基于小波变换神经网络入侵检测系统的研究(编辑修改稿)

基于小波变换神经网络入侵检测系统的研究(编辑修改稿)内容摘要：

（ 1） 专家系统 早期的入侵检测系统多数采用专家系统来检测系统中的入侵行为。 NIDES、Wamp。 S、 NADIR[6]等系统的异常性检查器中都有一个专家系统模块。 在这些系统中，入侵行为被编制 成专家系统的规则。 每个规则具有“ IF条件 THEN 动作”的形式；其中条件为审计将记录中某个域上的限制条件，动作表示规则被触发时入侵检测系统所采取的处理动作，可以是一些新事实的判定或是提高某个用户行为的可疑度。 这些规则可以识别单个审计事件， 也可以识别表示一个入侵行为的一系列事件。 专家系统可以自动地解释系统的审计记录并判断他们是否满足描述入侵行为的规则。 但是，使用专家 系统规则表示一系列的活动不具有直观性，除非由专业的知识库程序员来做专家系统的升级工作，否则规则的更新是很困难的，而且使用专家系统分析系统的审计数据也是很低效的。 此外，使用专家系统规则很难检测出对系统的协调攻击。 （ 2） 状态转换分析技术 一个入侵行为就是由攻击者执行的一系列的操作，这些操作可以使系统从某些初始状态转换到一个可以威胁系统安全的状态。 这里的状态是指系统某 一时刻的特征，它可以由一 系列系统属性来描述。 初始状态 对应于入侵开始时的系统状态，危机系统安全的状态对应于已成功入侵时刻的系统状态；在这两个状态之间可能有一个或多个中间状态的迁移。 在识别出初始状态、威胁系统安全的状态后，主要应分析在者两个状态之间进行状态转换的关键活动，这些转换信息可以用状态迁移图来描述或用于生成专家系统的规则，从而用于检测系统的入侵活动。 但是，状态 转换是针对时间序列分析，所以不善于分析过分复杂的事件，而且不能检测 与系统状态无关的入侵。 （ 3） 模式匹配的方法 Sandeep Kumar 给出的模式识别的入侵检测方法可以处 理以下四种类型的入侵行为：、 1) 通过审计某个事件的存在性即可以确定的入侵行为。 13 2) 根据审计某一事件序列的顺序出现即可识别的入侵行为。 3) 根据审计某一具有偏序关系的事件序列的出现可以识别的入侵行为。 4) 审计的事件序列发生在某以确定的时间间隔或持续的时间在一定的范围，根据这些 条件就可以确定的入侵行为。 这个模型目的是把入侵检测的问题转化成模式匹配的问题：系统的审计被视为抽象的事件流，入侵行为检测器是模式匹配器。 使用模式识别是因为模式识别比较成熟，而且在构造一个系统时可以围绕它的实用性和有效性做一些优化。 因此，检测入侵 者时用模式匹配技术比使用专家系统更有效。 入侵检测的发展方向 随着入侵检测技术的发展，成型的产品已陆续应用到实践中。 人们在完善原有技术的基础上，又在研究新的检测方法，如数据融合技术，主动的自主代理方法，智能技术以及免疫学原理的应用等 [7]。 其主要的发展方向可概括为： （ 1） 分布式入侵检测与通用入侵检测架构 传统的 IDS 一般局限于单一的主机或网络架构，对异构系统及大规模的网络的监测明显不足。 同时不同的 IDS 系统之间不能协同工作能力，为解决这一问题，需要分布式入侵检测技术与通用入侵检测架构。 （ 2） 应用层入侵检测 许多入侵的语义只有在应用层才能理解，而目前的 IDS 仅能检测如 WEB 之类的通用协议，而不能处理如 Lotus Notes、数据库系统等其他的应用系统。 许多基于客户、服务器结构与中间件技术及对象技术的大型应用，需要应用层的入侵检测保护。 （ 3） 智能的入侵检测 入侵方法越来越多样化与综合化，尽管已经有智能体、神经网络与遗传算法在入侵检测领域应用研究，但是这只是一些尝试性的研究工作，需要对智能化的IDS 加以进一步的研究以解决其自学习与自适应能力。 （ 4）入侵检测的数据融合技术 目前的 IDS 还存在着很多缺陷。 首先，目前的技术还不能对付训练有素的黑客的复杂的攻击。 其次，系统的虚警率太高。 最后，系统对大量的数据处理，非但无助于解决问题，还降低了处理能力。 数据融合技术是解决这一系列问题的好方法。 