【正文】 從而提出了基于集成神經(jīng)網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)。歸一化算法如下： MINMAX MINxx ??? 其中： x是連續(xù)型數(shù)值變量 。 2)在 18 個(gè)神經(jīng)網(wǎng)絡(luò)中抽取六個(gè)子集 6321 ,..., ssss 稱為父代。 交叉之后子代經(jīng)歷的變異，實(shí)際上是子代基因按小概率擾動(dòng)產(chǎn)生的變化。對(duì)不同的優(yōu)化問題需要使用不同的編碼方法和不同操作 的遺傳算子，它們與所求解的具體問題密切相關(guān)，因而對(duì)所求解問題的理解程度是遺產(chǎn)算法應(yīng)用成功與否的關(guān)鍵。因此，集成神經(jīng)網(wǎng)絡(luò)中個(gè)體網(wǎng)絡(luò)差異越大，集成效果越好。從理論上 講，神經(jīng)網(wǎng)絡(luò)具備并行計(jì)算的強(qiáng)大能力，但是在當(dāng)前計(jì)算機(jī)的存儲(chǔ) 計(jì)算架構(gòu)下來完全實(shí)現(xiàn)神經(jīng)網(wǎng)絡(luò)的并行計(jì)算潛力，則非常困難。 3） 神經(jīng)網(wǎng)絡(luò)所獨(dú)有的內(nèi)在并行計(jì)算和存儲(chǔ)特性。它基本上是梯度下降法，所以要求提供大量的例子。 圖 32 一般化 MP 模型 12 神經(jīng)網(wǎng)絡(luò)模型 神經(jīng)網(wǎng)絡(luò)是在對(duì)人腦思維方式研究的基礎(chǔ)上，用數(shù)學(xué)方法將其簡(jiǎn)化并抽象模擬反映人腦基本功能的一種并行處理連接網(wǎng)絡(luò)。髓鞘規(guī)則地分為許多短段，段與段之間的部位被稱為郎飛節(jié)。 入侵檢測(cè)技術(shù)主要分成兩類，即基于異常和基于誤用的入侵檢測(cè)技術(shù)。 入 侵檢測(cè)目前存在的局限性和不足 在入侵檢測(cè)領(lǐng)域內(nèi)應(yīng)用最為廣泛，同時(shí)也是最成熟的技術(shù)仍然是基于專家系統(tǒng)的規(guī)則化檢測(cè)技術(shù)。其難點(diǎn)在于如何設(shè)計(jì)模式，既能夠表達(dá) “ 入侵 ” 現(xiàn)象，又 不會(huì)將正常的活動(dòng)包含進(jìn)來 。 2） 數(shù)據(jù)處理 數(shù)據(jù)收集過程中得到的原始數(shù)據(jù)量一般非常大，而且還存在噪聲。對(duì)實(shí)驗(yàn)數(shù)據(jù)進(jìn)行分析，從而得出一些結(jié)論。 1990 年 Schapire 證明一個(gè)概念是弱可學(xué)習(xí)的，其充要條件是強(qiáng)可學(xué)習(xí)的。 Cannady和 Mahaffey將 MLP 模型和 SOM/MLP 混合模型應(yīng)用到基于網(wǎng)絡(luò)流量的濫用檢測(cè)模型中。 在入侵檢測(cè)領(lǐng)域內(nèi)應(yīng)用最為廣泛，同時(shí)也是最成熟的技術(shù)仍然是基于專家系統(tǒng)的規(guī)則化檢測(cè)技術(shù)。 I 摘要 入侵檢測(cè)是防火墻的合理補(bǔ)充，它幫助系統(tǒng)對(duì)付網(wǎng)絡(luò)攻擊，擴(kuò)展了系統(tǒng)管理員的安全管理能力，提高了信息安全基礎(chǔ)結(jié)構(gòu)的完整性。