【正文】 設(shè)計(jì)，如調(diào)整隱含層的單元數(shù)量、增加隱含層的層數(shù)，來提高小波神經(jīng)網(wǎng)絡(luò)模塊的檢測能力 ，但誤判是無法避免的，針對那些無法正確識別的入侵行為，通過分析其特征，抽取特征描述，做成SNORT系統(tǒng)檢測模塊的規(guī)則，添加到規(guī)則庫中，檢測時(shí)，SNORT系統(tǒng)模塊也對該內(nèi)容進(jìn)行檢測，從而實(shí)現(xiàn)系統(tǒng)性能的完善。該模式的檢測范圍分配可以描述如下公式： 其中O(x)表示小波神經(jīng)網(wǎng)絡(luò)模塊的檢測范圍，P(x)SNOR表示SNORT系統(tǒng)模塊的檢測范圍。（2）嵌入式工作模式SNORT檢測模塊小波神經(jīng)網(wǎng)絡(luò)檢測模塊訓(xùn)練樣本庫捕捉模塊預(yù)處理模塊規(guī)則庫日志模塊圖43 嵌入式工作模式圖結(jié)合圖43，對該工作模式概述如下：在該模式下，由于一個(gè)網(wǎng)絡(luò)數(shù)據(jù)包要分別經(jīng)過小波神經(jīng)網(wǎng)絡(luò)模塊和SNORT系統(tǒng)模塊的檢測，增加了系統(tǒng)的工作量，因此系統(tǒng)的檢測速度對于功能互補(bǔ)式工作模式要低很多。 下面通過對該模式的工作過程的介紹，進(jìn)一步驗(yàn)證其必要性。1)處理模塊將每個(gè)網(wǎng)絡(luò)數(shù)據(jù)包分別生成小波神經(jīng)網(wǎng)絡(luò)和SNORT系統(tǒng)模塊兩個(gè)模塊的輸入，然后各自提交給兩個(gè)模塊檢測。小波神經(jīng)網(wǎng)絡(luò)模塊檢測異常的網(wǎng)絡(luò)數(shù)據(jù)包要提交給SNORT系統(tǒng)檢測模塊進(jìn)行對比，如果兩者都判定該數(shù)據(jù)包為入侵行為，寫入日志中。SNORT系統(tǒng)檢測模塊的報(bào)警信息直接記錄到日志中。2）對于那些小波神經(jīng)網(wǎng)絡(luò)模塊判定異常而SNORT系統(tǒng)模塊判定為正常的數(shù)據(jù)，則要提交給管理人員來判讀，如果是正常數(shù)據(jù)，生成小波神經(jīng)網(wǎng)絡(luò)的樣本，加入樣本庫中，避免重復(fù)誤判。如果是異常數(shù)據(jù)，生成神經(jīng)網(wǎng)絡(luò)的訓(xùn)練樣本和SNORT系統(tǒng)的規(guī)則，提高系統(tǒng)對新型入侵方式和變種入侵的識別能力。小波神經(jīng)網(wǎng)絡(luò)實(shí)現(xiàn)上述功能的方法可以描述如下：，但是在實(shí)現(xiàn)上有很大的區(qū)別，SNORT系統(tǒng)模塊可以檢測到在規(guī)則庫中有記錄的那些入侵行為，而且具有極其高的檢測精度，然而對于那些在規(guī)則庫中不存在的入侵行為，它會視而不見，SNORT系統(tǒng)模塊對一個(gè)網(wǎng)絡(luò)行的判斷只能有兩種結(jié)果：是或不是。所以SNORT系統(tǒng)模塊所產(chǎn)生的誤判是絕對性的，針對某個(gè)網(wǎng)絡(luò)行為，無法給管理人員提供一個(gè)客觀的談判的概率度量。，該值是網(wǎng)絡(luò)行為屬于某類入侵行為的概率值，可以通過實(shí)驗(yàn)確定兩個(gè)閾值Xmax和Xmin，小波神經(jīng)網(wǎng)絡(luò)模塊的輸出值大于閾值Xmax的行為，系統(tǒng)就判定為入侵行為。輸出值小于闕值Xmin的行為，系統(tǒng)就判定為非入侵行為。而對于那些介于閾值Xmax和Xmin之間的數(shù)據(jù)，則可以提交給管理人員分析處理?？偨Y(jié)上述分析，該系統(tǒng)模型是通過犧牲檢測速度的前提來實(shí)現(xiàn)系統(tǒng)最全面的檢測能力。