《于基集成神经网络入侵检测系统的研究-学位论文.doc》由会员分享,可在线阅读,更多相关《于基集成神经网络入侵检测系统的研究-学位论文.doc(34页珍藏版)》请在金锄头文库上搜索。
1、基于集成神经网络入侵检测系统的研究毕 业 论 文目 录摘要IABSTRACTII1 引言11.1 研究的背景和意义11.2 国内外研究现状21.3 论文结构安排32 入侵检测技术简介42.1 研究入侵检测的必要性42.2 入侵检测的相关概念42.3 入侵检测系统的基本原理42.4 入侵检测系统的基本工作模式52.5 入侵检测系统的分类62.5.1 根据检测技术分类62.5.2 根据数据来源分类72.6 入侵检测目前存在的局限性和不足72.7 基于神经网络的入侵检测技术的发展83 神经网络简介93.1 神经网络模型93.1.1 生物神经元模型93.1.2 人工神经元模型103.1.3 神经网络模
2、型123.1.4 神经网络的工作方式123.1.5 神经网络的基本性质及优点133.2 神经网络应用于入侵检测144 基于集成神经网络的入侵检测系统154.1 系统设计154.1.1 系统工作原理154.1.2 特征提取154.2 集成神经网络算法164.3 遗传算法174.3.1 遗传算法的定义174.3.2 遗传算法的基本思想174.3.3 基本遗传算法184.3.4 基本遗传算法的运行参数204.4.2 个体网络的构建204.4.3 个体网络的选择214.4.4 网络的集成输出225 仿真实验分析235.1 matlab神经网络工具箱235.2 实验数据源235.3 入侵检测数据集预处理
3、245.4 仿真实验245.4.1 导入数据245.4.2 训练过程255.5 仿真实验数据分析27结论28参考文献29致 谢30摘要入侵检测是防火墙的合理补充,它帮助系统对付网络攻击,扩展了系统管理员的安全管理能力,提高了信息安全基础结构的完整性。入侵检测技术是一种动态的网络检测技术,主要用于识别对计算机和网络资源的恶意使用行为,包括来自外部用户的入侵行为和内部用户的未经授权活动。为了提高入侵检测系统的检测能力,本文在了解信息安全和入侵检测概念的基础上,分析神经网络模型,采用单个神经网络分别对样本进行训练,然后,通过遗传算法寻找那些差异较大的神经网络进行集成,并将研究的模型应用于入侵检测系统
4、中,提出相应的处理方案,得到最后的结果。关键词:网络安全 入侵检测 神经网络 集成学习 遗传算法AbstractIntrusion detection is a logical addition to firewall, it helps the system to deal with network attacks, expanded the system administrators security management capabilities, improve the integrity of the information security infrastructure. Intr
5、usion detection technology is a dynamic network detection technology, mainly used to identify computers and network resources on the malicious use of behavior, including acts of invasion from external users and internal users without the mandated activities. In order to improve detection of intrusio
6、n detection system, this paper to understand the concept of information security and intrusion detection based on analysis of neural network model, using a single neural network training samples, respectively, and then, through the genetic algorithm to find large differences in the neural network th
7、at integration, and research models are applied to intrusion detection system, the corresponding processing program, get the final results.Keywords: network security intrusion detection neural network Integrated Learning genetic arithmetic291 引言信息使用比例的加大,使得社会对信息的真实程度,保密程度的要求不断提高,而网络化又使因虚假、泄密引起的信息危害程
8、度越来越大。如近几年的大学英语四、六级考题泄露事件,通过网络操作使得股民帐户受损事件,“熊猫烧香”病毒导致计算机网络大面积瘫痪等影响都是全国性的。如何能在在不影响网络性能的情况下能对网络进行监测,提供对内部攻击、外部攻击和误操作的实时保护,是网络安全的重要课题。1.1 研究的背景和意义随着人类社会对Internet需求的日益增长,网络安全逐渐成为Internet及各项网络服务和应用进一步发展所需解决的关键问题,尤其是从1993年以来,随着Internet/Intranet技术日趋成熟,通过Internet进行的各种电子商务和电子政务活动日益增多,很多组织和企业都建立了自己的内部网络并将之与In