入侵檢測(cè)是防火墻的合理補(bǔ)充，它幫助系統(tǒng)對(duì)付網(wǎng)絡(luò)攻擊，擴(kuò)展了系統(tǒng)管理員的安全管理能力，提高了信息安全基礎(chǔ)結(jié)構(gòu)的完整性。進(jìn)一步地， Ghosh 等人采用另一種神經(jīng)網(wǎng)絡(luò)模型 —— Elman網(wǎng)絡(luò)，取得了零虛警概率下 77%的檢測(cè)概率。 神經(jīng)網(wǎng)絡(luò)具有概括和抽象能力，對(duì)不完整輸入信息具有一定程度的容錯(cuò)處理能力。把集成學(xué)習(xí)原理和遺傳算法結(jié)合起來，從而來論述基于遺傳算法的集成神經(jīng)網(wǎng)絡(luò)檢測(cè)方法。主要分為四個(gè)階段：數(shù)據(jù)收集、數(shù)據(jù)處理、數(shù)據(jù)分析和響應(yīng)處理。 1） 誤用入侵檢測(cè) 誤用入侵檢測(cè)（ misuse intrusion detection）又稱為基于特征的入侵檢測(cè) 。如果這兩種系統(tǒng)能夠無縫地結(jié)合起來部署在網(wǎng)絡(luò)內(nèi)，這會(huì)構(gòu)架一套強(qiáng)大的、立體的主動(dòng)防御體系。 人工神經(jīng)網(wǎng)絡(luò)是模擬人腦加工、存儲(chǔ)和處理信息機(jī)制而提出的一 種智能化信息處理技術(shù)，它是由大量簡(jiǎn)單的處理單元（神經(jīng)元）進(jìn)行高度互連而形成的復(fù)雜網(wǎng)絡(luò)系統(tǒng)。胞體是神經(jīng)元的袋子額中心，它本身又由細(xì)胞核、內(nèi)質(zhì)網(wǎng)和高爾基體組成。不同的系統(tǒng)對(duì)活化值作了不同的假設(shè)，它可以是連續(xù)的，也可以是離散的。神經(jīng)網(wǎng)絡(luò)的學(xué)習(xí)規(guī)則有有導(dǎo)師學(xué)習(xí)和無導(dǎo)師學(xué)習(xí)兩大類，概括如下 1） 糾錯(cuò)規(guī)則 13 糾錯(cuò)規(guī)則基于梯度下降法，因此不能保證得到全局最優(yōu)解，同時(shí)要求大量的訓(xùn)練樣本，因此收斂速度慢；糾錯(cuò)規(guī)則對(duì)樣本的表示次序變化比較敏感，這就像導(dǎo)師必須認(rèn)真?zhèn)湔n，精心組織才能有效地讓學(xué)生學(xué)習(xí)。 2） 神經(jīng)網(wǎng)絡(luò)具備高度的學(xué)習(xí)和自適應(yīng)能力。在這一點(diǎn)上，神經(jīng)網(wǎng)絡(luò)往往力不從心。集成學(xué) 習(xí)通常分為兩個(gè)步驟，首先，采用單個(gè)學(xué)習(xí)算法對(duì)樣本分別進(jìn)行訓(xùn)練，然后，對(duì)單個(gè)網(wǎng)絡(luò)的輸出按某種方法進(jìn)行集成，得到最后結(jié)果。 18 對(duì)一個(gè)需要進(jìn)行優(yōu)化計(jì)算的實(shí)際應(yīng)用問題，一般可按下述步驟來構(gòu)造求解該問題的遺傳算法。 交叉運(yùn)算使用單點(diǎn)交叉算子 。 初始種群中的個(gè)體產(chǎn) 生方法是先把某一種攻擊中的一條樣本數(shù)據(jù)送入 18 個(gè)神經(jīng)網(wǎng)絡(luò)，計(jì)算每個(gè)網(wǎng)絡(luò)的輸出，這些輸出與驗(yàn)證集相比較，算出每一個(gè)個(gè)體網(wǎng)絡(luò)的泛化誤差 ，取泛化誤差最大的一個(gè)神經(jīng)網(wǎng)絡(luò)為 0，其余 17 個(gè)神經(jīng)網(wǎng)絡(luò)為 1，作為第一 條染色體 ；取泛化誤差較大的兩個(gè)神經(jīng)網(wǎng)絡(luò)為 0，其余 16 個(gè)神經(jīng)網(wǎng)絡(luò)為 1，作為第二 條染色體 ；依此方法產(chǎn)生五 條染色體 。