【正文】 成，被認為是防火墻之后的 第二道安全閘門，在不影響網(wǎng)絡(luò)性能的情況下能對網(wǎng)絡(luò)進行監(jiān)測，提供對內(nèi)部攻擊、外部攻擊和誤操作的實時保護 [2]。人工神經(jīng)網(wǎng)絡(luò)是模擬人腦加工、存儲和處理信息機制而提出的一種智能化信息處理技術(shù)，它是由大量簡單的處理單元（神經(jīng)元 ）進行高度互連而形成的復(fù)雜網(wǎng)絡(luò)系統(tǒng)。 Debar 等人采用遞歸型（ Recurrent） BP 網(wǎng)絡(luò)，在對所收集的審計記錄進行分析的基礎(chǔ)上，對系統(tǒng)各用戶的行為方式進行建模，并同時結(jié)合傳統(tǒng)的專家系 統(tǒng)進行入侵檢測。他們使用了數(shù)百個訓(xùn)練樣本，獲得了在大致 3%的虛警概率條件下 77%的檢測概率。 隨著網(wǎng)絡(luò)互聯(lián)環(huán)境的飛速發(fā)展，基于網(wǎng)絡(luò)流量分析的入侵檢測技術(shù)逐漸流行。實驗結(jié)果表明，該模型可以從正常網(wǎng)絡(luò)流量中識別出諸如表示 ISS 和 Satan掃描、 SYN Flood 攻擊活動的數(shù)據(jù)包。 Bonifacio 3 等人首先構(gòu)建網(wǎng)絡(luò) 會話 的數(shù)據(jù)矢量，并對數(shù)據(jù)負載中的可疑特征字符串進行編碼，連同目標端口號一起構(gòu)成 BP 網(wǎng)絡(luò)的輸入特征矢量，送入神經(jīng)網(wǎng)絡(luò)進行訓(xùn)練。之 后，采用 MLP 網(wǎng)絡(luò)進行訓(xùn)練和識別。入侵檢測領(lǐng)域研究的重點之一是分類算法，單個的分類算法由于自身的原因，總存在各種缺陷，算法的泛化能力不強。通過研究，證明集成神經(jīng)網(wǎng)絡(luò)可以提高系統(tǒng)的泛化能力。還對入侵檢測系統(tǒng)的分類進行了介紹并提出入侵檢測目前存在的局限性和未來的發(fā)展。本章 先提出系統(tǒng)的設(shè)計并對其工作原理進行解釋，并提出集成學習和遺傳學習兩個概念 。 第 五章 仿真 實驗分析。一般它位于路由器之后，為進出網(wǎng)絡(luò)的連接提供安全訪問控制。入侵檢測技術(shù)是一種動態(tài)的網(wǎng)絡(luò)檢測技術(shù)，主要用于識別對計算機和網(wǎng)絡(luò)資源的惡意使用行為，包括來自外部用戶的入侵行為和內(nèi)部用戶的未經(jīng)授權(quán)活動。所有能夠執(zhí)行入侵檢測任務(wù)和功能的系統(tǒng)，都可成為入侵檢測系統(tǒng)，其中包括軟件系統(tǒng)和軟硬件結(jié)合的系統(tǒng)。目前的數(shù)據(jù)主要有主機日記、網(wǎng)絡(luò)數(shù)據(jù)包、應(yīng)用程序數(shù)據(jù)、防火墻日志等。 4） 響應(yīng)處理 當發(fā)現(xiàn)入侵時，采取措施進行防護、保留入侵證據(jù)并通知管理員。 3） 自動對檢測到的行為作出響應(yīng)。本文主要介紹 前兩者的分類方法。它可以將已有的入侵方法檢查出來，但對新的入侵方法無能為力。異常入侵檢測的難題在于如何建立 “ 活動簡檔 ” 以及如何設(shè)計統(tǒng)計算法，從而不把正常的操作誤認為 “ 入侵 ” 或忽略真正的 “ 入侵 ” 行為。協(xié)議分析大大減少了計算量，即使在高負載的高速網(wǎng)絡(luò)上，也能逐個分析所有的數(shù)據(jù)包。 3） 混合式入侵檢測系統(tǒng) 基 于網(wǎng)絡(luò)的入侵檢測系統(tǒng)和基于主機的入侵檢測系統(tǒng)都有不足之處，單純使用其中一種系統(tǒng)的主動防御體系都不夠強大。文件完整性檢查式入侵檢測系統(tǒng)保存有每個文件的數(shù)字文摘數(shù)據(jù)庫，每次檢查時，它重新計算文件的數(shù)字文摘并將它與數(shù)據(jù)庫中的值相比較，如不同，則文件已被修改，若相同，則文件未發(fā)生變化 [5]。 