【正文】 應用協(xié)議進行動態(tài)分析，保護進出數(shù) 據(jù)應用層的安全。防火墻只能對進出網(wǎng)絡的數(shù)據(jù)進行分析，對網(wǎng)絡內(nèi)部發(fā)生的事件完全無能為力 [1]。 如果把防火墻比作大門警衛(wèi)的話，入侵檢測就是網(wǎng)絡中不間斷的攝像機，入侵檢測通過旁路監(jiān)聽的方式不間斷的收取網(wǎng)絡數(shù)據(jù)，對網(wǎng)絡的運行和性能無任何影響，同時判斷其中是否含有攻擊的企圖，通過各種手段向管理 6 員報警。所以說入侵檢測是網(wǎng)絡安全的第二道閘門，是防火墻的必要補充 ，構成完整的網(wǎng)絡安全解決方案 [2]。 現(xiàn)在，入侵檢測技術的研究主要朝智能化和分布式兩個方向前進 [2]。 國際 著名的檢測系統(tǒng)產(chǎn)品有： BlackICE， Snort， Showdow和 SRI等。 國內(nèi)與國外相比較，國內(nèi)在研究和開發(fā)都相對比較晚，產(chǎn)品間的差距還很大，總體發(fā)展比較慢，檢測技術單一，大多以仿國外產(chǎn)品為主。 國內(nèi)在入侵檢測方面也出現(xiàn) 了 有自己的 產(chǎn)品 包括 ：啟明星辰公司的天闐 入侵檢測系統(tǒng)、安氏（中國）公司的 LinkTrust入侵檢測系統(tǒng)等。并且 利 用小波神經(jīng) 網(wǎng)絡技術改造 SNORT入侵檢測系統(tǒng)。 論文 內(nèi)容 安排 在神經(jīng)網(wǎng)絡的實際應用中，應用最廣泛的是 BP 網(wǎng)絡。學習速度過大又會使得誤差函數(shù)不能收斂。 本論文的內(nèi)容安排如下： 7 第一章對研究問題的背景做簡單的介紹，概述 了信息安全的重要性以及現(xiàn)有網(wǎng)絡安全技術概況，提出本文的研究思路和內(nèi)容安排。對入侵檢測技術的基本概念和理論進行分析，包括入侵檢測的原理、構成、分類，以及主要的入侵檢測技術。人工神經(jīng)網(wǎng)絡方面的研究。 最后通過總結 BP 神經(jīng)網(wǎng)絡和小波分析的特點，引出了小波神經(jīng)網(wǎng)絡相關定義，其中包括小波神經(jīng)網(wǎng)絡的基本結構，小波神經(jīng)網(wǎng)絡的算法和模型等。 最后一章 對全文進行總結 。即其之后 ,1986 年 Dorothy 提出實時異常檢測的概念并建立了第一個實時入侵檢測模型，命名為入侵檢測專 家系統(tǒng) (IDES)， 1990 年， 等設計出監(jiān)視網(wǎng)絡數(shù)據(jù)流的入侵檢測系統(tǒng)， NSM( Network Security Monitor） [3]。 Anderson將入侵嘗試或威脅定義為：潛在的、有預謀的、未經(jīng)授權的訪問信息、操作信息、致使系統(tǒng)不可靠或無法使用的企圖。執(zhí)行入侵檢測任務的程序即是入侵檢測系統(tǒng)。一旦發(fā)現(xiàn)網(wǎng)絡入侵現(xiàn)象，則馬上做出適當?shù)姆磻?。對于已?jīng)發(fā)生的網(wǎng)絡攻擊，則應通過分析日志記錄找到發(fā)生攻擊的原因和入侵者的蹤跡，作為增強網(wǎng)絡系統(tǒng)安全性和追究入侵者法律責任的依據(jù)。 (2)入侵檢測系統(tǒng)（ IDS）也可以定義為：檢測企圖破壞計算機資源的完整性，真實性和可用性的行為的軟件。入侵檢測一般分為三個步驟：信息收集、數(shù)據(jù)分析、響應。 入侵檢測的組成與結構 入侵檢測系統(tǒng)（ Intrusion Detection System， IDS）是實現(xiàn)入侵檢測功能的硬件與軟件組合而成。入侵檢測系統(tǒng)通常處于防火墻之后對網(wǎng)絡活 9 動 進行實時檢測。它們可以和你的防火墻和路由器配合工作。