【正文】 它與平均值法和多數(shù)選舉法比較，更適合于大規(guī)模神經(jīng)網(wǎng)絡(luò)的集成。采用遺傳算法選擇個體網(wǎng)絡(luò)的神經(jīng)網(wǎng)絡(luò)集成有很多的優(yōu)點。 結(jié)論 本文 探討了集成神經(jīng) 網(wǎng)絡(luò) 在 入侵檢測方面的應(yīng)用， 先說明了現(xiàn)在的網(wǎng)絡(luò)安全的嚴(yán)峻性和重要性，又 對各種檢測系統(tǒng)進(jìn)行了對比，說明它們的不足和局限性， 指出神經(jīng)網(wǎng)絡(luò)應(yīng)用于入侵檢測系統(tǒng)具有廣闊的研究前景。出現(xiàn)這種現(xiàn)象的原因可能與神經(jīng)網(wǎng)絡(luò)訓(xùn)練的樣本數(shù)有關(guān)， land 攻擊在訓(xùn)練庫中占的比例最大，而teardrop 攻擊在訓(xùn)練庫中占的比例最小。 27 圖 54 集成神經(jīng)網(wǎng)絡(luò) 訓(xùn)練過程 部分程序（ BP 和 RBF）如 圖 55。 仿真實驗 導(dǎo)入數(shù)據(jù) 把要輸入的數(shù)據(jù)集和期望輸出的數(shù)據(jù) 集導(dǎo)入 matlab，并分別命名為 book1 和 book2。預(yù)處理過程包括：編碼、特征分類、特征值 歸一化，具體方法和步驟如下： Protocol_type 字段編碼 ： TCP UDP ICMP 1 2 3 攻擊類型編碼： Normal Back Buffer_overflow ftp_write Guess_passwd 0 1 2 3 4 Imap Ipsweep Land Loadmodule Multihop 5 6 7 8 9 Neptune Nmap Perl Phf Pod 10 11 12 13 14 Portsweep Rootkit Satan Smurf Spy 15 16 17 18 19 Teardrop Warezclient Warezmaster Dos 20 21 22 23 實驗中，為了便于處理和分析，我們對數(shù)據(jù)集中的連續(xù)特征值進(jìn)行了歸一化處理。 圖 51 神經(jīng)網(wǎng)絡(luò)工具箱 實驗數(shù)據(jù)源 實驗的數(shù)據(jù) 取自 KDDCUP09 數(shù)據(jù)集。 網(wǎng)絡(luò) 的集成輸出 在此采用簡單平均法 ，即對所選取的個體神經(jīng)網(wǎng)絡(luò)的輸出值作簡單的算術(shù)平均，作為集成神經(jīng)網(wǎng)絡(luò)的總輸出，通過對總的輸出值選擇恰當(dāng)?shù)拈撝担袛嗑W(wǎng)絡(luò)是否存在入侵行為。 4)將提取的父代和生成的子代按公式 (9)求出其適應(yīng)度。初始種群中 的其它 染色體全 部參與集成即 18 個神經(jīng)網(wǎng)絡(luò)全為 1。 個體網(wǎng)絡(luò)的構(gòu)建 構(gòu)建三種不同類型的神經(jīng)網(wǎng)絡(luò)即 BP 神經(jīng)網(wǎng)絡(luò)、 RBF 神經(jīng)網(wǎng)絡(luò)和自組織競爭人工神經(jīng)網(wǎng)絡(luò) ，每一類按照隱含層神經(jīng)元個數(shù)和學(xué)習(xí)率的不同分為 6 個神經(jīng)網(wǎng)絡(luò)，共計 18 個神經(jīng)網(wǎng)絡(luò)，如 下圖 44 所示 。 這 4 個運行參數(shù)對遺傳算法的求解結(jié)果和求解效率都有一定的影響。 1） M：群體大小，即群體中所含個體的數(shù)量，一般取為 20~100。 