實(shí)驗(yàn)中，我們首先對(duì)數(shù)據(jù)集進(jìn)行了預(yù)處理。 通過表 2 說明，使用遺傳算法的選擇集成與目前流行的多數(shù)選舉算法和最小平均值算 28 法相比有更好的結(jié)果。首先，采用集成神經(jīng)網(wǎng)絡(luò)極大地提高神經(jīng)網(wǎng)絡(luò)的泛化能力。 25 如下 圖 所示 圖 52 數(shù)據(jù)導(dǎo) 入 訓(xùn)練過程 單個(gè)神經(jīng)網(wǎng)絡(luò)對(duì)四種攻擊類型的 訓(xùn)練過程 如下 圖 53 所示 。 5)在父代和子代組成的種群中，選取適應(yīng)度較大的一半個(gè)體作為新的種群，進(jìn)行交叉操作，形成第二代個(gè)體。 2） T：遺傳運(yùn)算的終止進(jìn)化代數(shù)，一般取為 100~500。 1） 染色體編碼方法 基本遺傳算法使用固定長(zhǎng)度的二進(jìn)制符號(hào)串來表示群體中的個(gè)體，其等基因是由二值符號(hào)集 {0， 1}所組成的。這種方法由于仿效生物的進(jìn)化與遺傳，根據(jù)生存競(jìng)爭(zhēng)和優(yōu)勝劣汰的原則，借助復(fù)制、交換、變異等操作，使要解決的問題一步步逼近最優(yōu)解和近優(yōu)解。 圖 41 集成神經(jīng)網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)體系結(jié)構(gòu) 系統(tǒng)的工作原理是 ：數(shù)據(jù)采集模塊捕獲所有流經(jīng)系統(tǒng)監(jiān)測(cè)網(wǎng)段上的網(wǎng)絡(luò)數(shù)據(jù)流，把它 們送入特征提取模塊。因此，存儲(chǔ)器和計(jì)算器之間的傳輸帶寬稱為制約計(jì)算機(jī)性能的瓶頸。 神經(jīng)網(wǎng)絡(luò)的收斂性是指神經(jīng)網(wǎng)絡(luò)的訓(xùn)練算法在有限次迭代之后可收斂到正確的權(quán)值或權(quán)向量。通常，人們較多地考慮神經(jīng)網(wǎng)絡(luò)的互連結(jié)構(gòu)，包括四種典型結(jié) 構(gòu)如圖 33 所是 ，分別是 1） 前饋網(wǎng)絡(luò)。從生物控制論的觀點(diǎn)看，神經(jīng)元作為控制和信息處理的單元，具有常規(guī)的兩種工作狀態(tài)，興奮和抑制狀態(tài)，神經(jīng)沖動(dòng)眼神經(jīng)傳導(dǎo)的速度在1~150m/s 之間，在相鄰兩次沖動(dòng)之間需要一個(gè)時(shí)間間隔，即為不應(yīng)期。 9 3 神經(jīng)網(wǎng)絡(luò)簡(jiǎn)介 神經(jīng)網(wǎng)絡(luò)的全稱是人工神經(jīng)網(wǎng)絡(luò)（ artificial neural work， ANN）是在現(xiàn)代神經(jīng)生物學(xué)研究成果的基礎(chǔ)上發(fā)展起來的一種模擬人腦信息處理機(jī)制的網(wǎng)絡(luò)系統(tǒng)，他不但具有處理數(shù)值數(shù)據(jù)的一般計(jì)算能力，而且還具有處理知識(shí)的思維、學(xué)習(xí)和記憶能力 [6]。 首先，傳統(tǒng)的專家檢測(cè)技術(shù)需要維護(hù)一個(gè)復(fù)雜而龐大的規(guī)則庫。