基于神经网络的入侵检测系统.pdf

CN43 1 2 5 8 TP I S SN l O O7 1 30X 计 算 机 工 程 与 科 学 COMPUTER ENGI NEERI NG S C1 ENCE 2 0 0 3年第 2 5卷 第 6期 Vo 1 25，No 6，2 0 03 文 章 编 号：1 0 0 7 1 3 0 X(2 0 0 3)0 6 0 0 2 8 0 4 基 于神经 网络 的入侵检测 系统 An I n t r u s i o n De t e c t i o n S y s t e m B a s e d o n Ar t i fic i a l Ne u r a l Ne t wo r k s 王 景 新，戴葵，宋辉。王 志 英 W ANG J i n g-x i n。DAI KI l i，S ONG HI l i。W ANG Z h i y i n g (国 防 科 技 大 学 计 算 机 学 院，湖 南 长 沙4 1 0 0 7 3)(S c h o o l o f C o mp u t e r S c i e n c e，N a ti o n a l U n i v e r s i t y o f D e f e n s e T e c h n o l o g y，C h a n g s h a 4 1 0 0 7 3，C h i n a)摘 要：文章 在对现有入侵检 测 系统所存在 不足进行 分析 的基础 上，提 出了一个基 于神经 网络技 术 的网络入侵检 测 系统模 型，运 用神 经 网络 所特有 的 自学 习、自组 织能力，弥补现 有入侵 检 测 系统所存 在 的 不 足。Abs t r ac t：T h e p a p e r p r e s e n t s a Ne ur a l Ne t wo r k Ba s e d n e t wo r k i n t r u s i o n de t e c t i o n mo d e l b ase d o n t h e d e me rit a n a l y s i s o f mo de m I DS s T he mod e l ma k e s u s e o f t h e s e l f-l e a rn i ng，s e rf-o r g an i z i n g c h a r a c t e ris t i c s of n e u r a l n e t-wo r k s，S O as t o r e d u e e t h e de me rit s o f mod e r n i n t r u s i o n d e t e c t i o n s y s t e ms 关 键 词：神 经 网络；入 侵 检 测；特征 提 取 Ke y wo r d s：n e u r a l n e t wo r k；i n t r u s i o n d e t e c t i o n；f e a t u r e e x t r a c t i o n 中 图分 类 号：T P 3 9 3 0 8 文 献 标 识 码：A 1 引言 由 D e n n i n g等人 在 1 9 8 4年 研 究 的 I D E S E I|是 入 侵 检 测 研 究 历 史 上 的 一 个 里 程 碑，随 着 网 络 安 全 问 题 的 日益 严 峻，入 侵 检 测 的 研 究 成 为 热 点。目前有 两种 主要 的入 侵检 测技术，其 一是 误用 检 测，其二 是异 常 检测。误 用检测 可 以 比较 精确 地 检测攻击行 为，但 漏报率较 高；异常检测 有可能检 测出未知攻击行为，但误报 率较高。此外，入侵检 测系统还存在 诸如 统计模 型难 以建 立、规则 库管 理 等 问 题 J。本 文 提 出了 将 神 经 网 络 技 术 引入 到 网络 入侵检测 系统 的思路，通 过具 体工 作探 讨 了 将神经 网络技 术引入网络 入侵检测 系统 中的可行 性，尝试解 决入侵检测系统存在 的某些 问题。2 神 经 网络 与 入侵 检 测 早期将神经 网络技术 引入入侵检测 中的研究 是由 J a k e R y a n、K y m i e T an 等人 完成的 4 J，这些研 究 一 般 都 是 将 神 经 网 络 作 为 一 种 预 测 模 型，并 基 于一 种 假 定，即假 定 U N I X用 户 的 行 为 是 有 固 定 模式的。事实上，系统管 理 员和一 般用 户 的行为 确实有相 当的稳 定性 和 区分性，因此早 期 的研究 取 得 了 很 好 的 效 果。随 着 网 络 的 飞 速 发 展，这 些 主要基 于 主机型的入侵检测 系统 研究成果的实用 性 已经 渐 渐淡 化，但 研 究 的 思 路 有 较 大 的 启 发 意 义 和参考 价值。