于基集成神经网络入侵检测系统的研究.doc
《于基集成神经网络入侵检测系统的研究.doc》由会员分享,可在线阅读,更多相关《于基集成神经网络入侵检测系统的研究.doc(34页珍藏版)》请在淘文阁 - 分享文档赚钱的网站上搜索。
1、基于集成神经网络入侵检测系统的研究毕 业 论 文目 录摘要IABSTRACTII1 引言11.1 研究的背景和意义11.2 国内外研究现状21.3 论文结构安排32 入侵检测技术简介42.1 研究入侵检测的必要性42.2 入侵检测的相关概念42.3 入侵检测系统的基本原理42.4 入侵检测系统的基本工作模式52.5 入侵检测系统的分类62.5.1 根据检测技术分类62.5.2 根据数据来源分类72.6 入侵检测目前存在的局限性和不足72.7 基于神经网络的入侵检测技术的发展83 神经网络简介93.1 神经网络模型93.1.1 生物神经元模型93.1.2 人工神经元模型103.1.3 神经网络模
2、型123.1.4 神经网络的工作方式123.1.5 神经网络的基本性质及优点133.2 神经网络应用于入侵检测144 基于集成神经网络的入侵检测系统154.1 系统设计154.1.1 系统工作原理154.1.2 特征提取154.2 集成神经网络算法164.3 遗传算法174.3.1 遗传算法的定义174.3.2 遗传算法的基本思想174.3.3 基本遗传算法184.3.4 基本遗传算法的运行参数204.4.2 个体网络的构建204.4.3 个体网络的选择214.4.4 网络的集成输出225 仿真实验分析235.1 matlab神经网络工具箱235.2 实验数据源235.3 入侵检测数据集预处理
3、245.4 仿真实验245.4.1 导入数据245.4.2 训练过程255.5 仿真实验数据分析27结论28参考文献29致 谢30摘要入侵检测是防火墙的合理补充,它帮助系统对付网络攻击,扩展了系统管理员的安全管理能力,提高了信息安全基础结构的完整性。入侵检测技术是一种动态的网络检测技术,主要用于识别对计算机和网络资源的恶意使用行为,包括来自外部用户的入侵行为和内部用户的未经授权活动。为了提高入侵检测系统的检测能力,本文在了解信息安全和入侵检测概念的基础上,分析神经网络模型,采用单个神经网络分别对样本进行训练,然后,通过遗传算法寻找那些差异较大的神经网络进行集成,并将研究的模型应用于入侵检测系统
4、中,提出相应的处理方案,得到最后的结果。关键词:网络安全 入侵检测 神经网络 集成学习 遗传算法AbstractIntrusion detection is a logical addition to firewall, it helps the system to deal with network attacks, expanded the system administrators security management capabilities, improve the integrity of the information security infrastructure. Intr
5、usion detection technology is a dynamic network detection technology, mainly used to identify computers and network resources on the malicious use of behavior, including acts of invasion from external users and internal users without the mandated activities. In order to improve detection of intrusio
6、n detection system, this paper to understand the concept of information security and intrusion detection based on analysis of neural network model, using a single neural network training samples, respectively, and then, through the genetic algorithm to find large differences in the neural network th
7、at integration, and research models are applied to intrusion detection system, the corresponding processing program, get the final results.Keywords: network security intrusion detection neural network Integrated Learning genetic arithmetic291 引言信息使用比例的加大,使得社会对信息的真实程度,保密程度的要求不断提高,而网络化又使因虚假、泄密引起的信息危害程
8、度越来越大。如近几年的大学英语四、六级考题泄露事件,通过网络操作使得股民帐户受损事件,“熊猫烧香”病毒导致计算机网络大面积瘫痪等影响都是全国性的。如何能在在不影响网络性能的情况下能对网络进行监测,提供对内部攻击、外部攻击和误操作的实时保护,是网络安全的重要课题。1.1 研究的背景和意义随着人类社会对Internet需求的日益增长,网络安全逐渐成为Internet及各项网络服务和应用进一步发展所需解决的关键问题,尤其是从1993年以来,随着Internet/Intranet技术日趋成熟,通过Internet进行的各种电子商务和电子政务活动日益增多,很多组织和企业都建立了自己的内部网络并将之与In
