碩士學(xué)位畢業(yè)論文答辯

1、入侵檢測中神經(jīng)網(wǎng)絡(luò)及數(shù)據(jù)融合方法的若干應(yīng)用碩士學(xué)位畢業(yè)論文答辯答辯人: 劉 琦指導(dǎo)老師: 孫懷江網(wǎng)絡(luò)安全及其重要性v網(wǎng)絡(luò)安全主要三個方面： 網(wǎng)絡(luò)服務(wù)的可用性 網(wǎng)絡(luò)信息的保密性 網(wǎng)絡(luò)信息的完整性v最主要的網(wǎng)絡(luò)安全威脅： 通過網(wǎng)絡(luò)對信息系統(tǒng)的入侵網(wǎng)絡(luò)入侵網(wǎng)絡(luò)入侵是指任何試圖危害資源完整性、保密性和可用性的活動集合。 網(wǎng)絡(luò)入侵入侵分為四大類： (1) DOS (2) U2R (3) R2L (4) Probing入侵檢測技術(shù)入侵檢測技術(shù)是近年來發(fā)展較迅速的網(wǎng)絡(luò)安全技術(shù)，顧名思義入侵檢測就檢測和發(fā)現(xiàn)入侵行為。它通過對計算機網(wǎng)絡(luò)或計算機系統(tǒng)中的若干關(guān)鍵點收集信息并進(jìn)行分析，從中發(fā)現(xiàn)網(wǎng)絡(luò)或系統(tǒng)中是否有違反

2、安全策略的行為和被攻擊的跡象。入侵檢測系統(tǒng)的分類根據(jù)檢測的對象分為： 基于主機的入侵檢測系統(tǒng)(HIDS) 基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)(NIDS)根據(jù)檢測所用的檢測分析方法分為： 誤用檢測型(Misuse Detection) 異常檢測型(Anomaly Detection) 入侵檢測方法基于專家系統(tǒng)的檢測方法基于代理的檢測方法概率統(tǒng)計方法神經(jīng)網(wǎng)絡(luò)方法數(shù)據(jù)挖掘方法遺傳算法人工神經(jīng)網(wǎng)絡(luò)人工神經(jīng)網(wǎng)絡(luò)是對生物神經(jīng)系統(tǒng)的某種抽象、簡化和模擬。人工神經(jīng)網(wǎng)絡(luò)是由許多并行互聯(lián)的相同神經(jīng)元模型組成，網(wǎng)絡(luò)的信號處理由神經(jīng)元之間的相互作用來實現(xiàn)。神經(jīng)網(wǎng)絡(luò)應(yīng)用于入侵檢測神經(jīng)網(wǎng)絡(luò)方法是屬于模式識別方法的一種，目前在許多種領(lǐng)

3、域都有其應(yīng)用，如圖像識別、語音識別和數(shù)據(jù)壓縮等等。入侵檢測可以簡化為正常網(wǎng)絡(luò)連接和異常網(wǎng)絡(luò)連接（入侵）的分類問題，這樣就可以將模式識別的神經(jīng)網(wǎng)絡(luò)方法運用到入侵檢測當(dāng)中。BPBP神經(jīng)網(wǎng)絡(luò)神經(jīng)網(wǎng)絡(luò)目前，在人工神經(jīng)網(wǎng)絡(luò)的實際應(yīng)用中，決大部分的神經(jīng)網(wǎng)絡(luò)模型是采用BP網(wǎng)絡(luò)和它的變化形式。 BP網(wǎng)絡(luò)(Back-Propagation Network, 簡稱BP網(wǎng)絡(luò))采用反向傳播學(xué)習(xí)算法學(xué)習(xí)算法。BP網(wǎng)絡(luò)神經(jīng)元采用S型變換函數(shù)，使網(wǎng)絡(luò)具有較強的分類能力。測試數(shù)據(jù)說明（一）v數(shù)據(jù)來源：MIT林肯實驗室DARPA數(shù)據(jù)集。v數(shù)據(jù)內(nèi)容：該數(shù)據(jù)集中有數(shù)以百萬計的網(wǎng)絡(luò)連接數(shù)據(jù)記錄。每一條記錄都代表一次網(wǎng)絡(luò)連接，每條記錄

