【正文】 .................................... 錯(cuò)誤 !未定義書(shū)簽。 I 摘要 入侵檢測(cè)是防火墻的合理補(bǔ)充，它幫助系統(tǒng)對(duì)付網(wǎng)絡(luò)攻擊，擴(kuò)展了系統(tǒng)管理員的安全管理能力，提高了信息安全基礎(chǔ)結(jié)構(gòu)的完整性。 為了提高入侵檢測(cè)系統(tǒng)的檢測(cè)能力， 本文 在了解信息安全和入侵 檢測(cè)概念的基礎(chǔ)上，分析神經(jīng)網(wǎng)絡(luò)模型，采用單個(gè)神經(jīng)網(wǎng)絡(luò)分別對(duì)樣本進(jìn)行訓(xùn)練，然后，通過(guò)遺傳算法尋找那些差異較大的神經(jīng)網(wǎng)絡(luò)進(jìn)行集成，并將研究的模型應(yīng)用于入侵檢測(cè)系統(tǒng)中，提出相應(yīng)的處理方案，得到最后的結(jié)果。s security management capabilities, improve the integrity of the information security infrastructure. Intrusion detection technology is a dynamic work detection technology, mainly used to identify puters and work resources on the malicious use of behavior, including acts of invasion from external users and internal users without the mandated activities. In order to improve detection of intrusion detection system, this paper to understand the concept of information security and intrusion detection based on analysis of neural work model, using a single neural work training samples, respectively, and then, through the geic algorithm to find large differences in the neural work that integration, and research models are applied to intrusion detection system, the corresponding processing program, get the final results. Keywords: work security intrusion detection neural work Integrated Learning geic arithmetic 1 1 引言 信息使用比例的加大， 使得 社會(huì)對(duì)信息的真實(shí)程度，保密程度的要求不斷提高，而網(wǎng)絡(luò)化又使因虛假、泄密引起的信息危害程度 越來(lái)越大。如何能在 在不影響網(wǎng)絡(luò)性能的情況下能對(duì)網(wǎng)絡(luò)進(jìn)行監(jiān)測(cè)，提供對(duì)內(nèi)部攻擊、外部攻擊和誤操作的實(shí)時(shí)保護(hù) ， 是 網(wǎng)絡(luò)安全的重要課題。這些電子商務(wù)和政務(wù)應(yīng)用和企業(yè)網(wǎng)絡(luò)中的商業(yè)秘密便是攻擊者的目標(biāo)，據(jù)統(tǒng)計(jì)目前網(wǎng)絡(luò)攻擊手段多達(dá)數(shù)千種，使網(wǎng)絡(luò)安全問(wèn)題變得極其嚴(yán)峻 [1]。一般它位于路由器之后，為進(jìn)出網(wǎng)絡(luò)的連接提供安全訪問(wèn)控制。 信息安全的 PDRR模型充分說(shuō)明了檢測(cè)的重要性。