【正文】 有一定程度的容錯(cuò)處理能力。 神經(jīng)網(wǎng)絡(luò)具有以下優(yōu)點(diǎn)： 1）具有 很強(qiáng)的魯棒性和容錯(cuò)性，這是因?yàn)樾畔⑹欠植即鎯?chǔ)于網(wǎng)絡(luò)內(nèi)的神經(jīng)元； 2）并行處理方法，人工神經(jīng)元網(wǎng)絡(luò)在結(jié)構(gòu)上是并行的 ，而且網(wǎng)絡(luò)的各個(gè)單元可以同時(shí)進(jìn)行類似的處理過(guò)程，使得計(jì)算加快； 3）自學(xué)習(xí)、自組織、自適應(yīng)性，神經(jīng)元之間的連接多種多樣，各元之間連接強(qiáng)度具有一定可塑性，使得神經(jīng)網(wǎng)絡(luò)可以處理不確定或不知道的系統(tǒng) ； 4） 可以充分逼近任意復(fù)雜的非線性關(guān)系； 5）具有很強(qiáng)的信息綜合能力，能同時(shí)處理定量和定性的信息，能很好的協(xié)調(diào)多種輸入信息關(guān)系，適用于處理 復(fù)雜非線性和不確定對(duì)象。神經(jīng)網(wǎng)絡(luò)的高度魯棒性使得網(wǎng)絡(luò)中的神經(jīng)元或突觸遭到破壞時(shí)網(wǎng)絡(luò)仍然具有學(xué)習(xí)和記憶能力，從而使網(wǎng)絡(luò)表現(xiàn)出高度的自組織性。容錯(cuò)性的研究歸結(jié)于神經(jīng)網(wǎng)絡(luò)動(dòng)力系統(tǒng)記憶模式吸引域的大小。 神經(jīng)網(wǎng)絡(luò)的收斂性是指神經(jīng)網(wǎng)絡(luò)的訓(xùn)練算法在有限次迭代之后可收斂到正確的權(quán)值或權(quán)向量。 3） 無(wú)導(dǎo)師學(xué)習(xí)規(guī)則 無(wú)導(dǎo)師學(xué)習(xí)規(guī)則提供了新的選擇，它利用自適應(yīng)學(xué)習(xí)法，使結(jié)點(diǎn)有選擇地接收輸入空間上的不同特性，從而拋棄了普通神經(jīng)網(wǎng)絡(luò)學(xué)習(xí)映射函數(shù)的學(xué)習(xí)概念，并提供了基于檢測(cè)特性空間的活動(dòng)規(guī)律的性能描寫。其主要缺點(diǎn)是學(xué)習(xí)速度太慢，因?yàn)樵谀M退火過(guò)程中要求當(dāng)系統(tǒng)進(jìn)入平衡時(shí)，“冷卻”必須慢慢進(jìn)行，否則易陷入局部極小。神經(jīng)網(wǎng)絡(luò)的學(xué)習(xí)規(guī)則有有導(dǎo)師學(xué)習(xí)和無(wú)導(dǎo)師學(xué)習(xí)兩大類，概括如下 1） 糾錯(cuò)規(guī)則 13 糾錯(cuò)規(guī)則基于梯度下降法，因此不能保證得到全局最優(yōu)解，同時(shí)要求大量的訓(xùn)練樣本，因此收斂速度慢；糾錯(cuò)規(guī)則對(duì)樣本的表示次序變化比較敏感，這就像導(dǎo)師必須認(rèn)真?zhèn)湔n，精心組織才能有效地讓學(xué)生學(xué)習(xí)。通常它也是一個(gè)強(qiáng)非線性系統(tǒng)，學(xué)習(xí)功能反映在神經(jīng)網(wǎng)絡(luò)模型中，就是突觸連接權(quán)值 Wij 可以按學(xué)習(xí)規(guī)則隨時(shí)間改變。前一階段較快，各單元的狀態(tài)也稱短期記憶，后一階段慢得多，權(quán)值及連接方式也稱長(zhǎng)期記憶。層次型網(wǎng)絡(luò)和網(wǎng)狀結(jié)構(gòu)網(wǎng)絡(luò)的一種結(jié)合。在 輸入層到輸出層存在反饋； 3） 相互結(jié)合型網(wǎng)絡(luò)。