1、基于神经网络得入侵检测技术摘要:关于神经网络与入侵检测技术得结合一直就是网络安全问题研究得一个热点,本文介绍了网络发展带来得问题,并详细阐述了入侵检测技术得基本概况,接着说明神经网络在入侵检测中得应用,最后对其提出了一些展望。关键词:神经网络 入侵检测 激励函数 模型Abstract:On neural network and intrusion detection technology combined with network security issues has been a research focus, this paper brings the issue of network
2、development, and elaborated on the basic overview of intrusion detection technology, and then the neural network intrusion detection Finally, some prospects of its proposed、Key words:neural network intrusion Detection Activation function model1 引言伴随着计算机网络技术得快速发展,网络得安全问题也日益突出,网络安全得一个主要威胁就就是通过网络对信息系统得
3、人侵。特别就是系统中一些敏感及关键信息,经常遭受恶意与非法用户得攻击,使得这些信息被非法获取或破坏,造成严重得后果。目前在各个领域得计算机犯罪与网络非法入侵,无论就是数量,手段,还就是性质、规模,已经到了令人咋舌得地步。据统计,美国每年由于网络安全问题而造成得经济损失超过170亿美元,德国、英国也均在数十亿美元以上,法国、新加坡等其它国家问题也很严重1。在国际刑法界列举得现代社会新型犯罪排行榜上,计算机犯罪已名列榜首。2008年,CSI/FBI调查所接触得524个组织工作中,有56%遇到电脑安全事件,其中有38%遇到1-5起,16%以上遇到11起以上。因与互联网连接而成为频繁攻击点得组织连续3
4、年不断增加,遭受拒绝服务攻击则从2005年得27%上升到2008得42%。所以,对网络及其信息得保护成为重要课题。对于网络安全现有得解决方案,我们知道防火墙、加密技术等都属于静态得防护手段,只能够被动得防御攻击,而对于已经发生得攻击则束手无策。鉴于此,能动态、主动地实现网络防卫得实时人侵检测技术日益成为网络安全领域得一个关键技术。 神经网络NN (Neural Network)具有检测准确度高且有良好得非线性映射与自学习能力、建模简单、容错性强等优点。神经网络技术具备相当强得攻击模式分析能力,能够较好地处理带噪声得数据,在概念与处理方法上都适合入侵检测系统得要求,已成为入侵检测技术领域研究得热
5、点之一2。但由于传统得入侵检测技术存在着规则库难于管理、统计模型难以建立以及较高得误报率与漏报率等诸多问题,制约了入侵检测系统在实际应用中得效果。因此针对目前入侵检测系统存在得各种缺点与不足,提出了将神经网络运用于入侵检测得概念模型。网络入侵检测问题本质上就是获取网络上得数据流量信息并根据一定得方法进行分析,来判断就是否受到了攻击或者入侵,因此,入侵检测问题可以理解为模式识别问题。而人工神经网络就是一种基于大量神经元广泛互联得数学模型,具有自学习、自组织、自适应得特点,在模式识别领域得应用取得了良好得效果。利用神经网络技术得自学习能力、联想记忆能力与模糊运算能力,可以对各种入侵与攻击进行识别与
6、检测。基于这个思路,将神经网络技术与入侵检测技术相结合,建立了一个基于神经网络得入侵检测系统模型并实现了一个基于BP(Back Propagation)神经网络得入侵检测系统得原形,对原有得误差返向传播算法进行了改进以太提高收敛速度,然后对一些实际数据进行了测试与分析,在检测率,漏报率,误报率等方面取得了较好得效果。2 入侵检测技术概况2、1入侵检测介绍2、1、1入侵检测得基本概念入侵(Intrusion)就是指任何试图破坏资源完整性、机密性与可用性或可控性得行为。完整性就是指数据未经授权不能改变得特性;机密性就是指信息不泄漏给非授权用户、实体或过程,或供其利用得特性;可用性就是可被授权实体访
