【導(dǎo)讀】現(xiàn)今社會,Inter已經(jīng)受到人們越來越廣泛的使用。各種網(wǎng)絡(luò)服務(wù)，電子。銀行、電子商務(wù)、QQ聊天等已經(jīng)成為人們生活中重要組成部分。攻擊也隨著不斷地增加。人們已經(jīng)深刻認識到了保證網(wǎng)絡(luò)安全的重要性。通過構(gòu)建動態(tài)的安全循環(huán)，可以最大限度地提高系統(tǒng)的安全保障能。變換代替普通神經(jīng)網(wǎng)絡(luò)的激勵函數(shù)，能有效地提高網(wǎng)絡(luò)樣本訓(xùn)練的效率和速度，

　　

【正文】 將 神經(jīng)網(wǎng)絡(luò)技術(shù) 在 入侵檢測領(lǐng)域 中的應(yīng)用經(jīng)過不斷 的研究 ，如今已經(jīng)取得了許多的成果。神經(jīng)網(wǎng)絡(luò)技術(shù)在該領(lǐng)域最具吸引力的關(guān)鍵 [14]是 ： 對于某些 未知的 入侵類 型的行為方式一樣具有一定的檢測能力 。 入侵檢測系統(tǒng)最理想的目標 是通過對目前 掌握的知識的學(xué)習(xí)和分析， 并概括歸納出某 入侵行為所蘊涵的一般特征 以及規(guī) 律，從而 具備 對屬于該類行為的未知實例 的 識別能力，未來入侵檢測系統(tǒng) 正朝著這個 方向 發(fā)展 。 由于 神經(jīng)網(wǎng)絡(luò)的輸入是 一個 數(shù)值化的屬性集合， 輸入數(shù)據(jù)所蘊涵的內(nèi)在特征 是 通過調(diào)整神經(jīng)元間的權(quán)值來描述， 如果 兩類事物屬性上是相近的時候，神經(jīng)網(wǎng)絡(luò) 在識別的時候 是無法識別 到 的。 除 此 之 外 ， 如果某些屬性不便于數(shù)值化，也不適用于神經(jīng)網(wǎng)絡(luò)， 那么 神經(jīng)網(wǎng)絡(luò)的這些特性 就 決定 了在入侵檢 測領(lǐng)域的前景及 其應(yīng)用的領(lǐng)域。通過 分析 各種不同類型的入侵方式的特征 ，從而得出 以下結(jié)論，并 比較全面的認識 神經(jīng)網(wǎng)絡(luò)技術(shù)在入侵檢測領(lǐng)域的應(yīng)用 。在 充分認識神經(jīng)網(wǎng)絡(luò)和 SNORT系統(tǒng)各自優(yōu)點和缺點的基礎(chǔ)上，提出小波神經(jīng)網(wǎng)絡(luò)和 SNORT相結(jié)合的入侵檢測系統(tǒng)。 按入侵特征存在的方式， 對于基于網(wǎng)絡(luò)的入侵檢測，可以將網(wǎng)絡(luò) 入侵行為分為兩大類。第一類入侵的行為特征主要體現(xiàn)在網(wǎng)絡(luò)連接的時間 和流量特性上，而且特征屬性經(jīng)過數(shù)值化 后 更利于表征入侵，如 DOS(拒絕服務(wù)攻擊 )、 probing（監(jiān)視和探測其他活動） 攻擊； 第二類 入侵 的行為特征隱藏 在數(shù)據(jù)包的數(shù)據(jù)段中，主要為 系統(tǒng)服務(wù)的操作命令，通常由 一些字符串構(gòu)成。在對應(yīng)的服務(wù)程序執(zhí)行 該數(shù)據(jù)內(nèi)容時觸發(fā)入侵行為。該類入侵在網(wǎng)絡(luò)流量特性和網(wǎng)絡(luò)連接狀態(tài) 與正常網(wǎng)絡(luò)行為相似，所以通過 分析 流量和連接狀態(tài)的數(shù)值化 很難 將兩者區(qū)分開，這類攻擊包括 U2R（普通用戶對本地超級用戶特權(quán)的非法訪問）、 R2L(來自遠程機器的非法訪問 )攻擊。