1、基于集成神经网络入侵检测系统的研究毕 业 论 文目 录摘要IABSTRACTII1 引言11.1 研究的背景和意义11.2 国内外研究现状21.3 论文结构安排32 入侵检测技术简介42.1 研究入侵检测的必要性42.2 入侵检测的相关概念42.3 入侵检测系统的基本原理42.4 入侵检测系统的基本工作模式52.5 入侵检测系统的分类62.5.1 根据检测技术分类62.5.2 根据数据来源分类72.6 入侵检测目前存在的局限性和不足72.7 基于神经网络的入侵检测技术的发展83 神经网络简介93.1 神经网络模型93.1.1 生物神经元模型93.1.2 人工神经元模型103.1.3 神经网络模
2、型123.1.4 神经网络的工作方式123.1.5 神经网络的基本性质及优点133.2 神经网络应用于入侵检测144 基于集成神经网络的入侵检测系统154.1 系统设计154.1.1 系统工作原理154.1.2 特征提取154.2 集成神经网络算法164.3 遗传算法174.3.1 遗传算法的定义174.3.2 遗传算法的基本思想174.3.3 基本遗传算法184.3.4 基本遗传算法的运行参数204.4.2 个体网络的构建204.4.3 个体网络的选择214.4.4 网络的集成输出225 仿真实验分析235.1 matlab神经网络工具箱235.2 实验数据源235.3 入侵检测数据集预处理
3、245.4 仿真实验245.4.1 导入数据245.4.2 训练过程255.5 仿真实验数据分析27结论28参考文献29致 谢30摘要入侵检测是防火墙的合理补充,它帮助系统对付网络攻击,扩展了系统管理员的安全管理能力,提高了信息安全基础结构的完整性。入侵检测技术是一种动态的网络检测技术,主要用于识别对计算机和网络资源的恶意使用行为,包括来自外部用户的入侵行为和内部用户的未经授权活动。为了提高入侵检测系统的检测能力,本文在了解信息安全和入侵检测概念的基础上,分析神经网络模型,采用单个神经网络分别对样本进行训练,然后,通过遗传算法寻找那些差异较大的神经网络进行集成,并将研究的模型应用于入侵检测系统
4、中,提出相应的处理方案,得到最后的结果。关键词:网络安全 入侵检测 神经网络 集成学习 遗传算法AbstractIntrusion detection is a logical addition to firewall, it helps the system to deal with network attacks, expanded the system administrators security management capabilities, improve the integrity of the information security infrastructure. Intr
5、usion detection technology is a dynamic network detection technology, mainly used to identify computers and network resources on the malicious use of behavior, including acts of invasion from external users and internal users without the mandated activities. In order to improve detection of intrusio
6、n detection system, this paper to understand the concept of information security and intrusion detection based on analysis of neural network model, using a single neural network training samples, respectively, and then, through the genetic algorithm to find large differences in the neural network th
