【正文】 的記憶。小波分析和神經(jīng)網(wǎng)絡(luò)得到了廣泛的研究，是在 BP神經(jīng)網(wǎng)絡(luò)的基礎(chǔ)上，考慮和分析了 BP神經(jīng)網(wǎng)絡(luò)的激勵(lì)函數(shù)的特點(diǎn)，以及 BP神經(jīng)網(wǎng)絡(luò)的結(jié)構(gòu)，結(jié)合了小波分析的知識(shí)而構(gòu)造的 。 2．融合型結(jié)合 小波和神經(jīng)網(wǎng)絡(luò)直接融合，即小波元代替神經(jīng) 元。根據(jù)基函數(shù)和學(xué)習(xí)參數(shù)的不同選取，小波神經(jīng)網(wǎng)絡(luò)又可分為 3 種形式的網(wǎng)絡(luò)： （ 1）連續(xù)參數(shù)的小波神經(jīng)網(wǎng)絡(luò) 這種小波神經(jīng)網(wǎng)絡(luò)類(lèi)似于徑向基函數(shù)神經(jīng)網(wǎng)絡(luò)，但借助于小波分析理論，可使網(wǎng)絡(luò)具有較簡(jiǎn)單的拓?fù)浣Y(jié)構(gòu)和較快的收斂速 20 度，但由于尺度和平移參數(shù)均可調(diào)，使其與輸出為非線性關(guān)系，通常需利用非線性?xún)?yōu)化方法進(jìn)行參數(shù)修正，易帶來(lái)類(lèi)似 BP網(wǎng)絡(luò)參數(shù)修正時(shí)存在局部極小的弱點(diǎn)。這種形式的網(wǎng)絡(luò)雖然基函數(shù)選取靈活，但由于框架可以是線性相關(guān)的，使得網(wǎng)絡(luò)函數(shù)的個(gè)數(shù)有可能存在冗余，對(duì)過(guò)于龐大的網(wǎng)絡(luò)需要考慮優(yōu)化結(jié)構(gòu)的算法。 小波神經(jīng)網(wǎng)絡(luò)學(xué)習(xí)算法 小波分析和神經(jīng)網(wǎng) 絡(luò)的結(jié)合有下述兩種途徑： 1)松散型結(jié)合，即小波分析作為神經(jīng)網(wǎng)絡(luò)的前置處理手段，為神經(jīng)網(wǎng)絡(luò)提供輸入特征向量； 2）融合型結(jié)合，即小波分析和神經(jīng)網(wǎng)絡(luò)直接融合，以小波函數(shù)形成神經(jīng)元。 從輸入層輸入的矢量信號(hào) x經(jīng)過(guò)中間層網(wǎng)絡(luò)激勵(lì)函數(shù) (( )/ )iix b a? ? 映射，得到一組小波基函數(shù) 11(( )/ )x b a? ? ， 22(( ) / )x b a? ? ， ? , (( ) / )nnx b a? ? 表達(dá)的神經(jīng)元變換。在給定輸入 /輸出 [ , ]( 1, 2, ..., )iix y i n? 時(shí)，可用于逼近相應(yīng)的輸入 /輸出關(guān)系。 小波特征分類(lèi)器表示： 11( ) [ ( ) ]KM mkn k mn km kxbf f u f w x a??? ??? ??,其中 nf 表示第 n 次訓(xùn)練輸出結(jié)果， M表示輸入層直接的連接權(quán)值， K 表示隱層單元數(shù)，以 kw 表示隱層第 k 個(gè)單元與輸入層之間的連接權(quán)值，而 1()1 ufu e?? ?為 sigmoid 函數(shù)。 小波神經(jīng)網(wǎng)絡(luò)訓(xùn)練方法 21 39。