【正文】 rop 平均 表 52 各類集成神經(jīng)網(wǎng)絡(luò)學(xué)習(xí)算法檢測率的比較 算 法 檢測率 (％ ) 遺傳算法 Luca Didaci 研究的多數(shù)投票法，平均算法和置信函數(shù)組合 [12] Sfinivas Makkamala 研究的最小平均誤差值 [13] 計算公式：檢測率 =正確檢測數(shù)據(jù)包數(shù) /實際攻擊數(shù)據(jù)包數(shù)。從表 1 中看出集成神經(jīng)網(wǎng)絡(luò) 4 類樣本數(shù)據(jù)中， 3 類的檢測率都高于單個檢測率最好的網(wǎng)絡(luò)。然后對人工神經(jīng)網(wǎng)絡(luò)作進一步的分析，提出神經(jīng)網(wǎng)絡(luò)技術(shù)在入侵檢測中的應(yīng)用還存在缺陷和不足。首先，采用集成神經(jīng)網(wǎng)絡(luò)極大地提高神經(jīng)網(wǎng)絡(luò)的泛化能力。 由于集成神經(jīng)網(wǎng)絡(luò)克服了單個神經(jīng)網(wǎng)絡(luò)的缺陷，能夠較好地實現(xiàn)模式分類的智能化，它在網(wǎng)絡(luò)安全中的應(yīng)用將會越來越廣泛。 利用 KDDCup09 入侵檢測數(shù)據(jù)集和用攻擊工具進行模擬攻擊時捕獲的報文數(shù)據(jù)進行了仿真實驗 ，所得到的性能令人滿意。 對 基于集成神經(jīng)網(wǎng)絡(luò)的入侵檢測 系統(tǒng)的工作原理作了深入的分析 ， 特別是對集成學(xué)習(xí)的原理和遺傳算法作了詳細(xì)的分析，并指出了二者的優(yōu)越性。 通過表 2 說明，使用遺傳算法的選擇集成與目前流行的多數(shù)選舉算法和最小平均值算 28 法相比有更好的結(jié)果。在所有的入侵中 land 攻擊的檢測率最高，而 teardrop 攻擊的檢測率最低。 集成神經(jīng)網(wǎng)絡(luò)對四種攻擊的訓(xùn)練過程如 圖 54。MIN 和 MAX 分別是屬于 x變量的特征值的最小值和最大值。實驗中，我們首先對數(shù)據(jù)集進行了預(yù)處理。 在 MATLAB 中，使用其外帶的神經(jīng)網(wǎng)絡(luò)工具箱，新建一個基于神經(jīng)網(wǎng)絡(luò)的入侵檢測系統(tǒng)的仿真，神經(jīng)網(wǎng)絡(luò)工具箱 如圖 51 所示 。 7)通過若干次循環(huán) ，當(dāng)適應(yīng)度大于某一閾值，即認(rèn)為已局部優(yōu)化，再對這些局部優(yōu)化后的個體進行變異，直到適應(yīng)度已達到我們確定的目標(biāo)為止。 3)對父代中的六個子集 6321 ,..., ssss ，采用遺傳算法進行交叉操作，形成它的下一代即子代，也稱為第一代。 初始種群中的個體產(chǎn) 生方法是先把某一種攻擊中的一條樣本數(shù)據(jù)送入 18 個神經(jīng)網(wǎng)絡(luò)，計算每個網(wǎng)絡(luò)的輸出，這些輸出與驗證集相比較，算出每一個個體網(wǎng)絡(luò)的泛化誤差 ，取泛化誤差最大的一個神經(jīng)網(wǎng)絡(luò)為 0，其余 17 個神經(jīng)網(wǎng)絡(luò)為 1，作為第一 條染色體 ；取泛化誤差較大的兩個神經(jīng)網(wǎng)絡(luò)為 0，其余 16 個神經(jīng)網(wǎng)絡(luò)為 1，作為第二 條染色體 ；依此方法產(chǎn)生五 條染色體 。 