【正文】 ion of intrusion detection system, this paper to understand the concept of information security and intrusion detection based on analysis of neural work model, using a single neural work training samples, respectively, and then, through the geic algorithm to find large differences in the neural work that integration, and research models are applied to intrusion detection system, the corresponding processing program, get the final results. Keywords: work security intrusion detection neural work Integrated Learning geic arithmetic 1 1 引言 信息使用比例的加大， 使得 社會(huì)對(duì)信息的真實(shí)程度，保密程度的要求不斷提高，而網(wǎng)絡(luò)化又使因虛假、泄密引起的信息危害程度 越來越大。這些電子商務(wù)和政務(wù)應(yīng)用和企業(yè)網(wǎng)絡(luò)中的商業(yè)秘密便是攻擊者的目標(biāo)，據(jù)統(tǒng)計(jì)目前網(wǎng)絡(luò)攻擊手段多達(dá)數(shù)千種，使網(wǎng)絡(luò)安全問題變得極其嚴(yán)峻 [1]。 信息安全的 PDRR模型充分說明了檢測(cè)的重要性。 在入侵檢測(cè)領(lǐng)域內(nèi)應(yīng)用最為廣泛，同時(shí)也是最成熟的技術(shù)仍然是基于專家系統(tǒng)的規(guī)則化檢測(cè)技術(shù)。從本質(zhì)上講，人工神經(jīng)網(wǎng)絡(luò)實(shí)現(xiàn)的是一種從輸入到輸出的映射關(guān)系，其輸出值由輸入樣本、神經(jīng)元間的互連權(quán)值以及傳遞函數(shù)所決定。 Tan 為適應(yīng)入侵檢測(cè)的要 求 ，對(duì)傳統(tǒng)的多層前饋網(wǎng)絡(luò)（ MLFF）的訓(xùn)練算法進(jìn)行改進(jìn)，并用于建模用戶的各個(gè)行為特征。 Ghosh等人同時(shí)還進(jìn)行了濫用檢測(cè)技術(shù)的研究 ，其工作結(jié)果表明基于 MLP 的濫用檢測(cè)模型具備更高的虛警概率，性能不及異常模型。 Cannady和 Mahaffey將 MLP 模型和 SOM/MLP 混合模型應(yīng)用到基于網(wǎng)絡(luò)流量的濫用檢測(cè)模型中。同時(shí) Cannady等人提出 SOM/MLP 混合模型，來檢測(cè)諸如 FTP 口令試探的時(shí)間上分散的攻擊行為。訓(xùn)練完畢后的 BP網(wǎng)絡(luò)即可進(jìn)行濫用入侵檢測(cè)。實(shí)驗(yàn)?zāi)茉谶_(dá)到 80%檢測(cè)概率的基礎(chǔ)上將虛警概率降低到大約每天一次的水平 [4]。 1990 年 Schapire 證明一個(gè)概念是弱可學(xué)習(xí)的，其充要條件是強(qiáng)可學(xué)習(xí)的。 論文結(jié)構(gòu)安排 本文共分為 八 章，第一章引言，概要的給出與本課題相關(guān)的網(wǎng)絡(luò)安全的基本概念，目前在 IDS 領(lǐng)域的國內(nèi)外的研究概況，并引出將神經(jīng)網(wǎng)絡(luò)應(yīng)用于入侵檢測(cè)當(dāng)中。 第三章神經(jīng)網(wǎng)絡(luò)的 簡(jiǎn)介 。