了一种基于量子遗传算法的入侵特征库　优化算法，通过选取协议中容易被攻击和修改的特　征值，经组合和编码后构成算法的初始种群，然后　以检测率和误警率为评价指标设计适应度函数，利　用量子旋转门更新染色体，随着算法的运行逐代优　化种群。算法提高了寻优能力和收敛速度；算法优　化后的种群提高了检测能力和自适应性。危胜军　等　提出了基于模糊Ｐｅｔｒｉ网的误用入侵检测方法，　将类似于神经网络的学习引入模糊Ｐｅｔｒｉ网，以调　整攻击知识模型参数。该模型具有更高的推理效率，　能从环境中动态学习调整知识模型的相关参数，提高　了误用入侵检测系统的检测率。郭庆北等　提出了基　于用户可信度的误用入侵检测模型，该模型针对通　用检测框架ＣＩＤＦ（Ｃｏｍｍｏｎ　Ｉｎｔｒｕｓｉｏｎ　Ｄｅｔｅｃｔｉｏｎ　Ｆｒａｍｅｗｏｒｋ）结构中缺少入侵等级划分的机制，提　出了基于用户可信度量化的等级划分方法，提高　了系统的合理性。在用户可信度ＩＤＳ（Ｉｎｔｒｕｓｉ０ｎ　Ｄｅｔｅｃｔｉｏｎ　Ｓｙｓｔｅｍ）中使用了局部性原理，进而改　善了签名匹配策略，提高了签名的匹配效率和准确　率。　

３异常入侵检测方法及研究进展　令狐红英　针对传统贝叶斯入侵检测算法没有　考虑不同属性和属性权值对入侵检测结果的影响导　致的分类准确度不高问题，提出了基于互信息可信　度的贝叶斯入侵检测算法。相对可信度定义为：　Ｒ—ＭＡ－３ｔ７：　１　：　

其中　

Ⅻ＝．Ｉｔｌ（Ｉ　Ｃ｛＝　‰（　１＼。ｑ　２　塑　。　ｐ（ａ　）ｍｃ　１　

式中：ｎ——属性Ａ的取值个数，ｍ——类别　

５９　溺囹圈固图２　０｛｛｛２　ＷＷｖｖ　ｎＳＣ　０ｒａ　Ｃ　１７　

数（Ｉ－＜ｊ　），ＭＩ　——属性Ａ与各个类问互信息的　最大值，ＭＩ，——属性Ａ与各个类问互信息的次大　值。（ＭＩ，ＭＩ，）的值越大，说明属性Ａ对分类的作用　最大，相对可信度越高。把ＭＩ，作为分母是为了把　相对可信度定义为一个无量纲的相对值。将相对可　信度Ｒ作为属性权值引入贝叶斯算法中，得到优化　的贝叶斯网络入侵检测算法（ＭＩ－ＮＢ）：　

（　）　ｒｇｍａ＊：Ｐ　。’ｌ＿ｌ　。　ＭＩ—ＮＢ算法能大大降低分类数据的维数，比　

传统贝叶斯检测算法及改进算法有更高的分类准确　率。　王海艳等”　等针对普通ＢＰ神经网络算法学习　收敛速度慢、易造成局部极小的问题，提出一种改　进的ＢＰ神经网络入侵检测方法，其采用拟牛顿的　方法进行学习，即对目标矩阵求二阶导数，公式　为：　一＋　

