【正文】 由于集成神經(jīng)網(wǎng)絡(luò)克服了單個(gè)神經(jīng)網(wǎng)絡(luò)的缺陷，能夠較好地實(shí)現(xiàn)模式分類(lèi)的智能化，它在網(wǎng)絡(luò)安全中的應(yīng)用將會(huì)越來(lái)越廣泛。 利用 KDDCup09 入侵檢測(cè)數(shù)據(jù)集和用攻擊工具進(jìn)行模擬攻擊時(shí)捕獲的報(bào)文數(shù)據(jù)進(jìn)行了仿真實(shí)驗(yàn) ，所得到的性能令人滿意。首先，采用集成神經(jīng)網(wǎng)絡(luò)極大地提高神經(jīng)網(wǎng)絡(luò)的泛化能力。 對(duì) 基于集成神經(jīng)網(wǎng)絡(luò)的入侵檢測(cè) 系統(tǒng)的工作原理作了深入的分析 ， 特別是對(duì)集成學(xué)習(xí)的原理和遺傳算法作了詳細(xì)的分析，并指出了二者的優(yōu)越性。然后對(duì)人工神經(jīng)網(wǎng)絡(luò)作進(jìn)一步的分析，提出神經(jīng)網(wǎng)絡(luò)技術(shù)在入侵檢測(cè)中的應(yīng)用還存在缺陷和不足。 通過(guò)表 2 說(shuō)明，使用遺傳算法的選擇集成與目前流行的多數(shù)選舉算法和最小平均值算 28 法相比有更好的結(jié)果。從表 1 中看出集成神經(jīng)網(wǎng)絡(luò) 4 類(lèi)樣本數(shù)據(jù)中， 3 類(lèi)的檢測(cè)率都高于單個(gè)檢測(cè)率最好的網(wǎng)絡(luò)。在所有的入侵中 land 攻擊的檢測(cè)率最高，而 teardrop 攻擊的檢測(cè)率最低。 圖 55 matlab 程序 仿真實(shí)驗(yàn)數(shù)據(jù) 分析 表 51 集成神經(jīng)網(wǎng)絡(luò)與單個(gè)最佳神經(jīng)網(wǎng)絡(luò)結(jié)果的比較 類(lèi)型 單個(gè)神經(jīng)網(wǎng)絡(luò)檢測(cè)率 (％ ) 集成神經(jīng)網(wǎng)絡(luò)檢測(cè)率 (％ ) smurf land DOS teardrop 平均 表 52 各類(lèi)集成神經(jīng)網(wǎng)絡(luò)學(xué)習(xí)算法檢測(cè)率的比較 算 法 檢測(cè)率 (％ ) 遺傳算法 Luca Didaci 研究的多數(shù)投票法，平均算法和置信函數(shù)組合 [12] Sfinivas Makkamala 研究的最小平均誤差值 [13] 計(jì)算公式：檢測(cè)率 =正確檢測(cè)數(shù)據(jù)包數(shù) /實(shí)際攻擊數(shù)據(jù)包數(shù)。 集成神經(jīng)網(wǎng)絡(luò)對(duì)四種攻擊的訓(xùn)練過(guò)程如 圖 54。 25 如下 圖 所示 圖 52 數(shù)據(jù)導(dǎo) 入 訓(xùn)練過(guò)程 單個(gè)神經(jīng)網(wǎng)絡(luò)對(duì)四種攻擊類(lèi)型的 訓(xùn)練過(guò)程 如下 圖 53 所示 。MIN 和 MAX 分別是屬于 x變量的特征值的最小值和最大值。通過(guò)歸一化算法，數(shù)據(jù)集中的每一個(gè)連續(xù)型特征值被限定在 [,]范圍內(nèi)。實(shí)驗(yàn)中，我們首先對(duì)數(shù)據(jù)集進(jìn)行了預(yù)處理。 以下是某些數(shù)據(jù)包的信息： 0,tcp,SF,181,5450,0,0,0,0,0,1,0,0,0,0,0,0,0,0,0,0,8,8,9,9,1.00,normal. 0,tcp,smtp,SF,523,277,0,0,0,0,0,1,0,0,0,0,0,0,0,0,0,0,1,1,55,108,normal. 