【正文】 子（ geic operation）進(jìn)行組合交叉（ crossover）和變異（ mutation），產(chǎn)生出代表新的解集的種 群。 1） 染色體編碼方法 基本遺傳算法使用固定長(zhǎng)度的二進(jìn)制符號(hào)串來(lái)表示群體中的個(gè)體，其等基因是由二值符號(hào)集 {0， 1}所組成的。 選擇是用來(lái)確定重組或交叉?zhèn)€體，以及被選個(gè)體將產(chǎn)生多少個(gè)子代個(gè)體。 2） T：遺傳運(yùn)算的終止進(jìn)化代數(shù)，一般取為 100~500。 21 圖 43 神經(jīng)網(wǎng)絡(luò)集成的過(guò)程 個(gè)體網(wǎng)絡(luò)的選擇 首先訓(xùn)練出如前所述的 18 個(gè)個(gè)體神經(jīng)網(wǎng)絡(luò) 18,321 ..., ffff ，然后通過(guò)遺傳算法選擇{ 18,321 ..., ffff }中適合組成集成神經(jīng)網(wǎng)絡(luò)的子集 S。 5)在父代和子代組成的種群中，選取適應(yīng)度較大的一半個(gè)體作為新的種群，進(jìn)行交叉操作，形成第二代個(gè)體。 以下是某些數(shù)據(jù)包的信息： 0,tcp,SF,181,5450,0,0,0,0,0,1,0,0,0,0,0,0,0,0,0,0,8,8,9,9,1.00,normal. 0,tcp,smtp,SF,523,277,0,0,0,0,0,1,0,0,0,0,0,0,0,0,0,0,1,1,55,108,normal. 0,udp,domain_u,SF,32,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,1,3,56,46,teardrop. 0,icmp,ecr_i,SF,1032,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,511,511,255,255,smurf. 0,tcp,SF,54540,8314,0,0,0,2,0,1,1,0,0,0,0,0,0,0,0,0,5,5,25 24 5,255,land. 0,icmp,eco_i,SF,8,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,1,19,2,42,1.00,dos. 入侵檢測(cè)數(shù)據(jù)集預(yù)處理 實(shí)驗(yàn)使用的訓(xùn)練數(shù)據(jù)取自 KDDCUP09 數(shù)據(jù)集。 25 如下 圖 所示 圖 52 數(shù)據(jù)導(dǎo) 入 訓(xùn)練過(guò)程 單個(gè)神經(jīng)網(wǎng)絡(luò)對(duì)四種攻擊類(lèi)型的 訓(xùn)練過(guò)程 如下 圖 53 所示 。從表 1 中看出集成神經(jīng)網(wǎng)絡(luò) 4 類(lèi)樣本數(shù)據(jù)中， 3 類(lèi)的檢測(cè)率都高于單個(gè)檢測(cè)率最好的網(wǎng)絡(luò)。首先，采用集成神經(jīng)網(wǎng)絡(luò)極大地提高神經(jīng)網(wǎng)絡(luò)的泛化能力。 利用 KDDCup09 入侵檢測(cè)數(shù)據(jù)集和用攻擊工具進(jìn)行模擬攻擊時(shí)捕獲的報(bào)文數(shù)據(jù)進(jìn)行了仿真實(shí)驗(yàn) ，所得到的性能令人滿(mǎn)意。 通過(guò)表 2 說(shuō)明，使用遺傳算法的選擇集成與目前流行的多數(shù)選舉算法和最小平均值算 28 法相比有更好的結(jié)果。 