【正文】 成，被認(rèn)為是防火墻之后的 第二道安全閘門，在不影響網(wǎng)絡(luò)性能的情況下能對(duì)網(wǎng)絡(luò)進(jìn)行監(jiān)測(cè)，提供對(duì)內(nèi)部攻擊、外部攻擊和誤操作的實(shí)時(shí)保護(hù) [2]。人工神經(jīng)網(wǎng)絡(luò)是模擬人腦加工、存儲(chǔ)和處理信息機(jī)制而提出的一種智能化信息處理技術(shù)，它是由大量簡(jiǎn)單的處理單元（神經(jīng)元 ）進(jìn)行高度互連而形成的復(fù)雜網(wǎng)絡(luò)系統(tǒng)。 Debar 等人采用遞歸型（ Recurrent） BP 網(wǎng)絡(luò)，在對(duì)所收集的審計(jì)記錄進(jìn)行分析的基礎(chǔ)上，對(duì)系統(tǒng)各用戶的行為方式進(jìn)行建模，并同時(shí)結(jié)合傳統(tǒng)的專家系 統(tǒng)進(jìn)行入侵檢測(cè)。他們使用了數(shù)百個(gè)訓(xùn)練樣本，獲得了在大致 3%的虛警概率條件下 77%的檢測(cè)概率。 隨著網(wǎng)絡(luò)互聯(lián)環(huán)境的飛速發(fā)展，基于網(wǎng)絡(luò)流量分析的入侵檢測(cè)技術(shù)逐漸流行。實(shí)驗(yàn)結(jié)果表明，該模型可以從正常網(wǎng)絡(luò)流量中識(shí)別出諸如表示 ISS 和 Satan掃描、 SYN Flood 攻擊活動(dòng)的數(shù)據(jù)包。 Bonifacio 3 等人首先構(gòu)建網(wǎng)絡(luò) 會(huì)話 的數(shù)據(jù)矢量，并對(duì)數(shù)據(jù)負(fù)載中的可疑特征字符串進(jìn)行編碼，連同目標(biāo)端口號(hào)一起構(gòu)成 BP 網(wǎng)絡(luò)的輸入特征矢量，送入神經(jīng)網(wǎng)絡(luò)進(jìn)行訓(xùn)練。之 后，采用 MLP 網(wǎng)絡(luò)進(jìn)行訓(xùn)練和識(shí)別。入侵檢測(cè)領(lǐng)域研究的重點(diǎn)之一是分類算法，單個(gè)的分類算法由于自身的原因，總存在各種缺陷，算法的泛化能力不強(qiáng)。通過(guò)研究，證明集成神經(jīng)網(wǎng)絡(luò)可以提高系統(tǒng)的泛化能力。還對(duì)入侵檢測(cè)系統(tǒng)的分類進(jìn)行了介紹并提出入侵檢測(cè)目前存在的局限性和未來(lái)的發(fā)展。本章 先提出系統(tǒng)的設(shè)計(jì)并對(duì)其工作原理進(jìn)行解釋，并提出集成學(xué)習(xí)和遺傳學(xué)習(xí)兩個(gè)概念 。 第 五章 仿真 實(shí)驗(yàn)分析。一般它位于路由器之后，為進(jìn)出網(wǎng)絡(luò)的連接提供安全訪問(wèn)控制。入侵檢測(cè)技術(shù)是一種動(dòng)態(tài)的網(wǎng)絡(luò)檢測(cè)技術(shù)，主要用于識(shí)別對(duì)計(jì)算機(jī)和網(wǎng)絡(luò)資源的惡意使用行為，包括來(lái)自外部用戶的入侵行為和內(nèi)部用戶的未經(jīng)授權(quán)活動(dòng)。所有能夠執(zhí)行入侵檢測(cè)任務(wù)和功能的系統(tǒng)，都可成為入侵檢測(cè)系統(tǒng)，其中包括軟件系統(tǒng)和軟硬件結(jié)合的系統(tǒng)。目前的數(shù)據(jù)主要有主機(jī)日記、網(wǎng)絡(luò)數(shù)據(jù)包、應(yīng)用程序數(shù)據(jù)、防火墻日志等。 4） 響應(yīng)處理 當(dāng)發(fā)現(xiàn)入侵時(shí)，采取措施進(jìn)行防護(hù)、保留入侵證據(jù)并通知管理員。 3） 自動(dòng)對(duì)檢測(cè)到的行為作出響應(yīng)。