9、ternet联通。这些电子商务和政务应用和企业网络中的商业秘密便是攻击者的目标,据统计目前网络攻击手段多达数千种,使网络安全问题变得极其严峻1。在网络安全技术中,防火墙是第一道防御屏障。一般它位于路由器之后,为进出网络的连接提供安全访问控制。但一般网络系统必须对外开放一些应用端口,如80、110等,这时防火墙的不足就会充分体现出来,并且防火墙对内部攻击无能为力;同时,防火墙绝对不是坚不可摧的,即使是某些防火墙本身也会引起一些安全问题。信息安全的PDRR模型充分说明了检测的重要性。入侵检测是防火墙的合理补充,它帮助系统对付网络攻击,扩展了系统管理员的安全管理能力,提高了信息安全基础结构的完整性。
10、入侵检测技术是一种动态的网络检测技术,主要用于识别对计算机和网络资源的恶意使用行为,包括来自外部用户的入侵行为和内部用户的未经授权活动。入侵检测系统(IDS)由入侵检测软件和硬件组合而成,被认为是防火墙之后的第二道安全闸门,在不影响网络性能的情况下能对网络进行监测,提供对内部攻击、外部攻击和误操作的实时保护2。在入侵检测领域内应用最为广泛,同时也是最成熟的技术仍然是基于专家系统的规则化检测技术。但是,随着系统安全环境特别是网络系统安全形式的变化,传统的基于专家系统的检测技术暴露出若干局限性和不足。近年来,大量不同于传统专家系统技术的入侵检测方法纷纷涌现,其中基于人工神经网络检测技术的发展尤为突
11、出。人工神经网络是模拟人脑加工、存储和处理信息机制而提出的一种智能化信息处理技术,它是由大量简单的处理单元(神经元)进行高度互连而形成的复杂网络系统。从本质上讲,人工神经网络实现的是一种从输入到输出的映射关系,其输出值由输入样本、神经元间的互连权值以及传递函数所决定。神经网络具备高度的学习和自适应能力,通过学习能够识别全新入侵行为特征的能力,可以克服基于专家系统检测技术的局限性3。1.2 国内外研究现状对于神经网络技术在入侵检测中的应用,前人已经做了若干研究工作。Debar等人采用递归型(Recurrent)BP网络,在对所收集的审计记录进行分析的基础上,对系统各用户的行为方式进行建模,并同时
12、结合传统的专家系统进行入侵检测。Tan为适应入侵检测的要求,对传统的多层前馈网络(MLFF)的训练算法进行改进,并用于建模用户的各个行为特征。Hogluand等人提出了基于一维SOM(自组织特征映射)网络的异常检测算法对用户行为特征进行判断,并建立了原型系统。Ghosh和Schwartzbard采用基于多层感知器(MLP)的异常检测模型,通过对程序执行中系统调用序列记录的分析,来监视特定的程序的运行状态。他们使用了数百个训练样本,获得了在大致3%的虚警概率条件下77%的检测概率。Ghosh等人同时还进行了滥用检测技术的研究,其工作结果表明基于MLP的滥用检测模型具备更高的虚警概率,性能不及异常
13、模型。进一步地,Ghosh等人采用另一种神经网络模型Elman网络,取得了零虚警概率下77%的检测概率。Ryan等人对用户每天所执行的Shell命令进行统计计数,并采用标准的BP网络对所形成的用户行为特征矢量(由各个命令的执行次数组成)进行训练和识别。随着网络互联环境的飞速发展,基于网络流量分析的入侵检测技术逐渐流行。Cannady和Mahaffey将MLP模型和SOM/MLP混合模型应用到基于网络流量的滥用检测模型中。在基于MLP模型的入侵检测技术中,Cannady等人根据网络数据包的若干协议字段值(如协议类型、属性字段值、负载长度和内容等)构建特征矢量,提供给MLP网络进行训练学习。训练完
14、毕后,对测试样本集进行测试。实验结果表明,该模型可以从正常网络流量中识别出诸如表示ISS和Satan扫描、SYN Flood攻击活动的数据包。同时Cannady等人提出SOM/MLP混合模型,来检测诸如FTP口令试探的时间上分散的攻击行为。SOM网络主要用于对数据包中的负载内容进行分析,作为MLP网络的预处理单元并起到特征降维的作用。实验结果表明,能够较好地检测到单位时间不同频率的口令试探行为。Bonifacio等人首先构建网络会话的数据矢量,并对数据负载中的可疑特征字符串进行编码,连同目标端口号一起构成BP网络的输入特征矢量,送入神经网络进行训练。训练完毕后的BP网络即可进行滥用入侵检测。M
15、IT的Lippmann和Cunningham明确提出采用关键词和神经网络相结合的方法进行网络入侵检测并针对Telnet服务对话进行了相关研究。所采用方法是首先选择一组关键词表,然后在会话数据中对各个关键词进行计数并形成n维的输入特征矢量(n为关键词个数)。之后,采用MLP网络进行训练和识别。实验能在达到80%检测概率的基础上将虚警概率降低到大约每天一次的水平4。神经网络具有概括和抽象能力,对不完整输入信息具有一定程度的容错处理能力。而且它具备高度的学习和自适应能力。入侵检测领域研究的重点之一是分类算法,单个的分类算法由于自身的原因,总存在各种缺陷,算法的泛化能力不强。1990年Schapire证明一个概念是弱可学习的,其充要条件是强可学习的。这一定理说明,多个弱分类器可以集成为一个强分类器,由此奠定了集成学习的理论基础。Hansen和Salamon把各种神经网络集成在一起,形成集成神经网络。通过研究,证明集成神经网络可以提高系统的泛化能力。1.3 论文结构安排 本文共分为八章,第一章引言,概要的给出与本课题相关的网络安全的基本
