基于集成神经网络入侵检测系统的研究(编辑修改稿)

基于集成神经网络入侵检测系统的研究(编辑修改稿)内容摘要：

报告检测过程的结果。 数据 收集 数据 处理 数据 分析 响应 处理 入侵检测系统 具有脆弱性的系统和网络 攻击者 包 图 21 入侵检测系统的基本原理 6 入侵检测系统的基本工作模式可以用如图 22 所示的图形来表示。 入侵检测系统的分类 入侵检测系统可以按不同的方法进行分类，其中，按检测技术、数据来源、体系结构及时效性进行分类是应用最多的分类方法。 本文主要介绍 前两者的分类方法。 根据检测技术分类 根据入侵检测系统所采用的技术可分为误用入侵检测、异常入侵检测和协议分析三种。 1） 误用入侵检测 误用入侵检测（ misuse intrusion detection）又称为基于特征的入侵检测。 这一检测（ signaturebased intrusion detection） 假设入侵者的活动可以用一种模式来表示，系统的目标是检测主体活动是否符合这些模式。 它可以将已有的入侵方法检查出来，但对新的入侵方法无能为力。 其难点在于如何设计模式，既能够表达 “ 入侵 ” 现象，又 不会将正常的活动包含进来。 2） 异常入侵检测 异常入侵检测（ anomaly intrusion detection）假设入侵者的活动异常于正常主体的活动。 根据这一假设建立主体正常活动的（ “ 活动简档 ” ），将当前主体的活动状况与 “ 活动简档 ”相比较，当违反其统计规律时，认为改活动可能是 “ 入侵 ” 行为。 异常入侵检测的难题在于如何建立 “ 活动简档 ” 以及如何设计统计算法，从而不把正常的操作误认为 “ 入侵 ” 或忽略真正的 “ 入侵 ” 行为。 3） 协议分析 系统日记 原始数据 包 检测原理 异常入侵检测 误用入侵检测 报警 报警并采取相应措施 周期性检测 实时检测 图 22 入侵检测系统的基本工作模式 7 协议分析是在传统模式匹配技术基础之上发展起来的一种新的入侵检测技术。 它充分利用了 网络协议的高度有序性，并结合了高速数据包捕捉、协议分析和命令解析，来快速检测某种攻击特征是否存在。 这种技术正逐渐进入成熟应用阶段。 协议分析大大减少了计算量，即使在高负载的高速网络上，也能逐个分析所有的数据包。 根据数据来源分类 根据入侵检测数据来源的不同，可以将入侵检测系统分为基于网络的入侵检测系统、基于主机的入侵检测系统、混合式入侵检测系统及文件完整性检查式入侵检测系统。 1） 基于主机的入侵检测系统 基于主机的入侵检测系统（ Hostbased Intrusion Detection System， HIDS）通常是安装在被保护的主机上，主要是对改主机的网络实时连接以及对系统审计日记进行分析和检查，当发现可疑行为和安全违规事件时，系统就会像管理员报警，以便采取措施。 2） 基于网络的入侵检测系统 基于网络的入侵检测系统（ Networkbased Intrusion Detection System， NIDS）一般安装在需要保护的网段中，实时监视网段中传输的各种数据包，并对这些数据包进行分析和检测，如果发现入侵行为或可疑事件，入侵检测系统就会发出报警，甚至切断网路连接。 3） 混合式入侵检测系统 基 于网络的入侵检测系统和基于主机的入侵检测系统都有不足之处，单纯使用其中一种系统的主动防御体系都不够强大。 但是它们的缺憾是互补的。 如果这两种系统能够无缝地结合起来部署在网络内，这会构架一套强大的、立体的主动防御体系。 4） 文件完整性检查式入侵检测系统 文件完整性检查式入侵检测系统检查计算机中自上次检查后文件的变化情况。 文件完整性检查式入侵检测系统保存有每个文件的数字文摘数据库，每次检查时，它重新计算文件的数字文摘并将它与数据库中的值相比较，如不同，则文件已被修改，若相同，则文件未发生变化 [5]。 入 侵检测目前存在的局限性和不足 在入侵检测领域内应用最为广泛，同时也是最成熟的技术仍然是基于专家系统的规则化检测技术。 典型的入侵检测系统，如 IDES和 NIDES系统等，都很好的实现了专家系统基于规则检测的概念，并在实际应用中取得了较好的效果。 8 但是，随着系统安全环境特别是网络系统安全形式的变化，传统的基于专家系统的检测技术暴露出若干局限性和不足。 