神经网络在高效智能入侵检测 系统中的应用*1. 入侵检测系统¡入侵检测系统是动态安全技术中最核心的技术之一 它通过对计算机网络或计算机系统中若干关键点 收集信息并对其进行分析,从中发现网络或系统中 是否有违反安全策略的行为和被攻击的迹象内 部和外部)¡误报率、漏报率高原因:传统IDS所提取的用户 行为特征不能很好的反映实际的情况,所建立的正 常模式或者异常模式 不够完善¡基于神经网络的高效智能入侵检测系统Date基于神经网络的高效智能入侵检测系统¡构想¡人工神经网络¡具体的实时入侵检测模型图Date2. 构想把神经网络作为异常检测系统的统计分析部 分的一种替代方法,用来识别系统用户的典型特征 ,对用户既定行为的重大变化进行鉴别将模式匹 配与人工神经网络技术结合在一起,构成一个以已 知的入侵规则为基础、可扩展的动态入侵事件检测 系统,自适应的进行特征提取与异常检测,实现高 效的入侵检测及防御用神经网络来过滤出接收数 据当中的可疑事件,并把这种事件转交给系统作进 一步的处理这种结构可以通过减少系统的开销和IDS误报 率来提高监测系统的效用Date3. 人工神经网络¡人工神经网络(Artificial Neural Network,ANN)¡3层前向人工神经网络Date¡ANN是理论化的人脑神经网络的数学模型 ,是基于模仿大脑神经网络结构和功能而 建立的一种信息处理系统。
实际上是由大 量简单元件相互连接而成的复杂网络,具 有高度的非线性,能够进行复杂的逻辑操 作和非线性关系实现的系统¡ANN采取样本学习的方式,直接从过程的 输入输出关系提取信息,并反映到神经原 之间相互作用的权值上整个网络是一种 并行协同处理系统;具有一定的智能特点 ,有自适应、自学习、自组织的能力Date将神经网络用于攻击检测只要提供系 统的审计数据,神经网络就可以通过自学 习,从中提取正常的用户或系统活动的特 征模式,获得预测的能力,而不需要获取 描述用户行为特征的特征集以及用户行为 特征测度的统计分布可以向神经网络展 示新发现的入侵攻击实例,通过再训练使 神经网络能够对新的攻击模式产生反应, 从而使入侵检测系统具有自适应的能力 当神经网络学会了系统正常工作模式后, 能够对偏离系统正常工作的事件做出反应 ,进而可以发现一些新的攻击模式Date我们拟采用3层前向人工神经网络见图(1)3 层前向人工神经网络由输入层、隐层和输出层组 成,网络中各神经元接受前一级输入,单输出到 下一级训练过程中,将在这个3层前向神经网 络的基础上应用经过改进的反向传播学习算法 (BP)算法在本模型中,取Sigmoid函数作为隐层神经元的激发函数。
输出层神经的输入 信息的计算公式与隐层的输入公式类似,输出层 神经元的激发函数可以取比例系数为1的线性函 数,也可以取非线性函数Date图1 三层前向人工神经网络 178Date¡ 图2 模型原理图Date本模型中,首先需要收集一定量的网络数据 样本供神经网络训练模块学习,基本调节好神经 网络的权值和阈值,并把这些信息交给神经网络 过滤器使用这样神经网络过滤器可以开始发挥 功能了在当前的权值和阈值下,过滤器一旦发 现可疑攻击,就把数据交给模式匹配模块进行传 统的分析而模式匹配模块对于从数据库中获得 的网络SQLServer数据的所有分析结果,都要提 供给神经网络训练模块神经网络训练模块依靠 不断获得的这些攻击或正常的网络数据信息,本 身进行自适应的调整,更新神经网络的权值和阈 值,同时也就更新了神经网络过滤器的设置,从 而提高了过滤器对于攻击的识别分析能力这完 全是一个在实际应用中动态自适应的过程Date¡神经网络学习样本的收集和结构设计收集数据包需要注意数据包样本应该具有代 表性,广泛性,要考虑到各种模式之间的平衡从网探那里获得完整的包,通过预处理程序 过滤出TCP包,然后取包头的重要字段存入数据 库,组成大部分神 经网络的输入。
这些字段从IP 头和TCP头中抽取, IP头中抽 取的字段包括头 长度、总长度、生命期、源地址、目的地址; TCP头中抽取的字段包括源端口、目的端口、控 制位这些字段信息还需进行预处理,才能作为 神经网络的输入 Date¡神经网络的训练和检测输入的样本共有8个字 段,所以网络的输入 层设计为8个神经元,输出层有1个神经 元,网络 输出值在 (0 ,1) 之间, 0表示无攻击, 1表示有 攻击隐含层的神经元数目确定比较复杂,并无 确定的法则,只能通过一些经验法则,借助于实 验来确定我们采用的神经网络的学习算法是改进的反 向传播学习算法算法,增加了附加动量项,输入 层激发函数为线性(BP )函数,隐藏层和输出层的 激发函数都为Sigmoid函数在反向过程中,将 求得的神经网络输出值与期望输出值相比较,并 将比较所得差别作为误差输回到神经网络中,以 调整神经网络的权值和阈值Date训练的主要目的就是利用反向学习来 获得理想的权值和阈值由于训练数据的 量一般都比较大,我们采用批处理的方法 ,即对一批样本进行计算后,分别求出这 批样本的输出误差及其对应的连接权修正 值,然后求出这些误差的均值和连接权修 正值的均值,用均值连接权进行一次修正 。
这样可以提高网络学习的速度神经网 络经过训练后,生成了合适的权值和阈值 ,有了权值和阈值,神经网络便能对网络 数据进行检测经过训练后的神经网络具 有非常快的检测速度,实时性将非常强Date4. 结论¡下面是在MATLAB环境下实现的实验结果¡由实验结果可知,在学习到14步或9步时,前 向神经网络就可以达到要求的精度¡由此可见,利用神经网络也不失为一种较好 的实现入侵检测的方法DateDateTRAINLM, Epoch 0/1000, MSE 0.311482/0.01, Gradient 0.88205/1e-010 TRAINLM, Epoch 14/1000, MSE 0.00357177/0.01, Gradient 0.0709494/1e-010 TRAINLM, Performance goal met.Y =0.9967 0.0006 0.0009 0.00190.0000 0.9833 0.0480 0.00430.0101 0.0105 0.9359 0.09080.0042 0.1070 0.0311 0.8586DateDateTRAINLM, Epoch 0/1000, MSE 0.291114/0.01, Gradient 0.966068/1e-010 TRAINLM, Epoch 9/1000, MSE 0.000700908/0.01, Gradient 0.0522145/1e-010 TRAINLM, Performance goal met.Y =0.9627 0.0003 0.0001 0.00040.0000 0.9948 0.0027 0.00120.0000 0.0005 0.8082 0.00010.0425 0.0001 0.0022 0.9271Date1. Kevin M. Passino, Stephen Yurkovich, Fuzzy Control模糊控制, 北京: 清华大学出版社, 2001.11 2. 闻新,周露,李翔,张宝伟,MATLAB神经网 络仿真与应用,北京:科学出版社,2003.7 3. 飞思科技产品研发中心. 神经网络理论 与MATLAB7实现.北京:电子工业出版社 .2006四、参考文献Date。