【正文】 的記憶。小波分析和神經(jīng)網(wǎng)絡(luò)得到了廣泛的研究，是在 BP神經(jīng)網(wǎng)絡(luò)的基礎(chǔ)上，考慮和分析了 BP神經(jīng)網(wǎng)絡(luò)的激勵函數(shù)的特點，以及 BP神經(jīng)網(wǎng)絡(luò)的結(jié)構(gòu)，結(jié)合了小波分析的知識而構(gòu)造的 。 2．融合型結(jié)合 小波和神經(jīng)網(wǎng)絡(luò)直接融合，即小波元代替神經(jīng) 元。根據(jù)基函數(shù)和學(xué)習(xí)參數(shù)的不同選取，小波神經(jīng)網(wǎng)絡(luò)又可分為 3 種形式的網(wǎng)絡(luò)： （ 1）連續(xù)參數(shù)的小波神經(jīng)網(wǎng)絡(luò) 這種小波神經(jīng)網(wǎng)絡(luò)類似于徑向基函數(shù)神經(jīng)網(wǎng)絡(luò)，但借助于小波分析理論，可使網(wǎng)絡(luò)具有較簡單的拓?fù)浣Y(jié)構(gòu)和較快的收斂速 20 度，但由于尺度和平移參數(shù)均可調(diào)，使其與輸出為非線性關(guān)系，通常需利用非線性優(yōu)化方法進(jìn)行參數(shù)修正，易帶來類似 BP網(wǎng)絡(luò)參數(shù)修正時存在局部極小的弱點。這種形式的網(wǎng)絡(luò)雖然基函數(shù)選取靈活，但由于框架可以是線性相關(guān)的，使得網(wǎng)絡(luò)函數(shù)的個數(shù)有可能存在冗余，對過于龐大的網(wǎng)絡(luò)需要考慮優(yōu)化結(jié)構(gòu)的算法。 小波神經(jīng)網(wǎng)絡(luò)學(xué)習(xí)算法 小波分析和神經(jīng)網(wǎng) 絡(luò)的結(jié)合有下述兩種途徑： 1)松散型結(jié)合，即小波分析作為神經(jīng)網(wǎng)絡(luò)的前置處理手段，為神經(jīng)網(wǎng)絡(luò)提供輸入特征向量； 2）融合型結(jié)合，即小波分析和神經(jīng)網(wǎng)絡(luò)直接融合，以小波函數(shù)形成神經(jīng)元。 從輸入層輸入的矢量信號 x經(jīng)過中間層網(wǎng)絡(luò)激勵函數(shù) (( )/ )iix b a? ? 映射，得到一組小波基函數(shù) 11(( )/ )x b a? ? ， 22(( ) / )x b a? ? ， ? , (( ) / )nnx b a? ? 表達(dá)的神經(jīng)元變換。在給定輸入 /輸出 [ , ]( 1, 2, ..., )iix y i n? 時，可用于逼近相應(yīng)的輸入 /輸出關(guān)系。 小波特征分類器表示： 11( ) [ ( ) ]KM mkn k mn km kxbf f u f w x a??? ??? ??,其中 nf 表示第 n 次訓(xùn)練輸出結(jié)果， M表示輸入層直接的連接權(quán)值， K 表示隱層單元數(shù)，以 kw 表示隱層第 k 個單元與輸入層之間的連接權(quán)值，而 1()1 ufu e?? ?為 sigmoid 函數(shù)。 小波神經(jīng)網(wǎng)絡(luò)訓(xùn)練方法 21 39。( ) / ( 1 , 2 , . . . , ) , ( ) ( ) / ( ) ( ) [ 1 ( ) ]i i k kx x b a i M f u f u u f u f u? ? ? ? ? ? ? （ 1） 初始化網(wǎng)絡(luò)參數(shù)為 伸縮因子 ka 和平移因子 kb ，以及網(wǎng)絡(luò)連接權(quán)重 kw 賦以隨機(jī)的初始值； （ 2）輸入學(xué)習(xí)樣本矢量 12( , ,..., ),MX x x x? 