首先，傳統(tǒng)的專家檢測技術(shù)需要維護一個復(fù)雜而龐大的規(guī)則庫。 其次，基于專家系統(tǒng)的檢測方法缺乏足夠的靈活性來檢測已知入侵方式的變種情況。 近年來，大量不同于傳統(tǒng)專家系統(tǒng)技術(shù)的入侵檢測方法紛紛涌現(xiàn)，其中基于人工神經(jīng)網(wǎng)絡(luò)檢測技術(shù)的發(fā)展尤為突出。神經(jīng)網(wǎng)絡(luò)具備高度的學習和自適應(yīng)能力，通過學習能夠識別全新入侵行為特征的能力，可以克服基于專家系統(tǒng)檢測技術(shù)的局限性。 9 3 神經(jīng)網(wǎng)絡(luò)簡介 神經(jīng)網(wǎng)絡(luò)的全稱是人工神經(jīng)網(wǎng)絡(luò)（ artificial neural work， ANN）是在現(xiàn)代神經(jīng)生物學研究成果的基礎(chǔ)上發(fā)展起來的一種模擬人腦信息處理機制的網(wǎng)絡(luò)系統(tǒng)，他不但具有處理數(shù)值數(shù)據(jù)的一般計算能力，而且還具有處理知識的思維、學習和記憶能力 [6]。 神經(jīng)網(wǎng)絡(luò)模型 生物神經(jīng)元模型 正常人腦是由大約 1011~1012 個神經(jīng)元組成的，神經(jīng)元是腦組織的基本單元。一個神經(jīng)元的模型示意圖 如下圖 31 所 示。胞體還延伸出一條管狀纖維組織，稱之為軸突，軸突外面包有一層較厚的絕緣組織，稱之 為髓鞘（梅林鞘）。從生物控制論的觀點看，神經(jīng)元作為控制和信息處理的單元，具有常規(guī)的兩種工作狀態(tài)，興奮和抑制狀態(tài)，神經(jīng)沖動眼神經(jīng)傳導(dǎo)的速度在1~150m/s 之間，在相鄰兩次沖動之間需要一個時間間隔，即為不應(yīng)期。 設(shè)有 N 個神經(jīng)元互聯(lián)，每個神經(jīng)元的活化狀態(tài) ix （ i=1， 2， 3， ? ， N）取 0 或 1，分別代表抑制和興奮。若考慮這些作用則可以發(fā)展出 MP 模型的許多變種。 下圖 32 給出了一般化 MP 模型 [8]。通常，人們較多地考慮神經(jīng)網(wǎng)絡(luò)的互連結(jié)構(gòu)，包括四種典型結(jié) 構(gòu)如圖 33 所是 ，分別是 1） 前饋網(wǎng)絡(luò)。層次型網(wǎng)絡(luò)和網(wǎng)狀結(jié)構(gòu)網(wǎng)絡(luò)的一種結(jié)合。通常它也是一個強非線性系統(tǒng)，學習功能反映在神經(jīng)網(wǎng)絡(luò)模型中，就是突觸連接權(quán)值 Wij 可以按學習規(guī)則隨時間改變。其主要缺點是學習速度太慢，因為在模擬退火過程中要求當系統(tǒng)進入平衡時，“冷卻”必須慢慢進行，否則易陷入局部極小。 神經(jīng)網(wǎng)絡(luò)的收斂性是指神經(jīng)網(wǎng)絡(luò)的訓(xùn)練算法在有限次迭代之后可收斂到正確的權(quán)值或權(quán)向量。神經(jīng)網(wǎng)絡(luò)的高度魯棒性使得網(wǎng)絡(luò)中的神經(jīng)元或突觸遭到破壞時網(wǎng)絡(luò)仍然具有學習和記憶能力，從而使網(wǎng)絡(luò)表現(xiàn)出高度的自組織性。 14 神經(jīng)網(wǎng)絡(luò)應(yīng)用于入侵檢測 神經(jīng)網(wǎng)絡(luò)技術(shù)應(yīng)用于入侵檢測領(lǐng)域具有以下優(yōu)勢： 1） 神經(jīng)網(wǎng)絡(luò)具有概括和抽象能力，對不完整輸入信息具有一定程度的容錯處理能力。這種通過學習能夠識別全新入侵行為特征的能力，可以克服基于專家系統(tǒng)檢測技術(shù)的局限性。因此，存儲器和計算器之間的傳輸帶寬稱為制約計算機性能的瓶頸。 目前，神經(jīng)網(wǎng)絡(luò)技術(shù)在入侵檢測中的應(yīng)用還存在以下缺陷和不足： 1） 需要解決神經(jīng)網(wǎng)絡(luò)對大容量入侵行為類型的學習能力問題。