基于遺傳算法的集成神經(jīng)網(wǎng)絡(luò)檢測方法 算法思想與步驟 在此采用的集成神經(jīng)網(wǎng)絡(luò)對網(wǎng)絡(luò)入侵的學(xué)習(xí)分為兩個步驟，首先，采用單個神經(jīng)網(wǎng)絡(luò)分別對樣本進行訓(xùn)練，然后，通過遺傳算法尋找那些差異較大的神經(jīng)網(wǎng)絡(luò)進行集成，得到最后的結(jié)果 。 4） pm：變異概率，一般取為 ~。 基本遺傳算法的運行參數(shù) 基本遺傳有下述 4 個運行參數(shù)需要提前設(shè)定。 交叉運算使用單點交叉算子 。 3） 遺傳算子 基本遺 傳算法使用下述三種遺傳算子。如X=10110000101101 就可表示一個個體，該個體染色體長度是 n=14。如下圖 42 所示為遺傳算法的主要構(gòu)造過程示意圖。 18 對一個需要進行優(yōu)化計算的實際應(yīng)用問題，一般可按下述步驟來構(gòu)造求解該問題的遺傳算法。由于仿照基因編碼的工作很復(fù)雜，我們往往進行簡化，如二進制編碼。 遺傳算法的基本思想 遺傳算法是從代表問題可能潛在解集的一個種群（ population）開始的，而一個種群則由經(jīng)過基因（ gene）編碼（ coding）的一定數(shù)目的個體（ individual）組成。 遺傳算法 1975 年，美國密執(zhí)安大學(xué)的心理學(xué)教授、電子工程學(xué)與計算機科學(xué)教授 Holland 和他的同事與學(xué)生共同研究了具有開創(chuàng)意義的遺傳算法理論和方法 [11]。集成學(xué) 習(xí)通常分為兩個步驟，首先，采用單個學(xué)習(xí)算法對樣本分別進行訓(xùn)練，然后，對單個網(wǎng)絡(luò)的輸出按某種方法進行集成，得到最后結(jié)果。在綜合權(quán)衡各種攻擊手段后，本模型選取的入侵特征主要包括協(xié)議碼、被監(jiān)控網(wǎng)絡(luò) 數(shù)據(jù)采集 人機界面 特征提取 KPCA 遺傳算法集成神經(jīng)網(wǎng)絡(luò)分類引擎 攻擊樣本庫 16 源地址 、 目的地址 、 源端口 、 目的端口 、 標(biāo)志位 、 數(shù)據(jù)報的類型碼 、 數(shù)據(jù)報的代碼 、 報文頭部長度、數(shù)據(jù)報長度 、 報文數(shù)據(jù)段內(nèi)容 (取前 3O 個字節(jié) )、端口、數(shù)據(jù)報頭部校驗和。集成神經(jīng)網(wǎng)絡(luò) 把輸入向量與攻擊樣本庫進行比較，從而判別是否存在入侵。要解決這個問題，或許需要設(shè)計專門的神經(jīng)網(wǎng)絡(luò)計算芯片或者計算機 [10]。在這一點上，神經(jīng)網(wǎng)絡(luò)往往力不從心。面對現(xiàn)實環(huán)境中數(shù)以千計的不同攻擊特征，要做到完 整識別，還需要進行進一步的研究工作。各個神經(jīng)元的工 作方式本質(zhì)上是完全并行的，從輸入到輸出的計算過程實質(zhì)上是權(quán)值的傳遞過程，而在值傳遞的過程中，就同時完成了信息的存儲過程。在傳統(tǒng)的計算技術(shù)中，計算和存儲是完全獨立的兩個部分。 2） 神經(jīng)網(wǎng)絡(luò)具備高度的學(xué)習(xí)和自適應(yīng)能力。 神經(jīng)網(wǎng)絡(luò)具有以下優(yōu)點： 1）具有 很強的魯棒性和容錯性，這是因為信息是分布存儲于網(wǎng)絡(luò)內(nèi)的神經(jīng)元； 2）并行處理方法，人工神經(jīng)元網(wǎng)絡(luò)在結(jié)構(gòu)上是并行的 ，而且網(wǎng)絡(luò)的各個單元可以同時進行類似的處理過程，使得計算加快； 3）自學(xué)習(xí)、自組織、自適應(yīng)性，神經(jīng)元之間的連接多種多樣，各元之間連接強度具有一定可塑性，使得神經(jīng)網(wǎng)絡(luò)可以處理不確定或不知道的系統(tǒng) ； 4） 可以充分逼近任意復(fù)雜的非線性關(guān)系； 5）具有很強的信息綜合能力，能同時處理定量和定性的信息，能很好的協(xié)調(diào)多種輸入信息關(guān)系，適用于處理 復(fù)雜非線性和不確定對象。