【正文】 w 是權(quán)系數(shù) 。 1934年，由美國(guó)心理學(xué)家 McCulloch數(shù)學(xué)家 Pitts共同建立的，被稱為人工神經(jīng)元模型。實(shí)際上是由眾多神經(jīng)元相互連接而成的復(fù)雜網(wǎng)絡(luò)，具有高度的非線性，能夠進(jìn)行復(fù)雜的邏輯操作和非線性關(guān)系實(shí)現(xiàn)的系統(tǒng)。f k t k N t? 為取樣時(shí)間間隔），則式（ 35）的離散形式為： 121( , ) | | ( ) ( )Nkk t bW f a b a t f k t a? ????? ? ?? （ 37） 令一種情況是將尺度參數(shù) a和平移參數(shù) b離散化，即取0 0 0 0 0, , 1 , ,mma a b n b a a b R? ? ? ? 則信號(hào) ()ft的離散小波變換為： 20 0 0( , ) ( ) ( )m mW f m n a f t a t n b d t? ??? ?????? （ 38） 當(dāng) 002, 1ab??時(shí)，式 (38)變?yōu)槎M(jìn)小波變換： ( , ) 2 ( ) ( 2 )mmW f m n f t t n d t? ?????????? （ 39） 18 人工神經(jīng)網(wǎng)絡(luò)理論 神經(jīng)網(wǎng)絡(luò)的基本理論 人工神經(jīng) 網(wǎng)絡(luò) [10] (Artifciail Neural Network， ANN)是在人類對(duì)其大腦神經(jīng)網(wǎng)絡(luò)認(rèn)識(shí)理解的基礎(chǔ)上人工構(gòu)造的能夠?qū)崿F(xiàn)某種功能的神經(jīng)網(wǎng)絡(luò)。 （ 2）離散小波變換 在實(shí)際運(yùn)用時(shí)，需將連續(xù)小波變換離散化處理。對(duì)于信號(hào)連續(xù)小波變換 ()ft可重構(gòu)： 21 , 2( ) ( , ) ( )v a bRdadbf t C W f a b t a? ??? ?? （ 36） 當(dāng) a 較小時(shí)，時(shí)域上觀察范圍小，而在頻率上相當(dāng)于用較高頻率作分辨率較高的分析，即用高頻小波作細(xì)致觀察。由于 t、 a、 b 都是連續(xù)的變量，式（ 35）稱為連續(xù)小波變換。對(duì)于能量有限信號(hào) 2( ) ( )f t L R? ，其連續(xù)小波變換定義為： 12( , ) | | ( ) ( )RtbW f a b a f t d ta? ?? ? （ 35） 式中， ()t? 為 ()t? 的復(fù)共軛函數(shù)。 (1)連續(xù)小波變換 [9] 小波具有震蕩特性、能夠迅速衰減到零的一類函數(shù)。在選取或自己構(gòu)造小波函數(shù)時(shí)，必須遵循以上兩個(gè)準(zhǔn)則。對(duì)于任意函數(shù) 2( ) ( )f t L R? 的連續(xù)小波變換為： ( , ) ffifW a b f? ， 1 / 2, f f I = |a | ( ) ( )ab R tbf t d ta???? ??? （ 32） 其重構(gòu)公式（逆變換）為： 211( ) ( , ) ( )f tbf t w a b dadbC a a?? ? ? ?? ? ? ??? ?? （ 33） 基本小波函數(shù)的選取很重要，常常取決于實(shí)際應(yīng)用。 小波變換 小波變換和傅里葉變換的出發(fā)點(diǎn)都是將信號(hào)表示成基本函數(shù)的線性組合，所不同的是傅里葉變換采用時(shí)間屬于（ ∞ ， +∞ ）的諧波函數(shù) inxe 作為基函數(shù)，而小波變換的基函數(shù)具有緊支集的母函數(shù) ()t? ,通過(guò)對(duì)母函數(shù) ()t? 