7、at integration, and research models are applied to intrusion detection system, the corresponding processing program, get the final results.Keywords: network security intrusion detection neural network Integrated Learning genetic arithmetic291 引言信息使用比例的加大,使得社会对信息的真实程度,保密程度的要求不断提高,而网络化又使因虚假、泄密引起的信息危害程
8、度越来越大。如近几年的大学英语四、六级考题泄露事件,通过网络操作使得股民帐户受损事件,“熊猫烧香”病毒导致计算机网络大面积瘫痪等影响都是全国性的。如何能在在不影响网络性能的情况下能对网络进行监测,提供对内部攻击、外部攻击和误操作的实时保护,是网络安全的重要课题。1.1 研究的背景和意义随着人类社会对Internet需求的日益增长,网络安全逐渐成为Internet及各项网络服务和应用进一步发展所需解决的关键问题,尤其是从1993年以来,随着Internet/Intranet技术日趋成熟,通过Internet进行的各种电子商务和电子政务活动日益增多,很多组织和企业都建立了自己的内部网络并将之与In
9、ternet联通。这些电子商务和政务应用和企业网络中的商业秘密便是攻击者的目标,据统计目前网络攻击手段多达数千种,使网络安全问题变得极其严峻1。在网络安全技术中,防火墙是第一道防御屏障。一般它位于路由器之后,为进出网络的连接提供安全访问控制。但一般网络系统必须对外开放一些应用端口,如80、110等,这时防火墙的不足就会充分体现出来,并且防火墙对内部攻击无能为力;同时,防火墙绝对不是坚不可摧的,即使是某些防火墙本身也会引起一些安全问题。信息安全的PDRR模型充分说明了检测的重要性。入侵检测是防火墙的合理补充,它帮助系统对付网络攻击,扩展了系统管理员的安全管理能力,提高了信息安全基础结构的完整性。
10、入侵检测技术是一种动态的网络检测技术,主要用于识别对计算机和网络资源的恶意使用行为,包括来自外部用户的入侵行为和内部用户的未经授权活动。入侵检测系统(IDS)由入侵检测软件和硬件组合而成,被认为是防火墙之后的第二道安全闸门,在不影响网络性能的情况下能对网络进行监测,提供对内部攻击、外部攻击和误操作的实时保护2。在入侵检测领域内应用最为广泛,同时也是最成熟的技术仍然是基于专家系统的规则化检测技术。但是,随着系统安全环境特别是网络系统安全形式的变化,传统的基于专家系统的检测技术暴露出若干局限性和不足。近年来,大量不同于传统专家系统技术的入侵检测方法纷纷涌现,其中基于人工神经网络检测技术的发展尤为突
11、出。人工神经网络是模拟人脑加工、存储和处理信息机制而提出的一种智能化信息处理技术,它是由大量简单的处理单元(神经元)进行高度互连而形成的复杂网络系统。从本质上讲,人工神经网络实现的是一种从输入到输出的映射关系,其输出值由输入样本、神经元间的互连权值以及传递函数所决定。神经网络具备高度的学习和自适应能力,通过学习能够识别全新入侵行为特征的能力,可以克服基于专家系统检测技术的局限性3。1.2 国内外研究现状对于神经网络技术在入侵检测中的应用,前人已经做了若干研究工作。Debar等人采用递归型(Recurrent)BP网络,在对所收集的审计记录进行分析的基础上,对系统各用户的行为方式进行建模,并同时
12、结合传统的专家系统进行入侵检测。Tan为适应入侵检测的要求,对传统的多层前馈网络(MLFF)的训练算法进行改进,并用于建模用户的各个行为特征。Hogluand等人提出了基于一维SOM(自组织特征映射)网络的异常检测算法对用户行为特征进行判断,并建立了原型系统。Ghosh和Schwartzbard采用基于多层感知器(MLP)的异常检测模型,通过对程序执行中系统调用序列记录的分析,来监视特定的程序的运行状态。他们使用了数百个训练样本,获得了在大致3%的虚警概率条件下77%的检测概率。Ghosh等人同时还进行了滥用检测技术的研究,其工作结果表明基于MLP的滥用检测模型具备更高的虚警概率,性能不及异常