基因重組是結(jié)合來自父代交配種群中的信息產(chǎn)生新的個體。 選擇運算使用比例選擇算子 。 2） 個體適應(yīng)度評價 基本遺傳算法按與個體適應(yīng)度成正比的概率來決定當(dāng)前群體中每個個體遺傳到下一代群體中的機(jī)會多少。 基本遺傳算法 基本遺傳算法只使用選擇算子、交叉算子和變異算子這三種基本遺傳算子，其遺傳進(jìn)化操作過程簡單，容易理解，是其他一些遺傳算法的雛形和基礎(chǔ)，它不僅給各種遺傳算法提供了一個基本框架，同時也具有一定的應(yīng)用價值。 1）確定決策變量及其各種約束條件，即確定出個體的表現(xiàn)型 X 和問題的解空間； 2）建立優(yōu)化模型，即確定出目標(biāo)函數(shù)的類型（是求目標(biāo)函數(shù)的最大值還是求目標(biāo)函數(shù)的最小值）及其數(shù)學(xué)描述形式或量化方法； 3）確定表示可行解的染色體編碼方法，也即確定出個體的基因型 X 及遺傳算法的搜索空間； 4）確定解碼方法，即確定出個體基因型 X 到個體表現(xiàn)型 X 的對應(yīng)關(guān)系或轉(zhuǎn)換方法； 5）確定個體適應(yīng)度的量化評價方法，即確定出由目標(biāo)函數(shù)值 f（ x）到個體適應(yīng)度 F（ x）的轉(zhuǎn)換規(guī)則； 6）設(shè)計遺傳算子，即確定出選擇運算、交叉運算、變異運算等遺傳算子的具體操作方法； 7）確定遺傳算法的有關(guān)運行參數(shù)，即確定出遺傳算法的 M,T,Pc,Pm等參數(shù)。初代種群產(chǎn)生之后，按照適者生存和優(yōu)勝劣汰的原理，逐代演化產(chǎn)生出越來越好的近視解。每個個體實質(zhì)上是染色體（ chromosome）帶有特征的實體。 遺傳算法的定義 遺傳算法是一種模仿自然界生物進(jìn)化思想而得出的一種自適應(yīng)啟發(fā)式全局搜索算法，其實質(zhì)是由復(fù)制 — 交換 — 變異算子組成的周而復(fù) 始的循環(huán)過程。 設(shè)神經(jīng)網(wǎng)絡(luò)輸入 x∈ Rm 滿足分布 P(x)，輸入 x的目標(biāo)輸出 d(x)，神經(jīng)網(wǎng)絡(luò) fi (i=1， 2，?，N)的輸出為 fi(x)，各神經(jīng)網(wǎng)絡(luò)的權(quán)值為 iw (i=1， 2，?， N)。這13 個特征組成了入侵檢測中的一條特征，用它們可以描述網(wǎng)絡(luò)中出現(xiàn)的攻擊行為。如果集成神經(jīng)網(wǎng)絡(luò)認(rèn)為是一種攻擊行為 ，它將向用戶報警。 15 4 基于 集成 神經(jīng)網(wǎng)絡(luò)的入侵檢測系統(tǒng) 系統(tǒng)設(shè)計 系統(tǒng)工作原理 設(shè)計的集成神經(jīng)網(wǎng)絡(luò)入侵檢測系統(tǒng)體系結(jié)構(gòu)如圖 41 所示。另一方面，神經(jīng)網(wǎng)絡(luò)的訓(xùn)練和學(xué)習(xí)能力，往往是通過內(nèi)部的權(quán)值連接和拓?fù)浣Y(jié)構(gòu)來實現(xiàn)和存儲的，對于最終判定結(jié)果的產(chǎn)生，通常難以具體解釋詳細(xì)的判定過程，產(chǎn)生確定性的判定步驟。 2） 需要解決神經(jīng)網(wǎng)絡(luò)的解釋能力不足的問題。此種并行計算模式所具有的潛在高速計算能力對于入侵檢測來說，就意味著在很短時間內(nèi)，能夠處理更多的檢測規(guī)則或者特征值，同時也意味著在更短時間內(nèi)發(fā)現(xiàn)入侵行為，減少可能的系統(tǒng)損失。