集成神經(jīng)網(wǎng)絡(luò)對(duì)四種攻擊的訓(xùn)練過(guò)程如 圖 54。實(shí)驗(yàn)中，我們首先對(duì)數(shù)據(jù)集進(jìn)行了預(yù)處理。 7)通過(guò)若干次循環(huán) ，當(dāng)適應(yīng)度大于某一閾值，即認(rèn)為已局部?jī)?yōu)化，再對(duì)這些局部?jī)?yōu)化后的個(gè)體進(jìn)行變異，直到適應(yīng)度已達(dá)到我們確定的目標(biāo)為止。 初始種群中的個(gè)體產(chǎn) 生方法是先把某一種攻擊中的一條樣本數(shù)據(jù)送入 18 個(gè)神經(jīng)網(wǎng)絡(luò)，計(jì)算每個(gè)網(wǎng)絡(luò)的輸出，這些輸出與驗(yàn)證集相比較，算出每一個(gè)個(gè)體網(wǎng)絡(luò)的泛化誤差 ，取泛化誤差最大的一個(gè)神經(jīng)網(wǎng)絡(luò)為 0，其余 17 個(gè)神經(jīng)網(wǎng)絡(luò)為 1，作為第一 條染色體 ；取泛化誤差較大的兩個(gè)神經(jīng)網(wǎng)絡(luò)為 0，其余 16 個(gè)神經(jīng)網(wǎng)絡(luò)為 1，作為第二 條染色體 ；依此方法產(chǎn)生五 條染色體 。 4） pm：變異概率，一般取為 ~。 交叉運(yùn)算使用單點(diǎn)交叉算子 。如X=10110000101101 就可表示一個(gè)個(gè)體，該個(gè)體染色體長(zhǎng)度是 n=14。 18 對(duì)一個(gè)需要進(jìn)行優(yōu)化計(jì)算的實(shí)際應(yīng)用問(wèn)題，一般可按下述步驟來(lái)構(gòu)造求解該問(wèn)題的遺傳算法。 遺傳算法的基本思想 遺傳算法是從代表問(wèn)題可能潛在解集的一個(gè)種群（ population）開(kāi)始的，而一個(gè)種群則由經(jīng)過(guò)基因（ gene）編碼（ coding）的一定數(shù)目的個(gè)體（ individual）組成。集成學(xué) 習(xí)通常分為兩個(gè)步驟，首先，采用單個(gè)學(xué)習(xí)算法對(duì)樣本分別進(jìn)行訓(xùn)練，然后，對(duì)單個(gè)網(wǎng)絡(luò)的輸出按某種方法進(jìn)行集成，得到最后結(jié)果。集成神經(jīng)網(wǎng)絡(luò) 把輸入向量與攻擊樣本庫(kù)進(jìn)行比較，從而判別是否存在入侵。在這一點(diǎn)上，神經(jīng)網(wǎng)絡(luò)往往力不從心。各個(gè)神經(jīng)元的工 作方式本質(zhì)上是完全并行的，從輸入到輸出的計(jì)算過(guò)程實(shí)質(zhì)上是權(quán)值的傳遞過(guò)程，而在值傳遞的過(guò)程中，就同時(shí)完成了信息的存儲(chǔ)過(guò)程。 2） 神經(jīng)網(wǎng)絡(luò)具備高度的學(xué)習(xí)和自適應(yīng)能力。容錯(cuò)性的研究歸結(jié)于神經(jīng)網(wǎng)絡(luò)動(dòng)力系統(tǒng)記憶模式吸引域的大小。神經(jīng)網(wǎng)絡(luò)的學(xué)習(xí)規(guī)則有有導(dǎo)師學(xué)習(xí)和無(wú)導(dǎo)師學(xué)習(xí)兩大類(lèi)，概括如下 1） 糾錯(cuò)規(guī)則 13 糾錯(cuò)規(guī)則基于梯度下降法，因此不能保證得到全局最優(yōu)解，同時(shí)要求大量的訓(xùn)練樣本，因此收斂速度慢；糾錯(cuò)規(guī)則對(duì)樣本的表示次序變化比較敏感，這就像導(dǎo)師必須認(rèn)真?zhèn)湔n，精心組織才能有效地讓學(xué)生學(xué)習(xí)。