基于神經(jīng)網(wǎng)絡(luò)的實時入侵檢測系統(tǒng)的研究和實現(xiàn)

1、1引言目前,網(wǎng)絡(luò)的攻擊手段越來越多,入侵手段也不斷更新。抵制攻擊常用的機(jī)制是防火墻,它是被動的網(wǎng)絡(luò)安全機(jī)制,對許多攻擊難以檢測,尤其是來自內(nèi)部網(wǎng)絡(luò)的攻擊。入侵檢測它彌補(bǔ)了傳統(tǒng)安全技術(shù)的不足,是一種主動的防御技術(shù)。根據(jù)CIDF (Common Intrusion Detection Framework標(biāo)準(zhǔn)1。IDS就是通過從計算機(jī)網(wǎng)絡(luò)或計算機(jī)系統(tǒng)中的若干關(guān)鍵點(diǎn)收集信息并對其進(jìn)行分析,從中發(fā)現(xiàn)網(wǎng)絡(luò)或系統(tǒng)中是否有違反安全策略的行為和遭到襲擊的跡象的網(wǎng)絡(luò)安全技術(shù)。根據(jù)入侵檢測系統(tǒng)的信息源,通常將入侵檢測系統(tǒng)分為三類2:基于主機(jī)的入侵檢測系統(tǒng)(Host-Based IDS、基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)(Net

2、work-Based IDS和基于應(yīng)用程序的入侵檢測系統(tǒng)(Application-Based IDS。基于主機(jī)的入侵檢測系統(tǒng)檢測的信息主要來自操作系統(tǒng)的審計蹤跡和系統(tǒng)日志。基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)的信息源是網(wǎng)絡(luò)數(shù)據(jù)包。基于應(yīng)用程序的入侵檢測系統(tǒng)的信息源則是應(yīng)用程序產(chǎn)生的事務(wù)日志,它實際上是基于主機(jī)的入侵檢測系統(tǒng)的一個特例。三種入侵檢測手段都具有自己的優(yōu)點(diǎn)和不足,互相可作為補(bǔ)充。不同的入侵檢測算法將直接決定本系統(tǒng)的執(zhí)行效率,所以選用好的入侵檢測算法是非常重要的。入侵檢測算法大致有簡單模式匹配、專家系統(tǒng)、模型推理、狀態(tài)轉(zhuǎn)換分析等。目前多數(shù)商業(yè)化的入侵檢測產(chǎn)品都采用簡單模式匹配。其特點(diǎn)是原理簡單、擴(kuò)展

3、性好、檢測效率高、可以實時檢測,但只能適用于比較簡單的攻擊方式,并且誤報率高。由于人工神經(jīng)網(wǎng)絡(luò)在入侵檢測中具有如下應(yīng)用優(yōu)勢3:(1人工神經(jīng)網(wǎng)絡(luò)具有卓越的非線性映射能力和知識歸納學(xué)習(xí),可以通過對大量實例樣本反復(fù)學(xué)習(xí)來逐漸調(diào)整和修改人工神經(jīng)網(wǎng)絡(luò)的權(quán)值分布,使人工神經(jīng)網(wǎng)絡(luò)收斂于穩(wěn)定狀態(tài),從而完成知識的學(xué)習(xí),獲得預(yù)測能力。(2人工神經(jīng)網(wǎng)絡(luò)能不斷接受新的實例樣本,并不斷調(diào)整人工神經(jīng)網(wǎng)絡(luò)的權(quán)值分布,自適應(yīng)能力強(qiáng),具有動態(tài)特性。(3人工神經(jīng)網(wǎng)絡(luò)具有良好的知識推理能力,當(dāng)人工神經(jīng)網(wǎng)絡(luò)學(xué)會正常行為模式,就能夠?qū)ζx正常行為特征輪廓的事件做出反應(yīng),進(jìn)而可基于神經(jīng)網(wǎng)絡(luò)的實時入侵檢測系統(tǒng)的研究和實現(xiàn)仲兆滿1,李存華2

4、,3,管燕1,2ZHONG Zhao-man1,LI Cun-hua2,3,GUAN Yan1,21.連云港師范高等?？茖W(xué)校計算機(jī)科學(xué)與技術(shù)系,江蘇連云港2220062.揚(yáng)州大學(xué)信息工程學(xué)院,江蘇揚(yáng)州2250093.淮海工學(xué)院,計算機(jī)科學(xué)與技術(shù)系,江蘇連云港2220051.Department of Computer,Lianyungang Teachers College,Lianyungang,Jiangsu222006,China2.College of Information Engineering,Yangzhou University,Yangzhou,Jiangsu225009,