( ) / ( 1 , 2 , . . . , ) , ( ) ( ) / ( ) ( ) [ 1 ( ) ]i i k kx x b a i M f u f u u f u f u? ? ? ? ? ? ? （ 1） 初始化網(wǎng)絡(luò)參數(shù)為 伸縮因子 ka 和平移因子 kb ，以及網(wǎng)絡(luò)連接權(quán)重 kw 賦以隨機(jī)的初始值； （ 2）輸入學(xué)習(xí)樣本矢量 12( , ,..., ),MX x x x? 及相應(yīng)的期望輸出 d； （ 3）網(wǎng)絡(luò)自學(xué)習(xí)，利用當(dāng)前 網(wǎng)絡(luò) 參數(shù)計(jì)算出網(wǎng)絡(luò)的輸出 11( ) [ ( ) ]KM mkn k mn km kxbf f u f w x a??? ??? ?? （ 4）計(jì)算瞬時(shí)梯 度 ，令 則瞬時(shí)梯度分別為：39。 39。 39。 2 39。 2 39。( ) ( )k m kkEg a x g ba???? （ 5）誤差反向傳播 ,在網(wǎng)絡(luò)訓(xùn)練過(guò)程中令 new ol dkkoldkE???? ? ? ? ?? ne w oldkkoldkEaaa???? ? ? ? ?? ne w oldkkoldkEbbb???? ? ? ? ?? 調(diào)整參數(shù) , , ,k k kabw有： , , ,n e w o ld n e w n e w o ld n e w n e w o ld n e wk k k k k k k k ka a a b b b w w w? ? ? ? ? ? ? ? ?當(dāng)誤差函數(shù)小于預(yù)先設(shè)定的某個(gè)值 ，則停止網(wǎng)絡(luò)學(xué)習(xí)，否則返回輸入學(xué)習(xí)樣本矢量步驟。 BP 網(wǎng)絡(luò)的訓(xùn)練及算法 BP網(wǎng)絡(luò)的訓(xùn)練過(guò)程也是根據(jù)樣本集對(duì)神經(jīng)元之間的聯(lián)接權(quán)進(jìn)行調(diào)整，和其它人工神經(jīng)網(wǎng)絡(luò)一樣由于 BP網(wǎng)絡(luò)按有導(dǎo)師訓(xùn)練的方式進(jìn)行學(xué)習(xí)，所以它的樣本集是由形如 (輸入向量，期望輸出向量 )的向量對(duì)構(gòu)成?！靶‰S機(jī)數(shù)”用來(lái)保證網(wǎng)絡(luò)不會(huì)因?yàn)闄?quán)過(guò)大而進(jìn)入飽和狀態(tài)，從而導(dǎo)致訓(xùn)練失敗 ； “不同”可以保證網(wǎng)絡(luò)可以正常地學(xué)習(xí)。 這兩個(gè)階段的工作一般應(yīng)受到精度要求的控制，在這里，取 211 ()2 mp pj pjjE y o???? 作為網(wǎng)絡(luò)關(guān)于第 p 個(gè)樣本的誤差測(cè)度。若在輸 出層未得到期望的輸出值 .則逐層遞歸地計(jì)算實(shí)際輸出與期望輸出之間的誤差，按減小期望輸出與實(shí)際輸出的誤差方向，從輸出層經(jīng)各隱含層逐層修正各連接權(quán)，最后回到輸入層，故得名“誤 差 逆?zhèn)鞑W(xué)習(xí)算法”。誤差反向傳播神經(jīng)網(wǎng)絡(luò)采用 BP 算法進(jìn)行訓(xùn)練和學(xué)習(xí)，該算法利用了均方誤差和梯度下降法來(lái)實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)連接權(quán)的修正，修正的目標(biāo)是使網(wǎng)絡(luò)實(shí)際輸出與規(guī)定輸出之間的均方誤差最小。 