在 輸入層到輸出層存在反饋； 3） 相互結(jié)合型網(wǎng)絡(luò)。不同的系統(tǒng)對(duì)活化值作了不同的假設(shè)，它可以是連續(xù)的，也可以是離散的。 隨著生物控制論的發(fā)展，人們對(duì)神經(jīng)元的結(jié)構(gòu)和功能有了進(jìn)一步的了解，神經(jīng)元不僅僅是一簡(jiǎn)單的雙穩(wěn)態(tài)邏輯元件，而且是超級(jí)的微型生物信息處理機(jī)或控 制單元 [7]。胞體是神經(jīng)元的袋子額中心，它本身又由細(xì)胞核、內(nèi)質(zhì)網(wǎng)和高爾基體組成。人工神經(jīng)網(wǎng)絡(luò)由于其大規(guī)模并行處理、容錯(cuò)性、自組織和自適應(yīng)能力以及聯(lián)想功能等特點(diǎn)，已成為解決問(wèn)題的有力工具， 對(duì)突破現(xiàn)有科學(xué)技術(shù)的瓶頸，更深入的探索非線性等復(fù)雜現(xiàn)象起到了重大的作用，并廣泛應(yīng)用于許多科學(xué)領(lǐng)域。 人工神經(jīng)網(wǎng)絡(luò)是模擬人腦加工、存儲(chǔ)和處理信息機(jī)制而提出的一 種智能化信息處理技術(shù)，它是由大量簡(jiǎn)單的處理單元（神經(jīng)元）進(jìn)行高度互連而形成的復(fù)雜網(wǎng)絡(luò)系統(tǒng)。因?yàn)閷?zhuān)家系統(tǒng)檢測(cè)技術(shù)完全依賴(lài) 于準(zhǔn)確的規(guī)則庫(kù)匹配方式進(jìn)行入侵檢測(cè)工作，所以一個(gè)陳舊的檢測(cè)規(guī)則庫(kù)帶來(lái)的后果可能就是漏檢大量的入侵檢測(cè)活動(dòng)。如果這兩種系統(tǒng)能夠無(wú)縫地結(jié)合起來(lái)部署在網(wǎng)絡(luò)內(nèi)，這會(huì)構(gòu)架一套強(qiáng)大的、立體的主動(dòng)防御體系。它充分利用了 網(wǎng)絡(luò)協(xié)議的高度有序性，并結(jié)合了高速數(shù)據(jù)包捕捉、協(xié)議分析和命令解析，來(lái)快速檢測(cè)某種攻擊特征是否存在。 1） 誤用入侵檢測(cè) 誤用入侵檢測(cè)（ misuse intrusion detection）又稱(chēng)為基于特征的入侵檢測(cè) 。 入侵檢測(cè)系統(tǒng)的基本工作模式 入侵檢測(cè)系統(tǒng)的基本工作模式為： 1） 從系統(tǒng)的不同環(huán)節(jié)收集信息。主要分為四個(gè)階段：數(shù)據(jù)收集、數(shù)據(jù)處理、數(shù)據(jù)分析和響應(yīng)處理。 信息安全的 PDRR 模型充分說(shuō)明了檢測(cè)的重要性。把集成學(xué)習(xí)原理和遺傳算法結(jié)合起來(lái)，從而來(lái)論述基于遺傳算法的集成神經(jīng)網(wǎng)絡(luò)檢測(cè)方法。 第二章入侵檢測(cè)技術(shù)的 簡(jiǎn)介 。 神經(jīng)網(wǎng)絡(luò)具有概括和抽象能力，對(duì)不完整輸入信息具有一定程度的容錯(cuò)處理能力。 SOM 網(wǎng)絡(luò)主要用于對(duì)數(shù)據(jù)包中的負(fù)載內(nèi)容進(jìn)行分析，作為 MLP 網(wǎng)絡(luò)的預(yù)處理單元并起到特征降維的作用。