【正文】 授權(quán)活動(dòng)。 為了提高入侵檢測(cè)系統(tǒng)的檢測(cè)能力， 本文 在了解信息安全和入侵檢測(cè)概念的基礎(chǔ)上，分析神經(jīng)網(wǎng)絡(luò)模型，采用單個(gè)神經(jīng)網(wǎng)絡(luò)分別對(duì)樣 本進(jìn)行訓(xùn)練，然后，通過(guò)遺傳算法尋找那些差異較大的神經(jīng)網(wǎng)絡(luò)進(jìn)行集成，并將研究的模型應(yīng)用于入侵檢測(cè)系統(tǒng)中，提出相應(yīng)的處理方案，得到最后的結(jié)果。 關(guān)鍵詞 ： 網(wǎng)絡(luò)安全 入侵檢測(cè) 神經(jīng)網(wǎng)絡(luò) 集成學(xué)習(xí) 遺傳 算法 II Abstract Intrusion detection is a logical addition to firewall, it helps the system to deal with work attacks, expanded the system administrator39。s security management capabilities, improve the integrity of the information security infrastructure. Intrusion detection technology is a dynamic work detection technology, mainly used to identify puters and work resources on the malicious use of behavior, including acts of invasion from external users and internal users without the mandated activities. In order to improve detection of intrusion detection system, this paper to understand the concept of information security and intrusion detection based on analysis of neural work model, using a single neural work training samples, respectively, and then, through the geic algorithm to find large differences in the neural work that integration, and research models are applied to intrusion detection system, the corresponding processing program, get the final results. Keywords: work security intrusion detection neural work Integrated Learning geic arithmetic 1 1 引言 信息使用比例的加大， 使得 社會(huì)對(duì)信息的真實(shí)程度，保密程度的要求不斷提高，而網(wǎng)絡(luò)化又使因虛假、泄密引起的信息危害程度 越來(lái)越大。如近幾年的大學(xué)英語(yǔ)四、六級(jí)考題泄露事件，通過(guò)網(wǎng)絡(luò)操作 使 得股民帳戶(hù)受損事件，“熊貓燒香”病毒導(dǎo)致計(jì)算機(jī)網(wǎng)絡(luò)大面積癱瘓等影響都是全國(guó)性的。如何能在 在不影響網(wǎng)絡(luò)性能的情況下能對(duì)網(wǎng)絡(luò)進(jìn)行監(jiān)測(cè)，提供對(duì)內(nèi)部攻擊、外部攻擊和誤操作的實(shí)時(shí)保護(hù) ， 是 網(wǎng)絡(luò)安全的重要課題。 研究的背景和意義 隨著人類(lèi)社會(huì)對(duì) Inter需求的日益增長(zhǎng)，網(wǎng)絡(luò)安全逐漸成為 Inter及各項(xiàng)網(wǎng)絡(luò)服務(wù)和應(yīng)用進(jìn)一步 發(fā)展所需解決的關(guān)鍵問(wèn)題，尤其是從 1993年以來(lái)，隨著 Inter/Intra技術(shù)日趨成熟，通過(guò) Inter進(jìn)行的各種電子商務(wù)和電子政務(wù)活動(dòng)日益增多，很多組織和企業(yè)都建立了自己的內(nèi)部網(wǎng)絡(luò)并將之與 Inter聯(lián)通。