入侵检测产品仍具有较大的发展空间，从技术途径来讲，我们认为，除了完善常规的、传统的技术（模式识别和完整性检测）外，应重点加强统计分析的相关技术研究。 15 第 3 章小波神经网络 小波分析理论 小波分析方法的起源与提出 小波分析 (wavelet Analysis) [8]是 20 世纪 80 年代中期发 展起来的一门数学理论和方法，由法国科学家 Grossman 和 Morlet 在进行地震信号分析时提出的，随后迅速发展。 1985 年 Meyer 在一维情形下证明了小波函数的存在性 ,并在理论上作 深入研究。 Mallat 基于多分辨分析思想，提出了对小波应用起重要作用的 Mallat 算法，它在小波分析中的地位相当于 FFT 在经典 Fourier 变换中的地位。 小波分析理论的重要性及应用的广泛性引起了科技界的高度重视。 小波分析的出现被认为是傅立叶分析的突破性进展，在逼近论、微分方程、模 式 识别、计算机视觉、图像处理、非线性 科学等方面使用小波分析取得于许多突破性进展。 小波变换的基本思想类似于 Fourier 变换，就是用信号在一簇基函数形成空间上的投影表征该信号。 经典的 Fourier 变换把信号按三角正、余弦基展开，将任意函数表示为具有不同频率的谐波函数的线性迭加，能较好地描述信号的频率特性，但它在空域（时域）上无任何分辨 ,不能作局部分析。 这在理论和应用上都带来了许多不足。 为了克服这一缺陷，提出了加窗 Fourier 变换。 通过引入一个时间局部化“窗函数”改进了 Fourier 变换的不足，但其窗口大小和形状都是固定的，没有从根本上弥 补 Fourier 变换的缺陷。 而小波变换在时域和频域同时具有良好的局部化性能，有一个灵活可变的时间 频率窗，它与 Fourier 变换、加窗 Fourier 变换相比，能更有效的从信号中提取信息，通过伸缩和平移等运算功能对函数或信号进行多尺度细化分析（ Multiscale Analysis），解决了Fourier 变换不能解决的许多困难问题，从而小波变化被誉为“数学显微镜”，它是调和分析发展史上里程碑式的进展。 小波分析的应用 小波分析的应用是与小波分析的理论研究紧密地结合在一起的。 现在，它已经在科技信息产业 领域取得了令人瞩目的成就。 电子信息技术是六大高新技术中重要的一个领域，它的重要方面是图象和信号处理。 现今，信号处理已经成为当代科学技术工作的重要部分，信号处理的目的就是：准确的分析、诊断、编码压缩和量化、快速传递或存储、精确地重构（或恢复 ）。 从数学地角度来看，信号与图象处理可以统一看作是信号处理（图像 可以看作是二维信号），在小波分析许多应用中，都可以归结为信号处理问题。 现在，对于其性质随实践是稳定不变的信号，处理的理想工具仍然是傅立叶分析。 但是在实际应用中的绝大多数信号是非稳定的，而特别适用于非稳定信号的工 具就是小波分析。 16 (1)小波分析用于信号与图象压缩是小波分析应用的一个重要方面。 它的特点是压缩比高，压缩速度快，压缩后能保持信号与图象的特征不变，且在传递中可以抗干扰。 基于小波分析的压缩方法很多，比较成功的有小波域纹理模型方法，小波变换零树压缩，小波变换向量压缩等。 (2)小波在信号分析中的应用也十分广泛。 它可以用于边界的处理与滤波、时频分析、信噪分离与提取弱信号、求分形指数、信号的识别与诊断以及多尺度边缘检测等。 (3)在工程技术等方面的应用。 包括计算机视觉、计算机图形学、曲线设计、湍流、远程宇宙的研 究与生物医学方面。 小波变换 小波变换和傅里叶变换的出发点都是将信号表示成基本函数的线性组合，所不同的是傅里叶变换采用时间属于（ ∞ ， +∞ ）的谐波函数 inxe 作为基函数，而小波变换的基函数具有紧支集的母函数 ()t ,通过对母函数 ()t 进行伸缩和平移得到一个小波序列： , 1( ) ( )||ab tbt aa ,。 0a b R a （ 31） 其中 a为伸缩因子， b为平移因子。 