网络入侵的方法与检测

网络入侵的方法与检测（精选十篇）

网络入侵的方法与检测 篇1

近年来,入侵检测技术逐渐成为一种主动的保护网络安全的新技术,它可以和防火墙相互补充,对网络和主机系统上的可疑行为进行策略应对。本文设计了一个基于网络的入侵检测系统,采用一种基于隐马尔可夫模型的异常检测技术,并进行了实验,结果表明,该方法能有效地提高检测效率,改善系统的误报率。

1隐马尔可夫模型(HMM)介绍

1.1马尔可夫链

设随机序列X={X1,…,XT),其离散状态空间S={s1,…,sN},若满足:${\rm P}(X{}_{m+k}=s{}_i|X{}_1,\cdots ,X{}_m=s{}_j)={\rm P}(X{}_{m+k}=s{}_i|X{}_m=s{}_j)\forall m,k\in {\rm N}{}^{+}$则X具有马尔可夫属性。我们主要讨论当k=1时,一步转移概率的情况,记$a{}_{ij}={\rm P}(X{}_{t+1}=s{}_i|X{}_t=s{}_j)$。通常我们用转移概率矩阵A来描述:

$A=\left[\begin{array}{ccc}a{}_{11}& \cdots & a{}_{1{\rm N}}\\ \cdots & & \cdots \\ a{}_{{\rm N}1}& \cdots & a{}_{{\rm N}{\rm N}}\end{array}\right]\forall i,j0\le a{}_{ij}\le 1$

并且$\forall i{\displaystyle \sum _{j=1}^{{\rm N}}a}{}_{ij}=1$ (1)

还引入初始概率矢量 :π=(π1,…,πN):πi=P(X1=si),0≤πi≤1,并且有

${\displaystyle \sum _{i=1}^{{\rm N}}\text{π}}{}_i=1$ (2)

1.2隐马尔可夫模型

隐马尔可夫模型是在马尔可夫链的基础上发展来的,是描述随机过程统计的概率模型,有内部状态和外部观察值。它是一个双重随机过程,其中一个马尔可夫链描述了内部状态的转移规律;另一个随机过程则描述了内部状态与外部观察值之间的统计对应关系。隐马尔可夫模型的参数可以描述如下:

内部状态集合:

Q={q0,q1,…,qN-1} Q=N (3)

观察值集合:

V={0,1,…,M-1} V=M (4)

状态的转移概率:A如(1)式。

观察值概率矩阵:

$B=\{b{}_j(k)\}b{}_j(k)={\rm P}({\rm O}{}_t=k|X{}_t=q{}_j)$ (5)

观察序列:

O=(O0,O1,…,OT-1) O=T Oi∈V

i=0,1,…,T-1 T为时间长度 (6)

初始概率矢量:π如(2)式。

因此,隐马尔可夫模型可以用λ=(N,M,A,B,π)来描述。

1.3隐马尔可夫模型三个基本问题

1) 估值问题

给定参数λ=(N,M,A,B,π),求观察序列O=(O0,O1,…,OT-1)的产生概率P(Oλ)。

为了降低复杂度,本文采用了Baum等人提出的前向算法,其定义如下:

αt(i)=P(O0,O1,…,Ot,xt=qiλ) (7)

(1) 初始化

α0(i)=πibi(O0) i=0,1,…,N-1 (8)

(2) 递归

对于t=1,2,…,T-1,i=0,1,…,N-1有

$\alpha {}_t(j)=b{}_i({\rm O}{}_t){\displaystyle \sum _{j=0}^{{\rm N}-1}\alpha }{}_{t-1}(i)a{}_{ij}$ (9)

(3) 终结

P(O$\lambda )={\displaystyle \sum _{i=0}^{{\rm N}-1}\alpha }{}_{{\rm T}-1}(i)$ (10)

2) 解码问题

即给定参数λ=(N,M,A,B,π),和观察序列O=(O0,O1,…,OT-1),求最有可能产生O的内部状态序列X=(X0,X1,…,XT-1)。

3) 训练问题

给定N和M,以及观察序列O=(O0,O1,…,OT-1),如何确定参数λ=(N,M,A,B,π),使得P(Oλ)最大。

本文采用Baum-Welch算法[1]来训练样本。令:

ξt(i,j)=P(O,Xt=qi,Xt+1=qjλ) (11)

表示在给定观察序列O和λ=(N,M,A,B,π)时,t时刻状态qi转移到t+1时刻qj的概率。又令:

βt(i)=P(Ot+1,Ot+2,…,OT-1Xt=qi,λ) 1≤t≤T-1 (12)

根据前向算法可以得到:

$\xi {}_t(i,j)=\frac{[\alpha {}_t(i)a{}_{ij}b{}_j({\rm O}{}_{t+1})\beta {}_{t+1}(j)]}{{\rm P}({\rm O}|\lambda )}$ (13)

ξt(i)=P(O,Xt=qiλ)=${\displaystyle \sum _{j=0}^{{\rm N}-1}\xi }{}_t(i,j)=\frac{\alpha {}_t(i)\beta {}_t(i)}{{\rm P}({\rm O}|\lambda )}$ (14)

表示t时刻状态为qi的概率。由此可以得出重估公式:

$\stackrel{-}{{\displaystyle \text{π}{}_i}}=\xi {}_1(i)\stackrel{-}{{\displaystyle a{}_{ij}}}=\frac{{\displaystyle \sum _{t=1}^{{\rm T}-1}\xi }{}_t(i,j)}{{\displaystyle \sum _{t=1}^{{\rm T}-1}\xi }{}_t(i)}$

$\stackrel{-}{{\displaystyle b{}_{jk}}}=\frac{{\displaystyle \sum _{t=1}^{{\rm T}-1}\xi }{}_t(j)(\text{其}\text{中}{\rm O}{}_t=V{}_k)}{{\displaystyle \sum _{t=1}^{{\rm T}-1}\xi }{}_t(j)}$ (15)

训练过程就是根据观察序列O和选取的初始模型λ=(N,M,A,B,π),通过重估公式,计算出新的$\overline{\lambda }=({\rm N},{\rm M},\overline{A},\overline{B}‚\overline{\text{π}})$使得P(O$\overline{\lambda })>{\rm P}({\rm O}$λ)。然后重复这个过程,直到P(Oλ)收敛,则此时的模型为所求的模型。

2基于隐马尔可夫模型的网络入侵检测系统的设计

2.1系统的组成模块

本系统主要由以下几部分组成:数据包捕获模块,数据包解析模块,预处理模块,基于隐马尔可夫模型的学习模块和基于隐马尔可夫模型的异常检测模块。

2.2数据包解析模块

数据包捕获模块用于捕获和过滤网络上流向被监控主机的数据包。解析模块负责对捕获的数据包进行分析,通过分析其结构,检查数据包的报头,确定是哪一类型的数据包,从而能提取出该类数据包的特征。本文以TCP协议类型的数据包为例,取TCP数据包的标志位组合和端口范围作为特征。

2.3预处理模块

预处理模块则是把这些特征进行编码,作为模型的观察值序列供隐马尔可夫模型学习和检测。对TCP数据包的标志位编码,共有9个观察值,如表1所示。

然后对TCP数据包端口范围进行编码。如果其端口范围大于1024时,编码为a;小于等于1024时,编码为b。观察值为2个[2]。

2.4学习模块

学习模块通过Baum-Welch算法对一组观察值序列进行训练,然后建立用于检测的隐马尔可夫模型。本实验共建立了两个模型。

入侵检测的检测结果有两个状态,一个是正常状态,另一个是异常状态。则隐马尔可夫模型的内部状态也对应有两个,0表示为正常状态,1表示异常状态,Q={0,1),N=2。状态转移概率矩阵为:

$A=\left[\begin{array}{cc}a{}_{00}& a{}_{01}\\ a{}_{10}& a{}_{11}\end{array}\right]$

TCP标志位的观察值集合有V1={a,b,…,i},M1=9,其观察值概率矩阵:

$B=\left[\begin{array}{cccc}b{}_0(a)& b{}_0(b)& \cdots & b{}_0(i)\\ b{}_1(a)& b{}_1(b)& \cdots & b{}_1(i)\end{array}\right]{}_{2\times 9}$

端口范围的观察值集合有V2={a,b},M2=2,其观察值概率矩阵:

$C=\left[\begin{array}{cc}c{}_0(a)& c{}_0(b)\\ c{}_1(a)& c{}_1(b)\end{array}\right]$

然后根据重估公式(15),分别计算P(O|λ),其最大值则为所求的模型。

2.5异常检测模块

异常检测模块利用前向算法计算捕获的观察值序列的概率,再通过与一个阈值的比较来确定捕获数据包是否异常,是否对主机存在威胁。

我们利用前向算法算出一个观察值序列的P(O|λ),再计算P(O|λ)的负对数,即-log(PO|λ))。然后再设两个阈值m和n,如果负对数大于阈值m,则表示一个异常;如果一个时间段内出现的异常数大于阈值n,则表示一个入侵。阈值的确定是非常重要的,直接决定系统的检测效率。这需要根据实际情况,再经过大量的测试来确定。

