【正文】 定的檢測(cè)能力 。在對(duì)應(yīng)的服務(wù)程序執(zhí)行 該數(shù)據(jù)內(nèi)容時(shí)觸發(fā)入侵行為。相比較而言更 26 適于檢測(cè)第二類(lèi)入侵。 系統(tǒng)分為以下幾個(gè)部分，其功能框架如圖 41所示 圖 41 小波神經(jīng)網(wǎng)絡(luò)模型 結(jié)合上圖， 該系統(tǒng)模型功能解析： 先通過(guò) 數(shù)據(jù)捕捉模塊抓取系統(tǒng)所監(jiān)測(cè)網(wǎng)段的網(wǎng)絡(luò)數(shù)據(jù)包， 然后經(jīng)預(yù)處理模塊對(duì)捕獲的數(shù)據(jù)進(jìn)行分析 和整理，提取出代表該數(shù)據(jù)包的完整 而準(zhǔn)確的特征屬性，分別生成小波神經(jīng)網(wǎng)絡(luò)和 SNORT 系統(tǒng) 模塊 的輸入， 最后 分別轉(zhuǎn)交給該兩個(gè)檢測(cè)模塊處理。 第二種模式：嵌入式工作模式，通過(guò) 將 小波神經(jīng)網(wǎng)絡(luò)模塊作為 SNORT 系統(tǒng)模塊的一個(gè)附加功能模塊 ， 構(gòu)成 嵌入式工作模式。 3） 通過(guò)文中后面的實(shí)驗(yàn)可以看出小波神經(jīng)網(wǎng)絡(luò)模塊會(huì)誤判一定比例的入侵行為，雖然可以通過(guò)調(diào)整小波神經(jīng)網(wǎng)絡(luò)模塊的設(shè)計(jì)，如調(diào)整隱含層的單元數(shù)量、增加隱含層的層數(shù)，來(lái)提高小波神經(jīng)網(wǎng)絡(luò)模塊的檢測(cè)能力 ，但誤判 是 無(wú)法避免的 ，針對(duì)那些無(wú)法正確識(shí)別的入侵行為，通過(guò)分析其特征，抽 取特征描述，做成SNORT系統(tǒng)檢測(cè)模塊的規(guī) 則，添加到規(guī)則庫(kù)中，檢測(cè)時(shí)， SNORT系統(tǒng)模塊也對(duì)該內(nèi)容進(jìn)行檢測(cè)，從而實(shí)現(xiàn)系統(tǒng)性能的完善。如果是異常數(shù)據(jù)， 生成神經(jīng)網(wǎng)絡(luò)的訓(xùn)練樣本 和SNORT系統(tǒng)的規(guī)則，提高系統(tǒng)對(duì)新型入侵方式和變種入侵的識(shí)別能力。如 ：要求 安全級(jí)別較高，發(fā)現(xiàn)入侵行為的存在比檢測(cè)速度更為重要的場(chǎng)合；在明確知道受保護(hù)系統(tǒng)面臨攻擊的情況下，一方面可以對(duì)入侵行為的判定提供雙重認(rèn)證，另一方面也可以對(duì)變種入侵和新型入侵具有一定的監(jiān)控能力。 以下圖片為部分 SNORT入侵檢測(cè)系統(tǒng)檢測(cè)的過(guò)程 : 圖 44 可視化的入侵?jǐn)?shù)據(jù)分析控制臺(tái) 31 圖 45 SNORT 掃描 圖 46 基于 tcp 協(xié)議分析的模擬攻擊 32 圖 46小波 神經(jīng)網(wǎng)絡(luò)監(jiān)視圖 本仿真實(shí)驗(yàn)采用： Satan、 Smurf、 ipsweep、 normal、 Buffer_overflow五種類(lèi)型 的 模擬攻擊數(shù)據(jù) （數(shù)據(jù)樣本參照附錄） ，前四種數(shù)據(jù)類(lèi)型包括 20％的未學(xué)習(xí)過(guò)的樣本； 其中 模式匹配模塊只對(duì) Buffer_overflow類(lèi)型攻擊進(jìn)行初始化。在這種情況下，小波神經(jīng)網(wǎng)絡(luò)一般將入侵行為誤判為正常數(shù)據(jù)，發(fā)生 漏報(bào) 現(xiàn)象 ， 且 不會(huì)發(fā)出報(bào)警信息。 總結(jié)上述分析 ，該 系統(tǒng)模型 是 通過(guò) 犧牲檢測(cè)速度的前提 來(lái)實(shí)現(xiàn)系統(tǒng)最全面的檢測(cè)能力。 SNORT系 統(tǒng)檢測(cè)模塊的報(bào)警信息直接記錄到日志中。 2） SNORT系統(tǒng)模塊的 檢測(cè)范圍是由入侵規(guī)則庫(kù)中的內(nèi)容決定的，因此可 以通過(guò)加載的規(guī)則庫(kù)來(lái) 調(diào)整該模塊的檢測(cè)范圍，該種工作模式下入侵規(guī)則庫(kù)必須加載與 U2R和 R2L有關(guān)的入侵規(guī)則，檢測(cè)時(shí)從第一條規(guī)則開(kāi)始，逐條規(guī)則地同數(shù)據(jù)包中的內(nèi)容相關(guān)匹配。 