7、问并按要求使用得特性;可控性就是指对信息传播及内容具有控制能力。作为一个广义得概念,入侵不仅包括发起攻击得人(如恶意得黑客)取得超出合法范围得系统控制权,也包括用户对于系统资源得误用,收集漏洞信息造成拒绝访问(Denial of Service)等对计算机系统造成危害得行为。入侵检测(Intrusion Detection),顾名思义,就是指对于面向计算资源与网络资源得恶意行为得识别与响应。入侵检测就是一种主动保护网络与系统安全得新型网络安全技术,就是目前网络安全体系结构中得重要组成部分。它通过对计算机网络或计算机系统中得若干关键点收集信息并对其进行分析,从中发现网络或系统中就是否有违反安全策
8、略得行为或被攻击得迹象,然后采取适当得响应措施来阻挡攻击,降低可能得损失3。入侵检测系统得主要功能包括:1、监视、分析用户及系统活动;2、检查系统配置及存在得漏洞;3、评估系统关键资源与数据文件得完整性;4、识别已知得攻击;5、统计分析异常行为;6、管理操作系统得日志,并识别违反用户安全策略得行为。2、1、2入侵检测得一般步骤(1)信息收集确定数据源就是入侵检测得第一步。它得内容包括系统、网络、数据及用户活动得状态与行为。入侵检测就是否准确很大程度上依赖于收集信息得可靠性与正确性,入侵检测利用得信息一般来自一下四个方面:A系统日志与网络数据报B目录与文件中得不期望得改变C程序执行中得不期望行为
9、D物理形式得入侵信息 (2)数据分析收集到得有关系统、网络、数据及用户活动得状态与行为等信息,被送到检测引擎,一般通过三种技术手段进行分析:模式匹配、统计分析与完整性分析。模式匹配就就是将收集到得信息与已知得网络入侵与系统误用模式数据库进行比较,从而发现违背安全策略得行为。该过程可以很简单(如通过字符串匹配以寻找一个简单得条目或指令),也可以很复杂(如利用正规得数学表达式来表示安全状态得变化)。一般来讲,一种进攻模式可以用一个过程(如执行一条指令)或一个输出(如获得权限)来表示。该方法得一大优点就是只需收集相关得数据集合,显著减少系统负担,且技术已相当成熟。它与病毒防火墙采用得方法一样,检测准
10、确率与效率都相当高。但就是,该方法存在得弱点就是需要不断得升级以对付不断出现得黑客攻击手法,不能检测到从未出现过得黑客攻击手段。统计分析方法首先给系统对象(如用户、文件、目录与设备等)创建一个统计描述,统计正常使用时得一些测量属性(如访问次数、操作失败次数与延时等)。测量属性得平均值将被用来与网络、系统得行为进行比较,任何观察值在正常值范围之外时,就认为有入侵发生。例如,统计分析可能标识一个不正常行为,因为它发现一个在晚八点至早六点不登录得账户却在凌晨两点试图登录。其优点就是可检测到未知得入侵与更为复杂得入侵,缺点就是误报、漏报率高,且不适应用户正常行为得突然改变。具体得统计分析方法如基于专家
11、系统得、基于模型推理得与基于神经网络得分析方法,目前正处于研究热点与迅速发展之中。完整性分析主要关注某个文件或对象就是否被更改,这经常包括文件与目录得内容及属性,它在发现被更改得、被特洛伊化得应用程序方面特别有效。完整性分析利用强有力得加密机制,称为消息摘要函数(例如MD5),它能识别哪怕就是微小得变化。其优点就是不管模式匹配方法与统计分析方法能否发现入侵,只要就是成功得攻击导致了文件或其它对象得任何改变,它都能够发现。缺点就是一般以批处理方式实现,不用于实时响应。尽管如此,完整性检测方法还应该就是网络安全产品得必要手段之一。例如,可以在每一天得某个特定时间内开启完整性分析模块,对网络系统进行
12、全面地扫描检查。(3)系统响应入侵检测得响应可以分为主动响应与被动响应两种类型。在主动响应中,入侵检测系统(自动地或与用户一起)应能阻塞攻击,进而改变攻击得进程。在被动攻击里,入侵检测系统仅仅简单地报告与记录所检测出得问题。主动响应包括入侵反击、修正系统环境、收集额外信息等几种方式;被动相应包括告警与通知等。主动响应与被动响应并不就是相互排斥得,不管使用哪一种响应机制,作为任务得一个重要部分,入侵检测系统应该总能以日志得形式记录下检测结果。2、2入侵检测分类目前入侵检测技术得分类方法很多,但主要包括基于体系结构得分类、基于分析策略得分类与基于工作方式得分类4,5。2、2、1基于体系结构得分类根