2.6仿真实验

在实验中,对两个模型分别用50000个和10000个TCP数据包进行训练,以1000个为一个观察序列,O={O0,O1,…,O999},T=1000。选取初始概率矢量

$\text{π}=\left\{\text{π}{}_0=\frac{98}{900}‚\text{π}{}_1=\frac{2}{100}\right\}‚A=\left[\begin{array}{cc}\frac{49}{100}& \frac{49}{100}\\ \frac{1}{100}& \frac{1}{100}\end{array}\right]‚B=\left[\begin{array}{cccc}\frac{98}{900}& \frac{98}{900}& \cdots & \frac{98}{900}\\ \frac{2}{900}& \frac{2}{900}& \cdots & \frac{2}{900}\end{array}\right]‚C=\left[\begin{array}{cc}\frac{80}{100}& \frac{18}{100}\\ \frac{1}{100}& \frac{1}{100}\end{array}\right]$

计算P(O|λ),分别得到最大值P1=0.208,P2=0.173。然后再计算P(O|λ)的负对数,取最大的一个,得到m=0.681;根据观察值序列,取n=5。

在异常检测中,以20个数据包为一个观察序列,O={O0,O1,…,O19},T=20。分别取2000和5000个数据包进行两次测试。我们又用同样的训练和检测样本建立了一个基于BP神经网络的异常检测模型用于比较。它是一个标准的三层神经网络,输入层神经元20个,隐层30个,输出层2个[6]。训练样本用于确定神经网络的权值和阈值。实验结果(如表2)表明,当测试数据包到达一定量时,相比于BP神经网络模型,基于隐马尔可夫模型的异常检测效率明显要高。

3结论

本文建立了两个隐马尔可夫模型,通过对数据包的分析,得出系统的检测结果。与基于BP神经网络的检测模型相比,采用本算法计算时间短,效率高。实验数据表明,该方法能有效地提高异常检测效率,对入侵检测具有重要价值。

参考文献

[1]Dempster A P,Laird N M,Rubin D B.Maximu likelihood from incom-plete data via the EMalgorithm.J.Roy.Stat.Soc.,1977,39(1):1-38.

[2]赵玉明.基于隐马尔可夫模型的网络入侵检测系统研究.广东工业大学硕士学位论文,2005.

[3]唐正军.网络入侵检测系统的设计与实现[M].电子工业出版社,2002.

[4]朱义鑫.基于网络的隐马尔可夫异常检测技术研究.新疆大学硕士学位论文,2005.

[5]蒋建春,冯登国.网络入侵检测原理与技术.国防工业出版社,2001.

高速网络环境下的入侵检测 篇2

实现高速网络中实时入侵检测与预警已经成为目前网络安全所面临的问题.笔者首先分析了当前入侵检测系统中模式匹配算法,对模式匹配算法作了改进;接着对Rete算法进行了分析,并针对Rete算法的不足,在Rete网算法的基础上引入了FRete网算法,在此基础上建立了一种基于FRete匹配算法的`推理机,对可疑事实进行推理;然后在此基础上设计了一种基于高速网络环境的入侵检测系统;最后建立了对入侵检测系统进行性能测试的仿真实验环境.通过上述的改进,提高了入侵检测系统的运行速度和效率,能较好地适应高速网络环境下的入侵检测.

作 者：徐成 喻飞 李红 朱淼良 XU Cheng YU Fei LI Hong ZHU Miao-liang 作者单位：徐成,李红,XU Cheng,LI Hong(湖南大学计算机与通信学院)

喻飞,YU Fei(湖南大学计算机与通信学院;浙江大学人工智能研究所)

朱淼良,ZHU Miao-liang(浙江大学人工智能研究所)

网络入侵检测取证模型的构建与实现 篇3

【关键词】入侵检测；取证模型；网络技术

网络是现代人们获取数据信息的重要途径，随着人们对网络依赖程度越来越高，网络非法入侵的行为活动也日益增多，不但侵犯了人们的个人隐私信息，甚至威胁到社会的安全和稳定。传统的网络安全防御机制已经远远不能适应现代信息技术的飞速发展，网络黑客采用创新型的入侵方法进行攻击。网络取证技术的应用主要是获取网络黑客的入侵攻击痕迹，进行分析后得到网络电子证据，以此对网络黑客发起控诉。

1.网络取证技术

网络取证技术指的是利用计算机技术、通信技术和网络数据信息取得网络犯罪分子的犯罪证据，包括网络监听技术、数据鉴定技术、数字过滤技术、身份认证技术和漏洞扫描技术等。网络取证技术主要具有两种特性，一是多样性，二是复杂性，由此可见，网络取证技术设计的信息技术面非常广泛，综合利用方面也十分复杂。

1.1网络证据分析技术

网络证据分析技术主要是将获得的数据信息流利用关键词、关键字匹配的方法查询相关数据信息，网络证据分析技术包括网络IP数据信息重组、网络传输协议数据重组、网络日志分析还原，以及数据挖掘技术、数据统计技术、摘要分析技术、关键字和关键词查找技术、数据加密解密技术和密码破解技术等。

1.2网络证据保真传输技术

网络证据保真技术主要是对网络取证过程和数据信息证据进行有效保护，网络证据保真技术设计多种信息技术，包括数字签名技术、证书认证技术、数据加密技术、数据恢复技术等。网络证据传输技术的使用流程是将目标终端作为收集源，将网络中某种数据信息作为目标，将定向收集的网络数据信息安全传输给网络取证载体，使载体可以将其有效保存。

1.3网络证据搜集存储技术

网络证据收集技术和网络证据保存技术是网络取证过程的基础保障，以上两种技术的应用目的是有效保证网络证据的完整性。网络证据收集存储技术将数据信息作为载体，将其进行适当有序的整理之后，对其完整性和可用性进行有效保护，使数字信息在目标终端与数据信息载体之间保持传输一致。

2.网络入侵检测取证方法

网络入侵事件指的是非法入侵者意图对网络进行攻击，破坏网络信息资源的可用性、完整性和保密性。网络入侵检测指的是对以上非法行为活动的检测，通过对网络入侵事件中的关键字、关键词和现场数字信息进行收集整理后，利用网络软件系统对其内在的安全隐患问题进行检查，网络入侵检测系统指的是将软件应用程序与硬件设备有机结合，对网络非法攻击行为进行实时检测。

网络取证技术与网络入侵检测技术相同，都需要对获得的数据信息进行分析统计，以此获取违反安全规定的数据信息。因此，这两种技术在研究对象、分析方法和最终目标等方面具有相近之处。网络入侵检测是利用关键字、关键词匹配技术、神经网络技术和专家分析技术等获取网络犯罪证据。被网络入侵检测系统截获的网络日志、应用程序和数据信息包等，都可以作为网络取证的依据。

因此，将网络入侵检测作为网络取证过程中的关键内容，一直受到了信息安全领域专家学者们的广泛关注。但是，目前市场上网络入侵检测产品缺乏统一标准，其获取的数据信息当作为证据时缺乏法律效力。由此，网络入侵检测产品还不能作为网络取证的主要依据，但网络入侵检测产品非常适合收集和保存攻击数据信息，虽然网络入侵检测产品不能精准定位网络非法攻击者的位置，但作为网络取证的重要工具，可以实时收集和存储大量网络攻击数据信息。

3.网络入侵检测取证模型构建

本文在研究网络入侵检测取证方法的基础之上，提出了网络入侵检测取证模型构建方案。

3.1数据信息采集模块

数据信息采集模块主要作用是将原始数据信息进行有效收集和备份整理，在为网络入侵检测提供数据信息对网络用户行为活动进行检测的同时，还能为网络规则的构建提供数据依据。数据信息采集模块由网络传感器等设备构成，其收集备份的数据信息大部分都来源于主机终端的数据信息。

3.2数据预处理模块

数据预处理模块的主要任务是对数据信息采集模块收集到的原始数据信息进行处理和加工，使其成为能够适应数据挖掘算法的格式，由于收集的网络数据信息和日志信息内容较多，为了真正提高数据挖掘算法的利用效率，必须将原始数据信息进行预处理，按照预先设定的类型和格式进行统一简化，以此提高网络传输速度。

3.3网络入侵检测模块

网络入侵检测模块的任务是对简化后的数据信息进行检测：

（1）如果没有发现异常数据，不需要进行任何处理行为。

（2）如果发现存在异常数据，要立刻做出决策相应，将系统日志数据信息进行安全保存，同时对非法入侵者发出警告，并将这些异常数据传输到网络取证部分进行处理分析，利用网络取证部分反馈的信息预测未来可能发生的网络攻击。

3.4网络取证模块

网络取证模块根据网络入侵检测模块收集到的数据信息进行统计分析，按照一定规则提取证据信息。网络取证的最终目的是明确网络入侵事件的真相，保证数据信息的安全性和可用性，因此，网络取证模块不能直接对原始数据信息进行处理，必须由数据信息采集模块将原始数据信息进行备份。

网络入侵检测取证模型的算法流程如下：

（1）利用专业技术工具对网络数据进行抓包，并有效保存。

（2）对收集到的网络数据进行备份.

