人工智能在入侵檢測(cè)技術(shù)中的應(yīng)用

1、特約稿人工智能在入侵檢測(cè)技術(shù)中的應(yīng)用特約稿耿國(guó)華，康 華（西北大學(xué) 計(jì)算機(jī)科學(xué)系 ，陜西 西安 710069）摘 要：針對(duì)對(duì)由于網(wǎng)絡(luò)服務(wù)務(wù)不斷擴(kuò)大造造成的入侵行行為日益復(fù)雜雜多樣的情況況，對(duì)人工智智能技術(shù)在入入侵檢測(cè)中的的運(yùn)用進(jìn)行了了研究，主要要討論了專(zhuān)家家系統(tǒng)和神經(jīng)經(jīng)網(wǎng)絡(luò)技術(shù)在在入侵監(jiān)測(cè)的的規(guī)則管理和和入侵行為分分類(lèi)方面的應(yīng)應(yīng)用，同時(shí)給給出了入侵檢檢測(cè)實(shí)踐。結(jié)結(jié)果證明，人工智能技技術(shù)確實(shí)能夠夠提高入侵監(jiān)監(jiān)測(cè)系統(tǒng)發(fā)現(xiàn)現(xiàn)入侵的實(shí)時(shí)時(shí)性和檢測(cè)入入侵的正確性。關(guān) 鍵 詞詞：入侵檢測(cè)測(cè)；人工智能能；專(zhuān)家系統(tǒng)統(tǒng)；神經(jīng)網(wǎng)；誤用檢測(cè)；異常檢測(cè) 中圖分類(lèi)號(hào)：TTP391.4 文獻(xiàn)標(biāo)識(shí)識(shí)碼：A 文章章編號(hào)：10

2、000-2774X(20003)00010-091 入侵檢測(cè)測(cè)及其通用模模型入侵檢測(cè)技術(shù)以以探測(cè)入侵為為中心，目的的是為系統(tǒng)提提供實(shí)時(shí)發(fā)現(xiàn)現(xiàn)入侵行為并并及時(shí)采取相相應(yīng)防護(hù)手段段。它具體包括數(shù)數(shù)據(jù)收集、行行為分類(lèi)、報(bào)報(bào)告錯(cuò)誤和響響應(yīng)反擊等方方面，其中用用到的數(shù)據(jù)可可以由專(zhuān)門(mén)的的網(wǎng)絡(luò)管理系系統(tǒng)(NMSS)或網(wǎng)絡(luò)和和系統(tǒng)的日志志文件中得到到，而數(shù)據(jù)推推導(dǎo)和數(shù)據(jù)分分類(lèi)是其中的的核心。數(shù)據(jù)據(jù)分類(lèi)是定義義攻擊和識(shí)別別攻擊的過(guò)程程，具體實(shí)現(xiàn)現(xiàn)這個(gè)過(guò)程的的技術(shù)多種多多樣，如模式式匹配、統(tǒng)計(jì)分析、完整性分析析等方法，其其本質(zhì)大多是是比較正常狀狀態(tài)和考察狀狀態(tài)之間的差差異，以此來(lái)來(lái)判斷系統(tǒng)是是否受到了入入侵。首先

3、給出入侵檢檢測(cè)通用模型型1。這個(gè)個(gè)通用模型廣廣泛應(yīng)用于IIDS(入侵侵檢測(cè)系統(tǒng))：它有3個(gè)個(gè)基本的協(xié)作作組件事事件產(chǎn)生器（event generator）、活動(dòng)記錄（activity profile）和規(guī)則集（rule set）。其工作關(guān)系見(jiàn)圖1。事件產(chǎn)生器是用用來(lái)產(chǎn)生有關(guān)關(guān)系統(tǒng)活動(dòng)的的信息，利用用這些信息來(lái)來(lái)檢測(cè)入侵行行為。這些信信息事件可以以由網(wǎng)絡(luò)監(jiān)控控服務(wù)來(lái)發(fā)出出，比如可以以從防火墻、NMS、日志文件，或或由系統(tǒng)執(zhí)行行記錄（audit traills）中得到到信息。規(guī)則集其實(shí)就是是一個(gè)探測(cè)引引擎（detecttion eenginee）,它利用用各種規(guī)則來(lái)來(lái)檢查由事件件產(chǎn)生器送來(lái)來(lái)數(shù)據(jù)的

4、合法法性，判斷是是否有入侵行行為發(fā)生。具具體可用概率率統(tǒng)計(jì)模型、匹匹配規(guī)則等方方法。活動(dòng)記錄是保存存那些與被檢測(cè)系統(tǒng)統(tǒng)或網(wǎng)絡(luò)密切切相關(guān)的狀態(tài)態(tài)信息，其中中的信息變量量是由事件產(chǎn)產(chǎn)生器送來(lái)的的信息事件或或是由規(guī)則集集發(fā)出的動(dòng)作作來(lái)執(zhí)行維護(hù)護(hù)和更新的，規(guī)規(guī)則集的有些些動(dòng)作還可以以填加新的觀觀察變量。事件產(chǎn)生器、規(guī)規(guī)則集和活動(dòng)動(dòng)記錄是在整個(gè)系統(tǒng)統(tǒng)中的有機(jī)結(jié)結(jié)合，活動(dòng)記記錄中變量的的定義、規(guī)則則集的判斷方方法以及事件件產(chǎn)生器的及及時(shí)信息送發(fā)發(fā)一并決定了了系統(tǒng)的探測(cè)測(cè)能力。在此此，我們關(guān)心的的主要問(wèn)題集集中在規(guī)則集集部分，也就就是探測(cè)引擎擎中如何應(yīng)用用人工智能來(lái)來(lái)判斷入侵。2 人工智能能在入侵檢測(cè)測(cè)系統(tǒng)