通常，人們較多地考慮神經(jīng)網(wǎng)絡(luò)的互連結(jié)構(gòu)，包括四種典型結(jié) 構(gòu)如圖 33 所是 ，分別是 1） 前饋網(wǎng)絡(luò)。一個(gè)神經(jīng)網(wǎng)絡(luò)由多個(gè)互連的神經(jīng)元組成，神經(jīng)元是神經(jīng)網(wǎng)絡(luò)的基本處理單元。 下圖 32 給出了一般化 MP 模型 [8]。不同的系統(tǒng)對(duì)活化值作了不同的假設(shè)，它可以是連續(xù)的，也可以是離散的。若考慮這些作用則可以發(fā)展出 MP 模型的許多變種。 Xj 為第 j 個(gè)神經(jīng)元向第 i 個(gè)神經(jīng)元的輸入； xi 為第 i 個(gè)神經(jīng)元的輸出； )(1?? ?Nj ijij xw ?為第 i 個(gè)神經(jīng)元凈輸入。 設(shè)有 N 個(gè)神經(jīng)元互聯(lián)，每個(gè)神經(jīng)元的活化狀態(tài) ix （ i=1， 2， 3， ? ， N）取 0 或 1，分別代表抑制和興奮。 隨著生物控制論的發(fā)展，人們對(duì)神經(jīng)元的結(jié)構(gòu)和功能有了進(jìn)一步的了解，神經(jīng)元不僅僅是一簡(jiǎn)單的雙穩(wěn)態(tài)邏輯元件，而且是超級(jí)的微型生物信息處理機(jī)或控 制單元 [7]。從生物控制論的觀點(diǎn)看，神經(jīng)元作為控制和信息處理的單元，具有常規(guī)的兩種工作狀態(tài)，興奮和抑制狀態(tài)，神經(jīng)沖動(dòng)眼神經(jīng)傳導(dǎo)的速度在1~150m/s 之間，在相鄰兩次沖動(dòng)之間需要一個(gè)時(shí)間間隔，即為不應(yīng)期。軸突的作用是傳導(dǎo)信息，通常軸突的末端分出很多末梢，他們與后一個(gè)神經(jīng)元的樹(shù)突構(gòu)成一種稱為突觸的機(jī)構(gòu)。胞體還延伸出一條管狀纖維組織，稱之為軸突，軸突外面包有一層較厚的絕緣組織，稱之 為髓鞘（梅林鞘）。胞體是神經(jīng)元的袋子額中心，它本身又由細(xì)胞核、內(nèi)質(zhì)網(wǎng)和高爾基體組成。一個(gè)神經(jīng)元的模型示意圖 如下圖 31 所 示。神經(jīng)元有胞體、樹(shù)突和軸突構(gòu)成。 神經(jīng)網(wǎng)絡(luò)模型 生物神經(jīng)元模型 正常人腦是由大約 1011~1012個(gè)神經(jīng)元組成的，神經(jīng)元是腦組織的基本單元。人工神經(jīng)網(wǎng)絡(luò)由于其大規(guī)模并行處理、容錯(cuò)性、自組織和自適應(yīng)能力以及聯(lián)想功能等特點(diǎn)，已成為解決問(wèn)題的有力工具， 對(duì)突破現(xiàn)有科學(xué)技術(shù)的瓶頸，更深入的探索非線性等復(fù)雜現(xiàn)象起到了重大的作用，并廣泛應(yīng)用于許多科學(xué)領(lǐng)域。 9 3 神經(jīng)網(wǎng)絡(luò)簡(jiǎn)介 神經(jīng)網(wǎng)絡(luò)的全稱是人工神經(jīng)網(wǎng)絡(luò)（ artificial neural work， ANN）是在現(xiàn)代神經(jīng)生物學(xué)研究成果的基礎(chǔ)上發(fā)展起來(lái)的一種模擬人腦信息處理機(jī)制的網(wǎng)絡(luò)系統(tǒng)，他不但具有處理數(shù)值數(shù)據(jù)的一般計(jì)算能力，而且還具有處理知識(shí)的思維、學(xué)習(xí)和記憶能力 [6]。但無(wú)論是單純采用異常入侵檢測(cè)技術(shù)，還是單純采用誤用入侵檢測(cè)技術(shù)，其檢測(cè)性能的理論上限都不會(huì)超過(guò)混合采用兩種技術(shù)思路方法的性能上 限。