【正文】 再者，采用遺傳算法對(duì)個(gè)體網(wǎng)絡(luò)進(jìn)行選擇，利用了遺傳算 法適用于大規(guī)模、高度非線性優(yōu)化的特性，從個(gè)體網(wǎng)絡(luò)所在的空間選擇處那些差異最大的個(gè)體，保證了集成學(xué)習(xí)后的泛化誤差向減小的方向發(fā)展。 通過(guò)集成，系統(tǒng)的檢測(cè)率從 提高到 ，提高了 個(gè)百分點(diǎn)。 26 圖 53 單個(gè) 神經(jīng)網(wǎng)絡(luò)訓(xùn)練過(guò)程 首先，獨(dú)立訓(xùn)練 18 個(gè)神經(jīng)網(wǎng)絡(luò)，其中的 6 個(gè) BP 網(wǎng)絡(luò)和 6 個(gè) RBF 網(wǎng)絡(luò)都含有一個(gè)隱含層，隱含層神經(jīng)元數(shù)分別為 4， 5， 6 個(gè) , 學(xué)習(xí)率分別為 和 ，自組織競(jìng)爭(zhēng)人工神經(jīng)網(wǎng)絡(luò)含一個(gè)競(jìng)爭(zhēng)層，競(jìng)爭(zhēng)層神經(jīng)元數(shù)分別為 4， 5， 6 個(gè)，學(xué)習(xí)率分別為 和 ，然后利 用驗(yàn)證集采用遺傳算法選擇部分神經(jīng)網(wǎng)絡(luò)進(jìn)行集成。為了方便操作、區(qū)分正常事件與攻擊事件、提取攻擊事件的特征。 6)重復(fù)前面的 4， 5 步操作。集成神經(jīng)網(wǎng)絡(luò)中，每個(gè)個(gè)體網(wǎng)絡(luò)對(duì)應(yīng)染色體中的一位，每一位的取值為離散的 0 或 1， 1 表示該神經(jīng)網(wǎng)絡(luò)參與集成， 0 表示該神經(jīng)網(wǎng)絡(luò)不參與集成，染色體長(zhǎng)度為 18，由此，體網(wǎng)絡(luò)的選擇轉(zhuǎn)化為在 18 維 01 空間中選擇最優(yōu)染色體的問(wèn)題。 3） pc：交叉概率，一般取為 ~。首先計(jì)算適應(yīng)度，后是實(shí)際的選擇，按照適應(yīng)度進(jìn)行父代個(gè)體的選擇 。初始群體中各個(gè) 個(gè)體的基因值可用均勻分布的隨機(jī)數(shù)來(lái)生成。這個(gè)過(guò)程將導(dǎo)致種群像自然進(jìn)化一樣的后生代種群比前代更加適應(yīng)于環(huán)境，末代種群中的最優(yōu)個(gè)體經(jīng)過(guò)解碼（ decoding），可以作為問(wèn)題近似最優(yōu)解 [12]。遺傳算法的提出和發(fā)展給優(yōu)化搜索技術(shù)帶來(lái)了新的思想及活力。這一定理說(shuō)明，多個(gè)分類器可以集成為一個(gè)強(qiáng)分類器，由此奠定了集成學(xué)習(xí)的理論基礎(chǔ)。特征提取模塊通過(guò)協(xié)議分析技術(shù) ，提取出代表網(wǎng)絡(luò)數(shù)據(jù)流的特征向量，然后，采用核主成分分析 (KFCA)對(duì)特征向量進(jìn)行降維處理，把降維后的向量送入集成神經(jīng)網(wǎng)絡(luò)分類引擎，作為遺傳算法集成神經(jīng)網(wǎng)絡(luò)分類引擎的輸入向量。對(duì)于入侵檢測(cè)而言，僅僅判定當(dāng)前事件是否異常往往不夠，通常還需要得到關(guān)于該異常事件具體類型的明確信息。而在神經(jīng)網(wǎng)模型中，信息的存儲(chǔ)和信息的處理計(jì)算從本質(zhì)上是合二為一的。在網(wǎng)路環(huán)境中，常常會(huì)出現(xiàn)信息丟失不完整或者變形失真的情況，神經(jīng)網(wǎng)絡(luò)的非線性處理和概括抽象的特性對(duì)于處理此類情況是非常適合的。神經(jīng)網(wǎng)絡(luò)良好的容錯(cuò)性保證網(wǎng)絡(luò)將不完整的、無(wú)損的、畸變的輸入樣本恢復(fù)成完整的原型。