5、China3.Department of Computer Science,Huaihai Institute of Technology,Lianyungang,Jiangsu222005,ChinaE-mail:zhongzhaomanZHONG Zhao-man,LI Cun-hua,GUAN Yan.Instant intrusion detection system based on neural network.Computer Engineering and Applications,2007,43(30:120-123.Abstract:According to the cha

6、racteristics of the attacks against TCP/IP protocol,transferring layer data packets can be classified into three types(namely UDP,TCP and ICMPand handled respectively.The three types of packets are used as input to train and formulate different neural networks for intrusion detection.With the propos

7、ed method,a novel instant intrusion detection system is designed and achieved.The system has favorable usability,extensibility and the parameters of the network structure can be flexibly adjusted to achieve satisfactory detection performance.Experimental results prove that disposing data packets res

8、pectively can reduce the time of neural network training and improve the accuracy of network intrusion detection.Key words:network security;intrusion detection;BP neural network;packets of transferring layer摘要:根據(jù)TCP/IP協(xié)議族攻擊的特征,提出在傳輸層上將捕獲的數(shù)據(jù)包分成三類(UDP、TCP和ICMP分別進(jìn)行編碼并輸入到三個不同的神經(jīng)網(wǎng)絡(luò)中訓(xùn)練、檢測。根據(jù)以上思想設(shè)計并實現(xiàn)了一個基于

9、BP神經(jīng)網(wǎng)絡(luò)的實時入侵檢測系統(tǒng)的原型。該原型系統(tǒng)具有通用性和可擴(kuò)展性,能夠根據(jù)需要靈活調(diào)整網(wǎng)絡(luò)結(jié)構(gòu)和訓(xùn)練參數(shù),可以發(fā)展為更精確的網(wǎng)絡(luò)入侵檢測系統(tǒng)。最后給出了實驗設(shè)計及其結(jié)果,證明了文中對數(shù)據(jù)包分類處理的方法既能減少網(wǎng)絡(luò)訓(xùn)練的次數(shù),又能提高網(wǎng)絡(luò)檢測的精度。關(guān)鍵詞:網(wǎng)絡(luò)安全;入侵檢測;BP神經(jīng)網(wǎng)絡(luò);傳輸層數(shù)據(jù)包文章編號:1002-8331(200730-0120-04文獻(xiàn)標(biāo)識碼:A中圖分類號:TP393作者簡介:仲兆滿(1977-,男,講師,主要研究方向為智能信息處理、網(wǎng)絡(luò)安全等;李存華(1963-,男,教授,博士,主要研究方向為網(wǎng)絡(luò)安全、數(shù)據(jù)挖掘等;管燕(1976-,女,講師,主要研究方向為圖像

10、處理、模式識別等。IP 地址類型公有私有TCP 包62.652.3UDP 包12.319.7ICMP 包8.620.4其他包16.57.6%表1傳輸層上不同數(shù)據(jù)包的比例以發(fā)現(xiàn)一些新的攻擊行為模式;當(dāng)人工神經(jīng)網(wǎng)絡(luò)學(xué)會攻擊行為模式,就能夠檢測出一些己知攻擊行為的變體。(4人工神經(jīng)網(wǎng)絡(luò)內(nèi)部的運(yùn)算是數(shù)值計算,而且是并行的,提高了檢測的處理速度,適合于實時處理。所以,近幾年來,它得到了國內(nèi)外很多學(xué)者的關(guān)注。文獻(xiàn)4可能是最早將人工神經(jīng)網(wǎng)絡(luò)應(yīng)用于入侵檢測領(lǐng)域的研究工作,Fox 等提出將人工神經(jīng)網(wǎng)絡(luò)作為統(tǒng)計分析工具應(yīng)用于計算機(jī)網(wǎng)絡(luò)上的病毒及其它惡意程序的檢測。Tan 5提出一個自治的用戶行為異常檢測原型系統(tǒng)。

11、Kumar 和Venkateram 6提出一個全面的網(wǎng)絡(luò)安全管理框架,其中包括一個基于人工神經(jīng)網(wǎng)絡(luò)的入侵檢測模型系統(tǒng)。Ghosh 等7將人工神經(jīng)網(wǎng)絡(luò)用于檢測對軟件程序的異常操作和未知入侵。Lippmann 和Cunningham 8提出使用人工神經(jīng)網(wǎng)絡(luò)來提高基于關(guān)鍵字的基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)的檢測性能。Cannady 9提出一個混合人工神經(jīng)網(wǎng)絡(luò)原型系統(tǒng)用于誤用檢測,該原型系統(tǒng)包括一個自組織特征映射(Self-Organization Feature Map ,SOFM 人工神經(jīng)網(wǎng)絡(luò)和一個多層前饋人工神經(jīng)網(wǎng)絡(luò)。在國內(nèi),也有許多的學(xué)者從事這方面的研究。潘志松綜合利用數(shù)據(jù)挖掘、人工免疫、灰色系統(tǒng)等理