13、模型。进一步地,Ghosh等人采用另一种神经网络模型Elman网络,取得了零虚警概率下77%的检测概率。Ryan等人对用户每天所执行的Shell命令进行统计计数,并采用标准的BP网络对所形成的用户行为特征矢量(由各个命令的执行次数组成)进行训练和识别。随着网络互联环境的飞速发展,基于网络流量分析的入侵检测技术逐渐流行。Cannady和Mahaffey将MLP模型和SOM/MLP混合模型应用到基于网络流量的滥用检测模型中。在基于MLP模型的入侵检测技术中,Cannady等人根据网络数据包的若干协议字段值(如协议类型、属性字段值、负载长度和内容等)构建特征矢量,提供给MLP网络进行训练学习。训练完
14、毕后,对测试样本集进行测试。实验结果表明,该模型可以从正常网络流量中识别出诸如表示ISS和Satan扫描、SYN Flood攻击活动的数据包。同时Cannady等人提出SOM/MLP混合模型,来检测诸如FTP口令试探的时间上分散的攻击行为。SOM网络主要用于对数据包中的负载内容进行分析,作为MLP网络的预处理单元并起到特征降维的作用。实验结果表明,能够较好地检测到单位时间不同频率的口令试探行为。Bonifacio等人首先构建网络会话的数据矢量,并对数据负载中的可疑特征字符串进行编码,连同目标端口号一起构成BP网络的输入特征矢量,送入神经网络进行训练。训练完毕后的BP网络即可进行滥用入侵检测。M
15、IT的Lippmann和Cunningham明确提出采用关键词和神经网络相结合的方法进行网络入侵检测并针对Telnet服务对话进行了相关研究。所采用方法是首先选择一组关键词表,然后在会话数据中对各个关键词进行计数并形成n维的输入特征矢量(n为关键词个数)。之后,采用MLP网络进行训练和识别。实验能在达到80%检测概率的基础上将虚警概率降低到大约每天一次的水平4。神经网络具有概括和抽象能力,对不完整输入信息具有一定程度的容错处理能力。而且它具备高度的学习和自适应能力。入侵检测领域研究的重点之一是分类算法,单个的分类算法由于自身的原因,总存在各种缺陷,算法的泛化能力不强。1990年Schapire
16、证明一个概念是弱可学习的,其充要条件是强可学习的。这一定理说明,多个弱分类器可以集成为一个强分类器,由此奠定了集成学习的理论基础。Hansen和Salamon把各种神经网络集成在一起,形成集成神经网络。通过研究,证明集成神经网络可以提高系统的泛化能力。1.3 论文结构安排 本文共分为八章,第一章引言,概要的给出与本课题相关的网络安全的基本概念,目前在IDS领域的国内外的研究概况,并引出将神经网络应用于入侵检测当中。第二章入侵检测技术的简介。对研究入侵检测的必要性进行说明和介绍相关的概念以及入侵检测工作的基本原理和工作模式。还对入侵检测系统的分类进行了介绍并提出入侵检测目前存在的局限性和未来的发
17、展。第三章神经网络的简介。本章首先介绍了生物神经元模型从而引出人工神经元模型,进而对整个神经网络进行了简介,并提出把神经网络应用于入侵检测系统。第四章基于集成神经网络的入侵检测系统。本章先提出系统的设计并对其工作原理进行解释,并提出集成学习和遗传学习两个概念。然后对集成神经网络算法进行理论的分析,还对遗传算法进行了详细的分析。把集成学习原理和遗传算法结合起来,从而来论述基于遗传算法的集成神经网络检测方法。最后论述了整个算法的思想和步骤,对个体网络的构建和选择进行分析,最后论述了网络的集成输出。第五章仿真实验分析。对实验数据进行分析,从而得出一些结论。最后一章对本文进行总结。2 入侵检测技术简介
18、2.1 研究入侵检测的必要性在网络安全技术中,防火墙是第一道防御屏障。一般它位于路由器之后,为进出网络的连接提供安全访问控制。但一般网络系统必须对外开放一些应用端口,如80、110等,这时防火墙的不足就会充分体现出来,并且防火墙对内部攻击无能为力;同时,防火墙绝对不是坚不可摧的,即使是某些防火墙本身也会引起一些安全问题。信息安全的PDRR模型充分说明了检测的重要性。入侵检测是防火墙的合理补充,它帮助系统对付网络攻击,扩展了系统管理员的安全管理能力,提高了信息安全基础结构的完整性。入侵检测技术是一种动态的网络检测技术,主要用于识别对计算机和网络资源的恶意使用行为,包括来自外部用户的入侵行为和内部