然后對(duì)集成神經(jīng)網(wǎng)絡(luò)算法進(jìn)行理論的分析，還對(duì)遺傳算法進(jìn)行了詳細(xì)的分析。對(duì)實(shí)驗(yàn)數(shù)據(jù)進(jìn)行分析，從而得出一些結(jié)論。但一般網(wǎng)絡(luò)系統(tǒng)必須對(duì)外開放一些應(yīng)用端口，如 80、 110 等，這時(shí)防火墻的不足就會(huì)充分體現(xiàn)出來，并且防火墻對(duì)內(nèi)部攻擊無能為力；同時(shí)，防火墻絕對(duì)不是堅(jiān)不可摧的，即使是某些防火墻本身也會(huì)引起一些安全問題。入侵檢測(cè)系統(tǒng)（ IDS）由入侵檢測(cè)軟件和硬件組合而成，被認(rèn)為是防火墻之后的第二道安全閘門，在不影響網(wǎng)絡(luò)性能的情況下能對(duì)網(wǎng)絡(luò)進(jìn)行監(jiān)測(cè)，提供對(duì)內(nèi)部攻擊、外部攻擊和誤操作的實(shí)時(shí)保護(hù)。 入侵檢測(cè)系統(tǒng)的基本原理 入侵檢測(cè)系統(tǒng) （ Instrusion Detection System,IDS） 的基本原理如圖 21 所示。 2） 數(shù)據(jù)處理 數(shù)據(jù)收集過程中得到的原始數(shù)據(jù)量一般非常大，而且還存在噪聲。常用的措施包括切斷網(wǎng)絡(luò)連接、記錄日志、通過電子郵 件或電話通知管理員等。 4） 記錄并報(bào)告檢測(cè)過程的結(jié)果。 根據(jù)檢測(cè)技術(shù)分類 根據(jù)入侵檢測(cè)系統(tǒng)所采用的技術(shù)可分為誤用入侵檢測(cè)、異常入侵檢測(cè)和協(xié)議分析三種。其難點(diǎn)在于如何設(shè)計(jì)模式，既能夠表達(dá) “ 入侵 ” 現(xiàn)象，又 不會(huì)將正常的活動(dòng)包含進(jìn)來 。 3） 協(xié)議分析 系統(tǒng)日記 原始數(shù)據(jù) 包 檢測(cè)原理 異常入侵檢測(cè) 誤用入侵檢測(cè) 報(bào)警 報(bào)警并采取相應(yīng)措施 周期性檢測(cè) 實(shí)時(shí)檢測(cè) 圖 22 入侵檢測(cè)系統(tǒng)的基本工作模式 7 協(xié)議分析是在傳統(tǒng)模式匹配技術(shù)基礎(chǔ)之上發(fā)展起來的一種新的入侵檢測(cè)技術(shù)。 根據(jù)數(shù)據(jù)來源分類 根據(jù)入侵檢測(cè)數(shù)據(jù)來源的不同，可以將入侵檢測(cè)系統(tǒng)分為基于網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)、基于主機(jī)的入侵檢測(cè)系統(tǒng)、混合式入侵檢測(cè)系統(tǒng)及文件完整性檢查式入侵檢測(cè)系統(tǒng)。但是它們的缺憾是互補(bǔ)的。 入 侵檢測(cè)目前存在的局限性和不足 在入侵檢測(cè)領(lǐng)域內(nèi)應(yīng)用最為廣泛，同時(shí)也是最成熟的技術(shù)仍然是基于專家系統(tǒng)的規(guī)則化檢測(cè)技術(shù)。面對(duì)不斷變化的攻擊手段和多樣復(fù)雜的變種情況，該規(guī)則庫需要進(jìn)行隨時(shí)隨地的更新升級(jí)。通常的規(guī)則推導(dǎo)過程是在精確匹配的基礎(chǔ)上進(jìn)行的，如果某種攻擊手段的執(zhí)行過程發(fā)生某些細(xì)微的改變，對(duì)于專家系統(tǒng)而言，如果沒有找到對(duì)應(yīng)的更新規(guī)則，就會(huì)被認(rèn)定為合法行為，產(chǎn)生漏檢情況。 基于神經(jīng)網(wǎng)絡(luò)的入侵檢測(cè)技術(shù)的發(fā)展 近年來，大量不同于傳統(tǒng)專家系統(tǒng)技術(shù)的入侵檢測(cè)方法紛紛涌現(xiàn)，其中基于人工神經(jīng)網(wǎng)絡(luò)檢測(cè)技術(shù)的發(fā)展尤為突出。 