神經(jīng)網(wǎng)絡(luò)具備高度的學(xué)習(xí)和自適應(yīng)能力，通過(guò)學(xué)習(xí)能夠識(shí)別全新入侵行為特征的能力，可以克服基于專家系統(tǒng)檢測(cè)技術(shù)的局限性。 人工神經(jīng)網(wǎng)絡(luò)是模擬人腦加工、存儲(chǔ)和處理信息機(jī)制而提出的一 種智能化信息處理技術(shù)，它是由大量簡(jiǎn)單的處理單元（神經(jīng)元）進(jìn)行高度互連而形成的復(fù)雜網(wǎng)絡(luò)系統(tǒng)。 近年來(lái)，大量不同于傳統(tǒng)專家系統(tǒng)技術(shù)的入侵檢測(cè)方法紛紛涌現(xiàn)，其中基于人工神經(jīng)網(wǎng)絡(luò)檢測(cè)技術(shù)的發(fā)展尤為突出。 另一方面，如果采用更為通用的檢測(cè)規(guī)則，則有可能發(fā)生將合法用戶行為錯(cuò)誤認(rèn)定為非法行為 的虛假現(xiàn)象，更進(jìn)一步分析可知，專家系統(tǒng)的檢測(cè)方法對(duì)在時(shí)間上分散的攻擊活動(dòng)，或者是由多用戶發(fā)起的協(xié)同攻擊行為，也是很難奏效的。 其次，基于專家系統(tǒng)的檢測(cè)方法缺乏足夠的靈活性來(lái)檢測(cè)已知入侵方式的變種情況。因?yàn)閷＜蚁到y(tǒng)檢測(cè)技術(shù)完全依賴 于準(zhǔn)確的規(guī)則庫(kù)匹配方式進(jìn)行入侵檢測(cè)工作，所以一個(gè)陳舊的檢測(cè)規(guī)則庫(kù)帶來(lái)的后果可能就是漏檢大量的入侵檢測(cè)活動(dòng)。 首先，傳統(tǒng)的專家檢測(cè)技術(shù)需要維護(hù)一個(gè)復(fù)雜而龐大的規(guī)則庫(kù)。典型的入侵檢測(cè)系統(tǒng)，如 IDES和 NIDES系統(tǒng)等，都很好的實(shí)現(xiàn)了專家系統(tǒng)基于規(guī)則檢測(cè)的概念，并在實(shí)際應(yīng)用中取得了較好的效果。文件完整性檢查式入侵檢測(cè)系統(tǒng)保存有每個(gè)文件的數(shù)字文摘數(shù)據(jù)庫(kù)，每次檢查時(shí)，它重新計(jì)算文件的數(shù)字文摘并將它與數(shù)據(jù)庫(kù)中的值相比較，如不同，則文件已被修改，若相同，則文件未發(fā)生變化 [5]。如果這兩種系統(tǒng)能夠無(wú)縫地結(jié)合起來(lái)部署在網(wǎng)絡(luò)內(nèi)，這會(huì)構(gòu)架一套強(qiáng)大的、立體的主動(dòng)防御體系。 3） 混合式入侵檢測(cè)系統(tǒng) 基 于網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)和基于主機(jī)的入侵檢測(cè)系統(tǒng)都有不足之處，單純使用其中一種系統(tǒng)的主動(dòng)防御體系都不夠強(qiáng)大。 1） 基于主機(jī)的入侵檢測(cè)系統(tǒng) 基于主機(jī)的入侵檢測(cè)系統(tǒng)（ Hostbased Intrusion Detection System， HIDS）通常是安裝在被保護(hù)的主機(jī)上，主要是對(duì)改主機(jī)的網(wǎng)絡(luò)實(shí)時(shí)連接以及對(duì)系統(tǒng)審計(jì)日記進(jìn)行分析和檢查，當(dāng)發(fā)現(xiàn)可疑行為和安全違規(guī)事件時(shí)，系統(tǒng)就會(huì)像管理員報(bào)警，以便采取措施。協(xié)議分析大大減少了計(jì)算量，即使在高負(fù)載的高速網(wǎng)絡(luò)上，也能逐個(gè)分析所有的數(shù)據(jù)包。