4、都有41個屬性分別代表連接的不同特征。測試數(shù)據(jù)說明（二）為了檢測神經(jīng)網(wǎng)絡(luò)的入侵檢測算法, 只選取了ftp服務(wù)相關(guān)的網(wǎng)絡(luò)連接作為實驗數(shù)據(jù)。選取了30個特征值，并按照各值的內(nèi)容含義分為三組：固有特征組，流量特征組和內(nèi)容特征組。對這三組特征值，分別用不同的神經(jīng)網(wǎng)絡(luò)進(jìn)行訓(xùn)練和識別，以比較實際性能。神經(jīng)網(wǎng)絡(luò)設(shè)計采用BP神經(jīng)網(wǎng)絡(luò)結(jié)構(gòu)。網(wǎng)絡(luò)采用的是三層結(jié)構(gòu): 輸入層、隱含層和輸出層。采用有師學(xué)習(xí)的方法，選取一定樣本集對神經(jīng)網(wǎng)絡(luò)進(jìn)行訓(xùn)練。然后再將網(wǎng)絡(luò)應(yīng)用于實際檢測中。實驗數(shù)據(jù)集結(jié)構(gòu)訓(xùn)練集Training Set測試集Test Set正常連接: Normal6305120偵聽攻擊: Probing3259DOS

5、攻擊: 2921042U2R攻擊: 88R2L攻擊84311總計連接數(shù)10466540入侵檢測算法的評估標(biāo)準(zhǔn)正確檢測率誤警率漏檢率最終檢測結(jié)果比較Intrinsic FeaturesTraffic FeaturesContent Features正確檢測率%97.285.794.0誤警率%1.640.120.23漏檢率%1.2114.175.78信息融合信息融合的研究起源于20世紀(jì)70年代軍事領(lǐng)域中對多源信息進(jìn)行的信息處理，它是一門綜合性的橫斷學(xué)科。現(xiàn)已應(yīng)用于各種領(lǐng)域，如自動控制、圖像識別、數(shù)據(jù)挖掘等,并出現(xiàn)了 “數(shù)據(jù)融合”、“信息融合”等術(shù)語。融合(Fusion)的概念可以抽象的定義為：對滿

6、足一定條件的不同信源的數(shù)據(jù)，按一定準(zhǔn)則進(jìn)行綜合處理，以獲得對象的更加準(zhǔn)確的描述。 數(shù)據(jù)融合技術(shù)數(shù)據(jù)融合的方法有很多，主要有加權(quán)平均法，選舉決策法，貝葉斯概率推理法，模糊推理法，以及DS證據(jù)推理法等。按照對信息的抽象程度和從信息表征水平的層次上，融合主要在三個層次上展開：數(shù)據(jù)層融合，特征層融合和決策層融合。 證據(jù)理論應(yīng)用簡介論文中證據(jù)理論融合方法應(yīng)用屬于決策級數(shù)據(jù)融合，即將前面三組神經(jīng)網(wǎng)絡(luò)檢測的結(jié)果進(jìn)行融合。決策融合時，將三組神經(jīng)網(wǎng)絡(luò)的初步檢測結(jié)果視為證據(jù)體。在融合時，如果三組檢測結(jié)果一致判定為入侵或正常連接即證據(jù)體均支持連接為入侵或正常連接時，可以肯定的判定該連接記錄為入侵或正常連接。但對于那

7、些檢測結(jié)果不一致的情況，也就是最終檢測結(jié)果出現(xiàn)不確定性時，就要應(yīng)用D-S證據(jù)理論進(jìn)行融合，來最終決定網(wǎng)絡(luò)連接的屬性是正常連接還是惡意入侵。證據(jù)推理理論基礎(chǔ)證據(jù)推理理論基礎(chǔ)證據(jù)理論把證據(jù)的信任函數(shù)與概率的上下值相聯(lián)系，提供了一種構(gòu)造不確定推理模型的一般框架，能滿足比概率論更弱的公理系統(tǒng)。在對于目標(biāo)識別中，證據(jù)理論更側(cè)重于對目標(biāo)集合的分析?；締栴}是：已知識別框架，判明中一個先驗的未定位元素屬于中某個子集A的程度。其相關(guān)的概念和定義包括鑒別框架，基本概率分配函數(shù)，信任度，信任區(qū)間等識別框架的建立識別框架的建立 識別框架是所有可能的識別結(jié)果的集合。本論文中，入侵檢測的目的是檢測入侵，判斷一個網(wǎng)絡(luò)連接