5、中解決決的問(wèn)題人工智能是一種種模擬人類(lèi)思思維來(lái)解決復(fù)復(fù)雜問(wèn)題的技技術(shù)，它使得得機(jī)器具有可進(jìn)行類(lèi)類(lèi)似于人類(lèi)“思思考”的行為為。人工智能能的優(yōu)勢(shì)就是是可用來(lái)處理理那些煩瑣而而復(fù)雜的工作，利用用它的學(xué)習(xí)和和推導(dǎo)方法可可以提高解決決問(wèn)題的效率率。這是個(gè)很大大的技術(shù)領(lǐng)域域，其一端是神經(jīng)經(jīng)網(wǎng)絡(luò)將將計(jì)算機(jī)系統(tǒng)統(tǒng)設(shè)計(jì)成模擬擬人類(lèi)神經(jīng)系系統(tǒng)的底層機(jī)機(jī)構(gòu)和功能，另另一端是專(zhuān)家家系統(tǒng)將將計(jì)算機(jī)模擬擬成類(lèi)似于智智囊團(tuán)的高層層認(rèn)知結(jié)構(gòu)。在在入侵檢測(cè)系系統(tǒng)中有效地地發(fā)現(xiàn)入侵行行為是相當(dāng)煩瑣復(fù)復(fù)雜的，專(zhuān)家系統(tǒng)統(tǒng)在管理檢測(cè)測(cè)規(guī)則方面要要比傳統(tǒng)的判判斷語(yǔ)句更有有效，利用神神經(jīng)網(wǎng)絡(luò)來(lái)分分類(lèi)入侵行為為方便準(zhǔn)確，利利用人工智能能中的

6、神經(jīng)網(wǎng)網(wǎng)絡(luò)技術(shù)、專(zhuān)專(zhuān)家系統(tǒng)技術(shù)術(shù)檢測(cè)入侵行行為具有應(yīng)用用特色。2.1 專(zhuān)家家系統(tǒng)的應(yīng)用用首先，給出基于于規(guī)則的專(zhuān)家家系統(tǒng)（rule-bbased experrt sysstem）在在誤用檢測(cè)（misuse detection）中的應(yīng)用分析。按探測(cè)技術(shù)可將ID（intrusion detection）分成誤用探測(cè)和異常探測(cè)兩大類(lèi)；誤用探測(cè)通過(guò)把那些已知的攻擊行為抽象成為模式或簽名（patterns ；signatures），如果發(fā)現(xiàn)符合這些模式的行為，就認(rèn)為它是攻擊，這類(lèi)似于病毒防范軟件只能去發(fā)現(xiàn)已知的病毒；異常探測(cè)則利用，攻擊行為往往和合法行為在過(guò)程上有明顯區(qū)別，如果先抽象歸納出合法行為的基本

7、特征，就可以認(rèn)為那些與合法行為抽象特征有其他的行為是攻擊行為2。誤用檢測(cè)見(jiàn)圖。由于誤用檢測(cè)是是基于對(duì)已有有規(guī)則的檢測(cè)測(cè)，因此適合使用用專(zhuān)家系統(tǒng)，專(zhuān)專(zhuān)家系統(tǒng)將攻攻擊行為定義義成相應(yīng)的規(guī)規(guī)則集合，如如果發(fā)現(xiàn)用戶(hù)戶(hù)行為符合某某種攻擊規(guī)則則集合，則被看成這種種規(guī)則集合對(duì)對(duì)應(yīng)的是入侵侵行為。2.1.1 專(zhuān)專(zhuān)家系統(tǒng)的優(yōu)優(yōu)點(diǎn) 采用專(zhuān)家家系統(tǒng)時(shí)，由于新規(guī)規(guī)則的加入是是完全獨(dú)立的的，不需要改改變已存在的的規(guī)則，同時(shí)時(shí)與規(guī)則對(duì)應(yīng)應(yīng)的推理行為為也是集中定定義的，非常常有利于規(guī)則和和推理行為的的管理，最大大化地方便了對(duì)系系統(tǒng)的進(jìn)化。通常使用的從證證據(jù)到結(jié)論的的專(zhuān)家系統(tǒng)屬屬于前推型（forward-chaining）系

