神經(jīng)網(wǎng)絡(luò)在高效智能入侵檢測(cè)系統(tǒng)中的應(yīng)用

1、2022-3-26神經(jīng)網(wǎng)絡(luò)在高效智能入侵檢測(cè)系神經(jīng)網(wǎng)絡(luò)在高效智能入侵檢測(cè)系統(tǒng)中的應(yīng)用統(tǒng)中的應(yīng)用2022-3-261. 入侵檢測(cè)系統(tǒng)入侵檢測(cè)系統(tǒng)是動(dòng)態(tài)安全技術(shù)中最核心的技術(shù)之一。它通過(guò)對(duì)計(jì)算機(jī)網(wǎng)絡(luò)或計(jì)算機(jī)系統(tǒng)中若干關(guān)鍵點(diǎn)收集信息并對(duì)其進(jìn)行分析，從中發(fā)現(xiàn)網(wǎng)絡(luò)或系統(tǒng)中是否有違反安全策略的行為和被攻擊的跡象。（內(nèi)部和外部）誤報(bào)率、漏報(bào)率高。原因：傳統(tǒng)IDS所提取的用戶(hù)行為特征不能很好的反映實(shí)際的情況，所建立的正常模式或者異常模式 不夠完善?；谏窠?jīng)網(wǎng)絡(luò)的高效智能入侵檢測(cè)系統(tǒng)。2022-3-26 基于神經(jīng)網(wǎng)絡(luò)的高效智能入侵檢測(cè)系統(tǒng)構(gòu)想人工神經(jīng)網(wǎng)絡(luò)具體的實(shí)時(shí)入侵檢測(cè)模型圖2022-3-262. 構(gòu)想 把神

2、經(jīng)網(wǎng)絡(luò)作為異常檢測(cè)系統(tǒng)的統(tǒng)計(jì)分析部分的一種替代方法，用來(lái)識(shí)別系統(tǒng)用戶(hù)的典型特征，對(duì)用戶(hù)既定行為的重大變化進(jìn)行鑒別。將模式匹配模式匹配與人工神經(jīng)網(wǎng)絡(luò)技術(shù)人工神經(jīng)網(wǎng)絡(luò)技術(shù)結(jié)合在一起，構(gòu)成一個(gè)以已知的入侵規(guī)則為基礎(chǔ)、可擴(kuò)展可擴(kuò)展的動(dòng)態(tài)入侵事件檢測(cè)系統(tǒng)，自適應(yīng)的進(jìn)行特征提取與異常檢測(cè)，實(shí)現(xiàn)高效的入侵檢測(cè)及防御。用神經(jīng)網(wǎng)絡(luò)來(lái)過(guò)濾出接收數(shù)據(jù)當(dāng)中的可疑事件，并把這種事件轉(zhuǎn)交給系統(tǒng)作進(jìn)一步的處理。 這種結(jié)構(gòu)可以通過(guò)減少系統(tǒng)的開(kāi)銷(xiāo)和IDS誤報(bào)率來(lái)提高監(jiān)測(cè)系統(tǒng)的效用。2022-3-263. 人工神經(jīng)網(wǎng)絡(luò)人工神經(jīng)網(wǎng)絡(luò)（Artificial Neural Network,ANN)3層前向人工神經(jīng)網(wǎng)絡(luò)2022-3-26

3、 ANN是理論化的人腦神經(jīng)網(wǎng)絡(luò)的數(shù)學(xué)模型，是基于模仿大腦神經(jīng)網(wǎng)絡(luò)結(jié)構(gòu)和功能而建立的一種信息處理系統(tǒng)。實(shí)際上是由大量簡(jiǎn)單元件相互連接而成的復(fù)雜網(wǎng)絡(luò)，具有高度的非線(xiàn)性，能夠進(jìn)行復(fù)雜的邏輯操作和非線(xiàn)性關(guān)系實(shí)現(xiàn)的系統(tǒng)。ANN采取樣本學(xué)習(xí)的方式，直接從過(guò)程的輸入輸出關(guān)系提取信息，并反映到神經(jīng)原之間相互作用的權(quán)值上。整個(gè)網(wǎng)絡(luò)是一種并行協(xié)同處理系統(tǒng)；具有一定的智能特點(diǎn)，有自適應(yīng)、自學(xué)習(xí)、自組織的能力。2022-3-26 將神經(jīng)網(wǎng)絡(luò)用于攻擊檢測(cè)只要提供系統(tǒng)的審計(jì)數(shù)據(jù)，神經(jīng)網(wǎng)絡(luò)就可以通過(guò)自學(xué)習(xí)，從中提取正常的用戶(hù)或系統(tǒng)活動(dòng)的特特征模式征模式，獲得預(yù)測(cè)的能力，而不需要獲取描述用戶(hù)行為特征的特征集以及用戶(hù)行為特征測(cè)

