【正文】 而 SNORT系統(tǒng)根據(jù)已知入侵模式，在數(shù)據(jù)包的數(shù)據(jù)段內(nèi)進(jìn)行模式匹配搜索，從而檢測出入侵行為。 推薦在如下一些情況下使用。 2） 對于那些小波神經(jīng)網(wǎng)絡(luò)模塊判定異常而 SNORT系統(tǒng)模塊判定為正常的數(shù)據(jù)，則要提交給管理人員來判讀，如果是正常數(shù)據(jù)，生成小波神經(jīng)網(wǎng)絡(luò)的樣 本 ，加入樣 本庫中， 避免重復(fù)誤判。通過精心選擇向規(guī)則庫中添加 DOS攻擊和 probing攻擊規(guī)則，可以提高系統(tǒng)檢測能力。第一種模式：互補式工作模式 ， 通過將 小波神經(jīng)網(wǎng)絡(luò)模塊和 SNORT系統(tǒng)模塊分別作為獨立的檢測單元，構(gòu)成功能互補式工作模式。對于 事件數(shù)據(jù)庫和響應(yīng)單元僅以日志來簡單地代替（ 事件產(chǎn)生器、事件分析器、事件數(shù)據(jù)庫和響應(yīng)單元等四個部分 ，參照上文入侵檢測系統(tǒng)的結(jié)構(gòu)和組成）。 SNORT系統(tǒng)也可以用于檢測部分 DOS， probing攻擊，但由于是對單個數(shù)據(jù)包進(jìn)行分析，對于那些與時間和流量特性有很強相關(guān)性的 DOS， probing入侵攻擊， 存在嚴(yán)重的漏報率。第一類入侵的行為特征主要體現(xiàn)在網(wǎng)絡(luò)連接的時間 和流量特性上，而且特征屬性經(jīng)過數(shù)值化 后 更利于表征入侵，如 DOS(拒絕服務(wù)攻擊 )、 probing（監(jiān)視和探測其他活動） 攻擊； 第二類 入侵 的行為特征隱藏 在數(shù)據(jù)包的數(shù)據(jù)段中，主要為 系統(tǒng)服務(wù)的操作命令，通常由 一些字符串構(gòu)成。 將 神經(jīng)網(wǎng)絡(luò)技術(shù) 在 入侵檢測領(lǐng)域 中的應(yīng)用經(jīng)過不斷 的研究 ，如今已經(jīng)取得了許多的成果。測試的方法是選擇測試樣本向量，將其輸入到訓(xùn)練好的網(wǎng)絡(luò)，檢驗網(wǎng)絡(luò)對其分類的正確性。設(shè)隱含層和輸出層神經(jīng)元激活函數(shù)分別為 1F 、 2F (如前所述， 1F 為小波函數(shù) 2F 為 sigmoid函 數(shù) )。 這兩個階段的工作一般應(yīng)受到精度要求的控制，在這里，取 211 ()2 mp pj pjjE y o???? 作為網(wǎng)絡(luò)關(guān)于第 p 個樣本的誤差測度。 2 39。( ) / ( 1 , 2 , . . . , ) , ( ) ( ) / ( ) ( ) [ 1 ( ) ]i i k kx x b a i M f u f u u f u f u? ? ? ? ? ? ? （ 1） 初始化網(wǎng)絡(luò)參數(shù)為 伸縮因子 ka 和平移因子 kb ，以及網(wǎng)絡(luò)連接權(quán)重 kw 賦以隨機的初始值； （ 2）輸入學(xué)習(xí)樣本矢量 12( , ,..., ),MX x x x? 及相應(yīng)的期望輸出 d； （ 3）網(wǎng)絡(luò)自學(xué)習(xí)，利用當(dāng)前 網(wǎng)絡(luò) 參數(shù)計算出網(wǎng)絡(luò)的輸出 11( ) [ ( ) ]KM mkn k mn km kxbf f u f w x a??? ??? ?? （ 4）計算瞬時梯 度 ，令 則瞬時梯度分別為：39。 