8、統(tǒng)，這種形式很適合于事件流為主的系統(tǒng)，是由數(shù)據(jù)驅(qū)動(dòng)的。一旦事實(shí)(facts)滿(mǎn)足，就會(huì)產(chǎn)生一個(gè)新的事實(shí)（facts）或是新的結(jié)論，這種鏈條式的推導(dǎo)，模擬了人的思維推理，使分析過(guò)程清晰完整，可以觀測(cè)推導(dǎo)鏈中每個(gè)“節(jié)點(diǎn)”，得到它的來(lái)龍去脈。因此，前推形式往往用于數(shù)據(jù)監(jiān)控、控制領(lǐng)域，IDS便是它的典型應(yīng)用。2.1.2 專(zhuān)家系統(tǒng)的的建立和描述述3 專(zhuān)家系統(tǒng)統(tǒng)應(yīng)用于入侵侵檢測(cè)，其組組成大致有以以下3部分。1) 行為記錄錄(factts basse)：它記錄了系系統(tǒng)運(yùn)行時(shí)觀觀察到的狀態(tài)態(tài)，是我們分分析的依據(jù)。比比如程序執(zhí)行行記錄（auudit ttrail）、tcp/ip協(xié)議頭等。2) 規(guī)則集合合(rul

9、e base)：需要建立立一系列的規(guī)規(guī)則集合，由由這些規(guī)則來(lái)來(lái)推導(dǎo)，這樣樣結(jié)合行為記記錄可以逐步步對(duì)行為推導(dǎo)導(dǎo)。3) 推理邏輯輯(inferrence)：由行為記記錄和規(guī)則集集合來(lái)推理判判斷入侵行為為的邏輯。其表述方法類(lèi)似似于數(shù)學(xué)中的的推導(dǎo)關(guān)系，第第一項(xiàng)是規(guī)則則名字，其次次是證據(jù)，最最后是結(jié)論 = 證據(jù)就是我們定定義的攻擊特特征，結(jié)論就就是在滿(mǎn)足特特征的情況下下觸發(fā)的動(dòng)作作。2.1.3專(zhuān)家家系統(tǒng)的應(yīng)用用 下面給出出專(zhuān)家系統(tǒng)在在幾種常見(jiàn)攻攻擊行為檢測(cè)測(cè)中的具體使使用方法。1) 緩沖區(qū)溢溢出攻擊的檢檢測(cè)方法示例例。緩沖溢出攻攻擊是一種常常見(jiàn)的系統(tǒng)攻攻擊的手段，黑黑客往往通過(guò)程序的的緩沖區(qū)寫(xiě)超超出其

10、長(zhǎng)度的的內(nèi)容，造成成緩沖區(qū)的溢溢出，從而破破壞程序的堆堆棧，使程序序轉(zhuǎn)而執(zhí)行其其他指令，以達(dá)達(dá)到攻擊的目目的。據(jù)統(tǒng)計(jì)計(jì)，通過(guò)緩沖沖區(qū)溢出進(jìn)行行的攻擊占所所有系統(tǒng)攻擊擊總數(shù)的800%以上。我們的推導(dǎo)規(guī)則則來(lái)自觀察緩緩沖溢出的特特點(diǎn)，程序運(yùn)運(yùn)行過(guò)程的痕痕跡可以在系系統(tǒng)調(diào)用的執(zhí)執(zhí)行記錄（aaudit traill）中發(fā)現(xiàn)。由由此給出以下下分析流程方方法。首先，看執(zhí)行的的調(diào)用是否含含有setuuid程序，我我們可以簡(jiǎn)單單地比較有效用用戶(hù)ID和實(shí)實(shí)際用戶(hù)IDD，如果不同同就認(rèn)為調(diào)用用了setuuid程序，否否則可能并不不是一個(gè)攻擊擊。其次，傳遞給ssetuidd程序的參數(shù)數(shù)應(yīng)該相對(duì)比比較長(zhǎng)，在aaudi

11、t記記錄中的長(zhǎng)度度超過(guò)了其他他正常settuid 執(zhí)執(zhí)行調(diào)用的長(zhǎng)長(zhǎng)度。再次，檢測(cè)調(diào)用用執(zhí)行參數(shù)中中是否包含了了系統(tǒng)操作特特權(quán)命令的字字符，如amouunt（在AASCII碼碼中）等。以上是緩沖溢出出攻擊的基本本特征，這些些簡(jiǎn)單規(guī)則雖雖不能判斷所所有可能的緩緩沖溢出，但但可正確地檢測(cè)出大多多數(shù)溢出攻擊擊。我們用專(zhuān)家系統(tǒng)統(tǒng)來(lái)描述規(guī)則則（e：表示示有實(shí)踐發(fā)生生器送出的記記錄系統(tǒng)信息息的事件） e.typee = Exec|exxecve e.uid != ruuid contaiins(e.exec_argess, = 11) e.sizeenorrmal_llengthh = prrintf(al

12、errt:bufffer ooverruun atttack oon commmand mmand”)這個(gè)示例給出了了如何抽象入入侵行為特征征與如何使用用規(guī)則推導(dǎo)的的方法，并說(shuō)說(shuō)明利用專(zhuān)家家系統(tǒng)來(lái)完成成檢測(cè)入侵的的簡(jiǎn)捷高效性。2) 無(wú)效權(quán)限限訪問(wèn)（faailed autheenticaation attemmpts）檢檢測(cè)示例。如果沒(méi)有hottmail的的帳號(hào)，但你你卻試圖登陸陸，我們使用用專(zhuān)家系統(tǒng)進(jìn)進(jìn)行了判斷這這種非法登陸陸的研究。先先抽象這種無(wú)無(wú)效權(quán)限訪問(wèn)問(wèn)非法行為的的特征，當(dāng)一個(gè)用戶(hù)戶(hù)嘗試在一個(gè)個(gè)給定的時(shí)間間里用錯(cuò)誤的的名字或密碼碼登陸達(dá)到一一定次數(shù)，系系統(tǒng)將發(fā)出警告。這種種技術(shù)在loo