13、据体系结构得不同可以分为基于主机得IDS(Host-based IDS)与基于网络得IDS(Network-based IDS)。基于主机得IDS安装在独立得主机上,通过监视WINDOWS NT上得系统事件、日志以及UNIX环境下得SYSLOG文件可以精确地判断入侵事件6,一旦这些系统文件有变化,IDS将新得日志记录与攻击签名比较,以发现它们就是否匹配。如匹配,IDS将向管理员报警并采取相应行动。基于网络得IDS使用原始得网络分组数据包作为进行攻击分析得数据源,一般需要一个独立得网络适配器,将其设置为混杂模式来实时监听所有通过网络进行传输得数据包7,并与攻击签名匹配,一旦检测到攻击,IDS将对
14、相关事件进行报警。2、2、1、1基于主机得入侵检测早期在网络远没有现在盛行得时候,入侵检测系统主要就是基于主机得系统。基于主机得入侵检测系统通常应用两种类型得信息源,操作系统审计踪迹与系统日志。操作系统审计踪迹由操作系统内核产生,这些审计踪迹就是系统活动信息得集合,就是对系统事件得忠实记录,由于操作系统本身提供了对审计踪迹得保护机制,因此作为入侵检测得信息源,操作系统审计踪迹得可靠性能得到很好得保证,但审计数据过于庞杂并且不易理解就是其弱点所在;系统日志就是一个反应各种各样得系统事件与设置得文件,由于日志文件通常就是由应用程序产生,而且通常存储在不受保护得目录里,与操作系统审计踪迹相比,安全性
15、不够好,但就是系统日志结构简单(比如作为文本文件形式存在),理解起来相对容易,而安全性问题可以通过日志文件重定向等方法来解决,因此日志文件仍然就是基于主机得入侵检测系统最常用得信息源之一,对日志文件在入侵检测系统中应用得研究也就是当前得研究热点之一。基于主机得入侵检测系统得优点包括:对入侵事件得观察更为细腻,理解更为准确;可以观察到入侵事件得后果;可以检测到网络入侵检测系统检测不到得入侵,不受网络信息流加密与交换网络得影响;可以检测到特洛伊木马等破坏软件完整性得入侵。所存在得不足主要有:占用所监视主机得系统资源,影响系统运行效率;无法检测针对网络发起得协同入侵:本身容易受到入侵而失效。2、2、
16、1、2基于网络得入侵检测随着网络得飞速发展,基于网络得入侵检测系统开始走向前台,成为入侵检测研究得热点与主流,目前得入侵检测系统大都就是基于网络得入侵检测系统。基于网络得入侵检测系统,顾名思义,其信息源来来自网络,系统通过对网络数据流进行捕获、分析,以判断就是否受到入侵。在体系结构上,华于网络得入侵检测系统通常包含一系列sensor与中央控制台,这些sensor负责监视网络数据流,做局部得分析与判断,并向中央控制一台报告,这些传感器通常被设计成隐藏模式运行,因此安全性较好。基于网络得入侵检测系统得主要优点包括:作用范围较广,与只能监视单一主机得主机型入侵检测系统不同,基于网络得入侵检测系统可以
17、部署在网段得关键位置,监控流经该网段所有主机得网络通信流,保护该网段得所有主机,这对局域网用户特别实用:本身得抗入侵性能较好,自身安全性较高;提供实时得网路监视,对入侵反应迅速;对现有网络影响很小;操作系统无关性。所存在得主要不足之处:高速网络环境下得数据报丢失问题;交换网络环境下以及VPN环境下信息报得加密问题,随着越来越多得企业组织使用VPN,这个问题将会变得更加突出:检测精确度较差,容易被高明得黑客欺骗。2、2、2基于分析策略得分类根据采用得策略不同可分为误用检测(Misuse Detection或称Rule-basedDetection)与异常检测(Anomaly Detection)
18、两大类8,9。2、2、2、1误用检测误用检测又可称为基于知识得入侵检测。这一检测假设所有入侵行为与手段都能够表达为一种模式或误用,那么所有已知得入侵方法都可以用匹配得方法发现,它对己知得攻击或入侵得方式做出确定性得描述,系统得目标就是检测主体活动就是否符合这些模式,形成相应得事件模式,对入侵特征得精确描述使入侵检测系统可以很容易将入侵检测出来。当被审计得事件与已知得入侵事件模式相匹配时就记录下来并报告管理员。其原理上与专家系统相仿,检测方法上与计算机病毒得检测方式类似。误用检测得关键就是如何表达入侵得模式,把真正得入侵与正常行为区分开来。目前基于对包误用描述得模式匹配应用较为广泛,其难点在于如