小波網(wǎng)絡(luò)與 BP 算法 仿 真對(duì)比 基于小波網(wǎng)絡(luò)算法的入侵檢測(cè)模型的仿真程序 [13]采用 進(jìn)行編程 ,訓(xùn)練樣本數(shù)據(jù)和測(cè)試數(shù)據(jù)都選用經(jīng)過(guò)預(yù)處理過(guò)的數(shù)據(jù)。設(shè)隱含層和輸出層神經(jīng)元激活函數(shù)分別為 1F 、 2F (如前所述， 1F 為小波函數(shù) 2F 為 sigmoid函 數(shù) )。 (b)小偽隨機(jī)數(shù)初始化 W,WW,a， b。 （ c） 循環(huán)控制參數(shù) err=ERROR+1，循環(huán)最大次數(shù) N=1000，循環(huán)次數(shù)控制參數(shù)epoch=1； （ d） while （ errERROR） and（ epochN） do epoch=epoch+1； 對(duì)于每一個(gè)樣本 (x， d)執(zhí)行如下操作 ： 計(jì)算網(wǎng)絡(luò)輸出 y: 1=x*W， 2=1F ((1b)/a)， y= 2F (WW*2) 計(jì)算網(wǎng)絡(luò)的輸出誤差 :err=err+(dy)2； 根據(jù)不同的算 法 ,分別計(jì)算 EW， EWW, Ea,Eb的值 ； end。反之繼續(xù)執(zhí)行。測(cè)試的方法是選擇測(cè)試樣本向量，將其輸入到訓(xùn)練好的網(wǎng)絡(luò)，檢驗(yàn)網(wǎng)絡(luò)對(duì)其分類(lèi)的正確性。采用的是 MATLAB7． 0實(shí)驗(yàn)環(huán)境。 24 圖 32 BP神經(jīng)網(wǎng)絡(luò)訓(xùn)練數(shù)據(jù)收斂圖 圖 33 小波神經(jīng)網(wǎng)絡(luò)訓(xùn)練數(shù)據(jù)收斂圖 25 由圖 32和圖 33可以看出，小波神經(jīng)網(wǎng)絡(luò)在數(shù)據(jù)訓(xùn)練到 274 次以后就開(kāi)始收斂，而 BP 神經(jīng)網(wǎng)絡(luò)在數(shù) 據(jù)達(dá)到 476 次以后才出現(xiàn)收斂情況。 25 第 4 章 小波神經(jīng)網(wǎng)絡(luò)在入侵檢測(cè)中的應(yīng)用 入侵檢測(cè)系統(tǒng)設(shè)計(jì)目標(biāo) 本入侵檢測(cè)系統(tǒng) 設(shè)計(jì)目標(biāo)的主要思想是利用開(kāi)源 軟件 — SNORT(本 系統(tǒng) 屬于基于網(wǎng)絡(luò)的入侵檢測(cè) 系 統(tǒng) ),并借鑒小波神經(jīng)網(wǎng)絡(luò)的特點(diǎn)與 成熟的 SNORT系統(tǒng) 結(jié)合 。 將 神經(jīng)網(wǎng)絡(luò)技術(shù) 在 入侵檢測(cè)領(lǐng)域 中的應(yīng)用經(jīng)過(guò)不斷 的研究 ，如今已經(jīng)取得了許多的成果。 入侵檢測(cè)系統(tǒng)最理想的目標(biāo) 是通過(guò)對(duì)目前 掌握的知識(shí)的學(xué)習(xí)和分析， 并概括歸納出某 入侵行為所蘊(yùn)涵的一般特征 以及規(guī) 律，從而 具備 對(duì)屬于該類(lèi)行為的未知實(shí)例 的 識(shí)別能力，未來(lái)入侵檢測(cè)系統(tǒng) 正朝著這個(gè) 方向 發(fā)展 。 