進(jìn)行伸縮和平移得到一個(gè)小波序列： , 1( ) ( )||ab tbt aa???? , 。 (3)在工程技術(shù)等方面的應(yīng)用。 (2)小波在信號(hào)分析中的應(yīng)用也十分廣泛。它的特點(diǎn)是壓縮比高，壓縮速度快，壓縮后能保持信號(hào)與圖象的特征不變，且在傳遞中可以抗干擾。但是在實(shí)際應(yīng)用中的絕大多數(shù)信號(hào)是非穩(wěn)定的，而特別適用于非穩(wěn)定信號(hào)的工 具就是小波分析。從數(shù)學(xué)地角度來(lái)看，信號(hào)與圖象處理可以統(tǒng)一看作是信號(hào)處理（圖像 可以看作是二維信號(hào)），在小波分析許多應(yīng)用中，都可以歸結(jié)為信號(hào)處理問(wèn)題。電子信息技術(shù)是六大高新技術(shù)中重要的一個(gè)領(lǐng)域，它的重要方面是圖象和信號(hào)處理。 小波分析的應(yīng)用 小波分析的應(yīng)用是與小波分析的理論研究緊密地結(jié)合在一起的。 通過(guò)引入一個(gè)時(shí)間局部化“窗函數(shù)”改進(jìn)了 Fourier 變換的不足，但其窗口大小和形狀都是固定的，沒(méi)有從根本上彌 補(bǔ) Fourier 變換的缺陷。這在理論和應(yīng)用上都帶來(lái)了許多不足。 小波變換的基本思想類似于 Fourier 變換，就是用信號(hào)在一簇基函數(shù)形成空間上的投影表征該信號(hào)。小波分析理論的重要性及應(yīng)用的廣泛性引起了科技界的高度重視。 1985 年 Meyer 在一維情形下證明了小波函數(shù)的存在性 ,并在理論上作 深入研究。 入侵檢測(cè)產(chǎn)品仍具有較大的發(fā)展空間，從技術(shù)途徑來(lái)講，我們認(rèn)為，除了完善常規(guī)的、傳統(tǒng)的技術(shù)（模式識(shí)別和完整性檢測(cè)）外，應(yīng)重點(diǎn)加強(qiáng)統(tǒng)計(jì)分析的相關(guān)技術(shù)研究。最后，系統(tǒng)對(duì)大量的數(shù)據(jù)處理，非但無(wú)助于解決問(wèn)題，還降低了處理能力。首先，目前的技術(shù)還不能對(duì)付訓(xùn)練有素的黑客的復(fù)雜的攻擊。 （ 3） 智能的入侵檢測(cè) 入侵方法越來(lái)越多樣化與綜合化，盡管已經(jīng)有智能體、神經(jīng)網(wǎng)絡(luò)與遺傳算法在入侵檢測(cè)領(lǐng)域應(yīng)用研究，但是這只是一些嘗試性的研究工作，需要對(duì)智能化的IDS 加以進(jìn)一步的研究以解決其自學(xué)習(xí)與自適應(yīng)能力。 （ 2） 應(yīng)用層入侵檢測(cè) 許多入侵的語(yǔ)義只有在應(yīng)用層才能理解，而目前的 IDS 僅能檢測(cè)如 WEB 之類的通用協(xié)議，而不能處理如 Lotus Notes、數(shù)據(jù)庫(kù)系統(tǒng)等其他的應(yīng)用系統(tǒng)。其主要的發(fā)展方向可概括為： （ 1） 分布式入侵檢測(cè)與通用入侵檢測(cè)架構(gòu) 傳統(tǒng)的 IDS 一般局限于單一的主機(jī)或網(wǎng)絡(luò)架構(gòu)，對(duì)異構(gòu)系統(tǒng)及大規(guī)模的網(wǎng)絡(luò)的監(jiān)測(cè)明顯不足。 入侵檢測(cè)的發(fā)展方向 隨著入侵檢測(cè)技術(shù)的發(fā)展，成型的產(chǎn)品已陸續(xù)應(yīng)用到實(shí)踐中。使用模式識(shí)別是因?yàn)槟Ｊ阶R(shí)別比較成熟，而且在構(gòu)造一個(gè)系統(tǒng)時(shí)可以圍繞它的實(shí)用性和有效性做一些優(yōu)化。 4) 審計(jì)的事件序列發(fā)生在某以確定的時(shí)間間隔或持續(xù)的時(shí)間在一定的范圍，根據(jù)這些 條件就可以確定的入侵行為。 