智能神經(jīng)網(wǎng)絡(luò)在Internet入侵檢測中的應(yīng)用

1、智能神經(jīng)網(wǎng)絡(luò)在Internet入侵檢測中的應(yīng)用* 本文承蒙國家自然科學(xué)資金以及四川省重點(diǎn)科研項目基金的資助。肖瀛 李濤 王先旺 冷麗琴 劉峰 尹鵬1 肖瀛，王先旺，冷麗琴，劉峰，尹鵬 碩士研究生；李濤，教授，研究方向：人工智能，神經(jīng)網(wǎng)絡(luò)，Internet 核心技術(shù)等。四川大學(xué)（西區(qū)）計算機(jī)系 成都610065摘要本文探討了一個基于智能神經(jīng)網(wǎng)絡(luò)的網(wǎng)絡(luò)入侵檢測系統(tǒng)模型。在對網(wǎng)絡(luò)中的IP數(shù)據(jù)包進(jìn)行分析處理以及特征提取的基礎(chǔ)上，采用智能神經(jīng)網(wǎng)絡(luò)進(jìn)行學(xué)習(xí)或判別,以達(dá)到對未知數(shù)據(jù)包進(jìn)行檢測的目的。由于智能神經(jīng)網(wǎng)絡(luò)可以將多種多樣的入侵檢測任務(wù)劃分為多個單一的檢測任務(wù)，分配給功能專一、結(jié)構(gòu)簡單的較小的智能神經(jīng)

2、網(wǎng)絡(luò)來完成。實驗證明這是一種行之有效的網(wǎng)絡(luò)入侵檢測的解決方法。關(guān)鍵字Internet入侵檢測，智能神經(jīng)網(wǎng)絡(luò)，IP數(shù)據(jù)包，Bp算法分類號TP31A New Method for Internet Intrusion DetectionXiao Ying ,Li Tao ,Wang Xianwang ,Leng Liqin ,Liu Feng ,Yin Peng(Dept. of Computer Science, Sichuan University, Chengdu 610065)Abstract This paper presents a prototype of a intrusion d

3、etection system based on intelligent neural networks, which works by capturing packets and using a intelligent neural network to learn or identify an intrusive behavior within the analyzed data stream. The intelligent neural networks can divide the intricate task of intrusion detection into several

4、single ones, and which will be operated by the some smaller intelligent neural network respectively. It is proved to be a good means for intrusion detection.Keywords Internet Intrusion Detection, Intelligent Neural Networks, IP data Steam, BP Algorithm一、前 言目前已經(jīng)出現(xiàn)了許多種入侵檢測系統(tǒng)（IDS）技術(shù)12，分為基于主機(jī)的入侵檢測和基于網(wǎng)絡(luò)的

5、入侵檢測?；谥鳈C(jī)的入侵檢測主要使用日志跟蹤，而基于網(wǎng)絡(luò)的入侵檢測則主要通過對網(wǎng)絡(luò)上數(shù)據(jù)包的分析來進(jìn)行。本文是想建立一個基于智能神經(jīng)網(wǎng)絡(luò)的入侵檢測模型，它屬于基于網(wǎng)絡(luò)的入侵檢測技術(shù)。由于它必須能分辨出當(dāng)前連接是否屬于惡意連接，因此我們必須對連接中傳輸?shù)臄?shù)據(jù)包信息進(jìn)行分析，提取數(shù)據(jù)包中的特征信息，以及攻擊行為的特征，然后將提取的信息輸入到智能神經(jīng)網(wǎng)絡(luò)中進(jìn)行學(xué)習(xí)，將獲取的知識以隱性形式儲存在神經(jīng)網(wǎng)絡(luò)中。智能神經(jīng)網(wǎng)絡(luò)可以看成是一個非常大的智能神經(jīng)元3，由多個較小的具有一定功能的智能神經(jīng)網(wǎng)絡(luò)構(gòu)成，而較小的智能神經(jīng)網(wǎng)絡(luò)可以由許多更小的智能神經(jīng)網(wǎng)絡(luò)構(gòu)成，直到最簡單的神經(jīng)元。因此，可以將復(fù)雜多樣的檢測任務(wù)劃