正 是在 这 种思路 的启 发下，我们 十 牧稿 日期：2 0 0 2-0 8 2 9；修订 日期：2 0 0 2 1 1-1 3 作者 简介：王景新(1 9 7 8一)，男，吉林 德惠 人，硕 士生，研究 方 向为 网络安 全；戴葵，博 士，副教 授，研究 方 向 为新 一代 计 算机 体 系结 构、神 经 网络和信 息安全；宋辉，博 士，研究 方 向为量 子计算 和信 息安全；王志 英，博士，教 授 博 士生 导 师 研 究方 向 为计 算机 体 系 结构 和信 息安全。通讯 地址：4 1 0 0 7 3湖 南省长沙 市国防 科技 大学计 算机 学院；T e l：(o 7 3 1)4 5 7 5 9 6 3；E-m a i l：w j x m y seffs o h u c o rn Add 麟：h 0 0 1 o f C o mp u t e r S c i e n c e，Na t io n a l Un i v e r s i t y o f De f e n s e T e c h n o l o g y，Ch a n g s h a，H u n a n 41 0 0 7 3，P R-C h i n a 2 8 维普资讯 http:/ 尝 试 将 神 经 网 络 应 用 到 网 络 型 入 侵 检 测 系 统，这 也 是 我 们 工 作 比较 有 新 意 的地 方。之 所 以将 神 经 网 络 引 入 网 络 环 境 下 的入 侵 检 测 系 统 中来，是 基 于这 样 几 个 考 虑：(1)网络入侵检测 的问题 可 以归结为对 网络 数据流 的判别 问题，即判 断 网络数 据流 是正 常 的 还是恶意 的，在 这个 意义上 入侵 检 测问题 可 以理 解 为 模 式 识 别 问题；(2)神经 网络在解决模 式识别 问题上 取得 了 很好 的效果，有 很多可 以借鉴 的宝贵经验，使得我 们 可以把最初 的注意力集 中到入 侵检测问题 的神 经 网络 描述上来，降低 了工作复杂度；(3)神 经 网 络 具 有 自学 习、联 想 记 忆 和 模 糊 运算能力，这使得 神经 网络不 仅 可 以识 别 出 已有 的攻击模式，还有检测 出未知攻击 的能力，这是很 有 意 义 的。经过上述分析，我们认 为，将神 经网络技术应 用到 网络入侵 检测 系统 中是 可行 的，并具 有提 高 入 侵 检 测 系统 性 能 的 潜 力，下 面将 通 过 实 际 的 工 作 来 验 证 这 一 点。3入 侵 检 测 系统 特 征 提取 所 谓 特 征，是 指 能代 表 入 侵 行 为 的 特 性 描 述 l 5 J5。特 征 选 取 是 入 侵 检 测 系 统 的核 心 和关 键 问 题之一，在 很大程 度上 影响 到入侵 检测 系统 的实 际 检 测 能 力 和 检 测 效 率。一 般 来 说，特 征 的 选 取 应 该具有完备性 和 良好 的可区分性。网络入侵检 测系 统 的信 息源 是 网络数 据 流，网络数据流是 区分 网络行为是正 常还 是恶意的基 本依 据。这里所说 的网络数据流是指 由一个或多 个数据报文组 成 的报 文序列，入侵 检 测 系统 的特 征 就 是 从 这 些 报 文 里 提 取 出 来 的。为 了显 式 地 说 明 问题，不妨举几个简单例子：(1)带 有 非 法 T C P标 志 位 联 合 的 数 据 包，R F C文档里关 于 T C P报 文 标 志位 的合 法 使用 有 详 尽的描述，当我们发 现 网络数 据 流 的 T C P标 志 有 悖 于 R F C时，即 可 以 认 为 是 恶 意 的 数 据 报，检 测这种入 侵 可 以通 过 检测 T C P报 文 的标 志位 来 实 现；(2)来 自未 授权 地址 的连 接企 图，比如 内网 对于允许访 问的 I P地址 的限制，这 可 以简单地通 过检查 I P头部 的源地址域来实现；(3)C G I 攻击，通过检查 目的端 口号 和报文数 据 段 是 否包 含“g e t c g i b i n”实 现。简单 的几个例 子说明 了入 侵检测系统特征提 取 的基 本 思 路，即 一 般 的 入 侵 可 以 通 过 对 数 据 报 头部 值 和 内 容 进 行 检 查 实 现。参 考 s n o r t 6 的 规 则格式，结合前人 的研究成 果，考 虑 系统的实现难 度和检测效率，我 们这 里选 取单 数 据报 首部值 和 报 文 数 据 段 首 字 节 作 为 人 侵 检 测 系 统 的 特 征 描 述。所 选 取 的 特 征 主 要 包 括 协 议 码、端 口 号、T C P 报 文 的标 志位，以 及 报 文 头 部 长 度 和 数 据 段 首 字 节等 十余个特征，以这 十余 个 特征 量组成 的特征 向量 作 为对 攻 击 行 为 的 描 述。这 些 特征 量 大 都 是 网 络 数 据 报 文 头 部 特 征 选 项，这 些 选 项 的 不 同 取 值构成 了不同 的特征 向量，分别代 表 了不 同 的网 络 攻击 类 型。