13、gin，ttelnett，rloggin 等程程序上經(jīng)常見(jiàn)見(jiàn)到。定義行為記錄（ffact）和和規(guī)則（以下下a,b,cc是規(guī)則推理理）：a) 當(dāng)用戶(hù)鑒鑒定失敗，記記錄這個(gè)用戶(hù)戶(hù)到行為記錄錄的變量baad_loggin并且變量前鑒鑒定失敗次數(shù)數(shù)curreent_faailurees加；b) 當(dāng)前鑒定定失敗次數(shù)ccurrennt_faiiluress到達(dá)一個(gè)閥閥值時(shí)發(fā)出警告，且建建立新的行為為記錄maxx_reacched，表表示不再允許許這個(gè)用戶(hù)嘗嘗試登陸。c) 到達(dá)閥值值max_rreacheed，踢出潛潛在的入侵者者（即這個(gè)用戶(hù)戶(hù)），把各種記記錄清零。用專(zhuān)家系統(tǒng)的簡(jiǎn)簡(jiǎn)要描述如下下： e.tyy

14、pe = logiin_faiilure = save in baad_loggin | currrent_ffailurre+ cureeent_ffailurre= tthreshhold = maake maax_reaached max_reachhed = ticck offf | cclear all3) SYN floodd攻擊檢測(cè)示示例。SYN fflood是是當(dāng)前最流行行的Dos（拒絕服服務(wù)攻擊）與與Ddos（分布式拒拒絕服務(wù)攻擊擊）的方式之之一，是一種種利用TCPP協(xié)議缺陷，發(fā)發(fā)送大量偽造造的TCP連連接請(qǐng)求，從從而使得被攻攻擊方資源耗耗盡（CPUU滿(mǎn)負(fù)荷或內(nèi)內(nèi)存不足）的的

15、攻擊方式。SYN Floood攻擊的的基本原理，與與TCP連接接建立的過(guò)程程相關(guān)。TCCP與UDPP不同，它是是基于連接的的，為了在服服務(wù)端和客戶(hù)戶(hù)端之間傳送送TCP數(shù)據(jù)據(jù)，必須先建建立一個(gè)虛擬擬電路，也就就是TCP連連接。建立TTCP連接的的標(biāo)準(zhǔn)過(guò)程在在TCP協(xié)議議中被稱(chēng)為三三次握手（tthree-way hhandshhake），步步驟如下：第一步，請(qǐng)求端端（客戶(hù)端）發(fā)發(fā)送一個(gè)包含含SYN標(biāo)志志的TCP報(bào)報(bào)文，SYNN即同步（ssynchrronizee），同步報(bào)報(bào)文會(huì)指明客客戶(hù)端使用的的端口以及TTCP連接的的初始序號(hào)；第二步，服服務(wù)器在收到到客戶(hù)端的SSYN報(bào)文后后，將返回一一個(gè)SYN

16、+ACK的報(bào)報(bào)文，表示客客戶(hù)端的請(qǐng)求求被接受，同同時(shí)TCP序序號(hào)被加1，AACK即確認(rèn)認(rèn)（acknnowleddgemennt）。第三步，客戶(hù)端端也返回一個(gè)個(gè)確認(rèn)報(bào)文AACK給服務(wù)務(wù)器端，同樣樣TCP序列列號(hào)被加1，到到此一個(gè)TCCP連接完成成。經(jīng)分析，問(wèn)題恰恰好出在TCCP連接的三三次握手中，假假設(shè)一個(gè)用戶(hù)戶(hù)向服務(wù)器發(fā)發(fā)送了SYNN報(bào)文后突然然死機(jī)或掉線線，那么服務(wù)務(wù)器在發(fā)出SSYN+ACCK應(yīng)答報(bào)文文后是無(wú)法收收到客戶(hù)端的的ACK報(bào)文文的（第三次次握手無(wú)法完完成），這種種情況下服務(wù)務(wù)器端一般會(huì)會(huì)重試（再次次發(fā)送SYNN+ACK給給客戶(hù)端）并并等待一段時(shí)時(shí)間后丟棄這這個(gè)未完成的的連接，這段段