本文主要介紹 前兩者的分類方法。它可以將已有的入侵方法檢查出來(lái)，但對(duì)新的入侵方法無(wú)能為力。異常入侵檢測(cè)的難題在于如何建立 “ 活動(dòng)簡(jiǎn)檔 ” 以及如何設(shè)計(jì)統(tǒng)計(jì)算法，從而不把正常的操作誤認(rèn)為 “ 入侵 ” 或忽略真正的 “ 入侵 ” 行為。協(xié)議分析大大減少了計(jì)算量，即使在高負(fù)載的高速網(wǎng)絡(luò)上，也能逐個(gè)分析所有的數(shù)據(jù)包。 3） 混合式入侵檢測(cè)系統(tǒng) 基 于網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)和基于主機(jī)的入侵檢測(cè)系統(tǒng)都有不足之處，單純使用其中一種系統(tǒng)的主動(dòng)防御體系都不夠強(qiáng)大。文件完整性檢查式入侵檢測(cè)系統(tǒng)保存有每個(gè)文件的數(shù)字文摘數(shù)據(jù)庫(kù)，每次檢查時(shí)，它重新計(jì)算文件的數(shù)字文摘并將它與數(shù)據(jù)庫(kù)中的值相比較，如不同，則文件已被修改，若相同，則文件未發(fā)生變化 [5]。 首先，傳統(tǒng)的專家檢測(cè)技術(shù)需要維護(hù)一個(gè)復(fù)雜而龐大的規(guī)則庫(kù)。 其次，基于專家系統(tǒng)的檢測(cè)方法缺乏足夠的靈活性來(lái)檢測(cè)已知入侵方式的變種情況。 近年來(lái)，大量不同于傳統(tǒng)專家系統(tǒng)技術(shù)的入侵檢測(cè)方法紛紛涌現(xiàn)，其中基于人工神經(jīng)網(wǎng)絡(luò)檢測(cè)技術(shù)的發(fā)展尤為突出。神經(jīng)網(wǎng)絡(luò)具備高度的學(xué)習(xí)和自適應(yīng)能力，通過(guò)學(xué)習(xí)能夠識(shí)別全新入侵行為特征的能力，可以克服基于專家系統(tǒng)檢測(cè)技術(shù)的局限性。 9 3 神經(jīng)網(wǎng)絡(luò)簡(jiǎn)介 神經(jīng)網(wǎng)絡(luò)的全稱是人工神經(jīng)網(wǎng)絡(luò)（ artificial neural work， ANN）是在現(xiàn)代神經(jīng)生物學(xué)研究成果的基礎(chǔ)上發(fā)展起來(lái)的一種模擬人腦信息處理機(jī)制的網(wǎng)絡(luò)系統(tǒng)，他不但具有處理數(shù)值數(shù)據(jù)的一般計(jì)算能力，而且還具有處理知識(shí)的思維、學(xué)習(xí)和記憶能力 [6]。 神經(jīng)網(wǎng)絡(luò)模型 生物神經(jīng)元模型 正常人腦是由大約 1011~1012 個(gè)神經(jīng)元組成的，神經(jīng)元是腦組織的基本單元。一個(gè)神經(jīng)元的模型示意圖 如下圖 31 所 示。胞體還延伸出一條管狀纖維組織，稱之為軸突，軸突外面包有一層較厚的絕緣組織，稱之 為髓鞘（梅林鞘）。從生物控制論的觀點(diǎn)看，神經(jīng)元作為控制和信息處理的單元，具有常規(guī)的兩種工作狀態(tài)，興奮和抑制狀態(tài)，神經(jīng)沖動(dòng)眼神經(jīng)傳導(dǎo)的速度在1~150m/s 之間，在相鄰兩次沖動(dòng)之間需要一個(gè)時(shí)間間隔，即為不應(yīng)期。 設(shè)有 N 個(gè)神經(jīng)元互聯(lián)，每個(gè)神經(jīng)元的活化狀態(tài) ix （ i=1， 2， 3， ? ， N）取 0 或 1，分別代表抑制和興奮。若考慮這些作用則可以發(fā)展出 MP 模型的許多變種。 下圖 32 給出了一般化 MP 模型 [8]。