它將一個入侵檢測系統(tǒng)分為以下組件：事件產(chǎn)生器（ Event generators），用 E 盒表示；事件分析器（ Event analyzers），用 A 盒表示；響應單元（ Responseunits），用 R盒表示；事件數(shù)據(jù)庫（ Event databases），用 D盒表示。事件包含的范圍很廣泛既可以是網(wǎng)絡活動也可是系統(tǒng)調用序列等系統(tǒng)信息。 2） 事件分析器（ Analysis engine, Abox）對輸入的事件進行分析并檢測入侵。 3） 事件數(shù)據(jù)庫（ Event database, Dbox） Eboxes 和 Aboxes 產(chǎn)生大量的數(shù)據(jù)，這些數(shù)據(jù)必須被妥善地存儲，以備將來的使用。 4） 事件響應器（ Response unit, Rbox）對入侵作出響應，包括向管理員發(fā)出警告，切斷入侵連接，根除入侵者留下的后門以及數(shù)據(jù)恢復等。 A、 E、 D及 R盒之間的通信都基于 GIDO（ generalized Intrusion detection objects，通用入侵檢測對象）和 CISL（ mon intrusion specification language，通用入侵規(guī)范語言）。 10 現(xiàn)有的入侵檢測分析技術 入侵檢測主要 采用的技術分為：靜態(tài)配置技術、異常檢測技術和誤用檢測技術，另外還有一種新的思想是基于系統(tǒng)關鍵程序的安全規(guī)格方法及通過構架陷阱進行入侵檢測。靜態(tài)是指檢查系統(tǒng)的靜態(tài)特征（系統(tǒng)配置信息），而不是系統(tǒng)中的活動。另外，系統(tǒng)在遭受攻擊之后，入侵者也可能在系統(tǒng)中安裝一些安全性后門以方便后續(xù)對系統(tǒng)的進一步攻擊。但這種方法需要對系統(tǒng)的缺陷盡可能地了解；否則，入侵者只需要簡單地利用那些安全系統(tǒng)未知的缺陷就可以避開檢測系統(tǒng)。但是，在許多環(huán)境中，為用戶建立正常行為模式的特征輪廓以及對用戶活動的異常性進行報警的門限值的確定都是比較難的事。有經(jīng)驗的入侵者還可以通過緩慢的改變它的行為，來改變?nèi)肭謾z測系統(tǒng)中用戶正常行為模式，使其入侵行為逐步變?yōu)楹戏?，這樣就可以避開使用異常性檢測技術的入侵檢測系統(tǒng)的檢測?；舅枷胧牵和ㄟ^對 系統(tǒng)審計數(shù)據(jù)的分析建立起系統(tǒng)主體（單個用戶、一組用戶、主機、甚至是系統(tǒng)中的某個關鍵的程序和文件等）的正常行為特征輪廓；檢測時，如果系統(tǒng)中的審計數(shù)據(jù)與已建立的主體的正常行為特征有較大出入就認為是一個入侵行為。當主體的行為特征改變時，對應的特征輪廓也相應改變。 （ 1） 統(tǒng)計性特征輪廓 11 統(tǒng)計型特征輪廓通過某個被監(jiān)控的行為屬性變量的 統(tǒng)計概率分布來描述系統(tǒng)行為的輪廓特征，由主體特征變量的頻度、均值以及偏差等統(tǒng)計量來描述 。 SRI 的 NIDES（ Next Generation Realtime Intrusion Detection Expert System，早期版本為 IDES） 就是一個基于統(tǒng)計型特征輪廓的異常性檢測系統(tǒng)。 （ 2）基于規(guī)則描述的特征輪廓 基于規(guī)則描述的特征輪 廓則是一組用于描述主體每隔特征的合法取值范圍與其他特征的取值 之間關系的規(guī)則。但如何選擇能精確描述主體的正常行為與入侵行為的屬性，則是一個很困難的問題。如果通過觀測大量地規(guī)則，這些規(guī)則具有較高的預測性或能夠被確認，則把他們放入到規(guī)則庫中。 該 方案還可以采用大型數(shù)據(jù)庫中提取規(guī)則的數(shù)據(jù)挖掘（ Data Mining）技術，從大量的 系統(tǒng)審計數(shù)據(jù)中提取出描述用戶特征輪廓的規(guī)則集。