4、度的統(tǒng)計(jì)分布。可以向神經(jīng)網(wǎng)絡(luò)展示新發(fā)現(xiàn)的入侵攻擊實(shí)例，通過(guò)再訓(xùn)練使神經(jīng)網(wǎng)絡(luò)能夠?qū)π碌墓裟Ｊ疆a(chǎn)生反應(yīng)，從而使入侵檢測(cè)系統(tǒng)具有自適應(yīng)的能力。當(dāng)神經(jīng)網(wǎng)絡(luò)學(xué)會(huì)了系統(tǒng)正常工作模式后，能夠?qū)ζx系統(tǒng)正常工作的事件做出反應(yīng)，進(jìn)而可以發(fā)現(xiàn)一些新的攻擊模式。2022-3-26 我們擬采用3層前向人工神經(jīng)網(wǎng)絡(luò)見(jiàn)圖(1)。3層前向人工神經(jīng)網(wǎng)絡(luò)由輸入層、隱層和輸出層組成，網(wǎng)絡(luò)中各神經(jīng)元接受前一級(jí)輸入，單輸出到下一級(jí)。訓(xùn)練過(guò)程中，將在這個(gè)3層前向神經(jīng)網(wǎng)絡(luò)的基礎(chǔ)上應(yīng)用經(jīng)過(guò)改進(jìn)的反向傳播學(xué)習(xí)算法(BP)算法。在本模型中，取Sigmoid函數(shù) 作為隱層神經(jīng)元的激發(fā)函數(shù)。輸出層神經(jīng)的輸入信息的計(jì)算公式與隱層的輸入公式類(lèi)似，輸

5、出層神經(jīng)元的激發(fā)函數(shù)可以取比例系數(shù)為1的線(xiàn)性函數(shù)，也可以取非線(xiàn)性函數(shù)。2022-3-26圖1 三層前向人工神經(jīng)網(wǎng)絡(luò) 1782022-3-26 圖2 模型原理圖2022-3-26 本模型中，首先需要收集一定量的網(wǎng)絡(luò)數(shù)據(jù)樣本供神經(jīng)網(wǎng)絡(luò)訓(xùn)練模塊學(xué)習(xí)，基本調(diào)節(jié)好神經(jīng)網(wǎng)絡(luò)的權(quán)值和閾值，并把這些信息交給神經(jīng)網(wǎng)絡(luò)過(guò)濾器使用。這樣神經(jīng)網(wǎng)絡(luò)過(guò)濾器可以開(kāi)始發(fā)揮功能了。在當(dāng)前的權(quán)值和閾值下，過(guò)濾器一旦發(fā)現(xiàn)可疑攻擊，就把數(shù)據(jù)交給模式匹配模塊進(jìn)行傳統(tǒng)的分析。而模式匹配模塊對(duì)于從數(shù)據(jù)庫(kù)中獲得的網(wǎng)絡(luò)SQLServer數(shù)據(jù)的所有分析結(jié)果，都要提供給神經(jīng)網(wǎng)絡(luò)訓(xùn)練模塊。神經(jīng)網(wǎng)絡(luò)訓(xùn)練模塊依靠不斷獲得的這些攻擊或正常的網(wǎng)絡(luò)數(shù)據(jù)信息，

6、本身進(jìn)行自適應(yīng)的調(diào)整，更新神經(jīng)網(wǎng)絡(luò)的權(quán)值和閾值，同時(shí)也就更新了神經(jīng)網(wǎng)絡(luò)過(guò)濾器的設(shè)置，從而提高了過(guò)濾器對(duì)于攻擊的識(shí)別分析能力。這完全是一個(gè)在實(shí)際應(yīng)用中動(dòng)態(tài)自適應(yīng)的過(guò)程。2022-3-26 神經(jīng)網(wǎng)絡(luò)學(xué)習(xí)樣本的收集和結(jié)構(gòu)設(shè)計(jì)神經(jīng)網(wǎng)絡(luò)學(xué)習(xí)樣本的收集和結(jié)構(gòu)設(shè)計(jì) 收集數(shù)據(jù)包需要注意數(shù)據(jù)包樣本應(yīng)該具有代收集數(shù)據(jù)包需要注意數(shù)據(jù)包樣本應(yīng)該具有代表性，廣泛性，要考慮到各種模式之間的平衡。表性，廣泛性，要考慮到各種模式之間的平衡。 從網(wǎng)探那里獲得完整的包，通過(guò)預(yù)處理程序過(guò)濾出TCP包，然后取包頭的重要字段存入數(shù)據(jù)庫(kù)，組成大部分神 經(jīng)網(wǎng)絡(luò)的輸入。這些字段從IP頭和TCP頭中抽取， IP頭中抽 取的字段包括頭長(zhǎng)度、總長(zhǎng)