通常，人們較多地考慮神經(jīng)網(wǎng)絡(luò)的互連結(jié)構(gòu)，包括四種典型結(jié) 構(gòu)如圖 33 所是 ，分別是 1） 前饋網(wǎng)絡(luò)。層次型網(wǎng)絡(luò)和網(wǎng)狀結(jié)構(gòu)網(wǎng)絡(luò)的一種結(jié)合。通常它也是一個(gè)強(qiáng)非線性系統(tǒng)，學(xué)習(xí)功能反映在神經(jīng)網(wǎng)絡(luò)模型中，就是突觸連接權(quán)值 Wij 可以按學(xué)習(xí)規(guī)則隨時(shí)間改變。其主要缺點(diǎn)是學(xué)習(xí)速度太慢，因?yàn)樵谀M退火過(guò)程中要求當(dāng)系統(tǒng)進(jìn)入平衡時(shí)，“冷卻”必須慢慢進(jìn)行，否則易陷入局部極小。 神經(jīng)網(wǎng)絡(luò)的收斂性是指神經(jīng)網(wǎng)絡(luò)的訓(xùn)練算法在有限次迭代之后可收斂到正確的權(quán)值或權(quán)向量。神經(jīng)網(wǎng)絡(luò)的高度魯棒性使得網(wǎng)絡(luò)中的神經(jīng)元或突觸遭到破壞時(shí)網(wǎng)絡(luò)仍然具有學(xué)習(xí)和記憶能力，從而使網(wǎng)絡(luò)表現(xiàn)出高度的自組織性。 14 神經(jīng)網(wǎng)絡(luò)應(yīng)用于入侵檢測(cè) 神經(jīng)網(wǎng)絡(luò)技術(shù)應(yīng)用于入侵檢測(cè)領(lǐng)域具有以下優(yōu)勢(shì)： 1） 神經(jīng)網(wǎng)絡(luò)具有概括和抽象能力，對(duì)不完整輸入信息具有一定程度的容錯(cuò)處理能力。這種通過(guò)學(xué)習(xí)能夠識(shí)別全新入侵行為特征的能力，可以克服基于專家系統(tǒng)檢測(cè)技術(shù)的局限性。因此，存儲(chǔ)器和計(jì)算器之間的傳輸帶寬稱為制約計(jì)算機(jī)性能的瓶頸。 目前，神經(jīng)網(wǎng)絡(luò)技術(shù)在入侵檢測(cè)中的應(yīng)用還存在以下缺陷和不足： 1） 需要解決神經(jīng)網(wǎng)絡(luò)對(duì)大容量入侵行為類型的學(xué)習(xí)能力問(wèn)題。神經(jīng)網(wǎng)絡(luò)具備很強(qiáng)的訓(xùn)練學(xué)習(xí)能力，能夠給出判定的類別信息，但是對(duì)于具體發(fā)生的事件類型，則缺乏明確的解釋能力。 3） 執(zhí)行速度問(wèn)題。 圖 41 集成神經(jīng)網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)體系結(jié)構(gòu) 系統(tǒng)的工作原理是 ：數(shù)據(jù)采集模塊捕獲所有流經(jīng)系統(tǒng)監(jiān)測(cè)網(wǎng)段上的網(wǎng)絡(luò)數(shù)據(jù)流，把它 們送入特征提取模塊。如果發(fā)現(xiàn)了新的入侵行為 ，可以把它加入到攻擊樣本庫(kù)中實(shí)現(xiàn)對(duì)攻擊樣本庫(kù)的更新。 集成神經(jīng)網(wǎng)絡(luò)算法 Schapire 證明一個(gè)概念如果是弱可學(xué)習(xí)的，其充要條件是強(qiáng)可學(xué)習(xí)的。 