因此，避開了選擇統(tǒng)計特征的困難問題 ，使如何選擇一個好的主體屬性子集的問題成為一個不相關的事，從而使其在入侵檢測中也得到很好的應用。目前，這種方法還很不成熟。 目前基于知識的入侵檢測系統(tǒng)只是在表示入侵模式的方式以及在系統(tǒng)的審計中檢查入侵 的機制上有所區(qū)別。 12 基于 知識的入侵檢測技術的優(yōu)勢：如果檢測器的入侵特征模式庫中包含一個已知入侵行為的特征模式，就可以保證系統(tǒng)在受到這種入侵行為攻擊時能夠把它檢測出來。但是，對于一種入侵行為的變種（利用同樣的系統(tǒng)缺陷、同樣的攻擊原理等）卻不一定要檢測出來。 （ 1） 專家系統(tǒng) 早期的入侵檢測系統(tǒng)多數(shù)采用專家系統(tǒng)來檢測系統(tǒng)中的入侵行為。S、 NADIR[6]等系統(tǒng)的異常性檢查器中都有一個專家系統(tǒng)模塊。每個規(guī)則具有“ IF條件 THEN 動作”的形式；其中條件為審計將記錄中某個域上的限制條件，動作表示規(guī)則被觸發(fā)時入侵檢測系統(tǒng)所采取的處理動作，可以是一些新事實的判定或是提高某個用戶行為的可疑度。專家系統(tǒng)可以自動地解釋系統(tǒng)的審計記錄并判斷他們是否滿足描述入侵行為的規(guī)則。此外，使用專家系統(tǒng)規(guī)則很難檢測出對系統(tǒng)的協(xié)調攻擊。這里的狀態(tài)是指系統(tǒng)某 一時刻的特征，它可以由一 系列系統(tǒng)屬性來描述。在識別出初始狀態(tài)、威脅系統(tǒng)安全的狀態(tài)后，主要應分析在者兩個狀態(tài)之間進行狀態(tài)轉換的關鍵活動，這些轉換信息可以用狀態(tài)遷移圖來描述或用于生成專家系統(tǒng)的規(guī)則，從而用于檢測系統(tǒng)的入侵活動。 （ 3） 模式匹配的方法 Sandeep Kumar 給出的模式識別的入侵檢測方法可以處 理以下四種類型的入侵行為：、 1) 通過審計某個事件的存在性即可以確定的入侵行為。 3) 根據(jù)審計某一具有偏序關系的事件序列的出現(xiàn)可以識別的入侵行為。 這個模型目的是把入侵檢測的問題轉化成模式匹配的問題：系統(tǒng)的審計被視為抽象的事件流，入侵行為檢測器是模式匹配器。因此，檢測入侵 者時用模式匹配技術比使用專家系統(tǒng)更有效。人們在完善原有技術的基礎上，又在研究新的檢測方法，如數(shù)據(jù)融合技術，主動的自主代理方法，智能技術以及免疫學原理的應用等 [7]。同時不同的 IDS 系統(tǒng)之間不能協(xié)同工作能力，為解決這一問題，需要分布式入侵檢測技術與通用入侵檢測架構。許多基于客戶、服務器結構與中間件技術及對象技術的大型應用，需要應用層的入侵檢測保護。 （ 4）入侵檢測的數(shù)據(jù)融合技術 目前的 IDS 還存在著很多缺陷。其次，系統(tǒng)的虛警率太高。數(shù)據(jù)融合技術是解決這一系列問題的好方法。 15 第 3 章小波神經(jīng)網(wǎng)絡 小波分析理論 小波分析方法的起源與提出 小波分析 (wavelet Analysis) [8]是 20 世紀 80 年代中期發(fā) 展起來的一門數(shù)學理論和方法，由法國科學家 Grossman 和 Morlet 在進行地震信號分析時提出的，隨后迅速發(fā)展。 Mallat 基于多分辨分析思想，提出了對小波應用起重要作用的 Mallat 算法，它在小波分析中的地位相當于 FFT 在經(jīng)典 Fourier 變換中的地位。小波分析的出現(xiàn)被認為是傅立葉分析的突破性進展，在逼近論、微分方程、模 式 識別、計算機視覺、圖像處理、非線性 科學等方面使用小波分析取得于許多突破性進展。經(jīng)典的 Fourier 變換把信號按三角正、余弦基展開，將任意函數(shù)表示為具有不同頻率的諧波函數(shù)的線性迭加，能較好地描述信號的頻率特性，但它在空域（時域）上無任何分辨 ,不能作局部分析。