進(jìn)一步地， Ghosh 等人采用另一種神經(jīng)網(wǎng)絡(luò)模型 —— Elman網(wǎng)絡(luò)，取得了零虛警概率下 77%的檢測(cè)概率。神經(jīng)網(wǎng)絡(luò)具備高度的學(xué)習(xí)和自適應(yīng)能力，通過(guò)學(xué)習(xí)能夠識(shí)別全新入侵行為特征的能力，可以克服基于專(zhuān)家系統(tǒng)檢測(cè)技術(shù)的局限性 [3]。入侵檢測(cè)是防火墻的合理補(bǔ)充，它幫助系統(tǒng)對(duì)付網(wǎng)絡(luò)攻擊，擴(kuò)展了系統(tǒng)管理員的安全管理能力，提高了信息安全基礎(chǔ)結(jié)構(gòu)的完整性。如近幾年的大學(xué)英語(yǔ)四、六級(jí)考題泄露事件，通過(guò)網(wǎng)絡(luò)操作 使 得股民帳戶(hù)受損事件，“熊貓燒香”病毒導(dǎo)致計(jì)算機(jī)網(wǎng)絡(luò)大面積癱瘓等影響都是全國(guó)性的。 I 摘要 入侵檢測(cè)是防火墻的合理補(bǔ)充，它幫助系統(tǒng)對(duì)付網(wǎng)絡(luò)攻擊，擴(kuò)展了系統(tǒng)管理員的安全管理能力，提高了信息安全基礎(chǔ)結(jié)構(gòu)的完整性。這些電子商務(wù)和政務(wù)應(yīng)用和企業(yè)網(wǎng)絡(luò)中的商業(yè)秘密便是攻擊者的目標(biāo)，據(jù)統(tǒng)計(jì)目前網(wǎng)絡(luò)攻擊手段多達(dá)數(shù)千種，使網(wǎng)絡(luò)安全問(wèn)題變得極其嚴(yán)峻 [1]。 在入侵檢測(cè)領(lǐng)域內(nèi)應(yīng)用最為廣泛，同時(shí)也是最成熟的技術(shù)仍然是基于專(zhuān)家系統(tǒng)的規(guī)則化檢測(cè)技術(shù)。 Tan 為適應(yīng)入侵檢測(cè)的要 求 ，對(duì)傳統(tǒng)的多層前饋網(wǎng)絡(luò)（ MLFF）的訓(xùn)練算法進(jìn)行改進(jìn)，并用于建模用戶(hù)的各個(gè)行為特征。 Cannady和 Mahaffey將 MLP 模型和 SOM/MLP 混合模型應(yīng)用到基于網(wǎng)絡(luò)流量的濫用檢測(cè)模型中。訓(xùn)練完畢后的 BP網(wǎng)絡(luò)即可進(jìn)行濫用入侵檢測(cè)。 1990 年 Schapire 證明一個(gè)概念是弱可學(xué)習(xí)的，其充要條件是強(qiáng)可學(xué)習(xí)的。 第三章神經(jīng)網(wǎng)絡(luò)的 簡(jiǎn)介 。對(duì)實(shí)驗(yàn)數(shù)據(jù)進(jìn)行分析，從而得出一些結(jié)論。入侵檢測(cè)系統(tǒng)（ IDS）由入侵檢測(cè)軟件和硬件組合而成，被認(rèn)為是防火墻之后的第二道安全閘門(mén)，在不影響網(wǎng)絡(luò)性能的情況下能對(duì)網(wǎng)絡(luò)進(jìn)行監(jiān)測(cè)，提供對(duì)內(nèi)部攻擊、外部攻擊和誤操作的實(shí)時(shí)保護(hù)。 2） 數(shù)據(jù)處理 數(shù)據(jù)收集過(guò)程中得到的原始數(shù)據(jù)量一般非常大，而且還存在噪聲。 4） 記錄并報(bào)告檢測(cè)過(guò)程的結(jié)果。其難點(diǎn)在于如何設(shè)計(jì)模式，既能夠表達(dá) “ 入侵 ” 現(xiàn)象，又 不會(huì)將正常的活動(dòng)包含進(jìn)來(lái) 。 