（3）对网络数据进行预处理等操作。

（4）利用网络入侵检测技术对经过预处理后的数据信息进行统计分析；如果没有发现异常数据，则执行结束，如果发现异常数据，则执行下一个步骤。

（5）对网络非法入侵者发出警告，将存在异常情况的数据信息传输到网络取证模块中。

（6）生成决策树。

（7）按照预先设定的规则进行处理。

（8）提取提交证据信息。

（9）结束。

4.结论

综上所述，本文将网络入侵检测技术与网络取证技术进行有机结合，提出了网络入侵检测取证模型的构建方案，对该模型的功能模块进行详细分析和描述，在现代社会信息安全面临巨大挑战的环境下，网络入侵检测取证模型的应用可以切实提高数据信息的安全，防止非法入侵者的恶意攻击。 [科]

【参考文献】

[1]张若箐，牛飞斐.一种基于日志的U盘取证模型研究[J].北京电子科技学院学报，2013，02：71-75+90.

[2]王延中.一种基于云计算环境的动态取证模型研究[J].计算机测量与控制，2012，11：3066-3069.

[3]周婷，宋如顺，张媛.基于安全态势评估的数字取证模型研究[J].计算机安全，2011，04：2-4.

网络入侵的方法与检测 篇4

入侵检测是为保证计算机系统的安全而设计与配置的一种能够及时发现并报告系统中未授权或异常现象的技术, 是一种用于检测计算机网络中违反安全策略行为的技术。入侵检测软件与硬件的组合便是入侵检测系统 (intrusion detection system, IDS) 。从技术划分, 入侵检测有两种检测模型:

(1) 异常检测模型:检测与可接受行为之间的偏差。如果可以定义每项可接受的行为, 那么每项不可接受的行为就应该是入侵。这种检测模型漏报率低, 误报率高。因为不需要对每种入侵行为进行定义, 所以能有效检测未知的入侵。

(2) 特征检测模型:检测与已知的不可接受行为之间的匹配程度。如果可以定义所有的不可接受行为, 那么每种能够与之匹配的行为都会引起告警。收集非正常操作的行为特征, 建立相关的特征库, 当监测的用户或系统行为与库中的记录相匹配时, 系统就认为这种行为是入侵。这种检测模型误报率低、漏报率高。对于已知的攻击, 它可以详细、准确地报告出攻击类型, 但是对未知攻击却效果有限, 而且特征库必须不断更新。

入侵检测过程中的多源数据融合常涉及到非排斥性假定和操作不确定性的数据, 而且很难得到所确信的概率。入侵行为的判决所依赖的因素往往很复杂, 如系统资源的运行状况、病态数据包或一些相关统计量。就算是判决一个网络访问连接是否为攻击, 也需要考虑各种因素进行综合评判。本文通过多种方法相结合, 有效地检测外部的入侵行为。

最早将自然免疫的思想引入信息安全领域的是Forrest小组, 应用免疫耐受机制来检测程序和受保护数据的异常改动, 其实验结果显示, 这种方法能够很容易地发现病毒感染引起的数据文件的改变, 并且能够检测未知攻击。

本文通过采用人工免疫的阴性选择算法和特征提取的方法, 能够有效地、快速地进行定位外部入侵行为对数据文件所作的改动。

但人工免疫的阴性选择算法和特征提取的方法也有一定的缺陷, 在处理真实的网络流量数据中存在着严重的伸缩性 (scaling) 问题。文中结合动态自反馈理论和模糊聚类分析方法来构造入侵检测过程, 并分析入侵数据类型特征及其在入侵中所起作用, 设计实现一种面向混合数据、基于模糊理论的自适应入侵检测方法, 有效地检测入侵行为。

1 入侵的快速检测方法

黑客入侵网站后, 将相关带木马病毒的网站地址放入网页中, 当用户进入该网站, 就会被种上木马。由于网站内网页数量庞大, 采用常规的方法进行检测, 非常耗时间。通过分析, 我们发现一个规律。黑客入侵后, 增加的链接网址具有以下共性特征:字符串中含有“:”、“http”、“/”、“。”等特征的字符串。生成自体时, 以特征字符串为开始的字符串可以纳入自体。检测器生成自我集的工作流程如下:

(1) 如果有新文件加入, 则进入预处理系统;

(2) 将新加入的网页经过预处理系统处理, 生成字符串文件;

(3) 搜索以特征字符串开始的字符串;

(4) 如果找到, 则以该字符串为开始, 截取长度为_N的字符串, 加入自我集。

检测器进行入侵检测的流程如下:

(1) 将网页经过预处理系统处理, 生成字符串文件;

(2) 搜索以特征字符串开始的字符串;

(3) 如果找到, 则以该字符串为开始, 与自我集中的字符串进行匹配;

(4) 如果匹配, 则该字符串为正常字符串, 否则为非法入侵;通知决策响应主体。

2 自适应模糊检测器的描述

基于入侵特征库的入侵检测系统过分依赖于现有的知识, 对未知的入侵行为检测能力较差, 随着入侵特征库的特征不断增加, 各种入侵行为与正常行为的区分更加复杂。因此对现有入侵知识归纳和模糊聚类, 不仅能提高系统检测率, 而且也能精简特征集, 在一定程度上提高运行效率。

2.1 数据预处理

入侵特征库中的每条特征由若干 (m) 个子特征项组成描述一种入侵情况, 它们被分组成一个m维列向量x={xi1, xi2, …, xim}。对含n条入侵特征的特征库U={x1, x2, …, xn}可描述成一个n×m的矩阵。

为了消除维度的影响, 需要对矩阵中的规则特征集标准化。对于数值型特征子项通过减去中心度量值 (例如平均数中间数) 后再除以扩散度量值 (如标准偏差) 得到标准化后的值。非数值型的数据按照与离散型数值意义对映进行量化。

2.2 动态聚类

求矩阵R的截矩阵Rë从而获得到一个普通等价关系, 确定了一个分类。在模糊集合理论中随着相似阈值ë取值的变化导致聚类结果的变化, 形成了一个动态聚类的效果。动态聚类的特点有助于通过参数来调整特征集达到入侵检测时的满意效果。当ë取值过小时, 特征集聚类的数量过少, 有可能由于抽象化程度过高而造成概括范围过广, 漏报率下降而误警率上升;反之, 若ë取值过大, 入侵特征集聚类过多, 造成漏报率下降而误警率上升。可以通过反馈和动态聚类相结合的方法获得较优结果。

模糊聚类将入侵特征划分为若干个子集。在此基础上获得个类MK的中心点Ck (Ck1, Ck2, …, Ckj) 用以描述子集。检测时从网络实时捕获的流量转化为向量T (T1, T2, …, Tj) , 计算T与C间距离, 当与各个类的距离均超过阈值时系统认为此时无入侵发生, 否则发生入侵事件。

2.3 基于反馈的动态调整机制

文中对新型、隶属度重合性较大的入侵行为 (统称不确定行为) 建立反馈机制, 通过保存相应会话记录, 反馈记录信息和检测动作结果给用户或者领域专家, 由用户或者专家干预其判定结果, 系统根据反馈的结果调整数据集合的属性, 方便对以后数据记录的判定。

3 结束语

文中提出的基于模糊理论的自适应入侵检测系统, 利用动态自反馈理论、模糊聚类分析方法和特征提取相结合的方法, 并增加数据属性综合分析处理功能, 实现对网络数据的检测。通过特征提取的方法, 快速定位已知的入侵行为, 通过对专家经验的学习总结, 充实特征库, 同时对模糊聚类技术的应用很好地检测未知的入侵行为, 减少入侵检测系统的漏报率, 将模糊聚类技术与专家反馈相结合, 减少了入侵检测系统的差错率。

参考文献

[1]Peyman Kabiri, Ali A.Ghorbani.research on intrusion detection and response:a survey[J].International Journal of Network Security.2005.

[2]Hai Jin, Jianhua Sun, Hao Chen, et al.A fuzzy data mining based intrusion detection model[C].Proc.of10th IEEE Int.Workshop on Future Trends of Distributed Computing Systems.2004.

[3]何新贵.模糊知识处理的理论和技术.北京:国防工业出版社.1998.