正是這種可塑性， 使得 神經(jīng)網(wǎng)絡(luò)可適應(yīng)不同信息處理需要。神經(jīng)元分層排列，組成輸入層、隱含層和輸出層，每層只能夠接受前一層神經(jīng)元的輸入； 2） 反饋網(wǎng)絡(luò)。它們?cè)诩?xì)節(jié)上（即并行分布處理思想上）有所不同，但有許多共性，提取這些共性可以給出相當(dāng)一般化模型，它的數(shù)學(xué)表達(dá)式為 )( 1 iNj ijiji sxwf ?? ??? ?? (33) )( ii fu ?? (34) )()( iii hugy ??? (35) 式中jiW， jX ， i? 的含義和式（ 31）一樣； i? —— 第 i個(gè)神經(jīng)元的凈輸入 iS —— 第 i個(gè)神經(jīng)元外部輸入 iu —— 第 i個(gè)神經(jīng)元的活化狀態(tài) iy —— 第 i個(gè)神經(jīng)元的輸出 )(?f —— 神經(jīng)元的活化規(guī)則（活化函數(shù)） )(?g —— 神經(jīng)元的輸出規(guī)則（轉(zhuǎn)換函數(shù)） 在某些模型中，假設(shè)神經(jīng)元沒(méi)有內(nèi)部狀態(tài)，可以令 f=1（恒等映射），此時(shí))(g)( iii ugy ??? 。由于神經(jīng)元結(jié)構(gòu)的可塑性，突觸的傳遞作用可增強(qiáng)、減弱和飽和，因此細(xì)胞具有相應(yīng)的學(xué) 習(xí)功能、遺忘和疲勞效應(yīng)（飽和效應(yīng)）。 圖 31 典型的生物神經(jīng)元 由圖 31 可見(jiàn)，神經(jīng)元有胞體、樹(shù)突和軸突構(gòu)成。 人工神經(jīng)網(wǎng)絡(luò)模仿人腦神經(jīng)的活動(dòng)，力圖建立腦神經(jīng)活動(dòng)的數(shù)學(xué)模型。 基于神經(jīng)網(wǎng)絡(luò)的入侵檢測(cè)技術(shù)的發(fā)展 近年來(lái)，大量不同于傳統(tǒng)專家系統(tǒng)技術(shù)的入侵檢測(cè)方法紛紛涌現(xiàn)，其中基于人工神經(jīng)網(wǎng)絡(luò)檢測(cè)技術(shù)的發(fā)展尤為突出。面對(duì)不斷變化的攻擊手段和多樣復(fù)雜的變種情況，該規(guī)則庫(kù)需要進(jìn)行隨時(shí)隨地的更新升級(jí)。但是它們的缺憾是互補(bǔ)的。 3） 協(xié)議分析 系統(tǒng)日記 原始數(shù)據(jù) 包 檢測(cè)原理 異常入侵檢測(cè) 誤用入侵檢測(cè) 報(bào)警 報(bào)警并采取相應(yīng)措施 周期性檢測(cè) 實(shí)時(shí)檢測(cè) 圖 22 入侵檢測(cè)系統(tǒng)的基本工作模式 7 協(xié)議分析是在傳統(tǒng)模式匹配技術(shù)基礎(chǔ)之上發(fā)展起來(lái)的一種新的入侵檢測(cè)技術(shù)。 根據(jù)檢測(cè)技術(shù)分類 根據(jù)入侵檢測(cè)系統(tǒng)所采用的技術(shù)可分為誤用入侵檢測(cè)、異常入侵檢測(cè)和協(xié)議分析三種。常用的措施包括切斷網(wǎng)絡(luò)連接、記錄日志、通過(guò)電子郵 件或電話通知管理員等。 入侵檢測(cè)系統(tǒng)的基本原理 入侵檢測(cè)系統(tǒng) （ Instrusion Detection System,IDS） 的基本原理如圖 21 所示。但一般網(wǎng)絡(luò)系統(tǒng)必須對(duì)外開(kāi)放一些應(yīng)用端口，如 80、 110 等，這時(shí)防火墻的不足就會(huì)充分體現(xiàn)出來(lái)，并且防火墻對(duì)內(nèi)部攻擊無(wú)能為力；同時(shí)，防火墻絕對(duì)不是堅(jiān)不可摧的，即使是某些防火墻本身也會(huì)引起一些安全問(wèn)題。