0,udp,domain_u,SF,32,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,1,3,56,46,teardrop. 0,icmp,ecr_i,SF,1032,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,511,511,255,255,smurf. 0,tcp,SF,54540,8314,0,0,0,2,0,1,1,0,0,0,0,0,0,0,0,0,5,5,25 24 5,255,land. 0,icmp,eco_i,SF,8,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,1,19,2,42,1.00,dos. 入侵檢測(cè)數(shù)據(jù)集預(yù)處理 實(shí)驗(yàn)使用的訓(xùn)練數(shù)據(jù)取自 KDDCUP09 數(shù)據(jù)集。 在 MATLAB 中，使用其外帶的神經(jīng)網(wǎng)絡(luò)工具箱，新建一個(gè)基于神經(jīng)網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)的仿真，神經(jīng)網(wǎng)絡(luò)工具箱 如圖 51 所示 。 23 5 仿真 實(shí)驗(yàn)分析 matlab 神經(jīng)網(wǎng)絡(luò)工具箱 實(shí)驗(yàn)中軟件采用 Windows XP、 Matlab。 7)通過(guò)若干次循環(huán) ，當(dāng)適應(yīng)度大于某一閾值，即認(rèn)為已局部?jī)?yōu)化，再對(duì)這些局部?jī)?yōu)化后的個(gè)體進(jìn)行變異，直到適應(yīng)度已達(dá)到我們確定的目標(biāo)為止。 5)在父代和子代組成的種群中，選取適應(yīng)度較大的一半個(gè)體作為新的種群，進(jìn)行交叉操作，形成第二代個(gè)體。 3)對(duì)父代中的六個(gè)子集 6321 ,..., ssss ，采用遺傳算法進(jìn)行交叉操作，形成它的下一代即子代，也稱(chēng)為第一代。把集成神經(jīng)網(wǎng)絡(luò)平均誤差的倒數(shù)作為遺傳算法的適應(yīng)度，即 ? ? sff vijji Cs 2 （ 49） 式中 V 為驗(yàn)證集 , ji ff, 為個(gè)體網(wǎng)絡(luò) ， VijC 為 ji ff, 個(gè)體網(wǎng)絡(luò)相關(guān)度 ，個(gè)體網(wǎng)絡(luò)相關(guān)度定義為 dxxdxfxdxfxPC jiij ))()() ) (()(()( ??? ? （ 410） 實(shí)驗(yàn)中采用的遺傳算法描述如下： 數(shù) 據(jù) 源 BP 神經(jīng)網(wǎng)絡(luò) RBF 神經(jīng)網(wǎng)絡(luò) 自組織神經(jīng)網(wǎng)絡(luò) 選擇個(gè)體網(wǎng)絡(luò)、集成輸出 22 1)獨(dú)立訓(xùn)練 18 個(gè)神經(jīng)網(wǎng)絡(luò) 18,321 ..., ffff 。 初始種群中的個(gè)體產(chǎn) 生方法是先把某一種攻擊中的一條樣本數(shù)據(jù)送入 18 個(gè)神經(jīng)網(wǎng)絡(luò)，計(jì)算每個(gè)網(wǎng)絡(luò)的輸出，這些輸出與驗(yàn)證集相比較，算出每一個(gè)個(gè)體網(wǎng)絡(luò)的泛化誤差 ，取泛化誤差最大的一個(gè)神經(jīng)網(wǎng)絡(luò)為 0，其余 17 個(gè)神經(jīng)網(wǎng)絡(luò)為 1，作為第一 條染色體 ；取泛化誤差較大的兩個(gè)神經(jīng)網(wǎng)絡(luò)為 0，其余 16 個(gè)神經(jīng)網(wǎng)絡(luò)為 1，作為第二 條染色體 ；依此方法產(chǎn)生五 條染色體 。 