推薦在如下一些情況下使用。如：要求安全級別較高，發(fā)現(xiàn)入侵行為的存在比檢測速度更為重要的場合；在明確知道受保護(hù)系統(tǒng)面臨攻擊的情況下，一方面可以對入侵行為的判定提供雙重認(rèn)證，另一方面也可以對變種入侵和新型入侵具有一定的監(jiān)控能力。對管理人員分析入侵行為具有借鑒意義，減少分析數(shù)據(jù)的數(shù)量，減輕分析的工作量。在該模式下，小波神經(jīng)網(wǎng)絡(luò)檢測模塊依然是針對DOS攻擊、probing攻擊進(jìn)行檢測，而SNORT系統(tǒng)檢測模塊則要檢測各種入侵模式，包括DOS攻擊、probing攻擊、U2R和R2L攻擊。該模式的檢測范圍分配可以描述為如下公式： 包含于本仿真實(shí)驗(yàn)是在一個(gè)獨(dú)立的局域網(wǎng)內(nèi)進(jìn)行系統(tǒng)的性能測試。其中小波神經(jīng)網(wǎng)的測試樣本集參考KDDCUP99[15]中數(shù)據(jù)。對于緩沖區(qū)溢出類攻擊行為，攻擊特征在數(shù)據(jù)包的數(shù)據(jù)段內(nèi)，因此其網(wǎng)絡(luò)連接特性與正常網(wǎng)絡(luò)通訊類似。在這種情況下，小波神經(jīng)網(wǎng)絡(luò)一般將入侵行為誤判為正常數(shù)據(jù)，發(fā)生漏報(bào)現(xiàn)象，且不會發(fā)出報(bào)警信息。而SNORT系統(tǒng)根據(jù)已知入侵模式，在數(shù)據(jù)包的數(shù)據(jù)段內(nèi)進(jìn)行模式匹配搜索，從而檢測出入侵行為。 以下圖片為部分SNORT入侵檢測系統(tǒng)檢測的過程:圖44 可視化的入侵?jǐn)?shù)據(jù)分析控制臺圖45 SNORT掃描 圖46基于tcp協(xié)議分析的模擬攻擊圖46小波神經(jīng)網(wǎng)絡(luò)監(jiān)視圖本仿真實(shí)驗(yàn)采用：Satan、Smurf、ipsweep、normal、Buffer_overflow五種類型的模擬攻擊數(shù)據(jù)（數(shù)據(jù)樣本參照附錄），前四種數(shù)據(jù)類型包括20％的未學(xué)習(xí)過的樣本；其中模式匹配模塊只對Buffer_overflow類型攻擊進(jìn)行初始化。實(shí)驗(yàn)結(jié)果衡量指標(biāo)：檢測率、誤報(bào)率、漏報(bào)率是衡量入侵檢測性能好壞的重要指標(biāo)，其含義如下：檢測率：檢測出入侵事件的百分比。檢測率=（檢測出的入侵事件個(gè)數(shù)/總的入侵事件個(gè)數(shù)）*100%誤報(bào)率：正確的事件被誤檢為異常事件的百分比。誤報(bào)率=(被誤檢為入侵的事件個(gè)數(shù)/總的事件個(gè)數(shù))*100%漏報(bào)率：沒有被檢測出來的入侵事件百分比。漏報(bào)率=（漏報(bào)的入侵事件個(gè)數(shù)/總的事件個(gè)數(shù)）*100%檢測正確率：正確檢測的百分比。檢測正確率=（1誤報(bào)率漏報(bào)率）*100%表41 檢測KDDCup99入侵檢測實(shí)驗(yàn)數(shù)據(jù)的標(biāo)識類型標(biāo)識類型含義具體分類標(biāo)識Normal正常記錄normalDos拒絕服務(wù)攻擊SmurfProbing監(jiān)視和其他探測活動ipsweep、satanR2L來自遠(yuǎn)程機(jī)器的非法訪問ftp_write、imapU2R普通用戶對本地超級用戶特權(quán)的非法訪問Buffer_overflow實(shí)驗(yàn)結(jié)果分析，如下表： 表42 檢測數(shù)據(jù) 類型 樣本數(shù) 誤判數(shù) 檢測率 