入侵檢測(cè)技術(shù)是一種動(dòng)態(tài)的網(wǎng)絡(luò)檢測(cè)技術(shù)，主要用于識(shí)別對(duì)計(jì)算機(jī)和網(wǎng)絡(luò)資源的惡意使用行為，包括來(lái)自外部用戶的入侵行為和內(nèi)部用戶的未經(jīng)授權(quán)活動(dòng)。 在入侵檢測(cè)領(lǐng)域內(nèi)應(yīng)用最為廣泛，同時(shí)也是最成熟的技術(shù)仍然是基于專家系統(tǒng)的規(guī)則化檢測(cè)技術(shù)。近年來(lái)，大量不同于傳統(tǒng)專家系統(tǒng)技術(shù)的入侵 2 檢測(cè)方法紛紛涌現(xiàn)，其中基于人工神經(jīng)網(wǎng)絡(luò)檢測(cè)技術(shù)的發(fā)展尤為突出。從本質(zhì)上講，人工神經(jīng)網(wǎng)絡(luò)實(shí)現(xiàn)的是一種從輸入到輸出的映射關(guān)系，其輸出值由輸入樣本、神經(jīng)元間的互連權(quán)值以及傳遞函數(shù)所決定。 國(guó)內(nèi)外研究現(xiàn)狀 對(duì)于神經(jīng)網(wǎng)絡(luò)技術(shù)在入侵檢測(cè)中的應(yīng)用，前人已經(jīng)做了若干研究工作。 Tan 為適應(yīng)入侵檢測(cè)的要 求 ，對(duì)傳統(tǒng)的多層前饋網(wǎng)絡(luò)（ MLFF）的訓(xùn)練算法進(jìn)行改進(jìn)，并用于建模用戶的各個(gè)行為特征。 Ghosh 和 Schwartzbard 采用基于多層感知器（ MLP）的異常檢測(cè)模型，通過(guò)對(duì)程序執(zhí)行中系統(tǒng)調(diào)用序列記錄的分析，來(lái)監(jiān)視特定的程序的運(yùn)行狀態(tài)。 Ghosh等人同時(shí)還進(jìn)行了濫用檢測(cè)技術(shù)的研究 ，其工作結(jié)果表明基于 MLP 的濫用檢測(cè)模型具備更高的虛警概率，性能不及異常模型。 Ryan等人對(duì)用戶每天所執(zhí)行的 Shell 命令進(jìn)行統(tǒng)計(jì)計(jì)數(shù)，并采用標(biāo)準(zhǔn)的 BP 網(wǎng)絡(luò)對(duì)所形成的用戶行為特征矢量（由各個(gè)命令的執(zhí)行次數(shù)組成）進(jìn)行訓(xùn)練和識(shí)別。 Cannady和 Mahaffey將 MLP 模型和 SOM/MLP 混合模型應(yīng)用到基于網(wǎng)絡(luò)流量的濫用檢測(cè)模型中。訓(xùn)練完畢后，對(duì)測(cè)試樣本集進(jìn)行測(cè)試。同時(shí) Cannady等人提出 SOM/MLP 混合模型，來(lái)檢測(cè)諸如 FTP 口令試探的時(shí)間上分散的攻擊行為。實(shí)驗(yàn)結(jié)果表 明，能夠 較 好地檢測(cè)到單位時(shí)間不同頻率的口令試探行為。訓(xùn)練完畢后的 BP網(wǎng)絡(luò)即可進(jìn)行濫用入侵檢測(cè)。所采用方法是首先選擇一組關(guān)鍵詞表，然后在會(huì)話數(shù)據(jù)中對(duì)各個(gè)關(guān)鍵詞進(jìn)行計(jì)數(shù)并形成 n維的輸入特征矢量（ n為關(guān)鍵詞個(gè)數(shù)）。實(shí)驗(yàn)?zāi)茉谶_(dá)到 80%檢測(cè)概率的基礎(chǔ)上將虛警概率降低到大約每天一次的水平 [4]。而且它具備高度的學(xué)習(xí)和自適應(yīng)能力。 1990 年 Schapire 證明一個(gè)概念是弱可學(xué)習(xí)的，其充要條件是強(qiáng)可學(xué)習(xí)的。 Hansen和 Salamon把各種 神經(jīng)網(wǎng)絡(luò)集成在一起，形成集成神經(jīng)網(wǎng)絡(luò)。 論文結(jié)構(gòu)安排 本文共分為 八 章，第一章引言，概要的給出與本課題相關(guān)的網(wǎng)絡(luò)安全的基本概念，目前在 IDS 領(lǐng)域的國(guó)內(nèi)外的研究概況，并引出將神經(jīng)網(wǎng)絡(luò)應(yīng)用于入侵檢測(cè)當(dāng)中。 