根據(jù)數(shù)據(jù)來(lái)源分類(lèi) 根據(jù)入侵檢測(cè)數(shù)據(jù)來(lái)源的不同，可以將入侵檢測(cè)系統(tǒng)分為基于網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)、基于主機(jī)的入侵檢測(cè)系統(tǒng)、混合式入侵檢測(cè)系統(tǒng)及文件完整性檢查式入侵檢測(cè)系統(tǒng)。 入 侵檢測(cè)目前存在的局限性和不足 在入侵檢測(cè)領(lǐng)域內(nèi)應(yīng)用最為廣泛，同時(shí)也是最成熟的技術(shù)仍然是基于專(zhuān)家系統(tǒng)的規(guī)則化檢測(cè)技術(shù)。通常的規(guī)則推導(dǎo)過(guò)程是在精確匹配的基礎(chǔ)上進(jìn)行的，如果某種攻擊手段的執(zhí)行過(guò)程發(fā)生某些細(xì)微的改變，對(duì)于專(zhuān)家系統(tǒng)而言，如果沒(méi)有找到對(duì)應(yīng)的更新規(guī)則，就會(huì)被認(rèn)定為合法行為，產(chǎn)生漏檢情況。 入侵檢測(cè)技術(shù)主要分成兩類(lèi)，即基于異常和基于誤用的入侵檢測(cè)技術(shù)。每個(gè)神經(jīng)元具有 102104 個(gè)突觸與其它神經(jīng)元相連接，形成了錯(cuò)綜復(fù)雜而又靈活多變的神經(jīng)網(wǎng)絡(luò)。髓鞘規(guī)則地分為許多短段，段與段之間的部位被稱(chēng)為郎飛節(jié)。每一個(gè)神經(jīng)元的狀態(tài)按下述規(guī)則受其它神經(jīng)元的制約 Nixwfx Nj ijiji ?????? ?? ,2,1),( 1 ? （ 31） 式中 ijw ——— 神經(jīng)元 i和神經(jīng)元 j 之間突觸連接強(qiáng)度，或稱(chēng)權(quán)值； i? ——— 神經(jīng)元 i的閥值； )(f? 在這里取階躍函數(shù) step )(? ，有 Step(a)=???????? 0a 0a01 式（ 31）也可理解為神經(jīng)元 i的輸入輸出關(guān)系。 圖 32 一般化 MP 模型 12 神經(jīng)網(wǎng)絡(luò)模型 神經(jīng)網(wǎng)絡(luò)是在對(duì)人腦思維方式研究的基礎(chǔ)上，用數(shù)學(xué)方法將其簡(jiǎn)化并抽象模擬反映人腦基本功能的一種并行處理連接網(wǎng)絡(luò)。 圖 33 神經(jīng)網(wǎng)絡(luò)的 4 種典型拓?fù)浣Y(jié)構(gòu) 神經(jīng)網(wǎng)絡(luò)的工作方式 神經(jīng)網(wǎng)絡(luò)的工作過(guò)程主要由兩個(gè)階段組成：一是工作期，此時(shí)各連接權(quán)值固定，計(jì)算單元的狀態(tài)變化，以求達(dá)到穩(wěn)定狀態(tài)；二是學(xué)習(xí)期（自適應(yīng)期或設(shè)計(jì)期），此時(shí)各計(jì)算單元狀態(tài)不變，各連接權(quán)值可修改。它基本上是梯度下降法，所以要求提供大量的例子。訓(xùn)練好的神經(jīng)網(wǎng)絡(luò)應(yīng)能夠?qū)Σ粚儆谟?xùn)練樣本集合的輸入樣本正確識(shí)別或分 類(lèi)，這種現(xiàn)象常稱(chēng)為神經(jīng)網(wǎng)絡(luò)具有良好的推廣性。 