21 圖 43 神經(jīng)網(wǎng)絡(luò)集成的過(guò)程 個(gè)體網(wǎng)絡(luò)的選擇 首先訓(xùn)練出如前所述的 18 個(gè)個(gè)體神經(jīng)網(wǎng)絡(luò) 18,321 ..., ffff ，然后通過(guò)遺傳算法選擇{ 18,321 ..., ffff }中適合組成集成神經(jīng)網(wǎng)絡(luò)的子集 S。 基于遺傳算法的集成神經(jīng)網(wǎng)絡(luò)檢測(cè)方法 算法思想與步驟 在此采用的集成神經(jīng)網(wǎng)絡(luò)對(duì)網(wǎng)絡(luò)入侵的學(xué)習(xí)分為兩個(gè)步驟，首先，采用單個(gè)神經(jīng)網(wǎng)絡(luò)分別對(duì)樣本進(jìn)行訓(xùn)練，然后，通過(guò)遺傳算法尋找那些差異較大的神經(jīng)網(wǎng)絡(luò)進(jìn)行集成，得到最后的結(jié)果 。種群規(guī)模過(guò)小將影響搜索范圍，從而得不到最優(yōu)解；種群規(guī)模過(guò)大則搜索時(shí)間長(zhǎng)，搜索效率低。 4） pm：變異概率，一般取為 ~。 2） T：遺傳運(yùn)算的終止進(jìn)化代數(shù)，一般取為 100~500。 基本遺傳算法的運(yùn)行參數(shù) 基本遺傳有下述 4 個(gè)運(yùn)行參數(shù)需要提前設(shè)定。 最優(yōu)化問(wèn)題描述 適應(yīng)度 F（ X） 個(gè)體基因型 目標(biāo)函數(shù) f（ x） 個(gè)體表現(xiàn)型 X 解碼方法 確定運(yùn)行參數(shù) 編碼方法 設(shè)計(jì)遺傳算子 確定決策對(duì)象、約束條件 確定適宜度轉(zhuǎn)換規(guī)則 建立優(yōu)化模型 遺傳算法 第一步 第四步 第三步 第二步 第五步 第七步 第六步 圖 42 遺傳算法的構(gòu)造過(guò)程 20 變異運(yùn)算使用基本位變異算子或均因變異算子 。 交叉運(yùn)算使用單點(diǎn)交叉算子 。 選擇是用來(lái)確定重組或交叉?zhèn)€體，以及被選個(gè)體將產(chǎn)生多少個(gè)子代個(gè)體。 3） 遺傳算子 基本遺 傳算法使用下述三種遺傳算子。為正確計(jì)算這個(gè)概率，這里要求所有個(gè)體的適應(yīng)度必須為正數(shù)或零。如X=10110000101101 就可表示一個(gè)個(gè)體，該個(gè)體染色體長(zhǎng)度是 n=14。 1） 染色體編碼方法 基本遺傳算法使用固定長(zhǎng)度的二進(jìn)制符號(hào)串來(lái)表示群體中的個(gè)體，其等基因是由二值符號(hào)集 {0， 1}所組成的。如下圖 42 所示為遺傳算法的主要構(gòu)造過(guò)程示意圖。 由上述構(gòu)造步驟可以看出，運(yùn)行解的編碼方法、遺傳算子的設(shè)計(jì)是構(gòu)造遺傳算法時(shí)需要考慮的兩個(gè)主要問(wèn)題，也是設(shè)計(jì)遺傳算法時(shí)的兩個(gè)關(guān)鍵步驟。 18 對(duì)一個(gè)需要進(jìn)行優(yōu)化計(jì)算的實(shí)際應(yīng)用問(wèn)題，一般可按下述步驟來(lái)構(gòu)造求解該問(wèn)題的遺傳算法。在每一代，根據(jù)問(wèn)題域中個(gè)體的適應(yīng)度（ fitness）大小挑選（ selection）個(gè)體，并借助于自然遺傳學(xué)的遺傳算子（ geic operation）進(jìn)行組合交叉（ crossover）和變異（ mutation），產(chǎn)生出代表新的解集的種 群。