容錯性的研究歸結(jié)于神經(jīng)網(wǎng)絡(luò)動力系統(tǒng)記憶模式吸引域的大小。 3） 無導(dǎo)師學(xué)習(xí)規(guī)則 無導(dǎo)師學(xué)習(xí)規(guī)則提供了新的選擇，它利用自適應(yīng)學(xué)習(xí)法，使結(jié)點有選擇地接收輸入空間上的不同特性，從而拋棄了普通神經(jīng)網(wǎng)絡(luò)學(xué)習(xí)映射函數(shù)的學(xué)習(xí)概念，并提供了基于檢測特性空間的活動規(guī)律的性能描寫。神經(jīng)網(wǎng)絡(luò)的學(xué)習(xí)規(guī)則有有導(dǎo)師學(xué)習(xí)和無導(dǎo)師學(xué)習(xí)兩大類，概括如下 1） 糾錯規(guī)則 13 糾錯規(guī)則基于梯度下降法，因此不能保證得到全局最優(yōu)解，同時要求大量的訓(xùn)練樣本，因此收斂速度慢；糾錯規(guī)則對樣本的表示次序變化比較敏感，這就像導(dǎo)師必須認(rèn)真?zhèn)湔n，精心組織才能有效地讓學(xué)生學(xué)習(xí)。前一階段較快，各單元的狀態(tài)也稱短期記憶，后一階段慢得多，權(quán)值及連接方式也稱長期記憶。在 輸入層到輸出層存在反饋； 3） 相互結(jié)合型網(wǎng)絡(luò)。一個神經(jīng)網(wǎng)絡(luò)由多個互連的神經(jīng)元組成，神經(jīng)元是神經(jīng)網(wǎng)絡(luò)的基本處理單元。不同的系統(tǒng)對活化值作了不同的假設(shè)，它可以是連續(xù)的，也可以是離散的。 Xj 為第 j 個神經(jīng)元向第 i 個神經(jīng)元的輸入； xi 為第 i 個神經(jīng)元的輸出； )(1?? ?Nj ijij xw ?為第 i 個神經(jīng)元凈輸入。 隨著生物控制論的發(fā)展，人們對神經(jīng)元的結(jié)構(gòu)和功能有了進一步的了解，神經(jīng)元不僅僅是一簡單的雙穩(wěn)態(tài)邏輯元件，而且是超級的微型生物信息處理機或控 制單元 [7]。軸突的作用是傳導(dǎo)信息，通常軸突的末端分出很多末梢，他們與后一個神經(jīng)元的樹突構(gòu)成一種稱為突觸的機構(gòu)。胞體是神經(jīng)元的袋子額中心，它本身又由細(xì)胞核、內(nèi)質(zhì)網(wǎng)和高爾基體組成。神經(jīng)元有胞體、樹突和軸突構(gòu)成。人工神經(jīng)網(wǎng)絡(luò)由于其大規(guī)模并行處理、容錯性、自組織和自適應(yīng)能力以及聯(lián)想功能等特點，已成為解決問題的有力工具， 對突破現(xiàn)有科學(xué)技術(shù)的瓶頸，更深入的探索非線性等復(fù)雜現(xiàn)象起到了重大的作用，并廣泛應(yīng)用于許多科學(xué)領(lǐng)域。但無論是單純采用異常入侵檢測技術(shù)，還是單純采用誤用入侵檢測技術(shù)，其檢測性能的理論上限都不會超過混合采用兩種技術(shù)思路方法的性能上 限。 人工神經(jīng)網(wǎng)絡(luò)是模擬人腦加工、存儲和處理信息機制而提出的一 種智能化信息處理技術(shù)，它是由大量簡單的處理單元（神經(jīng)元）進行高度互連而形成的復(fù)雜網(wǎng)絡(luò)系統(tǒng)。 