17、時(shí)間的長(zhǎng)度度我們稱(chēng)為SSYN tiimeoutt，一般來(lái)說(shuō)說(shuō)這個(gè)時(shí)間大大約為30ss2min。一個(gè)個(gè)用戶(hù)出現(xiàn)異異常導(dǎo)致服務(wù)務(wù)器的一個(gè)線線程等待1mmin并不是是什么很大的的問(wèn)題，但如如果有一個(gè)惡惡意的攻擊者者大量模擬這這種情況，服服務(wù)器端將為為了維護(hù)一個(gè)個(gè)非常大的半半連接列表而而消耗非常多多的資源(數(shù)以萬(wàn)計(jì)的的半連接)，即使是簡(jiǎn)簡(jiǎn)單的保存并并遍歷也會(huì)消消耗非常多的的CPU時(shí)間間和內(nèi)存，何何況還要不斷斷對(duì)這個(gè)列表表中的IP進(jìn)進(jìn)行SYN+ACK的重重試。實(shí)際上上，如果服務(wù)器器的TCP/IP棧不夠夠強(qiáng)大，結(jié)果果往往是堆棧棧溢出崩潰，即即使服務(wù)器端端的系統(tǒng)足夠夠強(qiáng)大，服務(wù)務(wù)器端也將忙忙于處理攻擊擊者偽

18、造的TTCP連接請(qǐng)請(qǐng)求而無(wú)暇理理睬客戶(hù)的正正常請(qǐng)求（畢畢竟客戶(hù)端的的正常請(qǐng)求比比率非常之小小），此時(shí)從從正?？蛻?hù)的的角度看來(lái)，服服務(wù)器失去響響應(yīng)，這種情情況我們稱(chēng)作作服務(wù)器端受受到了SYNN floood攻擊（SSYN洪水攻攻擊）。根據(jù)這種攻擊的的特點(diǎn)，我們們?cè)趯?zhuān)家系統(tǒng)統(tǒng)中對(duì)它的行行為記錄（ffact）定定義如下：max_badd_connns：最大的惡性性連接數(shù)，超超過(guò)此數(shù)將發(fā)發(fā)警告。expire_time：超過(guò)這個(gè)等等待應(yīng)答ACCK時(shí)間，而而沒(méi)能連接，被被認(rèn)為是惡性性連接。bad_connn_liffe：惡性連接被被保留時(shí)間，超超過(guò)這個(gè)時(shí)間間的將被清除除。當(dāng)半連接超過(guò)一一定時(shí)間沒(méi)成成為成功

19、連接接時(shí)，我們認(rèn)為發(fā)發(fā)生了個(gè)惡性性連接。檢測(cè)規(guī)則：a) 如果在時(shí)時(shí)間片里惡性性連接發(fā)生而而還沒(méi)超過(guò)限限度是，baad_connn_couunt 被增增加1。b) 當(dāng)惡性連連接到達(dá)限度度，發(fā)警告，重重設(shè) badd_connn_counnt 為0。c) 當(dāng)連接超超過(guò)bad_conn_life ，這個(gè)連接接將被清除，從從而 badd_connn_counnt 減1。2.2 神經(jīng)經(jīng)網(wǎng)絡(luò)在入侵侵檢測(cè)中應(yīng)用用先說(shuō)明神經(jīng)網(wǎng)絡(luò)絡(luò)（neurral neetworkks）在異常常檢測(cè)（annomalyy deteectionn ）中的應(yīng)應(yīng)用，異常檢測(cè)的的關(guān)鍵任務(wù)是是找到那些超超出用戶(hù)行為為特點(diǎn)的不正正常的用戶(hù)行行

20、為，主要障礙是是如何抽象出出正常的用戶(hù)戶(hù)行為。由于于用戶(hù)行為的不確定性性，用傳統(tǒng)的的方法對(duì)合法法用戶(hù)行為的的抽象有時(shí)很很難準(zhǔn)確的定定義，需要借助于于神經(jīng)網(wǎng)絡(luò)的的特點(diǎn)發(fā)揮在在入侵檢測(cè)中中的優(yōu)勢(shì)。異異常檢測(cè)見(jiàn)示示意圖2.2.1 神經(jīng)網(wǎng)組成成結(jié)構(gòu) 人工神經(jīng)經(jīng)網(wǎng)絡(luò)是由模模擬生物神經(jīng)經(jīng)處理信息過(guò)過(guò)程而產(chǎn)生的的一種信息處處理方法，其其結(jié)構(gòu)是有眾眾多內(nèi)部緊密密連接的信息息處理元（nneuronns）組成，這些處理元元依靠集體的的工作來(lái)處理理復(fù)雜的信息息。在用神經(jīng)經(jīng)網(wǎng)絡(luò)來(lái)分類(lèi)類(lèi)數(shù)據(jù)或模式式識(shí)別前，需要對(duì)神經(jīng)經(jīng)網(wǎng)絡(luò)的內(nèi)部部元進(jìn)行特殊殊的學(xué)習(xí)訓(xùn)練練，這如同生生物神經(jīng)對(duì)條條件反射的適適應(yīng)過(guò)程。神神經(jīng)網(wǎng)系統(tǒng)結(jié)結(jié)構(gòu)見(jiàn)圖