首先，传统的专家检测技术需要维护一个复杂而庞大的规则库。 面对不断变化的攻击手段和多样复杂的变种情况，该规则库需要进行随时随地的更新升级。 因为专家系统检测技术完全依赖 于准确的规则库匹配方式进行入侵检测工作，所以一个陈旧的检测规则库带来的后果可能就是漏检大量的入侵检测活动。 更为严重的后果是造成安全管理员虚假的安全表象，导致重大的安全漏洞和隐患。 其次，基于专家系统的检测方法缺乏足够的灵活性来检测已知入侵方式的变种情况。 通常的规则推导过程是在精确匹配的基础上进行的，如果某种攻击手段的执行过程发生某些细微的改变，对于专家系统而言，如果没有找到对应的更新规则，就会被认定为合法行为，产生漏检情况。 另一方面，如果采用更为通用的检测规则，则有可能发生将合法用户行为错误认定为非法行为 的虚假现象，更进一步分析可知，专家系统的检测方法对在时间上分散的攻击活动，或者是由多用户发起的协同攻击行为，也是很难奏效的。 因为它只关注单个异常事件的出现与否，而对事件状态随时间发生的变化情况无法处理。 近年来，大量不同于传统专家系统技术的入侵检测方法纷纷涌现，其中基于人工神经网络检测技术的发展尤为突出。 基于神经网络的入侵检测技术的发展 近年来，大量不同于传统专家系统技术的入侵检测方法纷纷涌现，其中基于人工神经网络检测技术的发展尤为突出。 人工神经网络是模拟人脑加工、存储和处理信息机制而提出的一 种智能化信息处理技术，它是由大量简单的处理单元（神经元）进行高度互连而形成的复杂网络系统。 从本质上讲，人工神经网络实现的是一种从输入到输出的映射关系，其输出值由输入样本、神经元间的互连权值以及传递函数所决定。 神经网络具备高度的学习和自适应能力，通过学习能够识别全新入侵行为特征的能力，可以克服基于专家系统检测技术的局限性。 入侵检测技术主要分成两类，即基于异常和基于误用的入侵检测技术。 但无论是单纯采用异常入侵检测技术，还是单纯采用误用入侵检测技术，其检测性能的理论上限都不会超过混合采用两种技术思路方法的性能上 限。 从而肯定了具备学习能力的神经网络在入侵检测中的光明应用前景。 9 3 神经网络简介 神经网络的全称是人工神经网络（ artificial neural work， ANN）是在现代神经生物学研究成果的基础上发展起来的一种模拟人脑信息处理机制的网络系统，他不但具有处理数值数据的一般计算能力，而且还具有处理知识的思维、学习和记忆能力 [6]。 人工神经网络模仿人脑神经的活动，力图建立脑神经活动的数学模型。 人工神经网络由于其大规模并行处理、容错性、自组织和自适应能力以及联想功能等特点，已成为解决问题的有力工具， 对突破现有科学技术的瓶颈，更深入的探索非线性等复杂现象起到了重大的作用，并广泛应用于许多科学领域。 从控制理论的观点来看，神经网络处理非线性的能力是最有意义的；从系统辨识和模式识别的角度考虑，神经网络跟踪和识别非线性的能力是其最大的优势。 神经网络模型 生物神经元模型 正常人脑是由大约 1011~1012个神经元组成的，神经元是脑组织的基本单元。 每个神经元具有 102104 个突触与其它神经元相连接，形成了错综复杂而又灵活多变的神经网络。 神经元有胞体、树突和轴突构成。 胞体是神经元的代谢中心， 每个细胞体有大量的树突（输入端）和轴突（输出端），不同神经元的轴突和树突互连的结合部为突触，突触决定神经元之间的连接强度和作用性质，而每个神经元胞体本身则是一非线性输入、输出单元。 一个神经元的模型示意图 如下图 31 所 示。 图 31 典型的生物神经元 由图 31 可见，神经元有胞体、树突和轴突构成。 胞体是神经元的袋子额中心，它本身又由细胞核、内质网和高尔基体组成。 胞体一般生成有许多树状突起物，称之为树突， 10 它是神经元的主要接收器。 胞体还延伸出一条管状纤维组织，称之为轴突，轴突外面包有一层较厚的绝缘组织，称之 为髓鞘（梅林鞘）。 髓鞘规则地分为许多短段，段与段之间的部位被称为郎飞节。 轴突的作用是传导信息，通常轴突的末端分出很多末梢，他们与后一个神经元的树突构成一种称为突触的机构。 前一神经元的信息经由起轴突传到末梢之后，通过突触对后面各个神经元产生影响。 