12、論和技術(shù),提出了基于人工神經(jīng)網(wǎng)絡(luò)的入侵檢測模型10。連一峰用遺傳算法來優(yōu)化神經(jīng)網(wǎng)絡(luò)的權(quán)值和閾值,從而可以消除“黑箱”問題11。楊森等中提出了一種應(yīng)用自組織特征映射神經(jīng)網(wǎng)絡(luò)技術(shù)構(gòu)建的分布式入侵檢測系統(tǒng)模型12。李之堂等將模糊神經(jīng)網(wǎng)絡(luò)應(yīng)用于入侵檢測領(lǐng)域13。2入侵檢測的數(shù)據(jù)包解析層的確定在網(wǎng)絡(luò)不同的層上進(jìn)行檢測將直接決定數(shù)據(jù)包的解析的簡單與復(fù)雜。常見的檢測有的是在傳輸層,有的是在應(yīng)用層。確定在傳輸層進(jìn)行入侵檢測,對捕獲的數(shù)據(jù)包主要分成三種類型:TCP 包、UDP 包、ICMP 包。這樣做既能簡化數(shù)據(jù)包的解析工作,又能減少神經(jīng)網(wǎng)絡(luò)輸入層的輸入數(shù)據(jù)的類型。從而可以把神經(jīng)網(wǎng)絡(luò)進(jìn)行三分類,分別用于對不同的

13、傳輸層的數(shù)據(jù)包進(jìn)行訓(xùn)練、檢測。為了說明三種不同的數(shù)據(jù)包在網(wǎng)絡(luò)的傳輸層的比例,特作了兩個實驗來說明(叢早上8:00到晚上12:00。一個是捕獲使用公有IP 地址(96的主機(jī)收到的數(shù)據(jù)包;另一個是捕獲內(nèi)網(wǎng)的一個使用私有IP 地址(19的主機(jī)收到的數(shù)據(jù)包,解析結(jié)果如表1所示。從表中可見,不同類型的數(shù)據(jù)包所占比例不一樣,現(xiàn)在所用的許多方法將各種不同的數(shù)據(jù)包輸入到同一個神經(jīng)網(wǎng)絡(luò)中訓(xùn)練、檢測,這樣做是不合理的。一方面,三種數(shù)據(jù)包的攻擊特征不一樣(具體的特征參看第3章,其次要將不同的特征輸入到同一個神經(jīng)網(wǎng)絡(luò)中,就必須給一些數(shù)據(jù)包添加一些附加位。3入侵檢測特征的提

14、取特征應(yīng)該是一個數(shù)據(jù)包的獨(dú)有特性。主要考慮是IP 包、TCP 包、UDP 包和ICMP 包的特征的提取。IP 包中包含有源IP地址和目的IP 地址,有些攻擊者會利用偽造的IP 地址來實施 攻擊,因此IP 地址要作為檢測特征;IP 包的協(xié)議字段說明了數(shù)據(jù)區(qū)中的數(shù)據(jù)是由哪一種高層協(xié)議產(chǎn)生,利用不同的協(xié)議數(shù)據(jù)包可以實施不同的攻擊行為,因此協(xié)議字段也可以作為檢測的特征;有些攻擊是通過頻繁發(fā)送數(shù)據(jù)包從而耗盡目標(biāo)主機(jī)資源來實現(xiàn)的,因此可以把時間戳作為入侵檢測的參考特征。TCP 報文中包含6個標(biāo)志位:urg ,ack ,psh ,rst ,syn 和fin 。通過對這些標(biāo)志位的設(shè)置,可以指出報文段的目的和內(nèi)

15、容。攻擊者可以通過設(shè)置非法的標(biāo)志位或標(biāo)志位組合來構(gòu)造惡意的報文,因此,這6個標(biāo)志位及其組合方式可以作為檢測的參考特征。在TCP/IP 協(xié)議組中,用戶數(shù)據(jù)報協(xié)議UDP 不僅傳送用戶數(shù)據(jù)報,還包括發(fā)送方和接收方的協(xié)議端口號,這就使得攻擊者可以通過設(shè)置源端口或目的端口來構(gòu)造惡意的報文,因此,UDP 數(shù)據(jù)包的端口號可以作為入侵檢測的參考特征。ICMP 包主要用于在主機(jī)之間或主機(jī)與路由器之間傳遞錯誤信息。每個ICMP 包中都含一個8bit 的報文類型字段和一個8bit 的代碼字段,類型字段用來標(biāo)識報文,代碼字段用來提供有關(guān)報文類型的進(jìn)一步信息。很多關(guān)于ICMP 的攻擊行為都和這兩個字段的設(shè)置有關(guān)。因此,