另一方面，如果采用更為通用的檢測規(guī)則，則有可能發(fā)生將合法用戶行為錯誤認(rèn)定為非法行為 的虛假現(xiàn)象，更進一步分析可知，專家系統(tǒng)的檢測方法對在時間上分散的攻擊活動，或者是由多用戶發(fā)起的協(xié)同攻擊行為，也是很難奏效的。因為專家系統(tǒng)檢測技術(shù)完全依賴 于準(zhǔn)確的規(guī)則庫匹配方式進行入侵檢測工作，所以一個陳舊的檢測規(guī)則庫帶來的后果可能就是漏檢大量的入侵檢測活動。典型的入侵檢測系統(tǒng)，如 IDES和 NIDES系統(tǒng)等，都很好的實現(xiàn)了專家系統(tǒng)基于規(guī)則檢測的概念，并在實際應(yīng)用中取得了較好的效果。如果這兩種系統(tǒng)能夠無縫地結(jié)合起來部署在網(wǎng)絡(luò)內(nèi)，這會構(gòu)架一套強大的、立體的主動防御體系。 1） 基于主機的入侵檢測系統(tǒng) 基于主機的入侵檢測系統(tǒng)（ Hostbased Intrusion Detection System， HIDS）通常是安裝在被保護的主機上，主要是對改主機的網(wǎng)絡(luò)實時連接以及對系統(tǒng)審計日記進行分析和檢查，當(dāng)發(fā)現(xiàn)可疑行為和安全違規(guī)事件時，系統(tǒng)就會像管理員報警，以便采取措施。它充分利用了 網(wǎng)絡(luò)協(xié)議的高度有序性，并結(jié)合了高速數(shù)據(jù)包捕捉、協(xié)議分析和命令解析，來快速檢測某種攻擊特征是否存在。 2） 異常入侵檢測 異常入侵檢測（ anomaly intrusion detection）假設(shè)入侵者的活動異常于正常主體的活動。 1） 誤用入侵檢測 誤用入侵檢測（ misuse intrusion detection）又稱為基于特征的入侵檢測 。 數(shù)據(jù) 收集 數(shù)據(jù) 處理 數(shù)據(jù) 分析 響應(yīng) 處理 入侵檢測系統(tǒng) 具有脆弱性的系統(tǒng)和網(wǎng)絡(luò) 攻擊者 包 圖 21 入侵檢測系統(tǒng)的基本原理 6 入侵檢測系統(tǒng)的基本工作模式可以用如圖 22 所示的圖形來表示。 入侵檢測系統(tǒng)的基本工作模式 入侵檢測系統(tǒng)的基本工作模式為： 1） 從系統(tǒng)的不同環(huán)節(jié)收集信息。為了進行全面、進一步的分析，需要從原始數(shù)據(jù)中去除冗余、噪聲，并且進行格式化及標(biāo)準(zhǔn)化處理。主要分為四個階段：數(shù)據(jù)收集、數(shù)據(jù)處理、數(shù)據(jù)分析和響應(yīng)處理。 入侵檢測的相關(guān)概念 美國國家安全通信委員會（ NSTAC）下屬的入侵檢測小組（ IDSG）在 1997 年給出的關(guān)于 “ 入侵 ” 的定義為：入侵是對信息系統(tǒng)的非授權(quán)訪問以及（或者）未經(jīng)許 可在信息系統(tǒng)中進行的操作。 信息安全的 PDRR 模型充分說明了檢測的重要性。 最后 一章 對 本文進行總結(jié)。把集成學(xué)習(xí)原理和遺傳算法結(jié)合起來，從而來論述基于遺傳算法的集成神經(jīng)網(wǎng)絡(luò)檢測方法。本章首先介紹了 生物神經(jīng)元模型從而引 出人工神經(jīng)元模型，進而對整個神經(jīng)網(wǎng)絡(luò)進行了簡介，并提出把神經(jīng)網(wǎng)絡(luò)應(yīng)用于入侵檢測系統(tǒng)。 第二章入侵檢測技術(shù)的 簡介 。這一定理說明，多個弱分類器可以集成為一個強分類器，由此奠定了集成學(xué)習(xí)的理論基礎(chǔ)。 