【正文】 現(xiàn)入侵行為，減少可能的系統(tǒng)損失。另一方面，神經網(wǎng)絡的訓練和學習能力，往往是通過內部的權值連接和拓撲結構來實現(xiàn)和存儲的，對于最終判定結果的產生，通常難以具體解釋詳細的判定過程，產生確定性的判定步驟。如果集成神經網(wǎng)絡認為是一種攻擊行為 ，它將向用戶報警。 設神經網(wǎng)絡輸入 x∈ Rm 滿足分布 P(x)，輸入 x的目標輸出 d(x)，神經網(wǎng)絡 fi (i=1， 2，?，N)的輸出為 fi(x)，各神經網(wǎng)絡的權值為 iw (i=1， 2，?， N)。每個個體實質上是染色體（ chromosome）帶有特征的實體。 1）確定決策變量及其各種約束條件，即確定出個體的表現(xiàn)型 X 和問題的解空間； 2）建立優(yōu)化模型，即確定出目標函數(shù)的類型（是求目標函數(shù)的最大值還是求目標函數(shù)的最小值）及其數(shù)學描述形式或量化方法； 3）確定表示可行解的染色體編碼方法，也即確定出個體的基因型 X 及遺傳算法的搜索空間； 4）確定解碼方法，即確定出個體基因型 X 到個體表現(xiàn)型 X 的對應關系或轉換方法； 5）確定個體適應度的量化評價方法，即確定出由目標函數(shù)值 f（ x）到個體適應度 F（ x）的轉換規(guī)則； 6）設計遺傳算子，即確定出選擇運算、交叉運算、變異運算等遺傳算子的具體操作方法； 7）確定遺傳算法的有關運行參數(shù)，即確定出遺傳算法的 M,T,Pc,Pm等參數(shù)。 2） 個體適應度評價 基本遺傳算法按與個體適應度成正比的概率來決定當前群體中每個個體遺傳到下一代群體中的機會多少。 基因重組是結合來自父代交配種群中的信息產生新的個體。 這 4 個運行參數(shù)對遺傳算法的求解結果和求解效率都有一定的影響。初始種群中 的其它 染色體全 部參與集成即 18 個神經網(wǎng)絡全為 1。 網(wǎng)絡 的集成輸出 在此采用簡單平均法 ，即對所選取的個體神經網(wǎng)絡的輸出值作簡單的算術平均，作為集成神經網(wǎng)絡的總輸出，通過對總的輸出值選擇恰當?shù)拈撝担袛嗑W(wǎng)絡是否存在入侵行為。預處理過程包括：編碼、特征分類、特征值 歸一化，具體方法和步驟如下： Protocol_type 字段編碼 ： TCP UDP ICMP 1 2 3 攻擊類型編碼： Normal Back Buffer_overflow ftp_write Guess_passwd 0 1 2 3 4 Imap Ipsweep Land Loadmodule Multihop 5 6 7 8 9 Neptune Nmap Perl Phf Pod 10 11 12 13 14 Portsweep Rootkit Satan Smurf Spy 15 16 17 18 19 Teardrop Warezclient Warezmaster Dos 20 21 22 23 實驗中，為了便于處理和分析，我們對數(shù)據(jù)集中的連續(xù)特征值進行了歸一化處理。 27 圖 54 集成神經網(wǎng)絡 訓練過程 部分程序（ BP 和 RBF）如 圖 55。 結論 本文 探討了集成神經 網(wǎng)絡 在 入侵檢測方面的應用， 先說明了現(xiàn)在的網(wǎng)絡安全的嚴峻性和重要性，又 對各種檢測系統(tǒng)進行了對比，說明它們的不足和局限性， 指出神經網(wǎng)絡應用于入侵檢測系統(tǒng)具有廣闊的研究前景。 它與平均值法和多數(shù)選舉法比較，更適合于大規(guī)模神經網(wǎng)絡的集成。采用遺傳算法選擇個體網(wǎng)絡的神經網(wǎng)絡集成有很多的優(yōu)點。