16、ICMP 包的類型和代碼可以作為檢測的特征。4原型系統(tǒng)的實現(xiàn)整個系統(tǒng)是在Windows 2000系統(tǒng)下開發(fā),采用的主要開發(fā)語言是C 。系統(tǒng)的設(shè)計考慮了通用性和可擴(kuò)展性,神經(jīng)網(wǎng)絡(luò)的結(jié)構(gòu)可以由使用者靈活給出。4.1基于BP 神經(jīng)網(wǎng)絡(luò)的入侵檢測原理圖如圖1,包捕獲引擎模塊負(fù)責(zé)抓取來自Internet 或Intranet的網(wǎng)絡(luò)數(shù)據(jù)包;包預(yù)處理模塊把包進(jìn)行分類、提取特征、編碼;神經(jīng)網(wǎng)絡(luò)過濾器模塊進(jìn)行判斷,如果發(fā)現(xiàn)有可疑攻擊,則此時的數(shù)據(jù)包交給響應(yīng)模塊;響應(yīng)模塊負(fù)責(zé)對可疑攻擊的處理,可以是手工的,也可以是機(jī)器自動的;神經(jīng)網(wǎng)絡(luò)的訓(xùn)練模塊負(fù)責(zé)對網(wǎng)絡(luò)進(jìn)行訓(xùn)練,經(jīng)常的訓(xùn)練就達(dá)到了過濾器更新的目的;攻擊樣本庫中存放

17、了各種攻擊樣本的特征,此庫中的樣本可以手工更新,也可以由響應(yīng)模塊將攻擊特征加到此庫中。4.2包捕獲引擎模塊包捕獲引擎模塊負(fù)責(zé)抓取來自Internet 或Intranet 的網(wǎng)絡(luò)數(shù)據(jù)包。以太網(wǎng)系統(tǒng)中,數(shù)據(jù)傳輸采用了載波偵聽/沖突檢測(CSMA/CD 技術(shù)。這種技術(shù)的使用保證了在傳輸過程中,網(wǎng)絡(luò)中每個節(jié)點(diǎn)具有同等的優(yōu)先級。這在一定意義上消除了網(wǎng)絡(luò)中不同節(jié)點(diǎn)間的差異性。廣播機(jī)制的使用更是允許了網(wǎng)絡(luò)中所有時間戳0.2780 0.2781 0.2793 0.2794 0.2797源IP地址0.0019472481530.0019427251210.1951152181080.1951152181080.

18、001942725121目的IP地址0.0172161121940.0172161122070.0017216112500.0017216112500.017216112207源端口號0.014890.020720.000250.000250.02072目的端口號0.000230.000230.633300.633300.00023序列號0.22043014860.03191135180.21559043680.21559043690.0319113597應(yīng)答號0.29810093700.00000000000.23298355720.23298355720.3658611836表2TCP部分

19、訓(xùn)練樣本時間戳0.27900.27930.28080.27900.2809源IP地址0.0017216115200.0195115218200.0017216115200.0017216115200.000192168150目的IP地址0.0001921681100.0017216115200.0001921681200.0001921681100.001721611520源端口0.572050.000530.320020.572050.00053目的端口0.000530.572240.000530.000530.54133表3UDP部分訓(xùn)練樣本的信息對每個網(wǎng)絡(luò)節(jié)點(diǎn)均可見。網(wǎng)卡一般具有兩種接收

20、模式: (1混雜模式。不管數(shù)據(jù)幀中的目的地址是否與自己的地址匹配,都接收下來。(2非混雜模式。只接收與目的地址相匹配的數(shù)據(jù)幀,以及廣播數(shù)據(jù)包(包括組播數(shù)據(jù)包。為了進(jìn)行網(wǎng)絡(luò)監(jiān)聽,網(wǎng)卡必須被設(shè)置為混雜模式。捕獲數(shù)據(jù)包使用的Winpcap工具。Winpcap是由意大利人Fulvio Risso和Loris Degio-anni等人提出并實現(xiàn)的。它的主要思想來源于Unix系統(tǒng)中最著名的BSD包捕獲架構(gòu)。Winpcap 由三個模塊組成,一個是工作在內(nèi)核級的NPF包過濾器;另外兩個在用戶級,即用戶級的wpcap.dll模塊以及一個動態(tài)連接庫packet.dll。4.3包預(yù)處理模塊包預(yù)處理模塊負(fù)責(zé)對包進(jìn)行分