檢測(cè)系統(tǒng)工作模式的應(yīng)用 本系統(tǒng)設(shè)計(jì)了兩個(gè)獨(dú)立的小波神經(jīng)網(wǎng)絡(luò)模塊和 SNORT 系統(tǒng)模塊，并提供了兩種檢測(cè)模式。 本文重點(diǎn)主要集中在事件產(chǎn)生器和 事件 分析器上，而且這兩部分也舍棄那些一般 性的常識(shí)和基本內(nèi)容，將精力貫注于數(shù)據(jù)的預(yù)處理 (檢測(cè)模塊的數(shù)據(jù)準(zhǔn)備 )、檢測(cè)模塊的設(shè)計(jì)和檢測(cè)模塊間的相互協(xié)調(diào)等內(nèi)容。 引入?yún)f(xié)議分析等技術(shù)后性能有了較大的提高。 按入侵特征存在的方式， 對(duì)于基于網(wǎng)絡(luò)的入侵檢測(cè)，可以將網(wǎng)絡(luò) 入侵行為分為兩大類(lèi)。 該方案設(shè)計(jì)的入侵檢測(cè)模型，其檢測(cè)功能將更加全面。網(wǎng)絡(luò)學(xué)習(xí)達(dá)到既定的目標(biāo)以后，對(duì)網(wǎng)絡(luò)進(jìn)行性能測(cè)試。下面就詳細(xì)的說(shuō)明一下仿真程序的實(shí)現(xiàn)過(guò)程。 BP算法主要有 4步，這 4步被分為兩個(gè)階段 : 1. 向前傳播階段 22 （ 1） 從樣本集中取一個(gè)樣本 ,()ppxy ，將 px 輸入網(wǎng)絡(luò)； （ 2）計(jì)算相應(yīng)的實(shí)際輸出 po ，即 ( 1 ) ( 2 ) ( )21( . . . ( ( ( ) ) . . . ) np n po f f f x w w w? （ 1）計(jì)算實(shí)際輸出 po 與相應(yīng)的理想輸出 py 的差； （ 2）按極小化誤差的方式調(diào)整權(quán)重 ijw 。 39。39。 采用了融合型小波神經(jīng)網(wǎng)絡(luò)結(jié)構(gòu)，即在一個(gè)徑向函數(shù)（ Radial Basis Function， RBF）神經(jīng)網(wǎng)絡(luò)中，各隱層激活函數(shù)由一個(gè)小波函數(shù)系構(gòu)成。 小波神經(jīng)網(wǎng)絡(luò)的基本結(jié)構(gòu) 1．松散型結(jié)合 [11] 小波分析僅作為神經(jīng)網(wǎng)絡(luò)的前置處理手段，為神經(jīng)網(wǎng)絡(luò)提供輸入特征向量，即小波分析對(duì)神經(jīng)網(wǎng)絡(luò)的輸入進(jìn)行初步處理，使得輸入神經(jīng)網(wǎng)絡(luò)的信息更易于神經(jīng)網(wǎng)絡(luò)進(jìn)行處理。對(duì)于 神 經(jīng)網(wǎng)絡(luò)模型來(lái)說(shuō)，連接模式很重要，他構(gòu)成整個(gè)神經(jīng)網(wǎng)絡(luò)的知識(shí)，也決定了神經(jīng)網(wǎng)絡(luò)模型對(duì)任一輸入的響應(yīng)方式。 例如，若記 1m iiiz w x ????? ， 取激發(fā)函數(shù)為符號(hào)函數(shù) 1。f k t k N t? 為取樣時(shí)間間隔），則式（ 35）的離散形式為： 121( , ) | | ( ) ( )Nkk t bW f a b a t f k t a? ????? ? ?? （ 37） 令一種情況是將尺度參數(shù) a和平移參數(shù) b離散化，即取0 0 0 0 0, , 1 , ,mma a b n b a a b R? ? ? ? 則信號(hào) ()ft的離散小波變換為： 20 0 0( , ) ( ) ( )m mW f m n a f t a t n b d t? ??? ?????? （ 38） 當(dāng) 002, 1ab??時(shí)，式 (38)變?yōu)槎M(jìn)小波變換： ( , ) 2 ( ) ( 2 )mmW f m n f t t n d t? ?????????? （ 39） 18 人工神經(jīng)網(wǎng)絡(luò)理論 神經(jīng)網(wǎng)絡(luò)的基本理論 人工神經(jīng) 網(wǎng)絡(luò) [10] (Artifciail Neural Network， ANN)是在人類(lèi)對(duì)其大腦神經(jīng)網(wǎng)絡(luò)認(rèn)識(shí)理解的基礎(chǔ)上人工構(gòu)造的能夠?qū)崿F(xiàn)某種功能的神經(jīng)網(wǎng)絡(luò)。