【正文】 ，網(wǎng)絡(luò)安全逐漸成為 Inter及各項(xiàng)網(wǎng)絡(luò)服務(wù)和應(yīng)用進(jìn)一步 發(fā)展所需解決的關(guān)鍵問(wèn)題，尤其是從 1993年以來(lái)，隨著 Inter/Intra技術(shù)日趨成熟，通過(guò) Inter進(jìn)行的各種電子商務(wù)和電子政務(wù)活動(dòng)日益增多，很多組織和企業(yè)都建立了自己的內(nèi)部網(wǎng)絡(luò)并將之與 Inter聯(lián)通。 Debar 等人采用遞歸型（ Recurrent） BP 網(wǎng)絡(luò)，在對(duì)所收集的審計(jì)記錄進(jìn)行分析的基礎(chǔ)上，對(duì)系統(tǒng)各用戶的行為方式進(jìn)行建模，并同時(shí)結(jié)合傳統(tǒng)的專家系 統(tǒng)進(jìn)行入侵檢測(cè)。 Bonifacio 3 等人首先構(gòu)建網(wǎng)絡(luò) 會(huì)話 的數(shù)據(jù)矢量，并對(duì)數(shù)據(jù)負(fù)載中的可疑特征字符串進(jìn)行編碼，連同目標(biāo)端口號(hào)一起構(gòu)成 BP 網(wǎng)絡(luò)的輸入特征矢量，送入神經(jīng)網(wǎng)絡(luò)進(jìn)行訓(xùn)練。還對(duì)入侵檢測(cè)系統(tǒng)的分類進(jìn)行了介紹并提出入侵檢測(cè)目前存在的局限性和未來(lái)的發(fā)展。入侵檢測(cè)技術(shù)是一種動(dòng)態(tài)的網(wǎng)絡(luò)檢測(cè)技術(shù)，主要用于識(shí)別對(duì)計(jì)算機(jī)和網(wǎng)絡(luò)資源的惡意使用行為，包括來(lái)自外部用戶的入侵行為和內(nèi)部用戶的未經(jīng)授權(quán)活動(dòng)。 3） 自動(dòng)對(duì)檢測(cè)到的行為作出響應(yīng)。協(xié)議分析大大減少了計(jì)算量，即使在高負(fù)載的高速網(wǎng)絡(luò)上，也能逐個(gè)分析所有的數(shù)據(jù)包。 其次，基于專家系統(tǒng)的檢測(cè)方法缺乏足夠的靈活性來(lái)檢測(cè)已知入侵方式的變種情況。 神經(jīng)網(wǎng)絡(luò)模型 生物神經(jīng)元模型 正常人腦是由大約 1011~1012 個(gè)神經(jīng)元組成的，神經(jīng)元是腦組織的基本單元。 設(shè)有 N 個(gè)神經(jīng)元互聯(lián)，每個(gè)神經(jīng)元的活化狀態(tài) ix （ i=1， 2， 3， ? ， N）取 0 或 1，分別代表抑制和興奮。層次型網(wǎng)絡(luò)和網(wǎng)狀結(jié)構(gòu)網(wǎng)絡(luò)的一種結(jié)合。神經(jīng)網(wǎng)絡(luò)的高度魯棒性使得網(wǎng)絡(luò)中的神經(jīng)元或突觸遭到破壞時(shí)網(wǎng)絡(luò)仍然具有學(xué)習(xí)和記憶能力，從而使網(wǎng)絡(luò)表現(xiàn)出高度的自組織性。 目前，神經(jīng)網(wǎng)絡(luò)技術(shù)在入侵檢測(cè)中的應(yīng)用還存在以下缺陷和不足： 1） 需要解決神經(jīng)網(wǎng)絡(luò)對(duì)大容量入侵行為類型的學(xué)習(xí)能力問(wèn)題。如果發(fā)現(xiàn)了新的入侵行為 ，可以把它加入到攻擊樣本庫(kù)中實(shí)現(xiàn)對(duì)攻擊樣本庫(kù)的更新。染色體作為遺傳物質(zhì)的主要載體，即多個(gè)基因的集合，其內(nèi)部表現(xiàn) (即基因型 )是某種基因組合，它決定了個(gè)體形狀的外部表現(xiàn)。為正確計(jì)算這個(gè)概率，這里要求所有個(gè)體的適應(yīng)度必須為正數(shù)或零。種群規(guī)模過(guò)小將影響搜索范圍，從而得不到最優(yōu)解；種群規(guī)模過(guò)大則搜索時(shí)間長(zhǎng)，搜索效率低。 