神經(jīng)網(wǎng)絡(luò)具備很強的訓(xùn)練學習能力，能夠給出判定的類別信息，但是對于具體發(fā)生的事件類型，則缺乏明確的解釋能力。 3） 執(zhí)行速度問題。 圖 41 集成神經(jīng)網(wǎng)絡(luò)入侵檢測系統(tǒng)體系結(jié)構(gòu) 系統(tǒng)的工作原理是 ：數(shù)據(jù)采集模塊捕獲所有流經(jīng)系統(tǒng)監(jiān)測網(wǎng)段上的網(wǎng)絡(luò)數(shù)據(jù)流，把它 們送入特征提取模塊。如果發(fā)現(xiàn)了新的入侵行為 ，可以把它加入到攻擊樣本庫中實現(xiàn)對攻擊樣本庫的更新。 集成神經(jīng)網(wǎng)絡(luò)算法 Schapire 證明一個概念如果是弱可學習的，其充要條件是強可學習的。 集成神經(jīng)網(wǎng)絡(luò)中的每一個權(quán)值 iw 0，且 11 ???Ni iw (41) 集成神經(jīng)網(wǎng)絡(luò)在輸入 x下的輸出定義為： )(xfw ii ??? ? Ni ii xfwf 1 )( (42) 神經(jīng)網(wǎng)絡(luò) i的泛化誤差 Ei 和集成神經(jīng)網(wǎng)絡(luò)的泛化誤差 E分別為： 2))()(()( xfixdXd xPEi ?? ? (43) 2))()(()( xifxdXd xPE ??? ? (44) 網(wǎng)絡(luò)泛化誤差的加權(quán)平均為： ini iEwE ??? ?1 (45) 神經(jīng)網(wǎng)絡(luò)的差異度 iA 和集成神經(jīng)網(wǎng)絡(luò)的差異度 ?A 分別為： 2))()(()( xfxfXd xPA ii ??? ? (46) iNi iAwA ??? ?1 (47) 則集成神經(jīng)網(wǎng)絡(luò)的泛化誤差為： 17 21201 ))()(()())()(()( xfxfXd x PwxfxdXd x PwAEE ini ini i????? ?????? ???? (48) 從 (8)式看出如果集成神經(jīng)網(wǎng)絡(luò)中的各個個體網(wǎng)絡(luò)差異度很小，即對相同的輸入 ，集成網(wǎng)絡(luò)中的各個個體網(wǎng)絡(luò)都給出相同或相近的輸出，則集成差異度 為 0，網(wǎng)絡(luò)集成的泛化誤差與個體網(wǎng)絡(luò)的加權(quán)平均誤差相當，而當個體網(wǎng)絡(luò)差異較大時，其集成的差異度較大，泛化誤差將遠小于個體網(wǎng)絡(luò)的加權(quán)平均誤差。這種方法由于仿效生物的進化與遺傳，根據(jù)生存競爭和優(yōu)勝劣汰的原則，借助復(fù)制、交換、變異等操作，使要解決的問題一步步逼近最優(yōu)解和近優(yōu)解。染色體作為遺傳物質(zhì)的主要載體，即多個基因的集合，其內(nèi)部表現(xiàn) (即基因型 )是某種基因組合，它決定了個體形狀的外部表現(xiàn)。在每一代，根據(jù)問題域中個體的適應(yīng)度（ fitness）大小挑選（ selection）個體，并借助于自然遺傳學的遺傳算子（ geic operation）進行組合交叉（ crossover）和變異（ mutation），產(chǎn)生出代表新的解集的種 群。 由上述構(gòu)造步驟可以看出，運行解的編碼方法、遺傳算子的設(shè)計是構(gòu)造遺傳算法時需要考慮的兩個主要問題，也是設(shè)計遺傳算法時的兩個關(guān)鍵步驟。 1） 染色體編碼方法 基本遺傳算法使用固定長度的二進制符號串來表示群體中的個體，其等基因是由二值符號集 {0， 1}所組成的。為正確計算這個概率，這里要求所有個體的適應(yīng)度必須為正數(shù)或零。 選擇是用來確定重組或交叉?zhèn)€體，以及被選個體將產(chǎn)生多少個子代個體。 最優(yōu)化問題描述 適應(yīng)度 F（ X） 個體基因型 目標函數(shù) f（ x） 個體表現(xiàn)型 X 解碼方法 確定運行參數(shù) 編碼方法 設(shè)計遺傳算子 確定決策對象、約束條件 確定適宜度轉(zhuǎn)換規(guī)則 建立優(yōu)化模型 遺傳算法 第一步 第四步 第三步 第二步 第五步 第七步 第六步 圖 42 遺傳算法的構(gòu)造過程 20 變異運算使用基本位變異算子或均因變異算子 。 