入侵檢測(cè)技術(shù)主要分成兩類，即基于異常和基于誤用的入侵檢測(cè)技術(shù)。 人工神經(jīng)網(wǎng)絡(luò)模仿人腦神經(jīng)的活動(dòng)，力圖建立腦神經(jīng)活動(dòng)的數(shù)學(xué)模型。每個(gè)神經(jīng)元具有 102104 個(gè)突觸與其它神經(jīng)元相連接，形成了錯(cuò)綜復(fù)雜而又靈活多變的神經(jīng)網(wǎng)絡(luò)。 圖 31 典型的生物神經(jīng)元 由圖 31 可見，神經(jīng)元有胞體、樹突和軸突構(gòu)成。髓鞘規(guī)則地分為許多短段，段與段之間的部位被稱為郎飛節(jié)。由于神經(jīng)元結(jié)構(gòu)的可塑性，突觸的傳遞作用可增強(qiáng)、減弱和飽和，因此細(xì)胞具有相應(yīng)的學(xué) 習(xí)功能、遺忘和疲勞效應(yīng)（飽和效應(yīng)）。每一個(gè)神經(jīng)元的狀態(tài)按下述規(guī)則受其它神經(jīng)元的制約 Nixwfx Nj ijiji ?????? ?? ,2,1),( 1 ? （ 31） 式中 ijw ——— 神經(jīng)元 i 和神經(jīng)元 j 之間突觸連接強(qiáng)度，或稱權(quán)值； i? ——— 神經(jīng)元 i 的閥值； )(f? 在這里取階躍函數(shù) step )(? ，有 Step(a)=???????? 0a 0a01 式（ 31）也可理解為神經(jīng)元 i 的輸入輸出關(guān)系。它們?cè)诩?xì)節(jié)上（即并行分布處理思想上）有所不同，但有許多共性，提取這些共性可以給出相當(dāng)一般化模型，它的數(shù)學(xué)表達(dá)式為 )( 1 iNj ijiji sxwf ?? ??? ?? (33) )( ii fu ?? (34) )()( iii hugy ??? (35) 式中 jiW ， jX ， i? 的含義和式（ 31）一樣； i? —— 第 i 個(gè)神經(jīng)元的凈輸入 iS —— 第 i 個(gè)神經(jīng)元外部輸入 iu —— 第 i 個(gè)神經(jīng)元的活化狀態(tài) iy —— 第 i 個(gè)神經(jīng)元的輸出 )(?f —— 神經(jīng)元的活化規(guī)則（活化函數(shù)） )(?g —— 神經(jīng)元的輸出規(guī)則（轉(zhuǎn)換函數(shù)） 在某些模型中，假設(shè)神經(jīng)元沒有內(nèi)部狀態(tài)，可以令 f=1（恒等映射），此時(shí))(g)( iii ugy ??? 。 圖 32 一般化 MP 模型 12 神經(jīng)網(wǎng)絡(luò)模型 神經(jīng)網(wǎng)絡(luò)是在對(duì)人腦思維方式研究的基礎(chǔ)上，用數(shù)學(xué)方法將其簡(jiǎn)化并抽象模擬反映人腦基本功能的一種并行處理連接網(wǎng)絡(luò)。神經(jīng)元分層排列，組成輸入層、隱含層和輸出層，每層只能夠接受前一層神經(jīng)元的輸入； 2） 反饋網(wǎng)絡(luò)。 圖 33 神經(jīng)網(wǎng)絡(luò)的 4 種典型拓?fù)浣Y(jié)構(gòu) 神經(jīng)網(wǎng)絡(luò)的工作方式 神經(jīng)網(wǎng)絡(luò)的工作過程主要由兩個(gè)階段組成：一是工作期，此時(shí)各連接權(quán)值固定，計(jì)算單元的狀態(tài)變化，以求達(dá)到穩(wěn)定狀態(tài)；二是學(xué)習(xí)期（自適應(yīng)期或設(shè)計(jì)期），此時(shí)各計(jì)算單元狀態(tài)不變，各連接權(quán)值可修改。正是這種可塑性， 使得 神經(jīng)網(wǎng)絡(luò)可適應(yīng)不同信息處理需要。