23 5 仿真 實(shí)驗(yàn)分析 matlab 神經(jīng)網(wǎng)絡(luò)工具箱 實(shí)驗(yàn)中軟件采用 Windows XP、 Matlab。 圖 55 matlab 程序 仿真實(shí)驗(yàn)數(shù)據(jù) 分析 表 51 集成神經(jīng)網(wǎng)絡(luò)與單個(gè)最佳神經(jīng)網(wǎng)絡(luò)結(jié)果的比較 類型 單個(gè)神經(jīng)網(wǎng)絡(luò)檢測(cè)率 (％ ) 集成神經(jīng)網(wǎng)絡(luò)檢測(cè)率 (％ ) smurf land DOS teardrop 平均 表 52 各類集成神經(jīng)網(wǎng)絡(luò)學(xué)習(xí)算法檢測(cè)率的比較 算 法 檢測(cè)率 (％ ) 遺傳算法 Luca Didaci 研究的多數(shù)投票法，平均算法和置信函數(shù)組合 [12] Sfinivas Makkamala 研究的最小平均誤差值 [13] 計(jì)算公式：檢測(cè)率 =正確檢測(cè)數(shù)據(jù)包數(shù) /實(shí)際攻擊數(shù)據(jù)包數(shù)。 由于集成神經(jīng)網(wǎng)絡(luò)克服了單個(gè)神經(jīng)網(wǎng)絡(luò)的缺陷，能夠較好地實(shí)現(xiàn)模式分類的智能化，它在網(wǎng)絡(luò)安全中的應(yīng)用將會(huì)越來(lái)越廣泛。在所有的入侵中 land 攻擊的檢測(cè)率最高，而 teardrop 攻擊的檢測(cè)率最低。 在 MATLAB 中，使用其外帶的神經(jīng)網(wǎng)絡(luò)工具箱，新建一個(gè)基于神經(jīng)網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)的仿真，神經(jīng)網(wǎng)絡(luò)工具箱 如圖 51 所示 。 基于遺傳算法的集成神經(jīng)網(wǎng)絡(luò)檢測(cè)方法 算法思想與步驟 在此采用的集成神經(jīng)網(wǎng)絡(luò)對(duì)網(wǎng)絡(luò)入侵的學(xué)習(xí)分為兩個(gè)步驟，首先，采用單個(gè)神經(jīng)網(wǎng)絡(luò)分別對(duì)樣本進(jìn)行訓(xùn)練，然后，通過(guò)遺傳算法尋找那些差異較大的神經(jīng)網(wǎng)絡(luò)進(jìn)行集成，得到最后的結(jié)果 。 3） 遺傳算子 基本遺 傳算法使用下述三種遺傳算子。由于仿照基因編碼的工作很復(fù)雜，我們往往進(jìn)行簡(jiǎn)化，如二進(jìn)制編碼。在綜合權(quán)衡各種攻擊手段后，本模型選取的入侵特征主要包括協(xié)議碼、被監(jiān)控網(wǎng)絡(luò) 數(shù)據(jù)采集 人機(jī)界面 特征提取 KPCA 遺傳算法集成神經(jīng)網(wǎng)絡(luò)分類引擎 攻擊樣本庫(kù) 16 源地址 、 目的地址 、 源端口 、 目的端口 、 標(biāo)志位 、 數(shù)據(jù)報(bào)的類型碼 、 數(shù)據(jù)報(bào)的代碼 、 報(bào)文頭部長(zhǎng)度、數(shù)據(jù)報(bào)長(zhǎng)度 、 報(bào)文數(shù)據(jù)段內(nèi)容 (取前 3O 個(gè)字節(jié) )、端口、數(shù)據(jù)報(bào)頭部校驗(yàn)和。面對(duì)現(xiàn)實(shí)環(huán)境中數(shù)以千計(jì)的不同攻擊特征，要做到完 整識(shí)別，還需要進(jìn)行進(jìn)一步的研究工作。 