樣本數(shù) 誤判數(shù) 檢測率 Satan 158 10 \ \ \ Smurf 82 3 \ \ \ ipsweep 125 9 \ \ \ Buffer_overflow 160 157 2 160 1 normal 325 3 \ \ \ 通過仿真實(shí)驗(yàn)及結(jié)果分析，可以得出這樣的結(jié)論：小波神經(jīng)網(wǎng)絡(luò)模塊經(jīng)過訓(xùn)練樣本不斷充分地學(xué)習(xí)，具有很好的識別學(xué)過的樣本的能力，并且對未知樣本也具有一定的檢測能力。但是對于U2R類型的攻擊，由于攻擊特征主要存在于網(wǎng)絡(luò)數(shù)據(jù)包的數(shù)據(jù)段中，并且在基本特征部分、時(shí)間的統(tǒng)計(jì)特征、主機(jī)流量特征與normal接近，使用小波神經(jīng)網(wǎng)絡(luò)基本無法檢測。SNORT系統(tǒng)模塊通過在網(wǎng)絡(luò)數(shù)據(jù)包的數(shù)據(jù)中搜索特定的字符串如：“ida”、“/bin/sh”等，可以檢測出已知的buffer_overflow類型入侵。由此可見小波神經(jīng)網(wǎng)絡(luò)和SNORT入侵檢測系統(tǒng)相結(jié)合，其系統(tǒng)檢測性能更加全面。結(jié)論入侵檢測是確保網(wǎng)絡(luò)安全的一個(gè)重要組成部分，入侵檢測系統(tǒng)的實(shí)現(xiàn)涉及廣泛的技術(shù)領(lǐng)域。特別是隨著網(wǎng)絡(luò)技術(shù)的發(fā)展，網(wǎng)絡(luò)傳輸?shù)暮Ａ繑?shù)據(jù)量越來越大，越來越復(fù)雜。同時(shí)入侵技術(shù)和手段也是日新月異，未知的攻擊行為層出不窮。需要借助一些新的方法和理論來改進(jìn)現(xiàn)有的檢測方法。人工智能方法拓展了現(xiàn)有的系統(tǒng)理論和方法。小波神經(jīng)網(wǎng)絡(luò)是基于小波分析所構(gòu)造的一種新型的神經(jīng)網(wǎng)絡(luò)模型，它充分繼承了小波分析與神經(jīng)網(wǎng)絡(luò)兩者的優(yōu)點(diǎn)因而具有更好的性能。一方面，小波變換通過尺度伸縮和平移對信號進(jìn)行多尺度分析，能有效提取信號的局部消息；另一方面，神經(jīng)網(wǎng)絡(luò)具有自學(xué)習(xí)、自適應(yīng)和容錯(cuò)性等特點(diǎn)，并且是一類通用函數(shù)逼近器。因此小波神經(jīng)網(wǎng)絡(luò)具有更強(qiáng)的逼近、容錯(cuò)能力。小波神經(jīng)網(wǎng)絡(luò)相比于其他前向的神經(jīng)網(wǎng)絡(luò)，它有明顯的優(yōu)點(diǎn)：首先，小波神經(jīng)網(wǎng)絡(luò)的基元和整個(gè)結(jié)構(gòu)是依據(jù)小波分析理論確定的，可以避免BP神經(jīng)網(wǎng)絡(luò)等結(jié)構(gòu)設(shè)計(jì)上的盲目性；其次，小波神經(jīng)網(wǎng)絡(luò)由更強(qiáng)的學(xué)習(xí)能力精度更高；再次，對同樣的學(xué)習(xí)任務(wù)，小波神經(jīng)網(wǎng)絡(luò)結(jié)構(gòu)更簡單，收斂速度更快。本文在對入侵檢測的原理及目前入侵檢測模型和方法進(jìn)行分析的基礎(chǔ)上，提出了基于小波神經(jīng)網(wǎng)絡(luò)和模式匹配相結(jié)合的入侵檢測系統(tǒng)模型。針對傳統(tǒng)神經(jīng)網(wǎng)絡(luò)和模式匹配在IDS數(shù)據(jù)處理上的不足，提出了取長補(bǔ)短、功能互補(bǔ)改進(jìn)的方法。