【正文】 (1)連續(xù)小波變換 [9] 小波具有震蕩特性、能夠迅速衰減到零的一類函數(shù)。對于任意函數(shù) 2( ) ( )f t L R? 的連續(xù)小波變換為： ( , ) ffifW a b f? ， 1 / 2, f f I = |a | ( ) ( )ab R tbf t d ta???? ??? （ 32） 其重構(gòu)公式（逆變換）為： 211( ) ( , ) ( )f tbf t w a b dadbC a a?? ? ? ?? ? ? ??? ?? （ 33） 基本小波函數(shù)的選取很重要，常常取決于實(shí)際應(yīng)用。 (3)在工程技術(shù)等方面的應(yīng)用。它的特點(diǎn)是壓縮比高，壓縮速度快，壓縮后能保持信號與圖象的特征不變，且在傳遞中可以抗干擾。從數(shù)學(xué)地角度來看，信號與圖象處理可以統(tǒng)一看作是信號處理（圖像 可以看作是二維信號），在小波分析許多應(yīng)用中，都可以歸結(jié)為信號處理問題。 小波分析的應(yīng)用 小波分析的應(yīng)用是與小波分析的理論研究緊密地結(jié)合在一起的。這在理論和應(yīng)用上都帶來了許多不足。小波分析理論的重要性及應(yīng)用的廣泛性引起了科技界的高度重視。 入侵檢測產(chǎn)品仍具有較大的發(fā)展空間，從技術(shù)途徑來講，我們認(rèn)為，除了完善常規(guī)的、傳統(tǒng)的技術(shù)（模式識別和完整性檢測）外，應(yīng)重點(diǎn)加強(qiáng)統(tǒng)計(jì)分析的相關(guān)技術(shù)研究。首先，目前的技術(shù)還不能對付訓(xùn)練有素的黑客的復(fù)雜的攻擊。 （ 2） 應(yīng)用層入侵檢測 許多入侵的語義只有在應(yīng)用層才能理解，而目前的 IDS 僅能檢測如 WEB 之類的通用協(xié)議，而不能處理如 Lotus Notes、數(shù)據(jù)庫系統(tǒng)等其他的應(yīng)用系統(tǒng)。 入侵檢測的發(fā)展方向 隨著入侵檢測技術(shù)的發(fā)展，成型的產(chǎn)品已陸續(xù)應(yīng)用到實(shí)踐中。 4) 審計(jì)的事件序列發(fā)生在某以確定的時(shí)間間隔或持續(xù)的時(shí)間在一定的范圍，根據(jù)這些 條件就可以確定的入侵行為。但是，狀態(tài) 轉(zhuǎn)換是針對時(shí)間序列分析，所以不善于分析過分復(fù)雜的事件，而且不能檢測 與系統(tǒng)狀態(tài)無關(guān)的入侵。 （ 2） 狀態(tài)轉(zhuǎn)換分析技術(shù) 一個(gè)入侵行為就是由攻擊者執(zhí)行的一系列的操作，這些操作可以使系統(tǒng)從某些初始狀態(tài)轉(zhuǎn)換到一個(gè)可以威脅系統(tǒng)安全的狀態(tài)。這些規(guī)則可以識別單個(gè)審計(jì)事件， 也可以識別表示一個(gè)入侵行為的一系列事件。 NIDES、Wamp。目前，主要是從以知的系統(tǒng)缺陷來提取入侵行為的特征模式，加入到檢測器入侵行為特征模式庫中，來避免系統(tǒng)以后再遭受同樣的入侵攻擊。 誤用檢測技術(shù) 誤用檢測技術(shù)（ Misuse Detection）通過檢測用戶行為中的那些與某些已知的入侵行為模式類似的行為或那些利用系統(tǒng)中缺陷或是間接地違背系統(tǒng)安全規(guī)則的行為，來檢測系統(tǒng)中的入侵活動(dòng)，是一種基于已有的知識的檢測。 （ 3） 神經(jīng)網(wǎng)絡(luò)方法 神經(jīng)網(wǎng)絡(luò)具有自學(xué)習(xí)、自適應(yīng)的能力，因而，在基于神經(jīng)網(wǎng)絡(luò)模型的入侵檢測系統(tǒng)中，只要提供系統(tǒng)的審計(jì)數(shù)據(jù)，神經(jīng)網(wǎng)絡(luò)就可以通過自學(xué)習(xí)從中提取正常用戶或系統(tǒng)活動(dòng)的特征 模式，而不需要獲取描述用戶行為特征的特征集 以及用戶行為特征測度的統(tǒng)計(jì)分布。 TIM（ The Timebased Inductive Machine）就是一個(gè)基于規(guī)則的異常檢測系統(tǒng)， TIM 使用歸納方法來生成規(guī)則，這些規(guī)則在系統(tǒng)的學(xué)習(xí)階段可以動(dòng)態(tài)地修改。