3） 神經(jīng)網(wǎng)絡(luò)所獨(dú)有的內(nèi)在并行計(jì)算和存儲(chǔ)特性。不同的神經(jīng)網(wǎng)絡(luò)類(lèi)型和拓?fù)浣Y(jié)構(gòu)，都存在學(xué)習(xí)能力的限制容量。從理論上 講，神經(jīng)網(wǎng)絡(luò)具備并行計(jì)算的強(qiáng)大能力，但是在當(dāng)前計(jì)算機(jī)的存儲(chǔ) 計(jì)算架構(gòu)下來(lái)完全實(shí)現(xiàn)神經(jīng)網(wǎng)絡(luò)的并行計(jì)算潛力，則非常困難。 特征提取 特征提取模塊將數(shù)據(jù)收集模塊中得到的數(shù)據(jù)，分不同報(bào)文類(lèi)型，提取 出不同的檢測(cè)特征并進(jìn)行降維處理。因此，集成神經(jīng)網(wǎng)絡(luò)中個(gè)體網(wǎng)絡(luò)差異越大，集成效果越好。因此，在一開(kāi)始需要實(shí)現(xiàn)從表現(xiàn)型到基因型的映射即編碼工作。對(duì)不同的優(yōu)化問(wèn)題需要使用不同的編碼方法和不同操作 的遺傳算子，它們與所求解的具體問(wèn)題密切相關(guān)，因而對(duì)所求解問(wèn)題的理解程度是遺產(chǎn)算法應(yīng)用成功與否的關(guān)鍵。 19 這樣，根據(jù)不同種類(lèi)的問(wèn)題，必須預(yù)先確定好由目標(biāo)函數(shù)值到個(gè)體適應(yīng)度之間的轉(zhuǎn)化規(guī)則，特別是要預(yù)先確定好當(dāng)目標(biāo)函數(shù)值為負(fù)數(shù)時(shí)的處理方法。 交叉之后子代經(jīng)歷的變異，實(shí)際上是子代基因按小概率擾動(dòng)產(chǎn)生的變化。交叉和變異概率 Pc、 Pm越小，則算法的開(kāi)發(fā)能力越強(qiáng)，越容易探測(cè)到新的超平面，但個(gè)體的平均適應(yīng)值波動(dòng)較大；相反， Pc、 Pm 越小，則算法的開(kāi)發(fā)能力越強(qiáng)，使得較優(yōu)個(gè)體不易被破壞，個(gè)體的平均適應(yīng)值平衡。 2)在 18 個(gè)神經(jīng)網(wǎng)絡(luò)中抽取六個(gè)子集 6321 ,..., ssss 稱(chēng)為父代。硬件采用 2． 4G 奔騰 Ⅳ處理器 ， 1G內(nèi)存。歸一化算法如下： MINMAX MINxx ??? 其中： x是連續(xù)型數(shù)值變量 。 從表 1 顯示的結(jié)果來(lái)看，集成神經(jīng)網(wǎng)絡(luò)對(duì)絕大部分類(lèi)型入侵的檢測(cè)率均達(dá)到 90%以上。從而提出了基于集成神經(jīng)網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)。 29 參考文獻(xiàn) [1]唐正軍 .入侵檢測(cè)技術(shù)導(dǎo)論 [M].北京 :機(jī)械工業(yè)出版社 ,20xx:1. [2]俞永杭 .計(jì)算機(jī)網(wǎng)絡(luò)與信息安全技術(shù) [M]. 北京 :機(jī)械工業(yè)出版社 ,20xx:131， 146. [3]何德全 .入侵檢測(cè)技術(shù) [M]. 北京 :清華大學(xué)出版社 ,20xx:134. [4]唐正軍 ,李建華 .入侵檢測(cè)技術(shù) [M].北京 :清華大學(xué)出版社 ,20xx:134137. [5]李劍 .入侵檢測(cè)技術(shù) [M]. 北京 :高等教育出版社 ,20xx:69. [6]鐘珞