集成神經(jīng)網(wǎng)絡(luò)中的每一個(gè)權(quán)值 iw 0，且 11 ???Ni iw (41) 集成神經(jīng)網(wǎng)絡(luò)在輸入 x下的輸出定義為： )(xfw ii ??? ? Ni ii xfwf 1 )( (42) 神經(jīng)網(wǎng)絡(luò) i的泛化誤差 Ei 和集成神經(jīng)網(wǎng)絡(luò)的泛化誤差 E分別為： 2))()(()( xfixdXd xPEi ?? ? (43) 2))()(()( xifxdXd xPE ??? ? (44) 網(wǎng)絡(luò)泛化誤差的加權(quán)平均為： ini iEwE ??? ?1 (45) 神經(jīng)網(wǎng)絡(luò)的差異度 iA 和集成神經(jīng)網(wǎng)絡(luò)的差異度 ?A 分別為： 2))()(()( xfxfXd xPA ii ??? ? (46) iNi iAwA ??? ?1 (47) 則集成神經(jīng)網(wǎng)絡(luò)的泛化誤差為： 17 21201 ))()(()())()(()( xfxfXd x PwxfxdXd x PwAEE ini ini i????? ?????? ???? (48) 從 (8)式看出如果集成神經(jīng)網(wǎng)絡(luò)中的各個(gè)個(gè)體網(wǎng)絡(luò)差異度很小，即對(duì)相同的輸入 ，集成網(wǎng)絡(luò)中的各個(gè)個(gè)體網(wǎng)絡(luò)都給出相同或相近的輸出，則集成差異度 為 0，網(wǎng)絡(luò)集成的泛化誤差與個(gè)體網(wǎng)絡(luò)的加權(quán)平均誤差相當(dāng)，而當(dāng)個(gè)體網(wǎng)絡(luò)差異較大時(shí)，其集成的差異度較大，泛化誤差將遠(yuǎn)小于個(gè)體網(wǎng)絡(luò)的加權(quán)平均誤差。這種方法由于仿效生物的進(jìn)化與遺傳，根據(jù)生存競(jìng)爭(zhēng)和優(yōu)勝劣汰的原則，借助復(fù)制、交換、變異等操作，使要解決的問(wèn)題一步步逼近最優(yōu)解和近優(yōu)解。染色體作為遺傳物質(zhì)的主要載體，即多個(gè)基因的集合，其內(nèi)部表現(xiàn) (即基因型 )是某種基因組合，它決定了個(gè)體形狀的外部表現(xiàn)。在每一代，根據(jù)問(wèn)題域中個(gè)體的適應(yīng)度（ fitness）大小挑選（ selection）個(gè)體，并借助于自然遺傳學(xué)的遺傳算子（ geic operation）進(jìn)行組合交叉（ crossover）和變異（ mutation），產(chǎn)生出代表新的解集的種 群。 由上述構(gòu)造步驟可以看出，運(yùn)行解的編碼方法、遺傳算子的設(shè)計(jì)是構(gòu)造遺傳算法時(shí)需要考慮的兩個(gè)主要問(wèn)題，也是設(shè)計(jì)遺傳算法時(shí)的兩個(gè)關(guān)鍵步驟。 1） 染色體編碼方法 基本遺傳算法使用固定長(zhǎng)度的二進(jìn)制符號(hào)串來(lái)表示群體中的個(gè)體，其等基因是由二值符號(hào)集 {0， 1}所組成的。為正確計(jì)算這個(gè)概率，這里要求所有個(gè)體的適應(yīng)度必須為正數(shù)或零。 選擇是用來(lái)確定重組或交叉?zhèn)€體，以及被選個(gè)體將產(chǎn)生多少個(gè)子代個(gè)體。 最優(yōu)化問(wèn)題描述 適應(yīng)度 F（ X） 個(gè)體基因型 目標(biāo)函數(shù) f（ x） 個(gè)體表現(xiàn)型 X 解碼方法 確定運(yùn)行參數(shù) 編碼方法 設(shè)計(jì)遺傳算子 確定決策對(duì)象、約束條件 確定適宜度轉(zhuǎn)換規(guī)則 建立優(yōu)化模型 遺傳算法 第一步 第四步 第三步 第二步 第五步 第七步 第六步 圖 42 遺傳算法的構(gòu)造過(guò)程 20 變異運(yùn)算使用基本位變異算子或均因變異算子 。 2） T：遺傳運(yùn)算的終止進(jìn)化代數(shù)，一般取為 100~500。種群規(guī)模過(guò)小將影響搜索范圍，從而得不到最優(yōu)解；種群規(guī)模過(guò)大則搜索時(shí)間長(zhǎng)，搜索效率低。 