【正文】 定的檢測能力 。在對應(yīng)的服務(wù)程序執(zhí)行 該數(shù)據(jù)內(nèi)容時觸發(fā)入侵行為。相比較而言更 26 適于檢測第二類入侵。 系統(tǒng)分為以下幾個部分，其功能框架如圖 41所示 圖 41 小波神經(jīng)網(wǎng)絡(luò)模型 結(jié)合上圖， 該系統(tǒng)模型功能解析： 先通過 數(shù)據(jù)捕捉模塊抓取系統(tǒng)所監(jiān)測網(wǎng)段的網(wǎng)絡(luò)數(shù)據(jù)包， 然后經(jīng)預(yù)處理模塊對捕獲的數(shù)據(jù)進行分析 和整理，提取出代表該數(shù)據(jù)包的完整 而準確的特征屬性，分別生成小波神經(jīng)網(wǎng)絡(luò)和 SNORT 系統(tǒng) 模塊 的輸入， 最后 分別轉(zhuǎn)交給該兩個檢測模塊處理。 第二種模式：嵌入式工作模式，通過 將 小波神經(jīng)網(wǎng)絡(luò)模塊作為 SNORT 系統(tǒng)模塊的一個附加功能模塊 ， 構(gòu)成 嵌入式工作模式。 3） 通過文中后面的實驗可以看出小波神經(jīng)網(wǎng)絡(luò)模塊會誤判一定比例的入侵行為，雖然可以通過調(diào)整小波神經(jīng)網(wǎng)絡(luò)模塊的設(shè)計，如調(diào)整隱含層的單元數(shù)量、增加隱含層的層數(shù)，來提高小波神經(jīng)網(wǎng)絡(luò)模塊的檢測能力 ，但誤判 是 無法避免的 ，針對那些無法正確識別的入侵行為，通過分析其特征，抽 取特征描述，做成SNORT系統(tǒng)檢測模塊的規(guī) 則，添加到規(guī)則庫中，檢測時， SNORT系統(tǒng)模塊也對該內(nèi)容進行檢測，從而實現(xiàn)系統(tǒng)性能的完善。如果是異常數(shù)據(jù)， 生成神經(jīng)網(wǎng)絡(luò)的訓(xùn)練樣本 和SNORT系統(tǒng)的規(guī)則，提高系統(tǒng)對新型入侵方式和變種入侵的識別能力。如 ：要求 安全級別較高，發(fā)現(xiàn)入侵行為的存在比檢測速度更為重要的場合；在明確知道受保護系統(tǒng)面臨攻擊的情況下，一方面可以對入侵行為的判定提供雙重認證，另一方面也可以對變種入侵和新型入侵具有一定的監(jiān)控能力。 以下圖片為部分 SNORT入侵檢測系統(tǒng)檢測的過程 : 圖 44 可視化的入侵數(shù)據(jù)分析控制臺 31 圖 45 SNORT 掃描 圖 46 基于 tcp 協(xié)議分析的模擬攻擊 32 圖 46小波 神經(jīng)網(wǎng)絡(luò)監(jiān)視圖 本仿真實驗采用： Satan、 Smurf、 ipsweep、 normal、 Buffer_overflow五種類型 的 模擬攻擊數(shù)據(jù) （數(shù)據(jù)樣本參照附錄） ，前四種數(shù)據(jù)類型包括 20％的未學(xué)習(xí)過的樣本； 其中 模式匹配模塊只對 Buffer_overflow類型攻擊進行初始化。在這種情況下，小波神經(jīng)網(wǎng)絡(luò)一般將入侵行為誤判為正常數(shù)據(jù)，發(fā)生 漏報 現(xiàn)象 ， 且 不會發(fā)出報警信息。 總結(jié)上述分析 ，該 系統(tǒng)模型 是 通過 犧牲檢測速度的前提 來實現(xiàn)系統(tǒng)最全面的檢測能力。 SNORT系 統(tǒng)檢測模塊的報警信息直接記錄到日志中。 2） SNORT系統(tǒng)模塊的 檢測范圍是由入侵規(guī)則庫中的內(nèi)容決定的，因此可 以通過加載的規(guī)則庫來 調(diào)整該模塊的檢測范圍，該種工作模式下入侵規(guī)則庫必須加載與 U2R和 R2L有關(guān)的入侵規(guī)則，檢測時從第一條規(guī)則開始，逐條規(guī)則地同數(shù)據(jù)包中的內(nèi)容相關(guān)匹配。 