計算部件在計算前必須存儲部件中取出指令和待處理數(shù)據(jù)，然后進(jìn)行計算，最后將計算結(jié)果返送回存儲器。通過對輸入正常樣本和異常樣本的不斷訓(xùn)練學(xué)習(xí)，神經(jīng)網(wǎng)絡(luò)不僅能夠以很高的準(zhǔn)確率識別出 訓(xùn)練樣本中已知的入侵行為特征，而且能夠以一定的概率識別出新的入侵行為特征和已知入侵行為的變種形式。神經(jīng)網(wǎng)絡(luò)以其獨特的結(jié)構(gòu)和處理信息的方法，在許多實際應(yīng)用領(lǐng)域中取得了顯著的成效 [9]。吸引域越大，網(wǎng)絡(luò)從部分信息恢復(fù)全部信息的能力越大，表明網(wǎng)絡(luò)的容錯性越大。 神經(jīng)網(wǎng)絡(luò)的基本性質(zhì)及優(yōu)點 神經(jīng)網(wǎng)絡(luò)的基本性質(zhì)主 要包括：收斂性、容錯性、魯棒性及推廣性等。 2） Boltzman機(jī)學(xué)習(xí)規(guī) 則 Boltzman機(jī)學(xué)習(xí)規(guī)則提供了學(xué)習(xí)隱結(jié)點的一個有效方法，能學(xué)習(xí)復(fù)雜的非線性可分函數(shù)。 學(xué)習(xí)是神 經(jīng)網(wǎng)絡(luò)最重要的一個能力，學(xué)習(xí)算法是神經(jīng)網(wǎng)絡(luò)的核心問題之一。相互結(jié)合網(wǎng)絡(luò)屬于網(wǎng)絡(luò)結(jié)構(gòu)，任意兩個神經(jīng)元之間可能有連接； 4） 混合型網(wǎng)絡(luò)。 神經(jīng)網(wǎng)絡(luò)在目前已有幾十種不同的模型。若是連續(xù)的，它可以取任意實數(shù)（無界的），也可以取某個最大值與最小值之間的數(shù)（有界的）；若是離散的，則可取二值、三值或一個小的有限數(shù)集。若將閥值也看作一個權(quán)值，則式（ 31）可改寫為 11 Nixwfx Nj jiji ，???????? ?? ,2,1),( 0 （ 32） 此時有 ii xw ???00 ， 0xw =1，這就是最初的 MP 模型 . 但是，這種簡單的 MP 模型沒有考慮時間整合、不應(yīng)期、延時和數(shù)模轉(zhuǎn)換等作用。 人工神經(jīng)元模型 根據(jù)生物神經(jīng)元的結(jié)構(gòu)和功能，從 20 世紀(jì) 40 年代開始，人們提出了大量的人工神經(jīng)元模型，其中影響較大的是 1943 年美國心理學(xué)家 McCulloch 和數(shù)學(xué)家 Pitts 共同提出的形式神經(jīng)元模型通常稱之為 MP 模型。前一神經(jīng)元的信息經(jīng)由起軸突傳到末梢之后，通過突觸對后面各個神經(jīng)元產(chǎn)生影響。胞體一般生成有許多樹狀突起物，稱之為樹突， 10 它是神經(jīng)元的主要接收器。胞體是神經(jīng)元的代謝中心， 每個細(xì)胞體有大量的樹突（輸入端）和軸突（輸出端），不同神經(jīng)元的軸突和樹突互連的結(jié)合部為突觸，突觸決定神經(jīng)元之間的連接強度和作用性質(zhì)，而每個神經(jīng)元胞體本身則是一非線性輸入、輸出單元。從控制理論的觀點來看，神經(jīng)網(wǎng)絡(luò)處理非線性的能力是最有意義的；從系統(tǒng)辨識和模式識別的角度考慮，神經(jīng)網(wǎng)絡(luò)跟蹤和識別非線性的能力是其最大的優(yōu)勢。從而肯定了具備學(xué)習(xí)能力的神經(jīng)網(wǎng)絡(luò)在入侵檢測中的光明應(yīng)用前景。