2） T：遺傳運算的終止進化代數(shù)，一般取為 100~500。種群規(guī)模過小將影響搜索范圍，從而得不到最優(yōu)解；種群規(guī)模過大則搜索時間長，搜索效率低。 21 圖 43 神經(jīng)網(wǎng)絡(luò)集成的過程 個體網(wǎng)絡(luò)的選擇 首先訓(xùn)練出如前所述的 18 個個體神經(jīng)網(wǎng)絡(luò) 18,321 ..., ffff ，然后通過遺傳算法選擇{ 18,321 ..., ffff }中適合組成集成神經(jīng)網(wǎng)絡(luò)的子集 S。把集成神經(jīng)網(wǎng)絡(luò)平均誤差的倒數(shù)作為遺傳算法的適應(yīng)度，即 ? ? sff vijji Cs 2 （ 49） 式中 V 為驗證集 , ji ff, 為個體網(wǎng)絡(luò) ， VijC 為 ji ff, 個體網(wǎng)絡(luò)相關(guān)度 ，個體網(wǎng)絡(luò)相關(guān)度定義為 dxxdxfxdxfxPC jiij ))()() ) (()(()( ??? ? （ 410） 實驗中采用的遺傳算法描述如下： 數(shù) 據(jù) 源 BP 神經(jīng)網(wǎng)絡(luò) RBF 神經(jīng)網(wǎng)絡(luò) 自組織神經(jīng)網(wǎng)絡(luò) 選擇個體網(wǎng)絡(luò)、集成輸出 22 1)獨立訓(xùn)練 18 個神經(jīng)網(wǎng)絡(luò) 18,321 ..., ffff 。 5)在父代和子代組成的種群中，選取適應(yīng)度較大的一半個體作為新的種群，進行交叉操作，形成第二代個體。 23 5 仿真 實驗分析 matlab 神經(jīng)網(wǎng)絡(luò)工具箱 實驗中軟件采用 Windows XP、 Matlab。 以下是某些數(shù)據(jù)包的信息： 0,tcp,SF,181,5450,0,0,0,0,0,1,0,0,0,0,0,0,0,0,0,0,8,8,9,9,1.00,normal. 0,tcp,smtp,SF,523,277,0,0,0,0,0,1,0,0,0,0,0,0,0,0,0,0,1,1,55,108,normal. 0,udp,domain_u,SF,32,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,1,3,56,46,teardrop. 0,icmp,ecr_i,SF,1032,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,511,511,255,255,smurf. 0,tcp,SF,54540,8314,0,0,0,2,0,1,1,0,0,0,0,0,0,0,0,0,5,5,25 24 5,255,land. 0,icmp,eco_i,SF,8,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,1,19,2,42,1.00,dos. 入侵檢測數(shù)據(jù)集預(yù)處理 實驗使用的訓(xùn)練數(shù)據(jù)取自 KDDCUP09 數(shù)據(jù)集。通過歸一化算法，數(shù)據(jù)集中的每一個連續(xù)型特征值被限定在 [,]范圍內(nèi)。 25 如下 圖 所示 圖 52 數(shù)據(jù)導(dǎo) 入 訓(xùn)練過程 單個神經(jīng)網(wǎng)絡(luò)對四種攻擊類型的 訓(xùn)練過程 如下 圖 53 所示 。 圖 55 matlab 程序 仿真實驗數(shù)據(jù) 分析 表 51 集成神經(jīng)網(wǎng)絡(luò)與單個最佳神經(jīng)網(wǎng)絡(luò)結(jié)果的比較 類型 單個神經(jīng)網(wǎng)絡(luò)檢測率 (％ ) 集成神經(jīng)網(wǎng)