檢測系統(tǒng)工作模式的應(yīng)用 本系統(tǒng)設(shè)計了兩個獨立的小波神經(jīng)網(wǎng)絡(luò)模塊和 SNORT 系統(tǒng)模塊，并提供了兩種檢測模式。 本文重點主要集中在事件產(chǎn)生器和 事件 分析器上，而且這兩部分也舍棄那些一般 性的常識和基本內(nèi)容，將精力貫注于數(shù)據(jù)的預(yù)處理 (檢測模塊的數(shù)據(jù)準備 )、檢測模塊的設(shè)計和檢測模塊間的相互協(xié)調(diào)等內(nèi)容。 引入?yún)f(xié)議分析等技術(shù)后性能有了較大的提高。 按入侵特征存在的方式， 對于基于網(wǎng)絡(luò)的入侵檢測，可以將網(wǎng)絡(luò) 入侵行為分為兩大類。 該方案設(shè)計的入侵檢測模型，其檢測功能將更加全面。網(wǎng)絡(luò)學(xué)習(xí)達到既定的目標(biāo)以后，對網(wǎng)絡(luò)進行性能測試。下面就詳細的說明一下仿真程序的實現(xiàn)過程。 BP算法主要有 4步，這 4步被分為兩個階段 : 1. 向前傳播階段 22 （ 1） 從樣本集中取一個樣本 ,()ppxy ，將 px 輸入網(wǎng)絡(luò)； （ 2）計算相應(yīng)的實際輸出 po ，即 ( 1 ) ( 2 ) ( )21( . . . ( ( ( ) ) . . . ) np n po f f f x w w w? （ 1）計算實際輸出 po 與相應(yīng)的理想輸出 py 的差； （ 2）按極小化誤差的方式調(diào)整權(quán)重 ijw 。 39。39。 采用了融合型小波神經(jīng)網(wǎng)絡(luò)結(jié)構(gòu)，即在一個徑向函數(shù)（ Radial Basis Function， RBF）神經(jīng)網(wǎng)絡(luò)中，各隱層激活函數(shù)由一個小波函數(shù)系構(gòu)成。 小波神經(jīng)網(wǎng)絡(luò)的基本結(jié)構(gòu) 1．松散型結(jié)合 [11] 小波分析僅作為神經(jīng)網(wǎng)絡(luò)的前置處理手段，為神經(jīng)網(wǎng)絡(luò)提供輸入特征向量，即小波分析對神經(jīng)網(wǎng)絡(luò)的輸入進行初步處理，使得輸入神經(jīng)網(wǎng)絡(luò)的信息更易于神經(jīng)網(wǎng)絡(luò)進行處理。對于 神 經(jīng)網(wǎng)絡(luò)模型來說，連接模式很重要，他構(gòu)成整個神經(jīng)網(wǎng)絡(luò)的知識，也決定了神經(jīng)網(wǎng)絡(luò)模型對任一輸入的響應(yīng)方式。 例如，若記 1m iiiz w x ????? ， 取激發(fā)函數(shù)為符號函數(shù) 1。f k t k N t? 為取樣時間間隔），則式（ 35）的離散形式為： 121( , ) | | ( ) ( )Nkk t bW f a b a t f k t a? ????? ? ?? （ 37） 令一種情況是將尺度參數(shù) a和平移參數(shù) b離散化，即取0 0 0 0 0, , 1 , ,mma a b n b a a b R? ? ? ? 則信號 ()ft的離散小波變換為： 20 0 0( , ) ( ) ( )m mW f m n a f t a t n b d t? ??? ?????? （ 38） 當(dāng) 002, 1ab??時，式 (38)變?yōu)槎M小波變換： ( , ) 2 ( ) ( 2 )mmW f m n f t t n d t? ?????????? （ 39） 18 人工神經(jīng)網(wǎng)絡(luò)理論 神經(jīng)網(wǎng)絡(luò)的基本理論 人工神經(jīng) 網(wǎng)絡(luò) [10] (Artifciail Neural Network， ANN)是在人類對其大腦神經(jīng)網(wǎng)絡(luò)認識理解的基礎(chǔ)上人工構(gòu)造的能夠?qū)崿F(xiàn)某種功能的神經(jīng)網(wǎng)絡(luò)。