然后對(duì)集成神經(jīng)網(wǎng)絡(luò)算法進(jìn)行理論的分析，還對(duì)遺傳算法進(jìn)行了詳細(xì)的分析。 論文結(jié)構(gòu)安排 本文共分為 八 章，第一章引言，概要的給出與本課題相關(guān)的網(wǎng)絡(luò)安全的基本概念，目前在 IDS 領(lǐng)域的國(guó)內(nèi)外的研究概況，并引出將神經(jīng)網(wǎng)絡(luò)應(yīng)用于入侵檢測(cè)當(dāng)中。實(shí)驗(yàn)?zāi)茉谶_(dá)到 80%檢測(cè)概率的基礎(chǔ)上將虛警概率降低到大約每天一次的水平 [4]。同時(shí) Cannady等人提出 SOM/MLP 混合模型，來(lái)檢測(cè)諸如 FTP 口令試探的時(shí)間上分散的攻擊行為。 Ghosh等人同時(shí)還進(jìn)行了濫用檢測(cè)技術(shù)的研究 ，其工作結(jié)果表明基于 MLP 的濫用檢測(cè)模型具備更高的虛警概率，性能不及異常模型。從本質(zhì)上講，人工神經(jīng)網(wǎng)絡(luò)實(shí)現(xiàn)的是一種從輸入到輸出的映射關(guān)系，其輸出值由輸入樣本、神經(jīng)元間的互連權(quán)值以及傳遞函數(shù)所決定。 信息安全的 PDRR模型充分說(shuō)明了檢測(cè)的重要性。s security management capabilities, improve the integrity of the information security infrastructure. Intrusion detection technology is a dynamic work detection technology, mainly used to identify puters and work resources on the malicious use of behavior, including acts of invasion from external users and internal users without the mandated activities. In order to improve detection of intrusion detection system, this paper to understand the concept of information security and intrusion detection based on analysis of neural work model, using a single neural work training samples, respectively, and then, through the geic algorithm to find large differences in the neural work that integration, and research models are applied to intrusion detection system, the corresponding processing program, get the final results. Keywords: work security intrusion detection neural work Integrated Learning geic arithmetic 1 1 引言 信息使用比例的加大， 使得 社會(huì)對(duì)信息的真實(shí)程度，保密程度的要求不斷提高，而網(wǎng)絡(luò)化又使因虛假、泄密引起的信息危害程度 越來(lái)越大。入侵檢測(cè)技術(shù)是一種動(dòng)態(tài)的網(wǎng)絡(luò)檢測(cè)技術(shù)，主要用于識(shí)別對(duì)計(jì)算機(jī)和網(wǎng)絡(luò)資源的惡意使用行為，包括來(lái)自外部用戶的入侵行為和內(nèi)部用戶的未經(jīng)授權(quán)活動(dòng)。