对于任意函数 2( ) ( )f t L R 的连续小波变换为： ( , ) ffifW a b f ， 1 / 2, f f I = |a | ( ) ( )ab R tbf t d ta  （ 32） 其重构公式（逆变换）为： 211( ) ( , ) ( )f tbf t w a b dadbC a a        （ 33） 基本小波函数的选取很重要，常常取决于实际应用。 小波函数在几何 形状上一般都具有两个基本特征：必须是震荡函数和迅速收敛的函数。 在选取或自己构造小波函数时，必须遵循以上两个准则。 尺度因子和平移因子的不同会给小波函数的几何形状带来很大的变化。 (1)连续小波变换 [9] 小波具有震荡特性、能够迅速衰减到零的一类函数。 由前知，满足允许条件的函数 ()t 称为基小波，其伸缩和平移构成一簇函数系： 1 / 2, ( ) | | ( )ab tbta a  , , 0b R a R a   （ 34） 17 式中， , ()abt 称子小波； a 为尺度因子或频移因子， b 为时间因子或平移因子。 对于能量有限信号 2( ) ( )f t L R ，其连续小波变换定义为： 12( , ) | | ( ) ( )RtbW f a b a f t d ta   （ 35） 式中， ()t 为 ()t 的复共轭函数。 （ 35）式说明小波变换是对信号用 不同滤波器进行滤波。 由于 t、 a、 b 都是连续的变量，式（ 35）称为连续小波变换。 如果 ()t 满足相容条件 : 21||v RCd     ,其中  为 ()t 的 FT。 对于信号连续小波变换 ()ft可重构： 21 , 2( ) ( , ) ( )v a bRdadbf t C W f a b t a   （ 36） 当 a 较小时，时域上观察范围小，而在频率上相当于用较高频率作分辨率较高的分析，即用高频小波作细致观察。 当 a 较大时，时域上观察范围大，而在频率上相当与用低频作概貌观察。 （ 2）离散小波变换 在实际运用时，需将连续小波变换离散化处理。 一是信号（时间序列）本身是离散情况，如 ( )( 1, 2 , .. .,。 f k t k N t 为取样时间间隔），则式（ 35）的离散形式为： 121( , ) | | ( ) ( )Nkk t bW f a b a t f k t a    （ 37） 令一种情况是将尺度参数 a和平移参数 b离散化，即取0 0 0 0 0, , 1 , ,mma a b n b a a b R    则信号 ()ft的离散小波变换为： 20 0 0( , ) ( ) ( )m mW f m n a f t a t n b d t   （ 38） 当 002, 1ab时，式 (38)变为二进小波变换： ( , ) 2 ( ) ( 2 )mmW f m n f t t n d t  （ 39） 18 人工神经网络理论 神经网络的基本理论 人工神经 网络 [10] (Artifciail Neural Network， ANN)是在人类对其大脑神经网络认识理解的基础上人工构造的能够实现某种功能的神经网络。 它是理论化的人脑神经网络的数学模型，是基于模仿大脑神经网络结构和功能而建立的一种信息处理系统。 实际上是由众多神经元相互连接而成的复杂网络，具有高度的非线性，能够进行复杂的逻辑操作和非线性关系实现的系统。 神经 元的结构 模型 神经元是神经网络的基本处理单元，它包含加权求和模拟细胞体和处理输出信号两部分，一般是一种多输入 /单输出的非线形系统，它的主要功 能是传递和处理信息。 1934年，由美国心理学家 McCulloch数学家 Pitts共同建立的，被称为人工神经元模型。 图 31为人工神经元的数学模型。 图 31 神经元的数学模型 其中 12( , ,..., )Tmx x x x 输入向量， y为输出， iw 是权系数。 输入与输出具有如下关系： 1()miiiy f w x   为阈值， f（ x） 是激发函数； 它可以是线性函数，也可以是非线性函数。 例如，若记 1m iiiz w x  ， 取激发函数为符号函数 1。 00。 0sgn( ){ xxx  ，则 111。 ()0。 miiimiiiwxy f zwx    S型激发函数：1() 1 xfx e  ，。