除 此 之 外 ， 如果某些屬性不便于數(shù)值化，也不適用于神經(jīng)網(wǎng)絡(luò)， 那么 神經(jīng)網(wǎng)絡(luò)的這些特性 就 決定 了在入侵檢 測(cè)領(lǐng)域的前景及 其應(yīng)用的領(lǐng)域。在 充分認(rèn)識(shí)神經(jīng)網(wǎng)絡(luò)和 SNORT系統(tǒng)各自?xún)?yōu)點(diǎn)和缺點(diǎn)的基礎(chǔ)上，提出小波神經(jīng)網(wǎng)絡(luò)和 SNORT相結(jié)合的入侵檢測(cè)系統(tǒng)。第一類(lèi)入侵的行為特征主要體現(xiàn)在網(wǎng)絡(luò)連接的時(shí)間 和流量特性上，而且特征屬性經(jīng)過(guò)數(shù)值化 后 更利于表征入侵，如 DOS(拒絕服務(wù)攻擊 )、 probing（監(jiān)視和探測(cè)其他活動(dòng)） 攻擊； 第二類(lèi) 入侵 的行為特征隱藏 在數(shù)據(jù)包的數(shù)據(jù)段中，主要為 系統(tǒng)服務(wù)的操作命令，通常由 一些字符串構(gòu)成。該類(lèi)入侵在網(wǎng)絡(luò)流量特性和網(wǎng)絡(luò)連接狀態(tài) 與正常網(wǎng)絡(luò)行為相似，所以通過(guò) 分析 流量和連接狀態(tài)的數(shù)值化 很難 將兩者區(qū)分開(kāi)，這類(lèi)攻擊包括 U2R（普通用戶(hù)對(duì)本地超級(jí)用戶(hù)特權(quán)的非法訪問(wèn)）、 R2L(來(lái)自遠(yuǎn)程機(jī)器的非法訪問(wèn) )攻擊。但對(duì)第二類(lèi)入侵行為 檢測(cè)能力 較低 。技術(shù)簡(jiǎn)單，容易實(shí)現(xiàn)，檢測(cè)能力更全面，可以精確地檢測(cè)出第二類(lèi)特征已知的入侵行為。 SNORT系統(tǒng)也可以用于檢測(cè)部分 DOS， probing攻擊，但由于是對(duì)單個(gè)數(shù)據(jù)包進(jìn)行分析，對(duì)于那些與時(shí)間和流量特性有很強(qiáng)相關(guān)性的 DOS， probing入侵攻擊， 存在嚴(yán)重的漏報(bào)率。另外 SNORT系統(tǒng)是 基于己知入侵特征的誤用檢測(cè)， 不能 檢測(cè)變種入侵和新入侵行為。 本文將小波神經(jīng)網(wǎng)絡(luò)和 SNORT系統(tǒng)技術(shù)結(jié)合起來(lái)，相互補(bǔ)充，嘗試 完成 一個(gè)性能比較全面的基于網(wǎng)絡(luò)的入侵檢測(cè)模型。 一個(gè)完善的入侵檢測(cè)系統(tǒng)在體系結(jié)構(gòu)上應(yīng)該包括事件產(chǎn)生器、事件分析器、事件數(shù)據(jù)庫(kù)和響應(yīng)單元等四個(gè)部分 （ 參照 CIDF 規(guī)范） 。對(duì)于 事件數(shù)據(jù)庫(kù)和響應(yīng)單元僅以日志來(lái)簡(jiǎn)單地代替（ 事件產(chǎn)生器、事件分析器、事件數(shù)據(jù)庫(kù)和響應(yīng)單元等四個(gè)部分 ，參照上文入侵檢測(cè)系統(tǒng)的結(jié)構(gòu)和組成）。