【文章內(nèi)容簡介】 （ 1） 專家系統(tǒng) 早期的入侵檢測系統(tǒng)多數(shù)采用專家系統(tǒng)來檢測系統(tǒng)中的入侵行為。 NIDES、Wamp。S、 NADIR[6]等系統(tǒng)的異常性檢查器中都有一個專家系統(tǒng)模塊。在這些系統(tǒng)中，入侵行為被編制 成專家系統(tǒng)的規(guī)則。每個規(guī)則具有“ IF條件 THEN 動作”的形式；其中條件為審計將記錄中某個域上的限制條件，動作表示規(guī)則被觸發(fā)時入侵檢測系統(tǒng)所采取的處理動作，可以是一些新事實的判定或是提高某個用戶行為的可疑度。這些規(guī)則可以識別單個審計事件， 也可以識別表示一個入侵行為的一系列事件。專家系統(tǒng)可以自動地解釋系統(tǒng)的審計記錄并判斷他們是否滿足描述入侵行為的規(guī)則。但是，使用專家 系統(tǒng)規(guī)則表示一系列的活動不具有直觀性，除非由專業(yè)的知識庫程序員來做專家系統(tǒng)的升級工作，否則規(guī)則的更新是很困難的，而且使用專家系統(tǒng)分析系統(tǒng)的審計數(shù)據(jù)也是很低效的。此外，使用專家系統(tǒng)規(guī)則很難檢測出對系統(tǒng)的協(xié)調(diào)攻擊。 （ 2） 狀態(tài)轉(zhuǎn)換分析技術(shù) 一個入侵行為就是由攻擊者執(zhí)行的一系列的操作，這些操作可以使系統(tǒng)從某些初始狀態(tài)轉(zhuǎn)換到一個可以威脅系統(tǒng)安全的狀態(tài)。這里的狀態(tài)是指系統(tǒng)某 一時刻的特征，它可以由一 系列系統(tǒng)屬性來描述。初始狀態(tài) 對應(yīng)于入侵開始時的系統(tǒng)狀態(tài)，危機系統(tǒng)安全的狀態(tài)對應(yīng)于已成功入侵時刻的系統(tǒng)狀態(tài)；在這兩個狀態(tài)之間可能有一個或多個中間狀態(tài)的遷移。在識別出初始狀態(tài)、威脅系統(tǒng)安全的狀態(tài)后，主要應(yīng)分析在者兩個狀態(tài)之間進行狀態(tài)轉(zhuǎn)換的關(guān)鍵活動，這些轉(zhuǎn)換信息可以用狀態(tài)遷移圖來描述或用于生成專家系統(tǒng)的規(guī)則，從而用于檢測系統(tǒng)的入侵活動。但是，狀態(tài) 轉(zhuǎn)換是針對時間序列分析，所以不善于分析過分復(fù)雜的事件，而且不能檢測 與系統(tǒng)狀態(tài)無關(guān)的入侵。 （ 3） 模式匹配的方法 Sandeep Kumar 給出的模式識別的入侵檢測方法可以處 理以下四種類型的入侵行為：、 1) 通過審計某個事件的存在性即可以確定的入侵行為。 13 2) 根據(jù)審計某一事件序列的順序出現(xiàn)即可識別的入侵行為。 3) 根據(jù)審計某一具有偏序關(guān)系的事件序列的出現(xiàn)可以識別的入侵行為。 4) 審計的事件序列發(fā)生在某以確定的時間間隔或持續(xù)的時間在一定的范圍，根據(jù)這些 條件就可以確定的入侵行為。 這個模型目的是把入侵檢測的問題轉(zhuǎn)化成模式匹配的問題：系統(tǒng)的審計被視為抽象的事件流，入侵行為檢測器是模式匹配器。使用模式識別是因為模式識別比較成熟，而且在構(gòu)造一個系統(tǒng)時可以圍繞它的實用性和有效性做一些優(yōu)化。因此，檢測入侵 者時用模式匹配技術(shù)比使用專家系統(tǒng)更有效。 入侵檢測的發(fā)展方向 隨著入侵檢測技術(shù)的發(fā)展，成型的產(chǎn)品已陸續(xù)應(yīng)用到實踐中。人們在完善原有技術(shù)的基礎(chǔ)上，又在研究新的檢測方法，如數(shù)據(jù)融合技術(shù)，主動的自主代理方法，智能技術(shù)以及免疫學(xué)原理的應(yīng)用等 [7]。