19、用户的未经授权活动。入侵检测系统(IDS)由入侵检测软件和硬件组合而成,被认为是防火墙之后的第二道安全闸门,在不影响网络性能的情况下能对网络进行监测,提供对内部攻击、外部攻击和误操作的实时保护。2.2 入侵检测的相关概念美国国家安全通信委员会(NSTAC)下属的入侵检测小组(IDSG)在1997年给出的关于“入侵”的定义为:入侵是对信息系统的非授权访问以及(或者)未经许可在信息系统中进行的操作。关于“入侵检测”的定义为:入侵检测是对企图入侵、正在进行的入侵或者已经发生的入侵进行识别的过程。所有能够执行入侵检测任务和功能的系统,都可成为入侵检测系统,其中包括软件系统和软硬件结合的系统。2.3 入
20、侵检测系统的基本原理入侵检测系统(Instrusion Detection System,IDS)的基本原理如图2-1所示。主要分为四个阶段:数据收集、数据处理、数据分析和响应处理。数据收集数据处理数据分析响应处理入侵检测系统具有脆弱性的系统和网络攻击者包图 2-1入侵检测系统的基本原理1)数据收集数据收集是入侵检测的基础,通过不同途径收集的数据,需要采用不同的方法进行分析。目前的数据主要有主机日记、网络数据包、应用程序数据、防火墙日志等。2)数据处理数据收集过程中得到的原始数据量一般非常大,而且还存在噪声。为了进行全面、进一步的分析,需要从原始数据中去除冗余、噪声,并且进行格式化及标准化处理
21、。3)数据分析采用统计、智能算法等方法分析经过初步处理的数据,检查数据是否正常,或显示存在入侵。4)响应处理 当发现入侵时,采取措施进行防护、保留入侵证据并通知管理员。常用的措施包括切断网络连接、记录日志、通过电子邮件或电话通知管理员等。2.4 入侵检测系统的基本工作模式入侵检测系统的基本工作模式为:1)从系统的不同环节收集信息。2)分析该信息,试图寻找入侵活动的特征。3)自动对检测到的行为作出响应。4)记录并报告检测过程的结果。入侵检测系统的基本工作模式可以用如图2-2所示的图形来表示。 系统日记原始数据包检测原理异常入侵检测误用入侵检测报警报警并采取相应措施周期性检测实时检测图 2-2入侵
22、检测系统的基本工作模式2.5 入侵检测系统的分类入侵检测系统可以按不同的方法进行分类,其中,按检测技术、数据来源、体系结构及时效性进行分类是应用最多的分类方法。本文主要介绍前两者的分类方法。2.5.1 根据检测技术分类根据入侵检测系统所采用的技术可分为误用入侵检测、异常入侵检测和协议分析三种。1)误用入侵检测误用入侵检测(misuse intrusion detection)又称为基于特征的入侵检测。这一检测(signature-based intrusion detection)假设入侵者的活动可以用一种模式来表示,系统的目标是检测主体活动是否符合这些模式。它可以将已有的入侵方法检查出来,但
23、对新的入侵方法无能为力。其难点在于如何设计模式,既能够表达“入侵”现象,又不会将正常的活动包含进来。2)异常入侵检测异常入侵检测(anomaly intrusion detection)假设入侵者的活动异常于正常主体的活动。根据这一假设建立主体正常活动的(“活动简档”),将当前主体的活动状况与“活动简档”相比较,当违反其统计规律时,认为改活动可能是“入侵”行为。异常入侵检测的难题在于如何建立“活动简档”以及如何设计统计算法,从而不把正常的操作误认为“入侵”或忽略真正的“入侵”行为。3)协议分析协议分析是在传统模式匹配技术基础之上发展起来的一种新的入侵检测技术。它充分利用了网络协议的高度有序性,