出現(xiàn)這種現(xiàn)象的原因可能與神經網(wǎng)絡訓練的樣本數(shù)有關， land 攻擊在訓練庫中占的比例最大，而teardrop 攻擊在訓練庫中占的比例最小。 仿真實驗 導入數(shù)據(jù) 把要輸入的數(shù)據(jù)集和期望輸出的數(shù)據(jù) 集導入 matlab，并分別命名為 book1 和 book2。 圖 51 神經網(wǎng)絡工具箱 實驗數(shù)據(jù)源 實驗的數(shù)據(jù) 取自 KDDCUP09 數(shù)據(jù)集。 4)將提取的父代和生成的子代按公式 (9)求出其適應度。 個體網(wǎng)絡的構建 構建三種不同類型的神經網(wǎng)絡即 BP 神經網(wǎng)絡、 RBF 神經網(wǎng)絡和自組織競爭人工神經網(wǎng)絡 ，每一類按照隱含層神經元個數(shù)和學習率的不同分為 6 個神經網(wǎng)絡，共計 18 個神經網(wǎng)絡，如 下圖 44 所示 。 1） M：群體大小，即群體中所含個體的數(shù)量，一般取為 20~100。 選擇運算使用比例選擇算子 。 基本遺傳算法 基本遺傳算法只使用選擇算子、交叉算子和變異算子這三種基本遺傳算子，其遺傳進化操作過程簡單，容易理解，是其他一些遺傳算法的雛形和基礎，它不僅給各種遺傳算法提供了一個基本框架，同時也具有一定的應用價值。初代種群產生之后，按照適者生存和優(yōu)勝劣汰的原理，逐代演化產生出越來越好的近視解。 遺傳算法的定義 遺傳算法是一種模仿自然界生物進化思想而得出的一種自適應啟發(fā)式全局搜索算法，其實質是由復制 — 交換 — 變異算子組成的周而復 始的循環(huán)過程。這13 個特征組成了入侵檢測中的一條特征，用它們可以描述網(wǎng)絡中出現(xiàn)的攻擊行為。 15 4 基于 集成 神經網(wǎng)絡的入侵檢測系統(tǒng) 系統(tǒng)設計 系統(tǒng)工作原理 設計的集成神經網(wǎng)絡入侵檢測系統(tǒng)體系結構如圖 41 所示。 2） 需要解決神經網(wǎng)絡的解釋能力不足的問題。計算部件在計算前必須存儲部件中取出指令和待處理數(shù)據(jù)，然后進行計算，最后將計算結果返送回存儲器。神經網(wǎng)絡以其獨特的結構和處理信息的方法，在許多實際應用領域中取得了顯著的成效 [9]。 神經網(wǎng)絡的基本性質及優(yōu)點 神經網(wǎng)絡的基本性質主 要包括：收斂性、容錯性、魯棒性及推廣性等。 學習是神 經網(wǎng)絡最重要的一個能力，學習算法是神經網(wǎng)絡的核心問題之一。 神經網(wǎng)絡在目前已有幾十種不同的模型。若將閥值也看作一個權值，則式（ 31）可改寫為 11 Nixwfx Nj jiji ，???????? ?? ,2,1),( 0 （ 32） 此時有 ii xw ???00 ， 0xw =1，這就是最初的 MP 模型 . 但是，這種簡單的 MP 模型沒有考慮時間整合、不應期、延時和數(shù)模轉換等作用。前一神經元的信息經由起軸突傳到末梢之后，通過突觸對后面各個神經元產生影響。胞體是神經元的代謝中心， 每個細胞體有大量的樹突（輸入端）和軸突（輸出端），不同神經元的軸突和樹突互連的結合部為突觸，突觸決定神經元之間的連接強度和作用性質，而每個神經元胞體本身則是一非線性輸入、輸出單元。從而肯定了具備學習能力的神經網(wǎng)絡在入侵檢測中的光明應用前景。因為它只關注單個異常事件的出現(xiàn)與否，而對事件狀態(tài)隨時間發(fā)生的變化情況無法處理。 8 但是，隨著系統(tǒng)安全環(huán)境特別是網(wǎng)絡系統(tǒng)安全形式的變化，傳統(tǒng)的基于專家系統(tǒng)的檢測技術暴露出若干局限性和不足。 