21、類、提取特征、編碼。將捕獲的數(shù)據(jù)包分成三類,根據(jù)第3章的分析從中提取特征,后編碼。4.4神經(jīng)網(wǎng)絡(luò)訓(xùn)練模塊4.4.1BP神經(jīng)網(wǎng)絡(luò)的權(quán)值調(diào)整三層前饋網(wǎng)中,輸入向量為X=(x1,x2,x i,x nT,如加入x0=-1,可為隱層神經(jīng)元引入閾值;隱層輸出向量為Y=(y1, y2,y i,y nT,如加入y0=-1,可為輸出層神經(jīng)元引入閾值;輸出層輸出向量為O=(o1,o2,o k,o lT;期望輸出向量為d=(d1,d2,d k,d lT。輸入層到隱層之間的權(quán)值矩陣用V表示,V=(V1,V2,V j,V m,其中列向量V j為隱層第j個神經(jīng)元對應(yīng)的權(quán)向量;隱層到輸出層之間的權(quán)值矩陣用W表示, W=(W

22、1,W2,W k,W l,其中列向量W k為輸出層第K個神經(jīng)元對應(yīng)的權(quán)向量。根據(jù)以上的定義,參閱文獻(xiàn)14可以得到BP三層網(wǎng)絡(luò)的權(quán)值調(diào)整計算公式為!w jk=!oky j=!(d k-o ko k(1-o ky j!v ij=!(lk=1!o k w jky j(1-y jx i可以看出,BP學(xué)習(xí)算法中,各層權(quán)值調(diào)整公式形式上都是一樣的,均由3個因素決定,即:學(xué)習(xí)率!、本曾輸出的誤差信號以及本層輸入信號。其中輸出層誤差信號同網(wǎng)絡(luò)的期望輸出與實際輸出之差有關(guān),直接反映了輸出誤差,而各隱層的誤差信號與前面各層的誤差信號都有關(guān),是從輸出層開始逐層反傳過來的。4.4.2BP算法中存在的一些問題及改進(jìn)措施

23、將BP算法用于具有非線性轉(zhuǎn)移函數(shù)的三層前饋網(wǎng),可以以任意精度逼近任何非線性函數(shù),這一非凡優(yōu)勢使多層前饋網(wǎng)絡(luò)得到越來越廣泛的應(yīng)用。然而標(biāo)準(zhǔn)的BP算法在應(yīng)用中暴露出不少內(nèi)在的缺陷15:(1易形成局部極小而得不到全局最優(yōu);(2訓(xùn)練次數(shù)多使得學(xué)習(xí)效率低,收斂慢;(3隱節(jié)點(diǎn)的選取缺乏理論的指導(dǎo);(4訓(xùn)練時的學(xué)習(xí)新樣本有遺忘舊樣本的趨勢。標(biāo)準(zhǔn)BP算法在調(diào)整權(quán)值時,只按T時刻誤差的梯度降方向調(diào)整,而沒有考慮T時刻以前的梯度方向,從而常使訓(xùn)練過程發(fā)生振蕩,收斂緩慢。為了提高網(wǎng)絡(luò)的訓(xùn)練可以在權(quán)值調(diào)整公式中增加一動量項16。若用W代表某層權(quán)矩陣,X代表某層輸入向量,則含有動量項的權(quán)值調(diào)整向量表達(dá)式為:!W(t=!

24、X+#!W(t-1可以看出,增加動量項即從前一次權(quán)值調(diào)整量中取出一部分迭加到本次權(quán)值調(diào)整量中,#稱為動量系數(shù),一般有#(0,1。動量項反映了以前積累的調(diào)整經(jīng)驗,對于T時刻的調(diào)整起阻尼作用。當(dāng)誤差曲面出現(xiàn)驟然起伏時,可振蕩減少趨勢,提高訓(xùn)練速度。目前,BP算法中都增加了動量項,以至于有動量項的BP算法成為一種新的標(biāo)準(zhǔn)算法。4.5神經(jīng)網(wǎng)絡(luò)檢測模塊神經(jīng)網(wǎng)絡(luò)經(jīng)過訓(xùn)練后,生成權(quán)值文件和閾值文件,有了權(quán)值和閾值,神經(jīng)網(wǎng)絡(luò)便能對網(wǎng)絡(luò)數(shù)據(jù)進(jìn)行檢測。經(jīng)過訓(xùn)練后的神經(jīng)具有非?？斓臋z測速度,實時性非常強(qiáng)。5實驗分析及結(jié)論5.1訓(xùn)練樣本的組織至今,MIT林肯實驗室已經(jīng)發(fā)布了三個入侵檢測系統(tǒng)得離線測試評估數(shù)據(jù)集:DAR

25、PA1998、DARPA1999和DARPA200017。DARPA2000的數(shù)據(jù)包括兩種類型,一種是以dump文件的形式存放的,需要借助工具從中讀入想要的數(shù)據(jù);另一種是以xml的形式標(biāo)記的。版本有兩個,一個是LLDOS1.0-Scenario One,另一個是LLDOS2.0.2-Scenario Two,第二個比第一個攻擊手段更高級一些,更隱蔽一些。本實驗中選取的數(shù)據(jù)是LLDOS2.0.2-Scenario Two,借助Winpcap工具對dump形式的文件進(jìn)行解析,按照三種類型(UDP,TCP,ICMP從中提取特定的數(shù)據(jù)包特征。從中選取帶有各類特征的TCP包、UDP包、ICMP包都是50