4 系统原 理 基于上面的思 路，我们 设 计 了一个 基 于神经 网 络 的 网 络 入 侵 检 测 系统 模 型。在 体 系 结 构 上，该模 型主要包 括两个部分：(1)报 文 捕 获 引 擎。作 为 一 个 实 时 系 统，应 该 能 不 问 断 地 捕 获 流 经 相 关 网 络 的 数 据 流，从 数 据 流 中提 取 能 完 备 地 描 述 该 数 据 流 的 特征 向量 并 交 给 神 经 网 络 判 别。(2)神 经网络分类 引擎。用于分 析 和处理数 据 流 分 析 模 块 所 产 生 的 特 征 向量，以 判 别 该 数 据 流是 否 正 常，这 是 核 心 和关 键 所 在，下 面 还 会 进 一 步 说 明。该 系统 的 总 体 结 构 如 图 1所 示。监测网段的网络数据流 图 l系 统 总 体 结 构 图 简 而 言 之，该 系统 的 处 理 流 程 是：报 文 捕 获 引 擎 捕获 所 有 流 经 相 关 网 络 的 数 据 流，并 对 数 据 流 进行分析 处理，提 取 可 以完备 而准 确代 表该 数据 流的特征 向量，并将 该 特征 向量 提 交给其 上 的神 经 网络 引擎，作 为神经 网络 引擎 的输入 向量。神 2 9 维普资讯 http:/ 经 网络 引擎 对 这 一 特 征 向 量 进 行 分 析 和 处 理，从 而判别 出是否 是一 种入侵 行 为，如果神 经 网络 引 擎经过运算处理 以后 认为 是一 种攻 击，则 向用 户 发 出警告信息，并将其记录在 日志文件里，以备 不 时之需。如果报警信息对 于攻击样本库 的完善 和 更新 有较大价值，比如发现了新 型攻击行为，可 以 在用户参与下 将该 报警加 入到 攻击 样本 库里，以 备神经 网络分 类 引擎 再学 习，从 而不断 提 高神经 网络分类 引擎 的处理 能力。这 其 中最 关 键 的两 个 部 分 是 报 文捕 获 引 擎 和 神 经 网 络 引 擎。报 文 捕 获 通 常 是 通 过 将 网 卡 设 置 为混 杂 模 式 实 现 的，可 以 利 用 报 文 捕 获 库 l i b p c a p 或 者 w i n d u m p实 现，也 可 以 自 己编 程 实 现，我 们 是 通过对一 个 简单 的 报 文捕 获 软件 进 行 修 改 实 现 的，篇 幅 所 限，不 复 赘述。下 面 将 介 绍 我 们 的核 心 部分神经网络 引擎 的实现。对 于神 经 网 络 分 类 引 擎 我 们 采 用 了 B P模 型，这 是 因 为 B P模 型 在 模 式 识 别 领 域 应 用 广 泛 且 效 果 良 好。设 计 一 个 B P分 类 模 型，一 般 要 考 虑 以下 几 个 问题：(1)隐 含层 数 选 取。根据 K o l m o g o r o v 原 理，三 层 B P网 络 足 以完 成 任 意 的 维 到 维 的 映 射，即 一 个隐含层 已经足够。(2)输 入层 和输 出 层 单 元 数。通 常 输 入 维 数 是 特 征 向 量 元 数，输 出维 数 是 所需 分 的类 型 数。(3)隐含 层单 元 数。这 相对 较 复 杂，一 般 可 以取为输入层单元数，文献 7 提 出了一个 经验公 式，将 值 取 为输 人 输 出单元 数 和 的 一 半，之 后 进 行 试 验 性 调 整。(4)权值初始化。这是 为了保证 网络可 以收 敛，一般将权值 初始化为小随机数。(5)样 本 预 处 理。将输 入 特 征 进 行 标 准 化 和 归一化，这是为 了处理 方便。在 认 真 权 衡 上 述 因 素 的 基 础 上，我 们 设 计 了 一个用于判 别网络入 侵行 为的 B P神经 网络 分类 模 型，如 图 2所 示。神经网络在实 际工 作之前 必须 进行 训 练，这 对 神 经 网络 而 言是 一 个 学 习过 程，也 就 是 说，给 定 一个学 习样本库和 网络训练要达到 的 目标 作为神 经网络模 块的输入，之后利 用某种训练算法(在这 里我们 用 的是 B P算 法)对该 训 练样 本库 中 的样 本 进 行 学 习 处 理，直 到 达 到 所 要 求 的 训 练 目标。经过训练 以后，用 于判 别攻击 行 为的有关 知 识 就 以权值 的形式 被神经 网络 记忆，从 而在神 经 网络 3 0 内部 建立 起 了对 攻 击 行 为 的 识 别 模 型，在 获 得 未 知样 本的输入 以后，就可 以对该 样 本进行 分 析处 理，以达 到判 别 的 目的。图 2神 经 网 络 引 擎 工 作 原 理 图 在我们 所实现的 入侵检 测 系统 中，首先 获取 典 型 网 络 攻 击 行 为 的样 本 作 为 学 习 样 本 库，并 应 用 这 些 样 本 对 神 经 网络 分 类 引擎 进 行 训 练。