神經(jīng)網(wǎng)絡(luò)具有概括和抽象能力，對不完整輸入信息具有一定程度的容錯處理能力。 MIT 的 Lippmann和 Cunningham明確提出采用關(guān)鍵詞和神經(jīng)網(wǎng)絡(luò)相結(jié)合的方法進行網(wǎng)絡(luò)入侵檢測并針對 Tel 服務(wù)對話進行了相關(guān)研究。 SOM 網(wǎng)絡(luò)主要用于對數(shù)據(jù)包中的負(fù)載內(nèi)容進行分析，作為 MLP 網(wǎng)絡(luò)的預(yù)處理單元并起到特征降維的作用。在基于 MLP 模型的入侵檢測技術(shù)中， Cannady等人根據(jù)網(wǎng)絡(luò)數(shù)據(jù)包的若干協(xié)議字段值（如協(xié)議類型、屬性字段值、負(fù)載長度和內(nèi)容等）構(gòu)建特征矢量，提供給 MLP 網(wǎng)絡(luò)進行訓(xùn)練學(xué)習(xí)。進一步地， Ghosh 等人采用另一種神經(jīng)網(wǎng)絡(luò)模型 —— Elman網(wǎng)絡(luò)，取得了零虛警概率下 77%的檢測概率。 Hogluand 等人提出了基于一維 SOM（自組織特征映射）網(wǎng)絡(luò)的異常檢測算法對用戶行為特征進行判斷，并建立了原型系統(tǒng)。神經(jīng)網(wǎng)絡(luò)具備高度的學(xué)習(xí)和自適應(yīng)能力，通過學(xué)習(xí)能夠識別全新入侵行為特征的能力，可以克服基于專家系統(tǒng)檢測技術(shù)的局限性 [3]。但是，隨著系統(tǒng)安全環(huán)境特別是網(wǎng)絡(luò)系統(tǒng)安全形式的變化，傳統(tǒng)的基于專家系統(tǒng)的檢測技術(shù)暴露出若干局限性和不足。入侵檢測是防火墻的合理補充，它幫助系統(tǒng)對付網(wǎng)絡(luò)攻擊，擴展了系統(tǒng)管理員的安全管理能力，提高了信息安全基礎(chǔ)結(jié)構(gòu)的完整性。在網(wǎng)絡(luò)安全技術(shù)中，防火墻是第一道防御屏障。如近幾年的大學(xué)英語四、六級考題泄露事件，通過網(wǎng)絡(luò)操作 使 得股民帳戶受損事件，“熊貓燒香”病毒導(dǎo)致計算機網(wǎng)絡(luò)大面積癱瘓等影響都是全國性的。入侵檢測技術(shù)是一種動態(tài)的網(wǎng)絡(luò)檢測技術(shù)，主要用于識別對計算機和網(wǎng)絡(luò)資源的惡意使用行為，包括來自外部用戶的入侵行為和內(nèi)部用戶的未經(jīng)授權(quán)活動。 I 摘要 入侵檢測是防火墻的合理補充，它幫助系統(tǒng)對付網(wǎng)絡(luò)攻擊，擴展了系統(tǒng)管理員的安全管理能力，提高了信息安全基礎(chǔ)結(jié)構(gòu)的完整性。s security management capabilities, improve the integrity of the information security infrastructure. Intrusion detection technology is a dynamic work detection technology, mainly used to identify puters and work resources on the malicious use of behavior, including acts of invasion from external users and internal users without the mandated activities. In order to improve detect