26、0個,參與到三個不同神經(jīng)網(wǎng)絡(luò)進(jìn)行訓(xùn)練,訓(xùn)練樣本分別放在文件ptcp.txt,pudp.txt和picmp.txt中,期望輸出分別放在etcp.txt,eudp.txt和eicmp.txt文件中。由于本系統(tǒng)在隱層和輸出層都采用單極型轉(zhuǎn)移函數(shù),輸入值太大,將使得輸出值恒為1,所以必須將輸入值進(jìn)行歸一化處理。具體方法是:時間戳計算到分和秒,統(tǒng)一化為秒的格式,歸一化公式為x=x/104;源地址和目標(biāo)地址的歸一化公式為: x=x/1012;端口號的歸一化公式為x=x/105;序列號和應(yīng)答號的歸一化公式為x=x/1010。下面是部分樣本:部分TCP數(shù)據(jù)樣本見表2,部分UDP數(shù)據(jù)樣本見表3,部分ICMP數(shù)據(jù)

27、樣本見表4。(下轉(zhuǎn)212頁各個參數(shù)隱層神經(jīng)元數(shù)學(xué)習(xí)率r 動量系數(shù)aTCP 神經(jīng)網(wǎng)絡(luò)2060UDP 神經(jīng)網(wǎng)絡(luò)355ICMP 神經(jīng)網(wǎng)絡(luò)3560網(wǎng)絡(luò)類型表83種神經(jīng)網(wǎng)絡(luò)3種參數(shù)的建議值動量系數(shù)a 訓(xùn)練次數(shù)765621586549561558567598643動量系數(shù)a 訓(xùn)練次數(shù)916798625590539559573601832動量系數(shù)a 訓(xùn)練次數(shù)805611566549512539

28、556592713TCP UDP ICMP表73種神經(jīng)網(wǎng)絡(luò)取不同的動量系數(shù)對應(yīng)的訓(xùn)練結(jié)果學(xué)習(xí)率r0.0訓(xùn)練次數(shù)59571070784688641612593580569561學(xué)習(xí)率r0.0訓(xùn)練次數(shù)4311866683621590571559550544539學(xué)習(xí)率r0.0訓(xùn)練次數(shù)2551705601566549539531524517512TCPUDPICMP表63種神經(jīng)網(wǎng)絡(luò)取不同的學(xué)習(xí)率對應(yīng)的訓(xùn)練結(jié)果隱節(jié)點(diǎn)數(shù)515253545

29、5565758595110訓(xùn)練次數(shù)742634622612616607626600616618615隱節(jié)點(diǎn)數(shù)5152535455565758595110訓(xùn)練次數(shù)749612587576571561556547564540553隱節(jié)點(diǎn)數(shù)5152535455565758595110訓(xùn)練次數(shù)737600568548546531541531658548528TCPUDPICMP表53種神經(jīng)網(wǎng)絡(luò)取不同的隱層神經(jīng)元對應(yīng)的訓(xùn)練結(jié)果源IP 地址0.0017216115200.0017216114500.0017216114500.0017216114500.001721611450目的IP 地址0.00019

30、21681100.0001721611410.0001721611410.0001721611410.000172161141時間戳0.27900.28350.28970.29020.2909報文類型35555報文編碼31111表4ICMP 部分訓(xùn)練樣本5.2神經(jīng)網(wǎng)絡(luò)的訓(xùn)練過程訓(xùn)練網(wǎng)絡(luò)的方法有三種:一種是用正常數(shù)據(jù)訓(xùn)練異常入侵檢測系統(tǒng),當(dāng)有攻擊數(shù)據(jù)到達(dá)時,就會偏離正常的數(shù)據(jù);一種是用攻擊數(shù)據(jù)訓(xùn)練誤用入侵檢測系統(tǒng),當(dāng)有正常數(shù)據(jù)到達(dá)時,就會偏離攻擊數(shù)據(jù);還有一種是用正常數(shù)據(jù)和攻擊數(shù)據(jù)混合訓(xùn)練入侵檢測系統(tǒng)。這三種訓(xùn)練方法都可以用來評價所設(shè)計系統(tǒng)的性能。在本論文中使用的是第二種訓(xùn)練網(wǎng)絡(luò)的方法,即用攻擊