異常入侵檢測(cè)的難題在于如何建立 “ 活動(dòng)簡(jiǎn)檔 ” 以及如何設(shè)計(jì)統(tǒng)計(jì)算法，從而不把正常的操作誤認(rèn)為 “ 入侵 ” 或忽略真正的 “ 入侵 ” 行為。 4） 響應(yīng)處理 當(dāng)發(fā)現(xiàn)入侵時(shí)，采取措施進(jìn)行防護(hù)、保留入侵證據(jù)并通知管理員。一般它位于路由器之后，為進(jìn)出網(wǎng)絡(luò)的連接提供安全訪問控制。通過研究，證明集成神經(jīng)網(wǎng)絡(luò)可以提高系統(tǒng)的泛化能力。實(shí)驗(yàn)結(jié)果表明，該模型可以從正常網(wǎng)絡(luò)流量中識(shí)別出諸如表示 ISS 和 Satan掃描、 SYN Flood 攻擊活動(dòng)的數(shù)據(jù)包。人工神經(jīng)網(wǎng)絡(luò)是模擬人腦加工、存儲(chǔ)和處理信息機(jī)制而提出的一種智能化信息處理技術(shù)，它是由大量簡(jiǎn)單的處理單元（神經(jīng)元 ）進(jìn)行高度互連而形成的復(fù)雜網(wǎng)絡(luò)系統(tǒng)。 關(guān)鍵詞 ： 網(wǎng)絡(luò)安全 入侵檢測(cè) 神經(jīng)網(wǎng)絡(luò) 集成學(xué)習(xí) 遺傳 算法 II Abstract Intrusion detection is a logical addition to firewall, it helps the system to deal with work attacks, expanded the system administrator39。一般它位于路由器之后，為進(jìn)出網(wǎng)絡(luò)的連接提供安全訪問控制。 Ghosh 和 Schwartzbard 采用基于多層感知器（ MLP）的異常檢測(cè)模型，通過對(duì)程序執(zhí)行中系統(tǒng)調(diào)用序列記錄的分析，來監(jiān)視特定的程序的運(yùn)行狀態(tài)。所采用方法是首先選擇一組關(guān)鍵詞表，然后在會(huì)話數(shù)據(jù)中對(duì)各個(gè)關(guān)鍵詞進(jìn)行計(jì)數(shù)并形成 n維的輸入特征矢量（ n為關(guān)鍵詞個(gè)數(shù)）。 第 四 章 基于 集成 神經(jīng)網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng) 。關(guān)于 “ 入侵檢測(cè) ” 的定義為：入侵檢測(cè)是對(duì)企圖入侵、正在進(jìn)行的入侵或者已經(jīng)發(fā)生的入侵進(jìn)行識(shí)別的過程。 入侵檢測(cè)系統(tǒng)的分類 入侵檢測(cè)系統(tǒng)可以按不同的方法進(jìn)行分類，其中，按檢測(cè)技術(shù)、數(shù)據(jù)來源、體系結(jié)構(gòu)及時(shí)效性進(jìn)行分類是應(yīng)用最多的分類方法。 2） 基于網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng) 基于網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)（ Networkbased Intrusion Detection System， NIDS）一般安裝在需要保護(hù)的網(wǎng)段中，實(shí)時(shí)監(jiān)視網(wǎng)段中傳輸?shù)母鞣N數(shù)據(jù)包，并對(duì)這些數(shù)據(jù)包進(jìn)行分析和檢測(cè)，如果發(fā)現(xiàn)入侵行為或可疑事件，入侵檢測(cè)系統(tǒng)就會(huì)發(fā)出報(bào)警，甚至切斷網(wǎng)路連接。