這些電子商務(wù)和政務(wù)應(yīng)用和企業(yè)網(wǎng)絡(luò)中的商業(yè)秘密便是攻擊者的目標(biāo)，據(jù)統(tǒng)計(jì)目前網(wǎng)絡(luò)攻擊手段多達(dá)數(shù)千種，使網(wǎng)絡(luò)安全問(wèn)題變得極其嚴(yán)峻 [1]。在網(wǎng)絡(luò)安全技術(shù)中，防火墻是第一道防御屏障。一般它位于路由器之后，為進(jìn)出網(wǎng)絡(luò)的連接提供安全訪問(wèn)控制。但一般網(wǎng)絡(luò)系統(tǒng)必須對(duì)外開(kāi)放一些應(yīng)用端口，如 80、 110等 ，這時(shí)防火墻的不足就會(huì)充分體現(xiàn)出來(lái)，并且防火墻對(duì)內(nèi)部攻擊無(wú)能為力；同時(shí)，防火墻絕對(duì)不是堅(jiān)不可摧的，即使是某些防火墻本身也會(huì)引起一些安全問(wèn)題。 信息安全的 PDRR模型充分說(shuō)明了檢測(cè)的重要性。入侵檢測(cè)是防火墻的合理補(bǔ)充，它幫助系統(tǒng)對(duì)付網(wǎng)絡(luò)攻擊，擴(kuò)展了系統(tǒng)管理員的安全管理能力，提高了信息安全基礎(chǔ)結(jié)構(gòu)的完整性。入侵檢測(cè)技術(shù)是一種動(dòng)態(tài)的網(wǎng)絡(luò)檢測(cè)技術(shù)，主要用于識(shí)別對(duì)計(jì)算機(jī)和網(wǎng)絡(luò)資源的惡意使用行為，包括來(lái)自外部用戶(hù)的入侵行為和內(nèi)部用戶(hù)的未經(jīng)授權(quán)活動(dòng)。入侵檢測(cè)系統(tǒng)（ IDS）由入侵檢測(cè)軟件和硬件組合而成，被認(rèn)為是防火墻之后的 第二道安全閘門(mén)，在不影響網(wǎng)絡(luò)性能的情況下能對(duì)網(wǎng)絡(luò)進(jìn)行監(jiān)測(cè)，提供對(duì)內(nèi)部攻擊、外部攻擊和誤操作的實(shí)時(shí)保護(hù) [2]。 在入侵檢測(cè)領(lǐng)域內(nèi)應(yīng)用最為廣泛，同時(shí)也是最成熟的技術(shù)仍然是基于專(zhuān)家系統(tǒng)的規(guī)則化檢測(cè)技術(shù)。但是，隨著系統(tǒng)安全環(huán)境特別是網(wǎng)絡(luò)系統(tǒng)安全形式的變化，傳統(tǒng)的基于專(zhuān)家系統(tǒng)的檢測(cè)技術(shù)暴露出若干局限性和不足。近年來(lái)，大量不同于傳統(tǒng)專(zhuān)家系統(tǒng)技術(shù)的入侵 2 檢測(cè)方法紛紛涌現(xiàn)，其中基于人工神經(jīng)網(wǎng)絡(luò)檢測(cè)技術(shù)的發(fā)展尤為突出。人工神經(jīng)網(wǎng)絡(luò)是模擬人腦加工、存儲(chǔ)和處理信息機(jī)制而提出的一種智能化信息處理技術(shù)，它是由大量簡(jiǎn)單的處理單元（神經(jīng)元 ）進(jìn)行高度互連而形成的復(fù)雜網(wǎng)絡(luò)系統(tǒng)。從本質(zhì)上講，人工神經(jīng)網(wǎng)絡(luò)實(shí)現(xiàn)的是一種從輸入到輸出的映射關(guān)系，其輸出值由輸入樣本、神經(jīng)元間的互連權(quán)值以及傳遞函數(shù)所決定。神經(jīng)網(wǎng)絡(luò)具備高度的學(xué)習(xí)和自適應(yīng)能力，通過(guò)學(xué)習(xí)能夠識(shí)別全新入侵行為特征的能力，可以克服基于專(zhuān)家系統(tǒng)檢測(cè)技術(shù)的局限性 [3]。 國(guó)內(nèi)外研究現(xiàn)狀 對(duì)于神經(jīng)網(wǎng)絡(luò)技術(shù)在入侵檢測(cè)中的應(yīng)用，前人已經(jīng)做了若干研究工作。 