這種方法對特洛伊木馬（ Troja horse）以及欺騙性的應(yīng)用程序的檢測非常有效。 目前，這類入侵檢測系統(tǒng)多采用統(tǒng)計(jì)或基于規(guī)則描述的方法建立系統(tǒng)主體的行為特征輪廓。 Denning[5]于 1986 年給出一個(gè)基于用戶特征輪廓（ Profile）的入侵檢測系統(tǒng)模型。 異常檢測 技術(shù) 入侵檢測的異常檢測技術(shù)（ Anomaly Detection）是一種在不需要操作系統(tǒng)及其安全性缺陷的專門 知識 的情況下，就可以檢測入侵者的方法，同時(shí)它也是檢測冒充合法用戶的入 侵者的有效方法。 采用靜態(tài)分析方法主要有一下幾個(gè)方面的原因：入侵者對系統(tǒng)攻擊時(shí)可能會(huì)留下痕跡， 這可通過檢查系統(tǒng)的狀態(tài)檢測出來；系統(tǒng)管理員以及用戶在建立系統(tǒng)時(shí)那面會(huì)出現(xiàn)一些錯(cuò)誤和遺漏一些 系統(tǒng)的安全性缺陷。如果想在不同種類的 A、 E、 D及 R盒之間實(shí)現(xiàn)互操作，需要對 GIDO 實(shí)現(xiàn)標(biāo)準(zhǔn)化并使用 CISL。 Dbox 的功能 就是存儲(chǔ)和管理這些數(shù)據(jù) ,用于 IDS 的訓(xùn)練和證據(jù)保存。事件的質(zhì)量、數(shù)量與種類對 IDS 性能的影響極大。 一個(gè)入侵檢測系統(tǒng)分為四個(gè)組件（如圖 21 所示），即 CIDF 模 型（ Common Intrusion Detection Framework）： CIDF 闡述了一個(gè)入侵檢測系統(tǒng)（ IDS）的通用模型。入侵檢測基于這樣一個(gè)假設(shè)，即：入侵行為與正常行為有顯著的不同，因而是可以檢測的。入侵檢測系統(tǒng)執(zhí)行的主要任務(wù)包括：監(jiān)視、分析用戶及系統(tǒng)活動(dòng) ； 審計(jì)系統(tǒng)構(gòu)造和弱點(diǎn) ； 識別、反映已知進(jìn)攻的活動(dòng)模式，向相關(guān)人士報(bào)警 ； 統(tǒng)計(jì)分析異常行為模式 ； 評估重要系統(tǒng)和數(shù)據(jù)文件的完整性 ； 審計(jì)、跟蹤管理操作系統(tǒng)，識別用戶違反安全 策略的行為。對于正在進(jìn)行的網(wǎng)絡(luò)攻擊，則采取適當(dāng)?shù)姆椒▉碜钄喙簦ㄅc防火墻聯(lián)動(dòng)），以減少系統(tǒng)損失。 而入侵檢測的定義為：發(fā)現(xiàn)非授權(quán)使用計(jì)算機(jī)的個(gè)體 (如“黑客” )或計(jì)算機(jī)系統(tǒng)的合法用戶濫用其訪問系統(tǒng)的權(quán)利以及企圖實(shí)施上述行為的個(gè)體。 8 第 2 章 入侵檢測技術(shù) 入侵檢測的概念 1980 年， James 第一次系統(tǒng) 的闡述 了入侵檢測的概念，并將入侵行為分為外部滲透、內(nèi)部滲透和不法行為三種，還提出了利用審計(jì)數(shù)據(jù)監(jiān)視入侵活動(dòng)的思想。主要介紹了人工神經(jīng)網(wǎng)絡(luò)的研究內(nèi)容，人工神經(jīng)網(wǎng)絡(luò)構(gòu)成的基本原理。 第二章介紹入侵檢測技術(shù)。它的一大缺點(diǎn)是當(dāng)學(xué)習(xí)速度較小時(shí)，其緩慢的學(xué)習(xí)速度使得網(wǎng)絡(luò)的學(xué)習(xí)失去了意義。 本文的研究內(nèi)容和主要?jiǎng)?chuàng)新點(diǎn) 本文將小 波 神經(jīng) 網(wǎng)絡(luò)應(yīng)用于入侵檢測技術(shù)中，建立了新的基于小波 神經(jīng) 網(wǎng)絡(luò)的入侵 檢測模 型，并 進(jìn)行仿真實(shí)驗(yàn)，最后用已知的攻擊類型的數(shù)據(jù)源對網(wǎng)絡(luò) 進(jìn)行訓(xùn)練和測試，實(shí)驗(yàn)結(jié)果說明，本 文 提出的 基于小波 神經(jīng) 網(wǎng)絡(luò)模型，樣本訓(xùn)練時(shí)間短，網(wǎng)絡(luò)收斂速度快 (網(wǎng)絡(luò)收斂速度是指神經(jīng)網(wǎng)絡(luò)訓(xùn)練過程中，它的訓(xùn)練誤差減小的快慢 )，檢測準(zhǔn)確率高，整體性能優(yōu)于基于傳統(tǒng) BP神經(jīng)網(wǎng)絡(luò)的入侵檢測系統(tǒng)。 