24、并结合了高速数据包捕捉、协议分析和命令解析,来快速检测某种攻击特征是否存在。这种技术正逐渐进入成熟应用阶段。协议分析大大减少了计算量,即使在高负载的高速网络上,也能逐个分析所有的数据包。2.5.2 根据数据来源分类根据入侵检测数据来源的不同,可以将入侵检测系统分为基于网络的入侵检测系统、基于主机的入侵检测系统、混合式入侵检测系统及文件完整性检查式入侵检测系统。1)基于主机的入侵检测系统基于主机的入侵检测系统(Host-based Intrusion Detection System,HIDS)通常是安装在被保护的主机上,主要是对改主机的网络实时连接以及对系统审计日记进行分析和检查,当发现可疑行
25、为和安全违规事件时,系统就会像管理员报警,以便采取措施。2)基于网络的入侵检测系统基于网络的入侵检测系统(Network-based Intrusion Detection System,NIDS)一般安装在需要保护的网段中,实时监视网段中传输的各种数据包,并对这些数据包进行分析和检测,如果发现入侵行为或可疑事件,入侵检测系统就会发出报警,甚至切断网路连接。3)混合式入侵检测系统基于网络的入侵检测系统和基于主机的入侵检测系统都有不足之处,单纯使用其中一种系统的主动防御体系都不够强大。但是它们的缺憾是互补的。如果这两种系统能够无缝地结合起来部署在网络内,这会构架一套强大的、立体的主动防御体系。4
26、)文件完整性检查式入侵检测系统文件完整性检查式入侵检测系统检查计算机中自上次检查后文件的变化情况。文件完整性检查式入侵检测系统保存有每个文件的数字文摘数据库,每次检查时,它重新计算文件的数字文摘并将它与数据库中的值相比较,如不同,则文件已被修改,若相同,则文件未发生变化5。2.6 入侵检测目前存在的局限性和不足在入侵检测领域内应用最为广泛,同时也是最成熟的技术仍然是基于专家系统的规则化检测技术。典型的入侵检测系统,如IDES和NIDES系统等,都很好的实现了专家系统基于规则检测的概念,并在实际应用中取得了较好的效果。但是,随着系统安全环境特别是网络系统安全形式的变化,传统的基于专家系统的检测技
27、术暴露出若干局限性和不足。首先,传统的专家检测技术需要维护一个复杂而庞大的规则库。面对不断变化的攻击手段和多样复杂的变种情况,该规则库需要进行随时随地的更新升级。因为专家系统检测技术完全依赖于准确的规则库匹配方式进行入侵检测工作,所以一个陈旧的检测规则库带来的后果可能就是漏检大量的入侵检测活动。更为严重的后果是造成安全管理员虚假的安全表象,导致重大的安全漏洞和隐患。其次,基于专家系统的检测方法缺乏足够的灵活性来检测已知入侵方式的变种情况。通常的规则推导过程是在精确匹配的基础上进行的,如果某种攻击手段的执行过程发生某些细微的改变,对于专家系统而言,如果没有找到对应的更新规则,就会被认定为合法行为
28、,产生漏检情况。另一方面,如果采用更为通用的检测规则,则有可能发生将合法用户行为错误认定为非法行为的虚假现象,更进一步分析可知,专家系统的检测方法对在时间上分散的攻击活动,或者是由多用户发起的协同攻击行为,也是很难奏效的。因为它只关注单个异常事件的出现与否,而对事件状态随时间发生的变化情况无法处理。近年来,大量不同于传统专家系统技术的入侵检测方法纷纷涌现,其中基于人工神经网络检测技术的发展尤为突出。2.7 基于神经网络的入侵检测技术的发展近年来,大量不同于传统专家系统技术的入侵检测方法纷纷涌现,其中基于人工神经网络检测技术的发展尤为突出。人工神经网络是模拟人脑加工、存储和处理信息机制而提出的一
29、种智能化信息处理技术,它是由大量简单的处理单元(神经元)进行高度互连而形成的复杂网络系统。从本质上讲,人工神经网络实现的是一种从输入到输出的映射关系,其输出值由输入样本、神经元间的互连权值以及传递函数所决定。神经网络具备高度的学习和自适应能力,通过学习能够识别全新入侵行为特征的能力,可以克服基于专家系统检测技术的局限性。入侵检测技术主要分成两类,即基于异常和基于误用的入侵检测技术。但无论是单纯采用异常入侵检测技术,还是单纯采用误用入侵检测技术,其检测性能的理论上限都不会超过混合采用两种技术思路方法的性能上限。从而肯定了具备学习能力的神经网络在入侵检测中的光明应用前景。3 神经网络简介神经网络的