小波神經(jīng)網(wǎng)絡(luò)能夠解決多參數(shù)的復(fù)雜分類問題，需要 進行 數(shù)值化的輸入，適合檢測第一類入侵行為，特別是經(jīng)過對正常 和異常的樣本 學(xué)習(xí)，可以識別出具有某類入侵特征的變種入侵和未知入侵實例。但對第二類入侵行為 檢測能力 較低 。 SNORT系統(tǒng)通過在數(shù)據(jù)包中搜索特征字符串來檢測入侵行為。技術(shù)簡單，容易實現(xiàn)，檢測能力更全面，可以精確地檢測出第二類特征已知的入侵行為。 引入?yún)f(xié)議分析等技術(shù)后性能有了較大的提高。 SNORT系統(tǒng)也可以用于檢測部分 DOS， probing攻擊，但由于是對單個數(shù)據(jù)包進行分析，對于那些與時間和流量特性有很強相關(guān)性的 DOS， probing入侵攻擊， 存在嚴重的漏報率。相比較而言更 26 適于檢測第二類入侵。另外 SNORT系統(tǒng)是 基于己知入侵特征的誤用檢測， 不能 檢測變種入侵和新入侵行為。 因此， 小波神經(jīng)網(wǎng)絡(luò)和 SNORT系 統(tǒng)在檢測類型上可以進行互補 。 本文將小波神經(jīng)網(wǎng)絡(luò)和 SNORT系統(tǒng)技術(shù)結(jié)合起來，相互補充，嘗試 完成 一個性能比較全面的基于網(wǎng)絡(luò)的入侵檢測模型。 小波神經(jīng)網(wǎng)絡(luò)入侵檢測模型 的設(shè)計 本文所設(shè)計的系統(tǒng)模型的主要目的是指出小波神經(jīng)網(wǎng)絡(luò)技術(shù)在入侵檢測領(lǐng)域的應(yīng)用范圍和局限性，并驗證小波神經(jīng)網(wǎng)絡(luò)技術(shù)同 SNORT 系統(tǒng)相結(jié) 合 的可行性和有效性。 一個完善的入侵檢測系統(tǒng)在體系結(jié)構(gòu)上應(yīng)該包括事件產(chǎn)生器、事件分析器、事件數(shù)據(jù)庫和響應(yīng)單元等四個部分 （ 參照 CIDF 規(guī)范） 。 本文重點主要集中在事件產(chǎn)生器和 事件 分析器上，而且這兩部分也舍棄那些一般 性的常識和基本內(nèi)容，將精力貫注于數(shù)據(jù)的預(yù)處理 (檢測模塊的數(shù)據(jù)準備 )、檢測模塊的設(shè)計和檢測模塊間的相互協(xié)調(diào)等內(nèi)容。對于 事件數(shù)據(jù)庫和響應(yīng)單元僅以日志來簡單地代替（ 事件產(chǎn)生器、事件分析器、事件數(shù)據(jù)庫和響應(yīng)單元等四個部分 ，參照上文入侵檢測系統(tǒng)的結(jié)構(gòu)和組成）。 系統(tǒng)分為以下幾個部分，其功能框架如圖 41所示 圖 41 小波神經(jīng)網(wǎng)絡(luò)模型 結(jié)合上圖， 該系統(tǒng)模型功能解析： 先通過 數(shù)據(jù)捕捉模塊抓取系統(tǒng)所監(jiān)測網(wǎng)段的網(wǎng)絡(luò)數(shù)據(jù)包， 然后經(jīng)預(yù)處理模塊對捕獲的數(shù)據(jù)進行分析 和整理，提取出代表該數(shù)據(jù)包的完整 而準確的特征屬性，分別生成小波神經(jīng)網(wǎng)絡(luò)和 SNORT 系統(tǒng) 模塊 的輸入， 最后 分別轉(zhuǎn)交給該兩個檢測模塊處理。由于兩個檢測模塊的檢測能力的不同，數(shù)據(jù) 捕捉 響應(yīng) 模塊 小波 網(wǎng)絡(luò) 過濾 小波 網(wǎng)絡(luò) 訓(xùn)練 數(shù)據(jù) 預(yù)處 數(shù)據(jù)庫 SNORT 模式匹 配模塊 規(guī)則庫 響應(yīng) 模塊 27 小波神經(jīng)網(wǎng)絡(luò)模塊除了能 夠 檢測到己知入侵行為外，還能夠檢測到未知的入侵行為，因此 需 要 分開處理兩個模塊的檢測結(jié)果。