网络入侵检测系统研究论文 篇5

1网络信息安全技术的发展

1.1加密

对于计算机网络中的加密，其实就是比较基本的一种安全机制，是使用数学函数来处理不加密的一些关键信息，并且完成信息加密的这样过程。依据不一样的密钥分发方法，还有达成加密机制分为两种类型，其中包括有私钥加密以及公钥加密。这是能够用来数据传输以及存储中，还能够避免一些不授权者的非法读取的信息。然而，它无法在前面的信息加密之前或者是之后来加密保护，而是要依赖于密钥的一个管理技术。

1.2数字签名

数字前面关键就在于可以提供拒绝识别功能，也就是说，第三方没有办法去伪造发件人去完成数据的发送，所以说发送方在发送具体数据之后没法否认。数字签名一般来说使用公钥来完成，对于签名者来说可以通过用密钥加密，并且验证方能够用签名者的公钥来完成解密签名数据操作，并且能够确定接收到的信息是否是错误的。

1.3防火墙系统

防火墙系统也就是把安全战略转化为安全控制操作，对于不一样的信任级别或者是不一样的安全级别网络设置具体安全边界，检查网络数据包或者是具体服务的一些请求，可以较为有效地控制内部网络或者是外部网络间访问或者是数据的传输，进而能够完成保护内部网络信息不会因未经授权的用户限制了内部这些用户的访问限制。不过对于防火墙系统来说，也是有局限性：诸如防火墙无法在没有经过防火墙入侵，也就是系统可以绕过性攻击。防火墙很难实现防范恶意攻击或者是一些内部用户的误操作行为发生。对于防火墙的配置和管理等等都比较复杂，容易导致安全漏洞的发生。

2入侵检侧系统的分类

2.1基于主机的入侵检测系统及特点

对于主机的入侵检测系统能够把一个主机上面得到数据作为计算机网络安全中入侵系统分析的数据源，另外基于网络的入侵检测系统能够从互联网中得到一些数据来当成是数据源。一般来说基于主机的这样入侵检测系统只可以检测到一个主机的系统，但是基于网络的入侵检测系统能够检测多个主机系统，对于较多分布在不同网段的基于网络的入侵检测系统能够一起工作，从而实现更加强大的入侵检测的效果。计算机网络安全系统中，对于主机的入侵检测系统检测模块位于被保护系统，利用提取这些运行数据且对入侵分析来完成入侵检测的具体功能。主机的入侵检测系统现在的不足有，这个入侵检测取决于整个系统的可靠性，它需要系统本身有基本的安全特性，然后你可以提取这些入侵信息。

2.2基于网络的入侵检测系统

计算机网络的入侵检测系统可以利用网络监视来完成数据的提取。在工作中，局域网通常使用以太网协议。对于这个协议期间主机子网无线的数据传输方法，没一台的主机能够发送数据包，还可以通过子网完成广播，其实就是说，对于每一台主机发送以及接收数据能够收到同一子网内的其他主机数据。在通常的环境中，每个到来的主机网卡的`数据包会先完成过滤，一般到目标地址是本机或者是广播地址的数据包接收缓冲区，把其他的这些数据包丢弃，所以说，在通常的情况下，主机的网络性能就是关心和自己有关的一些数据包，不过设置网卡接收模式正确过滤策略能够完成网卡过滤方式的变动，使网卡再接收所有的数据包这一时期之后，不管这些包的最后目标是否是主机。对于卡的接收模式被叫做混合模式，大多数卡将提供这些设置，所以说，必要时，合理设置网卡可以通过这段时间的所有信息的交流，完成网络监控的效果。

3网络入侵检测系统需要解决的关键技术

3.1入侵检测模块间的协作

入侵检测模块的合作关键就是对不同检测模块之间数据共享的解析，同时对模块间增强功能，利用合作可以达成工作时无法实现的具体功能。分布式网络入侵检测系统的框架结构、功能模块的异构性，数据检测系统还有探测器分布在网络的情况，同时继承这些不同的开发人员研制，用不同的具体检测机制，还有入侵检测功能模块运行在各异的系统以及不一样的检测子系统，还要去考虑它们之间的这些数据共享以及协作等等，还需要去提供分布式数据采集、并且利用数据接口来完成不一样的检测器之间的互操作性，考虑分布在整个组织在分布式入侵检测系统和探测器测试结果融合技术。对于分布式数据共享也应该是对收集到的数据格式完成一个转换，从而能够保证这些数据的可用性。这些关键是涉及到网络入侵检测系统的一些功能模块之间的合作机制还有技术，其中包括计算机网络安全中入侵检测系统的具体通信机制，数据预处理和数据融合技术以及功能模块间的协作机制等等。

3.2入侵检测数据分析的层次性

即使对于各种入侵检测系统概念是一样的：不过整体来说都是通过探测器还有分析仪和用户界面来构成的。入侵检测系统在特定方法的基础上，通过分析数据和收集数据，这些方面是非常不同的。每一种的入侵检测系统的分析数据源上有水平，从入侵检测系统基于应用程序跨多个网络入侵检测系统，来完成这些分析数据以及监控的能力逐渐增强，范围也不断地扩大，并且这入侵检测系统数据可以是源于水平不高于它的入侵检测系统的输出。其实就是代表，入侵检测系统检测的具体结果以及输出能够在水平不低于其入侵检测系统使用和进一步的具体分析。

4结语

网络入侵检测系统研究 篇6

网络；入侵检测系统；黑客软件

【作者简介】谭 卫（1984—）男，湖南涟源人，华南理工大学硕士毕业，中国民用航空中南地区空中交通管理局助理工程师。研究方向：电子信息化与网络安全。

1.入侵检测系统发展现状

A．入侵检测系统分类[1]

入侵检测系统有不同的分类方法：

按照采用技术不同，分为滥用检测系统和异常检测系统。

按照数据来源不同，分为基于主机的检测系统和基于网络的检测系统。

按照实现结构不同，分为单一、部分分布式以及完全分布式结构系统。

按照响应方式不同，分为被动响应和主动响应检测系统。

B．入侵检测系统面临的问题

检测性能方面：虚警和漏警问题从本质上讲难以避免，现有的入侵检测系统无法实现有效实现提高对新型攻击的检测率并降低虚警率的目标。

检测系统健壮性方面（鲁棒性）：许多商用入侵检测系统会由于某些组件突然失败而导致整个检测系统功能丧失。

自适应方面：入侵检测系统面临的攻击是随着时间而变化的，因此入侵检测系统需要具有动态自适应性，能够既可以适应变化的入侵，而且能够容忍自身系统的变化。

2．基于免疫原理的入侵检测系统

A．免疫原理分析

免疫系统抵御外部入侵，使其机体免受病原侵害的应答反应叫做免疫。外部有害病原入侵机体并激活免疫细胞，诱导其发生反应的过程称为免疫应答。免疫应答分为固有免疫和获得性免疫。前者为机体先天获得，可对病原进行快速消除；后者为特异性识别并消除病原体，具有特异性、记忆、区分自我和非自我、多样性和自我调节等优良特性。诱导免疫系统产生免疫应答的物质称为抗原[2]。

在生物免疫系统中，最主要的机制就是区分自我和非自我。自我就是指自身的细胞；非自我是指病原体、毒性有机物和内源的突变细胞或衰老细胞。在此过程中，免疫细胞能对“非自我”产生免疫应答，来消除其对抗体的危害。但对“自我”则不产生应答，以保持体内环境动态稳定。免疫细胞通过自身的进化和相互作用实现了人类的免疫功能。免疫系统的工作过程总体上是由基因选择、负选择和克隆选择3阶段组成。在这3个阶段中，由于免疫系统不受其它器官的支配，也不需要预先了解特定信息，因此是自组织的。最后由于一个抗体可以识别多种抗原，因此是轻负荷的。

生物免疫系统的特点总结如下，这为构建健壮的计算机安全系统提供了重要基础。①分布性：数百万的淋巴细胞分布于整个生物系统，他们之间没有中央控制机制，是一种没有中心控制器的分布式自制系统，能有效处理问题的非线性自适应网络；②鲁棒性：生物免疫系统中各种组件是大量存在的，因此即使缺少这些组件的一小部分也不会对系统的功能有太大的影响；③自适应性：生物免疫系统是一个自组织的存贮器，且是动态地维持着。它能够适应外界环境的变化，通过学习对新的抗原做出识别和反应，并保留对这些抗原特征的记忆，以帮助下一次对抗原的反应。这些特征是完善的IDS系统所需具备的。因此人们希望通过应用生物免疫机理，构建更高效率的IDS系统，以改进目前IDS系统的性能。

B．基于免疫原理的网络安全研究现状

当前基于人工免疫的网络安全研究内容主要包括反病毒和抗入侵两个方面。当前较有代表性的工作有如下两个：其一是IBM公司的研究人员J.O.Kephart提出的用于反病毒的计算机免疫系统，其二是S.Forrest等人提出的可用于反病毒和抗入侵两个方面的非选择算法。

J.O.Kephart等人提出的计算机免疫系统：通过模拟生物免疫系统的各个功能部件以及对外来抗原的识别、分析和清除过程，IBM公司J.O.Kephart等研究人员设计了一种计算机免疫模型和系统，用于计算机病毒的识别和清除。对已知病毒，该系统依据已知病毒特征和相应的病毒清除程序来识别和消灭计算机病毒。对未知病毒，该系统主要是设计“饵”程序来捕获病毒样本，在“饵”程序受感染后对其进行自动分析并提取病毒特征，设计相应的病毒清除程序。当计算机发现并分析了未知病毒特征时，可将所产生的病毒特征和宿主程序恢复信息传播到网上邻近计算机中，从而使得网络上的其它计算机很快就具有了对付该病毒的能力。该原型系统可以是一个病毒自动分析系统，它是从结构和功能上来模拟生物免疫系统，而没有深入研究生物免疫系统完成这些功能的具体机制并建立和设计相应的模型和算法。

负选择算法：S.Forrest等人在分析T细胞产生和作用机制的基础上，提出了一个负选择算法。T细胞在成熟过程中必须经过阴性选择，使得可导致自身免疫反应的T细胞克隆死亡并被清除，这样，成熟的T细胞将不会识别“自我”，而与成熟T细胞匹配的抗原性异物则被识别并清除。负选择算法是一个变化检测算法，具有不少优点，但它不是一个自适应学习算法。负选择算法自提出后就受到众多研究人员的关注并对其进一步研究。目前，在负选择算法和免疫系统中的学习机制相结合方面已有了一定的进展。

