【正文】 設計，如調(diào)整隱含層的單元數(shù)量、增加隱含層的層數(shù)，來提高小波神經(jīng)網(wǎng)絡模塊的檢測能力 ，但誤判是無法避免的，針對那些無法正確識別的入侵行為，通過分析其特征，抽取特征描述，做成SNORT系統(tǒng)檢測模塊的規(guī)則，添加到規(guī)則庫中，檢測時，SNORT系統(tǒng)模塊也對該內(nèi)容進行檢測，從而實現(xiàn)系統(tǒng)性能的完善。該模式的檢測范圍分配可以描述如下公式： 其中O(x)表示小波神經(jīng)網(wǎng)絡模塊的檢測范圍，P(x)SNOR表示SNORT系統(tǒng)模塊的檢測范圍。（2）嵌入式工作模式SNORT檢測模塊小波神經(jīng)網(wǎng)絡檢測模塊訓練樣本庫捕捉模塊預處理模塊規(guī)則庫日志模塊圖43 嵌入式工作模式圖結(jié)合圖43，對該工作模式概述如下：在該模式下，由于一個網(wǎng)絡數(shù)據(jù)包要分別經(jīng)過小波神經(jīng)網(wǎng)絡模塊和SNORT系統(tǒng)模塊的檢測，增加了系統(tǒng)的工作量，因此系統(tǒng)的檢測速度對于功能互補式工作模式要低很多。 下面通過對該模式的工作過程的介紹，進一步驗證其必要性。1)處理模塊將每個網(wǎng)絡數(shù)據(jù)包分別生成小波神經(jīng)網(wǎng)絡和SNORT系統(tǒng)模塊兩個模塊的輸入，然后各自提交給兩個模塊檢測。小波神經(jīng)網(wǎng)絡模塊檢測異常的網(wǎng)絡數(shù)據(jù)包要提交給SNORT系統(tǒng)檢測模塊進行對比，如果兩者都判定該數(shù)據(jù)包為入侵行為，寫入日志中。SNORT系統(tǒng)檢測模塊的報警信息直接記錄到日志中。2）對于那些小波神經(jīng)網(wǎng)絡模塊判定異常而SNORT系統(tǒng)模塊判定為正常的數(shù)據(jù)，則要提交給管理人員來判讀，如果是正常數(shù)據(jù)，生成小波神經(jīng)網(wǎng)絡的樣本，加入樣本庫中，避免重復誤判。如果是異常數(shù)據(jù)，生成神經(jīng)網(wǎng)絡的訓練樣本和SNORT系統(tǒng)的規(guī)則，提高系統(tǒng)對新型入侵方式和變種入侵的識別能力。小波神經(jīng)網(wǎng)絡實現(xiàn)上述功能的方法可以描述如下：，但是在實現(xiàn)上有很大的區(qū)別，SNORT系統(tǒng)模塊可以檢測到在規(guī)則庫中有記錄的那些入侵行為，而且具有極其高的檢測精度，然而對于那些在規(guī)則庫中不存在的入侵行為，它會視而不見，SNORT系統(tǒng)模塊對一個網(wǎng)絡行的判斷只能有兩種結(jié)果：是或不是。所以SNORT系統(tǒng)模塊所產(chǎn)生的誤判是絕對性的，針對某個網(wǎng)絡行為，無法給管理人員提供一個客觀的談判的概率度量。，該值是網(wǎng)絡行為屬于某類入侵行為的概率值，可以通過實驗確定兩個閾值Xmax和Xmin，小波神經(jīng)網(wǎng)絡模塊的輸出值大于閾值Xmax的行為，系統(tǒng)就判定為入侵行為。輸出值小于闕值Xmin的行為，系統(tǒng)就判定為非入侵行為。而對于那些介于閾值Xmax和Xmin之間的數(shù)據(jù)，則可以提交給管理人員分析處理?？偨Y(jié)上述分析，該系統(tǒng)模型是通過犧牲檢測速度的前提來實現(xiàn)系統(tǒng)最全面的檢測能力。推薦在如下一些情況下使用。如：要求安全級別較高，發(fā)現(xiàn)入侵行為的存在比檢測速度更為重要的場合；在明確知道受保護系統(tǒng)面臨攻擊的情況下，一方面可以對入侵行為的判定提供雙重認證，另一方面也可以對變種入侵和新型入侵具有一定的監(jiān)控能力。對管理人員分析入侵行為具有借鑒意義，減少分析數(shù)據(jù)的數(shù)量，減輕分析的工作量。在該模式下，小波神經(jīng)網(wǎng)絡檢測模塊依然是針對DOS攻擊、probing攻擊進行檢測，而SNORT系統(tǒng)檢測模塊則要檢測各種入侵模式，包括DOS攻擊、probing攻擊、U2R和R2L攻擊。該模式的檢測范圍分配可以描述為如下公式： 包含于本仿真實驗是在一個獨立的局域網(wǎng)內(nèi)進行系統(tǒng)的性能測試。其中小波神經(jīng)網(wǎng)的測試樣本集參考KDDCUP99[15]中數(shù)據(jù)。