【正文】 、 報文頭部長度、數(shù)據報長度 、 報文數(shù)據段內容 (取前 3O 個字節(jié) )、端口、數(shù)據報頭部校驗和。 遺傳算法 1975 年，美國密執(zhí)安大學的心理學教授、電子工程學與計算機科學教授 Holland 和他的同事與學生共同研究了具有開創(chuàng)意義的遺傳算法理論和方法 [11]。由于仿照基因編碼的工作很復雜，我們往往進行簡化，如二進制編碼。如下圖 42 所示為遺傳算法的主要構造過程示意圖。 3） 遺傳算子 基本遺 傳算法使用下述三種遺傳算子。 基本遺傳算法的運行參數(shù) 基本遺傳有下述 4 個運行參數(shù)需要提前設定。 基于遺傳算法的集成神經網絡檢測方法 算法思想與步驟 在此采用的集成神經網絡對網絡入侵的學習分為兩個步驟，首先，采用單個神經網絡分別對樣本進行訓練，然后，通過遺傳算法尋找那些差異較大的神經網絡進行集成，得到最后的結果 。 3)對父代中的六個子集 6321 ,..., ssss ，采用遺傳算法進行交叉操作，形成它的下一代即子代，也稱為第一代。 在 MATLAB 中，使用其外帶的神經網絡工具箱，新建一個基于神經網絡的入侵檢測系統(tǒng)的仿真，神經網絡工具箱 如圖 51 所示 。MIN 和 MAX 分別是屬于 x變量的特征值的最小值和最大值。在所有的入侵中 land 攻擊的檢測率最高，而 teardrop 攻擊的檢測率最低。 對 基于集成神經網絡的入侵檢測 系統(tǒng)的工作原理作了深入的分析 ， 特別是對集成學習的原理和遺傳算法作了詳細的分析，并指出了二者的優(yōu)越性。 由于集成神經網絡克服了單個神經網絡的缺陷，能夠較好地實現(xiàn)模式分類的智能化，它在網絡安全中的應用將會越來越廣泛。然后對人工神經網絡作進一步的分析，提出神經網絡技術在入侵檢測中的應用還存在缺陷和不足。 圖 55 matlab 程序 仿真實驗數(shù)據 分析 表 51 集成神經網絡與單個最佳神經網絡結果的比較 類型 單個神經網絡檢測率 (％ ) 集成神經網絡檢測率 (％ ) smurf land DOS teardrop 平均 表 52 各類集成神經網絡學習算法檢測率的比較 算 法 檢測率 (％ ) 遺傳算法 Luca Didaci 研究的多數(shù)投票法，平均算法和置信函數(shù)組合 [12] Sfinivas Makkamala 研究的最小平均誤差值 [13] 計算公式：檢測率 =正確檢測數(shù)據包數(shù) /實際攻擊數(shù)據包數(shù)。通過歸一化算法，數(shù)據集中的每一個連續(xù)型特征值被限定在 [,]范圍內。 23 5 仿真 實驗分析 matlab 神經網絡工具箱 實驗中軟件采用 Windows XP、 Matlab。把集成神經網絡平均誤差的倒數(shù)作為遺傳算法的適應度，即 ? ? sff vijji Cs 2 （ 49） 式中 V 為驗證集 , ji ff, 為個體網絡 ， VijC 為 ji ff, 個體網絡相關度 ，個體網絡相關度定義為 dxxdxfxdxfxPC jiij ))()() ) (()(()( ??? ? （ 410） 實驗中采用的遺傳算法描述如下： 數(shù) 據 源 BP 神經網絡 RBF 神經網絡 自組織神經網絡 選擇個體網絡、集成輸出 22 1)獨立訓練 18 個神經網絡 18,321 ..., ffff 。種群規(guī)模過小將影響搜索范圍，從而得不到最優(yōu)解；種群規(guī)模過大則搜索時間長，搜索效率低。 最優(yōu)化問題描述 適應度 F（ X） 個體基因型 目標函數(shù) f（ x） 個體表現(xiàn)型 X 解碼方法 確定運行參數(shù) 編碼方法 設計遺傳算子 確定決策對象、約束條件 確定適宜度轉換規(guī)則 建立優(yōu)化模型 遺傳算法 第一步 第四步 第三步 第二步 第五步 第七步 第六步 圖 42 遺傳算法的構造過程 20 變異運算使用基本位變異算子或均因變異算子 。為正確計算這個概率，這里要求所有個體的適應度必須為正數(shù)或零。 由上述構造步驟可以看出，運行解的編碼方法、遺傳算子的設計是構造遺傳算法時需要考慮的兩個主要問題，也是設計遺傳算法時的兩個關鍵步驟。染色體作為遺傳物質的主要載體，即多個基因的集合，其內部表現(xiàn) (即基因型 )是某種基因組合，它決定了個體形狀的外部表現(xiàn)。 集成神經網絡中的每一個權值 iw 0，且 11 ???Ni iw (41) 集成神經網絡在輸入 x下的輸出定義為： )(xfw ii ??? ? Ni ii xfwf 1 )( (42) 神經網絡 i的泛化誤差 Ei 和集成神經網絡的泛化誤差 E分別為： 2))()(()( xfixdXd xPEi ?? ? (43) 2))()(()( xifxdXd xPE ??? ? (44) 網絡泛化誤差的加權平均為： ini iEwE ??? ?1 (45) 神經網絡的差異度 iA 和集成神經網絡的差異度 ?A 分別為： 2))()(()( xfxfXd xPA ii ??? ? (46) iNi iAwA ??? ?1 (47) 則集成神經網絡的泛化誤差為： 17 21201 ))()(()())()(()( xfxfXd x PwxfxdXd x PwAEE ini ini i????? ?????? ???? (48) 從 (8)式看出如果集成神經網絡中的各個個體網絡差異度很小，即對相同的輸入 ，集成網絡中的各個個體網絡都給出相同或相近的輸出，則集成差異度 為 0，網絡集成的泛化誤差與個體網絡的加權平均誤差相當，而當個體網絡差異較大時，其集成的差異度較大，泛化誤差將遠小于個體網絡的加權平均誤差。如果發(fā)現(xiàn)了新的入侵行為 ，可以把它加入到攻擊樣本庫中實現(xiàn)對攻擊樣本庫的更新。 3） 執(zhí)行速度問題。 目前，神經網絡技術在入侵檢測中的應用還存在以下缺陷和不足： 1） 需要解決神經網絡對大容量入侵行為類型的學習能力問題。這種通過學習能夠識別全新入侵行為特征的能力，可以克服基于專家系統(tǒng)檢測技術的局限性。神經網絡的高度魯棒性使得網絡中的神經元或突觸遭到破壞時網絡仍然具有學習和記憶能力，從而使網絡表現(xiàn)出高度的自組織性。