對(duì)于能量有限信號(hào) 2( ) ( )f t L R? ，其連續(xù)小波變換定義為： 12( , ) | | ( ) ( )RtbW f a b a f t d ta? ?? ? （ 35） 式中， ()t? 為 ()t? 的復(fù)共軛函數(shù)。 小波變換 小波變換和傅里葉變換的出發(fā)點(diǎn)都是將信號(hào)表示成基本函數(shù)的線(xiàn)性組合，所不同的是傅里葉變換采用時(shí)間屬于（ ∞ ， +∞ ）的諧波函數(shù) inxe 作為基函數(shù)，而小波變換的基函數(shù)具有緊支集的母函數(shù) ()t? ,通過(guò)對(duì)母函數(shù) ()t? 進(jìn)行伸縮和平移得到一個(gè)小波序列： , 1( ) ( )||ab tbt aa???? , 。但是在實(shí)際應(yīng)用中的絕大多數(shù)信號(hào)是非穩(wěn)定的，而特別適用于非穩(wěn)定信號(hào)的工 具就是小波分析。 通過(guò)引入一個(gè)時(shí)間局部化“窗函數(shù)”改進(jìn)了 Fourier 變換的不足，但其窗口大小和形狀都是固定的，沒(méi)有從根本上彌 補(bǔ) Fourier 變換的缺陷。 1985 年 Meyer 在一維情形下證明了小波函數(shù)的存在性 ,并在理論上作 深入研究。 （ 3） 智能的入侵檢測(cè) 入侵方法越來(lái)越多樣化與綜合化，盡管已經(jīng)有智能體、神經(jīng)網(wǎng)絡(luò)與遺傳算法在入侵檢測(cè)領(lǐng)域應(yīng)用研究，但是這只是一些嘗試性的研究工作，需要對(duì)智能化的IDS 加以進(jìn)一步的研究以解決其自學(xué)習(xí)與自適應(yīng)能力。使用模式識(shí)別是因?yàn)槟Ｊ阶R(shí)別比較成熟，而且在構(gòu)造一個(gè)系統(tǒng)時(shí)可以圍繞它的實(shí)用性和有效性做一些優(yōu)化。初始狀態(tài) 對(duì)應(yīng)于入侵開(kāi)始時(shí)的系統(tǒng)狀態(tài)，危機(jī)系統(tǒng)安全的狀態(tài)對(duì)應(yīng)于已成功入侵時(shí)刻的系統(tǒng)狀態(tài)；在這兩個(gè)狀態(tài)之間可能有一個(gè)或多個(gè)中間狀態(tài)的遷移。在這些系統(tǒng)中，入侵行為被編制 成專(zhuān)家系統(tǒng)的規(guī)則。主要可以分成以下幾類(lèi)：基于專(zhuān)家系統(tǒng)、狀態(tài)轉(zhuǎn)換分析和模式匹配的入侵檢測(cè)系統(tǒng)。系統(tǒng)采用信息熵的模型計(jì)算規(guī)則的預(yù)測(cè)概率。在基于統(tǒng)計(jì)性特征輪廓的異常性檢測(cè)器中，使用統(tǒng)計(jì)的方法來(lái)判斷審計(jì)與主體正常行為的偏差。因?yàn)椴⒉皇撬腥肭中袨槎寄墚a(chǎn)生異常性，所以在 入侵檢測(cè)系統(tǒng)中，僅使用異常性檢測(cè)技術(shù)不可能檢測(cè)出所有的入侵行為。 靜態(tài)配置分析 靜態(tài)配置分析 [4]是通過(guò)檢查系統(tǒng)的當(dāng)前系統(tǒng)配置，諸如系統(tǒng)文件的內(nèi)容或系統(tǒng)表，來(lái)檢查系統(tǒng)是否已經(jīng)或者可能會(huì)遭到破壞。許多 IDS 的研究都集中于如何提高事件分析器的能力 ,包括提高對(duì)已知入侵識(shí)別的準(zhǔn)確性以及提高 發(fā)現(xiàn)未知入侵的幾率等。許多情況下，由于可以記錄和禁止網(wǎng)絡(luò)活動(dòng)，所以入侵檢測(cè) 系統(tǒng)是防火墻的延續(xù)。它從計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)中的若干關(guān)鍵點(diǎn)收集信息，并分析這些信息，看看網(wǎng)絡(luò)中 是否有違反安全策略的行為和遭到襲擊的現(xiàn)象。自此之后，入侵檢測(cè)系統(tǒng)才真正發(fā)展起來(lái)。 第三章主要介紹了小波分析的基礎(chǔ)知識(shí)， 如：小波分析理論基礎(chǔ)、小波分析的應(yīng)用，小波變換等。通過(guò)把小波神經(jīng)網(wǎng)絡(luò)技術(shù)與 SNORT系統(tǒng)相結(jié)合，嘗試建立一種功能更全面的入侵檢測(cè)系統(tǒng)模型，既可以精確 判 別入侵類(lèi)別，又具有一定的對(duì)未知入侵、變種入侵的檢測(cè)能力。 