其它：以上仅仅是两个较有影响的工作，此外还有其它很多具有相当影响的相关模型、算法和原型系统，如R.E.Marmelstein等人提出的用于反病毒的计算机病毒免疫分层模型和系统，D.Dasgupt等人提出的基于免疫自主体的入侵检测系统框架等。

C．基于免疫原理的入侵检测一般模型

检测环境的描述:U代表本地主机和网络系统中的所有模式的集合。U被分为两部分:self集合S和non-self集合N。S、N满足S∪N=U并且S∩N=U。

入侵检测问题的描述：s∈U，判断s∈S or s∈N。

人侵检测系统的描述:D代表入侵检测系统D=(f,M)，其中M∈U代表D的检测规则集。f代表判定函数，f：U*€譛→{normal，anomalous)，即

误报、漏报问题的描述:人侵检测系统可能产生的错误有两类，一类是虚警(False Positive)，另一类是漏警(False Negative)。定义试验集Utest,UtestU。令Stest=S∩Utest，Ntest=N∩Utest，则由S∪N=U, S∩N=U可知Stest∪Ntest=Utest并且Stest∪Ntest= 。如果s∈Stest，且f(M,s)=anomalous，则称发生虚警错误，如果s∈Ntest,且f(M,s)=normal，则称发生漏警错误。

入侵检测问题从本质上来说是模式检测问题，以比较小的代价从海量数据中检测出异常数据。生物免疫正是具备这种高效的检测能力，其基因变异、免疫耐受、克隆选择和记忆细胞等原理能够保持机体动态平衡。

人工免疫系统的一般性工程框架[3]如下图1所示，分别为表示层、亲和力定义和免疫算法层。首先将工程中需要计算的对象正确表达出来，包括抗原與抗体的定义，接着定义抗原与抗体之间的亲和力，最后选择合适的免疫算法进行计算。

图1 人工免疫系统的工程框架

在入侵检测领域，以上工程框架可以映射为模式表达、匹配规则定义和检测算法三个过程。首先是模式表达，我们需要将要检测的目标对象表达为合适的抗原和抗体模型，比如我们可以将网络数据包所包含的地址端口等关键信息表达为长二进制串[4]，将进程的系统调用序列表达为短二进制串。接着根据检测对象的不同，选择更合适的亲和力计算方法，比如网络数据包的异常检测可以采用r连续海明距离匹配规则，而系统调用的异常检测可以采用变种的欧拉距离匹配规则。最后是免疫算法的选择，针对入侵检测的各个阶段采用不同的免疫算法，比如检测模式抗体库的产生阶段通常采用否定选择算法，而检测阶段则采用克隆选择算法，若进行大规模网络检测则选择免疫网络模型。

以上三个过程实际上也包含了人工免疫原理应用丁入侵检测系统中的难点所在，首先是模式表达的确定，如何选择合适的关键数据作为检测的模式基础是首要问题，接着是检测指令系统的构建问题，用于检测的抗体库如何优化产生以及如何向低抗体总数的高覆盖率进化，然后就是快速匹配算法的设计问题，如何定义合适的亲和力表达直接涉及到检测率和检测性能。最后是免疫算法的合适问题，如何合理地选择应用免疫系统原理到人侵检测的各个阶段。

同时应该充分考虑到已经取得辉煌成就的生物学其他一些原理。比如利用遗传算法可以解决入侵检测系统的数据优化问题、利用神经网络解决入侵检测系统中的模式识别问题以及利用模糊规则来解决入侵发生后系统的控制问题等等。

本文首先介绍了网络安全的背景知识，然后在分析入侵检测系统面临巨大的挑战后，提出了一种基于免疫原理的入侵检测系统。

第三章是本文的主要内容，里面比较详细地介绍了免疫原理的特点及其应用于入侵检测系统的优点。在了解了目前该方面的研究工作后，本文接着描述了一种基于免疫原理的入侵检测基本模型。

该章重点介绍了一般人工免疫系统的工程框架，并在此基础上，入侵检测领域可以映射为模式表达、匹配规则定义和检测算法三个过程。最后分析了这几个过程中的关键技术以及未来发展可以借鉴的其他理论。

[1]闫 巧.基于免疫机理的入侵检测系统研究.西安电子科技大学.2003

[2]王宝进，薛 娟.基于生物免疫原理的网络入侵检测系统.计算机工程与设计.2006

[3]陈云芳，王汝传.基于免疫学的入侵检测系统一般模型.南京邮电大学.2006

[4]Forrest S, Perelson S. Self-nonself discrimination in a computer. In Proceedings of the IEEE Symposium on Research in Security and Privacy. pp.202-212,1994.

[5]朱永宣，单 莘，郭 军.基于免疫算法的入侵检测系统特征选择.微电子学与计算机.2007

[6]丁冠华，闫 军，王晓然.基于人工免疫的入侵检测系统.计算机与信息技术.2006

一种基于计算机网络的入侵检测方法 篇7

异常检测指根据使用者的行为或资源使用状况的正常程度来判断是否发生入侵, 由于不使用在知识库中事先定义好入侵行为未检测依据, 所以异常检测可以更有效的检测针对系统的新形式网络攻击。

来自于审计记录、网络数据包及其他可视行为构成检测的基础。在这些行为中提取特征并用变量表示, 若在特征集合中存在大量冗余或不相关的特征, 不但会使检测精度下降, 而且会增加学习算法的搜索空间, 导致算法的检测效率降低。特征选择是根据给定的准则从一组特征中挑选出一些有效的特征以降低特征空间的维数, 误用的、冗余的以及最少使用的特征将被从特征集合中删除, 特征选择包括搜索策略和评价标准两部分。

针对异常检测的特征选择, 研究者们做了大量的工作。Sung采用了支持向量机与神经网络方法, 根据特征的重要性对其进行排序, 试验结果显示网络数据中存在着大量并不重要的特征, 删除这些特征并不会显著降低检测精度;Chebrolu利用马尔可夫毯与判定树对特征进行选择, 并使用经过约简处理后的数据集分别构造基于贝叶斯网络与分类回归树的入侵检测模型, 提高了检测的精度与效率。但是由于这些特征选择方法均是根据单个特征在入侵检测中的重要性进行特征选择, 对各特征之间的关系欠缺充分的考虑, 并且往往忽视对检测精度与算法复杂性的平衡问题。

把异常检测特征选择看作是在约束条件下, 找到一组特征集合使得特征数量和分类精度同时最优。多目标进化算法具有的快速全局搜索能力, 很适合作为多目标优化问题的搜索策略。Zitzler和Thiele于1999年提出了强度Pareto进化算法, Zitzler等又于2001年对SPEA进行了改进, 提出了SPEA2, 并且通过试验对这个多目标进化算法的性能进行了验证。评价标准方面, 支持向量机以其出色的学习性能, 已经成为继神经网络之后新的研究热点。

2 基于SPEA2和SVM的特征选择算法

SPEA2算法使用一个常规种群和一个固定规模外部档案集合, 外部档案集合用于保存Pareto最优解, 当最优解的数目小于档案规模时, 用支配解填充。采用一个以群体中支配某个体的其他成员数为自变量的函数作为此个体的适应度, 对于具有相同适应度的个体采用第k个最近邻的机制来加以区分。当档案集合中成员数目超过固定规模的时候, 引入小生境机制, 进行选择性截取, 最后从外部档案集合中选择个体进行简单遗传算法操作。

采用基于SVM的检测算法中, 需对每一个个体进行计算, 在检测算法中引入记忆功能, 保存以往个体的计算结果。在对个体 (特征子集) 评价遇到相同个体时, 就避免重复计算导致的计算量增加, 这样就提高了算法的效率。

选择单独的验证集, 利用交叉验证对所获得的Pareto最优解集进行评价, 从中选择最优的特征子集。这样选择的特征子集是最合适的特征子集, 降低了测试集的影响, 同时提高了检测算法的泛化精度。

基于SVM和SPEA2的特征选择算法。输入训练样本集和测试样本集运行SPEA2算法, 得到Pareto最优解集Poptimal, 申请变量Sbest并赋初值为空, 申请变量θbest=0。然后进入迭代过程, 每次迭代过程中从最优解集Poptimal中抽取子集S作不放回抽样, 直至Poptimal为空。每次抽取的特征子集提交给SVM进行评估, 得到最优评估值θ。如果θ>θbest, 则把S赋给Sbest, 同时θbest=θ;如果θ≤θbest, 则进入下一次迭代。这样选择的Sbest即为针对单独验证集的最优特征子集。

3 实验与分析

实验采用KDD CUP 1999数据集完成。KDD CUP 1999数据集是对DARPA1998数据集进行适当处理和特征提取而得到, 其中的每条记录由41个特征向量表示, 并将这些记录划分为5类: (1) NORMAL, 正常数据; (2) DoS, 拒绝服务攻击; (3) R2L, 对远程主机的未授权访问; (4) U2R, 对本地超级用户权限的未授权访问; (5) Probe, 扫描与探测行为。对算法的验证选取具有代表性的corrected数据集。由corrected数据集随机产生训练集和测试集, 分别包含5118和5635条记录, 并随机生成一个包含10158条记录的验证集。取10次运行算法的平均值作为实验结果进行分析。

