【正文】 進(jìn) [2]。 如果把防火墻比作大門警衛(wèi)的話，入侵檢測(cè)就是網(wǎng)絡(luò)中不間斷的攝像機(jī)，入侵檢測(cè)通過旁路監(jiān)聽的方式不間斷的收取網(wǎng)絡(luò)數(shù)據(jù)，對(duì)網(wǎng)絡(luò)的運(yùn)行和性能無任何影響，同時(shí)判斷其中是否含有攻擊的企圖，通過各種手段向管理 6 員報(bào)警。優(yōu)秀的防火墻甚至對(duì)高層的應(yīng)用協(xié)議進(jìn)行動(dòng)態(tài)分析，保護(hù)進(jìn)出數(shù) 據(jù)應(yīng)用層的安全。因此，它們對(duì)入侵行為的反應(yīng)非常遲鈍，很難發(fā)現(xiàn)未知的攻擊行為，不能根據(jù)網(wǎng)絡(luò)行為的變化來及時(shí)地調(diào)整系統(tǒng)的安全策略。 2020年 1月 12日， 國內(nèi)最大搜索引擎網(wǎng)站百度 遭到黑客 攻擊， 域名被篡改，造成多地網(wǎng)民無法訪問 。其中存貯、傳輸和處理的信息有許多是重要的政府宏觀調(diào)控決策、商業(yè)經(jīng)濟(jì)信息、銀行資金轉(zhuǎn)帳、股票證券、能源資源數(shù)據(jù)、科研數(shù)據(jù)等重要信息。 關(guān)鍵詞： 入侵檢測(cè)； 小波分析 ；神經(jīng)網(wǎng)絡(luò)；小波神經(jīng)網(wǎng)絡(luò)。 入侵檢測(cè) 作為 一種主動(dòng)的信息安全保障措施， 能 有效地彌補(bǔ)了傳統(tǒng)安全防護(hù)技術(shù)的缺陷。 參考文獻(xiàn) ......................................................... 37 3 摘要 現(xiàn)今社會(huì) ,Inter已經(jīng) 受到人們 越來越廣泛的使用。 各種 網(wǎng)絡(luò)服務(wù) ， 電子銀行、電子商務(wù)、 聊天等已經(jīng)成為人們生活中重要 組成 部分 。 通過構(gòu)建動(dòng)態(tài)的安全循環(huán)，可以最大限度地提高系統(tǒng)的安全保障能力，減少安全威脅 對(duì)系統(tǒng)造成的危害，網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)成為一個(gè)重要的發(fā)展方向 。 4 Abstract Today, the work services, such as Ebank、 and ECommerce are being the part of life. And all kinds of Network attacks are increasing .People have realized the importance of work security. As a kind of active measure of imformation Assurance, IDS acts as an effective plement to traditional protection techniques. Network Intrusion Detection System is being a great developing direction． The dynamic security circle， including poicy， protection， detection and response， can greatly contribute to improving the assurance ability of information systems and reducing the extent of security threats． Utilizing the ability of timefrequency analysis of the wavelet transform in signal processing and approximation of the neural works towards any nonlinear function， a method of instrusion detection based on wavelet neural work is proposed． Repla cing ordinary neural work activation functions by wavelet transform, the method can effectively improve the efficiency and speed of the work training samples． In the simulation， it reflects a good convergence and learning ability． Key words： intrusion detection； wavelet neural work； neural work； wavelet analysis. 