國(guó)際頂尖的入侵檢測(cè)系統(tǒng)主要以模式匹配檢測(cè)技術(shù)為主，并結(jié)合使用異常檢測(cè)技術(shù)。但防火墻的功能也有局限性。而隨著攻擊工具和手法的日趨復(fù)雜多樣，僅僅依靠傳統(tǒng)的安全防范措施已經(jīng)無(wú)法滿(mǎn)足網(wǎng)絡(luò)安全的需求，近兩年頻繁的網(wǎng)絡(luò)黑客攻擊事件也證明了這種觀點(diǎn)。 4 Abstract Today, the work services, such as Ebank、 and ECommerce are being the part of life. And all kinds of Network attacks are increasing .People have realized the importance of work security. As a kind of active measure of imformation Assurance, IDS acts as an effective plement to traditional protection techniques. Network Intrusion Detection System is being a great developing direction． The dynamic security circle， including poicy， protection， detection and response， can greatly contribute to improving the assurance ability of information systems and reducing the extent of security threats． Utilizing the ability of timefrequency analysis of the wavelet transform in signal processing and approximation of the neural works towards any nonlinear function， a method of instrusion detection based on wavelet neural work is proposed． Repla cing ordinary neural work activation functions by wavelet transform, the method can effectively improve the efficiency and speed of the work training samples． In the simulation， it reflects a good convergence and learning ability． Key words： intrusion detection； wavelet neural work； neural work； wavelet analysis. 5 第 1 章 緒論 課題的研究背景和意義 隨著計(jì)算機(jī)互聯(lián)網(wǎng)技術(shù)的飛速發(fā)展， Inter的普及， 在計(jì)算機(jī)上處理業(yè)務(wù)已由單機(jī)處理功能發(fā)展到面向內(nèi)部局域網(wǎng)、全球互聯(lián)網(wǎng)的世界范圍內(nèi)的信息共享和業(yè)務(wù)處理功能 ，深刻 地改變了人類(lèi)的工作和 生活方式 。 各種 網(wǎng)絡(luò)服務(wù) ， 電子銀行、電子商務(wù)、 聊天等已經(jīng)成為人們生活中重要 組成 部分 。 入侵檢測(cè) 作為 一種主動(dòng)的信息安全保障措施， 能 有效地彌補(bǔ)了傳統(tǒng)安全防護(hù)技術(shù)的缺陷。其中存貯、傳輸和處理的信息有許多是重要的政府宏觀調(diào)控決策、商業(yè)經(jīng)濟(jì)信息、銀行資金轉(zhuǎn)帳、股票證券、能源資源數(shù)據(jù)、科研數(shù)據(jù)等重要信息。因此，它們對(duì)入侵行為的反應(yīng)非常遲鈍，很難發(fā)現(xiàn)未知的攻擊行為，不能根據(jù)網(wǎng)絡(luò)行為的變化來(lái)及時(shí)地調(diào)整系統(tǒng)的安全策略。 如果把防火墻比作大門(mén)警衛(wèi)的話(huà)，入侵檢