對(duì)研究入侵檢測(cè)的必要性進(jìn)行說(shuō)明和介紹相關(guān)的概念以及入侵檢測(cè)工作的基本原理和工作模式。 第三章神經(jīng)網(wǎng)絡(luò)的 簡(jiǎn)介 。 第 四 章 基于 集成 神經(jīng)網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng) 。然后對(duì)集成神經(jīng)網(wǎng)絡(luò)算法進(jìn)行理論的分析，還對(duì)遺傳算法進(jìn)行了詳細(xì)的分析。 最后 論述了整個(gè)算法的思想和步驟，對(duì)個(gè)體網(wǎng)絡(luò)的構(gòu)建和選擇進(jìn)行分析，最后論述了網(wǎng)絡(luò)的集成輸出。對(duì)實(shí)驗(yàn)數(shù)據(jù)進(jìn)行分析，從而得出一些結(jié)論。 4 2 入侵檢測(cè)技術(shù)簡(jiǎn)介 研究入侵檢測(cè)的必要性 在網(wǎng)絡(luò)安全技術(shù)中，防火墻是第一道防御屏障。但一般網(wǎng)絡(luò)系統(tǒng)必須對(duì)外開(kāi)放一些應(yīng)用端口，如 80、 110 等，這時(shí)防火墻的不足就會(huì)充分體現(xiàn)出來(lái)，并且防火墻對(duì)內(nèi)部攻擊無(wú)能為力；同時(shí)，防火墻絕對(duì)不是堅(jiān)不可摧的，即使是某些防火墻本身也會(huì)引起一些安全問(wèn)題。入侵檢測(cè)是防火墻的合理補(bǔ)充，它幫助系統(tǒng)對(duì)付網(wǎng)絡(luò)攻擊，擴(kuò)展了系統(tǒng)管理員的安全管理能力，提高了信息安全 基礎(chǔ)結(jié)構(gòu)的完整性。入侵檢測(cè)系統(tǒng)（ IDS）由入侵檢測(cè)軟件和硬件組合而成，被認(rèn)為是防火墻之后的第二道安全閘門(mén)，在不影響網(wǎng)絡(luò)性能的情況下能對(duì)網(wǎng)絡(luò)進(jìn)行監(jiān)測(cè)，提供對(duì)內(nèi)部攻擊、外部攻擊和誤操作的實(shí)時(shí)保護(hù)。關(guān)于 “ 入侵檢測(cè) ” 的定義為：入侵檢測(cè)是對(duì)企圖入侵、正在進(jìn)行的入侵或者已經(jīng)發(fā)生的入侵進(jìn)行識(shí)別的過(guò)程。 入侵檢測(cè)系統(tǒng)的基本原理 入侵檢測(cè)系統(tǒng) （ Instrusion Detection System,IDS） 的基本原理如圖 21 所示。 5 1） 數(shù)據(jù)收集 數(shù)據(jù)收集是入侵檢測(cè)的基 礎(chǔ)，通過(guò)不同途徑收集的數(shù)據(jù)，需要采用不同的方法進(jìn)行分析。 2） 數(shù)據(jù)處理 數(shù)據(jù)收集過(guò)程中得到的原始數(shù)據(jù)量一般非常大，而且還存在噪聲。 3） 數(shù)據(jù)分析 采用統(tǒng)計(jì)、智能算法等方法分析經(jīng)過(guò)初步處理的數(shù)據(jù)，檢查數(shù)據(jù)是否正常，或顯示存在入侵。常用的措施包括切斷網(wǎng)絡(luò)連接、記錄日志、通過(guò)電子郵 件或電話通知管理員等。 2） 分析該信息，試圖尋找入侵活動(dòng)的特征。 4） 記錄并報(bào)告檢測(cè)過(guò)程的結(jié)果。 入侵檢測(cè)系統(tǒng)的分類 入侵檢測(cè)系統(tǒng)可以按不同的方法進(jìn)行分類，其中，按檢測(cè)技術(shù)、數(shù)據(jù)來(lái)源、體系結(jié)構(gòu)及時(shí)效性進(jìn)行分類是應(yīng)用最多的分類方法。 根據(jù)檢測(cè)技術(shù)分類 根據(jù)入侵檢測(cè)系統(tǒng)所采用的技術(shù)可分為誤用入侵檢測(cè)、異常入侵檢測(cè)和協(xié)議分析三種。 這一檢測(cè)（ signaturebased intrusion detection） 假設(shè)入侵者的活動(dòng)可以用一種模式來(lái)表示，系統(tǒng)的目標(biāo)是檢測(cè)主體活動(dòng)是否符合這些模式。