6、分為多個小的只針對幾種攻擊進(jìn)行檢測的任務(wù)，分別由各個小的智能神經(jīng)網(wǎng)絡(luò)完成，然后將它們組成一個功能強(qiáng)大的大智能神經(jīng)網(wǎng)絡(luò)。實驗表明，經(jīng)過大量的樣本數(shù)據(jù)訓(xùn)練好的智能神經(jīng)網(wǎng)絡(luò)可用于入侵檢測，它比傳統(tǒng)神經(jīng)網(wǎng)絡(luò)更易于擴(kuò)充知識和升級。二、攻擊數(shù)據(jù)1 數(shù)據(jù)的收集：攻擊數(shù)據(jù)和正常數(shù)據(jù)都是在可控制的網(wǎng)絡(luò)環(huán)境下通過模擬入侵和正常網(wǎng)絡(luò)運(yùn)行收集的，攻擊程序是根據(jù)或http:/www.geek-2 攻擊的特征：不同的攻擊有著不同的特征。例如，land攻擊的特征為其源IP地址與目的IP地址相同；ping攻擊的特征是其ICMP包的長度大于65536個字節(jié)；scan null這種掃描的特征是其seq位和ack位均為“0”。這些

7、攻擊的共同點(diǎn)在于它們的特征都體現(xiàn)在數(shù)據(jù)包的包頭中，因此我們可以將數(shù)據(jù)包的包頭部分轉(zhuǎn)化為可供智能神經(jīng)網(wǎng)絡(luò)學(xué)習(xí)的向量值，利用智能神經(jīng)網(wǎng)絡(luò)的自學(xué)習(xí)、自適應(yīng)能力，將各種攻擊分類識別。三、入侵檢測模型的結(jié)構(gòu)本入侵檢測系統(tǒng)分為以下4個部分。其運(yùn)行流程如圖1所示。1 數(shù)據(jù)捕捉模塊：負(fù)責(zé)抓取網(wǎng)絡(luò)中的數(shù)據(jù)包，送入分析模塊。通過系統(tǒng)調(diào)用initdevice()來創(chuàng)建SOCK_PACKET類型的套接口,并將網(wǎng)絡(luò)接口設(shè)設(shè)置成混雜模式。由此可以監(jiān)聽整個網(wǎng)段的數(shù)據(jù)，然后系統(tǒng)調(diào)用readdevice()來接收數(shù)據(jù)包，pktlen為包的字節(jié)數(shù)，返回即得到數(shù)據(jù)包的指針pkt。2 分析模塊：做初步的過濾工作。首先，判斷IP協(xié)議是

8、否為IPV4，若否則丟棄。然后對IP包進(jìn)行格式檢查，若有分片則進(jìn)行重組。接著，判別它是TCP包、UDP包或是ICMP包，根據(jù)包的不同嗐協(xié)議類型，調(diào)用不同的程序段進(jìn)行語義分析。將符合要求的數(shù)據(jù)包中的信息（如：IP地址、端口、包長度等等）送往預(yù)處理模塊。N移動pkt,指向TCP/UDP/ICMP的首部協(xié)議判別化為158個分向量神經(jīng)網(wǎng)絡(luò)模塊有效協(xié)議返回錯誤3 預(yù)處理模塊：產(chǎn)生對智能神經(jīng)網(wǎng)絡(luò)的輸入值。它將從分析模塊接受到的信息轉(zhuǎn)換為具有158個分向量的特征向量，送往智能神經(jīng)網(wǎng)絡(luò)學(xué)習(xí)或判別。具體的編碼方式如下：1 TCP包： 132位二進(jìn)制數(shù)表示源IP地址。 3364位二進(jìn)制數(shù)表示目的IP地址。 656