5 第 1 章 緒論 課題的研究背景和意義 隨著計(jì)算機(jī)互聯(lián)網(wǎng)技術(shù)的飛速發(fā)展， Inter的普及， 在計(jì)算機(jī)上處理業(yè)務(wù)已由單機(jī)處理功能發(fā)展到面向內(nèi)部局域網(wǎng)、全球互聯(lián)網(wǎng)的世界范圍內(nèi)的信息共享和業(yè)務(wù)處理功能 ，深刻 地改變了人類的工作和 生活方式 。有很多是敏感信息，甚至是國家機(jī)密。而隨著攻擊工具和手法的日趨復(fù)雜多樣，僅僅依靠傳統(tǒng)的安全防范措施已經(jīng)無法滿足網(wǎng)絡(luò)安全的需求，近兩年頻繁的網(wǎng)絡(luò)黑客攻擊事件也證明了這種觀點(diǎn)。而入侵檢測(cè)正是根據(jù)網(wǎng)絡(luò)攻擊行為而進(jìn)行設(shè)計(jì)的，它不僅能夠發(fā)現(xiàn)已知入侵行為，而且有能力發(fā)現(xiàn)未知的入侵行為，并可以通過學(xué)習(xí)和分析入侵手段，及時(shí)地調(diào)整系統(tǒng)策略以加強(qiáng)系統(tǒng)的安全性。但防火墻的功能也有局限性。不但可以發(fā)現(xiàn)從外部的攻擊，也可以發(fā)現(xiàn)內(nèi)部的惡意行為。 國際頂尖的入侵檢測(cè)系統(tǒng)主要以模式匹配檢測(cè)技術(shù)為主，并結(jié)合使用異常檢測(cè)技術(shù)。 但無論國外還是國內(nèi)，在產(chǎn)品和檢測(cè)手段都還不夠成熟。通過把小波神經(jīng)網(wǎng)絡(luò)技術(shù)與 SNORT系統(tǒng)相結(jié)合，嘗試建立一種功能更全面的入侵檢測(cè)系統(tǒng)模型，既可以精確 判 別入侵類別，又具有一定的對(duì)未知入侵、變種入侵的檢測(cè)能力。本文采用小波神經(jīng)網(wǎng)絡(luò)入侵檢測(cè)模型 ，在檢測(cè)效果和學(xué)習(xí)速度上都有較大的提高。 第三章主要介紹了小波分析的基礎(chǔ)知識(shí)， 如：小波分析理論基礎(chǔ)、小波分析的應(yīng)用，小波變換等。 第四章介紹 了小波神經(jīng)網(wǎng)絡(luò)在入侵檢測(cè)中的應(yīng)用 ，結(jié)合開源軟件 SNORT，提出了兩種模型，互補(bǔ)式和嵌入式入侵檢測(cè)模型，并 使用 KDDCup99 數(shù)據(jù)對(duì)模型進(jìn)行 仿真 測(cè)試。自此之后，入侵檢測(cè)系統(tǒng)才真正發(fā)展起來。 入侵檢測(cè)的功 能 （ 1） 入侵檢測(cè)（ Intrusion Detection）技術(shù)是一種動(dòng)態(tài)的網(wǎng)絡(luò)檢測(cè)技術(shù)，主要用于識(shí)別對(duì)計(jì)算機(jī)和網(wǎng)絡(luò)資源的惡意使用行為，包括來自外部用戶的入侵行為和內(nèi)部用戶的未經(jīng)授權(quán)活動(dòng)。它從計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)中的若干關(guān)鍵點(diǎn)收集信息，并分析這些信息，看看網(wǎng)絡(luò)中 是否有違反安全策略的行為和遭到襲擊的現(xiàn)象。 入侵檢測(cè)的目的： 1)識(shí)別入侵者 ； 2)識(shí)別入侵行為 ；3)檢測(cè)和監(jiān)視以實(shí)施的入侵行為 ； 4)為對(duì)抗入侵提供信息，阻止入侵的發(fā)生和事態(tài)的擴(kuò)大 。許多情況下，由于可以記錄和禁止網(wǎng)絡(luò)活動(dòng)，所以入侵檢測(cè) 系統(tǒng)是防火墻的延續(xù)。 