21 圖 43 神經(jīng)網(wǎng)絡(luò)集成的過(guò)程 個(gè)體網(wǎng)絡(luò)的選擇 首先訓(xùn)練出如前所述的 18 個(gè)個(gè)體神經(jīng)網(wǎng)絡(luò) 18,321 ..., ffff ，然后通過(guò)遺傳算法選擇{ 18,321 ..., ffff }中適合組成集成神經(jīng)網(wǎng)絡(luò)的子集 S。把集成神經(jīng)網(wǎng)絡(luò)平均誤差的倒數(shù)作為遺傳算法的適應(yīng)度，即 ? ? sff vijji Cs 2 （ 49） 式中 V 為驗(yàn)證集 , ji ff, 為個(gè)體網(wǎng)絡(luò) ， VijC 為 ji ff, 個(gè)體網(wǎng)絡(luò)相關(guān)度 ，個(gè)體網(wǎng)絡(luò)相關(guān)度定義為 dxxdxfxdxfxPC jiij ))()() ) (()(()( ??? ? （ 410） 實(shí)驗(yàn)中采用的遺傳算法描述如下： 數(shù) 據(jù) 源 BP 神經(jīng)網(wǎng)絡(luò) RBF 神經(jīng)網(wǎng)絡(luò) 自組織神經(jīng)網(wǎng)絡(luò) 選擇個(gè)體網(wǎng)絡(luò)、集成輸出 22 1)獨(dú)立訓(xùn)練 18 個(gè)神經(jīng)網(wǎng)絡(luò) 18,321 ..., ffff 。 5)在父代和子代組成的種群中，選取適應(yīng)度較大的一半個(gè)體作為新的種群，進(jìn)行交叉操作，形成第二代個(gè)體。 23 5 仿真 實(shí)驗(yàn)分析 matlab 神經(jīng)網(wǎng)絡(luò)工具箱 實(shí)驗(yàn)中軟件采用 Windows XP、 Matlab。 以下是某些數(shù)據(jù)包的信息： 0,tcp,SF,181,5450,0,0,0,0,0,1,0,0,0,0,0,0,0,0,0,0,8,8,9,9,1.00,normal. 0,tcp,smtp,SF,523,277,0,0,0,0,0,1,0,0,0,0,0,0,0,0,0,0,1,1,55,108,normal. 0,udp,domain_u,SF,32,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,1,3,56,46,teardrop. 0,icmp,ecr_i,SF,1032,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,511,511,255,255,smurf. 0,tcp,SF,54540,8314,0,0,0,2,0,1,1,0,0,0,0,0,0,0,0,0,5,5,25 24 5,255,land. 0,icmp,eco_i,SF,8,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,1,19,2,42,1.00,dos. 入侵檢測(cè)數(shù)據(jù)集預(yù)處理 實(shí)驗(yàn)使用的訓(xùn)練數(shù)據(jù)取自 KDDCUP09 數(shù)據(jù)集。通過(guò)歸一化算法，數(shù)據(jù)集中的每一個(gè)連續(xù)型特征值被限定在 [,]范圍內(nèi)。 25 如下 圖 所示 圖 52 數(shù)據(jù)導(dǎo) 入 訓(xùn)練過(guò)程 單個(gè)神經(jīng)網(wǎng)絡(luò)對(duì)四種攻擊類型的 訓(xùn)練過(guò)程 如下 圖 53 所示 。 圖 55 matlab 程序 仿真實(shí)驗(yàn)數(shù)據(jù) 分析 表 51 集成神經(jīng)網(wǎng)絡(luò)與單個(gè)最佳神經(jīng)網(wǎng)絡(luò)結(jié)果的比較 類型 單個(gè)神經(jīng)網(wǎng)絡(luò)檢測(cè)率 (％ ) 集成神經(jīng)網(wǎng)