其主要的發(fā)展方向可概括為： （ 1） 分布式入侵檢測與通用入侵檢測架構(gòu) 傳統(tǒng)的 IDS 一般局限于單一的主機或網(wǎng)絡(luò)架構(gòu)，對異構(gòu)系統(tǒng)及大規(guī)模的網(wǎng)絡(luò)的監(jiān)測明顯不足。同時不同的 IDS 系統(tǒng)之間不能協(xié)同工作能力，為解決這一問題，需要分布式入侵檢測技術(shù)與通用入侵檢測架構(gòu)。 （ 2） 應(yīng)用層入侵檢測 許多入侵的語義只有在應(yīng)用層才能理解，而目前的 IDS 僅能檢測如 WEB 之類的通用協(xié)議，而不能處理如 Lotus Notes、數(shù)據(jù)庫系統(tǒng)等其他的應(yīng)用系統(tǒng)。許多基于客戶、服務(wù)器結(jié)構(gòu)與中間件技術(shù)及對象技術(shù)的大型應(yīng)用，需要應(yīng)用層的入侵檢測保護。 （ 3） 智能的入侵檢測 入侵方法越來越多樣化與綜合化，盡管已經(jīng)有智能體、神經(jīng)網(wǎng)絡(luò)與遺傳算法在入侵檢測領(lǐng)域應(yīng)用研究，但是這只是一些嘗試性的研究工作，需要對智能化的IDS 加以進一步的研究以解決其自學(xué)習與自適應(yīng)能力。 （ 4）入侵檢測的數(shù)據(jù)融合技術(shù) 目前的 IDS 還存在著很多缺陷。首先，目前的技術(shù)還不能對付訓(xùn)練有素的黑客的復(fù)雜的攻擊。其次，系統(tǒng)的虛警率太高。最后，系統(tǒng)對大量的數(shù)據(jù)處理，非但無助于解決問題，還降低了處理能力。數(shù)據(jù)融合技術(shù)是解決這一系列問題的好方法。 入侵檢測產(chǎn)品仍具有較大的發(fā)展空間，從技術(shù)途徑來講，我們認為，除了完善常規(guī)的、傳統(tǒng)的技術(shù)（模式識別和完整性檢測）外，應(yīng)重點加強統(tǒng)計分析的相關(guān)技術(shù)研究。 15 第 3 章小波神經(jīng)網(wǎng)絡(luò) 小波分析理論 小波分析方法的起源與提出 小波分析 (wavelet Analysis) [8]是 20 世紀 80 年代中期發(fā) 展起來的一門數(shù)學(xué)理論和方法，由法國科學(xué)家 Grossman 和 Morlet 在進行地震信號分析時提出的，隨后迅速發(fā)展。 1985 年 Meyer 在一維情形下證明了小波函數(shù)的存在性 ,并在理論上作 深入研究。 Mallat 基于多分辨分析思想，提出了對小波應(yīng)用起重要作用的 Mallat 算法，它在小波分析中的地位相當于 FFT 在經(jīng)典 Fourier 變換中的地位。小波分析理論的重要性及應(yīng)用的廣泛性引起了科技界的高度重視。小波分析的出現(xiàn)被認為是傅立葉分析的突破性進展，在逼近論、微分方程、模 式 識別、計算機視覺、圖像處理、非線性 科學(xué)等方面使用小波分析取得于許多突破性進展。 小波變換的基本思想類似于 Fourier 變換，就是用信號在一簇基函數(shù)形成空間上的投影表征該信號。經(jīng)典的 Fourier 變換把信號按三角正、余弦基展開，將任意函數(shù)表示為具有不同頻率的諧波函數(shù)的線性迭加，能較好地描述信號的頻率特性，但它在空域（時域）上無任何分辨 ,不能作局部分析。這在理論和應(yīng)用上都帶來了許多不足。為了克服這一缺陷，提出了加窗 Fourier 變換。 通過引入一個時間局部化“窗函數(shù)”改進了 Fourier 變換的不足，但其窗口大小和形狀都是固定的，沒有從根本上彌 補 Fourier 變換的缺陷。而小波變換在時域和頻域同時具有良好的局部化性能，有一個靈活可變的時間 頻率窗，它與 Fourier 變換、加窗 Fourier 變換相比，能更有效的從信號中提取信息，通過伸縮和平移等運算功能對函數(shù)或信號進行多尺度細化分析（ Multiscale Analysis），解決了Fourier 變換不能解決的許多困難問題，從而小波變化被譽為“數(shù)學(xué)顯微鏡”，它是調(diào)和分析發(fā)展史上里程碑式的進展 。 