其難點(diǎn)在于如何設(shè)計(jì)模式，既能夠表達(dá) “ 入侵 ” 現(xiàn)象，又 不會(huì)將正常的活動(dòng)包含進(jìn)來(lái) 。根據(jù)這一假設(shè)建立主體正?；顒?dòng)的（ “ 活動(dòng)簡(jiǎn)檔 ” ），將當(dāng)前主體的活動(dòng)狀況與 “ 活動(dòng)簡(jiǎn)檔 ”相比較，當(dāng)違反其統(tǒng)計(jì)規(guī)律時(shí)，認(rèn)為改活動(dòng)可能是 “ 入侵 ” 行為。 3） 協(xié)議分析 系統(tǒng)日記 原始數(shù)據(jù) 包 檢測(cè)原理 異常入侵檢測(cè) 誤用入侵檢測(cè) 報(bào)警 報(bào)警并采取相應(yīng)措施 周期性檢測(cè) 實(shí)時(shí)檢測(cè) 圖 22 入侵檢測(cè)系統(tǒng)的基本工作模式 7 協(xié)議分析是在傳統(tǒng)模式匹配技術(shù)基礎(chǔ)之上發(fā)展起來(lái)的一種新的入侵檢測(cè)技術(shù)。這種技術(shù)正逐漸進(jìn)入成熟應(yīng)用階段。 根據(jù)數(shù)據(jù)來(lái)源分類 根據(jù)入侵檢測(cè)數(shù)據(jù)來(lái)源的不同，可以將入侵檢測(cè)系統(tǒng)分為基于網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)、基于主機(jī)的入侵檢測(cè)系統(tǒng)、混合式入侵檢測(cè)系統(tǒng)及文件完整性檢查式入侵檢測(cè)系統(tǒng)。 2） 基于網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng) 基于網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)（ Networkbased Intrusion Detection System， NIDS）一般安裝在需要保護(hù)的網(wǎng)段中，實(shí)時(shí)監(jiān)視網(wǎng)段中傳輸?shù)母鞣N數(shù)據(jù)包，并對(duì)這些數(shù)據(jù)包進(jìn)行分析和檢測(cè)，如果發(fā)現(xiàn)入侵行為或可疑事件，入侵檢測(cè)系統(tǒng)就會(huì)發(fā)出報(bào)警，甚至切斷網(wǎng)路連接。但是它們的缺憾是互補(bǔ)的。 4） 文件完整性檢查式入侵檢測(cè)系統(tǒng) 文件完整性檢查式入侵檢測(cè)系統(tǒng)檢查計(jì)算機(jī)中自上次檢查后文件的變化情況。 入 侵檢測(cè)目前存在的局限性和不足 在入侵檢測(cè)領(lǐng)域內(nèi)應(yīng)用最為廣泛，同時(shí)也是最成熟的技術(shù)仍然是基于專家系統(tǒng)的規(guī)則化檢測(cè)技術(shù)。 8 但是，隨著系統(tǒng)安全環(huán)境特別是網(wǎng)絡(luò)系統(tǒng)安全形式的變化，傳統(tǒng)的基于專家系統(tǒng)的檢測(cè)技術(shù)暴露出若干局限性和不足。面對(duì)不斷變化的攻擊手段和多樣復(fù)雜的變種情況，該規(guī)則庫(kù)需要進(jìn)行隨時(shí)隨地的更新升級(jí)。更為嚴(yán)重的后果是造成安全管理員虛假的安全表象，導(dǎo)致重大的安全漏洞和隱患。通常的規(guī)則推導(dǎo)過(guò)程是在精確匹配的基礎(chǔ)上進(jìn)行的，如果某種攻擊手段的執(zhí)行過(guò)程發(fā)生某些細(xì)微的改變，對(duì)于專家系統(tǒng)而言，如果沒(méi)有找到對(duì)應(yīng)的更新規(guī)則，就會(huì)被認(rèn)定為合法行為，產(chǎn)生漏檢情況。因?yàn)樗魂P(guān)注單個(gè)異常事件的出現(xiàn)與否，而對(duì)事件狀態(tài)隨時(shí)間發(fā)生的變化情況無(wú)法處理。 