经过 训练以后，神经 网络 就 以权 值的 形式 存储 这些攻 击行 为 的 特 征 模 式，这 时 的 神 经 网 络 分 类 引 擎 用 于实际工 作时，就可 以对捕 获的 网络 数据 流进行 分 析处 理，并 判 别 其 是 正 常 的 还 是 恶 意 的。如 果 发 现 了新 型 未 知 攻 击 行 为 时，将 会 反 馈 给 训 练 样 本库。这体现 了神经 网络分类 引擎 所具备的 自学 习 和识 别 未 知 攻 击 行 为 的 能 力。在 认 真 权 衡 了上 述 因 素 的 基 础 上，我 们 设 计 并 实现 了一 个 基 于 神经 网 络 技 术 的 人 侵 检 测 系统 原型，并使用常见的木 马攻击、p i n g o f d e a t h攻击、O O B攻 击 等 十 余 种 攻 击 手 段 对 该 模 型 进 行 了 训 练和 测 试。试 验 结 果 表 明，该 模 型 不 仅 可 以 准 确 检 测 出现 有 的 攻 击 手 段，而 且 对 以 前 未 接 受 过 训 练的攻击手段 也能够 有效地 识别，从而 验证 了我 们将神经 网络技术引入网络入侵检 测系统 中的思 路 是 可 行 的。5 结 束 语 在对现有入侵检测技术所存 在的不足进行分 析和参考前人工 作 的基 础 上，我们 提 出了把 神经 网络技术 引入 到网络入侵检测 系统 中的思路。实 验 结 果 表 明，这 一 思路 是 可 行 的。在 研 究 中我 们 也 发 现 了一 些 问 题，主 要 是 神 经 网络 的学 习 问 题 和 泛 化 能 力，在 下 一 步 工 作 中 我们将对 这些 存在 的限制 因素 进行 研究，探 讨将 神 经 网 络技 术 更 加 有 效 地 应 用 到 网 络 入 侵 检 测 系 维普资讯 http:/ 统 中来 的新 方 法 和 新 途 径。参 考 文 献：D e n n i n g D EA n I n t r u s i o n D e t e c t i o n Mo d e l【J I E E E T r a n s o n S o f t w a r e E n g i n e e r i n g，1 9 8 7，1 3(2)：2 2 22 3 2 信 息 安 全 杂 志 调 查一 用 户 评 价 I D S的 是 与 非 E B O L h t t p：w ww c n n s n e t，2 0 O 2 1 1 Ky rai e T a nT h e Ap p l i c a t i o n o f Ne u r a l N e t wo r k tO UNI X C o mp u t e r S e c u r i ty M A d d i s o n We s l e y，1 9 9 2 J a k e Ry a n，Me ng J i a n g Li nI n t r u s i o n De t e c t i o n wi t h Ne u r a l Ne t w o rks A P ro c o f t h e 1 3 t h N a t i o n a l C o m p u t e r S e c u r i t y C o n f C 1 9 9 8 8 69 0 K a r e n Ke n t N e t w o rk I n t r u s io n D e t e c t i o n S i g n a t ure s【E B O L J h t t p：w ww d ec s h o w n e t，2 0 0 20 8 S n 0 n【E B O L J h t t p：w w w s n o r t o r g，2 0 0 1 1 0 江虹，曾 立 波 优化 的 B P神 经 网络 分 类 器 的 设 计 与 实 现 J 计 算机 工程 与应用，2 0 0 1，3 7(5)：1 2 21 2 4 (上 接 第 8页)和准确率 方面都 比文献 6 的算法有 所提 高。查全率 篡0 85 、J -0,6 5 厂 视频段 0 7 2 3 文 献 6 算 法：口，本文算 法：图 5两种 算法 查 全率 和准 确率 的 比较 5 结 束 语 4 5 视频段 本 文 首 先 简 要 介 绍 了镜 头 分 割 的基 本 方 法，并 针对 其特点 和不 足提 出了新 的镜 头切变和渐变 的检测算法。通过实验 以及与其他算 法的 比较证 明了本 文算法 能较好地实 现对镜 头切 变和渐变 的 检测，达 到满意的效果。但 是，对于渐 变发生的同 时伴有镜 头运 动 的复 杂情况，算 法则 有一 定 的局 限性，这也是我 们下一 步要研 究解决的问题。