因?yàn)樗魂P(guān)注單個(gè)異常事件的出現(xiàn)與否，而對(duì)事件狀態(tài)隨時(shí)間發(fā)生的變化情況無法處理。胞體是神經(jīng)元的代謝中心， 每個(gè)細(xì)胞體有大量的樹突（輸入端）和軸突（輸出端），不同神經(jīng)元的軸突和樹突互連的結(jié)合部為突觸，突觸決定神經(jīng)元之間的連接強(qiáng)度和作用性質(zhì)，而每個(gè)神經(jīng)元胞體本身則是一非線性輸入、輸出單元。若將閥值也看作一個(gè)權(quán)值，則式（ 31）可改寫為 11 Nixwfx Nj jiji ，???????? ?? ,2,1),( 0 （ 32） 此時(shí)有 ii xw ???00 ， 0xw =1，這就是最初的 MP 模型 . 但是，這種簡(jiǎn)單的 MP 模型沒有考慮時(shí)間整合、不應(yīng)期、延時(shí)和數(shù)模轉(zhuǎn)換等作用。 學(xué)習(xí)是神 經(jīng)網(wǎng)絡(luò)最重要的一個(gè)能力，學(xué)習(xí)算法是神經(jīng)網(wǎng)絡(luò)的核心問題之一。神經(jīng)網(wǎng)絡(luò)以其獨(dú)特的結(jié)構(gòu)和處理信息的方法，在許多實(shí)際應(yīng)用領(lǐng)域中取得了顯著的成效 [9]。 2） 需要解決神經(jīng)網(wǎng)絡(luò)的解釋能力不足的問題。這13 個(gè)特征組成了入侵檢測(cè)中的一條特征，用它們可以描述網(wǎng)絡(luò)中出現(xiàn)的攻擊行為。初代種群產(chǎn)生之后，按照適者生存和優(yōu)勝劣汰的原理，逐代演化產(chǎn)生出越來越好的近視解。 選擇運(yùn)算使用比例選擇算子 。 個(gè)體網(wǎng)絡(luò)的構(gòu)建 構(gòu)建三種不同類型的神經(jīng)網(wǎng)絡(luò)即 BP 神經(jīng)網(wǎng)絡(luò)、 RBF 神經(jīng)網(wǎng)絡(luò)和自組織競(jìng)爭(zhēng)人工神經(jīng)網(wǎng)絡(luò) ，每一類按照隱含層神經(jīng)元個(gè)數(shù)和學(xué)習(xí)率的不同分為 6 個(gè)神經(jīng)網(wǎng)絡(luò)，共計(jì) 18 個(gè)神經(jīng)網(wǎng)絡(luò)，如 下圖 44 所示 。 圖 51 神經(jīng)網(wǎng)絡(luò)工具箱 實(shí)驗(yàn)數(shù)據(jù)源 實(shí)驗(yàn)的數(shù)據(jù) 取自 KDDCUP09 數(shù)據(jù)集。出現(xiàn)這種現(xiàn)象的原因可能與神經(jīng)網(wǎng)絡(luò)訓(xùn)練的樣本數(shù)有關(guān)， land 攻擊在訓(xùn)練庫中占的比例最大，而teardrop 攻擊在訓(xùn)練庫中占的比例最小。 它與平均值法和多數(shù)選舉法比較，更適合于大規(guī)模神經(jīng)網(wǎng)絡(luò)的集成。 27 圖 54 集成神經(jīng)網(wǎng)絡(luò) 訓(xùn)練過程 部分程序（ BP 和 RBF）如 圖 55。 網(wǎng)絡(luò) 的集成輸出 在此采用簡(jiǎn)單平均法 ，即對(duì)所選取的個(gè)體神經(jīng)網(wǎng)絡(luò)的輸出值作簡(jiǎn)單的算術(shù)平均，作為集成神經(jīng)網(wǎng)絡(luò)的總輸出，通過對(duì)總的輸出值選擇恰當(dāng)?shù)拈撝?