…　ｉ　

１　１｝　

其中　为参数，可取任何实数，而　

＝（ｖＨ。　丢一　Ｊ　

其中Ｈ　为线性可导矩阵，ｙ　为Ｈ　的一阶导数　矩阵，、ｊ为ｙ　的转置，ｓ　为Ｓ　的转置。公式通过　迭代的方法根据已有矩阵求出修改后的矩阵，达到　学习的效果，从而逐步探测到最优点。该算法通过　求二阶导数大大提高了收敛速度，快于ＢＰ神经网　络学习速度，且通过二阶导数的求取消除了局部极　小问题。　单冬红等　针对网络入侵数据的高维、非线性　和冗余等特点，提出了一种基于主成分分析的遗传　神经网络入侵检测方法。其首先对网络入侵的数据　维数利用主成分分析进行降维处理，消除数据之间　的冗余信息，简化神经网络的输入，然后采用遗传　算法对神经网络的权值进行优化，加快神经网络的　学习速度，最后采用优化的神经网络模型对主成分　分析后的数据进行检测，捕捉网络入侵神经的非线　性规律。该方法实现了学习速度快，检测正确率高、　漏报率与误报率低。卢辉斌等　提出了一种基于样　条权函数神经网络的入侵检测系统模型，其具有训练　权个数少、速度快、拓扑结构简　等性能。王慧“　针　对传统的预测方法难以预测大规模网络的负责攻击　行为，利用基于灰色理论的ＢＰ神经网络算法，对　网络传输中的数据包建模、分析和检测识别，提高　了预测精确度和效率。　贾世国等“　等将数据挖掘用于网络入侵检测系　统的设计，其模型在Ｓｎｏｒｔ入侵检测系统的基础上，　利用数据挖掘技术增加了聚类分析模块、异常检测　引擎和关联分析器，系统能够有效地检测到新的入　侵行为，提高了检测的速度。刘晓亮　提出了一　种基于数据挖掘的无指导自适应入侵检测系统。系　统能够通过有效结合聚类、关联规则数据挖掘方法，　自动进行检测规则的提取。其流程如图１所示。　图１基于数据挖掘的无指导自适应入侵检测系统流程图　其中无指导的异常检测方法基于两个假设：（１）　入侵数据与正常数据之间的差异很大；（２）入侵数　据在数量上只占整个数据流比例的少数。通过改进　的ｋ—ｍｅａｎｓ类聚算法，以两个假设为依据，选取　恰当的各参数阀值，可以将正常与异常数据较好地　分开。通过数据的划分，形成若干数据集。规则提　取引擎通过对这些数据集进行规则挖掘，生成表征　不同的数据集规则。这些数据经聚类划分后，正常、　异常数据被划分入不同的数据集进行规则提取。对　于产生的无用规则使用Ａｐｒｉｏｒｉ算法进行规则挖掘，　在挖掘过程中采取了一些措施进一步甄选规则。系　统具有较好的检测性能和白适应能力。　将人工免疫技术用于计算机网络的异常入侵检　测产生了一些新的研究成果。黄建忠“　等将人工　免疫技术（Ａｒｔｉｆｉｃｉａｌ　Ｉｍｍｕｎｅ　Ｓｙｓｔｅｍ）运用于存　储异常检测，提出了一种基于ＡＩＳ的新的异常检测　方案即存储异常检测访问系统（Ｓｔｏｒａｇｅ　Ａｎｏｍａｌｙ　Ｄｅｔｅｃｔｉｏｎ　Ｓｙｓｔｅｍ，ＳＡＤＳ），与网络入侵检测系统　协同构筑两层检测体系，提高了检测率。符海东“　将　Ｒｏｕｇｈ理论和人工免疫结合构造一种新的入侵检测　方法。其通过Ｒ０ｕｇｈ集理论对网络数据约简得到　规则检测器，使用规则检测器设计了基于Ｒｏｕｇｈ　集的反向选择算法，得到免疫检测器。利用免疫检　测器和规则检测器，构造了基于Ｒｏｕｇｈ集人工免　疫的入侵检测算法。刘帅　等提出的基于人工免疫　的新型入侵检测模型改进了目前基于免疫的入侵检　测系统中抗原、抗体的静态描述方式，给出了抗原、　抗体的动态描述方式和变化机制；针对传统固定ｒ　连续位匹配方法的不足，提出了一种ｒ可变匹配机　制，降低了误报、漏报率。鱼静　建立了一种新的　基于免疫原理的分布式入侵检测系统模型，给出了　一种可行的将具有部分重复检测空间的检测子尽量　分配到不同检测节点的方法，与单纯的顺序分配相　比，该策略能在部分检测节点失效时系统依然维持　较高的检测率，提高了入侵检测系统的鲁棒性。　

４结束语　网络入侵检测技术是近年来网络安全研究方面　的热点，数据挖掘、粗糙集理论、人工免疫理论、　贝叶斯算法、神经网络等理论技术应用于网络入侵　检测，产生了一些新的方法、模型，本文对这些研　究成果进行了回顾。蚁群算法、移动Ａｇｅｎｔ、图论　等技术也正在运用到网络入侵检测中，这些研究值　得关注。　

参考文献：　…蒋建春，马恒太，任党恩，卿斯汉．网络安全入侵检测　研究综述．软件学报，２０００，