其中 SNORT 系統(tǒng)檢測到的入侵是己知的， 只需要進行 報警并記錄備查。小波神經(jīng)網(wǎng)絡(luò)除了 要 向用戶發(fā)出報警信息，將攻擊事件相關(guān)信息記錄在日志文件里外，還要將該數(shù)據(jù)與樣 本 庫中樣 本進行 對比 ，若是新型攻擊或是異常的輸出 ， 則提交給管理人員判斷處理以便 更 新樣 本 庫和 SNORT 系統(tǒng)的規(guī)則庫文件，提高檢測 的 性能。這體現(xiàn)了小波神經(jīng)網(wǎng)絡(luò) 具有不斷學(xué)習(xí)的能力，達到能夠識別出更多類型攻擊行為的潛力。 相比基于規(guī)則的入侵檢測系統(tǒng) ， 小波神經(jīng)網(wǎng)絡(luò)入侵檢測系統(tǒng) 具有更 突出的優(yōu)勢和亮點， 使 入侵檢測系統(tǒng)的 具有很大的 實際應(yīng)用價值。 檢測系統(tǒng)工作模式的應(yīng)用 本系統(tǒng)設(shè)計了兩個獨立的小波神經(jīng)網(wǎng)絡(luò)模塊和 SNORT 系統(tǒng)模塊，并提供了兩種檢測模式。第一種模式：互補式工作模式 ， 通過將 小波神經(jīng)網(wǎng)絡(luò)模塊和 SNORT系統(tǒng)模塊分別作為獨立的檢測單元，構(gòu)成功能互補式工作模式。 第二種模式：嵌入式工作模式，通過 將 小波神經(jīng)網(wǎng)絡(luò)模塊作為 SNORT 系統(tǒng)模塊的一個附加功能模塊 ， 構(gòu)成 嵌入式工作模式。 （ 1） 互補式工作模式 圖 42 互補式工作模式圖 結(jié)合 圖 42，對該種工作方式進行概述： 小波神經(jīng)網(wǎng)絡(luò)和 SNORT系統(tǒng) 兩個模塊是相互獨立工作的，每個模塊針對 相應(yīng) 的入侵檢測 模式進行檢測。 檢測空間 劃分是按小波神經(jīng)網(wǎng)絡(luò)和 SNORT系統(tǒng) 兩種 模塊各自所擅長的檢測領(lǐng)域來劃分的。 其 具體 劃分如下： 小波神經(jīng)網(wǎng)絡(luò)檢測模塊針對 DOS、 probing攻擊進行檢測， SNORT系統(tǒng)檢測 模塊 負責檢測 U2R和 R2L攻擊。這兩個模塊在功能和運行過程兩個方面都是捕捉 模塊 SNORT 檢測 模塊 小波神經(jīng)網(wǎng)絡(luò)檢測模塊 日志模塊 預(yù)處理 模塊 規(guī)則庫 訓(xùn)練樣本庫 28 獨立的。這種獨立運行 的機制是通過如下方法實現(xiàn)： 1） 預(yù)處理模塊針對每一個數(shù)據(jù)包都分別生成小波神經(jīng)網(wǎng)絡(luò)檢測模塊和 SNORT系統(tǒng)模塊的輸入實例，然后兩種數(shù)據(jù)被分別送入這兩個檢測模塊，由于小波神經(jīng)網(wǎng)絡(luò)檢測模塊只針對 DOS攻擊和 probing攻擊進行了訓(xùn)練學(xué)習(xí)，而且 U2R， R2L攻擊在統(tǒng)計特征上與正常數(shù)據(jù)相近，所以只能檢測出 DOS攻擊和 probing攻擊的存在，而把 U2R， R2L攻擊誤判為正常數(shù)據(jù)。 2） SNORT系統(tǒng)模塊的 檢測范圍是由入侵規(guī)則庫中的內(nèi)容決定的，因此可 以通過加載的規(guī)則庫來 調(diào)整該模塊的檢測范圍，該種工作模式下入侵規(guī)則庫必須加載與 U2R和 R2L有關(guān)的入侵規(guī)則，檢測時從第一條規(guī)則開始，逐條規(guī)則地同數(shù)據(jù)包中的內(nèi)容相關(guān)匹配。