從輸入層輸入的矢量信號 x經(jīng)過中間層網(wǎng)絡(luò)激勵函數(shù) (( )/ )iix b a? ? 映射，得到一組小波基函數(shù) 11(( )/ )x b a? ? ， 22(( ) / )x b a? ? ， ? , (( ) / )nnx b a? ? 表達(dá)的神經(jīng)元變換。 2．融合型結(jié)合 小波和神經(jīng)網(wǎng)絡(luò)直接融合，即小波元代替神經(jīng) 元。如此眾多復(fù)雜的連接，也正是神經(jīng)網(wǎng)絡(luò)模型具有強大計算能力的基礎(chǔ)。 00。它是理論化的人腦神經(jīng)網(wǎng)絡(luò)的數(shù)學(xué)模型，是基于模仿大腦神經(jīng)網(wǎng)絡(luò)結(jié)構(gòu)和功能而建立的一種信息處理系統(tǒng)。（ 35）式說明小波變換是對信號用 不同濾波器進(jìn)行濾波。 0a b R a?? （ 31） 其中 a為伸縮因子， b為平移因子。 16 (1)小波分析用于信號與圖象壓縮是小波分析應(yīng)用的一個重要方面。而小波變換在時域和頻域同時具有良好的局部化性能，有一個靈活可變的時間 頻率窗，它與 Fourier 變換、加窗 Fourier 變換相比，能更有效的從信號中提取信息，通過伸縮和平移等運算功能對函數(shù)或信號進(jìn)行多尺度細(xì)化分析（ Multiscale Analysis），解決了Fourier 變換不能解決的許多困難問題，從而小波變化被譽為“數(shù)學(xué)顯微鏡”，它是調(diào)和分析發(fā)展史上里程碑式的進(jìn)展 。 Mallat 基于多分辨分析思想，提出了對小波應(yīng)用起重要作用的 Mallat 算法，它在小波分析中的地位相當(dāng)于 FFT 在經(jīng)典 Fourier 變換中的地位。 （ 4）入侵檢測的數(shù)據(jù)融合技術(shù) 目前的 IDS 還存在著很多缺陷。因此，檢測入侵 者時用模式匹配技術(shù)比使用專家系統(tǒng)更有效。在識別出初始狀態(tài)、威脅系統(tǒng)安全的狀態(tài)后，主要應(yīng)分析在者兩個狀態(tài)之間進(jìn)行狀態(tài)轉(zhuǎn)換的關(guān)鍵活動，這些轉(zhuǎn)換信息可以用狀態(tài)遷移圖來描述或用于生成專家系統(tǒng)的規(guī)則，從而用于檢測系統(tǒng)的入侵活動。每個規(guī)則具有“ IF條件 THEN 動作”的形式；其中條件為審計將記錄中某個域上的限制條件，動作表示規(guī)則被觸發(fā)時入侵檢測系統(tǒng)所采取的處理動作，可以是一些新事實的判定或是提高某個用戶行為的可疑度。 12 基于 知識的入侵檢測技術(shù)的優(yōu)勢：如果檢測器的入侵特征模式庫中包含一個已知入侵行為的特征模式，就可以保證系統(tǒng)在受到這種入侵行為攻擊時能夠把它檢測出來。 該 方案還可以采用大型數(shù)據(jù)庫中提取規(guī)則的數(shù)據(jù)挖掘（ Data Mining）技術(shù)，從大量的 系統(tǒng)審計數(shù)據(jù)中提取出描述用戶特征輪廓的規(guī)則集。 SRI 的 NIDES（ Next Generation Realtime Intrusion Detection Expert System，早期版本為 IDES） 就是一個基于統(tǒng)計型特征輪廓的異常性檢測系統(tǒng)。