13 2) 根據(jù)審計(jì)某一事件序列的順序出現(xiàn)即可識(shí)別的入侵行為。但是，狀態(tài) 轉(zhuǎn)換是針對(duì)時(shí)間序列分析，所以不善于分析過(guò)分復(fù)雜的事件，而且不能檢測(cè) 與系統(tǒng)狀態(tài)無(wú)關(guān)的入侵。初始狀態(tài) 對(duì)應(yīng)于入侵開(kāi)始時(shí)的系統(tǒng)狀態(tài)，危機(jī)系統(tǒng)安全的狀態(tài)對(duì)應(yīng)于已成功入侵時(shí)刻的系統(tǒng)狀態(tài)；在這兩個(gè)狀態(tài)之間可能有一個(gè)或多個(gè)中間狀態(tài)的遷移。 （ 2） 狀態(tài)轉(zhuǎn)換分析技術(shù) 一個(gè)入侵行為就是由攻擊者執(zhí)行的一系列的操作，這些操作可以使系統(tǒng)從某些初始狀態(tài)轉(zhuǎn)換到一個(gè)可以威脅系統(tǒng)安全的狀態(tài)。但是，使用專家 系統(tǒng)規(guī)則表示一系列的活動(dòng)不具有直觀性，除非由專業(yè)的知識(shí)庫(kù)程序員來(lái)做專家系統(tǒng)的升級(jí)工作，否則規(guī)則的更新是很困難的，而且使用專家系統(tǒng)分析系統(tǒng)的審計(jì)數(shù)據(jù)也是很低效的。這些規(guī)則可以識(shí)別單個(gè)審計(jì)事件， 也可以識(shí)別表示一個(gè)入侵行為的一系列事件。在這些系統(tǒng)中，入侵行為被編制 成專家系統(tǒng)的規(guī)則。 NIDES、Wamp。 這種入侵檢測(cè)技術(shù)的主要局限在于它只是根據(jù)已知的入侵序列和系 統(tǒng)缺陷的模式來(lái)檢測(cè)系統(tǒng)中的可疑行為，而不能處理對(duì)新的入侵攻擊行為以及未知的、潛在的系統(tǒng)缺陷的檢測(cè)。目前，主要是從以知的系統(tǒng)缺陷來(lái)提取入侵行為的特征模式，加入到檢測(cè)器入侵行為特征模式庫(kù)中，來(lái)避免系統(tǒng)以后再遭受同樣的入侵攻擊。主要可以分成以下幾類：基于專家系統(tǒng)、狀態(tài)轉(zhuǎn)換分析和模式匹配的入侵檢測(cè)系統(tǒng)。 誤用檢測(cè)技術(shù) 誤用檢測(cè)技術(shù)（ Misuse Detection）通過(guò)檢測(cè)用戶行為中的那些與某些已知的入侵行為模式類似的行為或那些利用系統(tǒng)中缺陷或是間接地違背系統(tǒng)安全規(guī)則的行為，來(lái)檢測(cè)系統(tǒng)中的入侵活動(dòng)，是一種基于已有的知識(shí)的檢測(cè)。 實(shí)際應(yīng)用時(shí)，首先根據(jù)用戶正常行為的樣本模式對(duì)神經(jīng)網(wǎng)絡(luò)進(jìn)行學(xué)習(xí)訓(xùn)練；完成訓(xùn)練后，神經(jīng)網(wǎng)絡(luò)接受用戶活動(dòng)的數(shù)據(jù)并判斷它與經(jīng)訓(xùn)練產(chǎn)生的正常偶是的偏離程度來(lái)判別是否產(chǎn)生了非法行為。 （ 3） 神經(jīng)網(wǎng)絡(luò)方法 神經(jīng)網(wǎng)絡(luò)具有自學(xué)習(xí)、自適應(yīng)的能力，因而，在基于神經(jīng)網(wǎng)絡(luò)模型的入侵檢測(cè)系統(tǒng)中，只要提供系統(tǒng)的審計(jì)數(shù)據(jù)，神經(jīng)網(wǎng)絡(luò)就可以通過(guò)自學(xué)習(xí)從中提取正常用戶或系統(tǒng)活動(dòng)的特征 模式，而不需要獲取描述用戶行為特征的特征集 以及用戶行為特征測(cè)度的統(tǒng)計(jì)分布。系統(tǒng)采用信息熵的模型計(jì)算規(guī)則的預(yù)測(cè)概率。 