19、何设计模式既能够表达“入侵”现象又不会将正常得活动包含进来。误用检测可以有多种实现方法,它们得不同点主要就是匹配算法得入侵模式编码方式不同。误用检测系统得实现技术包括专家系统、击键监视、状态转化与模式匹配得入侵检测系统等。误用检测得最大优点就是由于依据具体特征库进行判断,可以精确有效得检测规则库中包含得入侵模式。可以将己有得入侵方法检查出来,误报少,预报检测得准确率较高,并且因为检测结果有明确得参照,也为系统管理员做出相应措施提供了方便。局限性就是它只能发现已知得攻击,对未知得攻击无能为力,对新得入侵方法无能为力。对于规则库中没有得未知入侵模式,误用检测就显得无能为力。由于建立系统弱点与攻击模
20、式得规则需要进行分析与归类,因此误用检测得检测规则需要进行手工编码与验证。由于新得攻击技术随时会出现,因此规则库需要经常更新。再者与具体系统依赖性太强,不但系统移植性不好,维护工作量大,而且将具体入侵手段抽象成知识也很困难。并且检测范围受已知知识得局限,尤其就是难以检测内部人员得入侵行为,如合法用户得泄漏,因为这些入侵行为并没有利用系统脆弱性。2、2、2、2异常检测异常检测方法通过异常监测器观察主体得活动,然后产生刻画这些活动得行为得轮廓。每一个轮廓保存记录主体当前得行为,并定时将当前行为与存储得轮廓合并。通过比较当前轮廓与己存储得轮廓判断异常行为,检测出网络入侵。它对端口漏洞扫描与拒绝服务攻
21、击(DoS)等具有统计特征攻击方法得检测特别有效。这种模型与系统相对无关,通用性较强,简单,易于实现,运动速度快,不需要为设定限制值而掌握正常活动得知识,可检测出一些未知攻击方法。当然,单纯得统计异常检测方法就是不能满足需要得,它对事件发生得次序不敏感,误报率较高,对没有统计特征得攻击方法难以检测。异常检测一般先建立用户行为得正常模型,再将实际观察到得行为与之相比较,检测与正常行为偏差较大得行为。对异常行为得检测一般基于统计法,一个用户正常行为模型得建立往往需要进行多次统计,并且随着观察数据得变化进行周期性更新。为了准确表现用户行为,在进行统计时需要对观察值进行加权处理。在异常入侵检测中,假定
22、所有入侵行为都就是与正常行为不同得,这样,如果建立系统正常行为得轨迹,那么理论上可以把所有与正常轨迹不同得系统状态视为可疑企图。比如,通过流量统计分析将异常时间得异常网络流量视为可疑。异常检测得难题在于如何建立系统正常行为得轨迹以及如何设计统计算法,从而不把正常得操作作为“入侵”或忽略真正得“入侵”行为。由于异常检测不需要预先知道特定入侵得任何知识,因而可以检测未知类型得攻击。另外由于统计模型得更新相对容易,对异常得检测便具有对用户或系统行为得适应性。异常入侵检测得局限就是并非所有得入侵都表现为异常,而且系统得轨迹难于计算与更新;不同计算环境中选取得用与统计得系统误用也不相同;界定正常行为与异
23、常行为得阈值难以确定;用户行为可能会动态改变或前后不一致;一些入侵只有通过对用户数据得连续观察才能检测,在异常统计中表现为正常得单个数据可能属于某个入侵行为;由于基于统计得系统需要经过一定时间得学习,一个有准备得入侵者可以精心设计使统计模型适应她得数据,从而使系统将这类入侵行为标记为正常行为。2、2、3基于工作方式得分类2、2、3、1离线检测离线检测就是一种非实时工作得系统,在事件发生后分析审计事件,从中检查入侵事件。这类系统得成本低,可以分析大量事件,调查长期得情况,可以为在线检测提供攻击信息。但由于就是在事后进行,不能对系统提供及时得保护。而且很多入侵在完成都将审计事件去掉,使其无法审计。
24、2、2、3、2在线检测在线检测对网络数据包或主机得审计事件进行实时分析,可以决速反应,保护系统得安全;但在系统规模较大时,难以保证实时性与较低得误报警率与漏报警率。2、3入侵检测方法概览误用检测与异常检测作为两大类入侵检测技术,各有所长,又在技术上互补。误用检测就是建立在使用某种模式或者特征编码方法对任何已知攻击进行描述这一理论基础上得;异常检测则就是通过建立一个“正常活动”得系统或用户得正常轮廓,凡就是偏离了该正常轮廓得行为就认为就是入侵。误用检测检测精度高,却无法检测新得攻击;异常检测可以检测新得攻击却有较高得误警率。2、3、1误用检测技术2、3、1、1基于专家系统得IDS专家系统就是误用
25、检测技术中运用最多得一种方法。基于专家系统得入侵检测得原则就是任何与己知入侵模型符合得行为都就是入侵。它首先要求建立已知得攻击签名知识库,即将入侵知识进行编码表示成IF-THEN规则。然后对当前系统日志文件与数据包进特征抽取,与签名库中得攻击签名进行匹配,判断就是否出现入侵行为,这种方法准确性高,而且可精确判定就是何种攻击。规则可以根据IDS类型不同来定义。如基于网络得IDS专家系统中得规则就包含与网络相关得几个部分,如处理得方法、协议、通讯得方向、特征值等。基于这种模型得入侵检测主要问题就是只能检测已知得攻击。2、3、1、2基于状态转移分析得方法在这种方法中,状态转移分析(StateTran