Debar 等人采用遞歸型（ Recurrent） BP 網(wǎng)絡(luò)，在對(duì)所收集的審計(jì)記錄進(jìn)行分析的基礎(chǔ)上，對(duì)系統(tǒng)各用戶(hù)的行為方式進(jìn)行建模，并同時(shí)結(jié)合傳統(tǒng)的專(zhuān)家系 統(tǒng)進(jìn)行入侵檢測(cè)。 Tan 為適應(yīng)入侵檢測(cè)的要 求 ，對(duì)傳統(tǒng)的多層前饋網(wǎng)絡(luò)（ MLFF）的訓(xùn)練算法進(jìn)行改進(jìn)，并用于建模用戶(hù)的各個(gè)行為特征。 Hogluand 等人提出了基于一維 SOM（自組織特征映射）網(wǎng)絡(luò)的異常檢測(cè)算法對(duì)用戶(hù)行為特征進(jìn)行判斷，并建立了原型系統(tǒng)。 Ghosh 和 Schwartzbard 采用基于多層感知器（ MLP）的異常檢測(cè)模型，通過(guò)對(duì)程序執(zhí)行中系統(tǒng)調(diào)用序列記錄的分析，來(lái)監(jiān)視特定的程序的運(yùn)行狀態(tài)。他們使用了數(shù)百個(gè)訓(xùn)練樣本，獲得了在大致 3%的虛警概率條件下 77%的檢測(cè)概率。 Ghosh等人同時(shí)還進(jìn)行了濫用檢測(cè)技術(shù)的研究 ，其工作結(jié)果表明基于 MLP 的濫用檢測(cè)模型具備更高的虛警概率，性能不及異常模型。進(jìn)一步地， Ghosh 等人采用另一種神經(jīng)網(wǎng)絡(luò)模型 —— Elman網(wǎng)絡(luò)，取得了零虛警概率下 77%的檢測(cè)概率。 Ryan等人對(duì)用戶(hù)每天所執(zhí)行的 Shell 命令進(jìn)行統(tǒng)計(jì)計(jì)數(shù)，并采用標(biāo)準(zhǔn)的 BP 網(wǎng)絡(luò)對(duì)所形成的用戶(hù)行為特征矢量（由各個(gè)命令的執(zhí)行次數(shù)組成）進(jìn)行訓(xùn)練和識(shí)別。 隨著網(wǎng)絡(luò)互聯(lián)環(huán)境的飛速發(fā)展，基于網(wǎng)絡(luò)流量分析的入侵檢測(cè)技術(shù)逐漸流行。 Cannady和 Mahaffey將 MLP 模型和 SOM/MLP 混合模型應(yīng)用到基于網(wǎng)絡(luò)流量的濫用檢測(cè)模型中。在基于 MLP 模型的入侵檢測(cè)技術(shù)中， Cannady等人根據(jù)網(wǎng)絡(luò)數(shù)據(jù)包的若干協(xié)議字段值（如協(xié)議類(lèi)型、屬性字段值、負(fù)載長(zhǎng)度和內(nèi)容等）構(gòu)建特征矢量，提供給 MLP 網(wǎng)絡(luò)進(jìn)行訓(xùn)練學(xué)習(xí)。訓(xùn)練完畢后，對(duì)測(cè)試樣本集進(jìn)行測(cè)試。實(shí)驗(yàn)結(jié)果表明，該模型可以從正常網(wǎng)絡(luò)流量中識(shí)別出諸如表示 ISS 和 Satan掃描、 SYN Flood 攻擊活動(dòng)的數(shù)據(jù)包。同時(shí) Cannady等人提出 SOM/MLP 混合模型，來(lái)檢測(cè)諸如 FTP 口令試探的時(shí)間上分散的攻擊行為。 SOM 網(wǎng)絡(luò)主要用于對(duì)數(shù)據(jù)包中的負(fù)載內(nèi)容進(jìn)行分析，作為 MLP 網(wǎng)絡(luò)的預(yù)處理單元并起到特征降維的作用。實(shí)驗(yàn)結(jié)果表 明，能夠 較 好地檢測(cè)到單位時(shí)間不同頻率的口令試探行為。 Bonifacio 3 等人首先構(gòu)建網(wǎng)絡(luò) 會(huì)話 的數(shù)據(jù)矢量，并對(duì)數(shù)據(jù)負(fù)載中的可疑特征字符串進(jìn)行編碼，連同目標(biāo)端口號(hào)一起構(gòu)成 BP 網(wǎng)絡(luò)的輸入特征矢量，送入神經(jīng)網(wǎng)絡(luò)進(jìn)行訓(xùn)練。訓(xùn)練完畢后的 BP網(wǎng)絡(luò)即可進(jìn)行濫用入侵檢測(cè)。 