在驗(yàn)證小波神經(jīng)網(wǎng)絡(luò)算法具有的較好的分類和推廣能力基礎(chǔ)上，將兩者結(jié)合起來應(yīng)用在入侵檢測上，提高了對攻擊的識別率和系統(tǒng)的整體性能。但是，本文在研究的過程中，也發(fā)現(xiàn)了許多問題，需要在今后的工作中進(jìn)一步學(xué)習(xí)和研究，首先是樣本數(shù)據(jù)特征向量的選擇，從仿真實(shí)驗(yàn)中得知，特征向量選擇合適與否也會影響到網(wǎng)絡(luò)訓(xùn)練的效果以及測試的結(jié)果；其次是小波網(wǎng)絡(luò)的閾值、權(quán)值以及平移因子和伸縮因子如何初始化的問題，目前也沒有可供參考的理論；還有就是隱含層節(jié)點(diǎn)數(shù)的確定問題，可見沒有成熟的理論做指導(dǎo)，研究人員都是根據(jù)經(jīng)驗(yàn)公式確定范圍，然后再在實(shí)驗(yàn)中調(diào)試，從而選擇最優(yōu)的參數(shù)。最后，小波網(wǎng)絡(luò)的學(xué)習(xí)率和動量系數(shù)的選取也是一個(gè)值得研究的課題。總之，小波神經(jīng)網(wǎng)絡(luò)應(yīng)用到入侵檢測技術(shù)中，還需要不斷的深入研究和實(shí)驗(yàn)進(jìn)一步提高小波網(wǎng)絡(luò)的性能。參考文獻(xiàn)[1] 張杰，戴英俠，入侵檢測系統(tǒng)技術(shù)現(xiàn)狀及其發(fā)展趨勢[J]，計(jì)算機(jī)與通信，：2832[2] 神經(jīng)網(wǎng)絡(luò)實(shí)用教程/張良均等編。北京：機(jī)械工業(yè)出版社，[3] Wenke L，Salvatore mining approaches for intrusion Workshop：AI approaches to fraud detection and risk management，NewYork，1997.[4] 計(jì)算機(jī)網(wǎng)絡(luò)與信息安全技術(shù)/俞承杭編著。北京：機(jī)械工業(yè)出版社，:151153[5] 戴英俠，連一峰。系統(tǒng)安全與入侵檢測[M]。北京： [6] 唐洪英，付國瑜，入侵檢測的原理與方法[J]，重慶工學(xué)院學(xué)報(bào)，：71－73[7] 譚曉玲，基于小波變換入侵檢測方法[J]。重慶三峽學(xué)院，2005,2:2829.[8] 盛愛蘭，李舜酩。小波分析及其應(yīng)用的研究現(xiàn)狀和發(fā)展趨勢[J]。淄博學(xué)院院報(bào)（自然科學(xué)與工程版），2001，3。 [9] MATLAB語言高級編程/：機(jī)械工業(yè)出版社，[10] 蔣宗禮。人工神經(jīng)網(wǎng)絡(luò)導(dǎo)論[M]。北京：高等教育出版社，2001,8:1529[11] 張紅英，吳斌。小波神經(jīng)網(wǎng)絡(luò)的研究及其展望[J]。西南工學(xué)院學(xué)報(bào)，2002,1723[12] 劉美蘭，姚京松。神經(jīng)網(wǎng)絡(luò)在入侵檢測系統(tǒng)中的應(yīng)用[J]。計(jì)算機(jī)工程與應(yīng)用。19966,6:3738。[13] MATLAB程序設(shè)計(jì)與應(yīng)用/：清華大學(xué)出版社；北京交通大學(xué)出版社， [14] 向宏，楊小東?；谏窠?jīng)網(wǎng)絡(luò)的入侵檢測研究與設(shè)計(jì)[J]。網(wǎng)絡(luò)安全技術(shù)與應(yīng)用2004,10：2425 [15] 附錄（由于數(shù)據(jù)比較多，只截取部分?jǐn)?shù)據(jù)）KDDCup99中數(shù)據(jù)樣本 規(guī)劃過的數(shù)據(jù)樣本