對于緩沖區(qū)溢出類攻擊行為，攻擊特征在數(shù)據(jù)包的數(shù)據(jù)段內(nèi)，因此其網(wǎng)絡連接特性與正常網(wǎng)絡通訊類似。在這種情況下，小波神經(jīng)網(wǎng)絡一般將入侵行為誤判為正常數(shù)據(jù)，發(fā)生漏報現(xiàn)象，且不會發(fā)出報警信息。而SNORT系統(tǒng)根據(jù)已知入侵模式，在數(shù)據(jù)包的數(shù)據(jù)段內(nèi)進行模式匹配搜索，從而檢測出入侵行為。 以下圖片為部分SNORT入侵檢測系統(tǒng)檢測的過程:圖44 可視化的入侵數(shù)據(jù)分析控制臺圖45 SNORT掃描 圖46基于tcp協(xié)議分析的模擬攻擊圖46小波神經(jīng)網(wǎng)絡監(jiān)視圖本仿真實驗采用：Satan、Smurf、ipsweep、normal、Buffer_overflow五種類型的模擬攻擊數(shù)據(jù)（數(shù)據(jù)樣本參照附錄），前四種數(shù)據(jù)類型包括20％的未學習過的樣本；其中模式匹配模塊只對Buffer_overflow類型攻擊進行初始化。實驗結(jié)果衡量指標：檢測率、誤報率、漏報率是衡量入侵檢測性能好壞的重要指標，其含義如下：檢測率：檢測出入侵事件的百分比。檢測率=（檢測出的入侵事件個數(shù)/總的入侵事件個數(shù)）*100%誤報率：正確的事件被誤檢為異常事件的百分比。誤報率=(被誤檢為入侵的事件個數(shù)/總的事件個數(shù))*100%漏報率：沒有被檢測出來的入侵事件百分比。漏報率=（漏報的入侵事件個數(shù)/總的事件個數(shù)）*100%檢測正確率：正確檢測的百分比。檢測正確率=（1誤報率漏報率）*100%表41 檢測KDDCup99入侵檢測實驗數(shù)據(jù)的標識類型標識類型含義具體分類標識Normal正常記錄normalDos拒絕服務攻擊SmurfProbing監(jiān)視和其他探測活動ipsweep、satanR2L來自遠程機器的非法訪問ftp_write、imapU2R普通用戶對本地超級用戶特權(quán)的非法訪問Buffer_overflow實驗結(jié)果分析，如下表： 表42 檢測數(shù)據(jù) 類型 樣本數(shù) 誤判數(shù) 檢測率 樣本數(shù) 誤判數(shù) 檢測率 Satan 158 10 \ \ \ Smurf 82 3 \ \ \ ipsweep 125 9 \ \ \ Buffer_overflow 160 157 2 160 1 normal 325 3 \ \ \ 通過仿真實驗及結(jié)果分析，可以得出這樣的結(jié)論：小波神經(jīng)網(wǎng)絡模塊經(jīng)過訓練樣本不斷充分地學習，具有很好的識別學過的樣本的能力，并且對未知樣本也具有一定的檢測能力。但是對于U2R類型的攻擊，由于攻擊特征主要存在于網(wǎng)絡數(shù)據(jù)包的數(shù)據(jù)段中，并且在基本特征部分、時間的統(tǒng)計特征、主機流量特征與normal接近，使用小波神經(jīng)網(wǎng)絡基本無法檢測。SNORT系統(tǒng)模塊通過在網(wǎng)絡數(shù)據(jù)包的數(shù)據(jù)中搜索特定的字符串如：“ida”、“/bin/sh”等，可以檢測出已知的buffer_overflow類型入侵。由此可見小波神經(jīng)網(wǎng)絡和SNORT入侵檢測系統(tǒng)相結(jié)合，其系統(tǒng)檢測性能更加全面。結(jié)論入侵檢測是確保網(wǎng)絡安全的一個重要組成部分，入侵檢測系統(tǒng)的實現(xiàn)涉及廣泛的技術(shù)領域。特別是隨著網(wǎng)絡技術(shù)的發(fā)展，網(wǎng)絡傳輸?shù)暮Ａ繑?shù)據(jù)量越來越大，越來越復雜。同時入侵技術(shù)和手段也是日新月異，未知的攻擊行為層出不窮。需要借助一些新的方法和理論來改進現(xiàn)有的檢測方法。人工智能方法拓展了現(xiàn)有的系統(tǒng)理論和方法。小波神經(jīng)網(wǎng)絡是基于小波分析所構(gòu)造的一種新型的神經(jīng)網(wǎng)絡模型，它充分繼承了小波分析與神經(jīng)網(wǎng)絡兩者的優(yōu)點因而具有更好的性能。