神經(jīng)網(wǎng)絡(luò)具有以下優(yōu)點(diǎn)： 1）具有 很強(qiáng)的魯棒性和容錯(cuò)性，這是因?yàn)樾畔⑹欠植即鎯?chǔ)于網(wǎng)絡(luò)內(nèi)的神經(jīng)元； 2）并行處理方法，人工神經(jīng)元網(wǎng)絡(luò)在結(jié)構(gòu)上是并行的 ，而且網(wǎng)絡(luò)的各個(gè)單元可以同時(shí)進(jìn)行類似的處理過(guò)程，使得計(jì)算加快； 3）自學(xué)習(xí)、自組織、自適應(yīng)性，神經(jīng)元之間的連接多種多樣，各元之間連接強(qiáng)度具有一定可塑性，使得神經(jīng)網(wǎng)絡(luò)可以處理不確定或不知道的系統(tǒng) ； 4） 可以充分逼近任意復(fù)雜的非線性關(guān)系； 5）具有很強(qiáng)的信息綜合能力，能同時(shí)處理定量和定性的信息，能很好的協(xié)調(diào)多種輸入信息關(guān)系，適用于處理 復(fù)雜非線性和不確定對(duì)象。前一階段較快，各單元的狀態(tài)也稱短期記憶，后一階段慢得多，權(quán)值及連接方式也稱長(zhǎng)期記憶。 Xj 為第 j 個(gè)神經(jīng)元向第 i 個(gè)神經(jīng)元的輸入； xi 為第 i 個(gè)神經(jīng)元的輸出； )(1?? ?Nj ijij xw ?為第 i 個(gè)神經(jīng)元凈輸入。神經(jīng)元有胞體、樹(shù)突和軸突構(gòu)成。 另一方面，如果采用更為通用的檢測(cè)規(guī)則，則有可能發(fā)生將合法用戶行為錯(cuò)誤認(rèn)定為非法行為 的虛假現(xiàn)象，更進(jìn)一步分析可知，專家系統(tǒng)的檢測(cè)方法對(duì)在時(shí)間上分散的攻擊活動(dòng)，或者是由多用戶發(fā)起的協(xié)同攻擊行為，也是很難奏效的。 1） 基于主機(jī)的入侵檢測(cè)系統(tǒng) 基于主機(jī)的入侵檢測(cè)系統(tǒng)（ Hostbased Intrusion Detection System， HIDS）通常是安裝在被保護(hù)的主機(jī)上，主要是對(duì)改主機(jī)的網(wǎng)絡(luò)實(shí)時(shí)連接以及對(duì)系統(tǒng)審計(jì)日記進(jìn)行分析和檢查，當(dāng)發(fā)現(xiàn)可疑行為和安全違規(guī)事件時(shí)，系統(tǒng)就會(huì)像管理員報(bào)警，以便采取措施。 數(shù)據(jù) 收集 數(shù)據(jù) 處理 數(shù)據(jù) 分析 響應(yīng) 處理 入侵檢測(cè)系統(tǒng) 具有脆弱性的系統(tǒng)和網(wǎng)絡(luò) 攻擊者 包 圖 21 入侵檢測(cè)系統(tǒng)的基本原理 6 入侵檢測(cè)系統(tǒng)的基本工作模式可以用如圖 22 所示的圖形來(lái)表示。 入侵檢測(cè)的相關(guān)概念 美國(guó)國(guó)家安全通信委員會(huì)（ NSTAC）下屬的入侵檢測(cè)小組（ IDSG）在 1997 年給出的關(guān)于 “ 入侵 ” 的定義為：入侵是對(duì)信息系統(tǒng)的非授權(quán)訪問(wèn)以及（或者）未經(jīng)許 可在信息系統(tǒng)中進(jìn)行的操作。本章首先介紹了 生物神經(jīng)元模型從而引 出人工神經(jīng)元模型，進(jìn)而對(duì)整個(gè)神經(jīng)網(wǎng)絡(luò)進(jìn)行了簡(jiǎn)介，并提出把神經(jīng)網(wǎng)絡(luò)應(yīng)用于入侵檢測(cè)系統(tǒng)。 MIT的 Lippmann和 Cunningham 明確提出采用關(guān)鍵詞和神經(jīng)網(wǎng)絡(luò)相結(jié)合的方法進(jìn)行網(wǎng)絡(luò)入侵檢測(cè)并針對(duì) Tel 服務(wù)對(duì)話進(jìn)行了相關(guān)研究。 Hogluand 等人提出了基于一維 SOM（自組織特征映射）網(wǎng)絡(luò)的異常檢測(cè)算法對(duì)用戶行為特征進(jìn)行判斷，并建立了原型系統(tǒng)。在網(wǎng)絡(luò)安全技術(shù)中，防火墻是第一道防御屏障。