9、6位固定為“01”，表示傳輸類型。 6780位表示源端口，將端口編為14位長的二進(jìn)制數(shù)，對于16383以上的不常用端口統(tǒng)一用14位的“0”表示。 8194位表示目的端口，同上。 95126位為Seq位編碼。 127158位為Ack位編碼。2 ICMP包： 132位二進(jìn)制數(shù)表示源IP地址。 3364位二進(jìn)制數(shù)表示目的IP地址。 6566位固定為“11”，表 示傳輸類型。 6798位為ID位編碼。 99114位為IP包片偏移的編碼。 115126位為IP包分片大小的編碼。表1 一個TCP包的處理例子 127158位全為“0”，以補(bǔ)足158位，從而與TCP包共用神經(jīng)網(wǎng)絡(luò)輸入層。4 智能神經(jīng)網(wǎng)絡(luò)模塊：

10、系統(tǒng)采用的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)如圖2，圖3所示。其中，小網(wǎng)可獨(dú)立運(yùn)行，并完成四種攻擊的分類，大網(wǎng)組合兩個小網(wǎng)，共可完成8種攻擊的識別。圖2 大網(wǎng)的拓?fù)浣Y(jié)構(gòu)圖3 小網(wǎng)的拓?fù)浣Y(jié)構(gòu)輸出層（5個神經(jīng)元）隱含層（40個神經(jīng)元）輸入層（158個神經(jīng)元）158個特征輸入值輸出層（9個神經(jīng)元）隱含層（2個神經(jīng)元）158個特征輸入值輸入層（158個神經(jīng)元）每個隱層單元的拓?fù)浣Y(jié)構(gòu)如圖3所示小網(wǎng)的學(xué)習(xí): 訓(xùn)練第I（I=1,2）個小智能神經(jīng)網(wǎng)絡(luò)時，用第I組攻擊樣本進(jìn)行學(xué)習(xí)，一共有4*200個攻擊訓(xùn)練樣本和200個正常訓(xùn)練樣本，對每個訓(xùn)練樣本，除了它所對應(yīng)的輸出神經(jīng)元的輸出為“1”外，其余4個輸出神經(jīng)元均輸出“0”。小網(wǎng)學(xué)習(xí)好

11、后保存其權(quán)值、閾值及所識別的漢字。大網(wǎng)的學(xué)習(xí): 將學(xué)習(xí)好的2個小智能神經(jīng)網(wǎng)絡(luò)聯(lián)合，小網(wǎng)內(nèi)部狀態(tài)保持不變（作為一個獨(dú)立的智能神經(jīng)元），用含有8種攻擊的訓(xùn)練樣本對大智能神經(jīng)網(wǎng)絡(luò)進(jìn)行訓(xùn)練，權(quán)值的調(diào)整只發(fā)生在每個小網(wǎng)的輸出神經(jīng)元到大網(wǎng)的輸出神經(jīng)元的連接權(quán)值上，閾值的調(diào)整只發(fā)生在大網(wǎng)的輸出神經(jīng)元上，調(diào)整算法采用傳統(tǒng)BP算法，并采用如下的推理規(guī)則：l 如果2個小網(wǎng)的2*4個輸出中，只有一個為“1”，則第I（I=1,2）個小網(wǎng)競爭勝利，它的第J個神經(jīng)元輸出“1”，那么強(qiáng)行置大網(wǎng)的第I*2+J個輸出為“1”，其余輸出均為“0”。 l 2個小網(wǎng)的2*4個輸出中有多個“1”，那么用擴(kuò)展BP算法調(diào)整小網(wǎng)的輸出神經(jīng)元

12、到大網(wǎng)的輸出神經(jīng)元之間的連接權(quán)值以及大網(wǎng)輸出神經(jīng)元的閾值。TCP包頭部部分信息一個TCP數(shù)據(jù)包提取的智能神經(jīng)網(wǎng)絡(luò)輸入值源IP地址2711001010011100110011110011100011源端口80801111110010000目的IP地址5811001010011011000111101110011110目的端口102410000000000協(xié)議類型TCP01Seq段243500000000000000000000100110000011Ack段456234600000000010001011001110110101010共有8*20