可以看到, 不论是Pareto最优前沿还是由验证集生成的曲线都不是随特征数目增加而单调减低的, 也就是说并不是越多的特征就越能实现更好的检测精度。由此可见通过特征选择, 选择尽可能少的特征数目同时实现最优的检测精度是很有必要的。由SPEA2算法所生成的Pareto最优前沿在特征数目为16和17得到几乎相同的最优检测精度值, 如果从中选择最优特征子集, 一定会选择特征数目为16的特征子集以提高检测速度;而在验证集所生成的曲线中, 特征数目为17的特征子集显然是最优的情况。因为特征数目为17时, Pareto最优前沿和验证集曲线都具有较好的检测精度, 所以选择特征数目为17的特征子集为最优特征子集, 显然这个特征子集具有最高的泛化精度。

4 结论

网络入侵的方法与检测 篇8

关键词：网络安全,入侵检测,ART-2,神经网络

0 引言

当前, 网络安全是互联网技术快速发展起来后网络安全最突出的问题之一。入侵检测技术面临的问题是在对以前已经观察到的用户行为进行归纳总结时, 当有渐变差异的行为时候能够正确分类。据此提出了下面ART-2神经网络的入侵检测12改10进01方法。

1 基于改进A的R TA-2RT-2的网络入侵检测

1.1 基本原理

ART-2神经网络是为了能够分类任意次序的模拟输入模式而设计的, 它可以按任何精度对输入的模拟观察矢量进行分类。当提供的数据包是一个已记忆的模式、或与已记忆的模式相似时, ART-2网络会将该模式回想出来, 提出正确的分类。如果提供给ART-2网络的是一个记忆中不存在的模式, ART-2网络将在不影响已有记忆的前提下, 将这一模式记忆下来, 并分配一个新的分类单元作为这一记忆模式的分类标志。如果一个新输入的模式与某一个已知类别的模式近似匹配, 则在把它归入该类的同时, 还要对那个已知类别的模式向量进行调整, 以使它与新模式更相似。应用ART-2神经网络的这一特点, 可以实现对入侵的实时检测并识别出未曾见过的入侵。

1.2存在问题

ART-2神经网络如果抓取到的数据包每次只有很小的改变, 则ART-2神经网络将一直把它归为同类, 这样记忆矢量也随之微调, 以致后来输入的A模R式T-与2初始模式迥然不同时, 仍被归为同一类, 这就是传统ART-2神经网络用于分类识别的一种局限性。

1.3 解决办法

模仿人脑记忆第一印象的机制, 在ART-2神经网络中设计记忆初始模式的神经单元[1]。

ART-2有3大模块:比较层F1、识别层F2层及一个重置模块。将记忆初始模式的神经元放在F2层即伴随神经元, 新的网络模型与传统的ART-2神经网络的F1层是一样的, F2层多了伴随神经元, 另外整个网络多出一个重置系统B, 如图1所示[1], 只画出了第j个处理单元的结构。

2 ART-2神经网络结构及其训练

ART-2的比较层层每个处理单元都分为上中下3层, 下层与中层、中层与上层分别构成闭合的正反馈回路。作用是抑制噪声并增强有用信号, 使得该模型可以在复杂的噪声环境下实现自稳定。

图1中的空心圆和实心圆都表示神经元, 每个空心圆神经元旁边带下标字母表示该神经元及其输出。空心箭头表示指向目标节点的特定模式输入, 实心箭头表示表示非特定的增益控制输入。实心圆神经元的功能是其输入矢量之模。

F1层的中层vi与ui节点的运算中, a、b为正反馈系数, 反映F1层内部反馈大小, 它们影响F1层的中层模式向输入模式I靠近的速度, e为一个很小的常数。

F1层的上层Pi与Si节点的运算中:Zji为ART-2网络自顶向下的LTM系数;yj为F2层中的j个节点的STM变量,

F2层的关键作用是提高F1→F2滤波输入模式的对比度和发出重置波, 对比度增强是通过竞争实现的。F1层向F2层传送信号, 其中送往F2层中第K个节点的输入Zij为ART-2神经网络自底向上的LTM系数。

设定警戒参数ρ (0<ρ<1) , 若|R|>ρ, 则重置系统A不发出重置波, 重置系统B开始工作, B有可能发出重置波使F2层新建一个输出端, 也可能不发出重置波, 此后与传统的ART-2神经网络一样, LTM系数进入学习阶段。若|R|<ρ, 则表示新样本与F2层中的第类相似度不够, 重置系统A发出了重置波, 重新寻找模式类或定义新类, 重置系统B无须再工作, 重置系统B只进行一个类的初始模式的相似度的比较, 若|R|>ρ, 则B不发出重置波, 同意重置系统A的判断;若则B发出重置波, 认为新输入的模式与该类的初始模式 (第一印象) 相比已有很大的差别, 不能归为一类, 应在F2层新建一个输出端存放该模式。

基于ART-2神经网络的入侵检测方法遵循ART-2神经网络的[1基]本结构, 其中, 比较层F1的输入模式向量I与预处理后的入侵特征数据向量一一对应, 识别层F2的输出反映了分类情况, FF22层的节点与分类类别一一对应。由于ART-2神经网络具有自学习能力, 因此F2层中的已分配节点数是动态增加的, 随着入侵检测训练的不断进行, 入侵检测算法不断总结归纳, 识别出各种已知的入侵行为。

3 仿真实验

在MATLAB7.0环境下对基于传统的ART-2入侵检测模型和基于改进的ART-2入侵检测模型进行了仿真实验, 实验数据采用DARPA (defense advanced research project agency) , 从数据集中抽取标记为‘normal’, ‘portsweep’, ‘imap’, ‘warezmaster’, ‘smurf’, ‘teardrop’的数据各1 000条, 取警戒值ρ=0.980得到的比较参数 (1) 。

取警戒值ρ=0.997。得到的比较参数 (2) 。

由 (1) 、 (2) 可知, 改进后的模型比传统的模型有更好的预分类能力, 并且随着警戒值的调节, 分类也被划分为最佳状态, 即分类越来越精确, 改进后的模型的优势尤为明显。

由图2可见, 重置系统A计算的相似度高且变化平缓, 重置系统B计算的相似度迅速变低, 充分反映了基于改进的ART-2入侵检测模型能有效地识别一个渐变过程, 而传统的ART-2神经网络不能。

4与基于朴素贝叶斯网络的入侵检测的对比

贝叶斯网络能对一个广泛的认知行为进行建模, 具有概率推理能力。虽然贝叶斯定理给出了最小化误差的最优解决方法, 看起来很完美, 但是在实际应用中, 它并不能直接利用。

在警戒值取ρ=0.980情况下, 基于改进的ART-2的入侵模型与基于朴素贝叶斯的入侵检测模型的比较, 基于改进的ART-2的入侵检测模型明显优越于基于朴素贝叶斯的入侵检测模型。

5 结论

本文提出的基于改进的ART-2神经网络的网格入侵检测模型, 通过在传统ART-2神经网络的F2层增加伴随神经元和增加新的重置系统B, 使得此新模型能够根据系统收集到的数据实时处理分析, 做出判断, 并克服了传统ART-2神经网络对渐变过程不敏感的缺陷, 通过与基于传统ART-2及基于朴素贝叶斯的入侵检测模型的比较, 证明采用该算法的入侵检测模型能够达到应用系统设计的要求和精度, 可以用于对渐变过程的辨识, 可以认为新的ART-2神经网络模A型R克T-服2了传统模型的缺陷。使系统的测试结果达到稳定, 提高了系统的判断分类能力。

参考文献

[1]马吉胜.一种新的ART-2神经网络模型[J].模式识别与人工智能, 2000, 13 (2) :231-233.

[2]张青贵.人工神经网络导论[M].北京:中国水利水电出版社, 2004:101-112.

[3]马悦, 刘玉树, 杜彦辉.基于ART2神经网络的入侵检测方法[J].北京理工大学学报, 2004, 24 (8) :701-704.

[4]唐红卫, 桑农, 曹治国, 张天序ART-2神经网络的研究与改进-[J].红外与激光工程, 2004 (1) .