從本質(zhì)上講，人工神經(jīng)網(wǎng)絡(luò)實現(xiàn)的是一種從輸入到輸出的映射關(guān)系，其輸出值由輸入樣本、神經(jīng)元間的互連權(quán)值以及傳遞函數(shù)所決定。因為它只關(guān)注單個異常事件的出現(xiàn)與否，而對事件狀態(tài)隨時間發(fā)生的變化情況無法處理。更為嚴(yán)重的后果是造成安全管理員虛假的安全表象，導(dǎo)致重大的安全漏洞和隱患。 8 但是，隨著系統(tǒng)安全環(huán)境特別是網(wǎng)絡(luò)系統(tǒng)安全形式的變化，傳統(tǒng)的基于專家系統(tǒng)的檢測技術(shù)暴露出若干局限性和不足。 4） 文件完整性檢查式入侵檢測系統(tǒng) 文件完整性檢查式入侵檢測系統(tǒng)檢查計算機(jī)中自上次檢查后文件的變化情況。 2） 基于網(wǎng)絡(luò)的入侵檢測系統(tǒng) 基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)（ Networkbased Intrusion Detection System， NIDS）一般安裝在需要保護(hù)的網(wǎng)段中，實時監(jiān)視網(wǎng)段中傳輸?shù)母鞣N數(shù)據(jù)包，并對這些數(shù)據(jù)包進(jìn)行分析和檢測，如果發(fā)現(xiàn)入侵行為或可疑事件，入侵檢測系統(tǒng)就會發(fā)出報警，甚至切斷網(wǎng)路連接。這種技術(shù)正逐漸進(jìn)入成熟應(yīng)用階段。根據(jù)這一假設(shè)建立主體正?；顒拥模?“ 活動簡檔 ” ），將當(dāng)前主體的活動狀況與 “ 活動簡檔 ”相比較，當(dāng)違反其統(tǒng)計規(guī)律時，認(rèn)為改活動可能是 “ 入侵 ” 行為。 這一檢測（ signaturebased intrusion detection） 假設(shè)入侵者的活動可以用一種模式來表示，系統(tǒng)的目標(biāo)是檢測主體活動是否符合這些模式。 入侵檢測系統(tǒng)的分類 入侵檢測系統(tǒng)可以按不同的方法進(jìn)行分類，其中，按檢測技術(shù)、數(shù)據(jù)來源、體系結(jié)構(gòu)及時效性進(jìn)行分類是應(yīng)用最多的分類方法。 2） 分析該信息，試圖尋找入侵活動的特征。 3） 數(shù)據(jù)分析 采用統(tǒng)計、智能算法等方法分析經(jīng)過初步處理的數(shù)據(jù)，檢查數(shù)據(jù)是否正常，或顯示存在入侵。 5 1） 數(shù)據(jù)收集 數(shù)據(jù)收集是入侵檢測的基 礎(chǔ)，通過不同途徑收集的數(shù)據(jù)，需要采用不同的方法進(jìn)行分析。關(guān)于 “ 入侵檢測 ” 的定義為：入侵檢測是對企圖入侵、正在進(jìn)行的入侵或者已經(jīng)發(fā)生的入侵進(jìn)行識別的過程。入侵檢測是防火墻的合理補充，它幫助系統(tǒng)對付網(wǎng)絡(luò)攻擊，擴(kuò)展了系統(tǒng)管理員的安全管理能力，提高了信息安全 基礎(chǔ)結(jié)構(gòu)的完整性。 4 2 入侵檢測技術(shù)簡介 研究入侵檢測的必要性 在網(wǎng)絡(luò)安全技術(shù)中，防火墻是第一道防御屏障。 最后 論述了整個算法的思想和步驟，對個體網(wǎng)絡(luò)的構(gòu)建和選擇進(jìn)行分析，最后論述了網(wǎng)絡(luò)的集成輸出。 第 四 章 基于 集成 神經(jīng)網(wǎng)絡(luò)的入侵檢測系統(tǒng) 。 對研究入侵檢測的必要性進(jìn)行說明和介紹相關(guān)的概念以及入侵檢測工作的基本原理和工作模式。 