MIT 的 Lippmann和 Cunningham明確提出采用關(guān)鍵詞和神經(jīng)網(wǎng)絡(luò)相結(jié)合的方法進(jìn)行網(wǎng)絡(luò)入侵檢測(cè)并針對(duì) Tel 服務(wù)對(duì)話進(jìn)行了相關(guān)研究。所采用方法是首先選擇一組關(guān)鍵詞表，然后在會(huì)話數(shù)據(jù)中對(duì)各個(gè)關(guān)鍵詞進(jìn)行計(jì)數(shù)并形成 n維的輸入特征矢量（ n為關(guān)鍵詞個(gè)數(shù)）。之 后，采用 MLP 網(wǎng)絡(luò)進(jìn)行訓(xùn)練和識(shí)別。實(shí)驗(yàn)?zāi)茉谶_(dá)到 80%檢測(cè)概率的基礎(chǔ)上將虛警概率降低到大約每天一次的水平 [4]。 神經(jīng)網(wǎng)絡(luò)具有概括和抽象能力，對(duì)不完整輸入信息具有一定程度的容錯(cuò)處理能力。而且它具備高度的學(xué)習(xí)和自適應(yīng)能力。入侵檢測(cè)領(lǐng)域研究的重點(diǎn)之一是分類(lèi)算法，單個(gè)的分類(lèi)算法由于自身的原因，總存在各種缺陷，算法的泛化能力不強(qiáng)。 1990 年 Schapire 證明一個(gè)概念是弱可學(xué)習(xí)的，其充要條件是強(qiáng)可學(xué)習(xí)的。這一定理說(shuō)明，多個(gè)弱分類(lèi)器可以集成為一個(gè)強(qiáng)分類(lèi)器，由此奠定了集成學(xué)習(xí)的理論基礎(chǔ)。 Hansen和 Salamon把各種 神經(jīng)網(wǎng)絡(luò)集成在一起，形成集成神經(jīng)網(wǎng)絡(luò)。通過(guò)研究，證明集成神經(jīng)網(wǎng)絡(luò)可以提高系統(tǒng)的泛化能力。 論文結(jié)構(gòu)安排 本文共分為 八 章，第一章引言，概要的給出與本課題相關(guān)的網(wǎng)絡(luò)安全的基本概念，目前在 IDS 領(lǐng)域的國(guó)內(nèi)外的研究概況，并引出將神經(jīng)網(wǎng)絡(luò)應(yīng)用于入侵檢測(cè)當(dāng)中。 第二章入侵檢測(cè)技術(shù)的 簡(jiǎn)介 。 對(duì)研究入侵檢測(cè)的必要性進(jìn)行說(shuō)明和介紹相關(guān)的概念以及入侵檢測(cè)工作的基本原理和工作模式。還對(duì)入侵檢測(cè)系統(tǒng)的分類(lèi)進(jìn)行了介紹并提出入侵檢測(cè)目前存在的局限性和未來(lái)的發(fā)展。 第三章神經(jīng)網(wǎng)絡(luò)的 簡(jiǎn)介 。本章首先介紹了 生物神經(jīng)元模型從而引 出人工神經(jīng)元模型，進(jìn)而對(duì)整個(gè)神經(jīng)網(wǎng)絡(luò)進(jìn)行了簡(jiǎn)介，并提出把神經(jīng)網(wǎng)絡(luò)應(yīng)用于入侵檢測(cè)系統(tǒng)。 第 四 章 基于 集成 神經(jīng)網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng) 。本章 先提出系統(tǒng)的設(shè)計(jì)并對(duì)其工作原理進(jìn)行解釋?zhuān)⑻岢黾蓪W(xué)習(xí)和遺傳學(xué)習(xí)兩個(gè)概念 。然后對(duì)集成神經(jīng)網(wǎng)絡(luò)算法進(jìn)行理論的分析，還對(duì)遺傳算法進(jìn)行了詳細(xì)的分析。把集成學(xué)習(xí)原理和遺傳算法結(jié)合起來(lái)，從而來(lái)論述基于遺傳算法的集成神經(jīng)網(wǎng)絡(luò)檢測(cè)方法。 最后 論述了整個(gè)算法的思想和步驟，對(duì)個(gè)體網(wǎng)絡(luò)的構(gòu)建和選擇進(jìn)行分析，最后論述了網(wǎng)絡(luò)的集成輸出。 第 五章 仿真 實(shí)驗(yàn)分析。對(duì)實(shí)驗(yàn)數(shù)據(jù)進(jìn)行分析，從而得出一些結(jié)論。 最后 一章 對(duì) 本文進(jìn)行總結(jié)。 4 2 入侵檢測(cè)技術(shù)簡(jiǎn)介 研究入侵檢測(cè)的必要性 在網(wǎng)絡(luò)安全技術(shù)中，防火墻是第一道防御屏障。一般它位于路由器之后，為進(jìn)出網(wǎng)絡(luò)的連接提供安全訪問(wèn)控制。