1） 事件產(chǎn)生器（ Event generater， Ebox）收集入侵檢測(cè)事件 ,并提供給 IDS其他部件處理，是 IDS 的信息源。許多 IDS 的研究都集中于如何提高事件分析器的能力 ,包括提高對(duì)已知入侵識(shí)別的準(zhǔn)確性以及提高 發(fā)現(xiàn)未知入侵的幾率等。 圖 21 CIDF 模型結(jié)構(gòu)圖 CIDF 模型的結(jié)構(gòu)如下： E 盒通過傳感器收集事件數(shù)據(jù)，并將信息傳 送給 A盒， A盒檢測(cè)誤用模式； D盒存儲(chǔ)來自 A、 E 盒的數(shù)據(jù)，并為額外的分析提供信息；R盒從 A、 E盒中提取數(shù)據(jù)， D盒啟動(dòng)適當(dāng)?shù)捻憫?yīng)。 靜態(tài)配置分析 靜態(tài)配置分析 [4]是通過檢查系統(tǒng)的當(dāng)前系統(tǒng)配置，諸如系統(tǒng)文件的內(nèi)容或系統(tǒng)表，來檢查系統(tǒng)是否已經(jīng)或者可能會(huì)遭到破壞。對(duì)系統(tǒng)的配置信息進(jìn)行靜態(tài)分析，就可以及早發(fā)現(xiàn)系統(tǒng)中潛在的安全性問題，并采取相應(yīng)的措施來補(bǔ)救。因?yàn)椴⒉皇撬腥肭中袨槎寄墚a(chǎn)生異常性，所以在 入侵檢測(cè)系統(tǒng)中，僅使用異常性檢測(cè)技術(shù)不可能檢測(cè)出所有的入侵行為。特征輪廓是借助主體登陸的時(shí)刻、登陸的位置、 cpu的使用時(shí)間以及文件的存取等屬性，來描述它的正常行為特征。在基于統(tǒng)計(jì)性特征輪廓的異常性檢測(cè)器中，使用統(tǒng)計(jì)的方法來判斷審計(jì)與主體正常行為的偏差。這些規(guī)則原則上可以通過分析主體的歷史活動(dòng)記錄自動(dòng)生成。系統(tǒng)采用信息熵的模型計(jì)算規(guī)則的預(yù)測(cè)概率。 實(shí)際應(yīng)用時(shí)，首先根據(jù)用戶正常行為的樣本模式對(duì)神經(jīng)網(wǎng)絡(luò)進(jìn)行學(xué)習(xí)訓(xùn)練；完成訓(xùn)練后，神經(jīng)網(wǎng)絡(luò)接受用戶活動(dòng)的數(shù)據(jù)并判斷它與經(jīng)訓(xùn)練產(chǎn)生的正常偶是的偏離程度來判別是否產(chǎn)生了非法行為。主要可以分成以下幾類：基于專家系統(tǒng)、狀態(tài)轉(zhuǎn)換分析和模式匹配的入侵檢測(cè)系統(tǒng)。 這種入侵檢測(cè)技術(shù)的主要局限在于它只是根據(jù)已知的入侵序列和系 統(tǒng)缺陷的模式來檢測(cè)系統(tǒng)中的可疑行為，而不能處理對(duì)新的入侵攻擊行為以及未知的、潛在的系統(tǒng)缺陷的檢測(cè)。在這些系統(tǒng)中，入侵行為被編制 成專家系統(tǒng)的規(guī)則。但是，使用專家 系統(tǒng)規(guī)則表示一系列的活動(dòng)不具有直觀性，除非由專業(yè)的知識(shí)庫程序員來做專家系統(tǒng)的升級(jí)工作，否則規(guī)則的更新是很困難的，而且使用專家系統(tǒng)分析系統(tǒng)的審計(jì)數(shù)據(jù)也是很低效的。初始狀態(tài) 對(duì)應(yīng)于入侵開始時(shí)的系統(tǒng)狀態(tài)，危機(jī)系統(tǒng)安全的狀態(tài)對(duì)應(yīng)于已成功入侵時(shí)刻的系統(tǒng)狀態(tài)；在這兩個(gè)狀態(tài)之間可能有一個(gè)或多個(gè)中間狀態(tài)的遷移。 13 2) 根據(jù)審計(jì)某一事件序列的順序出現(xiàn)即可識(shí)別的入侵行為。使用模式識(shí)別是因?yàn)槟Ｊ阶R(shí)別比較成熟，而且在構(gòu)造一個(gè)系統(tǒng)時(shí)可以圍繞它的實(shí)用性和有效性做一些優(yōu)化。其主要的發(fā)展方向可概括為： （ 1） 分布式入侵檢測(cè)與通用入侵檢測(cè)架構(gòu) 傳統(tǒng)的 IDS 一般局限于單一的主機(jī)或網(wǎng)絡(luò)架構(gòu)，對(duì)異構(gòu)系統(tǒng)及大規(guī)模的網(wǎng)絡(luò)的監(jiān)測(cè)明顯不足。 （ 3） 智能的入侵檢測(cè) 入侵方法越來越多樣化與綜合化，盡管已經(jīng)有智能體、神經(jīng)網(wǎng)絡(luò)與遺傳算法在入侵檢測(cè)領(lǐng)域應(yīng)用研究，但是這只是一些嘗試性的研究工作，需要對(duì)智能化的IDS 加以進(jìn)一步的研究以解決其自學(xué)習(xí)與自適應(yīng)能力。最后，系統(tǒng)對(duì)大量的數(shù)據(jù)處理，非但無助于解決問題，還降低了處理能力。 1985 年 Meyer 在一維情形下證明了小波函數(shù)的存在性 ,并在理論上作 深入研究。 小波變換的基本思想類似于 Fourier 變換，就是用信號(hào)在一簇基函數(shù)形成空間上的投影表征該信號(hào)。 通過引入一個(gè)時(shí)間局部化“窗函數(shù)”改進(jìn)了 Fourier 變換的不足，但其窗口大小和形狀都是固定的，沒有從根本上彌 補(bǔ) Fourier 變換的缺陷。電子信息技術(shù)是六大高新技術(shù)中重要的一個(gè)領(lǐng)域，它的重要方面是圖象和信號(hào)處理。但是在實(shí)際應(yīng)用中的絕大多數(shù)信號(hào)是非穩(wěn)定的，而特別適用于非穩(wěn)定信號(hào)的工 具就是小波分析。 (2)小波在信號(hào)分析中的應(yīng)用也十分廣泛。 小波變換 小波變換和傅里葉變換的出發(fā)點(diǎn)都是將信號(hào)表示成基本函數(shù)的線性組合，所不同的是傅里葉變換采用時(shí)間屬于（ ∞ ， +∞ ）的諧波函數(shù) inxe 作為基函數(shù)，而小波變換的基函數(shù)具有緊支集的母函數(shù) ()t? ,通過對(duì)母函數(shù) ()t? 進(jìn)行伸縮和平移得到一個(gè)小波序列： , 1( ) ( )||ab tbt aa???? , 。在選取或自己構(gòu)造小波函數(shù)時(shí)，必須遵循以上兩個(gè)準(zhǔn)則。對(duì)于能量有限信號(hào) 2( ) ( )f t L R? ，其連續(xù)小波變換定義為： 12( , ) | | ( ) ( )RtbW f a b a f t d ta? ?? ? （ 35） 式中， ()t? 為 ()t? 的復(fù)共軛函數(shù)。對(duì)于信號(hào)連續(xù)小波變換 ()ft可重構(gòu)： 21 , 2( ) ( , ) ( )v a bRdadbf t C W f a b t a? ??? ?? （ 36） 當(dāng) a 較小時(shí)，時(shí)域上觀察范圍小，而在頻率上相當(dāng)于用較高頻率作分辨率較高的分析，即用高頻小波作細(xì)致觀察。f k t k N t? 為取樣時(shí)間間隔），則式（ 35）的離散形式為： 121( , ) | | ( ) ( )Nkk t bW f a b a t f k t a? ????? ? ?? （ 37） 令一種情況是將尺度參數(shù) a和平移參數(shù) b離散化，即取0 0 0 0 0, , 1 , ,mma a b n b a a b R? ? ? ? 則信號(hào) ()ft的離散小波變換為： 20 0 0( , ) ( ) ( )m mW f m n a f t a t n b d t? ??? ?????? （ 38） 當(dāng) 002, 1ab??時(shí)，式 (38)變?yōu)槎M(jìn)小波變換： ( , ) 2 ( ) ( 2 )mmW f m n f t t n d t? ?????????? （ 39） 18 人工神經(jīng)網(wǎng)絡(luò)理論 神經(jīng)網(wǎng)絡(luò)的基本理論 人工神經(jīng) 網(wǎng)絡(luò) [10] (Artifciail Neural Network， ANN)是在人類對(duì)其大腦神經(jīng)網(wǎng)絡(luò)認(rèn)識(shí)理解的基礎(chǔ)上人工構(gòu)造的能夠?qū)崿F(xiàn)某種功能的神經(jīng)網(wǎng)絡(luò)。 1934年，由美國心理學(xué)家 McCulloch數(shù)學(xué)家 Pitts共同建立的，被稱為人工神經(jīng)元模型。 例如，若記 1m iiiz w x ????? ， 取激發(fā)函數(shù)為符號(hào)函數(shù) 1。miiimiiiwxy f zwx????? ????? ?? ????? S型激發(fā)函數(shù)：1() 1