對于能量有限信號 2( ) ( )f t L R? ，其連續(xù)小波變換定義為： 12( , ) | | ( ) ( )RtbW f a b a f t d ta? ?? ? （ 35） 式中， ()t? 為 ()t? 的復(fù)共軛函數(shù)。 小波變換 小波變換和傅里葉變換的出發(fā)點都是將信號表示成基本函數(shù)的線性組合，所不同的是傅里葉變換采用時間屬于（ ∞ ， +∞ ）的諧波函數(shù) inxe 作為基函數(shù)，而小波變換的基函數(shù)具有緊支集的母函數(shù) ()t? ,通過對母函數(shù) ()t? 進行伸縮和平移得到一個小波序列： , 1( ) ( )||ab tbt aa???? , 。但是在實際應(yīng)用中的絕大多數(shù)信號是非穩(wěn)定的，而特別適用于非穩(wěn)定信號的工 具就是小波分析。 通過引入一個時間局部化“窗函數(shù)”改進了 Fourier 變換的不足，但其窗口大小和形狀都是固定的，沒有從根本上彌 補 Fourier 變換的缺陷。 1985 年 Meyer 在一維情形下證明了小波函數(shù)的存在性 ,并在理論上作 深入研究。 （ 3） 智能的入侵檢測 入侵方法越來越多樣化與綜合化，盡管已經(jīng)有智能體、神經(jīng)網(wǎng)絡(luò)與遺傳算法在入侵檢測領(lǐng)域應(yīng)用研究，但是這只是一些嘗試性的研究工作，需要對智能化的IDS 加以進一步的研究以解決其自學(xué)習(xí)與自適應(yīng)能力。使用模式識別是因為模式識別比較成熟，而且在構(gòu)造一個系統(tǒng)時可以圍繞它的實用性和有效性做一些優(yōu)化。初始狀態(tài) 對應(yīng)于入侵開始時的系統(tǒng)狀態(tài)，危機系統(tǒng)安全的狀態(tài)對應(yīng)于已成功入侵時刻的系統(tǒng)狀態(tài)；在這兩個狀態(tài)之間可能有一個或多個中間狀態(tài)的遷移。在這些系統(tǒng)中，入侵行為被編制 成專家系統(tǒng)的規(guī)則。主要可以分成以下幾類：基于專家系統(tǒng)、狀態(tài)轉(zhuǎn)換分析和模式匹配的入侵檢測系統(tǒng)。系統(tǒng)采用信息熵的模型計算規(guī)則的預(yù)測概率。在基于統(tǒng)計性特征輪廓的異常性檢測器中，使用統(tǒng)計的方法來判斷審計與主體正常行為的偏差。因為并不是所有入侵行為都能產(chǎn)生異常性，所以在 入侵檢測系統(tǒng)中，僅使用異常性檢測技術(shù)不可能檢測出所有的入侵行為。 靜態(tài)配置分析 靜態(tài)配置分析 [4]是通過檢查系統(tǒng)的當(dāng)前系統(tǒng)配置，諸如系統(tǒng)文件的內(nèi)容或系統(tǒng)表，來檢查系統(tǒng)是否已經(jīng)或者可能會遭到破壞。許多 IDS 的研究都集中于如何提高事件分析器的能力 ,包括提高對已知入侵識別的準確性以及提高 發(fā)現(xiàn)未知入侵的幾率等。許多情況下，由于可以記錄和禁止網(wǎng)絡(luò)活動，所以入侵檢測 系統(tǒng)是防火墻的延續(xù)。它從計算機網(wǎng)絡(luò)系統(tǒng)中的若干關(guān)鍵點收集信息，并分析這些信息，看看網(wǎng)絡(luò)中 是否有違反安全策略的行為和遭到襲擊的現(xiàn)象。自此之后，入侵檢測系統(tǒng)才真正發(fā)展起來。 第三章主要介紹了小波分析的基礎(chǔ)知識， 如：小波分析理論基礎(chǔ)、小波分析的應(yīng)用，小波變換等。通過把小波神經(jīng)網(wǎng)絡(luò)技術(shù)與 SNORT系統(tǒng)相結(jié)合，嘗試建立一種功能更全面的入侵檢測系統(tǒng)模型，既可以精確 判 別入侵類別，又具有一定的對未知入侵、變種入侵的檢測能力。 國際頂尖的入侵檢測系統(tǒng)主要以模式匹配檢測技術(shù)為主，并結(jié)合使用異常檢測技術(shù)。但防火墻的功能也有局限性。