30、全称是人工神经网络(artificial neural network,ANN)是在现代神经生物学研究成果的基础上发展起来的一种模拟人脑信息处理机制的网络系统,他不但具有处理数值数据的一般计算能力,而且还具有处理知识的思维、学习和记忆能力6。人工神经网络模仿人脑神经的活动,力图建立脑神经活动的数学模型。人工神经网络由于其大规模并行处理、容错性、自组织和自适应能力以及联想功能等特点,已成为解决问题的有力工具,对突破现有科学技术的瓶颈,更深入的探索非线性等复杂现象起到了重大的作用,并广泛应用于许多科学领域。从控制理论的观点来看,神经网络处理非线性的能力是最有意义的;从系统辨识和模式识别的角度考虑,
31、神经网络跟踪和识别非线性的能力是其最大的优势。3.1 神经网络模型3.1.1 生物神经元模型正常人脑是由大约10111012个神经元组成的,神经元是脑组织的基本单元。每个神经元具有102104个突触与其它神经元相连接,形成了错综复杂而又灵活多变的神经网络。神经元有胞体、树突和轴突构成。胞体是神经元的代谢中心,每个细胞体有大量的树突(输入端)和轴突(输出端),不同神经元的轴突和树突互连的结合部为突触,突触决定神经元之间的连接强度和作用性质,而每个神经元胞体本身则是一非线性输入、输出单元。一个神经元的模型示意图如下图3-1所示。图3-1 典型的生物神经元由图3-1可见,神经元有胞体、树突和轴突构成
32、。胞体是神经元的袋子额中心,它本身又由细胞核、内质网和高尔基体组成。胞体一般生成有许多树状突起物,称之为树突,它是神经元的主要接收器。胞体还延伸出一条管状纤维组织,称之为轴突,轴突外面包有一层较厚的绝缘组织,称之为髓鞘(梅林鞘)。髓鞘规则地分为许多短段,段与段之间的部位被称为郎飞节。轴突的作用是传导信息,通常轴突的末端分出很多末梢,他们与后一个神经元的树突构成一种称为突触的机构。前一神经元的信息经由起轴突传到末梢之后,通过突触对后面各个神经元产生影响。从生物控制论的观点看,神经元作为控制和信息处理的单元,具有常规的两种工作状态,兴奋和抑制状态,神经冲动眼神经传导的速度在1150m/s之间,在相
33、邻两次冲动之间需要一个时间间隔,即为不应期。由于神经元结构的可塑性,突触的传递作用可增强、减弱和饱和,因此细胞具有相应的学习功能、遗忘和疲劳效应(饱和效应)。随着生物控制论的发展,人们对神经元的结构和功能有了进一步的了解,神经元不仅仅是一简单的双稳态逻辑元件,而且是超级的微型生物信息处理机或控制单元7。3.1.2 人工神经元模型根据生物神经元的结构和功能,从20世纪40年代开始,人们提出了大量的人工神经元模型,其中影响较大的是1943年美国心理学家McCulloch和数学家Pitts共同提出的形式神经元模型通常称之为MP模型。设有N个神经元互联,每个神经元的活化状态(i=1,2,3,N)取0或
34、1,分别代表抑制和兴奋。每一个神经元的状态按下述规则受其它神经元的制约 (3-1)式中神经元i和神经元j之间突触连接强度,或称权值;神经元i的阀值;在这里取阶跃函数step,有Step(a)=式(3-1)也可理解为神经元i的输入输出关系。Xj为第j个神经元向第i个神经元的输入;xi为第i个神经元的输出;为第i个神经元净输入。若将阀值也看作一个权值,则式(3-1)可改写为 (3-2)此时有,=1,这就是最初的MP模型.但是,这种简单的MP模型没有考虑时间整合、不应期、延时和数模转换等作用。若考虑这些作用则可以发展出MP模型的许多变种。它们在细节上(即并行分布处理思想上)有所不同,但有许多共性,提
35、取这些共性可以给出相当一般化模型,它的数学表达式为 (3-3) (3-4) (3-5)式中,的含义和式(3-1)一样;第i个神经元的净输入 第i个神经元外部输入第i个神经元的活化状态 第i个神经元的输出神经元的活化规则(活化函数) 神经元的输出规则(转换函数)在某些模型中,假设神经元没有内部状态,可以令f=1(恒等映射),此时。不同的系统对活化值作了不同的假设,它可以是连续的,也可以是离散的。若是连续的,它可以取任意实数(无界的),也可以取某个最大值与最小值之间的数(有界的);若是离散的,则可取二值、三值或一个小的有限数集。下图3-2 给出了一般化MP模型8。图3-2 一般化MP模型3.1.3