参 考 文 献：2 Ha i t a o J i a n g，Ab d e l s a l a n m Hda l，Ah me d K E l ma g a r mi d，e t a1 S c e n e C h a n g e De t ect i o n Te c h n i q u e s f o r Vi d e o Da t a b a s e S y s t e ms J A C M Mu l t i me d i a S y s t e m s，1 9 9 8，6(3)：1 8 61 9 5 M S T o i l e r，P H，L e wi s M S Ni x o n Vi d e o S e g me n t a t i o n Us i n g C o mb i n ed C u e s A P ro e S P I E E l ect r o n i c I ma g i n g：S t o r a g e a n d R e t ri e v al fo r I m a g e a n d V i d e o D a t a b a s e s V I 3 3 1 2 C 1 9 9 7 4 1 4 3 4 5 6 一425 H J Z h a n g，C Y L o w，S W S mo l ia r，e t a1 Vi d eo P a r s i n g，Re t fie v al a n d Brows i n g：An I n t e g r a t ed an d Co n t e n t B a s e d S o l u t i o n A P r oo o f A C M Mu l t i me d i a 9 5 C S a n F r a n c i s c o，1 9 9 5 1 5 2 4 H Z h a n g，A Ka n k an h all i，S W S mo l i a r Au t o ma t i c P a r t i t i o n i ng o f F u l l Mo t i o n V i d e o J A C M Mu l t i m edi a S y s t e m s，1 9 9 3(1)：1 0 2 8 So n g S Mo o n Ho，Kwo n T a e-Hoo n Woo n k y u n g Mi c h a e l Ki ra，e t a1 On De t e c t io n o f Grad u al S c e n e C h a n g e s for Pa r s i ng o f Vi d eo Da ta A P roc S P I E E l ect ron i c I r a ngl n g：S t o r a g e and R e tr i e v al for I ra a g e a n d V i d e o D a t a b a s es VI 3 3 1 2 C 1 9 9 8 4 O 44 1 3 P J Bu r t，E H Ad e l s o nTh e L a p l a c i a n P y r a mi d a s a Co m p a c t I m a g e C ede J I E E E T r a m o n C o m mu n i c a t i o n s，1 9 8 3，3 1(5)：5 3 2 54 o(上 接 第 2 7页)中(如 O u d ook)进行加 密签名操 作；(3)在 P GP t ool s中对非 P G P支持 的应 用插件 进行 加 密签名操 作，同时 提供 了磁盘 被删除文 件不 可恢复 的清 除功 能；(4)从 Wi n d o w s E x p l o r e r 选 择文件(比如 Wo r d文 档、电子 表格 文件、图形 图 象文件 等)可 以进 行加 密签 名操作。5 2 3解 密验证 对 于上 面 5 2 2中的 每 一 项 加 密 签 名 功 能，都 有 相 对 应 的解 密 验 证功 能。6结 束 语 P G P的出现使普通 大众享受 到 了密码机制带 来 的好处，有效地 保护 了人 们 的通 信 安全 和隐私 权。其 良好 的兼 容 性、先 进 可 靠 的 加 密 签名 算 法、免 费的源代 码是人 们对 它另 眼 相看 的主要原 因。值 得 注 意 的 是，P G P的 发 明 人 P h i l i p Z i m me r 1 l l a l l n最 近 离 开 了 N e t w o r k s A s s o c i a t e s T e c h n o l o g y公 司，人 们 对 P G P的未 来 发 展 趋 势 正 拭 目以 待。参 考 文 献：2 杨 波 网络 安 全 理 论 与应 用 M 北 京：电 子 工 业 出版 社，2 0 0 2 N A I P G PWi n d o w s U s e r S G u i d e M N e t w o rks A s s o c i a t e s T eoh n o l ngy I n c，2 0 0 2 31 维普资讯 http:/