第七章 入侵检测技术



                 （四）利用数据挖掘技术提升入侵检测能力
                 目前宽带网速大幅提升，使得大数据存储技术得到良好的发展前景。随着
            人口的增加，网民数量也随之加大，由此而产生的流量数据数以亿计，利用数据
            挖掘技术可以整体提升 IDS 的综合处理效果，特别是入侵者检测系统在大数据技
            术的辅助之下，可以对大规模、不准确的历史数据进行综合分析，进而从中提取

            一定的行为特征，提高辨别入侵规则的依据。由于计算机网络的安全在当今社会
            非常重要，而网民产生的网络信息和数据是巨大的，只有将 IDS 进行充分的改进，
            才能最大限度地保障广大网络用户的信息安全，才能使我国计算机网络产业更快

            速、稳定、健康地发展。

                 三、计算机网络安全入侵检测技术应用

                 （一）系统架构
                 为了解计算机网络安全入侵检测技术优化思路的价值，在系统架构的建设

            中采用了联合作业机制，以神经网络检测和智能检测并用的机制作为基础，另强
            调提升特异性分析能力，并应用临时隔离机制。
                 对本架构进行分析，可发现系统主要分为 4 个部分：一是广泛分布的执行

            终端，即神经元；二是智能检测结构；三是诊断处理终端；四是辅助终端。其中，
            神经元的数目共为 n 个，可根据被保护计算机的具体情况确定其数目，原则上尽
            可能增加神经元数目以提升其保护能力；为提升系统作业速率，仅设计一层神经
            网络，即执行层。来自各处的威胁，在就近检测原则下，会由最近的神经元进行
            感知。智能检测结构主要对神经元检测的入侵威胁（或疑似威胁）进行诊断，此

            结构为本系统的关键。诊断处理终端包括警报器、日志生成模块等，主要记录、
            警报检测结果，对可以确定的威胁进行粉碎，对疑似威胁进行隔离。辅助终端包
            括计算机、可视化设备等，负责对日志进行加工处理，并进一步反哺智能检测终

            端工作。这 4 个部分以默认程序进行操控，借助 PLC 逻辑控制实现大型计算机
            内程序的逻辑管理，普通计算机则以默认程序进行管理。
                 （二）工作原理
                 其主要工作原理包括神经元感知、智能诊断检测两个方面。其中，神经元
            感知原理较为简单，是对神经网络入侵检测技术的部分提取和简化，主要发挥其

            广泛分布神经元检测范围较大、灵敏性高的优势，而在仅设置一层神经网络的情


                                                                                    197
                                                                                    197