小波分析的應(yīng)用 小波分析的應(yīng)用是與小波分析的理論研究緊密地結(jié)合在一起的?，F(xiàn)在，它已經(jīng)在科技信息產(chǎn)業(yè) 領(lǐng)域取得了令人矚目的成就。電子信息技術(shù)是六大高新技術(shù)中重要的一個領(lǐng)域，它的重要方面是圖象和信號處理?，F(xiàn)今，信號處理已經(jīng)成為當代科學(xué)技術(shù)工作的重要部分，信號處理的目的就是：準確的分析、診斷、編碼壓縮和量化、快速傳遞或存儲、精確地重構(gòu)（或恢復(fù) ）。從數(shù)學(xué)地角度來看，信號與圖象處理可以統(tǒng)一看作是信號處理（圖像 可以看作是二維信號），在小波分析許多應(yīng)用中，都可以歸結(jié)為信號處理問題?，F(xiàn)在，對于其性質(zhì)隨實踐是穩(wěn)定不變的信號，處理的理想工具仍然是傅立葉分析。但是在實際應(yīng)用中的絕大多數(shù)信號是非穩(wěn)定的，而特別適用于非穩(wěn)定信號的工 具就是小波分析。 16 (1)小波分析用于信號與圖象壓縮是小波分析應(yīng)用的一個重要方面。它的特點是壓縮比高，壓縮速度快，壓縮后能保持信號與圖象的特征不變，且在傳遞中可以抗干擾?；谛〔ǚ治龅膲嚎s方法很多，比較成功的有小波域紋理模型方法，小波變換零樹壓縮，小波變換向量壓縮等。 (2)小波在信號分析中的應(yīng)用也十分廣泛。它可以用于邊界的處理與濾波、時頻分析、信噪分離與提取弱信號、求分形指數(shù)、信號的識別與診斷以及多尺度邊緣檢測等。 (3)在工程技術(shù)等方面的應(yīng)用。包括計算機視覺、計算機圖形學(xué)、曲線設(shè)計、湍流、遠程宇宙的研 究與生物醫(yī)學(xué)方面。 小波變換 小波變換和傅里葉變換的出發(fā)點都是將信號表示成基本函數(shù)的線性組合，所不同的是傅里葉變換采用時間屬于（ ∞ ， +∞ ）的諧波函數(shù) inxe 作為基函數(shù)，而小波變換的基函數(shù)具有緊支集的母函數(shù) ()t? ,通過對母函數(shù) ()t? 進行伸縮和平移得到一個小波序列： , 1( ) ( )||ab tbt aa???? , 。 0a b R a?? （ 31） 其中 a為伸縮因子， b為平移因子。對于任意函數(shù) 2( ) ( )f t L R? 的連續(xù)小波變換為： ( , ) ffifW a b f? ， 1 / 2, f f I = |a | ( ) ( )ab R tbf t d ta???? ??? （ 32） 其重構(gòu)公式（逆變換）為： 211( ) ( , ) ( )f tbf t w a b dadbC a a?? ? ? ?? ? ? ??? ?? （ 33） 基本小波函數(shù)的選取很重要，常常取決于實際應(yīng)用。小波函數(shù)在幾何 形狀上一般都具有兩個基本特征：必須是震蕩函數(shù)和迅速收斂的函數(shù)。在選取或自己構(gòu)造小波函數(shù)時，必須遵循以上兩個準則。尺度因子和平移因子的不同會給小波函數(shù)的幾何形狀帶來很大的變化。 (1)連續(xù)小波變換 [9] 小波具有震蕩特性、能夠迅速衰減到零的一類函數(shù)。由前知，滿足允許條件的函數(shù) ()t? 稱為基小波，其伸縮和平移構(gòu)成一簇函數(shù)系： 1 / 2, ( ) | | ( )ab tbta a??? ?? , , 0b R a R a? ? ? （ 34） 17 式中， , ()abt? 稱子小波； a 為尺度因子或頻移因子， b 為時間因子或平移因子。對于能量有限信號 2( ) ( )f t L R? ，其連續(xù)小波變換定義為： 12( , ) | | ( ) ( )RtbW f a b a f t d ta? ?? ? （ 35） 式中， ()t? 為 ()t? 