其主要缺點是學習速度太慢，因為在模擬退火過程中要求當系統(tǒng)進入平衡時，“冷卻”必須慢慢進行，否則易陷入局部極小。層次型網絡和網狀結構網絡的一種結合。 下圖 32 給出了一般化 MP 模型 [8]。 設有 N 個神經元互聯(lián)，每個神經元的活化狀態(tài) ix （ i=1， 2， 3， ? ， N）取 0 或 1，分別代表抑制和興奮。胞體還延伸出一條管狀纖維組織，稱之為軸突，軸突外面包有一層較厚的絕緣組織，稱之 為髓鞘（梅林鞘）。 神經網絡模型 生物神經元模型 正常人腦是由大約 1011~1012 個神經元組成的，神經元是腦組織的基本單元。神經網絡具備高度的學習和自適應能力，通過學習能夠識別全新入侵行為特征的能力，可以克服基于專家系統(tǒng)檢測技術的局限性。 其次，基于專家系統(tǒng)的檢測方法缺乏足夠的靈活性來檢測已知入侵方式的變種情況。文件完整性檢查式入侵檢測系統(tǒng)保存有每個文件的數(shù)字文摘數(shù)據庫，每次檢查時，它重新計算文件的數(shù)字文摘并將它與數(shù)據庫中的值相比較，如不同，則文件已被修改，若相同，則文件未發(fā)生變化 [5]。協(xié)議分析大大減少了計算量，即使在高負載的高速網絡上，也能逐個分析所有的數(shù)據包。它可以將已有的入侵方法檢查出來，但對新的入侵方法無能為力。 3） 自動對檢測到的行為作出響應。目前的數(shù)據主要有主機日記、網絡數(shù)據包、應用程序數(shù)據、防火墻日志等。入侵檢測技術是一種動態(tài)的網絡檢測技術，主要用于識別對計算機和網絡資源的惡意使用行為，包括來自外部用戶的入侵行為和內部用戶的未經授權活動。 第 五章 仿真 實驗分析。還對入侵檢測系統(tǒng)的分類進行了介紹并提出入侵檢測目前存在的局限性和未來的發(fā)展。入侵檢測領域研究的重點之一是分類算法，單個的分類算法由于自身的原因，總存在各種缺陷，算法的泛化能力不強。 Bonifacio 3 等人首先構建網絡 會話 的數(shù)據矢量，并對數(shù)據負載中的可疑特征字符串進行編碼，連同目標端口號一起構成 BP 網絡的輸入特征矢量，送入神經網絡進行訓練。 隨著網絡互聯(lián)環(huán)境的飛速發(fā)展，基于網絡流量分析的入侵檢測技術逐漸流行。 Debar 等人采用遞歸型（ Recurrent） BP 網絡，在對所收集的審計記錄進行分析的基礎上，對系統(tǒng)各用戶的行為方式進行建模，并同時結合傳統(tǒng)的專家系 統(tǒng)進行入侵檢測。入侵檢測系統(tǒng)（ IDS）由入侵檢測軟件和硬件組合而成，被認為是防火墻之后的 第二道安全閘門，在不影響網絡性能的情況下能對網絡進行監(jiān)測，提供對內部攻擊、外部攻擊和誤操作的實時保護 [2]。 研究的背景和意義 隨著人類社會對 Inter需求的日益增長，網絡安全逐漸成為 Inter及各項網絡服務和應用進一步 發(fā)展所需解決的關鍵問題，尤其是從 1993年以來，隨著 Inter/Intra技術日趨成熟，通過 Inter進行的各種電子商務和電子政務活動日益增多，很多組織和企業(yè)都建立了自己的內部網絡并將之與 Inter聯(lián)通。 基于集成神經網絡入侵檢測系統(tǒng)的研究 畢 業(yè) 論 文 目 錄 摘要 .................................................................................................................................................. I ABSTRACT ....................................................................................................................................II 1 引言 ........................................................................................................................................... 1 研究的背景和意義 ......................................................................................................... 1 國內外研究現(xiàn)狀 ............................................................................................................. 2 論文結構安排 ................................................................................................................. 3 2 入侵檢測技術簡介 ................................................................................................................... 4 研究入侵檢測的必要性 ................................................................................................. 4 入侵檢測的相關概念 ..................................................................................................... 4 入侵檢測系統(tǒng)的基本原理 ............................................................................................. 4 入侵檢測