36、 神经网络模型 神经网络是在对人脑思维方式研究的基础上,用数学方法将其简化并抽象模拟反映人脑基本功能的一种并行处理连接网络。一个神经网络由多个互连的神经元组成,神经元是神经网络的基本处理单元。神经网络在目前已有几十种不同的模型。通常,人们较多地考虑神经网络的互连结构,包括四种典型结构如图3-3所是,分别是1)前馈网络。神经元分层排列,组成输入层、隐含层和输出层,每层只能够接受前一层神经元的输入;2)反馈网络。在输入层到输出层存在反馈;3)相互结合型网络。相互结合网络属于网络结构,任意两个神经元之间可能有连接;4)混合型网络。层次型网络和网状结构网络的一种结合。图3-3 神经网络的4种典型拓扑结
37、构3.1.4 神经网络的工作方式神经网络的工作过程主要由两个阶段组成:一是工作期,此时各连接权值固定,计算单元的状态变化,以求达到稳定状态;二是学习期(自适应期或设计期),此时各计算单元状态不变,各连接权值可修改。前一阶段较快,各单元的状态也称短期记忆,后一阶段慢得多,权值及连接方式也称长期记忆。学习是神经网络最重要的一个能力,学习算法是神经网络的核心问题之一。通常它也是一个强非线性系统,学习功能反映在神经网络模型中,就是突触连接权值Wij可以按学习规则随时间改变。正是这种可塑性,使得神经网络可适应不同信息处理需要。神经网络的学习规则有有导师学习和无导师学习两大类,概括如下1)纠错规则 纠错规
38、则基于梯度下降法,因此不能保证得到全局最优解,同时要求大量的训练样本,因此收敛速度慢;纠错规则对样本的表示次序变化比较敏感,这就像导师必须认真备课,精心组织才能有效地让学生学习。2)Boltzman机学习规则Boltzman机学习规则提供了学习隐结点的一个有效方法,能学习复杂的非线性可分函数。其主要缺点是学习速度太慢,因为在模拟退火过程中要求当系统进入平衡时,“冷却”必须慢慢进行,否则易陷入局部极小。它基本上是梯度下降法,所以要求提供大量的例子。3)无导师学习规则无导师学习规则提供了新的选择,它利用自适应学习法,使结点有选择地接收输入空间上的不同特性,从而抛弃了普通神经网络学习映射函数的学习概
39、念,并提供了基于检测特性空间的活动规律的性能描写。3.1.5 神经网络的基本性质及优点神经网络的基本性质主要包括:收敛性、容错性、鲁棒性及推广性等。神经网络的收敛性是指神经网络的训练算法在有限次迭代之后可收敛到正确的权值或权向量。神经网络良好的容错性保证网络将不完整的、无损的、畸变的输入样本恢复成完整的原型。容错性的研究归结于神经网络动力系统记忆模式吸引域的大小。吸引域越大,网络从部分信息恢复全部信息的能力越大,表明网络的容错性越大。神经网络的高度鲁棒性使得网络中的神经元或突触遭到破坏时网络仍然具有学习和记忆能力,从而使网络表现出高度的自组织性。训练好的神经网络应能够对不属于训练样本集合的输入
40、样本正确识别或分类,这种现象常称为神经网络具有良好的推广性。神经网络具有以下优点:1)具有很强的鲁棒性和容错性,这是因为信息是分布存储于网络内的神经元;2)并行处理方法,人工神经元网络在结构上是并行的,而且网络的各个单元可以同时进行类似的处理过程,使得计算加快;3)自学习、自组织、自适应性,神经元之间的连接多种多样,各元之间连接强度具有一定可塑性,使得神经网络可以处理不确定或不知道的系统;4)可以充分逼近任意复杂的非线性关系;5)具有很强的信息综合能力,能同时处理定量和定性的信息,能很好的协调多种输入信息关系,适用于处理复杂非线性和不确定对象。神经网络以其独特的结构和处理信息的方法,在许多实际
41、应用领域中取得了显著的成效9。3.2 神经网络应用于入侵检测神经网络技术应用于入侵检测领域具有以下优势:1)神经网络具有概括和抽象能力,对不完整输入信息具有一定程度的容错处理能力。在网路环境中,常常会出现信息丢失不完整或者变形失真的情况,神经网络的非线性处理和概括抽象的特性对于处理此类情况是非常适合的。2)神经网络具备高度的学习和自适应能力。通过对输入正常样本和异常样本的不断训练学习,神经网络不仅能够以很高的准确率识别出训练样本中已知的入侵行为特征,而且能够以一定的概率识别出新的入侵行为特征和已知入侵行为的变种形式。这种通过学习能够识别全新入侵行为特征的能力,可以克服基于专家系统检测技术的局限