有經(jīng)驗的入侵者還可以通過緩慢的改變它的行為，來改變?nèi)肭謾z測系統(tǒng)中用戶正常行為模式，使其入侵行為逐步變?yōu)楹戏ǎ@樣就可以避開使用異常性檢測技術(shù)的入侵檢測系統(tǒng)的檢測。靜態(tài)是指檢查系統(tǒng)的靜態(tài)特征（系統(tǒng)配置信息），而不是系統(tǒng)中的活動。 3） 事件數(shù)據(jù)庫（ Event database, Dbox） Eboxes 和 Aboxes 產(chǎn)生大量的數(shù)據(jù)，這些數(shù)據(jù)必須被妥善地存儲，以備將來的使用。它們可以和你的防火墻和路由器配合工作。 (2)入侵檢測系統(tǒng)（ IDS）也可以定義為：檢測企圖破壞計算機資源的完整性，真實性和可用性的行為的軟件。 Anderson將入侵嘗試或威脅定義為：潛在的、有預(yù)謀的、未經(jīng)授權(quán)的訪問信息、操作信息、致使系統(tǒng)不可靠或無法使用的企圖。人工神經(jīng)網(wǎng)絡(luò)方面的研究。 論文 內(nèi)容 安排 在神經(jīng)網(wǎng)絡(luò)的實際應(yīng)用中，應(yīng)用最廣泛的是 BP 網(wǎng)絡(luò)。 國際 著名的檢測系統(tǒng)產(chǎn)品有： BlackICE， Snort， Showdow和 SRI等。防火墻只能對進(jìn)出網(wǎng)絡(luò)的數(shù)據(jù)進(jìn)行分析，對網(wǎng)絡(luò)內(nèi)部發(fā)生的事件完全無能為力 [1]。入侵檢測系統(tǒng)就是在這樣的背景下產(chǎn)生的。 網(wǎng)絡(luò)信息已經(jīng)成為社會發(fā)展的重要組成部分。 各種各樣的 網(wǎng)絡(luò)攻擊也 隨著 不斷地增加。人們已經(jīng) 深刻 認(rèn)識到了保證網(wǎng)絡(luò)安全的重要性。涉及到國家的政府、軍事、經(jīng)濟(jì)、文教等諸多領(lǐng)域。 在入侵檢測之前，大量的安全機制都是根據(jù)從主觀的角度設(shè)計的，他們沒有根據(jù)網(wǎng)絡(luò)攻擊的具體行為來決定安全對策。 同時 ,由于防火墻處于網(wǎng)關(guān)的位置，不可能對進(jìn)出攻擊作太多判斷，否則會嚴(yán)重影響網(wǎng)絡(luò)性能 。 對于入侵檢測的研究，從早期的審計跟蹤數(shù)據(jù)分析，到實時入侵檢測系統(tǒng)，到目前應(yīng)用于大型網(wǎng)絡(luò)的 分布式檢測系統(tǒng)，基本上已發(fā)展成為具有一定規(guī)模和相應(yīng)理論的研究領(lǐng)域 。它的一大缺點是當(dāng)學(xué)習(xí)速度較小時，其緩慢的學(xué)習(xí)速度使得網(wǎng)絡(luò)的學(xué)習(xí)失去了意義。主要介紹了人工神經(jīng)網(wǎng)絡(luò)的研究內(nèi)容，人工神經(jīng)網(wǎng)絡(luò)構(gòu)成的基本原理。 而入侵檢測的定義為：發(fā)現(xiàn)非授權(quán)使用計算機的個體 (如“黑客” )或計算機系統(tǒng)的合法用戶濫用其訪問系統(tǒng)的權(quán)利以及企圖實施上述行為的個體。