s security management capabilities, improve the integrity of the information security infrastructure. Intrusion detection technology is a dynamic work detection technology, mainly used to identify puters and work resources on the malicious use of behavior, including acts of invasion from external users and internal users without the mandated activities. In order to improve detection of intrusion detection system, this paper to understand the concept of information security and intrusion detection based on analysis of neural work model, using a single neural work training samples, respectively, and then, through the geic algorithm to find large differences in the neural work that integration, and research models are applied to intrusion detection system, the corresponding processing program, get the final results. Keywords: work security intrusion detection neural work Integrated Learning geic arithmetic 1 1 引言 信息使用比例的加大， 使得 社會(huì)對(duì)信息的真實(shí)程度，保密程度的要求不斷提高，而網(wǎng)絡(luò)化又使因虛假、泄密引起的信息危害程度 越來(lái)越大。從本質(zhì)上講，人工神經(jīng)網(wǎng)絡(luò)實(shí)現(xiàn)的是一種從輸入到輸出的映射關(guān)系，其輸出值由輸入樣本、神經(jīng)元間的互連權(quán)值以及傳遞函數(shù)所決定。同時(shí) Cannady等人提出 SOM/MLP 混合模型，來(lái)檢測(cè)諸如 FTP 口令試探的時(shí)間上分散的攻擊行為。 論文結(jié)構(gòu)安排 本文共分為 八 章，第一章引言，概要的給出與本課題相關(guān)的網(wǎng)絡(luò)安全的基本概念，目前在 IDS 領(lǐng)域的國(guó)內(nèi)外的研究概況，并引出將神經(jīng)網(wǎng)絡(luò)應(yīng)用于入侵檢測(cè)當(dāng)中。但一般網(wǎng)絡(luò)系統(tǒng)必須對(duì)外開(kāi)放一些應(yīng)用端口，如 80、 110 等，這時(shí)防火墻的不足就會(huì)充分體現(xiàn)出來(lái)，并且防火墻對(duì)內(nèi)部攻擊無(wú)能為力；同時(shí)，防火墻絕對(duì)不是堅(jiān)不可摧的，即使是某些防火墻本身也會(huì)引起一些安全問(wèn)題。常用的措施包括切斷網(wǎng)絡(luò)連接、記錄日志、通過(guò)電子郵 件或電話通知管理員等。 3） 協(xié)議分析 系統(tǒng)日記 原始數(shù)據(jù) 包 檢測(cè)原理 異常入侵檢測(cè) 誤用入侵檢測(cè) 報(bào)警 報(bào)警并采取相應(yīng)措施 周期性檢測(cè) 實(shí)時(shí)檢測(cè) 圖 22 入侵檢測(cè)系統(tǒng)的基本工作模式 7 協(xié)議分析是在傳統(tǒng)模式匹配技術(shù)基礎(chǔ)之上發(fā)展起來(lái)的一種新的入侵檢測(cè)技術(shù)。面對(duì)不斷變化的攻擊手段和多樣復(fù)雜的變種情況，該規(guī)則庫(kù)需要進(jìn)行隨時(shí)隨地的更新升級(jí)。 人工神經(jīng)網(wǎng)絡(luò)模仿人腦神經(jīng)的活動(dòng)，力圖建立腦神經(jīng)活動(dòng)的數(shù)學(xué)模型。