网络入侵的方法与检测 篇9

由于网络攻击手段的多元化、复杂化、智能化, 单纯依靠传统的操作系统加固技术和防火墙隔离技术等静态防御已经难以胜任网络安全的需要。入侵检测 (Intrusion Detection) 技术作为主动防御的第一步, 是保障信息安全不可缺少的技术之一, 它成为近年来网络安全技术的新热点。目前入侵检测系统多采用误用入侵检测和异常入侵检测两种方法[1]。前者通过检测固有的攻击模式发现入侵, 后者通过检测系统或用户行为是否偏离正常模式发现入侵, 而这样就需要人工改变用于检测的特征数据来适应各类环境。因此, 很难应对网络攻击不断发展变化而呈现出的新特点。

2 关键技术概述

近年来, 随着神经网络的不断发展, 国内外已有不少文献将BP神经网络用于入侵检测领域, 虽然BP神经网络得到了广泛的应用, 但它还存在着局部极小点问题、过学习与欠学习等问题, 造成了它推广能力比较差的特点。20世纪90年代, 在统计学习理论基础上发展出的支持向量机, 取得了长足的进步, 其在入侵检测领域也得到了较为广泛的应用。支持向量机在入侵检测中最大的优势是它可以将原空间不是线性可分问题转化为高维空间线性可分问题[2], 但是支持向量机内积函数的选取存在很大的随机性和主观性[3]。本文提出基于支持向量机的非线性特征变换方法。对入侵的初始特征进行特征变换, 将变换后的特征送入BP神经网络进行学习和识别。 本文提出的方法将支持向量机的推广能力和神经网络的学习能力巧妙的结合利用起来。

3 关键理论

3.1 支持向量机

支持向量机 (Support Vector Machines, SVM) 是Vapnik等人根据统计学习理论提出的一种比较好地实现结构风险最小化 (Structural Rish Minimization, SRM) [2]思想的方法, 它的学习策略是保持经验风险值固定而最小化置信范围。

1) 线性可分情况

支持向量机方法是从线性可分情况下的最优分类面 (Optimal separating Hyperplane, OSH) 提出的[4]。主要针对的是二维两类线性可分情况。其目标是找到一个最优分类面, 把两类没有错误地分开。而且要使两类的分类间隔 (margin) 最大。间隔最大意味着推广能力最强, 所以, 使用最优分类面进行操作, 能够实现函数分类的结构风险最小化, 这是支持向量机的核心思想之一。如图1所示。

解决方法如下:设线性可分样本集为 (xi, yi) , i=1, 2, …, n, x∈Rd, y∈{+1, -1}是类别标号。d维空间中线性判别函数的一般形式为g (x) =ω·x+b, 分类面方程为ω·x+b=0。将判别函数进行归一化, 使两类所有样本都满足|g (x) |≥1, 即使得离分类面最近的样本都满足|g (x) |=1, 这样分类间隔就等于2/‖ω‖。因此, 使间隔最大等价于使‖ω‖最小;而满足yi[ (ω·xi) +b]-1≥0, i=1, 2, …, n 且使‖ω‖2最小的分类面就是最优分类面。

2) 线性不可分情况

对于线性不可分情况, 引入松弛项δi≥0。最优分类面问题转化为求在yi[ (ω·xi) +b]-1+δi≥0条件下, 函数undefined的最小值。其中C为惩罚因子。

3) 非线性支持向量机

对于非线性分类问题, 支持向量机解决方法是通过某种事先选择的非线性映射将输入向量X映射到一个高维特征空间中, 然后在这个空间中构造最优分类面, 如图2所示[5]。并通过内积函数方法避免了在高维特征空间中进行复杂的运算。

内积函数k (x0, xi) 的选择需要满足Mercer条件[2]。支持向量机的优点在于只需定义高维空间的内积运算k (x0, xi) =[φ (x0) ·φ (xi) ], 而没有必要知道映射φ的具体形式, 从而避免“维数灾难”。目前内积函数的形式主要有三类。表示如下:

(1) 采用多项式形式的内积函数:

k (x, xi) =[ (x·xi) +1]q

(2) 采用核函数型内积:

undefined

(3) 采用S型函数作为内积:

k (x, xi) =tanh[v (x·xi) +c]

3.2 BP神经网络

1986年, Rumelhart及LeCun等学者提出了多层感知器的反向传播学习算法 (Back-Propogation, 简称BP) , 克服了当初阻碍感知器模型继续发展的重要障碍, 是神经网络理论与应用中的一次重大突破。其主要思想是从后向前 (反向) 逐层传播输出层的误差, 以间接计算隐层的误差。算法分为两个阶段:第一阶段 (正向过程) 输入信息从输入层经隐层逐层计算各单元的输出值;第二阶段 (反向传播过程) 内输出误差逐层向前算出隐层各单元的误差, 并用此误差修正前层权值。通常是采用梯度法来修正[2]。如图3所示, 考察某一层的第j个计算单元, 脚标i代表其前层第i个单元, 脚标k代表后层第k个单元 , oj代表本层输出, ωij是前层到本层的权值, ωjk是本层到后层的权值。

BP算法的步骤如下:

(1) 选定权系数初始值。

(2) 重复下述过程直至收敛 (对各个样本依次计算) 。

①从前向后各层计算各单元oj

undefined

②对输出层计算

δj= (y-oj) oj (1-oj)

③从后向前计算各隐层

undefined

④ 计算并保存各权值修正量

Δωij (t) =αΔωij (t-1) +ηδjoi

⑤修正权值

ωij (t+1) =ωij (t) +Δωij (t)

以上算法是对每个样本作权值修正, 也可以对各样本计算δj后求和, 按总误差修正权值。

4 入侵检测系统设计

本文提出的支持向量机和BP神经网络相结合的入侵检测系统设计方法, 首先通过训练得到的支持向量机对预处理后的初始特征进行一种非线性变换。其变换后的特征完全反映了支持向量机分类后形成的最优分类面。 这充分利用了支持向量机具有较强的推广能力的特点。将变换后的特征送入BP神经网络进行学习。克服了神经网络推广能力差的问题。并通过神经网络的学习, 反映了原特征空间各类的分布情况, 使原特征空间由隐层输出张成了一种特征提取准则最大化的分类空间, 学习结束后, 即可对入侵行为进行识别。总体框架如图4所示。

1) SVM特征变换模块

通过对预处理后的初始特征进行非线性变换, 在样本空间中寻找一个将训练集中的正常和异常样本分割开来的超平面, 并使其两侧的空白区域最大, 如图1所示。在本文中, 通过采用多项式形式的内积函数k (x, xi) =[ (x·xi) +1]q, 参数q=2, 将输入数据映射到更高维空间, 从而将低维的线性不可分的问题转化为高维的线性可分问题。

2) 神经网络分析模块

在本系统中, 神经网络分析模块的输入为SVM特征变换模块的输出, 因此在神经网络分析模块的设计中, 主要依据以下三个阶段实现:

(1) 根据上层模块的输出数据和实际需求设计神经网络结构, 包括输入、层数、每层中的神经元数及神经元数之间的联结。

(2) 根据设计的神经网络结构和实际需求, 用BP算法训练联结权值。

(3) 根据实际解决问题的能力、学习速度和泛化能力对训练过的神经网络进行评价。

这个过程可以不断重复以获得期望的结果。

5 系统测试与分析

建立一个网络环境来模拟试验。所用的数据包来自于美国空军局域网中采集来的DOS攻击数据。其中的试验数据集、数据类型及分布, 见表1。

使用前面介绍的检测算法, 得到了检测结果, 见表2。

又对不使用支持向量机进行特征转换的BP神经网络进行了在同样数据集环境下的实验。得到检测结果, 见表3。

6 结论

经分析试验数据可知, 采用支持向量机对数据进行特征变换的方法优于不采用特征变换的方法。这说明支持向量机来进行特征变换确实提高了系统的推广能力。这种方法虽然训练的时间稍长一些, 但对入侵识别速度影响不大, 因此可以作为入侵检测系统中一种比较实用的方法。但因为在系统设计中用到神经网络反向传播算法, 有可能陷入局部积小点, 不能保证收敛全局积小点, 而且神经网络的网络结构选择对于系统影响也比较大, 这些问题值得继续研究。

摘要：文章提出一种基于支持向量机和BP神经网络的入侵检测模型, 设计了一个基于该模型的入侵检测系统。并深入探讨了其中的关键技术问题和解决方法。最后采用标准DOS攻击数据集对文中设计的系统进行了测试评估, 将实验结果和BP神经网络方法进行了比较, 实验证明该方法的检测率优于BP神经网络方法。

关键词：入侵检测,统计学习理论,支持向量机,神经网络,特征变换

参考文献

[1]A SAKA M, ONABUTA T, NOUE T, et al A New Intru-sion Detection Method Based on Discriminant analysis[J].IEEE Transactions on Information&System, 2001, E84-D (5) :570-577.

[2]VAPNIKVN.统计学习理论的本质[M].张学工译.北京:清华大学出版社, 2000.

[3]Harris Drucker, Vladimir Vaprik, and Dongui Wu.”support vector machines for spam categorization”[J], IEEE Transactions on Neural Networks, 1999, 10 (5) :1048-1054.

[4]边肇祺, 张学工.模式识别[M].第2版.北京:清华大学出版社, 2000.