7、度、生命期、源地址、目的地址； TCP頭中抽取的字段包括源端口、目的端口、控制位。這些字段信息還需進(jìn)行預(yù)處理，才能作為神經(jīng)網(wǎng)絡(luò)的輸入。 2022-3-26 神經(jīng)網(wǎng)絡(luò)的訓(xùn)練和檢測(cè)神經(jīng)網(wǎng)絡(luò)的訓(xùn)練和檢測(cè) 輸入的樣本共有8個(gè)字 段，所以網(wǎng)絡(luò)的輸入層設(shè)計(jì)為8個(gè)神經(jīng)元，輸出層有1個(gè)神經(jīng) 元，網(wǎng)絡(luò)輸出值在 (0 ，1) 之間， 0表示無(wú)攻擊， 1表示有攻擊。隱含層的神經(jīng)元數(shù)目確定比較復(fù)雜，并無(wú)確定的法則，只能通過(guò)一些經(jīng)驗(yàn)法則，借助于實(shí)驗(yàn)來(lái)確定。 我們采用的神經(jīng)網(wǎng)絡(luò)的學(xué)習(xí)算法是改進(jìn)的反向傳播學(xué)習(xí)算法算法，增加了附加動(dòng)量項(xiàng)，輸入層激發(fā)函數(shù)為線(xiàn)性(BP )函數(shù)，隱藏層和輸出層的激發(fā)函數(shù)都為Sigmoid函數(shù)。在反

8、向過(guò)程中，將求得的神經(jīng)網(wǎng)絡(luò)輸出值與期望輸出值相比較，并將比較所得差別作為誤差輸回到神經(jīng)網(wǎng)絡(luò)中，以調(diào)整神經(jīng)網(wǎng)絡(luò)的權(quán)值和閾值。2022-3-26 訓(xùn)練的主要目的就是利用反向?qū)W習(xí)來(lái)獲得理想的權(quán)值和閾值。由于訓(xùn)練數(shù)據(jù)的量一般都比較大，我們采用批處理的方法，即對(duì)一批樣本進(jìn)行計(jì)算后，分別求出這批樣本的輸出誤差及其對(duì)應(yīng)的連接權(quán)修正值，然后求出這些誤差的均值和連接權(quán)修正值的均值，用均值連接權(quán)進(jìn)行一次修正。這樣可以提高網(wǎng)絡(luò)學(xué)習(xí)的速度。神經(jīng)網(wǎng)絡(luò)經(jīng)過(guò)訓(xùn)練后，生成了合適的權(quán)值和閾值，有了權(quán)值和閾值，神經(jīng)網(wǎng)絡(luò)便能對(duì)網(wǎng)絡(luò)數(shù)據(jù)進(jìn)行檢測(cè)。經(jīng)過(guò)訓(xùn)練后的神經(jīng)網(wǎng)絡(luò)具有非?？斓臋z測(cè)速度，實(shí)時(shí)性將非常強(qiáng)。2022-3-264. 結(jié)論下

9、面是在MATLAB環(huán)境下實(shí)現(xiàn)的實(shí)驗(yàn)結(jié)果。由實(shí)驗(yàn)結(jié)果可知，在學(xué)習(xí)到14步或9步時(shí)，前向神經(jīng)網(wǎng)絡(luò)就可以達(dá)到要求的精度。由此可見(jiàn)，利用神經(jīng)網(wǎng)絡(luò)也不失為一種較好的實(shí)現(xiàn)入侵檢測(cè)的方法。2022-3-262022-3-26TRAINLM, Epoch 0/1000, MSE 0.311482/0.01, Gradient 0.88205/1e-010TRAINLM, Epoch 14/1000, MSE 0.00357177/0.01, Gradient 0.0709494/1e-010TRAINLM, Performance goal met.Y = 0.9967 0.0006 0.0009 0.001

10、9 0.0000 0.9833 0.0480 0.0043 0.0101 0.0105 0.9359 0.0908 0.0042 0.1070 0.0311 0.85862022-3-262022-3-26TRAINLM, Epoch 0/1000, MSE 0.291114/0.01, Gradient 0.966068/1e-010TRAINLM, Epoch 9/1000, MSE 0.000700908/0.01, Gradient 0.0522145/1e-010TRAINLM, Performance goal met.Y = 0.9627 0.0003 0.0001 0.0004 0.0000 0.9948 0.0027 0.0012 0.0000 0.0005 0.8082 0.0001 0.0425 0.0001 0.0022 0.92712022-3-26 1. Kevin M. Passino, S