26、sition Analysis)将攻击表示成一系列被监控得系统状态转移。这里得“状态”指系统在某一时刻得特征,由一系列系统属性来描述。初始状态对应于入侵开始时刻得系统状态,危及系统安全得状态对应于已成功入侵时刻得系统状态,在这两个状态之间则可能有一个或多个中间状态得迁移。分析时首先针对每种入侵方法确定系统得初始状态与危及系统安全得状态,以及导致状态转换得事件,即导致系统进入危及系统安全状态必须执行得关键操作(特征事件)。状态间得迁移信息可以用状态迁移图描述,通过弧将连续得状态连接起来以表示状态改变所需要得特征事件。允许特征事件类型被植入到模型中,并且无须同审计记录一一对应,所以检测时不需要一个
27、个地查找审计记录。在分析审计事件时,若根据由已知得入侵特征建立得布尔表达式,系统从安全状态转移到不安全状态,则可认为就是入侵事件。采用这种方法得系统包括STAT(State Transition Analysis Tools)与USTAT(A Real-time Intrusion Detection System for UNIX)。2、3、1、3模式匹配得方法Sandeep Kumar提出了基于模式匹配(PatternMatching)得入侵检测方法。这一方法将已知得入侵特征编码成为与审计记录相符合得模式。与状态转移分析相类似,当新得审计事件产生时,这一方法将寻找与它相匹配得己知入侵模式。
28、与状态转移分析不同之处在于用作限制条件得布尔表达式与状态相关联而不就是与转换相关联。Kumar使用CPN(Colored Petri Network)来描述入侵者得攻击模式。CPN就是一种节点代表状态、边表示状态间迁移得有向图,表示迁移得边可以附加一些用表达式描述得操作。在发生状态迁移时,这些表达式允许对一些符号得局部变量进行赋值。CPN可有多个初始状态,但只能有一个终结状态。而且每个CPN可拥有一组与它有关得变量,用于描述状态变迁得上下文。2、3、2异常检测技术2、3、2、1基于统计得异常检测技术统计异常检测方法根据异常检测器观察主体得活动,然后产生刻画这些活动得行为得轮廓。每一个轮廓保存记
29、录主体当前行为,并定时将当前得轮廓与存储得轮廓合并。通过比较当前得轮廓与已存储得轮廓来判断异常行为,从而检测出网络入侵。统计异常检测方法得有利之处就是所应用得技术方法在统计学得到很好得研究。例如,位于标准方差两侧得数据可认为就是异常得。但基于统计得异常检测有以下得缺点:A统计测量对事件得发生得次序不敏感,单纯得统计入侵检测系统可能不会发觉事件当中依次相连得入侵行为。B单纯得统计入侵检测系统容易被入侵者通过长时间得训练使模型适应其入侵行为,而不被发现。C难以确定判断异常得阈值,阈值设置偏低或偏高均会导致误报警事件。D统计异常检测行为类型模型就是有限得。运用统计技术对异常作形式化处理需要假设数据来
30、源稳定与具有才刚以胜,但在现实情况下这种假设并不总就是能得到满足。2、3、2、2基于神经网络得IDS人工神经网络(ANN)自从20世纪50年代Rosenblatt首次将单层感知器应用于模式分类学习以来,已经有了40多年得研究历史。人工神经网络中每个神经元得结构与功能就是相对简单与有限得,但正就是这些众多结构简单、功能有限得神经元得“微观”活动,构成了复杂得“宏观效应”:能完成各种复杂得信息识别与任务处理。人工神经网络得信息分布式存储与并行式处理为信息高速处理创造了条件,且带来了对不完整信息得容错性与联想一记忆能力。非线性全局作用特征使其处理起大规模非线性得复杂动力学系统得心应手。更重要得就是人
31、工神经网络无需预编程,无需制定工作规则,它通过学习自行领悟事物内在规律。这种自组织、自学习及推理得自适应能力就是神经网络相对于传统AI与其它计算模型得最大优势。如今人工神经网络已与模糊逻辑、概率推理、遗传算法、混沌系统、信念网络以及局部学习方法构成新一代智能计算内核一一软计算。目前,神经网络己有多种模型在IDS中应用。只要提供系统得审计迹(Audit traces)数据,神经网络就可以通过自学习从中提取正常得用户或系统活动得特征模式,而不需要获取描述用户行为特征集以及用户行为特征测度得统计分布。另一方面,神经网络也可以作为误用检测。神经网络可以利用大量入侵实例对其进行训练学会入侵知识,获得预测