由于仿照基因編碼的工作很復(fù)雜，我們往往進(jìn)行簡(jiǎn)化，如二進(jìn)制編碼。染色體作為遺傳物質(zhì)的主要載體，即多個(gè)基因的集合，其內(nèi)部表現(xiàn) (即基因型 )是某種基因組合，它決定了個(gè)體形狀的外部表現(xiàn)。 遺傳算法的基本思想 遺傳算法是從代表問(wèn)題可能潛在解集的一個(gè)種群（ population）開(kāi)始的，而一個(gè)種群則由經(jīng)過(guò)基因（ gene）編碼（ coding）的一定數(shù)目的個(gè)體（ individual）組成。這種方法由于仿效生物的進(jìn)化與遺傳，根據(jù)生存競(jìng)爭(zhēng)和優(yōu)勝劣汰的原則，借助復(fù)制、交換、變異等操作，使要解決的問(wèn)題一步步逼近最優(yōu)解和近優(yōu)解。 遺傳算法 1975 年，美國(guó)密執(zhí)安大學(xué)的心理學(xué)教授、電子工程學(xué)與計(jì)算機(jī)科學(xué)教授 Holland 和他的同事與學(xué)生共同研究了具有開(kāi)創(chuàng)意義的遺傳算法理論和方法 [11]。 集成神經(jīng)網(wǎng)絡(luò)中的每一個(gè)權(quán)值 iw 0，且 11 ???Ni iw (41) 集成神經(jīng)網(wǎng)絡(luò)在輸入 x下的輸出定義為： )(xfw ii ??? ? Ni ii xfwf 1 )( (42) 神經(jīng)網(wǎng)絡(luò) i的泛化誤差 Ei 和集成神經(jīng)網(wǎng)絡(luò)的泛化誤差 E分別為： 2))()(()( xfixdXd xPEi ?? ? (43) 2))()(()( xifxdXd xPE ??? ? (44) 網(wǎng)絡(luò)泛化誤差的加權(quán)平均為： ini iEwE ??? ?1 (45) 神經(jīng)網(wǎng)絡(luò)的差異度 iA 和集成神經(jīng)網(wǎng)絡(luò)的差異度 ?A 分別為： 2))()(()( xfxfXd xPA ii ??? ? (46) iNi iAwA ??? ?1 (47) 則集成神經(jīng)網(wǎng)絡(luò)的泛化誤差為： 17 21201 ))()(()())()(()( xfxfXd x PwxfxdXd x PwAEE ini ini i????? ?????? ???? (48) 從 (8)式看出如果集成神經(jīng)網(wǎng)絡(luò)中的各個(gè)個(gè)體網(wǎng)絡(luò)差異度很小，即對(duì)相同的輸入 ，集成網(wǎng)絡(luò)中的各個(gè)個(gè)體網(wǎng)絡(luò)都給出相同或相近的輸出，則集成差異度 為 0，網(wǎng)絡(luò)集成的泛化誤差與個(gè)體網(wǎng)絡(luò)的加權(quán)平均誤差相當(dāng)，而當(dāng)個(gè)體網(wǎng)絡(luò)差異較大時(shí)，其集成的差異度較大，泛化誤差將遠(yuǎn)小于個(gè)體網(wǎng)絡(luò)的加權(quán)平均誤差。集成學(xué) 習(xí)通常分為兩個(gè)步驟，首先，采用單個(gè)學(xué)習(xí)算法對(duì)樣本分別進(jìn)行訓(xùn)練，然后，對(duì)單個(gè)網(wǎng)絡(luò)的輸出按某種方法進(jìn)行集成，得到最后結(jié)果。 集成神經(jīng)網(wǎng)絡(luò)算法 Schapire 證明一個(gè)概念如果是弱可學(xué)習(xí)的，其充要條件是強(qiáng)可學(xué)習(xí)的。