网络入侵的方法与检测 篇10

入侵检测系统是当前网络安全领域的研究热点,在保障网络安全方面起着重要的作用。入侵检测系统的状态和测量(输出)向量都受到各种噪声(如网络传输介质的质量、网络传输信道的外界干扰、非法的网络入侵行为等)的干扰,因而是随机系统。因此,一个优秀的网络入侵检测系统应该是一个随机最优控制系统。隐马尔可夫模型(Hidden Markov Model,HMM)是一个二重马尔科夫随机过程,它包括具有状态转移概率的马尔科夫链和输出观测值的随机过程,其状态是不确定或不可见的,只有通过观测序列的随机过程才能表现出来。HMM将一个观察值序列看成一个个分段的平稳过程。

目前,这种模型被广泛地应用到语音识别、字符识别、计算机视觉等领域。在网络安全领域,HMM同样有着广泛的应用潜力。但是,纯粹的HMM建立的分类器对不确定信息的描述能力和分类决策的能力不理想,而人工神经网络(Artificial Neural Networks,ANN)对动态时间序列的建模能力尚不尽如人意。所以本文提出把神经网络与HMM相结合用于入侵检测。由于BP网络的学习过程收敛慢,容易陷入局部极小值.所以,本文使用RBF神经网络而不用BP网络进行粗分类,利用HMM进行细分类,结合成一种异常检测技术,克服了ANN与HMM的缺陷,加快了检测系统的速度,提高了系统的分类识别能力。

1 基于RBF-HMM的网络入侵检测模型

1.1 RBF神经网络

径向基网络(Radial Basis Function,RBF)是在借鉴生物局部调节和交叠接受区域知识的基础上提出的一种采用局部接受域来执行函数映射的人工神经网络。RBF为局部逼近网络,具有很多优点,如学习速度快,具有较强的输入输出映射功能和全局最优逼近性质,避免局部最小,能够线性调整权值,不反向传播误差等。目前它已被广泛应用于各个领域。在此,我们把它当作一个分类器来完成入侵检测的任务。HMM识别系统的训练阶段完全是概率密度的学习。按照一定规则(如最小平方)优化的有监督分类器近似于后验分类概率,对于当前问题这是起点。在基于马尔科夫模型的识别器识别阶段,要求将p(i|x)变为p(x|i),方法是通过贝叶斯规则。标准的HMM主要缺点是假设观察值之间独立。使用RBF网络可以获得隐含的统计相关性,克服HMM的缺陷。

1.2 隐马尔可夫模型

HMM是一种用参数表示的用于描述随机过程统计特性的概率模型。它是一个双重随机过程——具有一定状态数的隐式马尔可夫链和显式随机函数集,每个函数都与链中一个状态相关联,隐式过程通过显式过程所产生的观察符号序列来表示。一个有N个状态{s1,s2,…,sN}的HMM可用三元组λ=(π,A,B)表示,N表示模型中马尔科夫链状态数目,记t时刻马尔科夫链所处的状态为qk,显然qk∈{S1,S2,…,SN}。所定义的3个概率参数含义如下:

π:初始分布矢量π=[π1,π2,…,πN],用于描述给定的观察序列O=o1,o2,…,oT在t=1时刻状态q1属于模型中各状态的概率分布。即πi=P{q1=Si},i=1,2,…,N,它满足:

A:状态转移概率矩阵A=[a ij]N×N,其中,aij=P(qi+1=Sj|qi=Si),i,j=1,2,…,N,它表示当前处于状态Si,下一时刻处于状态Sj的概率,它满足:

B:观察序列的概率集合B=[b ij]M×M,其中M为每个状态对应的可能的观察值数目。记M个观察值为V1,V2,…,VM,t时刻的观察值为ot,其中ot∈{V1,V2,…,VM};B为观察序列O中的任意观察,它是随机变量或随机矢量在各状态的观察概率空间中的分布。

1.3 RBF-HMM的网络入侵检测方法

基于RBF-HMM的网络入侵检测由3部分组成:数据预处理,RBF神经网络学习,HMM识别器,其结构如图1所示。

数据预处理主要是进行数据变换和数据清理。数据变换是将数据变换成合适的形式。数据清理将对某些明显的错误数据进行一致性处理。原始特征数据经过预处理后,生成可靠特征向量。该特征向量用量化算法是K-Means算法进行量化。经过该算法处理后产生观察符号序列O=o1,o2,…,oT,并送往RBF网络。使用RBF网络负责HMM的训练,可以弥补HMM在分类识别方面的不足。

观察符号序列O=o1,o2,…,oT中的观察符号ot经过RBFi网络识别后,输出的是HMMi模型中第K个状态在观察符号ot时的后验概率P(qk|ot)。P(qk|ot)作为HMM的输入,对HMM识别器进行参数更新。图2描述了RBF网络模型,RBF网络的作用函数采用高斯函数。训练通过RBF算法中的分成两阶段的训练方法实现。在“真”的状态期望输出是1,在其它状态是0。用K-均值确定每个RBF隐单元的中心,用线性最小二乘法(LMS)方法来训练权值。

2 算法步骤

2.1 对HMM中矩阵B的更新

根据贝叶斯定律,可得该矩阵元素的更新公式为:

其中,P(ot=Vk)对所有的HMM而言是一个常量,为观察时间长度。P(qi=Si|ot=Vk)为状态,Si在观察符号为Vk时的后验概率。

2.2 HMM中π和矩阵A的更新

本系统采用MMI优化准则对这两组参数进行更新。设Ω为当前网络可能的全部HMM的集合,Ω1为网络连续观察符号序列O所属模式类(网络状况)的HMM集合,P{Ωl|O,Ω}为Ω1在给定网络连续观察符号序列O时的后验概率。依据MMI准则,训练过程应使后验概率P{Ωl|O,Ω}最大化。于是,定义最小化参量J:

求解上式时,采用HMM评估算法中前向和后向评估算法。其定义如下:

后向概率:βt(i)=P(oi+1,oi+2...o r,qt=i|λ)

设η为HMM初始状态概率分布和状态变化概率分布中的任意参数,显然有

分别令η=πi,η=aij进行计算,再按梯度法,可得参数πi、aij的更新公式为:

2.3 基于BP-HMM的训练算法

步骤1对系统中每个参数初始化;

步骤2输入训练样本“观察符号序列O-Ω1”;

步骤3 RBF网络对输入的序列进行识别处理;

步骤4基于RBF输出,对HMM中矩阵B,初始分布矢量π和矩阵A更新;

步骤5重复步骤2～步骤4,直至训练样本处理完毕;

步骤6判断条件|ηnew-ηold|≤ε是否满足,若满足,则结束迭代;否则,重复执行步骤2～步骤6。

3 实验与结果

为了检验模型,实验选用KDD CUP 99数据集,该数据集是麻省理工学院Lincoln实验室仿真美国空军局域网环境建立的网络流量测试数据集。在实验前,我们对该数据集进行了预处理。首先,考虑到KDD数据集的庞大,我们对其进行了随机采样,随机数据的选取由表1给出。这些数据当中包含了Do S(拒绝服务攻击)、Probe(探测攻击)、R2L(Remote to Local攻击)、U2R(User to Root攻击)四类攻击类型以及正常数据(Normal类型)。其中,每个连接实例包含41个属性。RBF网络输入层个数为41,取隐含层神经元个数为10。

然后根据数据的特性及实验的需要,对数据进行以下标准化处理;分类属性特征的量化用K-Means算法处理。标准化处理采用z-score方法,经过上述两步后对数据进行PCA降维处理。

使用Matlab中的函数来实现对网络的仿真训练和测试。为了说明RBF-HMM网络用于入侵检测的优点和可行性,本文分别采用传统BP网络与RBF-HMM网络进行入侵检测的识别,BP网络和RBF网络采用相同的拓扑结构。得到如表2所示的实验结果。

由表2可知,在相同的条件下,RBF-HMM算法的迭代次数、收敛误差和训练时间等方面都相对较小,并且有较高的检测率。在检测入侵检测数据时,RBF-HMM算法的性能都优于传统的BP算法。

4 结束语

本文将RBF神经网络和HMM模型相结合形成的混合模型RBF-HMM应用于入侵检测系统,并与传统的BP算法相比较。结果表明,逼近效果明显提高了,入侵检测率提高、收敛误差和训练时间相对明显减小,将这种网络用于入侵检测系统,应用效果好,速度快,精度高,具有较好的理论价值和实际应用效果。

通过试验结果还可以看出,这种方法不仅在理论上有效,并且可应用于实际系统中。为了能使这个系统更好地应用于实际环境实现实时检测,还需要一个自动调节阈值的机制,并且还需要对用户程序的行为进行建模,这些都是我们今后工作的主要方向。

本文的创新点:提出了一种基于RBF-HMM的网络入侵检测方法。

参考文献

[1]贾宾,朱小燕,罗予频,等.基于状态驻留时间的汉语语音分段概率模型[J].清华大学学报.2000.

[2]王梓坤,杨向群.生灭过程与马尔可夫链[M].北京:科学出版社.2005.

[3]段红梅,汪军,马良河,等.隐马尔可夫模型在语音识别中的应用[J].工科数学.2002.

[4]谢光军,秦江敏,杨江平.一种基于BP-HMM的字符识别方法[J].计算机工程与应用.2008.

[5]卢坚,陈毅松,孙正兴.基于隐马尔可夫模型的音频自动分类[J].软件学报.2002.

[6]杨新旭,王长山,王东琦.基于隐马尔可夫模型的入侵检测系统[J].计算机工程与应用.2007.

[7]谭小彬,王卫平,奚宏生等.计算机系统入侵检测的隐马尔科夫模型[J].计算机研究与发展.2005.