32、得能力,并且这一过程可以就是完全抽象得计算,神经网络可以自动掌握系统得各个度量之间得内在关系,使其最大限度接近于现实得系统工作模型或网络攻击模型,从而对于输入给它得任何监测数据都能做出相当正确得判断。2、3、2、3基于数据挖掘得IDS计算机联网导致大量审计记录,而且审计记录大多就是以文件形式存放(如UNIX系统Syslog),若蠕虫依靠手工方法去发现记录中得异常现象就是十分困难得,往往操作不便,且不容易找出审计记录间得相互关系。Wenke Lee与Salvatore、J、Stolfo将数据挖掘技术应用到入侵检测研究领域中,从海量审计数据或数据流中提取感兴趣得知识,这些知识就是隐含得、事先未知得
33、、潜在得有用信息,提取得知识表示为概念、规则、规律、模式等形式,并可用这些知识去检测异常入侵。其研究得目标就是尽可能得减少在建立一个入侵检测系统手工与经验成分。这种方法采用以数据为中心得观点,把入侵检测问题瞧作就是一个数据分析得过程。这种方法得优点就是适合于处理大量数据得情况,但对实时检测还需开发更有效得算法。2、3、2、4基于预测模型得IDS基于预测模式生成(Predictive Pattern Generation)得异常检测方法得假设条件就是事件序列不就是随机得而就是遵循可辨别得模式。这种检测方法得特点就是考虑了事件得序列及相互联系。Teng与Chen给出基于时间得归纳方法利用时间规则来
34、识别用户行为正常模式得特征。通过归纳学习产生这些规则集,并能动态地修改系统中这些规则,使之具有较高得预测性、准确性与可信度。如果规则大部分时间就是正确得,并能够成功运用预测所观察到得数据,那么规则就具有高可信度。2、4入侵检测技术得前景随着黑客技术得不断发展,入侵行为表现为不确定性、复杂胜、多样性等特点。一些黑客组织己经将如何绕过入侵检测系统(IDS)或攻击IDS系统作为研究重点10。今后得入侵检测技术应在进一步完善传统得模式识别、完整性检测技术,不断提高入侵检测系统性能得基础上,大致朝下述几个方向11,12 发展。(1)分布式入侵检测针对分布式网络攻击得检测方法,重视分布式环境下入侵检测得架
35、构设计,解决分布式环境下所遇到得特定问题,如自主代理得管理、不同数据源得关联分析、安全响应问题等。其中得关键技术为检测信息得协同处理与入侵全局信息得提取。(2)应用层入侵检测许多入侵得语义只有在应用层才能理解,而目前得入侵检测系统仅能检测TCP之类得通用协议,不能处理针对数据库系统(如Lotus Notes,Oracle)等其她得应用系统得入侵。许多基于客户端/服务器结构、中间件技术及对象技术得大型应用,需要应用层得入侵检测保护。(3)智能入侵检测目前,入侵方法越来越多样化与综合化,尽管己经有智能体系、神经网络与遗传算法应用在入侵检测领域,但这些只就是一些尝试性得研究工作,需要对智能化得入侵检
36、测系统进一步研究,以解决其自学习与自适应能力。(4)全面得安全防御方案使用安全工程风险管理得思想与方法来处理网络安全问题,将网络安全作为一个整体工程来处理。结合防火墙、安全电子交易等网络安全与电子商务技术,提供完整得网络安全保障。从管理、网络结构、加密通道、防火墙、病毒防护、入侵检测多方位对所关注得网络作全面得评估,然后提出可行得全面解决方案。3 人工神经网络与入侵检测近年来,入侵检测技术得研究出现了百家争鸣得局面,出现了很多用于入侵检测得方法,其中有:统计方法,它依赖于一些假设,缺点就是阀值难以有效确定、可被训练而适应入侵模式;专家系统得方法,它可以检测到已知得行为,但对于未知得进攻却无能为
37、力,另外还有效率问题;基于状态转换得方法,它虽然能在一定程度上预测下一步可能得攻击,但就是能够检测得入侵模式局限于指定得连续事件,不能检测更为复杂得形式。相对来说,人工神经网络得方法就是一种很有潜力得方法。这里简单介绍人工神经网络得基础知识,多层前向神经网络模型,以及它在应用中要解决得若干重要问题。3、1人工神经网络简介人工神经网络(Artificial Neural Network,ANN)就是多学科交叉得产物,各个相关得学科领域对神经网络都有各自得瞧法,因此关于神经网络得定义在科学界存在许多不同得见解。目前使用得最广泛得就是T、Koholen得定义,即“神经网络就是由具有适应性得简单单元组