通過精心選擇向規(guī)則庫中添加 DOS攻擊和 probing攻擊規(guī)則，可以提高系統(tǒng)檢測能力。 3） 通過文中后面的實驗可以看出小波神經(jīng)網(wǎng)絡(luò)模塊會誤判一定比例的入侵行為，雖然可以通過調(diào)整小波神經(jīng)網(wǎng)絡(luò)模塊的設(shè)計，如調(diào)整隱含層的單元數(shù)量、增加隱含層的層數(shù)，來提高小波神經(jīng)網(wǎng)絡(luò)模塊的檢測能力 ，但誤判 是 無法避免的 ，針對那些無法正確識別的入侵行為，通過分析其特征，抽 取特征描述，做成SNORT系統(tǒng)檢測模塊的規(guī) 則，添加到規(guī)則庫中，檢測時， SNORT系統(tǒng)模塊也對該內(nèi)容進行檢測，從而實現(xiàn)系統(tǒng)性能的完善。 該模式的檢測范圍分配可以描述如下公式： ( ) ( ) 1O x P x?? ( ) ( ) 0O x P x?? 其中 O(x)表示 小波神經(jīng)網(wǎng)絡(luò)模塊的檢測范圍， P(x)SNOR 表示 SNORT系統(tǒng)模塊的檢測范圍。 （ 2） 嵌入式工作模式 捕捉 模塊 SNORT 檢測模塊 預(yù)處理 模塊 規(guī)則庫 小波神經(jīng)網(wǎng)絡(luò)檢測 模塊 訓(xùn)練樣本庫 日志模塊 29 圖 43 嵌入式 工作模式圖 結(jié)合圖 43，對 該工作模式 概述如下： 在該模式下， 由于一個網(wǎng)絡(luò)數(shù)據(jù)包要分別經(jīng)過小波神經(jīng)網(wǎng)絡(luò)模塊和 SNORT系統(tǒng)模塊的檢測，增加了系統(tǒng)的工作量 ，因此系統(tǒng)的檢測速度對于功能互補式工作模式要低很多 。 下面通過對該模式的工作過程的介紹，進一步驗證其必要性。 1)處理模塊將 每個網(wǎng)絡(luò)數(shù)據(jù)包分別生成小波神經(jīng)網(wǎng)絡(luò)和 SNORT系統(tǒng)模塊 兩個模塊 的輸入，然后 各自 提交給兩個模塊檢測。 小波神經(jīng)網(wǎng)絡(luò)模塊檢測異常的網(wǎng)絡(luò)數(shù)據(jù)包要提交給 SNORT系統(tǒng)檢測模塊進行對比，如果兩者都判定該數(shù)據(jù)包為入侵行為，寫入日志中。 SNORT系 統(tǒng)檢測模塊的報警信息直接記錄到日志中。 2） 對于那些小波神經(jīng)網(wǎng)絡(luò)模塊判定異常而 SNORT系統(tǒng)模塊判定為正常的數(shù)據(jù)，則要提交給管理人員來判讀，如果是正常數(shù)據(jù)，生成小波神經(jīng)網(wǎng)絡(luò)的樣 本 ，加入樣 本庫中， 避免重復(fù)誤判。如果是異常數(shù)據(jù)， 生成神經(jīng)網(wǎng)絡(luò)的訓(xùn)練樣本 和SNORT系統(tǒng)的規(guī)則，提高系統(tǒng)對新型入侵方式和變種入侵的識別能力。 小波神經(jīng)網(wǎng)絡(luò)實現(xiàn)上述功能的方法可以描述如下： 看小波神經(jīng)網(wǎng)絡(luò)模塊在檢測功能上是 SNORT系統(tǒng)模塊的一個子集，但 是在實現(xiàn)上有很大的區(qū)別 ， SNORT系統(tǒng)模塊可以檢測到在規(guī)則庫中有記錄的那些 入侵行為，而且具有極其高的檢測精度，然而對于那些在規(guī)則庫中不存在的入侵行為，它會視而不見， SNORT系統(tǒng)模塊對一個網(wǎng)絡(luò)行的判斷只能有兩種結(jié)果：是或不是。