一方面，小波變換通過尺度伸縮和平移對信號進行多尺度分析，能有效提取信號的局部消息；另一方面，神經(jīng)網(wǎng)絡具有自學習、自適應和容錯性等特點，并且是一類通用函數(shù)逼近器。因此小波神經(jīng)網(wǎng)絡具有更強的逼近、容錯能力。小波神經(jīng)網(wǎng)絡相比于其他前向的神經(jīng)網(wǎng)絡，它有明顯的優(yōu)點：首先，小波神經(jīng)網(wǎng)絡的基元和整個結(jié)構(gòu)是依據(jù)小波分析理論確定的，可以避免BP神經(jīng)網(wǎng)絡等結(jié)構(gòu)設計上的盲目性；其次，小波神經(jīng)網(wǎng)絡由更強的學習能力精度更高；再次，對同樣的學習任務，小波神經(jīng)網(wǎng)絡結(jié)構(gòu)更簡單，收斂速度更快。本文在對入侵檢測的原理及目前入侵檢測模型和方法進行分析的基礎上，提出了基于小波神經(jīng)網(wǎng)絡和模式匹配相結(jié)合的入侵檢測系統(tǒng)模型。針對傳統(tǒng)神經(jīng)網(wǎng)絡和模式匹配在IDS數(shù)據(jù)處理上的不足，提出了取長補短、功能互補改進的方法。在驗證小波神經(jīng)網(wǎng)絡算法具有的較好的分類和推廣能力基礎上，將兩者結(jié)合起來應用在入侵檢測上，提高了對攻擊的識別率和系統(tǒng)的整體性能。但是，本文在研究的過程中，也發(fā)現(xiàn)了許多問題，需要在今后的工作中進一步學習和研究，首先是樣本數(shù)據(jù)特征向量的選擇，從仿真實驗中得知，特征向量選擇合適與否也會影響到網(wǎng)絡訓練的效果以及測試的結(jié)果；其次是小波網(wǎng)絡的閾值、權(quán)值以及平移因子和伸縮因子如何初始化的問題，目前也沒有可供參考的理論；還有就是隱含層節(jié)點數(shù)的確定問題，可見沒有成熟的理論做指導，研究人員都是根據(jù)經(jīng)驗公式確定范圍，然后再在實驗中調(diào)試，從而選擇最優(yōu)的參數(shù)。最后，小波網(wǎng)絡的學習率和動量系數(shù)的選取也是一個值得研究的課題?？傊?，小波神經(jīng)網(wǎng)絡應用到入侵檢測技術(shù)中，還需要不斷的深入研究和實驗進一步提高小波網(wǎng)絡的性能。參考文獻[1] 張杰，戴英俠，入侵檢測系統(tǒng)技術(shù)現(xiàn)狀及其發(fā)展趨勢[J]，計算機與通信，：2832[2] 神經(jīng)網(wǎng)絡實用教程/張良均等編。北京：機械工業(yè)出版社，[3] Wenke L，Salvatore mining approaches for intrusion Workshop：AI approaches to fraud detection and risk management，NewYork，1997.[4] 計算機網(wǎng)絡與信息安全技術(shù)/俞承杭編著。北京：機械工業(yè)出版社，:151153[5] 戴英俠，連一峰。系統(tǒng)安全與入侵檢測[M]。北京： [6] 唐洪英，付國瑜，入侵檢測的原理與方法[J]，重慶工學院學報，：71－73[7] 譚曉玲，基于小波變換入侵檢測方法[J]。重慶三峽學院，2005,2:2829.[8] 盛愛蘭，李舜酩。小波分析及其應用的研究現(xiàn)狀和發(fā)展趨勢[J]。淄博學院院報（自然科學與工程版），2001，3。 [9] MATLAB語言高級編程/：機械工業(yè)出版社，[10] 蔣宗禮。人工神經(jīng)網(wǎng)絡導論[M]。北京：高等教育出版社，2001,8:1529[11] 張紅英，吳斌。小波神經(jīng)網(wǎng)絡的研究及其展望[J]。西南工學院學報，2002,1723[12] 劉美蘭，姚京松。神經(jīng)網(wǎng)絡在入侵檢測系統(tǒng)中的應用[J]。計算機工程與應用。19966,6:3738。[13] MATLAB程序設計與應用/：清華大學出版社；北京交通大學出版社， [14] 向宏，楊小東?；谏窠?jīng)網(wǎng)絡的入侵檢測研究與設計[J]。網(wǎng)絡安全技術(shù)與應用2004,10：2425 [15] 附錄（由于數(shù)據(jù)比較多，只截取部分數(shù)據(jù)）KDDCup99中數(shù)據(jù)樣本 規(guī)劃過的數(shù)據(jù)樣本