8、是正常連接還是惡意入侵，其最終得出的結(jié)果只有網(wǎng)絡(luò)連接為正?；驉阂?，即入侵。故定義識別框架為： 正常網(wǎng)絡(luò)連接，H1； 惡意網(wǎng)絡(luò)連接，H2。 證據(jù)推理相關(guān)定理證據(jù)推理相關(guān)定理基本概率賦值函數(shù)BPA是一個0，1之間的正數(shù)，它與支持某個假定的證據(jù)相聯(lián)系。其大小表示該證據(jù)支持或反對該假定的精確程度 。對于給定的基本概率賦值函數(shù)m，及任一A屬于2定義它所對應(yīng)的信任函數(shù)為：似真函數(shù)定義為： 式中： ABBmABel)()(ABBmABelAPl)()(1)(AA信任區(qū)間信任區(qū)間基本概率賦值m實際上是定義在2上的概率，它反映了人們的信念的不確定程度。信任函數(shù)Bel(A)是支持A的總信任度的最小值。似真函數(shù)Pl

9、(A)表示不否定A的信任程度，是支持A的總的信任最大值。而Bel(A),Pl(A)而就形成了對A的信任區(qū)間，記為：ABel(A),Pl(A)。證據(jù)理論的判斷規(guī)則證據(jù)理論的判斷規(guī)則 判斷規(guī)則為： 1. 當(dāng)H1的信任區(qū)間大于H2的信任區(qū)間時，則說明所識別的對象傾向正常網(wǎng)絡(luò)連接，其支持程度為H1的信任區(qū)間。 2. 當(dāng)H1的信任區(qū)間小于H2的信任區(qū)間時，則說明識別對象傾向為異常網(wǎng)絡(luò)連接，即網(wǎng)絡(luò)入侵，其支持程度為H2的信任區(qū)間。 三個不同特征組的神經(jīng)網(wǎng)絡(luò)入侵檢測結(jié)果的分類結(jié)果信息則作為理論應(yīng)用中的證據(jù)體，并且用這些證據(jù)體的基本概率賦值函數(shù)計算信任區(qū)間。最后根據(jù)給出的假設(shè)判斷準(zhǔn)則做出最終判斷。融合前后檢測

10、結(jié)果比較 融合前融合前融合后融合后Intrinsic FeatureTraffic FeatureContent Feature投票法投票法D-S理論理論正確檢測率%97.285.794.094.995.1誤警率%1.610.19漏檢率%1.2114.175.784.864.74論文小結(jié) 本文入侵檢測方法中，首先用的是異常檢測的神經(jīng)網(wǎng)絡(luò)方法。根據(jù)網(wǎng)絡(luò)連接特征的不同屬性，對特征值進(jìn)行分類，再分別訓(xùn)練神經(jīng)網(wǎng)絡(luò)對其進(jìn)行入侵檢測，獲得檢測的初步結(jié)果。由于是對不同特征組分別進(jìn)行檢測，其結(jié)果可能會有所不同。這時利用D-S證據(jù)理論，進(jìn)行結(jié)果的數(shù)據(jù)融合，提高檢測精度，最終得到較好的檢測

11、結(jié)果。Thanks!endBP網(wǎng)絡(luò)神經(jīng)元特性S型激活函數(shù)為非線性函數(shù)，可以將將任意輸入值壓縮到(0,1)的范圍內(nèi)。S型激活函數(shù)具有非線性放大增益，對任意輸入的增益等于在輸入/輸出曲線中該輸入點處的曲線斜率值。當(dāng)輸入由-增大到0時，其增益由0增至最大；然后當(dāng)輸入由0增加至+時，其增益又由最大逐漸降低至0，并總為正值。利用該函數(shù)可以使同一神經(jīng)網(wǎng)絡(luò)既能處理小信號，也能處理大信號。因為該函數(shù)的中間商增益區(qū)解決了處理小信號的問題，而在伸向兩邊的低增益區(qū)正好適用于處理大信號的輸入。 intrinsic特征組檢測結(jié)果實際檢測分類檢測率Normal5120501397.9總惡意連接數(shù)1420134194.4Probing5923.4DOS攻擊: 10421042100U2R攻擊: 8450R2L攻擊:31129394.2Traffic特征組檢測結(jié)果 實際檢測分類檢測率Normal5120511299.8總惡意連接數(shù)142