由于兩個(gè)檢測(cè)模塊的檢測(cè)能力的不同，數(shù)據(jù) 捕捉 響應(yīng) 模塊 小波 網(wǎng)絡(luò) 過(guò)濾 小波 網(wǎng)絡(luò) 訓(xùn)練 數(shù)據(jù) 預(yù)處 數(shù)據(jù)庫(kù) SNORT 模式匹 配模塊 規(guī)則庫(kù) 響應(yīng) 模塊 27 小波神經(jīng)網(wǎng)絡(luò)模塊除了能 夠 檢測(cè)到己知入侵行為外，還能夠檢測(cè)到未知的入侵行為，因此 需 要 分開(kāi)處理兩個(gè)模塊的檢測(cè)結(jié)果。小波神經(jīng)網(wǎng)絡(luò)除了 要 向用戶(hù)發(fā)出報(bào)警信息，將攻擊事件相關(guān)信息記錄在日志文件里外，還要將該數(shù)據(jù)與樣 本 庫(kù)中樣 本進(jìn)行 對(duì)比 ，若是新型攻擊或是異常的輸出 ， 則提交給管理人員判斷處理以便 更 新樣 本 庫(kù)和 SNORT 系統(tǒng)的規(guī)則庫(kù)文件，提高檢測(cè) 的 性能。 相比基于規(guī)則的入侵檢測(cè)系統(tǒng) ， 小波神經(jīng)網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng) 具有更 突出的優(yōu)勢(shì)和亮點(diǎn)， 使 入侵檢測(cè)系統(tǒng)的 具有很大的 實(shí)際應(yīng)用價(jià)值。第一種模式：互補(bǔ)式工作模式 ， 通過(guò)將 小波神經(jīng)網(wǎng)絡(luò)模塊和 SNORT系統(tǒng)模塊分別作為獨(dú)立的檢測(cè)單元，構(gòu)成功能互補(bǔ)式工作模式。 （ 1） 互補(bǔ)式工作模式 圖 42 互補(bǔ)式工作模式圖 結(jié)合 圖 42，對(duì)該種工作方式進(jìn)行概述： 小波神經(jīng)網(wǎng)絡(luò)和 SNORT系統(tǒng) 兩個(gè)模塊是相互獨(dú)立工作的，每個(gè)模塊針對(duì) 相應(yīng) 的入侵檢測(cè) 模式進(jìn)行檢測(cè)。 其 具體 劃分如下： 小波神經(jīng)網(wǎng)絡(luò)檢測(cè)模塊針對(duì) DOS、 probing攻擊進(jìn)行檢測(cè)， SNORT系統(tǒng)檢測(cè) 模塊 負(fù)責(zé)檢測(cè) U2R和 R2L攻擊。這種獨(dú)立運(yùn)行 的機(jī)制是通過(guò)如下方法實(shí)現(xiàn)： 1） 預(yù)處理模塊針對(duì)每一個(gè)數(shù)據(jù)包都分別生成小波神經(jīng)網(wǎng)絡(luò)檢測(cè)模塊和 SNORT系統(tǒng)模塊的輸入實(shí)例，然后兩種數(shù)據(jù)被分別送入這兩個(gè)檢測(cè)模塊，由于小波神經(jīng)網(wǎng)絡(luò)檢測(cè)模塊只針對(duì) DOS攻擊和 probing攻擊進(jìn)行了訓(xùn)練學(xué)習(xí)，而且 U2R， R2L攻擊在統(tǒng)計(jì)特征上與正常數(shù)據(jù)相近，所以只能檢測(cè)出 DOS攻擊和 probing攻擊的存在，而把 U2R， R2L攻擊誤判為正常數(shù)據(jù)。通過(guò)精心選擇向規(guī)則庫(kù)中添加 DOS攻擊和 probing攻擊規(guī)則，可以提高系統(tǒng)檢測(cè)能力。 該模式的檢測(cè)范圍分配可以描述如下公式： ( ) ( ) 1O x P x?? ( ) ( ) 0O x P x?? 