它充分利用了 網(wǎng)絡(luò)協(xié)議的高度有序性，并結(jié)合了高速數(shù)據(jù)包捕捉、協(xié)議分析和命令解析，來(lái)快速檢測(cè)某種攻擊特征是否存在。異常入侵檢測(cè)的難題在于如何建立 “ 活動(dòng)簡(jiǎn)檔 ” 以及如何設(shè)計(jì)統(tǒng)計(jì)算法，從而不把正常的操作誤認(rèn)為 “ 入侵 ” 或忽略真正的 “ 入侵 ” 行為。 2） 異常入侵檢測(cè) 異常入侵檢測(cè)（ anomaly intrusion detection）假設(shè)入侵者的活動(dòng)異常于正常主體的活動(dòng)。它可以將已有的入侵方法檢查出來(lái)，但對(duì)新的入侵方法無(wú)能為力。 1） 誤用入侵檢測(cè) 誤用入侵檢測(cè)（ misuse intrusion detection）又稱為基于特征的入侵檢測(cè) 。本文主要介紹 前兩者的分類方法。 數(shù)據(jù) 收集 數(shù)據(jù) 處理 數(shù)據(jù) 分析 響應(yīng) 處理 入侵檢測(cè)系統(tǒng) 具有脆弱性的系統(tǒng)和網(wǎng)絡(luò) 攻擊者 包 圖 21 入侵檢測(cè)系統(tǒng)的基本原理 6 入侵檢測(cè)系統(tǒng)的基本工作模式可以用如圖 22 所示的圖形來(lái)表示。 3） 自動(dòng)對(duì)檢測(cè)到的行為作出響應(yīng)。 入侵檢測(cè)系統(tǒng)的基本工作模式 入侵檢測(cè)系統(tǒng)的基本工作模式為： 1） 從系統(tǒng)的不同環(huán)節(jié)收集信息。 4） 響應(yīng)處理 當(dāng)發(fā)現(xiàn)入侵時(shí)，采取措施進(jìn)行防護(hù)、保留入侵證據(jù)并通知管理員。為了進(jìn)行全面、進(jìn)一步的分析，需要從原始數(shù)據(jù)中去除冗余、噪聲，并且進(jìn)行格式化及標(biāo)準(zhǔn)化處理。目前的數(shù)據(jù)主要有主機(jī)日記、網(wǎng)絡(luò)數(shù)據(jù)包、應(yīng)用程序數(shù)據(jù)、防火墻日志等。主要分為四個(gè)階段：數(shù)據(jù)收集、數(shù)據(jù)處理、數(shù)據(jù)分析和響應(yīng)處理。所有能夠執(zhí)行入侵檢測(cè)任務(wù)和功能的系統(tǒng)，都可成為入侵檢測(cè)系統(tǒng)，其中包括軟件系統(tǒng)和軟硬件結(jié)合的系統(tǒng)。 入侵檢測(cè)的相關(guān)概念 美國(guó)國(guó)家安全通信委員會(huì)（ NSTAC）下屬的入侵檢測(cè)小組（ IDSG）在 1997 年給出的關(guān)于 “ 入侵 ” 的定義為：入侵是對(duì)信息系統(tǒng)的非授權(quán)訪問(wèn)以及（或者）未經(jīng)許 可在信息系統(tǒng)中進(jìn)行的操作。入侵檢測(cè)技術(shù)是一種動(dòng)態(tài)的網(wǎng)絡(luò)檢測(cè)技術(shù)，主要用于識(shí)別對(duì)計(jì)算機(jī)和網(wǎng)絡(luò)資源的惡意使用行為，包括來(lái)自外部用戶的入侵行為和內(nèi)部用戶的未經(jīng)授權(quán)活動(dòng)。 信息安全的 PDRR 模型充分說(shuō)明了檢測(cè)的重要性。一般它位于路由器之后，為進(jìn)出網(wǎng)絡(luò)的連接提供安全訪問(wèn)控制。 最后 一章 對(duì) 本文進(jìn)行總結(jié)。 第 五章 仿真 實(shí)驗(yàn)分析。把集成學(xué)習(xí)原理和遺傳算法結(jié)合起來(lái)，從而來(lái)論述基于遺傳算法的集成神經(jīng)網(wǎng)絡(luò)檢測(cè)方法。