由于神經(jīng)元結(jié)構(gòu)的可塑性，突觸的傳遞作用可增強(qiáng)、減弱和飽和，因此細(xì)胞具有相應(yīng)的學(xué) 習(xí)功能、遺忘和疲勞效應(yīng)（飽和效應(yīng)）。神經(jīng)元分層排列，組成輸入層、隱含層和輸出層，每層只能夠接受前一層神經(jīng)元的輸入； 2） 反饋網(wǎng)絡(luò)。神經(jīng)網(wǎng)絡(luò)良好的容錯(cuò)性保證網(wǎng)絡(luò)將不完整的、無(wú)損的、畸變的輸入樣本恢復(fù)成完整的原型。而在神經(jīng)網(wǎng)模型中，信息的存儲(chǔ)和信息的處理計(jì)算從本質(zhì)上是合二為一的。特征提取模塊通過(guò)協(xié)議分析技術(shù) ，提取出代表網(wǎng)絡(luò)數(shù)據(jù)流的特征向量，然后，采用核主成分分析 (KFCA)對(duì)特征向量進(jìn)行降維處理，把降維后的向量送入集成神經(jīng)網(wǎng)絡(luò)分類引擎，作為遺傳算法集成神經(jīng)網(wǎng)絡(luò)分類引擎的輸入向量。遺傳算法的提出和發(fā)展給優(yōu)化搜索技術(shù)帶來(lái)了新的思想及活力。初始群體中各個(gè) 個(gè)體的基因值可用均勻分布的隨機(jī)數(shù)來(lái)生成。 3） pc：交叉概率，一般取為 ~。 6)重復(fù)前面的 4， 5 步操作。 26 圖 53 單個(gè) 神經(jīng)網(wǎng)絡(luò)訓(xùn)練過(guò)程 首先，獨(dú)立訓(xùn)練 18 個(gè)神經(jīng)網(wǎng)絡(luò)，其中的 6 個(gè) BP 網(wǎng)絡(luò)和 6 個(gè) RBF 網(wǎng)絡(luò)都含有一個(gè)隱含層，隱含層神經(jīng)元數(shù)分別為 4， 5， 6 個(gè) , 學(xué)習(xí)率分別為 和 ，自組織競(jìng)爭(zhēng)人工神經(jīng)網(wǎng)絡(luò)含一個(gè)競(jìng)爭(zhēng)層，競(jìng)爭(zhēng)層神經(jīng)元數(shù)分別為 4， 5， 6 個(gè)，學(xué)習(xí)率分別為 和 ，然后利 用驗(yàn)證集采用遺傳算法選擇部分神經(jīng)網(wǎng)絡(luò)進(jìn)行集成。再者，采用遺傳算法對(duì)個(gè)體網(wǎng)絡(luò)進(jìn)行選擇，利用了遺傳算 法適用于大規(guī)模、高度非線性優(yōu)化的特性，從個(gè)體網(wǎng)絡(luò)所在的空間選擇處那些差異最大的個(gè)體，保證了集成學(xué)習(xí)后的泛化誤差向減小的方向發(fā)展。 通過(guò)集成，系統(tǒng)的檢測(cè)率從 提高到 ，提高了 個(gè)百分點(diǎn)。為了方便操作、區(qū)分正常事件與攻擊事件、提取攻擊事件的特征。集成神經(jīng)網(wǎng)絡(luò)中，每個(gè)個(gè)體網(wǎng)絡(luò)對(duì)應(yīng)染色體中的一位，每一位的取值為離散的 0 或 1， 1 表示該神經(jīng)網(wǎng)絡(luò)參與集成， 0 表示該神經(jīng)網(wǎng)絡(luò)不參與集成，染色體長(zhǎng)度為 18，由此，體網(wǎng)絡(luò)的選擇轉(zhuǎn)化為在 18 維 01 空間中選擇最優(yōu)染色體的問(wèn)題。首先計(jì)算適應(yīng)度，后是實(shí)際的選擇，按照適應(yīng)度進(jìn)行父代個(gè)體的選擇 。這個(gè)過(guò)程將導(dǎo)致種群像自然進(jìn)化一樣的后生代種群比前代更加適應(yīng)于環(huán)境，末代種群中的最優(yōu)個(gè)體經(jīng)過(guò)解碼（ decoding），可以作為問(wèn)題近似最優(yōu)解 [12]。這一定理說(shuō)明，多個(gè)分類器可以集成為一個(gè)強(qiáng)分類器，由此奠定了集成學(xué)習(xí)的理論基礎(chǔ)。對(duì)于