但一般網(wǎng)絡(luò)系統(tǒng)必須對(duì)外開(kāi)放一些應(yīng)用端口，如 80、 110 等，這時(shí)防火墻的不足就會(huì)充分體現(xiàn)出來(lái)，并且防火墻對(duì)內(nèi)部攻擊無(wú)能為力；同時(shí)，防火墻絕對(duì)不是堅(jiān)不可摧的，即使是某些防火墻本身也會(huì)引起一些安全問(wèn)題。 信息安全的 PDRR 模型充分說(shuō)明了檢測(cè)的重要性。入侵檢測(cè)是防火墻的合理補(bǔ)充，它幫助系統(tǒng)對(duì)付網(wǎng)絡(luò)攻擊，擴(kuò)展了系統(tǒng)管理員的安全管理能力，提高了信息安全 基礎(chǔ)結(jié)構(gòu)的完整性。入侵檢測(cè)技術(shù)是一種動(dòng)態(tài)的網(wǎng)絡(luò)檢測(cè)技術(shù)，主要用于識(shí)別對(duì)計(jì)算機(jī)和網(wǎng)絡(luò)資源的惡意使用行為，包括來(lái)自外部用戶(hù)的入侵行為和內(nèi)部用戶(hù)的未經(jīng)授權(quán)活動(dòng)。入侵檢測(cè)系統(tǒng)（ IDS）由入侵檢測(cè)軟件和硬件組合而成，被認(rèn)為是防火墻之后的第二道安全閘門(mén)，在不影響網(wǎng)絡(luò)性能的情況下能對(duì)網(wǎng)絡(luò)進(jìn)行監(jiān)測(cè)，提供對(duì)內(nèi)部攻擊、外部攻擊和誤操作的實(shí)時(shí)保護(hù)。 入侵檢測(cè)的相關(guān)概念 美國(guó)國(guó)家安全通信委員會(huì)（ NSTAC）下屬的入侵檢測(cè)小組（ IDSG）在 1997 年給出的關(guān)于 “ 入侵 ” 的定義為：入侵是對(duì)信息系統(tǒng)的非授權(quán)訪問(wèn)以及（或者）未經(jīng)許 可在信息系統(tǒng)中進(jìn)行的操作。關(guān)于 “ 入侵檢測(cè) ” 的定義為：入侵檢測(cè)是對(duì)企圖入侵、正在進(jìn)行的入侵或者已經(jīng)發(fā)生的入侵進(jìn)行識(shí)別的過(guò)程。所有能夠執(zhí)行入侵檢測(cè)任務(wù)和功能的系統(tǒng)，都可成為入侵檢測(cè)系統(tǒng)，其中包括軟件系統(tǒng)和軟硬件結(jié)合的系統(tǒng)。 入侵檢測(cè)系統(tǒng)的基本原理 入侵檢測(cè)系統(tǒng) （ Instrusion Detection System,IDS） 的基本原理如圖 21 所示。主要分為四個(gè)階段：數(shù)據(jù)收集、數(shù)據(jù)處理、數(shù)據(jù)分析和響應(yīng)處理。 5 1） 數(shù)據(jù)收集 數(shù)據(jù)收集是入侵檢測(cè)的基 礎(chǔ)，通過(guò)不同途徑收集的數(shù)據(jù)，需要采用不同的方法進(jìn)行分析。目前的數(shù)據(jù)主要有主機(jī)日記、網(wǎng)絡(luò)數(shù)據(jù)包、應(yīng)用程序數(shù)據(jù)、防火墻日志等。 2） 數(shù)據(jù)處理 數(shù)據(jù)收集過(guò)程中得到的原始數(shù)據(jù)量一般非常大，而且還存在噪聲。為了進(jìn)行全面、進(jìn)一步的分析，需要從原始數(shù)據(jù)中去除冗余、噪聲，并且進(jìn)行格式化及標(biāo)準(zhǔn)化處理。 3） 數(shù)據(jù)分析 采用統(tǒng)計(jì)、智能算法等方法分析經(jīng)過(guò)初步處理的數(shù)據(jù)，檢查數(shù)據(jù)是否正常，或顯示存在入侵。 4） 響應(yīng)處理 當(dāng)發(fā)現(xiàn)入侵時(shí)，采取措施進(jìn)行防護(hù)、保留入侵證據(jù)并通知管理員。常用的措施包括切斷網(wǎng)絡(luò)連接、記錄日志、通過(guò)電子郵 件或電話通知管理員等。 入侵檢測(cè)系統(tǒng)的基本工作模式 入侵檢測(cè)系統(tǒng)的基本工作模式為： 1） 從系統(tǒng)的不同環(huán)節(jié)收集信息。 2） 分析該信息，試圖尋找入侵活動(dòng)的特征。 3） 自動(dòng)對(duì)檢測(cè)到的行為作出響應(yīng)。 4） 記錄并