21、4。圖4中包含神經(jīng)經(jīng)元，這些神神經(jīng)元之間有有相當(dāng)復(fù)雜的的聯(lián)系規(guī)則，用用圖形來(lái)表示示，每個(gè)神經(jīng)經(jīng)元可被看成成是一個(gè)結(jié)點(diǎn)點(diǎn)，他們之間間的連接被當(dāng)當(dāng)作是連接結(jié)結(jié)點(diǎn)的邊。各各條邊都有其其各自的權(quán)重重，權(quán)重代表表了結(jié)點(diǎn)間連連接的緊密程程度，權(quán)重越越大代表聯(lián)系系越緊密。神神經(jīng)網(wǎng)絡(luò)最大大的特點(diǎn)就是具具有自適應(yīng)性性，即通過(guò)實(shí)際際結(jié)果和希望望結(jié)果的差異異調(diào)整連接權(quán)權(quán)重，來(lái)消除除差異。圖 4 神經(jīng)經(jīng)網(wǎng)系統(tǒng)結(jié)構(gòu)構(gòu)fig.4 Neuraal Nettwork Systeem Strructurre2.2.2 神神經(jīng)網(wǎng)絡(luò)的學(xué)學(xué)習(xí)算法和優(yōu)優(yōu)勢(shì) 神經(jīng)經(jīng)網(wǎng)絡(luò)的學(xué)習(xí)習(xí)算法具有補(bǔ)補(bǔ)償誤差的規(guī)規(guī)則，當(dāng)神經(jīng)經(jīng)網(wǎng)絡(luò)的輸出出和希望的輸輸

22、出有誤時(shí)，就就自動(dòng)的調(diào)整整權(quán)重和閥值值來(lái)補(bǔ)償誤差差。結(jié)點(diǎn)的拓拓?fù)浣Y(jié)構(gòu)和學(xué)學(xué)習(xí)算法構(gòu)成成了一個(gè)神經(jīng)經(jīng)網(wǎng)絡(luò)的基本本結(jié)構(gòu)。采用神經(jīng)網(wǎng)絡(luò)的的學(xué)習(xí)算法，可可使系統(tǒng)逐漸漸記住合法用用戶(hù)行為的基基本特征（或或叫模式/簽簽名），從而而可對(duì)后來(lái)輸輸入的用戶(hù)行行為特征進(jìn)行行辨別分分類(lèi)，若不屬于系統(tǒng)統(tǒng)已記錄的合合法用戶(hù)行為為模式，將被被認(rèn)為是異常常行為。例如如，合法用戶(hù)戶(hù)通過(guò)使用系系統(tǒng)，留下他他的行為特征征好比是 “指指紋”，當(dāng)系統(tǒng)有了了合法用戶(hù)的的“指紋”后后，如有非法法用戶(hù)登陸并并使用系統(tǒng)，通通過(guò)檢查合法法用戶(hù)留下的的“指紋”，系系統(tǒng)就會(huì)迅速速發(fā)現(xiàn)入侵者者。由于用戶(hù)特征(指紋)的抽象性不不易觀察，很很多情況下用

23、用戶(hù)自己也不不知道自己行行為的統(tǒng)計(jì)規(guī)規(guī)律，因此神經(jīng)網(wǎng)絡(luò)絡(luò)被廣泛應(yīng)用用于模式識(shí)別中中，把要檢測(cè)測(cè)的用戶(hù)行為為變成一個(gè)輸輸入向量，通通過(guò)神經(jīng)網(wǎng)絡(luò)絡(luò)后會(huì)按分類(lèi)類(lèi)結(jié)果輸出，幫幫助找出輸入入和輸出間的的非線性關(guān)系系，以提取用用戶(hù)行為模式式。以下通過(guò)例子來(lái)來(lái)講解兩個(gè)神神經(jīng)網(wǎng)在常探探測(cè)中的應(yīng)用用。2.2.3 神經(jīng)網(wǎng)絡(luò)應(yīng)應(yīng)用1) 后反饋神神經(jīng)網(wǎng)（baackproopagattion nneurall netwwork）的的應(yīng)用示例4 a) BP神經(jīng)經(jīng)網(wǎng)絡(luò)的訓(xùn)練練過(guò)程：使用BP神神經(jīng)網(wǎng)絡(luò)識(shí)別別系統(tǒng)的合法法用戶(hù)，由于于系統(tǒng)中不同同的用戶(hù)有不不同的要求，他他們調(diào)用的操操作指令也就就不會(huì)相同。有有些用戶(hù)使用用系統(tǒng)僅僅

24、是是收發(fā)電子郵郵件，有些用用戶(hù)則可能主主要使用系統(tǒng)統(tǒng)編程序，而而系統(tǒng)管理人人員則有更高高的權(quán)限，可以以進(jìn)行任何操操作。因?yàn)橛糜脩?hù)的多樣性性和他們的不同習(xí)慣，使使得命令的調(diào)調(diào)用呈現(xiàn)不同同的分布，并并且調(diào)用頻率率也大不相同同，但具體如如何不同我們們很難準(zhǔn)確地地表示清楚，利利用神經(jīng)網(wǎng)的的學(xué)習(xí)能力系系統(tǒng)可以自動(dòng)動(dòng)的找到這種種不同?？墒褂眠@種三層層結(jié)構(gòu)的反饋饋網(wǎng)絡(luò)，第一一層輸入特征征向量，每個(gè)個(gè)輸入端和一一個(gè)特征對(duì)應(yīng)應(yīng)，假定我們們抽象用戶(hù)行行為特征為1100個(gè)變量，那就就應(yīng)該有1000個(gè)輸入端；每每個(gè)輸入端對(duì)應(yīng)一個(gè)個(gè)合法的用戶(hù)戶(hù)，這里將來(lái)來(lái)識(shí)別10個(gè)個(gè)合法用戶(hù)行行為特征，如如果結(jié)果超出出了這10個(gè)個(gè)用戶(hù)