2） 基于網(wǎng)絡的入侵檢測系統(tǒng) 基于網(wǎng)絡的入侵檢測系統(tǒng)（ Networkbased Intrusion Detection System， NIDS）一般安裝在需要保護的網(wǎng)段中，實時監(jiān)視網(wǎng)段中傳輸?shù)母鞣N數(shù)據(jù)包，并對這些數(shù)據(jù)包進行分析和檢測，如果發(fā)現(xiàn)入侵行為或可疑事件，入侵檢測系統(tǒng)就會發(fā)出報警，甚至切斷網(wǎng)路連接。根據(jù)這一假設建立主體正常活動的（ “ 活動簡檔 ” ），將當前主體的活動狀況與 “ 活動簡檔 ”相比較，當違反其統(tǒng)計規(guī)律時，認為改活動可能是 “ 入侵 ” 行為。 入侵檢測系統(tǒng)的分類 入侵檢測系統(tǒng)可以按不同的方法進行分類，其中，按檢測技術、數(shù)據(jù)來源、體系結構及時效性進行分類是應用最多的分類方法。 3） 數(shù)據(jù)分析 采用統(tǒng)計、智能算法等方法分析經過初步處理的數(shù)據(jù)，檢查數(shù)據(jù)是否正常，或顯示存在入侵。關于 “ 入侵檢測 ” 的定義為：入侵檢測是對企圖入侵、正在進行的入侵或者已經發(fā)生的入侵進行識別的過程。 4 2 入侵檢測技術簡介 研究入侵檢測的必要性 在網(wǎng)絡安全技術中，防火墻是第一道防御屏障。 第 四 章 基于 集成 神經網(wǎng)絡的入侵檢測系統(tǒng) 。 Hansen和 Salamon把各種 神經網(wǎng)絡集成在一起，形成集成神經網(wǎng)絡。所采用方法是首先選擇一組關鍵詞表，然后在會話數(shù)據(jù)中對各個關鍵詞進行計數(shù)并形成 n維的輸入特征矢量（ n為關鍵詞個數(shù)）。訓練完畢后，對測試樣本集進行測試。 Ghosh 和 Schwartzbard 采用基于多層感知器（ MLP）的異常檢測模型，通過對程序執(zhí)行中系統(tǒng)調用序列記錄的分析，來監(jiān)視特定的程序的運行狀態(tài)。近年來，大量不同于傳統(tǒng)專家系統(tǒng)技術的入侵 2 檢測方法紛紛涌現(xiàn)，其中基于人工神經網(wǎng)絡檢測技術的發(fā)展尤為突出。一般它位于路由器之后，為進出網(wǎng)絡的連接提供安全訪問控制。 為了提高入侵檢測系統(tǒng)的檢測能力， 本文 在了解信息安全和入侵 檢測概念的基礎上，分析神經網(wǎng)絡模型，采用單個神經網(wǎng)絡分別對樣本進行訓練，然后，通過遺傳算法尋找那些差異較大的神經網(wǎng)絡進行集成，并將研究的模型應用于入侵檢測系統(tǒng)中，提出相應的處理方案，得到最后的結果。 關鍵詞 ： 網(wǎng)絡安全 入侵檢測 神經網(wǎng)絡 集成學習 遺傳 算法 II Abstract Intrusion detection is a logical addition to firewall, it helps the system to deal with work attacks, expanded the system administrator39。但一般網(wǎng)絡系統(tǒng)必須對外開放一些應用端口，如 80、 110等 ，這時防火墻的不足就會充分體現(xiàn)出來，并且防火墻對內部攻擊無能為力；同時，防火墻絕對不是堅不可摧的，即使是某些防火墻本身也會引起一些安全問題。人工神經網(wǎng)絡是模擬人腦加工、存儲和處理信息機制而提出的一種智能化信息處理技術，它是由大量簡單的處理單元（神經元 ）進行高度互連而形成的復雜網(wǎng)絡系統(tǒng)。他們使用了數(shù)百個訓練樣本，獲得了在大致 3%的虛警概率條件下 77%的檢測概率。實驗結果表明，該模型可以從正常網(wǎng)絡流量中識別出諸如表示 ISS 和 Satan掃描、 SYN Flood 攻擊活動的數(shù)據(jù)包。