它基本上是梯度下降法，所以要求提供大量的例子。神經(jīng)網(wǎng)絡(luò)良好的容錯(cuò)性保證網(wǎng)絡(luò)將不完整的、無損的、畸變的輸入樣本恢復(fù)成完整的原型。訓(xùn)練好的神經(jīng)網(wǎng)絡(luò)應(yīng)能夠?qū)Σ粚儆谟?xùn)練樣本集合的輸入樣本正確識(shí)別或分 類，這種現(xiàn)象常稱為神經(jīng)網(wǎng)絡(luò)具有良好的推廣性。在網(wǎng)路環(huán)境中，常常會(huì)出現(xiàn)信息丟失不完整或者變形失真的情況，神經(jīng)網(wǎng)絡(luò)的非線性處理和概括抽象的特性對(duì)于處理此類情況是非常適合的。 3） 神經(jīng)網(wǎng)絡(luò)所獨(dú)有的內(nèi)在并行計(jì)算和存儲(chǔ)特性。而在神經(jīng)網(wǎng)模型中，信息的存儲(chǔ)和信息的處理計(jì)算從本質(zhì)上是合二為一的。不同的神經(jīng)網(wǎng)絡(luò)類型和拓?fù)浣Y(jié)構(gòu)，都存在學(xué)習(xí)能力的限制容量。對(duì)于入侵檢測(cè)而言，僅僅判定當(dāng)前事件是否異常往往不夠，通常還需要得到關(guān)于該異常事件具體類型的明確信息。從理論上 講，神經(jīng)網(wǎng)絡(luò)具備并行計(jì)算的強(qiáng)大能力，但是在當(dāng)前計(jì)算機(jī)的存儲(chǔ) 計(jì)算架構(gòu)下來完全實(shí)現(xiàn)神經(jīng)網(wǎng)絡(luò)的并行計(jì)算潛力，則非常困難。特征提取模塊通過協(xié)議分析技術(shù) ，提取出代表網(wǎng)絡(luò)數(shù)據(jù)流的特征向量，然后，采用核主成分分析 (KFCA)對(duì)特征向量進(jìn)行降維處理，把降維后的向量送入集成神經(jīng)網(wǎng)絡(luò)分類引擎，作為遺傳算法集成神經(jīng)網(wǎng)絡(luò)分類引擎的輸入向量。 特征提取 特征提取模塊將數(shù)據(jù)收集模塊中得到的數(shù)據(jù)，分不同報(bào)文類型，提取 出不同的檢測(cè)特征并進(jìn)行降維處理。這一定理說明，多個(gè)分類器可以集成為一個(gè)強(qiáng)分類器，由此奠定了集成學(xué)習(xí)的理論基礎(chǔ)。因此，集成神經(jīng)網(wǎng)絡(luò)中個(gè)體網(wǎng)絡(luò)差異越大，集成效果越好。遺傳算法的提出和發(fā)展給優(yōu)化搜索技術(shù)帶來了新的思想及活力。因此，在一開始需要實(shí)現(xiàn)從表現(xiàn)型到基因型的映射即編碼工作。這個(gè)過程將導(dǎo)致種群像自然進(jìn)化一樣的后生代種群比前代更加適應(yīng)于環(huán)境，末代種群中的最優(yōu)個(gè)體經(jīng)過解碼（ decoding），可以作為問題近似最優(yōu)解 [12]。對(duì)不同的優(yōu)化問題需要使用不同的編碼方法和不同操作 的遺傳算子，它們與所求解的具體問題密切相關(guān)，因而對(duì)所求解問題的理解程度是遺產(chǎn)算法應(yīng)用成功與否的關(guān)鍵。初始群體中各個(gè) 個(gè)體的基因值可用均勻分布的隨機(jī)數(shù)來生成。 19 這樣，根據(jù)不同種類的問題，必須預(yù)先確定好由目標(biāo)函數(shù)值到個(gè)體適應(yīng)度之間的轉(zhuǎn)化規(guī)則，特別是要預(yù)先確定好當(dāng)目標(biāo)函數(shù)值為負(fù)數(shù)時(shí)的處理方法。首先計(jì)算適應(yīng)度，后是實(shí)際的選擇，按照適應(yīng)度進(jìn)行父代個(gè)體的選擇 。 交叉之后子代經(jīng)歷的變異，實(shí)際上是子代基因按小概率擾動(dòng)產(chǎn)生的變化。 3） pc：交叉概率，一般取為 ~。