的復(fù)共軛函數(shù)。（ 35）式說明小波變換是對信號用 不同濾波器進行濾波。由于 t、 a、 b 都是連續(xù)的變量，式（ 35）稱為連續(xù)小波變換。 如果 ()t? 滿足相容條件 : 21||v RCd? ? ?? ? ??? ,其中 ? 為 ()t? 的 FT。對于信號連續(xù)小波變換 ()ft可重構(gòu)： 21 , 2( ) ( , ) ( )v a bRdadbf t C W f a b t a? ??? ?? （ 36） 當 a 較小時，時域上觀察范圍小，而在頻率上相當于用較高頻率作分辨率較高的分析，即用高頻小波作細致觀察。當 a 較大時，時域上觀察范圍大，而在頻率上相當與用低頻作概貌觀察。 （ 2）離散小波變換 在實際運用時，需將連續(xù)小波變換離散化處理。一是信號（時間序列）本身是離散情況，如 ( )( 1, 2 , .. ., 。f k t k N t? 為取樣時間間隔），則式（ 35）的離散形式為： 121( , ) | | ( ) ( )Nkk t bW f a b a t f k t a? ????? ? ?? （ 37） 令一種情況是將尺度參數(shù) a和平移參數(shù) b離散化，即取0 0 0 0 0, , 1 , ,mma a b n b a a b R? ? ? ? 則信號 ()ft的離散小波變換為： 20 0 0( , ) ( ) ( )m mW f m n a f t a t n b d t? ??? ?????? （ 38） 當 002, 1ab??時，式 (38)變?yōu)槎M小波變換： ( , ) 2 ( ) ( 2 )mmW f m n f t t n d t? ?????????? （ 39） 18 人工神經(jīng)網(wǎng)絡(luò)理論 神經(jīng)網(wǎng)絡(luò)的基本理論 人工神經(jīng) 網(wǎng)絡(luò) [10] (Artifciail Neural Network， ANN)是在人類對其大腦神經(jīng)網(wǎng)絡(luò)認識理解的基礎(chǔ)上人工構(gòu)造的能夠?qū)崿F(xiàn)某種功能的神經(jīng)網(wǎng)絡(luò)。它是理論化的人腦神經(jīng)網(wǎng)絡(luò)的數(shù)學(xué)模型，是基于模仿大腦神經(jīng)網(wǎng)絡(luò)結(jié)構(gòu)和功能而建立的一種信息處理系統(tǒng)。實際上是由眾多神經(jīng)元相互連接而成的復(fù)雜網(wǎng)絡(luò)，具有高度的非線性，能夠進行復(fù)雜的邏輯操作和非線性關(guān)系實現(xiàn)的系統(tǒng)。 神經(jīng) 元的結(jié)構(gòu) 模型 神經(jīng)元是神經(jīng)網(wǎng)絡(luò)的基本處理單元，它包含加權(quán)求和模擬細胞體和處理輸出信號兩部分，一般是一種多輸入 /單輸出的非線形系統(tǒng)，它的主要功 能是傳遞和處理信息。 1934年，由美國心理學(xué)家 McCulloch數(shù)學(xué)家 Pitts共同建立的，被稱為人工神經(jīng)元模型。 圖 31為人工神經(jīng)元的數(shù)學(xué)模型。 圖 31 神經(jīng)元的數(shù)學(xué)模型 其中 12( , ,..., )Tmx x x x? 輸入向量， y為輸出， iw 是權(quán)系數(shù) 。輸入與輸出具有如下關(guān)系： 1()miiiy f w x ????? ? 為閾值， f（ x） 是激發(fā)函數(shù)； 它可以是線性函數(shù)，也可以是非線性函數(shù)。 例如，若記 1m iiiz w x ????? ， 取激發(fā)函數(shù)為符號函數(shù) 1。 00。 0sgn( ){ xxx ?? ，則 111。()0。miiimiiiwxy f zwx????? ????? ?? ????? S型激發(fā)函數(shù)：1() 1 xfx e?? ? ，