31、數(shù)據(jù)訓(xùn)練誤用入侵檢測系統(tǒng),攻擊數(shù)據(jù)的期望值統(tǒng)一設(shè)為1,訓(xùn)練完的網(wǎng)絡(luò)用于檢測入侵攻擊時,發(fā)現(xiàn)偏離1的就理解為是正常數(shù)據(jù),偏離的程度,還要設(shè)個閾值,由于本系統(tǒng)將數(shù)據(jù)僅分為兩類:正常和攻擊,所以可以把閾值設(shè)為0.5,即期望值與閾值的差的絕對值大于0.5,也就是說偏離1,就認(rèn)為是正常數(shù)據(jù),相反就認(rèn)為是攻擊數(shù)據(jù)。對三種神經(jīng)訓(xùn)練的內(nèi)容有:隱層神經(jīng)元的個數(shù),以及學(xué)習(xí)率、正確率、動量系數(shù)分別進(jìn)行了實驗。5.2.1隱層神經(jīng)元個數(shù)的確定對于TCP 神經(jīng)網(wǎng)絡(luò)(用于對TCP 包進(jìn)行訓(xùn)練和檢測的神經(jīng)網(wǎng)絡(luò)簡稱TCP 網(wǎng)絡(luò),UDP ,ICMP 類推、UDP 神經(jīng)網(wǎng)絡(luò)和ICMP 神經(jīng)網(wǎng)絡(luò),隱層神經(jīng)元的個數(shù),選擇了節(jié)點(diǎn)數(shù)為5,

32、15,25,110共11種,分別予以測試,從表5中可見,隱層節(jié)點(diǎn)個數(shù)太少,大約小于25個時花費(fèi)的次數(shù)多,當(dāng)神經(jīng)元的個數(shù)逐變大時,所需要的次數(shù)逐漸漸少,但神經(jīng)元個數(shù)太多,一是計算的復(fù)雜度會大大增加,二是不一定就能減少訓(xùn)練的次數(shù)。實驗中選擇的學(xué)習(xí)率r=0.5、動量系數(shù)a=0.5、單樣本的誤差精度value=0.001、單樣本的訓(xùn)練的最大次數(shù)count=1000、正確率M=98%。隱層神經(jīng)元個數(shù)的建議值分別為:TCP 神經(jīng)網(wǎng)絡(luò)取2060;UDP 神經(jīng)網(wǎng)絡(luò)取3555;ICMP 神經(jīng)網(wǎng)絡(luò)取3560。5.2.2學(xué)習(xí)率r 的確定實驗中選擇的動量系數(shù)a=0.5、單樣本的誤差精度value=0.001、單樣本的

33、訓(xùn)練的最大次數(shù)count=1000、正確率M=98%,TCP 神經(jīng)網(wǎng)絡(luò)取40;UDP 神經(jīng)網(wǎng)絡(luò)取45;ICMP 神經(jīng)網(wǎng)絡(luò)取48,所得結(jié)果見表6。由表6可見,本系統(tǒng)中,學(xué)習(xí)率r 選取的越大,效果越好,所以對3種入侵檢測神經(jīng)網(wǎng)絡(luò)建議的值都可以取為0.9。5.2.3動量系數(shù)a 的確定實驗中選擇的學(xué)習(xí)率r=0.9、單樣本的誤差精度value=0.001、單樣本的訓(xùn)練的最大次數(shù)count=1000、正確率M=98%,TCP 神經(jīng)網(wǎng)絡(luò)取40;UDP 神經(jīng)網(wǎng)絡(luò)取45;ICMP 神經(jīng)網(wǎng)絡(luò)取48,所得結(jié)果見表7。從表7可見,本系統(tǒng)中,給出的TCP 、UDP 、ICMP3種入侵檢測神經(jīng)網(wǎng)絡(luò)建議的值分別為0.30.

34、7、0.50.6、0.40.6。綜上所述,對本系統(tǒng)中的3種入侵檢測神經(jīng)網(wǎng)絡(luò)在隱層神經(jīng)元的個數(shù)、學(xué)習(xí)率及動量系數(shù)的建議值如表8。5.3神經(jīng)網(wǎng)絡(luò)的測試過程測試數(shù)據(jù)分為正常數(shù)據(jù)和攻擊數(shù)據(jù),再根據(jù)數(shù)據(jù)是否曾參加過訓(xùn)練共分為3大類。每種樣本的個數(shù)都是100個,檢測的結(jié)果如表9所示。參加過訓(xùn)練未參加過訓(xùn)練未參加過訓(xùn)練TCP 神經(jīng)網(wǎng)絡(luò)1009493UDP 神經(jīng)網(wǎng)絡(luò)989291ICMP 神經(jīng)網(wǎng)絡(luò)979292網(wǎng)絡(luò)類型表93種神經(jīng)網(wǎng)絡(luò)取不同類型的測試數(shù)據(jù)的檢測結(jié)果攻擊數(shù)據(jù)正常數(shù)據(jù)數(shù)據(jù)類型可見,本系統(tǒng)無論是對已經(jīng)參加過訓(xùn)練的攻擊,還是對未參加過訓(xùn)練的攻擊或正常數(shù)據(jù)的檢測的正確率都達(dá)到了91%以上,尤其是對參加過訓(xùn)練