基于神經(jīng)網(wǎng)絡(luò)的入侵檢測(cè)技術(shù)的發(fā)展 近年來(lái)，大量不同于傳統(tǒng)專家系統(tǒng)技術(shù)的入侵檢測(cè)方法紛紛涌現(xiàn)，其中基于人工神經(jīng)網(wǎng)絡(luò)檢測(cè)技術(shù)的發(fā)展尤為突出。從本質(zhì)上講，人工神經(jīng)網(wǎng)絡(luò)實(shí)現(xiàn)的是一種從輸入到輸出的映射關(guān)系，其輸出值由輸入樣本、神經(jīng)元間的互連權(quán)值以及傳遞函數(shù)所決定。 入侵檢測(cè)技術(shù)主要分成兩類，即基于異常和基于誤用的入侵檢測(cè)技術(shù)。從而肯定了具備學(xué)習(xí)能力的神經(jīng)網(wǎng)絡(luò)在入侵檢測(cè)中的光明應(yīng)用前景。 人工神經(jīng)網(wǎng)絡(luò)模仿人腦神經(jīng)的活動(dòng)，力圖建立腦神經(jīng)活動(dòng)的數(shù)學(xué)模型。從控制理論的觀點(diǎn)來(lái)看，神經(jīng)網(wǎng)絡(luò)處理非線性的能力是最有意義的；從系統(tǒng)辨識(shí)和模式識(shí)別的角度考慮，神經(jīng)網(wǎng)絡(luò)跟蹤和識(shí)別非線性的能力是其最大的優(yōu)勢(shì)。每個(gè)神經(jīng)元具有 102104 個(gè)突觸與其它神經(jīng)元相連接，形成了錯(cuò)綜復(fù)雜而又靈活多變的神經(jīng)網(wǎng)絡(luò)。胞體是神經(jīng)元的代謝中心， 每個(gè)細(xì)胞體有大量的樹(shù)突（輸入端）和軸突（輸出端），不同神經(jīng)元的軸突和樹(shù)突互連的結(jié)合部為突觸，突觸決定神經(jīng)元之間的連接強(qiáng)度和作用性質(zhì)，而每個(gè)神經(jīng)元胞體本身則是一非線性輸入、輸出單元。 圖 31 典型的生物神經(jīng)元 由圖 31 可見(jiàn)，神經(jīng)元有胞體、樹(shù)突和軸突構(gòu)成。胞體一般生成有許多樹(shù)狀突起物，稱之為樹(shù)突， 10 它是神經(jīng)元的主要接收器。髓鞘規(guī)則地分為許多短段，段與段之間的部位被稱為郎飛節(jié)。前一神經(jīng)元的信息經(jīng)由起軸突傳到末梢之后，通過(guò)突觸對(duì)后面各個(gè)神經(jīng)元產(chǎn)生影響。由于神經(jīng)元結(jié)構(gòu)的可塑性，突觸的傳遞作用可增強(qiáng)、減弱和飽和，因此細(xì)胞具有相應(yīng)的學(xué) 習(xí)功能、遺忘和疲勞效應(yīng)（飽和效應(yīng)）。 人工神經(jīng)元模型 根據(jù)生物神經(jīng)元的結(jié)構(gòu)和功能，從 20 世紀(jì) 40 年代開(kāi)始，人們提出了大量的人工神經(jīng)元模型，其中影響較大的是 1943 年美國(guó)心理學(xué)家 McCulloch 和數(shù)學(xué)家 Pitts 共同提出的形式神經(jīng)元模型通常稱之為 MP 模型。每一個(gè)神經(jīng)元的狀態(tài)按下述規(guī)則受其它神經(jīng)元的制約 Nixwfx Nj ijiji ?????? ?? ,2,1),( 1 ? （ 31） 式中 ijw ——— 神經(jīng)元 i和神經(jīng)元 j 之間突觸連接強(qiáng)度，或稱權(quán)值； i? ——— 神經(jīng)元 i的閥值； )(f? 在這里取階躍函數(shù) step )(? ，有 Step(a)=???????? 0a 0a01 式（ 31）也可理解為神經(jīng)元 i的輸入輸出關(guān)系。若將閥值也看作一個(gè)權(quán)值，則式（ 31）可改寫(xiě)為 11 Nixwfx Nj jiji ，???????? ?? ,2,1),( 0 （ 32） 此時(shí)有 ii xw ???00 ， 0xw =1，這就是最初的 MP 模型 . 但是，這種簡(jiǎn)單的 MP 模型沒(méi)有考慮時(shí)間整合、不應(yīng)期、延時(shí)和數(shù)模轉(zhuǎn)換等作用。它們?cè)诩?xì)節(jié)上（即并行分布處理思想上）有所不同，