及相應(yīng)的期望輸出 d； （ 3）網(wǎng)絡(luò)自學(xué)習(xí)，利用當(dāng)前 網(wǎng)絡(luò) 參數(shù)計算出網(wǎng)絡(luò)的輸出 11( ) [ ( ) ]KM mkn k mn km kxbf f u f w x a??? ??? ?? （ 4）計算瞬時梯 度 ，令 則瞬時梯度分別為：39。 39。 39。 2 39。 2 39。( ) ( )k m kkEg a x g ba???? （ 5）誤差反向傳播 ,在網(wǎng)絡(luò)訓(xùn)練過程中令 new ol dkkoldkE???? ? ? ? ?? ne w oldkkoldkEaaa???? ? ? ? ?? ne w oldkkoldkEbbb???? ? ? ? ?? 調(diào)整參數(shù) , , ,k k kabw有： , , ,n e w o ld n e w n e w o ld n e w n e w o ld n e wk k k k k k k k ka a a b b b w w w? ? ? ? ? ? ? ? ?當(dāng)誤差函數(shù)小于預(yù)先設(shè)定的某個值 ，則停止網(wǎng)絡(luò)學(xué)習(xí)，否則返回輸入學(xué)習(xí)樣本矢量步驟。 BP 網(wǎng)絡(luò)的訓(xùn)練及算法 BP網(wǎng)絡(luò)的訓(xùn)練過程也是根據(jù)樣本集對神經(jīng)元之間的聯(lián)接權(quán)進(jìn)行調(diào)整，和其它人工神經(jīng)網(wǎng)絡(luò)一樣由于 BP網(wǎng)絡(luò)按有導(dǎo)師訓(xùn)練的方式進(jìn)行學(xué)習(xí)，所以它的樣本集是由形如 (輸入向量，期望輸出向量 )的向量對構(gòu)成?！靶‰S機(jī)數(shù)”用來保證網(wǎng)絡(luò)不會因為權(quán)過大而進(jìn)入飽和狀態(tài)，從而導(dǎo)致訓(xùn)練失敗 ； “不同”可以保證網(wǎng)絡(luò)可以正常地學(xué)習(xí)。 這兩個階段的工作一般應(yīng)受到精度要求的控制，在這里，取 211 ()2 mp pj pjjE y o???? 作為網(wǎng)絡(luò)關(guān)于第 p 個樣本的誤差測度。若在輸 出層未得到期望的輸出值 .則逐層遞歸地計算實際輸出與期望輸出之間的誤差，按減小期望輸出與實際輸出的誤差方向，從輸出層經(jīng)各隱含層逐層修正各連接權(quán)，最后回到輸入層，故得名“誤 差 逆?zhèn)鞑W(xué)習(xí)算法”。誤差反向傳播神經(jīng)網(wǎng)絡(luò)采用 BP 算法進(jìn)行訓(xùn)練和學(xué)習(xí)，該算法利用了均方誤差和梯度下降法來實現(xiàn)對網(wǎng)絡(luò)連接權(quán)的修正，修正的目標(biāo)是使網(wǎng)絡(luò)實際輸出與規(guī)定輸出之間的均方誤差最小。 小波網(wǎng)絡(luò)與 BP 算法 仿 真對比 基于小波網(wǎng)絡(luò)算法的入侵檢測模型的仿真程序 [13]采用 進(jìn)行編程 ,訓(xùn)練樣本數(shù)據(jù)和測試數(shù)據(jù)都選用經(jīng)過預(yù)處理過的數(shù)據(jù)。設(shè)隱含層和輸出層神經(jīng)元激活函數(shù)分別為 1F 、 2F (如前所述， 1F 為小波函數(shù) 2F 為 sigmoid函 數(shù) )。 (b)小偽隨機(jī)數(shù)初始化 W,WW,a， b。 （ c） 循環(huán)控制參數(shù) err=ERROR+1，循環(huán)最大次數(shù) N=1000，循環(huán)次數(shù)控制參數(shù)epoch=1； （ d） while （ errERROR） and（ epochN） do epoch=epoch+1； 對于每一個樣本 (x， d)執(zhí)行如下操作 ： 計算網(wǎng)絡(luò)輸出 y: 1=x*W， 2=1F ((1b)/a)， y= 2F (WW*2) 計算網(wǎng)絡(luò)的輸出誤差 :err=err+(dy)2； 根據(jù)不同的算 法 ,分別計算 EW， EWW, Ea,Eb的值 ； end。反之繼續(xù)執(zhí)行。測試的方法是選擇測試樣本向量，將其輸入到訓(xùn)練好的網(wǎng)絡(luò)，檢驗網(wǎng)絡(luò)對其分類的正確性。采用的是 MATLAB7． 0實驗環(huán)境。 24 圖 32 BP神經(jīng)網(wǎng)絡(luò)訓(xùn)練數(shù)據(jù)收斂圖 圖 33 小波神經(jīng)網(wǎng)絡(luò)訓(xùn)練數(shù)據(jù)收斂圖 25 由圖 32和圖 33可以看出，小波神經(jīng)網(wǎng)絡(luò)在數(shù)據(jù)訓(xùn)練到 274 次以后就開始收斂，而 BP 神經(jīng)網(wǎng)絡(luò)在數(shù) 據(jù)達(dá)到 476 次以后才出現(xiàn)收斂情況。 25 第 4 章 小波神經(jīng)網(wǎng)絡(luò)在入侵檢測中的應(yīng)用 入侵檢測系統(tǒng)設(shè)計目標(biāo) 本入侵檢測系統(tǒng) 設(shè)計目標(biāo)的主要思想是利用開源 軟件 — SNORT(本 系統(tǒng) 屬于基于網(wǎng)絡(luò)的入侵檢測 系 統(tǒng) ),并借鑒小波神經(jīng)網(wǎng)絡(luò)的特點與 成熟的 SNORT系統(tǒng) 結(jié)合 。 將 神經(jīng)網(wǎng)絡(luò)技術(shù) 在 入侵檢測領(lǐng)域 中的應(yīng)用經(jīng)過不斷 的研究 ，如今已經(jīng)取得了許多的成果。 入侵檢測系統(tǒng)最理想的目標(biāo) 是通過對目前 掌握的知識的學(xué)習(xí)和分析， 并概括歸納出某 入侵行為所蘊涵的一般特征 以及規(guī) 律，從而 具備 對屬于該類行為的未知實例 的 識別能力，未來入侵檢測系統(tǒng) 正朝著這個 方向 發(fā)展 。 除 此 之 外 ， 如果某些屬性不便于數(shù)值化，也不適用于神經(jīng)網(wǎng)絡(luò)， 那么 神經(jīng)網(wǎng)絡(luò)的這些特性 就 決定 了在入侵檢 測領(lǐng)域的前景及 其應(yīng)用的領(lǐng)域。在 充分認(rèn)識神經(jīng)網(wǎng)絡(luò)和 SNORT系統(tǒng)各自優(yōu)點和缺點的基礎(chǔ)上，提出小波神經(jīng)網(wǎng)絡(luò)和 SNORT相結(jié)合的入侵檢測系統(tǒng)。第一類入侵的行為特征主要體現(xiàn)在網(wǎng)絡(luò)連接的時間 和流量特性上，而且特征屬性經(jīng)過數(shù)值化 后 更利于表征入侵，如 DOS(拒絕服務(wù)攻擊 )、 probing（監(jiān)視和探測其他活動） 攻擊； 第二類 入侵 的行為特征隱藏 在數(shù)據(jù)包的數(shù)據(jù)段中，主要為 系統(tǒng)服務(wù)的操作命令，通常由 一些字符串構(gòu)成。該類入侵在網(wǎng)絡(luò)流量特性和網(wǎng)絡(luò)連接狀態(tài) 與正常網(wǎng)絡(luò)行為相似，所以通過 分析 流量和連接狀態(tài)的數(shù)值化 很難 將兩者區(qū)分開，這類攻擊包括 U2R（普通用戶對本地超級用戶特權(quán)的非法訪問）、 R2L(來自遠(yuǎn)程機(jī)器的非法訪問 )攻擊。