在網(wǎng)絡(luò)安全技術(shù)中，防火墻是第一道防御屏障。但是，隨著系統(tǒng)安全環(huán)境特別是網(wǎng)絡(luò)系統(tǒng)安全形式的變化，傳統(tǒng)的基于專家系統(tǒng)的檢測(cè)技術(shù)暴露出若干局限性和不足。 Hogluand 等人提出了基于一維 SOM（自組織特征映射）網(wǎng)絡(luò)的異常檢測(cè)算法對(duì)用戶行為特征進(jìn)行判斷，并建立了原型系統(tǒng)。在基于 MLP 模型的入侵檢測(cè)技術(shù)中， Cannady等人根據(jù)網(wǎng)絡(luò)數(shù)據(jù)包的若干協(xié)議字段值（如協(xié)議類型、屬性字段值、負(fù)載長(zhǎng)度和內(nèi)容等）構(gòu)建特征矢量，提供給 MLP 網(wǎng)絡(luò)進(jìn)行訓(xùn)練學(xué)習(xí)。 MIT的 Lippmann和 Cunningham 明確提出采用關(guān)鍵詞和神經(jīng)網(wǎng)絡(luò)相結(jié)合的方法進(jìn)行網(wǎng)絡(luò)入侵檢測(cè)并針對(duì) Tel 服務(wù)對(duì)話進(jìn)行了相關(guān)研究。這一定理說(shuō)明，多個(gè)弱分類器可以集成為一個(gè)強(qiáng)分類器，由此奠定了集成學(xué)習(xí)的理論基礎(chǔ)。本章首先介紹了 生物神經(jīng)元模型從而引 出人工神經(jīng)元模型，進(jìn)而對(duì)整個(gè)神經(jīng)網(wǎng)絡(luò)進(jìn)行了簡(jiǎn)介，并提出把神經(jīng)網(wǎng)絡(luò)應(yīng)用于入侵檢測(cè)系統(tǒng)。 最后 一章 對(duì) 本文進(jìn)行總結(jié)。 入侵檢測(cè)的相關(guān)概念 美國(guó)國(guó)家安全通信委員會(huì)（ NSTAC）下屬的入侵檢測(cè)小組（ IDSG）在 1997 年給出的關(guān)于 “ 入侵 ” 的定義為：入侵是對(duì)信息系統(tǒng)的非授權(quán)訪問(wèn)以及（或者）未經(jīng)許 可在信息系統(tǒng)中進(jìn)行的操作。為了進(jìn)行全面、進(jìn)一步的分析，需要從原始數(shù)據(jù)中去除冗余、噪聲，并且進(jìn)行格式化及標(biāo)準(zhǔn)化處理。 數(shù)據(jù) 收集 數(shù)據(jù) 處理 數(shù)據(jù) 分析 響應(yīng) 處理 入侵檢測(cè)系統(tǒng) 具有脆弱性的系統(tǒng)和網(wǎng)絡(luò) 攻擊者 包 圖 21 入侵檢測(cè)系統(tǒng)的基本原理 6 入侵檢測(cè)系統(tǒng)的基本工作模式可以用如圖 22 所示的圖形來(lái)表示。 2） 異常入侵檢測(cè) 異常入侵檢測(cè)（ anomaly intrusion detection）假設(shè)入侵者的活動(dòng)異常于正常主體的活動(dòng)。 1） 基于主機(jī)的入侵檢測(cè)系統(tǒng) 基于主機(jī)的入侵檢測(cè)系統(tǒng)（ Hostbased Intrusion Detection System， HIDS）通常是安裝在被保護(hù)的主機(jī)上，主要是對(duì)改主機(jī)的網(wǎng)絡(luò)實(shí)時(shí)連接以及對(duì)系統(tǒng)審計(jì)日記進(jìn)行分析和檢查，當(dāng)發(fā)現(xiàn)可疑行為和安全違規(guī)事件時(shí)，系統(tǒng)就會(huì)像管理員報(bào)警，以便采取措施。典型的入侵檢測(cè)系統(tǒng)，如 IDES和 NIDES系統(tǒng)等，都很好的實(shí)現(xiàn)了專家系統(tǒng)基于規(guī)則檢測(cè)的概念，并在實(shí)際應(yīng)用中取得了較好的效果。 