Hansen和 Salamon把各種 神經(jīng)網(wǎng)絡(luò)集成在一起，形成集成神經(jīng)網(wǎng)絡(luò)。而且它具備高度的學(xué)習(xí)和自適應(yīng)能力。所采用方法是首先選擇一組關(guān)鍵詞表，然后在會話數(shù)據(jù)中對各個關(guān)鍵詞進(jìn)行計數(shù)并形成 n維的輸入特征矢量（ n為關(guān)鍵詞個數(shù)）。實驗結(jié)果表 明，能夠 較 好地檢測到單位時間不同頻率的口令試探行為。訓(xùn)練完畢后，對測試樣本集進(jìn)行測試。 Ryan等人對用戶每天所執(zhí)行的 Shell 命令進(jìn)行統(tǒng)計計數(shù)，并采用標(biāo)準(zhǔn)的 BP 網(wǎng)絡(luò)對所形成的用戶行為特征矢量（由各個命令的執(zhí)行次數(shù)組成）進(jìn)行訓(xùn)練和識別。 Ghosh 和 Schwartzbard 采用基于多層感知器（ MLP）的異常檢測模型，通過對程序執(zhí)行中系統(tǒng)調(diào)用序列記錄的分析，來監(jiān)視特定的程序的運行狀態(tài)。 國內(nèi)外研究現(xiàn)狀 對于神經(jīng)網(wǎng)絡(luò)技術(shù)在入侵檢測中的應(yīng)用，前人已經(jīng)做了若干研究工作。近年來，大量不同于傳統(tǒng)專家系統(tǒng)技術(shù)的入侵 2 檢測方法紛紛涌現(xiàn)，其中基于人工神經(jīng)網(wǎng)絡(luò)檢測技術(shù)的發(fā)展尤為突出。入侵檢測技術(shù)是一種動態(tài)的網(wǎng)絡(luò)檢測技術(shù)，主要用于識別對計算機(jī)和網(wǎng)絡(luò)資源的惡意使用行為，包括來自外部用戶的入侵行為和內(nèi)部用戶的未經(jīng)授權(quán)活動。一般它位于路由器之后，為進(jìn)出網(wǎng)絡(luò)的連接提供安全訪問控制。如何能在 在不影響網(wǎng)絡(luò)性能的情況下能對網(wǎng)絡(luò)進(jìn)行監(jiān)測，提供對內(nèi)部攻擊、外部攻擊和誤操作的實時保護(hù) ， 是 網(wǎng)絡(luò)安全的重要課題。 為了提高入侵檢測系統(tǒng)的檢測能力， 本文 在了解信息安全和入侵檢測概念的基礎(chǔ)上，分析神經(jīng)網(wǎng)絡(luò)模型，采用單個神經(jīng)網(wǎng)絡(luò)分別對樣 本進(jìn)行訓(xùn)練，然后，通過遺傳算法尋找那些差異較大的神經(jīng)網(wǎng)絡(luò)進(jìn)行集成，并將研究的模型應(yīng)用于入侵檢測系統(tǒng)中，提出相應(yīng)的處理方案，得到最后的結(jié)果。 目 錄 摘要 .................................................................................................................................................. I ABSTRACT ....................................................................................................................................II 1 引言 ........................................................................................................................................... 1 研究的背景和意義 .