交叉和變異概率 Pc、 Pm 越小，則算法的開發(fā)能力越強(qiáng)，越容易探測(cè)到新的超平面，但個(gè)體的平均適應(yīng)值波動(dòng)較大；相反， Pc、 Pm 越小，則算法的開發(fā)能力越強(qiáng)，使得較優(yōu)個(gè)體不易被破壞，個(gè)體的平均適應(yīng)值平衡。集成神經(jīng)網(wǎng)絡(luò)中，每個(gè)個(gè)體網(wǎng)絡(luò)對(duì)應(yīng)染色體中的一位，每一位的取值為離散的 0 或 1， 1 表示該神經(jīng)網(wǎng)絡(luò)參與集成， 0 表示該神經(jīng)網(wǎng)絡(luò)不參與集成，染色體長(zhǎng)度為 18，由此，體網(wǎng)絡(luò)的選擇轉(zhuǎn)化為在 18 維 01 空間中選擇最優(yōu)染色體的問題。 2)在 18 個(gè)神經(jīng)網(wǎng)絡(luò)中抽取六個(gè)子集 6321 ,..., ssss 稱為父代。 6)重復(fù)前面的 4， 5 步操作。硬件采用 2． 4G 奔騰 Ⅳ處理器 ， 1G 內(nèi)存。為了方便操作、區(qū)分正常事件與攻擊事件、提取攻擊事件的特征。歸一化算法如下： MINMAX MINxx ??? 其中： x是連續(xù)型數(shù)值變量 。 26 圖 53 單個(gè) 神經(jīng)網(wǎng)絡(luò)訓(xùn)練過程 首先，獨(dú)立訓(xùn)練 18 個(gè)神經(jīng)網(wǎng)絡(luò)，其中的 6 個(gè) BP 網(wǎng)絡(luò)和 6 個(gè) RBF 網(wǎng)絡(luò)都含有一個(gè)隱含層，隱含層神經(jīng)元數(shù)分別為 4， 5， 6 個(gè) , 學(xué)習(xí)率分別為 和 ，自組織競(jìng)爭(zhēng)人工神經(jīng)網(wǎng)絡(luò)含一個(gè)競(jìng)爭(zhēng)層，競(jìng)爭(zhēng)層神經(jīng)元數(shù)分別為 4， 5， 6 個(gè)，學(xué)習(xí)率分別為 和 ，然后利 用驗(yàn)證集采用遺傳算法選擇部分神經(jīng)網(wǎng)絡(luò)進(jìn)行集成。 從表 1 顯示的結(jié)果來看，集成神經(jīng)網(wǎng)絡(luò)對(duì)絕大部分類型入侵的檢測(cè)率均達(dá)到 90%以上。 通過集成，系統(tǒng)的檢測(cè)率從 提高到 ，提高了 個(gè)百分點(diǎn)。從而提出了基于集成神經(jīng)網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)。再者，采用遺傳算法對(duì)個(gè)體網(wǎng)絡(luò)進(jìn)行選擇，利用了遺傳算 法適用于大規(guī)模、高度非線性優(yōu)化的特性，從個(gè)體網(wǎng)絡(luò)所在的空間選擇處那些差異最大的個(gè)體，保證了集成學(xué)習(xí)后的泛化誤差向減小的方向發(fā)展。 29 參考文獻(xiàn) [1]唐正軍 .入侵檢測(cè)技術(shù)導(dǎo)論 [M].北京 :機(jī)械工業(yè)出版社 ,2020:1. [2]俞永杭 .計(jì)算機(jī)網(wǎng)絡(luò)與信息安全技術(shù) [M]. 北京 :機(jī)械工業(yè)出版社 ,2020:131， 146. [3]何德全 .入侵檢測(cè)技術(shù) [M]. 北京 :清華大學(xué)出版社 ,2020:134. [4]唐正軍 ,李建華 .入侵檢測(cè)技術(shù) [M].北京 :清華大學(xué)出版社 ,2020:134137. [5]李劍 .入侵檢測(cè)技術(shù) [M]. 北京 :高等教育出版社 ,2020:69. [6]鐘珞 ,饒文碧 ,鄒承明 . 人工神經(jīng)網(wǎng)絡(luò)及其融合應(yīng)用技術(shù) [M].北京：科學(xué)出版