25、我們認(rèn)認(rèn)為它是異常常行為。我們定義1000個(gè)命令各對(duì)對(duì)應(yīng)一個(gè)輸入入端，具體變變量值就是這這個(gè)命令的使使用頻率。用神經(jīng)網(wǎng)絡(luò)來(lái)識(shí)識(shí)別：首先要收集集訓(xùn)練數(shù)據(jù)，讀系統(tǒng)的執(zhí)執(zhí)行記錄（aaudit）得得到每個(gè)用戶(hù)戶(hù)的命令調(diào)用用信息，把他們變成成一個(gè)代表用用戶(hù)使用頻率率的100維維向量；然后進(jìn)行訓(xùn)練練，訓(xùn)練神經(jīng)經(jīng)網(wǎng)識(shí)別這些些不同命令頻頻率分布向量量；最后執(zhí)行，讓網(wǎng)絡(luò)識(shí)別別新的用戶(hù)命命令頻率分布布向量，判斷是否屬屬于合法用戶(hù)戶(hù)。以下是用戶(hù)使用用的命令范圍圍，共100個(gè)個(gè)：as awk bc biibtex calenndar ccat chhmod ccomsatt cp ccpp cut ccvs daat

26、e dff difff du ddvips egrepp elm emacss expr fgrepp filtter fiind fiinger fmt ffrom fftp gccc gdbb ghosttview gmakee grepp gs ggzip hhostnaame idd ifcoonfig ispelll lasst ld leess loook lppq lprr lprmm ls mmachinne maiil makke man mmesg mmetamaail mkkdir mmore mmovemaail mppage mmt mv netsccape nets

27、ttat nmm objddump pperl ppgp piing pss pwd rcp rresizee rm rssh sedd senddmail sh soort sttrip sstty ttail ttar tcsh tee ttest ttgif ttop tpput trr tty unamee vacaation vi viirtex w wc whereeis xbbiff+ xcallc xdvvi xhoost xtterm這里把用戶(hù)使用用命令的頻率率分成10個(gè)個(gè)等級(jí)，編碼碼為0.0 1.0且且以0.1遞遞增。第一級(jí)意味味著這個(gè)命令令從來(lái)不使用用，第2級(jí)表表示每天1

28、2次，類(lèi)推推，最后一級(jí)級(jí)表示每天超超過(guò)200次次。這樣，用戶(hù)特征征向量作為輸輸入數(shù)組形式式為： 0.1，0.2，0.1，0.3，0.0(共共100個(gè))。用合法用戶(hù)行為為訓(xùn)練數(shù)次（數(shù)數(shù)十到數(shù)百）后后，系統(tǒng)會(huì)得到一個(gè)滿(mǎn)意的的正確率。BP神經(jīng)網(wǎng)絡(luò)的的訓(xùn)練過(guò)程是是一種監(jiān)督性性的學(xué)習(xí)過(guò)程程，必須事先先告訴系統(tǒng)希希望的輸出是是什么。所以以，我們先找到到了合法用戶(hù)戶(hù)的行為特征征“指紋”。b) 非監(jiān)督性性學(xué)習(xí)訓(xùn)練過(guò)過(guò)程：非監(jiān)督督性學(xué)習(xí)訓(xùn)練練過(guò)程不需要要事先告訴系系統(tǒng)希望的結(jié)結(jié)果，將人為為干預(yù)降到最最低，人們不不用去準(zhǔn)確地地抽象出攻擊擊特征，系統(tǒng)統(tǒng)會(huì)自動(dòng)學(xué)習(xí)習(xí)分析，找到那些不不易被發(fā)現(xiàn)或或精確描述的的行為特征，

29、并并按照特征將將行為類(lèi)聚。2) 基于非監(jiān)監(jiān)督性訓(xùn)練識(shí)識(shí)別入侵的神神經(jīng)網(wǎng)絡(luò)示例例Self-orrganizzing mmap neeural netwoork 55簡(jiǎn)稱(chēng)SOOM，因?yàn)樗稍诓桓嬖V訴其什么是正正確結(jié)果的情情況下訓(xùn)練，是是一種非監(jiān)督督神經(jīng)網(wǎng)絡(luò)。其輸入是含有分析物體特征信息的數(shù)學(xué)向量，在SOM中必須有一個(gè)比較函數(shù)，用它來(lái)比較兩個(gè)向量（一個(gè)是輸入向量，一個(gè)是存在于網(wǎng)絡(luò)向量集合中的向量）的相似程度，它把輸入向量和集合中的所有向量分別比較，輸出的是輸入向量和向量集中向量的相似程度。首先保證在向量集合中的向量的合法性，如果輸入向量和所有向量集合中的向量都存在較大的差異，我們就認(rèn)為它是異常的。