而隨著攻擊工具和手法的日趨復(fù)雜多樣，僅僅依靠傳統(tǒng)的安全防范措施已經(jīng)無法滿足網(wǎng)絡(luò)安全的需求，近兩年頻繁的網(wǎng)絡(luò)黑客攻擊事件也證明了這種觀點。 4 Abstract Today, the work services, such as Ebank、 and ECommerce are being the part of life. And all kinds of Network attacks are increasing .People have realized the importance of work security. As a kind of active measure of imformation Assurance, IDS acts as an effective plement to traditional protection techniques. Network Intrusion Detection System is being a great developing direction． The dynamic security circle， including poicy， protection， detection and response， can greatly contribute to improving the assurance ability of information systems and reducing the extent of security threats． Utilizing the ability of timefrequency analysis of the wavelet transform in signal processing and approximation of the neural works towards any nonlinear function， a method of instrusion detection based on wavelet neural work is proposed． Repla cing ordinary neural work activation functions by wavelet transform, the method can effectively improve the efficiency and speed of the work training samples． In the simulation， it reflects a good convergence and learning ability． Key words： intrusion detection； wavelet neural work； neural work； wavelet analysis. 5 第 1 章 緒論 課題的研究背景和意義 隨著計算機互聯(lián)網(wǎng)技術(shù)的飛速發(fā)展， Inter的普及， 在計算機上處理業(yè)務(wù)已由單機處理功能發(fā)展到面向內(nèi)部局域網(wǎng)、全球互聯(lián)網(wǎng)的世界范圍內(nèi)的信息共享和業(yè)務(wù)處理功能 ，深刻 地改變了人類的工作和 生活方式 。 各種 網(wǎng)絡(luò)服務(wù) ， 電子銀行、電子商務(wù)、 聊天等已經(jīng)成為人們生活中重要 組成 部分 。 入侵檢測 作為 一種主動的信息安全保障措施， 能 有效地彌補了傳統(tǒng)安全防護技術(shù)的缺陷。其中存貯、傳輸和處理的信息有許多是重要的政府宏觀調(diào)控決策、商業(yè)經(jīng)濟信息、銀行資金轉(zhuǎn)帳、股票證券、能源資源數(shù)據(jù)、科研數(shù)據(jù)等重要信息。因此，它們對入侵行為的反應(yīng)非常遲鈍，很難發(fā)現(xiàn)未知的攻擊行為，不能根據(jù)網(wǎng)絡(luò)行為的變化來及時地調(diào)整系統(tǒng)的安全策略。 如果把防火墻比作大門警衛(wèi)的話，入侵檢