入侵檢測系統(tǒng)執(zhí)行的主要任務(wù)包括：監(jiān)視、分析用戶及系統(tǒng)活動 ； 審計系統(tǒng)構(gòu)造和弱點 ； 識別、反映已知進(jìn)攻的活動模式，向相關(guān)人士報警 ； 統(tǒng)計分析異常行為模式 ； 評估重要系統(tǒng)和數(shù)據(jù)文件的完整性 ； 審計、跟蹤管理操作系統(tǒng)，識別用戶違反安全 策略的行為。 一個入侵檢測系統(tǒng)分為四個組件（如圖 21 所示），即 CIDF 模 型（ Common Intrusion Detection Framework）： CIDF 闡述了一個入侵檢測系統(tǒng)（ IDS）的通用模型。 Dbox 的功能 就是存儲和管理這些數(shù)據(jù) ,用于 IDS 的訓(xùn)練和證據(jù)保存。 采用靜態(tài)分析方法主要有一下幾個方面的原因：入侵者對系統(tǒng)攻擊時可能會留下痕跡， 這可通過檢查系統(tǒng)的狀態(tài)檢測出來；系統(tǒng)管理員以及用戶在建立系統(tǒng)時那面會出現(xiàn)一些錯誤和遺漏一些 系統(tǒng)的安全性缺陷。 Denning[5]于 1986 年給出一個基于用戶特征輪廓（ Profile）的入侵檢測系統(tǒng)模型。這種方法對特洛伊木馬（ Troja horse）以及欺騙性的應(yīng)用程序的檢測非常有效。 （ 3） 神經(jīng)網(wǎng)絡(luò)方法 神經(jīng)網(wǎng)絡(luò)具有自學(xué)習(xí)、自適應(yīng)的能力，因而，在基于神經(jīng)網(wǎng)絡(luò)模型的入侵檢測系統(tǒng)中，只要提供系統(tǒng)的審計數(shù)據(jù)，神經(jīng)網(wǎng)絡(luò)就可以通過自學(xué)習(xí)從中提取正常用戶或系統(tǒng)活動的特征 模式，而不需要獲取描述用戶行為特征的特征集 以及用戶行為特征測度的統(tǒng)計分布。目前，主要是從以知的系統(tǒng)缺陷來提取入侵行為的特征模式，加入到檢測器入侵行為特征模式庫中，來避免系統(tǒng)以后再遭受同樣的入侵攻擊。這些規(guī)則可以識別單個審計事件， 也可以識別表示一個入侵行為的一系列事件。但是，狀態(tài) 轉(zhuǎn)換是針對時間序列分析，所以不善于分析過分復(fù)雜的事件，而且不能檢測 與系統(tǒng)狀態(tài)無關(guān)的入侵。 入侵檢測的發(fā)展方向 隨著入侵檢測技術(shù)的發(fā)展，成型的產(chǎn)品已陸續(xù)應(yīng)用到實踐中。首先，目前的技術(shù)還不能對付訓(xùn)練有素的黑客的復(fù)雜的攻擊。小波分析理論的重要性及應(yīng)用的廣泛性引起了科技界的高度重視。 小波分析的應(yīng)用 小波分析的應(yīng)用是與小波分析的理論研究緊密地結(jié)合在一起的。它的特點是壓縮比高，壓縮速度快，壓縮后能保持信號與圖象的特征不變，且在傳遞中可以抗干擾。對于任意函數(shù) 2( ) ( )f t L R? 的連續(xù)小波變換為： ( , ) ffifW a b f? ， 1 / 2, f f I = |a | ( ) ( )ab R tbf t d ta???? ??? （ 32） 其重構(gòu)公式（逆變換）為： 211( ) ( , ) ( )f tbf t w a b dadbC a a?? ? ? ?? ? ? ??? ?? （ 33） 基本小波函數(shù)的選取很重要，常常取決于實際應(yīng)用。由于 t、 a、 b 都是連續(xù)的變量，式（ 35）稱為連續(xù)小波變換。