设计入侵检测模型

传统的入侵检测存在一些问题，如搜索算法可能陷入局部最优解，无法找到所有非法访问的网络。针对这一问题，入侵检测模型是基于遗传算法，是混合的。也就是说，入侵检测采用多种检测方法，检测的基础是遗传算法，然后采用异常检测和误用检测。同时，该模型在不同的拓扑结构中可以采用不同的架构方法，具有很强的可扩展性和适应性。信息源的考虑是检测主机和网络的数据。通过数据分析引擎处理主机的数据主要是日志，CPU运行数据、内存使用数据、主机连接数量等；网络数据一般包括网络协议、网络数据包、网络统计数据等。这些数据是由于WinPcap捕获的。此外，还在网络中设置了主动扫描模块，完成网络中可能出现的漏洞，为后续的入侵分析提供大量信息。入侵检测模型不仅检测网络数据，还检测主机数据；有两个方面：误用和异常。然后将两者结合起来进行分析。传统的检测方法一般都是单一的检测，对于多样化的网络信息，效果并不理想；其误报率较高。混合检测方法相对单一，有效改进。检测信息源的多样性大大提高了检测率，二层联合分析大大降低了系统的误警率。混合入侵检测系统所采用的系统架构是可扩展的。它对应用场合的适应性很强，如果网络环境不同，可以建立不同的系统架构。系统在接口和通信方面采用标准协议，即系统兼容性和可扩展性较好。如图1所示，入侵检测模型的模块包括数据采集、网络数据捕获、管理单元分析、主机信息采集器等。数据采集模块分为主机和网络两个方面。捕获网络数据需要按照数据包截取、分析和存储的步骤进行，所有需要分别设置三个子模块。该系统的核心是分析器和管理器。其中，分析器分别分析异常和误用，然后一起分析，这是入侵检测的核心任务。管理器有两个功能：（1）控制和配置分析器和整个系统；（2）接收分析器的信息来控制反应单元和报告单元。由于企业网络中有几个子网，每个子网都需要通过网络数据捕获器收集数据，每个子网都需要部署一个。所有子网络的每个主机都需要设置相应的收集器来收集主机信息，并将信息传递给分析管理单位，判断是否有入侵检测，并得到是否有入侵检测的判断。

虽然网络给企业的信心管理带来了极大的便利，但网络安全问题也是一个非常困难的问题。为了确保企业的网络安全，我们需要从技术、法律和内容等多个方面入手。其中，技术角度是最直接的网络安全保障方式。本文是基于遗传算法改进的混合入侵检测模型，可以利用遗传算法找到最佳的入侵检测策略，结合信息源和检测手段，最大限度地提高检测率，降低误警率。