之 后，采用 MLP 網(wǎng)絡進行訓練和識別。通過研究，證明集成神經網(wǎng)絡可以提高系統(tǒng)的泛化能力。本章 先提出系統(tǒng)的設計并對其工作原理進行解釋，并提出集成學習和遺傳學習兩個概念 。一般它位于路由器之后，為進出網(wǎng)絡的連接提供安全訪問控制。所有能夠執(zhí)行入侵檢測任務和功能的系統(tǒng)，都可成為入侵檢測系統(tǒng)，其中包括軟件系統(tǒng)和軟硬件結合的系統(tǒng)。 4） 響應處理 當發(fā)現(xiàn)入侵時，采取措施進行防護、保留入侵證據(jù)并通知管理員。本文主要介紹 前兩者的分類方法。異常入侵檢測的難題在于如何建立 “ 活動簡檔 ” 以及如何設計統(tǒng)計算法，從而不把正常的操作誤認為 “ 入侵 ” 或忽略真正的 “ 入侵 ” 行為。 3） 混合式入侵檢測系統(tǒng) 基 于網(wǎng)絡的入侵檢測系統(tǒng)和基于主機的入侵檢測系統(tǒng)都有不足之處，單純使用其中一種系統(tǒng)的主動防御體系都不夠強大。 首先，傳統(tǒng)的專家檢測技術需要維護一個復雜而龐大的規(guī)則庫。 近年來，大量不同于傳統(tǒng)專家系統(tǒng)技術的入侵檢測方法紛紛涌現(xiàn)，其中基于人工神經網(wǎng)絡檢測技術的發(fā)展尤為突出。 9 3 神經網(wǎng)絡簡介 神經網(wǎng)絡的全稱是人工神經網(wǎng)絡（ artificial neural work， ANN）是在現(xiàn)代神經生物學研究成果的基礎上發(fā)展起來的一種模擬人腦信息處理機制的網(wǎng)絡系統(tǒng)，他不但具有處理數(shù)值數(shù)據(jù)的一般計算能力，而且還具有處理知識的思維、學習和記憶能力 [6]。一個神經元的模型示意圖 如下圖 31 所 示。從生物控制論的觀點看，神經元作為控制和信息處理的單元，具有常規(guī)的兩種工作狀態(tài)，興奮和抑制狀態(tài)，神經沖動眼神經傳導的速度在1~150m/s 之間，在相鄰兩次沖動之間需要一個時間間隔，即為不應期。若考慮這些作用則可以發(fā)展出 MP 模型的許多變種。通常，人們較多地考慮神經網(wǎng)絡的互連結構，包括四種典型結 構如圖 33 所是 ，分別是 1） 前饋網(wǎng)絡。通常它也是一個強非線性系統(tǒng)，學習功能反映在神經網(wǎng)絡模型中，就是突觸連接權值 Wij 可以按學習規(guī)則隨時間改變。 神經網(wǎng)絡的收斂性是指神經網(wǎng)絡的訓練算法在有限次迭代之后可收斂到正確的權值或權向量。 14 神經網(wǎng)絡應用于入侵檢測 神經網(wǎng)絡技術應用于入侵檢測領域具有以下優(yōu)勢： 1） 神經網(wǎng)絡具有概括和抽象能力，對不完整輸入信息具有一定程度的容錯處理能力。因此，存儲器和計算器之間的傳輸帶寬稱為制約計算機性能的瓶頸。神經網(wǎng)絡具備很強的訓練學習能力，能夠給出判定的類別信息，但是對于具體發(fā)生的事件類型，則缺乏明確的解釋能力。 圖 41 集成神經網(wǎng)絡入侵檢測系統(tǒng)體系結構 系統(tǒng)的工作原理是 ：數(shù)據(jù)采集模塊捕獲所有流經系統(tǒng)監(jiān)測網(wǎng)段上的網(wǎng)絡數(shù)據(jù)流，把它 們送入特征提取模塊。 集成神經網(wǎng)絡算法 Schapire 證明一個概念如果是弱可學習的，其充要條件是強可學習的。這種方法由于仿效生物的進化與遺傳，根據(jù)生存競爭和優(yōu)勝劣汰的原則，借助復制、交換、變異等操作，使要解決的問題一步步逼近最優(yōu)解和近優(yōu)解。在每一代，根據(jù)問題域中個體的適應度（ fitness）大小挑選（ selection）個體，并借助于自然遺傳學的遺傳算