TIM（ The Timebased Inductive Machine）就是一個(gè)基于規(guī)則的異常檢測(cè)系統(tǒng)， TIM 使用歸納方法來(lái)生成規(guī)則，這些規(guī)則在系統(tǒng)的學(xué)習(xí)階段可以動(dòng)態(tài)地修改。這些規(guī)則原則上可以通過(guò)分析主體的歷史活動(dòng)記錄自動(dòng)生成。這種方法對(duì)特洛伊木馬（ Troja horse）以及欺騙性的應(yīng)用程序的檢測(cè)非常有效。在基于統(tǒng)計(jì)性特征輪廓的異常性檢測(cè)器中，使用統(tǒng)計(jì)的方法來(lái)判斷審計(jì)與主體正常行為的偏差。 目前，這類入侵檢測(cè)系統(tǒng)多采用統(tǒng)計(jì)或基于規(guī)則描述的方法建立系統(tǒng)主體的行為特征輪廓。特征輪廓是借助主體登陸的時(shí)刻、登陸的位置、 cpu的使用時(shí)間以及文件的存取等屬性，來(lái)描述它的正常行為特征。 Denning[5]于 1986 年給出一個(gè)基于用戶特征輪廓（ Profile）的入侵檢測(cè)系統(tǒng)模型。因?yàn)椴⒉皇撬腥肭中袨槎寄墚a(chǎn)生異常性，所以在 入侵檢測(cè)系統(tǒng)中，僅使用異常性檢測(cè)技術(shù)不可能檢測(cè)出所有的入侵行為。 異常檢測(cè) 技術(shù) 入侵檢測(cè)的異常檢測(cè)技術(shù)（ Anomaly Detection）是一種在不需要操作系統(tǒng)及其安全性缺陷的專門(mén) 知識(shí) 的情況下，就可以檢測(cè)入侵者的方法，同時(shí)它也是檢測(cè)冒充合法用戶的入 侵者的有效方法。對(duì)系統(tǒng)的配置信息進(jìn)行靜態(tài)分析，就可以及早發(fā)現(xiàn)系統(tǒng)中潛在的安全性問(wèn)題，并采取相應(yīng)的措施來(lái)補(bǔ)救。 采用靜態(tài)分析方法主要有一下幾個(gè)方面的原因：入侵者對(duì)系統(tǒng)攻擊時(shí)可能會(huì)留下痕跡， 這可通過(guò)檢查系統(tǒng)的狀態(tài)檢測(cè)出來(lái)；系統(tǒng)管理員以及用戶在建立系統(tǒng)時(shí)那面會(huì)出現(xiàn)一些錯(cuò)誤和遺漏一些 系統(tǒng)的安全性缺陷。 靜態(tài)配置分析 靜態(tài)配置分析 [4]是通過(guò)檢查系統(tǒng)的當(dāng)前系統(tǒng)配置，諸如系統(tǒng)文件的內(nèi)容或系統(tǒng)表，來(lái)檢查系統(tǒng)是否已經(jīng)或者可能會(huì)遭到破壞。如果想在不同種類的 A、 E、 D及 R盒之間實(shí)現(xiàn)互操作，需要對(duì) GIDO 實(shí)現(xiàn)標(biāo)準(zhǔn)化并使用 CISL。 圖 21 CIDF 模型結(jié)構(gòu)圖 CIDF 模型的結(jié)構(gòu)如下： E 盒通過(guò)傳感器收集事件數(shù)據(jù)，并將信息傳 送給 A盒， A盒檢測(cè)誤用模式； D盒存儲(chǔ)來(lái)自 A、 E 盒的數(shù)據(jù)，并為額外的分析提供信息；R盒從 A、 E盒中提取數(shù)據(jù)， D盒啟動(dòng)適當(dāng)?shù)捻憫?yīng)。 Dbox 的功能 就是存儲(chǔ)和管理這些數(shù)據(jù) ,用于 IDS 的訓(xùn)練和證據(jù)保存。許多 IDS 的研究都集中于如何提高事件分析器的能力 ,包括提高對(duì)已知入侵識(shí)別的準(zhǔn)確性以及提高 發(fā)現(xiàn)未知入侵的幾率等。事件的質(zhì)量、數(shù)量與種類對(duì) IDS 性能的影響極大。 1） 事件產(chǎn)生器（ Event generater， Ebox）收集入侵檢測(cè)事件 ,并提供給 IDS其他部件處理，是 IDS 的信息源。 