另一方面，如果采用更為通用的檢測(cè)規(guī)則，則有可能發(fā)生將合法用戶行為錯(cuò)誤認(rèn)定為非法行為 的虛假現(xiàn)象，更進(jìn)一步分析可知，專家系統(tǒng)的檢測(cè)方法對(duì)在時(shí)間上分散的攻擊活動(dòng)，或者是由多用戶發(fā)起的協(xié)同攻擊行為，也是很難奏效的。但無(wú)論是單純采用異常入侵檢測(cè)技術(shù)，還是單純采用誤用入侵檢測(cè)技術(shù)，其檢測(cè)性能的理論上限都不會(huì)超過(guò)混合采用兩種技術(shù)思路方法的性能上 限。神經(jīng)元有胞體、樹(shù)突和軸突構(gòu)成。軸突的作用是傳導(dǎo)信息，通常軸突的末端分出很多末梢，他們與后一個(gè)神經(jīng)元的樹(shù)突構(gòu)成一種稱為突觸的機(jī)構(gòu)。 Xj 為第 j 個(gè)神經(jīng)元向第 i 個(gè)神經(jīng)元的輸入； xi 為第 i 個(gè)神經(jīng)元的輸出； )(1?? ?Nj ijij xw ?為第 i 個(gè)神經(jīng)元凈輸入。一個(gè)神經(jīng)網(wǎng)絡(luò)由多個(gè)互連的神經(jīng)元組成，神經(jīng)元是神經(jīng)網(wǎng)絡(luò)的基本處理單元。前一階段較快，各單元的狀態(tài)也稱短期記憶，后一階段慢得多，權(quán)值及連接方式也稱長(zhǎng)期記憶。 3） 無(wú)導(dǎo)師學(xué)習(xí)規(guī)則 無(wú)導(dǎo)師學(xué)習(xí)規(guī)則提供了新的選擇，它利用自適應(yīng)學(xué)習(xí)法，使結(jié)點(diǎn)有選擇地接收輸入空間上的不同特性，從而拋棄了普通神經(jīng)網(wǎng)絡(luò)學(xué)習(xí)映射函數(shù)的學(xué)習(xí)概念，并提供了基于檢測(cè)特性空間的活動(dòng)規(guī)律的性能描寫(xiě)。 神經(jīng)網(wǎng)絡(luò)具有以下優(yōu)點(diǎn)： 1）具有 很強(qiáng)的魯棒性和容錯(cuò)性，這是因?yàn)樾畔⑹欠植即鎯?chǔ)于網(wǎng)絡(luò)內(nèi)的神經(jīng)元； 2）并行處理方法，人工神經(jīng)元網(wǎng)絡(luò)在結(jié)構(gòu)上是并行的 ，而且網(wǎng)絡(luò)的各個(gè)單元可以同時(shí)進(jìn)行類似的處理過(guò)程，使得計(jì)算加快； 3）自學(xué)習(xí)、自組織、自適應(yīng)性，神經(jīng)元之間的連接多種多樣，各元之間連接強(qiáng)度具有一定可塑性，使得神經(jīng)網(wǎng)絡(luò)可以處理不確定或不知道的系統(tǒng) ； 4） 可以充分逼近任意復(fù)雜的非線性關(guān)系； 5）具有很強(qiáng)的信息綜合能力，能同時(shí)處理定量和定性的信息，能很好的協(xié)調(diào)多種輸入信息關(guān)系，適用于處理 復(fù)雜非線性和不確定對(duì)象。在傳統(tǒng)的計(jì)算技術(shù)中，計(jì)算和存儲(chǔ)是完全獨(dú)立的兩個(gè)部分。面對(duì)現(xiàn)實(shí)環(huán)境中數(shù)以千計(jì)的不同攻擊特征，要做到完 整識(shí)別，還需要進(jìn)行進(jìn)一步的研究工作。要解決這個(gè)問(wèn)題，或許需要設(shè)計(jì)專門(mén)的神經(jīng)網(wǎng)絡(luò)計(jì)算芯片或者計(jì)算機(jī) [10]。在綜合權(quán)衡各種攻擊手段后，本模型選取的入侵特征主要包括協(xié)議碼、被監(jiān)控網(wǎng)絡(luò) 數(shù)據(jù)采集 人機(jī)界面 特征提取 KPCA 遺傳算法集成神經(jīng)網(wǎng)絡(luò)分類引擎 攻擊樣本庫(kù) 16 源地址 、 目的地址 、 源端口 、 目的端口 、 標(biāo)志位 、 數(shù)據(jù)報(bào)的類型碼 、 數(shù)據(jù)報(bào)的代碼