13、0個攻擊訓(xùn)練樣本和200個正常訓(xùn)練樣本，對每個訓(xùn)練樣本，除了它所對應(yīng)的大網(wǎng)輸出神經(jīng)元輸出為“1”外，其余8個大網(wǎng)輸出神經(jīng)元均輸出“0”。大網(wǎng)學(xué)習(xí)好后保存其權(quán)值、閾值。四、實驗結(jié)果本實驗是在賽揚(yáng)466,64M內(nèi)存，WINDOWS98環(huán)境下進(jìn)行的。表2是使用大智能神經(jīng)網(wǎng)絡(luò)進(jìn)行檢測的結(jié)果。為了更好地測試這種方法的有效性，與傳統(tǒng)神經(jīng)網(wǎng)絡(luò)（拓?fù)浣Y(jié)構(gòu)為：158個輸入神經(jīng)元，40個隱含神經(jīng)元，9個輸出神經(jīng)元）進(jìn)行了比較，如表3所示。攻擊名稱識別率誤警率攻擊名稱識別率誤警率Land96%5%DDos-TFN client command LE88.875%0.025%Backdoor 99%0.075%DDo

14、s TFN client command BE96.5%0.025%Scan null100%0ICMP Broad Smurf Scanner95.375%0.01%Ddos shaft synflood incoming100%0.083%Ping of death99.25%0學(xué)習(xí)時間平均識別率平均誤警率有規(guī)則的智能神經(jīng)網(wǎng)絡(luò)12分40秒96.875%0.65225%無規(guī)則的智能神經(jīng)網(wǎng)絡(luò)1小時14分31秒96.225%0.575%傳統(tǒng)神經(jīng)網(wǎng)絡(luò)2小時52分26秒94.375%0.325%表3 傳統(tǒng)神經(jīng)網(wǎng)絡(luò)與智能神經(jīng)網(wǎng)絡(luò)的比較表2 八種攻擊的比較五、結(jié) 論本實驗通過研究網(wǎng)絡(luò)入侵檢測這樣一個復(fù)雜

15、任務(wù)，在智能神經(jīng)網(wǎng)絡(luò)組成原理的基礎(chǔ)上，提出了一種神經(jīng)網(wǎng)絡(luò)解決大規(guī)模、復(fù)雜問題的方案：先訓(xùn)練好各個功能專一、結(jié)構(gòu)簡單的小網(wǎng)，然后聯(lián)合各個小網(wǎng)構(gòu)建功能強(qiáng)大的大網(wǎng)。與傳統(tǒng)神經(jīng)網(wǎng)絡(luò)相比，由于智能神經(jīng)網(wǎng)絡(luò)中大網(wǎng)的學(xué)習(xí)建立在已學(xué)習(xí)好的小網(wǎng)的基礎(chǔ)上，收斂速度明顯快許多，并且在加入新的攻擊檢測時，它只需加入一個小網(wǎng)，對大網(wǎng)進(jìn)行一定調(diào)整即可，而不需要象傳統(tǒng)神經(jīng)網(wǎng)絡(luò)必須全部重新訓(xùn)練專家系統(tǒng)，這更易于復(fù)雜任務(wù)的完成和知識的擴(kuò)充。本實驗證明這是一種行之有效的入侵檢測方法。參考文獻(xiàn)1 W. Lee, S. J. Stolfo, and K. Mok. Data mining in work flow environme

16、nts: Experiences in intrusion detection. In Proceedings of 1999 Conference on Knowledge Discovery and Data Mining(KDD-99),1999.2 Christina Warrender, Stephanie Forrest, and Barak Pearlmutter. Detecting intrsions using system calls:alternative data models. In Proceedings of the 1999 IEEE Symposium on Security and