一個(gè)入侵檢測(cè)系統(tǒng)分為四個(gè)組件（如圖 21 所示），即 CIDF 模 型（ Common Intrusion Detection Framework）： CIDF 闡述了一個(gè)入侵檢測(cè)系統(tǒng)（ IDS）的通用模型。許多情況下，由于可以記錄和禁止網(wǎng)絡(luò)活動(dòng)，所以入侵檢測(cè) 系統(tǒng)是防火墻的延續(xù)。入侵檢測(cè)基于這樣一個(gè)假設(shè)，即：入侵行為與正常行為有顯著的不同，因而是可以檢測(cè)的。 入侵檢測(cè)的目的： 1)識(shí)別入侵者 ； 2)識(shí)別入侵行為 ；3)檢測(cè)和監(jiān)視以實(shí)施的入侵行為 ； 4)為對(duì)抗入侵提供信息，阻止入侵的發(fā)生和事態(tài)的擴(kuò)大 。入侵檢測(cè)系統(tǒng)執(zhí)行的主要任務(wù)包括：監(jiān)視、分析用戶及系統(tǒng)活動(dòng) ； 審計(jì)系統(tǒng)構(gòu)造和弱點(diǎn) ； 識(shí)別、反映已知進(jìn)攻的活動(dòng)模式，向相關(guān)人士報(bào)警 ； 統(tǒng)計(jì)分析異常行為模式 ； 評(píng)估重要系統(tǒng)和數(shù)據(jù)文件的完整性 ； 審計(jì)、跟蹤管理操作系統(tǒng)，識(shí)別用戶違反安全 策略的行為。它從計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)中的若干關(guān)鍵點(diǎn)收集信息，并分析這些信息，看看網(wǎng)絡(luò)中 是否有違反安全策略的行為和遭到襲擊的現(xiàn)象。對(duì)于正在進(jìn)行的網(wǎng)絡(luò)攻擊，則采取適當(dāng)?shù)姆椒▉?lái)阻斷攻擊（與防火墻聯(lián)動(dòng)），以減少系統(tǒng)損失。 入侵檢測(cè)的功 能 （ 1） 入侵檢測(cè)（ Intrusion Detection）技術(shù)是一種動(dòng)態(tài)的網(wǎng)絡(luò)檢測(cè)技術(shù)，主要用于識(shí)別對(duì)計(jì)算機(jī)和網(wǎng)絡(luò)資源的惡意使用行為，包括來(lái)自外部用戶的入侵行為和內(nèi)部用戶的未經(jīng)授權(quán)活動(dòng)。 而入侵檢測(cè)的定義為：發(fā)現(xiàn)非授權(quán)使用計(jì)算機(jī)的個(gè)體 (如“黑客” )或計(jì)算機(jī)系統(tǒng)的合法用戶濫用其訪問(wèn)系統(tǒng)的權(quán)利以及企圖實(shí)施上述行為的個(gè)體。自此之后，入侵檢測(cè)系統(tǒng)才真正發(fā)展起來(lái)。 8 第 2 章 入侵檢測(cè)技術(shù) 入侵檢測(cè)的概念 1980 年， James 第一次系統(tǒng) 的闡述 了入侵檢測(cè)的概念，并將入侵行為分為外部滲透、內(nèi)部滲透和不法行為三種，還提出了利用審計(jì)數(shù)據(jù)監(jiān)視入侵活動(dòng)的思想。 第四章介紹 了小波神經(jīng)網(wǎng)絡(luò)在入侵檢測(cè)中的應(yīng)用 ，結(jié)合開(kāi)源軟件 SNORT，提出了兩種模型，互補(bǔ)式和嵌入式入侵檢測(cè)模型，并 使用 KDDCup99 數(shù)據(jù)對(duì)模型進(jìn)行 仿真 測(cè)試。主要介紹了人工神經(jīng)網(wǎng)絡(luò)的研究?jī)?nèi)容，人工神經(jīng)網(wǎng)絡(luò)構(gòu)成的基本原理。 第三章主要介紹了小波分析的基礎(chǔ)知識(shí)， 如：小波分析理論基礎(chǔ)、小波分析的應(yīng)用，小波變換等。 第二章介紹入侵檢測(cè)技術(shù)。本文采用小波神經(jīng)網(wǎng)絡(luò)入侵檢測(cè)模型 ，在檢測(cè)效果和學(xué)習(xí)速度上都有較大的提高。它的一大缺點(diǎn)是當(dāng)學(xué)習(xí)速