在綜合權(quán)衡各種攻擊手段后，本模型選取的入侵特征主要包括協(xié)議碼、被監(jiān)控網(wǎng)絡(luò) 數(shù)據(jù)采集 人機(jī)界面 特征提取 KPCA 遺傳算法集成神經(jīng)網(wǎng)絡(luò)分類(lèi)引擎 攻擊樣本庫(kù) 16 源地址 、 目的地址 、 源端口 、 目的端口 、 標(biāo)志位 、 數(shù)據(jù)報(bào)的類(lèi)型碼 、 數(shù)據(jù)報(bào)的代碼 、 報(bào)文頭部長(zhǎng)度、數(shù)據(jù)報(bào)長(zhǎng)度 、 報(bào)文數(shù)據(jù)段內(nèi)容 (取前 3O 個(gè)字節(jié) )、端口、數(shù)據(jù)報(bào)頭部校驗(yàn)和。如果發(fā)現(xiàn)了新的入侵行為 ，可以把它加入到攻擊樣本庫(kù)中實(shí)現(xiàn)對(duì)攻擊樣本庫(kù)的更新。集成神經(jīng)網(wǎng)絡(luò) 把輸入向量與攻擊樣本庫(kù)進(jìn)行比較，從而判別是否存在入侵。 圖 41 集成神經(jīng)網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)體系結(jié)構(gòu) 系統(tǒng)的工作原理是 ：數(shù)據(jù)采集模塊捕獲所有流經(jīng)系統(tǒng)監(jiān)測(cè)網(wǎng)段上的網(wǎng)絡(luò)數(shù)據(jù)流，把它 們送入特征提取模塊。要解決這個(gè)問(wèn)題，或許需要設(shè)計(jì)專(zhuān)門(mén)的神經(jīng)網(wǎng)絡(luò)計(jì)算芯片或者計(jì)算機(jī) [10]。 3） 執(zhí)行速度問(wèn)題。在這一點(diǎn)上，神經(jīng)網(wǎng)絡(luò)往往力不從心。神經(jīng)網(wǎng)絡(luò)具備很強(qiáng)的訓(xùn)練學(xué)習(xí)能力，能夠給出判定的類(lèi)別信息，但是對(duì)于具體發(fā)生的事件類(lèi)型，則缺乏明確的解釋能力。面對(duì)現(xiàn)實(shí)環(huán)境中數(shù)以千計(jì)的不同攻擊特征，要做到完 整識(shí)別，還需要進(jìn)行進(jìn)一步的研究工作。 目前，神經(jīng)網(wǎng)絡(luò)技術(shù)在入侵檢測(cè)中的應(yīng)用還存在以下缺陷和不足： 1） 需要解決神經(jīng)網(wǎng)絡(luò)對(duì)大容量入侵行為類(lèi)型的學(xué)習(xí)能力問(wèn)題。各個(gè)神經(jīng)元的工 作方式本質(zhì)上是完全并行的，從輸入到輸出的計(jì)算過(guò)程實(shí)質(zhì)上是權(quán)值的傳遞過(guò)程，而在值傳遞的過(guò)程中，就同時(shí)完成了信息的存儲(chǔ)過(guò)程。因此，存儲(chǔ)器和計(jì)算器之間的傳輸帶寬稱(chēng)為制約計(jì)算機(jī)性能的瓶頸。在傳統(tǒng)的計(jì)算技術(shù)中，計(jì)算和存儲(chǔ)是完全獨(dú)立的兩個(gè)部分。這種通過(guò)學(xué)習(xí)能夠識(shí)別全新入侵行為特征的能力，可以克服基于專(zhuān)家系統(tǒng)檢測(cè)技術(shù)的局限性。 2） 神經(jīng)網(wǎng)絡(luò)具備高度的學(xué)習(xí)和自適應(yīng)能力。 14 神經(jīng)網(wǎng)絡(luò)應(yīng)用于入侵檢測(cè) 神經(jīng)網(wǎng)絡(luò)技術(shù)應(yīng)用于入侵檢測(cè)領(lǐng)域具有以下優(yōu)勢(shì)： 1） 神經(jīng)網(wǎng)絡(luò)具有概括和抽象能力，對(duì)不完整輸入信息具有