但對第二類入侵行為 檢測能力 較低 。技術(shù)簡單，容易實現(xiàn)，檢測能力更全面，可以精確地檢測出第二類特征已知的入侵行為。 SNORT系統(tǒng)也可以用于檢測部分 DOS， probing攻擊，但由于是對單個數(shù)據(jù)包進(jìn)行分析，對于那些與時間和流量特性有很強(qiáng)相關(guān)性的 DOS， probing入侵攻擊， 存在嚴(yán)重的漏報率。另外 SNORT系統(tǒng)是 基于己知入侵特征的誤用檢測， 不能 檢測變種入侵和新入侵行為。 本文將小波神經(jīng)網(wǎng)絡(luò)和 SNORT系統(tǒng)技術(shù)結(jié)合起來，相互補(bǔ)充，嘗試 完成 一個性能比較全面的基于網(wǎng)絡(luò)的入侵檢測模型。 一個完善的入侵檢測系統(tǒng)在體系結(jié)構(gòu)上應(yīng)該包括事件產(chǎn)生器、事件分析器、事件數(shù)據(jù)庫和響應(yīng)單元等四個部分 （ 參照 CIDF 規(guī)范） 。對于 事件數(shù)據(jù)庫和響應(yīng)單元僅以日志來簡單地代替（ 事件產(chǎn)生器、事件分析器、事件數(shù)據(jù)庫和響應(yīng)單元等四個部分 ，參照上文入侵檢測系統(tǒng)的結(jié)構(gòu)和組成）。由于兩個檢測模塊的檢測能力的不同，數(shù)據(jù) 捕捉 響應(yīng) 模塊 小波 網(wǎng)絡(luò) 過濾 小波 網(wǎng)絡(luò) 訓(xùn)練 數(shù)據(jù) 預(yù)處 數(shù)據(jù)庫 SNORT 模式匹 配模塊 規(guī)則庫 響應(yīng) 模塊 27 小波神經(jīng)網(wǎng)絡(luò)模塊除了能 夠 檢測到己知入侵行為外，還能夠檢測到未知的入侵行為，因此 需 要 分開處理兩個模塊的檢測結(jié)果。小波神經(jīng)網(wǎng)絡(luò)除了 要 向用戶發(fā)出報警信息，將攻擊事件相關(guān)信息記錄在日志文件里外，還要將該數(shù)據(jù)與樣 本 庫中樣 本進(jìn)行 對比 ，若是新型攻擊或是異常的輸出 ， 則提交給管理人員判斷處理以便 更 新樣 本 庫和 SNORT 系統(tǒng)的規(guī)則庫文件，提高檢測 的 性能。 相比基于規(guī)則的入侵檢測系統(tǒng) ， 小波神經(jīng)網(wǎng)絡(luò)入侵檢測系統(tǒng) 具有更 突出的優(yōu)勢和亮點， 使 入侵檢測系統(tǒng)的 具有很大的 實際應(yīng)用價值。第一種模式：互補(bǔ)式工作模式 ， 通過將 小波神經(jīng)網(wǎng)絡(luò)模塊和 SNORT系統(tǒng)模塊分別作為獨立的檢測單元，構(gòu)成功能互補(bǔ)式工作模式。 （ 1） 互補(bǔ)式工作模式 圖 42 互補(bǔ)式工作模式圖 結(jié)合 圖 42，對該種工作方式進(jìn)行概述： 小波神經(jīng)網(wǎng)絡(luò)和 SNORT系統(tǒng) 兩個模塊是相互獨立工作的，每個模塊針對 相應(yīng) 的入侵檢測 模式進(jìn)行檢測。 其 具體 劃分如下： 小波神經(jīng)網(wǎng)絡(luò)檢測模塊針對 DOS、 probing攻擊進(jìn)行檢測， SNORT系統(tǒng)檢測 模塊 負(fù)責(zé)檢測 U2R和 R2L攻擊。