，判斷網(wǎng)絡(luò)是否存在入侵行為。 這 4 個(gè)運(yùn)行參數(shù)對(duì)遺傳算法的求解結(jié)果和求解效率都有一定的影響。 2） 個(gè)體適應(yīng)度評(píng)價(jià) 基本遺傳算法按與個(gè)體適應(yīng)度成正比的概率來決定當(dāng)前群體中每個(gè)個(gè)體遺傳到下一代群體中的機(jī)會(huì)多少。每個(gè)個(gè)體實(shí)質(zhì)上是染色體（ chromosome）帶有特征的實(shí)體。如果集成神經(jīng)網(wǎng)絡(luò)認(rèn)為是一種攻擊行為 ，它將向用戶報(bào)警。此種并行計(jì)算模式所具有的潛在高速計(jì)算能力對(duì)于入侵檢測(cè)來說，就意味著在很短時(shí)間內(nèi)，能夠處理更多的檢測(cè)規(guī)則或者特征值，同時(shí)也意味著在更短時(shí)間內(nèi)發(fā)現(xiàn)入侵行為，減少可能的系統(tǒng)損失。吸引域越大，網(wǎng)絡(luò)從部分信息恢復(fù)全部信息的能力越大，表明網(wǎng)絡(luò)的容錯(cuò)性越大。相互結(jié)合網(wǎng)絡(luò)屬于網(wǎng)絡(luò)結(jié)構(gòu)，任意兩個(gè)神經(jīng)元之間可能有連接； 4） 混合型網(wǎng)絡(luò)。 人工神經(jīng)元模型 根據(jù)生物神經(jīng)元的結(jié)構(gòu)和功能，從 20 世紀(jì) 40 年代開始，人們提出了大量的人工神經(jīng)元模型，其中影響較大的是 1943 年美國(guó)心理學(xué)家 McCulloch 和數(shù)學(xué)家 Pitts 共同提出的形式神經(jīng)元模型通常稱之為 MP 模型。從控制理論的觀點(diǎn)來看，神經(jīng)網(wǎng)絡(luò)處理非線性的能力是最有意義的；從系統(tǒng)辨識(shí)和模式識(shí)別的角度考慮，神經(jīng)網(wǎng)絡(luò)跟蹤和識(shí)別非線性的能力是其最大的優(yōu)勢(shì)。更為嚴(yán)重的后果是造成安全管理員虛假的安全表象，導(dǎo)致重大的安全漏洞和隱患。這種技術(shù)正逐漸進(jìn)入成熟應(yīng)用階段。 2） 分析該信息，試圖尋找入侵活動(dòng)的特征。入侵檢測(cè)是防火墻的合理補(bǔ)充，它幫助系統(tǒng)對(duì)付網(wǎng)絡(luò)攻擊，擴(kuò)展了系統(tǒng)管理員的安全管理能力，提高了信息安全 基礎(chǔ)結(jié)構(gòu)的完整性。 對(duì)研究入侵檢測(cè)的必要性進(jìn)行說明和介紹相關(guān)的概念以及入侵檢測(cè)工作的基本原理和工作模式。實(shí)驗(yàn)結(jié)果表 明，能夠 較 好地檢測(cè)到單位時(shí)間不同頻率的口令試探行為。 國(guó)內(nèi)外研究現(xiàn)狀 對(duì)于神經(jīng)網(wǎng)絡(luò)技術(shù)在入侵檢測(cè)中的應(yīng)用，前人已經(jīng)做了若干研究工作。如何能在 在不影響網(wǎng)絡(luò)性能的情況下能對(duì)網(wǎng)絡(luò)進(jìn)行監(jiān)測(cè)，提供對(duì)內(nèi)部攻擊、外部攻擊和誤操作的實(shí)時(shí)保護(hù) ， 是 網(wǎng)絡(luò)安全的重要課題。 研究的背景和意義 隨著人類社會(huì)對(duì) Inter需求的日益增長(zhǎng)