實際上是由眾多神經(jīng)元相互連接而成的復(fù)雜網(wǎng)絡(luò)，具有高度的非線性，能夠進(jìn)行復(fù)雜的邏輯操作和非線性關(guān)系實現(xiàn)的系統(tǒng)。 0sgn( ){ xxx ?? ，則 111。 神經(jīng)網(wǎng)絡(luò)中各個神經(jīng)網(wǎng)絡(luò)之間的連接并不只是一個單純的傳送信號的通道，而是在每對神經(jīng) 元之間的連接上有一個加權(quán)系數(shù)起著生物神經(jīng)系統(tǒng)中神經(jīng)元的突觸強度的作用，它可以加強或減弱一個神經(jīng)元的輸出對下一個神經(jīng)元的刺激。它是將常規(guī)神經(jīng)網(wǎng)絡(luò)的隱含層函數(shù)用小波函數(shù)來代替，相應(yīng)的輸入層到隱含層的權(quán)值及隱含層閾值分別有小波函數(shù)的尺度和平移參數(shù)所代替。該組變換再經(jīng)過與變換系數(shù) iw 的相乘運算，最后由輸出層求和輸出 1( ) ( )n iii ixbf x w a?? ?? ? 。 39。11( ) ( ) ( ) [ 1 . 7 5 s i n 1 . 7 5 e x p ( / 2 ) c o s 1 . 7 5 e x p ( ) ] /NMk n n n m k m m m m m knmkEg b d f f u x w x x x x x ab ???? ? ? ? ? ? ?? ??39。而將網(wǎng)絡(luò)關(guān)于整個樣本集的誤差測度定義為 pEE?? 按照最速下降法，為使 E達(dá)到極小點，則有權(quán)值改變量 ijw? 與 E關(guān)于 ijw 增長率ijEw??的負(fù)值成正比，可表示為 ij ijEw w?? ??? 第一階段是信號正向傳播過程 :當(dāng)一對學(xué)習(xí)樣本提供給網(wǎng)絡(luò)后，神經(jīng)元的激活值從輸入層經(jīng)各隱含層向輸出層傳播，在輸出層的各神經(jīng)元獲得網(wǎng)絡(luò)的輸入響應(yīng) ；第二階段是誤差修正逆向傳播過程 。首先定義程序里主要數(shù)據(jù)結(jié)構(gòu)，即 23 W(H ， I) — 輸入層與隱含層之間的權(quán)值矩陣 ； WW(M， H)— 隱含層與輸出層之間的權(quán)值矩陣 ； a(H， l)— 隱含層的尺度參數(shù)向量 ； b(H， 1)— 隱含層的平移參數(shù)向量 ； EW(H， I)— 輸入層與隱含層間權(quán)值的梯度向量矩陣 ； EWW(M， H)— 隱含層與輸出層間權(quán)值的梯度向量矩陣 ； Ea (H， I)— 尺度參數(shù)的梯度向量矩陣 ； Eb(H， I)一平移參數(shù)的梯度向量矩陣 ； x(P， I)一輸入樣本向量 ； 1(P， H)— 隱含層節(jié)點輸入向量 2(P， H)— 隱含層節(jié)點輸出向量 ； y(P， M)— 網(wǎng)絡(luò)的實際輸出向量 ； d(P， M)— 網(wǎng)絡(luò)的理想輸出向量 ； (a)首先輸入訓(xùn)練樣本向量 x（ P， I） 和網(wǎng)絡(luò)期望輸出向量 d(P， M),對數(shù)值不在 [0， 1]范圍的特征項歸一化預(yù)處理。 下圖 分別是小波神 經(jīng) 網(wǎng)絡(luò)和 BP網(wǎng)絡(luò)的訓(xùn)練對比圖。神經(jīng)網(wǎng)絡(luò)技術(shù)在該領(lǐng)域最具吸引力的關(guān)鍵 [14]是 ： 對于某些 未知的 入侵類 型的行為方式一樣具有一