从生物控制论的观点看，神经元作为控制和信息处理的单元，具有常规的两种工作状态，兴奋和抑制状态，神经冲动眼神经传导的速度在1~150m/s 之间，在相邻两次冲动之间需要一个时间间隔，即为不应期。 由于神经元结构的可塑性，突触的传递作用可增强、减弱和饱和，因此细胞具有相应的学 习功能、遗忘和疲劳效应（饱和效应）。 随着生物控制论的发展，人们对神经元的结构和功能有了进一步的了解，神经元不仅仅是一简单的双稳态逻辑元件，而且是超级的微型生物信息处理机或控 制单元 [7]。 人工神经元模型 根据生物神经元的结构和功能，从 20 世纪 40 年代开始，人们提出了大量的人工神经元模型，其中影响较大的是 1943 年美国心理学家 McCulloch 和数学家 Pitts 共同提出的形式神经元模型通常称之为 MP 模型。 设有 N 个神经元互联，每个神经元的活化状态 ix （ i=1， 2， 3， „ ， N）取 0 或 1，分别代表抑制和兴奋。 每一个神经元的状态按下述规则受其它神经元的制约 Nixwfx Nj ijiji   ,2,1),( 1  （ 31） 式中 ijw ——— 神经元 i 和神经元 j 之间突触连接强度，或称权值； i ——— 神经元 i 的阀值； )(f 在这里取阶跃函数 step )( ，有 Step(a)= 0a 0a01 式（ 31）也可理解为神经元 i 的输入输出关系。 Xj 为第 j 个神经元向第 i 个神经元的输入； xi 为第 i 个神经元的输出； )(1 Nj ijij xw 为第 i 个神经元净输入。 若将阀值也看作一个权值，则式（ 31）可改写为 11 Nixwfx Nj jiji ，  ,2,1),( 0 （ 32） 此时有 ii xw 00 ， 0xw =1，这就是最初的 MP 模型 . 但是，这种简单的 MP 模型没有考虑时间整合、不应期、延时和数模转换等作用。 若考虑这些作用则可以发展出 MP 模型的许多变种。 它们在细节上（即并行分布处理思想上）有所不同，但有许多共性，提取这些共性可以给出相当一般化模型，它的数学表达式为 )( 1 iNj ijiji sxwf    (33) )( ii fu  (34) )()( iii hugy  (35) 式中 jiW ， jX ， i 的含义和式（ 31）一样； i —— 第 i 个神经元的净输入 iS —— 第 i 个神经元外部输入 iu —— 第 i 个神经元的活化状态 iy —— 第 i 个神经元的输出 )(f —— 神经元的活化规则（活化函数） )(g —— 神经元的输出规则（转换函数） 在某些模型中，假设神经元没有内部状态，可以令 f=1（恒等映射），此时)(g)( iii ugy 。 不同的系统对活化值作了不同的假设，它可以是连续的，也可以是离散的。 若是连续的，它可以取任意实数（无界的），也可以取某个最大值与最小值之间的数（有界的）；若是离散的，则可取二值、三值或一个小的有限数集。 下图 32 给出了一般化 MP 模型 [8]。 图 32 一般化 MP 模型 12 神经网络模型 神经网络是在对人脑思维方式研究的基础上，用数学方法将其简化并抽象模拟反映人脑基本功能的一种并行处理连接网络。 一个神经网络由多个互连的神经元组成，神经元是神经网络的基本处理单元。 神经网络在目前已有几十种不同的模型。 通常，人们较多地考虑神经网络的互连结构，包括四种典型结 构如图 33 所是 ，分别是 1） 前馈网络。 神经元分层排列，组成输入层、隐含层和输出层，每层只能够接受前一层神经元的输入； 2） 反馈网络。 在 输入层到输出层存在反馈； 3） 相互结合型网络。 相互结合网络属于网络结构，任意两个神经元之间可能有连接； 4） 混合型网络。 层次型网络和网状结构网络的一种结合。 图 33 神经网络的 4 种典型拓扑结构 神经网络的工作方式 神经网络的工作过程主要由两个阶段组成：一是工作期，此时各连接权值固定，计算单元的状态变化，以求达到稳定状态；二是学习期（自适应期或设计期），此时各计算单元状态不变，各连接权值可修改。 前一阶段较快，各单元的状态也称短期记忆，后一阶段慢得多，权值及连接方式也称长期记忆。 学习是神 经网络最重要的一个能力，学习算法是神。