對于入侵檢測的研究，從早期的審計(jì)跟蹤數(shù)據(jù)分析，到實(shí)時(shí)入侵檢測系統(tǒng)，到目前應(yīng)用于大型網(wǎng)絡(luò)的 分布式檢測系統(tǒng)，基本上已發(fā)展成為具有一定規(guī)模和相應(yīng)理論的研究領(lǐng)域 。 國外著名的入侵檢測研究機(jī)構(gòu) 包括 Purdue University的 COAST （ Computer Operations Audit and Security Technology）研究小組 ，美國國家能源部的Lawrence Livermore National LaboratoryUC Davis的 Computer Security Lab等， 都有 一些 自己的 商業(yè)產(chǎn)品，但這些入侵檢測產(chǎn)品的檢測效果還不能很令人滿意。 同時(shí) ,由于防火墻處于網(wǎng)關(guān)的位置，不可能對進(jìn)出攻擊作太多判斷，否則會(huì)嚴(yán)重影響網(wǎng)絡(luò)性能 。防火墻在網(wǎng)絡(luò)安全中起到大門警衛(wèi)的作用，對進(jìn)出的數(shù)據(jù)依照預(yù)先設(shè)定的規(guī)則進(jìn)行匹配，符合規(guī)則的就予以放行，起訪問控制的作用，是網(wǎng)絡(luò)安全的第一道閘門。 在入侵檢測之前，大量的安全機(jī)制都是根據(jù)從主觀的角度設(shè)計(jì)的，他們沒有根據(jù)網(wǎng)絡(luò)攻擊的具體行為來決定安全對策。 計(jì)算機(jī)網(wǎng)絡(luò)安全已經(jīng)變成一個(gè)國際化的問題，每年全球因計(jì)算機(jī)網(wǎng)絡(luò)的安全系統(tǒng) 被破壞而造成的經(jīng)濟(jì)損失達(dá)數(shù)百億美元。涉及到國家的政府、軍事、經(jīng)濟(jì)、文教等諸多領(lǐng)域。用小波變換代替普通神經(jīng)網(wǎng)絡(luò)的激勵(lì)函數(shù)，能有效地提高網(wǎng)絡(luò)樣本訓(xùn)練的效率和速度，在仿真結(jié)果中體現(xiàn)出 較 好的收斂速度和學(xué)習(xí)能力，比較適合用于入侵檢測系統(tǒng)中。人們已經(jīng) 深刻 認(rèn)識到了保證網(wǎng)絡(luò)安全的重要性。 1 目錄 摘要 ................................................................ 3 Abstract............................................................ 4 第 1 章 緒論 ....................................................... 5 課題的研究背景和意義 .......................................... 5 入侵檢測的國內(nèi)外現(xiàn)狀分析 ...................................... 5 本文的研究內(nèi)容和主要?jiǎng)?chuàng)新點(diǎn) .................................... 6 論文內(nèi)容安排 .................................................. 6 第 2 章 入侵檢測技術(shù) ............................................... 8 入侵檢測的概念 ................................................ 8 入侵檢測的功能 ................................................ 8 入侵檢測的組成與結(jié)構(gòu) .......................................... 8 現(xiàn)有的入侵檢測分析技術(shù) ....................................... 10 靜態(tài)配置分析 ............................................. 