35、的攻擊數(shù)據(jù)能達(dá)到98.3%的檢測率。這說明本神經(jīng)網(wǎng)絡(luò)模型是非常有效的,尤其是它的檢測速度,完全符合實時性要求。這從另外一個角度說明了訓(xùn)練樣本的完善與否直接關(guān)系到神經(jīng)網(wǎng)絡(luò)的檢測率。只要能過給出好的訓(xùn)練樣本,神經(jīng)網(wǎng)絡(luò)完全可以勝任入侵檢測的重任。(收稿日期:2007年5月參考文獻(xiàn):1Common intrusion detection frameworkEB/OL.2002./gost/cidf/.2Bace R,Mell P.National Institute of Standards and Technology.Intrusion detection sys

36、tems:NIST Special Publication on Intrusion Detection Systems,2000:76-79.3姚建新.人工神經(jīng)網(wǎng)絡(luò)在入侵檢測中的應(yīng)用研究D.北京:北京林業(yè)大學(xué),2002-06.4Fox K L,Henning R R,Reed J H,et al.A neural network ap-proach towards intrusion detectionC/Proceedings of the13th National Computer Security Conference,1990:125-134.5Tan K.The applicati

37、on of neural networks to UNIX computer secu-rityC/Proceedings of the IEEE International Conference on Neu-ral Networks,1995,I:476-481.6Kumar G P,Venkateram P.Security management architecture foraccess control to network resourcesJ.IEE Proceedings on Comput-ers and Digital Techniques,1997,144(6:362-3

38、70.7Ghosh A K,Wanken J,Charron F.Detecting anomalous and un-known intrusions against programsC/Proceedings of the1998An-nual Computer Security Applications Conference(ACSAC98,De-cember1998:259-267.8Lippmann R,Cunningham R.Improving intrusion detection perfor-mance using keyword selection and neural

39、networksJ.Computer Networks,2000,34(4:597-603.9Cannady J.Artificial neural networks for misuse detectionC/Pro-ceedings of the21st National Information Systems Security Con-ference(NISSC98,October5-8,1998:443-456.10潘志松.基于神經(jīng)網(wǎng)絡(luò)的入侵檢測研究D.南京:南京航空航天大學(xué),2003-06.11連一峰.基于遺傳神經(jīng)網(wǎng)絡(luò)的入侵檢測系統(tǒng)D成都:成都理工大學(xué),2003-06.12楊森.應(yīng)用

40、自組織特征映射神經(jīng)網(wǎng)絡(luò)技術(shù)實現(xiàn)的分布式入侵檢測J.計算機(jī)應(yīng)用,2003,23(8:54-57.13李之堂.模糊神經(jīng)網(wǎng)絡(luò)在入侵檢測中的應(yīng)用J.小型微型計算機(jī)系統(tǒng),2002,23(10:1235-1238.14韓力群.人工神經(jīng)網(wǎng)絡(luò)理論、設(shè)計及應(yīng)用M.北京:化學(xué)工業(yè)出版社,2002,1:43-47.15魏海坤.神經(jīng)網(wǎng)絡(luò)結(jié)構(gòu)設(shè)計的理論與方法M.北京:國防工業(yè)出版社,2005:33-39.16Rumelhart D E,Hinton G E,Williams R J.Learning representa-tions by back-propagation errorsJ.Nature,1986(323

41、:533-536.17Kendall K.A database of comuter attacks for the evaluation ofintrusion detection systemsD.Massachusetts Institute of Technol-ogy,Cambridge,MA,1999.(上接123頁規(guī)則前件(IFthenc3is2(c2is3and c2is9or(c1is4and or c10is10or(c2is5and c3is8c2is3and c3is7and(c1is4or c6is11or c7is9or c8is11or c10 is0or c12

42、is4(c1is7and c2is6or(c1is9and c3is7or(c3is8or c1is6 and(c2is7(c2is4,9and(c1is5or c3is7or c6is11or c7is9or c8is11 or c10is0or c12is4(c2is6or c2is8and(c6is0or c7is5or c8is0or c10is10(c2is3and(c3is6and(c1is4or c6is11or c7is9or c8is11 or c10is0or c12is4c2is2or c2is11or c6is11or(c1is5and(c2is5or c7is9or (c1is6and c2is4or(c1is4and c2is9or(c1is8and c10is10c1is2or c2is10or c6is7or c7is7or(c1is8and c10is9or(c1 is6and c2is3or(c1is7and c2is4or(c1is4and c2i