這種獨立運行 的機(jī)制是通過如下方法實現(xiàn)： 1） 預(yù)處理模塊針對每一個數(shù)據(jù)包都分別生成小波神經(jīng)網(wǎng)絡(luò)檢測模塊和 SNORT系統(tǒng)模塊的輸入實例，然后兩種數(shù)據(jù)被分別送入這兩個檢測模塊，由于小波神經(jīng)網(wǎng)絡(luò)檢測模塊只針對 DOS攻擊和 probing攻擊進(jìn)行了訓(xùn)練學(xué)習(xí)，而且 U2R， R2L攻擊在統(tǒng)計特征上與正常數(shù)據(jù)相近，所以只能檢測出 DOS攻擊和 probing攻擊的存在，而把 U2R， R2L攻擊誤判為正常數(shù)據(jù)。通過精心選擇向規(guī)則庫中添加 DOS攻擊和 probing攻擊規(guī)則，可以提高系統(tǒng)檢測能力。 該模式的檢測范圍分配可以描述如下公式： ( ) ( ) 1O x P x?? ( ) ( ) 0O x P x?? 其中 O(x)表示 小波神經(jīng)網(wǎng)絡(luò)模塊的檢測范圍， P(x)SNOR 表示 SNORT系統(tǒng)模塊的檢測范圍。 下面通過對該模式的工作過程的介紹，進(jìn)一步驗證其必要性。 小波神經(jīng)網(wǎng)絡(luò)模塊檢測異常的網(wǎng)絡(luò)數(shù)據(jù)包要提交給 SNORT系統(tǒng)檢測模塊進(jìn)行對比，如果兩者都判定該數(shù)據(jù)包為入侵行為，寫入日志中。 2） 對于那些小波神經(jīng)網(wǎng)絡(luò)模塊判定異常而 SNORT系統(tǒng)模塊判定為正常的數(shù)據(jù)，則要提交給管理人員來判讀，如果是正常數(shù)據(jù)，生成小波神經(jīng)網(wǎng)絡(luò)的樣 本 ，加入樣 本庫中， 避免重復(fù)誤判。 小波神經(jīng)網(wǎng)絡(luò)實現(xiàn)上述功能的方法可以描述如下： 看小波神經(jīng)網(wǎng)絡(luò)模塊在檢測功能上是 SNORT系統(tǒng)模塊的一個子集，但 是在實現(xiàn)上有很大的區(qū)別 ， SNORT系統(tǒng)模塊可以檢測到在規(guī)則庫中有記錄的那些 入侵行為，而且具有極其高的檢測精度，然而對于那些在規(guī)則庫中不存在的入侵行為，它會視而不見， SNORT系統(tǒng)模塊對一個網(wǎng)絡(luò)行的判斷只能有兩種結(jié)果：是或不是。 1的實數(shù)值，該值是網(wǎng)絡(luò)行為屬于某類入侵行為的概率值，可以通過實驗確定兩個閾值 Xmax和 Xmin，小波神經(jīng)網(wǎng)絡(luò)模塊的輸出值大于閾值 Xmax的行為，系統(tǒng)就判定為入侵行為。而對于那些介于閾值 Xmax和 Xmin之間的數(shù)據(jù)，則可以提交給管理人員分析處理。 推薦在如下一些情況下使用。 對管理人員分析入侵行為具有借鑒意義，減少分析數(shù)據(jù)的數(shù)量，減輕 分析的工作量。該模式的檢測范圍分配可以描述為如下公式： ( ) ( ) 1O x P x?? ()Ox包含于 ()Px 仿真試驗 與 結(jié)果 本仿真實驗是在一個獨立的局域網(wǎng)內(nèi)進(jìn)行系統(tǒng)的性能 測試。對于緩沖區(qū)溢出類攻擊行為，攻 擊特征在數(shù)據(jù)包的數(shù)據(jù)段內(nèi)，因此其網(wǎng)絡(luò)連接特性與正常網(wǎng)絡(luò)通訊類似。而 SNORT系統(tǒng)根據(jù)已知入侵模式，在數(shù)據(jù)包的數(shù)據(jù)段內(nèi)進(jìn)行模式匹配搜索，從而檢測出入侵行為。 實驗結(jié)果衡量指標(biāo) ： 檢測率、誤報率、漏報率是衡量入侵檢測性能好壞的重要指標(biāo)，其含義如下： 檢測率：檢測出入侵事件的百分比。 誤報率 =(被誤檢為入侵的事件個數(shù) /總的事件個數(shù) )*100% 漏報率：沒有被檢測