本章 先提出系統(tǒng)的設(shè)計(jì)并對(duì)其工作原理進(jìn)行解釋，并提出集成學(xué)習(xí)和遺傳學(xué)習(xí)兩個(gè)概念 。本章首先介紹了 生物神經(jīng)元模型從而引 出人工神經(jīng)元模型，進(jìn)而對(duì)整個(gè)神經(jīng)網(wǎng)絡(luò)進(jìn)行了簡(jiǎn)介，并提出把神經(jīng)網(wǎng)絡(luò)應(yīng)用于入侵檢測(cè)系統(tǒng)。還對(duì)入侵檢測(cè)系統(tǒng)的分類進(jìn)行了介紹并提出入侵檢測(cè)目前存在的局限性和未來(lái)的發(fā)展。 第二章入侵檢測(cè)技術(shù)的 簡(jiǎn)介 。通過(guò)研究，證明集成神經(jīng)網(wǎng)絡(luò)可以提高系統(tǒng)的泛化能力。這一定理說(shuō)明，多個(gè)弱分類器可以集成為一個(gè)強(qiáng)分類器，由此奠定了集成學(xué)習(xí)的理論基礎(chǔ)。入侵檢測(cè)領(lǐng)域研究的重點(diǎn)之一是分類算法，單個(gè)的分類算法由于自身的原因，總存在各種缺陷，算法的泛化能力不強(qiáng)。 神經(jīng)網(wǎng)絡(luò)具有概括和抽象能力，對(duì)不完整輸入信息具有一定程度的容錯(cuò)處理能力。之 后，采用 MLP 網(wǎng)絡(luò)進(jìn)行訓(xùn)練和識(shí)別。 MIT 的 Lippmann和 Cunningham明確提出采用關(guān)鍵詞和神經(jīng)網(wǎng)絡(luò)相結(jié)合的方法進(jìn)行網(wǎng)絡(luò)入侵檢測(cè)并針對(duì) Tel 服務(wù)對(duì)話進(jìn)行了相關(guān)研究。 Bonifacio 3 等人首先構(gòu)建網(wǎng)絡(luò) 會(huì)話 的數(shù)據(jù)矢量，并對(duì)數(shù)據(jù)負(fù)載中的可疑特征字符串進(jìn)行編碼，連同目標(biāo)端口號(hào)一起構(gòu)成 BP 網(wǎng)絡(luò)的輸入特征矢量，送入神經(jīng)網(wǎng)絡(luò)進(jìn)行訓(xùn)練。 SOM 網(wǎng)絡(luò)主要用于對(duì)數(shù)據(jù)包中的負(fù)載內(nèi)容進(jìn)行分析，作為 MLP 網(wǎng)絡(luò)的預(yù)處理單元并起到特征降維的作用。實(shí)驗(yàn)結(jié)果表明，該模型可以從正常網(wǎng)絡(luò)流量中識(shí)別出諸如表示 ISS 和 Satan掃描、 SYN Flood 攻擊活動(dòng)的數(shù)據(jù)包。在基于 MLP 模型的入侵檢測(cè)技術(shù)中， Cannady等人根據(jù)網(wǎng)絡(luò)數(shù)據(jù)包的若干協(xié)議字段值（如協(xié)議類型、屬性字段值、負(fù)載長(zhǎng)度和內(nèi)容等）構(gòu)建特征矢量，提供給 MLP 網(wǎng)絡(luò)進(jìn)行訓(xùn)練學(xué)習(xí)。 隨著網(wǎng)絡(luò)互聯(lián)環(huán)境的飛速發(fā)展，基于網(wǎng)絡(luò)流量分析的入侵檢測(cè)技術(shù)逐漸流行。進(jìn)一步地， Ghosh 等人采用另一種神經(jīng)網(wǎng)絡(luò)模型 —— Elman網(wǎng)絡(luò)，取得了零虛警概率下 77%的檢測(cè)概率。他們使用了數(shù)百個(gè)訓(xùn)練樣本，獲得了在大致 3%的虛警概率條件下 77%的檢測(cè)概率。 