30、如何使用這種非非監(jiān)督學(xué)習(xí)性性（SOM）神神經(jīng)網(wǎng)絡(luò)來(lái)檢檢測(cè)DNS斷斷口的訪問(wèn)中中的緩沖溢出出攻擊呢？由由于緩沖溢出出攻擊的參數(shù)數(shù)往往過(guò)長(zhǎng)，并并且含有二進(jìn)進(jìn)制命令代碼碼而不是普通通文字，我們用神經(jīng)經(jīng)網(wǎng)絡(luò)來(lái)檢測(cè)測(cè)緩沖溢出攻攻擊的企圖，首首先需要定義義幾組特征向向量來(lái)描述這這種企圖，然然后檢測(cè)端口口收到的包有有多少個(gè)字節(jié)節(jié)（octeet）符合這這幾組特征。我我們利用簡(jiǎn)單單的特征組，如：字母（AAZ,az）；數(shù)字字（09）；控制制命令代碼；非ASCIII碼。這些些特種組給出出了端口訪問(wèn)問(wèn)包的組成輪輪廓，從中推推斷訪問(wèn)是否否有溢出攻擊擊企圖?？梢砸蕴暨x50個(gè)個(gè)正常包來(lái)訓(xùn)訓(xùn)練map，每每個(gè)包都被抽抽象成含以

31、上上4個(gè)分量的的特征組，其中每個(gè)包包的控制命令令代碼和數(shù)字字都不會(huì)超過(guò)過(guò)15個(gè)字節(jié)節(jié)。SOM神神經(jīng)網(wǎng)絡(luò)會(huì)將將特征相似的的包類(lèi)聚，對(duì)對(duì)輸入的向量量檢測(cè)和網(wǎng)絡(luò)絡(luò)中包含的已已有特征向量量的相似程度度，如果新包包和所有已有有向量都不相相似，便認(rèn)為為是種異常向向量。用這550個(gè)包訓(xùn)練練后，網(wǎng)絡(luò)會(huì)會(huì)自動(dòng)將他們們類(lèi)聚，即把正常情情況下的訪問(wèn)問(wèn)包輪廓記下下了。在訓(xùn)練練以后，如果果系統(tǒng)碰到的的包含有不尋尋常的特征，如如控制命令代代碼為30個(gè)個(gè)字節(jié)或數(shù)字字為25時(shí)，在在網(wǎng)絡(luò)已知的包輪廓廓中找不到相相似的聚類(lèi)時(shí)時(shí)，就檢測(cè)出出了這種溢出出攻擊的企圖圖。3 結(jié) 語(yǔ)語(yǔ)人工智能技術(shù)除除了提到的專(zhuān)專(zhuān)家系統(tǒng)和神神經(jīng)網(wǎng)絡(luò)，還包括

32、遺傳傳算法、免疫算法等等分支，這些些方法目前都都逐漸被應(yīng)用用于入侵檢測(cè)測(cè)。專(zhuān)家系統(tǒng)統(tǒng)的優(yōu)勢(shì)在于方方便、有效的規(guī)則則定義和鏈?zhǔn)绞酵茖?dǎo)，神經(jīng)經(jīng)網(wǎng)和遺傳算算法的優(yōu)勢(shì)在在于系統(tǒng)具有有的學(xué)習(xí)能力力，這點(diǎn)對(duì)于于新型攻擊的的檢測(cè)是很合合適的。當(dāng)然然，一個(gè)強(qiáng)大的的入侵檢測(cè)系系統(tǒng)要求結(jié)合合各種技術(shù)來(lái)來(lái)完成信息分分析工作，同同時(shí)也應(yīng)該考考慮到系統(tǒng)實(shí)實(shí)現(xiàn)的復(fù)雜性性和實(shí)時(shí)性。參考文獻(xiàn)：1 ESCCAMALLLA TIntruusion Detecction: Netwwork SSecuriity Beeyond the FFirewaallMNew YYork：JJohn WWiley and SSons IInc

33、, 119982 ULFF L, PPHILLIIP A PDeteccting compuuter aand neetworkk misuuse thhroughh the produuctionn-baseed exppert ssystemm toollset (P-BESST) ZZ 1999 IEEE Sympoosium on Seecuritty andd Privvacy, Califforniaa，19993 Sunndaramm A An inntroduuctionn to IIntrussion ddetecttion OLhttp:/ccrossrroads/xrds

34、22-4/intruss.htmll，20014 JAKKE R, LIN MM JIntruusion Detecction with Neuraal Nettworkss OLhttp:/wwww.veniiceconnsultiing.coom /techhnicall.asp, 200335 金 波，林家駿駿. 入侵檢測(cè)技技術(shù)評(píng)述JJ. 華東理工大大學(xué)學(xué)報(bào)，22000，111：1 460-11 466. (編編輯：曹大剛)The appplicattion oof arttificiial inntelliigencee in iintrussion ddetecttionGENG G

35、uuo-hua， KANNG Huaa (Deparrtmentt. of Compuuter SSciencce, Noorthweest Univeersityy , Xian 7100669, Chinna) Abstracct : TThe keey of intruusion detecction is hoow to find the iintrussive bbehaviiors eeffecttivelyy .Witth thee exteensionn of nnetworrk serrvicess , itt becaame moore annd morre divversifficateed andd compplicatted .Iff we sstill detecct succh behhaviorrs aree stilll dellectedd by hhand ,it iss obviious tthat iit cannt saatisfyy the need of reeal-tiime inntrusiion deetectiion ass welll as