10 異常檢測技術(shù) ............................................. 10 誤用檢測技術(shù) ............................................. 11 入侵檢測的發(fā)展方向 ....................................... 13 第 3 章小波神經(jīng)網(wǎng)絡(luò) ............................................... 15 小波分析理論 ................................................. 15 小波分析方法的起源與提出 ................................. 15 小波分析的應(yīng)用 ........................................... 15 小波變換 ................................................. 16 人工神經(jīng)網(wǎng)絡(luò)理論 ............................................. 18 神 經(jīng)網(wǎng)絡(luò)的基本理論 ....................................... 18 神經(jīng)元的結(jié)構(gòu)模型 ......................................... 18 神經(jīng)網(wǎng)絡(luò)的一般框架 ....................................... 19 小波神經(jīng)網(wǎng)絡(luò)理論 ............................................. 19 小波神經(jīng)網(wǎng)絡(luò)的基本結(jié)構(gòu) ................................... 19 2 小波神經(jīng)網(wǎng)絡(luò)學(xué)習(xí)算法 ..................................... 20 小波神經(jīng)網(wǎng)絡(luò)訓(xùn)練方法 ..................................... 20 BP 網(wǎng)絡(luò)的訓(xùn)練及算法 ...................................... 21 小波網(wǎng)絡(luò)與 BP 算法仿真對比 ................................ 22 第 4 章 小波神經(jīng)網(wǎng)絡(luò)在入侵檢測中的應(yīng)用 ............................ 25 入侵檢測系統(tǒng)設(shè)計(jì)目標(biāo) ......................................... 25 小波神經(jīng)網(wǎng)絡(luò)入侵檢測模型的設(shè)計(jì) ............................... 26 檢測系統(tǒng)工作模式的應(yīng)用 ....................................... 27 仿真試驗(yàn)與結(jié)果 ............................................... 30 結(jié)論 ............................................................. 35 致謝 ............................................. 錯(cuò)誤 !未定義書簽。 各種各樣的 網(wǎng)絡(luò)攻擊也 隨著 不斷地增加。 本文 通過 利用小波變換在信號處理方面的時(shí)頻分析特性和神經(jīng)網(wǎng)絡(luò)對任意非線性函數(shù)的逼近能力，提出了一種基于小波神經(jīng)網(wǎng)絡(luò)的入侵檢測方法。 網(wǎng)絡(luò)信息已經(jīng)成為社會(huì)發(fā)展的重要組成部分。由于計(jì)算機(jī)網(wǎng)絡(luò)組成形式多樣性、終端分布廣和網(wǎng)絡(luò)的開放性、互 聯(lián)性等特征，致使這些網(wǎng)