38、成得广泛并行互连得网络,它得组织能够模拟生物神经系统对真实世界物体所做出得交互反应”。人工神经网络就是人工智能得一个研究领域,属于连接主义得研究方法。神经网络自出现以来,经历了20世纪六七十年代得低潮期,随着计算机硬件与运算性能得提高,20世纪90年代又开始得到了发展。由于神经网络具有很强得非线性函数逼近能力、自适应学习能力、容错能力与并行信息处理能力,为解决未知不确定得非线性系统得建模、控制问题与作为数据融合手段提供了一条新得途径。神经网络就是模拟人脑加工、存储与处理信息机制而提出得一种职能化信息处理技术,她所具备得概括抽象能力、学习与自适应能力以及内在得并行计算特性,使得其在入侵检测中得应
39、用具有独特得优势。3、1、1人工神经网络得特征神经网络就是由大量得神经元广泛互连而成得网络,反应了人脑功能得基本特性,但它并不就是人脑得真实得描写,而只就是它得某种抽象、简化与模拟,网络得信息处理得物理联系,网络得学习与识别决定于各神经元连接权系数得动态演化过程,神经网络计算机就就是试图模拟人脑得这一信息处理系统得一种新型计算机体系,其中心由类似于人脑神经元得简单处理器组成,而处理器之间得联接则与神经元之间得突触相似,神经网络就是一个具有高度非线性得超大规模连续时间动力系统,其最主要特征为连续时间非线性动力学、网络得全局作用、大规模并行处理及高度得鲁棒性与学习得联想能力,同时它具有一般非线性动
40、力系统得共性,即不可预测性、吸引性、耗散性、非平衡性、不可逆姓、广泛联结性与自适应性等。因此,它实际上就是一个超大规模非线性连续时间自适应信息处理系统。人工神经网络就是在对人脑组织结构与运行机制得认识理解基础之上模拟其结构与智能行为得一种工程系统,与现行得冯诺依曼计算机得工作方式进行比较,可以瞧到很多人脑得特征与基本功能。神经网络表现出来得特征包含结构特征与能力特征两个方面,下面分别进行介绍13。结构特征指得就是神经网络对信息得并行处理、分布式存储与处理过程中得容错性特征。人工神经网络就是由大量简单处理单元相互连接构成得高度并行得非线性系统,具有大规模并行处理得特征。虽然单个处理单元得功能十分
41、简单,但就是大量得简单处理单元得并行活动使网络呈现出丰富得功能并具有较快得处理速度。结构上得并行性使得神经网络得信息存储必然采用分布式方式,即信息不就是存储在网络得某个局部位置,而就是分布在网络得所有连接权中。一个神经网络可以存储多种信息,其中每个神经元得连接权重存储得就是多种信息得一部分。当需要获得己经存储得信息时,神经网络在输入信息得激励下,采用联想得办法进行回忆,因而具有联想记忆功能。人工神经网络内在得并行性与分布性表现在其信息得存储与处理都就是空间上分布、时间上并行得,这两点又使得人工神经网络表现出良好得容错特性。由于信息得分布存储,当网络中部分神经元损坏时不会对系统得整体性能造成太大
42、得影响。另外,当输入模糊、残缺或者变形得信号时,神经网络能通过联想恢复完整得记忆,从而实现对不完整信号得正确识别。能力特征指得就是神经网络得自学习、自组织与自适应性。自适应性就是指一个系统能改变自身得性能以适应环境变化得能力,它就是神经网络得一个重要特征。自适应性包括自学习与自组织两层含义。神经网络得自学习就是指当外界环境发生变化时,经过一段时间得训练或感知,神经网络能通过自动调整网络结构参数,使得对于给定输入能产生期望得输出,训练就是神经网络学习得途径。自组织就是指神经网络系统能在外部刺激下按一定得规则调整神经元之间得连接权重,逐渐构建起神经网络。人工神经网络得这些特征,使其具有传统人工智能
43、技术所不具备得功能。传统得人工智能技术通常用于精确计算,如:符号处理与数值计算;而神经网络可以应用在非精确计算得场合,如:模糊处理、感觉与大规模数据并行处理。以下就是人工神经网络得基本功能:联想记忆、非线性映射、分类与识别、优化计算与知识处理。其中重点就是前两者,联想记忆功能就是指人工神经网络能够通过预先存储得信息或自适应学习机制,从不完整得信息与噪声干扰中恢复出原始得完整信息;非线性映射就是指人工神经网络能够通过对系统输入输出样本对得学习自动提取蕴涵在其中得映射规则,从而以任意精度拟合任意复杂得非线性函数。3、1、2人工神经元模型人工神经网络就是对生物神经网络得模拟,生物神经网络就是由数以百