其中 O(x)表示 小波神經(jīng)網(wǎng)絡(luò)模塊的檢測(cè)范圍， P(x)SNOR 表示 SNORT系統(tǒng)模塊的檢測(cè)范圍。 下面通過(guò)對(duì)該模式的工作過(guò)程的介紹，進(jìn)一步驗(yàn)證其必要性。 小波神經(jīng)網(wǎng)絡(luò)模塊檢測(cè)異常的網(wǎng)絡(luò)數(shù)據(jù)包要提交給 SNORT系統(tǒng)檢測(cè)模塊進(jìn)行對(duì)比，如果兩者都判定該數(shù)據(jù)包為入侵行為，寫(xiě)入日志中。 2） 對(duì)于那些小波神經(jīng)網(wǎng)絡(luò)模塊判定異常而 SNORT系統(tǒng)模塊判定為正常的數(shù)據(jù)，則要提交給管理人員來(lái)判讀，如果是正常數(shù)據(jù)，生成小波神經(jīng)網(wǎng)絡(luò)的樣 本 ，加入樣 本庫(kù)中， 避免重復(fù)誤判。 小波神經(jīng)網(wǎng)絡(luò)實(shí)現(xiàn)上述功能的方法可以描述如下： 看小波神經(jīng)網(wǎng)絡(luò)模塊在檢測(cè)功能上是 SNORT系統(tǒng)模塊的一個(gè)子集，但 是在實(shí)現(xiàn)上有很大的區(qū)別 ， SNORT系統(tǒng)模塊可以檢測(cè)到在規(guī)則庫(kù)中有記錄的那些 入侵行為，而且具有極其高的檢測(cè)精度，然而對(duì)于那些在規(guī)則庫(kù)中不存在的入侵行為，它會(huì)視而不見(jiàn)， SNORT系統(tǒng)模塊對(duì)一個(gè)網(wǎng)絡(luò)行的判斷只能有兩種結(jié)果：是或不是。 1的實(shí)數(shù)值，該值是網(wǎng)絡(luò)行為屬于某類(lèi)入侵行為的概率值，可以通過(guò)實(shí)驗(yàn)確定兩個(gè)閾值 Xmax和 Xmin，小波神經(jīng)網(wǎng)絡(luò)模塊的輸出值大于閾值 Xmax的行為，系統(tǒng)就判定為入侵行為。而對(duì)于那些介于閾值 Xmax和 Xmin之間的數(shù)據(jù)，則可以提交給管理人員分析處理。 推薦在如下一些情況下使用。 對(duì)管理人員分析入侵行為具有借鑒意義，減少分析數(shù)據(jù)的數(shù)量，減輕 分析的工作量。該模式的檢測(cè)范圍分配可以描述為如下公式： ( ) ( ) 1O x P x?? ()Ox包含于 ()Px 仿真試驗(yàn) 與 結(jié)果 本仿真實(shí)驗(yàn)是在一個(gè)獨(dú)立的局域網(wǎng)內(nèi)進(jìn)行系統(tǒng)的性能 測(cè)試。對(duì)于緩沖區(qū)溢出類(lèi)攻擊行為，攻 擊特征在數(shù)據(jù)包的數(shù)據(jù)段內(nèi)，因此其網(wǎng)絡(luò)連接特性與正常網(wǎng)絡(luò)通訊類(lèi)似。而 SNORT系統(tǒng)根據(jù)已知入侵模式，在數(shù)據(jù)包的數(shù)據(jù)段內(nèi)進(jìn)行模式匹配搜索，從而檢測(cè)出入侵行為。 實(shí)驗(yàn)結(jié)果衡量指標(biāo) ： 檢測(cè)率、誤報(bào)率、漏報(bào)率是衡量入侵檢測(cè)性能好壞的重要指標(biāo)，其含義如下： 檢測(cè)率：檢測(cè)出入侵事件的百分比。 誤報(bào)率 =(被誤檢為入侵的事件個(gè)數(shù) /總的事件個(gè)數(shù) )*100% 漏報(bào)率：沒(méi)有被檢測(cè)