42、性。3)神经网络所独有的内在并行计算和存储特性。在传统的计算技术中,计算和存储是完全独立的两个部分。计算部件在计算前必须存储部件中取出指令和待处理数据,然后进行计算,最后将计算结果返送回存储器。因此,存储器和计算器之间的传输带宽称为制约计算机性能的瓶颈。而在神经网模型中,信息的存储和信息的处理计算从本质上是合二为一的。各个神经元的工作方式本质上是完全并行的,从输入到输出的计算过程实质上是权值的传递过程,而在值传递的过程中,就同时完成了信息的存储过程。此种并行计算模式所具有的潜在高速计算能力对于入侵检测来说,就意味着在很短时间内,能够处理更多的检测规则或者特征值,同时也意味着在更短时间内发现入侵
43、行为,减少可能的系统损失。目前,神经网络技术在入侵检测中的应用还存在以下缺陷和不足:1)需要解决神经网络对大容量入侵行为类型的学习能力问题。不同的神经网络类型和拓扑结构,都存在学习能力的限制容量。面对现实环境中数以千计的不同攻击特征,要做到完整识别,还需要进行进一步的研究工作。2)需要解决神经网络的解释能力不足的问题。神经网络具备很强的训练学习能力,能够给出判定的类别信息,但是对于具体发生的事件类型,则缺乏明确的解释能力。对于入侵检测而言,仅仅判定当前事件是否异常往往不够,通常还需要得到关于该异常事件具体类型的明确信息。在这一点上,神经网络往往力不从心。另一方面,神经网络的训练和学习能力,往往
44、是通过内部的权值连接和拓扑结构来实现和存储的,对于最终判定结果的产生,通常难以具体解释详细的判定过程,产生确定性的判定步骤。3)执行速度问题。从理论上讲,神经网络具备并行计算的强大能力,但是在当前计算机的存储-计算架构下来完全实现神经网络的并行计算潜力,则非常困难。要解决这个问题,或许需要设计专门的神经网络计算芯片或者计算机10。4 基于集成神经网络的入侵检测系统4.1 系统设计4.1.1 系统工作原理 设计的集成神经网络入侵检测系统体系结构如图4-1所示。 被监控网络数据采集人机界面特征提取KPCA遗传算法集成神经网络分类引擎攻击样本库图4-1 集成神经网络入侵检测系统体系结构系统的工作原理
45、是 :数据采集模块捕获所有流经系统监测网段上的网络数据流,把它们送入特征提取模块。特征提取模块通过协议分析技术 ,提取出代表网络数据流的特征向量,然后,采用核主成分分析(KFCA)对特征向量进行降维处理,把降维后的向量送入集成神经网络分类引擎,作为遗传算法集成神经网络分类引擎的输入向量。集成神经网络把输入向量与攻击样本库进行比较,从而判别是否存在入侵。如果集成神经网络认为是一种攻击行为 ,它将向用户报警。如果发现了新的入侵行为 ,可以把它加入到攻击样本库中实现对攻击样本库的更新。4.1.2 特征提取 特征提取模块将数据收集模块中得到的数据,分不同报文类型,提取出不同的检测特征并进行降维处理。在
46、综合权衡各种攻击手段后,本模型选取的入侵特征主要包括协议码、源地址、目的地址、源端口、目的端口、标志位、数据报的类型码、数据报的代码、报文头部长度、数据报长度、报文数据段内容(取前3O个字节)、端口、数据报头部校验和。这13个特征组成了入侵检测中的一条特征,用它们可以描述网络中出现的攻击行为。4.2 集成神经网络算法Schapire证明一个概念如果是弱可学习的,其充要条件是强可学习的。这一定理说明,多个分类器可以集成为一个强分类器,由此奠定了集成学习的理论基础。集成学习通常分为两个步骤,首先,采用单个学习算法对样本分别进行训练,然后,对单个网络的输出按某种方法进行集成,得到最后结果。设神经网络输入xRm 满足分布P(x),输入x的目标输出d(x),神经网络fi (i=1,2,N)的输出为 fi(x),各神经网络的权值为 (i=1,2,N)。集成神经网络中的每一个权值 0,且 (4-1)集成神经网络在输入x下的输出定义为: (4-2)神经网络i的泛化误差Ei 和集成神经网络的泛化误差E分别为: (4-3) (4-4
浙ICP备2021020529号-1 | 浙B2-20240490 
