网络入侵检测技术的研究进展与展望

魏鹏飞

摘要：网络入侵检测是一种互联网安全防御技术，经过多年的应用和实践，已经引入很多更加先进的技术，比如深度包过滤技术、深度学习技术、固件技术，不仅可以提高网络入侵检测的可靠性和准确度，还可以提高网络入侵检测的速度。当前，互联网接入设备不断增多，不仅包括服务器、交换机、路由器等有线设备，还包括智能手机、平板电脑等无线设备，因此网络组成架构和接入设备更加复杂，更加容易产生系统漏洞，受到网络中潜在的病毒或木马攻击，因此未来还需要引入网格算法以及其它人工智能技术，进一步提高网络入侵检测的成效，保护网络安全运行。

关键词：网络入侵检测;深度包过滤;深度学习;人工智能

中图分类号：TP309 文献标识码：A 文章编号：1007-9416（2020）05-0180-01

0引言

随着云计算、大数据、5G通信等技术的快速发展，人们已经进入到了“互联网+”社会，基于互联网开发了许多的分布式应用软件，覆盖了智能旅游、在线学习、金融交易、智能制造、娱乐游戏等许多领域，大大地提高了人们工作、生活和学习的便捷性。互联网可为人们提供数据信息服务，而互联网组成设备、操作系统、应用软件等多种软硬件资源集成在一起产生的漏洞较多，为木马和病毒的入侵带来了一定的隐患。比如互联网病毒或木马可以发起DDOS攻击，在短时间内制造数以亿计的访问请求，这样就会占用网络带宽资源，导致正常用户无法访问服务器，也就会导致网络无法正常访问，影响用户的正常使用，为用户带来了非常巨大的损失。DDOS攻击通常分为带宽攻击和连通性攻击，带宽攻击可以在瞬时使用大量的非法数据包占用网络带宽资源，合法用户无法及时的访问服务器，大大的降低了网络效率。因此，网络安全研究机构提出了入侵检测技术，该技术可以收集网络中的各种信息，提供给入侵检测分析引擎，利用既定的规则判定入侵行为，及时地查杀病毒或木马，阻止入侵者破坏网络服务，具有一定的防御作用。

1网络入侵检测技术研究进展

网络入侵检测可以被部署于企业内网中，根据实际需求设定运行时间，也可以启动实时检测功能，以便监控网络是否存在漏洞或非法入侵。网络入侵检测最为核心的部分就是数据分析，由于互联网的流量大、网络系统设备多，因此常规的数据分析无法满足需求，逐渐引入了深度包过滤技术、深度学习技术和固件技术，提高了网络入侵检测的速度、准确度。

深度包过滤是一种软硬件结合技术，其可以深度分析网络中的每一个数据包内容，不仅包括包头，还包括其他数据内容协议字段的数据，检查每一个数据包的内容，同时结合硬件技术，提高了网络入侵检测的速度。深度包过滤可以根据网络入侵需求设置过滤规则，采用启发式的网络安全防御软件，详细地分析IP地址和MAC地址是否符合规则，如果IP地址及MAC地址安全，此时可以通过网络关口访问服务器;如果不安全则无法通过。深度包过滤还可以针对数据包内的内容进行分析，从而可以查看每一个数据包内是否存在不合安全要求的信息字段。深度包过滤经过多年的普及，可以根据部署位置和保护对象的设置不同的深度包过滤工具，包括数据库、Web服务器和网关服务器等，较好的保护网络不受到损坏，同时部署代价也非常低，可以进一步提高网络防御性能。

深度学习是一种自动化学习和分析技术，其基于卷积神经网络，增加了池化层和全连接层，因此可以增加卷积神经网络学习的深度和广度，应用到网络入侵检测中，能够将原始的网络信息流输入到深度学习模型中，然后采用Sigmoid函数进行特征分析和映射，从而可以提高网络入侵检测的准确度，还可以减少网络数据的特征数量，提高网络安全分析效率。目前，深度学习最为关键的应用就是记录和分析攻击信息，尽可能地采集详细的攻击数据，记录黑客、病毒或木马完整的攻击过程，尤其是当攻击源主机与网络服务器进行信息交互时，可以使用先进的深度包过滤系统，记录每一个进出网络的数据包，深度学习系统在采集到所有数据之后，可以及时地针对这些数据进行分析和识别，发现黑客攻击行为特征，识别潜在的风险和危害，及时启动杀毒软件清除攻击数据。深度学习可以针对黑客攻击的风险进行过滤和控制，以避免黑客发觉采用了防御技术而转移攻击目标。

固件技术是一种软硬系统结合技术，比如网络入侵检测系统可以将深度学习技术作为一个固化的软件，嵌入到一些硬件设备中，从而提高深度学习的检测效率。固件也存在一定的缺陷，也即是不能够实时地学习网络入侵检测特征，这样就会导致网络入侵检测落后于病毒或木马的变异速度，不能够识别最新的网络入侵威胁。

2网络入侵检测技术未来发展趋势研究

目前，随着互联网的发展，人们又提出了物联网、车联网等概念，大大地扩展了互联网的应用范围和领域，随之而来的是互联网的接入设备、访问用户、应用软件等越来越多，互联网的构成不仅包括有线设备，还包括无线设备，因此网络拓扑结构的构成更加复杂，传统的网络入侵检测技术已经无法满足高效的、快速的、准确的、实时的应用需求，需要继续引入更加先进的网络算法和人工智能技术，以便能够提高入侵检测覆盖深度，进一步提升网络入侵检测准确度。

目前，入侵检测系统的方法包括特征检测、异常检测、状态检测和协议分析，一定程度上这些检测技术都存在缺陷，无法很好地识别大规模的组合式和分布式入侵攻击需求，因此引入网格算法，可以将互联网按照不同的方法划分区域，实现骨干网、通信网、核心网的不同检测，既可以降低检测时的资源占用率，还可以更加广泛地进行实时检测。人工智能技术经过多年的发展，已经在很多领域得到应用，比如机器人、虚拟现实等，网络入侵检测引人更加先进的人工智能技术，比如遗传算法、机器学习、模式识别等，进一步提高了网络入侵检测特征分析的准确度。

3结语

网络入侵检测是一个复杂的系统，其需要随着网络安全防御需求而进行改进，以便能够适用于不同的应用场景，比如小型企业部署一个简单的入侵检测系统;大型互联网内容服务商，比如腾讯云、阿里云、华为云等，都需要部署一个先进的入侵检测系统，并且引入更加先进的人工智能技术，提高网络数据信息的保护水平。因此，网络入侵检测可以根据网络接人设备、访问用户和应用软件规模，引入先进的网格算法和人工智能技术，提高网络入侵检测的广度和深度，进一步改进入侵检测的准确度，保护互联网信息不被破坏，为政企单位提供一種安全的、可靠的网络服务。