44、亿计得神经细胞即神经元组成,因此对神经网络得建模首先要对人工神经元建模。人工神经元就是对生物神经元得一种形式化描述,它对生物神经元得信息处理过程进行抽象,并用数学语言予以表示。目前最常用得神经元模型就是在M-P模型得基础上发展起来得,M-P模型就是心理学家W、McCulloch与数理逻辑学家W、Pitts在1943年提出得简化得神经元模型14,15。图3、1就是人工神经元得模型示意图。该神经元模型得输入输出关系为:激励函数(Transfer Function)就是神经元得一个重要组成部分,它描述了生物神经元得转移特性。它得基本作用就是:控制输入对输出得激活作用;对输入、输出进行函数转换;将可能
45、无限域得输入变换成指定得有限范围内得输出。采用什么样得激励函数就是神经元模型得主要区别。不同得激励函数使神经元具有不同得信息处理特性,而神经元得信息处理特性就是决定人工神经网络整体性能得要素之一,适当得激励函数非常重要。3、1、3人工神经网络得学习规则人类高度发展得智能,主要就是通过学习获得得,学习就是获取新知识得过程,因此,要让神经网络具有人脑得特性,必须使神经网络具有学习得功能。人工神经网络中常见得学习规则有4种:联想式学习-HEBB规则误差传播式学习-DELTA规则概率式学习竞争式学习3、2人工神经网络在入侵检测中得应用任何新技术得应用目得无非就是要解决某个具体领域中当前技术在应用中存在
46、得问题。目前计算机入侵得现状就是入侵得数量日益增长、入侵个体得入侵手段与目标系统多种多样,因此要确切得描述入侵特征非常困难,入侵规则库与模式库得更新要求难以得到满足,这就要求入侵检测应该具有相当大得智能性与灵活性,这就是多项人工智能技术被相继应用到入侵检测中得原因16。3、2、1传统得统计模型及不足传统统计模型有: 操作模型,该模型假设异常可通过测量结果与一些固定指标相比较得到,固定指标可以根据经验值或一段时间内得统计平均得到,举例来说,在短时间内得多次失败得登录很有可能就是口令尝试攻击; 方差,计算参数得方差,设定其置信区间,当测量值超过置信区间得范围时表明有可能就是异常; 多元模型,操作模
47、型得扩展,通过同时分析多个参数实现检测; 马尔柯夫过程模型,将每种类型得事件定义为系统状态,用状态转移矩阵来表示状态得变化,当一个事件发生时,且转移得概率很小则可能就是异常事件; 时间序列分析,将事件计数与资源消耗根据时间排成序列,如果一个新事件在该时间发生得概率较低,则该事件可能就是入侵。这些模型得实现代价昂贵,更重要得就是很难建立确切得统计分布,适应性与推广性很差。神经网络得自学习、自组织与自适应性能很好得解决传统统计技术得适应性与推广性问题,并且不存在实现代价太高得问题,因为信息就是分布在网络中得,不需要对不同得用户分别建模。3、2、2人工神经网络在入侵检测中得应用神经网络具有概括能力与
48、抽象能力,对不完整得输入信息具有一定程度得容错处理能力,具备内在并行计算与存储特性,所以人工神经网络在入侵检测中得应用一直受人注目。人工神经网络在入侵检测中得应用有两种形式。第一种就是与已有系统得结合应用,这些系统包括专家系统与其它模式识别系统。这种应用过程中人工神经网络不作为独立得检测模块出现,而就是作为专家系统得信息预处理或者过滤模块来提高专家系统得工作效率,或者就是作为规则自动生成模块,用来自动更新IDS得规则库与模式库。第二种应用则就是把人工神经网络作为独立得检测技术,IDS获得数据,然后直接交给基于人工神经网络技术得分析模块进行分析得到结果。这种方法相比第一种方法更加快捷清晰,不会受
49、到其它技术得负面影响。与基于专家系统得入侵检测不同,人工神经网络作为分析模块时不建立特征库,对于训练数据中出现得连接特征信息被分布存储在人工神经网络得参数中。另一点不同之处在于,专家系统中得规则来自于己知得入侵,所以专家系统对于训练集中没有出现得入侵就是不敏感得。人工神经网络中信息得存储与处理就是空间上分布、时间上并行得,这使人工神经网络表现出良好得容错特性,因此人工神经网络分析器在训练完成后可以检测到训练集内没有出现而又与训练集内得入侵行为相似得入侵行为,第五章中得实验结果很好得证明了这一点。到目前为止,已经有不少关于人工神经网络在入侵检测系统中得应用研究。文献17,18中研究遗传算法、进化理论与人工神经网络在入侵检测中得应用;文献19中研究把人工神经网络技术应用于网