為了克服這一缺陷，提出了加窗 Fourier 變換。而小波變換在時域和頻域同時具有良好的局部化性能，有一個靈活可變的時間 頻率窗，它與 Fourier 變換、加窗 Fourier 變換相比，能更有效的從信號中提取信息，通過伸縮和平移等運算功能對函數(shù)或信號進行多尺度細化分析（ Multiscale Analysis），解決了Fourier 變換不能解決的許多困難問題，從而小波變化被譽為“數(shù)學顯微鏡”，它是調和分析發(fā)展史上里程碑式的進展 ?，F(xiàn)在，它已經(jīng)在科技信息產(chǎn)業(yè) 領域取得了令人矚目的成就?，F(xiàn)今，信號處理已經(jīng)成為當代科學技術工作的重要部分，信號處理的目的就是：準確的分析、診斷、編碼壓縮和量化、快速傳遞或存儲、精確地重構（或恢復 ）。現(xiàn)在，對于其性質隨實踐是穩(wěn)定不變的信號，處理的理想工具仍然是傅立葉分析。 16 (1)小波分析用于信號與圖象壓縮是小波分析應用的一個重要方面?；谛〔ǚ治龅膲嚎s方法很多，比較成功的有小波域紋理模型方法，小波變換零樹壓縮，小波變換向量壓縮等。它可以用于邊界的處理與濾波、時頻分析、信噪分離與提取弱信號、求分形指數(shù)、信號的識別與診斷以及多尺度邊緣檢測等。包括計算機視覺、計算機圖形學、曲線設計、湍流、遠程宇宙的研 究與生物醫(yī)學方面。 0a b R a?? （ 31） 其中 a為伸縮因子， b為平移因子。小波函數(shù)在幾何 形狀上一般都具有兩個基本特征：必須是震蕩函數(shù)和迅速收斂的函數(shù)。尺度因子和平移因子的不同會給小波函數(shù)的幾何形狀帶來很大的變化。由前知，滿足允許條件的函數(shù) ()t? 稱為基小波，其伸縮和平移構成一簇函數(shù)系： 1 / 2, ( ) | | ( )ab tbta a??? ?? , , 0b R a R a? ? ? （ 34） 17 式中， , ()abt? 稱子小波； a 為尺度因子或頻移因子， b 為時間因子或平移因子。（ 35）式說明小波變換是對信號用 不同濾波器進行濾波。 如果 ()t? 滿足相容條件 : 21||v RCd? ? ?? ? ??? ,其中 ? 為 ()t? 的 FT。當 a 較大時，時域上觀察范圍大，而在頻率上相當與用低頻作概貌觀察。一是信號（時間序列）本身是離散情況，如 ( )( 1, 2 , .. ., 。它是理論化的人腦神經(jīng)網(wǎng)絡的數(shù)學模型，是基于模仿大腦神經(jīng)網(wǎng)絡結構和功能而建立的一種信息處理系統(tǒng)。 神經(jīng) 元的結構 模型 神經(jīng)元是神經(jīng)網(wǎng)絡的基本處理單元，它包含加權求和模擬細胞體和處理輸出信號兩部分，一般是一種多輸入 /單輸出的非線形系統(tǒng)，它的主要功 能是傳遞和處理信息。 圖 31為人工神經(jīng)元的數(shù)學模型。輸入與輸出具有如下關系： 1()miiiy f w x ????? ? 為閾值， f（ x） 是激發(fā)函數(shù)； 它可以是線性函數(shù)，也可以是非線性函數(shù)。 00。()0。 19 神經(jīng)網(wǎng)絡的一般 框架 任何一個神經(jīng)網(wǎng)絡模型都由處理單元（ Processing Units)即神經(jīng)單元組成。 各個神經(jīng)元之間通過相互連接形成一個網(wǎng)絡拓撲結構 ，這個網(wǎng)絡拓撲的形式稱為神經(jīng)網(wǎng)絡的互聯(lián)模式。如此眾多復雜的連接，也正是神經(jīng)網(wǎng)絡模型具有強大計算能力的基礎。這個加權系數(shù)通常稱為權值。某一 項的模式記憶都能根據(jù)某一學習規(guī)則 (1earning rule)，通過修改處理單元之間連接的權值存儲到神經(jīng)網(wǎng)絡模型中，并通過學習后的神經(jīng)網(wǎng)絡模型也能識別新的模式或回憶過去