Hogluand 等人提出了基于一維 SOM（自組織特征映射）網(wǎng)絡(luò)的異常檢測(cè)算法對(duì)用戶行為特征進(jìn)行判斷，并建立了原型系統(tǒng)。 Debar 等人采用遞歸型（ Recurrent） BP 網(wǎng)絡(luò)，在對(duì)所收集的審計(jì)記錄進(jìn)行分析的基礎(chǔ)上，對(duì)系統(tǒng)各用戶的行為方式進(jìn)行建模，并同時(shí)結(jié)合傳統(tǒng)的專家系 統(tǒng)進(jìn)行入侵檢測(cè)。神經(jīng)網(wǎng)絡(luò)具備高度的學(xué)習(xí)和自適應(yīng)能力，通過(guò)學(xué)習(xí)能夠識(shí)別全新入侵行為特征的能力，可以克服基于專家系統(tǒng)檢測(cè)技術(shù)的局限性 [3]。人工神經(jīng)網(wǎng)絡(luò)是模擬人腦加工、存儲(chǔ)和處理信息機(jī)制而提出的一種智能化信息處理技術(shù)，它是由大量簡(jiǎn)單的處理單元（神經(jīng)元 ）進(jìn)行高度互連而形成的復(fù)雜網(wǎng)絡(luò)系統(tǒng)。但是，隨著系統(tǒng)安全環(huán)境特別是網(wǎng)絡(luò)系統(tǒng)安全形式的變化，傳統(tǒng)的基于專家系統(tǒng)的檢測(cè)技術(shù)暴露出若干局限性和不足。入侵檢測(cè)系統(tǒng)（ IDS）由入侵檢測(cè)軟件和硬件組合而成，被認(rèn)為是防火墻之后的 第二道安全閘門，在不影響網(wǎng)絡(luò)性能的情況下能對(duì)網(wǎng)絡(luò)進(jìn)行監(jiān)測(cè)，提供對(duì)內(nèi)部攻擊、外部攻擊和誤操作的實(shí)時(shí)保護(hù) [2]。入侵檢測(cè)是防火墻的合理補(bǔ)充，它幫助系統(tǒng)對(duì)付網(wǎng)絡(luò)攻擊，擴(kuò)展了系統(tǒng)管理員的安全管理能力，提高了信息安全基礎(chǔ)結(jié)構(gòu)的完整性。但一般網(wǎng)絡(luò)系統(tǒng)必須對(duì)外開(kāi)放一些應(yīng)用端口，如 80、 110等 ，這時(shí)防火墻的不足就會(huì)充分體現(xiàn)出來(lái)，并且防火墻對(duì)內(nèi)部攻擊無(wú)能為力；同時(shí)，防火墻絕對(duì)不是堅(jiān)不可摧的，即使是某些防火墻本身也會(huì)引起一些安全問(wèn)題。在網(wǎng)絡(luò)安全技術(shù)中，防火墻是第一道防御屏障。 研究的背景和意義 隨著人類社會(huì)對(duì) Inter需求的日益增長(zhǎng)，網(wǎng)絡(luò)安全逐漸成為 Inter及各項(xiàng)網(wǎng)絡(luò)服務(wù)和應(yīng)用進(jìn)一步 發(fā)展所需解決的關(guān)鍵問(wèn)題，尤其是從 1993年以來(lái)，隨著 Inter/Intra技術(shù)日趨成熟，通過(guò) Inter進(jìn)行的各種電子商務(wù)和電子政務(wù)活動(dòng)日益增多，很多組織和企業(yè)都建立了自己的內(nèi)部網(wǎng)絡(luò)并將之與 Inter聯(lián)通。如近幾年的大學(xué)英語(yǔ)四、六級(jí)考題泄露事件，通過(guò)網(wǎng)絡(luò)操作 使 得股民帳戶受損事件，“熊貓燒香”病毒導(dǎo)致計(jì)算機(jī)網(wǎng)絡(luò)大面積癱瘓等影響都是全國(guó)性的。 關(guān)鍵詞 ： 網(wǎng)絡(luò)安全 入侵檢測(cè) 神經(jīng)網(wǎng)絡(luò) 集成學(xué)習(xí) 遺傳 算法 II Abstract Intrusion detection is a logical addition to firewall, it helps the syste