所以 SNORT系統(tǒng)模 塊 所產(chǎn)生的誤判是絕對性的， 針對某個網(wǎng)絡(luò)行為，無法給管理人員提供一個客觀的談判的概率度量。 1的實數(shù)值，該值是網(wǎng)絡(luò)行為屬于某類入侵行為的概率值，可以通過實驗確定兩個閾值 Xmax和 Xmin，小波神經(jīng)網(wǎng)絡(luò)模塊的輸出值大于閾值 Xmax的行為，系統(tǒng)就判定為入侵行為。輸出值小于闕值 Xmin的行為，系統(tǒng)就判定為非入侵 行為。而對于那些介于閾值 Xmax和 Xmin之間的數(shù)據(jù)，則可以提交給管理人員分析處理。 總結(jié)上述分析 ，該 系統(tǒng)模型 是 通過 犧牲檢測速度的前提 來實現(xiàn)系統(tǒng)最全面的檢測能力。 推薦在如下一些情況下使用。如 ：要求 安全級別較高，發(fā)現(xiàn)入侵行為的存在比檢測速度更為重要的場合；在明確知道受保護系統(tǒng)面臨攻擊的情況下，一方面可以對入侵行為的判定提供雙重認證，另一方面也可以對變種入侵和新型入侵具有一定的監(jiān)控能力。 對管理人員分析入侵行為具有借鑒意義，減少分析數(shù)據(jù)的數(shù)量，減輕 分析的工作量。 30 在該模式下， 小波神經(jīng)網(wǎng)絡(luò)檢測模塊依然是針對 DOS 攻 擊 、 probing 攻擊進行檢測，而 SNORT 系統(tǒng)檢測模塊則要檢測各種入侵模式，包括 DOS 攻擊 、 probing攻擊、 U2R 和 R2L攻擊。該模式的檢測范圍分配可以描述為如下公式： ( ) ( ) 1O x P x?? ()Ox包含于 ()Px 仿真試驗 與 結(jié)果 本仿真實驗是在一個獨立的局域網(wǎng)內(nèi)進行系統(tǒng)的性能 測試。其中小波神經(jīng)網(wǎng)的測試樣本集參考 KDDCUP99[15]中數(shù)據(jù)。對于緩沖區(qū)溢出類攻擊行為，攻 擊特征在數(shù)據(jù)包的數(shù)據(jù)段內(nèi)，因此其網(wǎng)絡(luò)連接特性與正常網(wǎng)絡(luò)通訊類似。在這種情況下，小波神經(jīng)網(wǎng)絡(luò)一般將入侵行為誤判為正常數(shù)據(jù)，發(fā)生 漏報 現(xiàn)象 ， 且 不會發(fā)出報警信息。而 SNORT系統(tǒng)根據(jù)已知入侵模式，在數(shù)據(jù)包的數(shù)據(jù)段內(nèi)進行模式匹配搜索，從而檢測出入侵行為。 以下圖片為部分 SNORT入侵檢測系統(tǒng)檢測的過程 : 圖 44 可視化的入侵數(shù)據(jù)分析控制臺 31 圖 45 SNORT 掃描 圖 46 基于 tcp 協(xié)議分析的模擬攻擊 32 圖 46小波 神經(jīng)網(wǎng)絡(luò)監(jiān)視圖 本仿真實驗采用： Satan、 Smurf、 ipsweep、 normal、 Buffer_overflow五種類型 的 模擬攻擊數(shù)據(jù) （數(shù)據(jù)樣本參照附錄） ，前四種數(shù)據(jù)類型包括 20％的未學(xué)習(xí)過的樣本； 其中 模式匹配模塊只對 Buffer_overflow類型攻擊進行初始化。 實驗結(jié)果衡量指標 ： 檢測率、誤報率、漏報率是衡量入侵檢測性能好壞的重要指標，其含義如下： 檢測率：檢測出入侵事件的百分比。 檢測率 =（檢測出的入侵事件個數(shù) /總的入侵事件個數(shù)） *100% 誤報率：正確的事件被誤檢為異常事件的百分比。 誤報率 =(被誤檢為入侵的事件個數(shù) /總的事件個數(shù) )*100% 漏報率：沒有被檢測出