9、ternet联通。这些电子商务和政务应用和企业网络中的商业秘密便是攻击者的目标,据统计目前网络攻击手段多达数千种,使网络安全问题变得极其严峻1。在网络安全技术中,防火墙是第一道防御屏障。一般它位于路由器之后,为进出网络的连接提供安全访问控制。但一般网络系统必须对外开放一些应用端口,如80、110等,这时防火墙的不足就会充分体现出来,并且防火墙对内部攻击无能为力;同时,防火墙绝对不是坚不可摧的,即使是某些防火墙本身也会引起一些安全问题。信息安全的PDRR模型充分说明了检测的重要性。入侵检测是防火墙的合理补充,它帮助系统对付网络攻击,扩展了系统管理员的安全管理能力,提高了信息安全基础结构的完整性。
10、入侵检测技术是一种动态的网络检测技术,主要用于识别对计算机和网络资源的恶意使用行为,包括来自外部用户的入侵行为和内部用户的未经授权活动。入侵检测系统(IDS)由入侵检测软件和硬件组合而成,被认为是防火墙之后的第二道安全闸门,在不影响网络性能的情况下能对网络进行监测,提供对内部攻击、外部攻击和误操作的实时保护2。在入侵检测领域内应用最为广泛,同时也是最成熟的技术仍然是基于专家系统的规则化检测技术。但是,随着系统安全环境特别是网络系统安全形式的变化,传统的基于专家系统的检测技术暴露出若干局限性和不足。近年来,大量不同于传统专家系统技术的入侵检测方法纷纷涌现,其中基于人工神经网络检测技术的发展尤为突
11、出。人工神经网络是模拟人脑加工、存储和处理信息机制而提出的一种智能化信息处理技术,它是由大量简单的处理单元(神经元)进行高度互连而形成的复杂网络系统。从本质上讲,人工神经网络实现的是一种从输入到输出的映射关系,其输出值由输入样本、神经元间的互连权值以及传递函数所决定。神经网络具备高度的学习和自适应能力,通过学习能够识别全新入侵行为特征的能力,可以克服基于专家系统检测技术的局限性3。1.2 国内外研究现状对于神经网络技术在入侵检测中的应用,前人已经做了若干研究工作。Debar等人采用递归型(Recurrent)BP网络,在对所收集的审计记录进行分析的基础上,对系统各用户的行为方式进行建模,并同时
12、结合传统的专家系统进行入侵检测。Tan为适应入侵检测的要求,对传统的多层前馈网络(MLFF)的训练算法进行改进,并用于建模用户的各个行为特征。Hogluand等人提出了基于一维SOM(自组织特征映射)网络的异常检测算法对用户行为特征进行判断,并建立了原型系统。Ghosh和Schwartzbard采用基于多层感知器(MLP)的异常检测模型,通过对程序执行中系统调用序列记录的分析,来监视特定的程序的运行状态。他们使用了数百个训练样本,获得了在大致3%的虚警概率条件下77%的检测概率。Ghosh等人同时还进行了滥用检测技术的研究,其工作结果表明基于MLP的滥用检测模型具备更高的虚警概率,性能不及异常
13、模型。进一步地,Ghosh等人采用另一种神经网络模型Elman网络,取得了零虚警概率下77%的检测概率。Ryan等人对用户每天所执行的Shell命令进行统计计数,并采用标准的BP网络对所形成的用户行为特征矢量(由各个命令的执行次数组成)进行训练和识别。随着网络互联环境的飞速发展,基于网络流量分析的入侵检测技术逐渐流行。Cannady和Mahaffey将MLP模型和SOM/MLP混合模型应用到基于网络流量的滥用检测模型中。在基于MLP模型的入侵检测技术中,Cannady等人根据网络数据包的若干协议字段值(如协议类型、属性字段值、负载长度和内容等)构建特征矢量,提供给MLP网络进行训练学习。训练完
14、毕后,对测试样本集进行测试。实验结果表明,该模型可以从正常网络流量中识别出诸如表示ISS和Satan扫描、SYN Flood攻击活动的数据包。同时Cannady等人提出SOM/MLP混合模型,来检测诸如FTP口令试探的时间上分散的攻击行为。SOM网络主要用于对数据包中的负载内容进行分析,作为MLP网络的预处理单元并起到特征降维的作用。实验结果表明,能够较好地检测到单位时间不同频率的口令试探行为。Bonifacio等人首先构建网络会话的数据矢量,并对数据负载中的可疑特征字符串进行编码,连同目标端口号一起构成BP网络的输入特征矢量,送入神经网络进行训练。训练完毕后的BP网络即可进行滥用入侵检测。M
15、IT的Lippmann和Cunningham明确提出采用关键词和神经网络相结合的方法进行网络入侵检测并针对Telnet服务对话进行了相关研究。所采用方法是首先选择一组关键词表,然后在会话数据中对各个关键词进行计数并形成n维的输入特征矢量(n为关键词个数)。之后,采用MLP网络进行训练和识别。实验能在达到80%检测概率的基础上将虚警概率降低到大约每天一次的水平4。神经网络具有概括和抽象能力,对不完整输入信息具有一定程度的容错处理能力。而且它具备高度的学习和自适应能力。入侵检测领域研究的重点之一是分类算法,单个的分类算法由于自身的原因,总存在各种缺陷,算法的泛化能力不强。1990年Schapire
16、证明一个概念是弱可学习的,其充要条件是强可学习的。这一定理说明,多个弱分类器可以集成为一个强分类器,由此奠定了集成学习的理论基础。Hansen和Salamon把各种神经网络集成在一起,形成集成神经网络。通过研究,证明集成神经网络可以提高系统的泛化能力。1.3 论文结构安排 本文共分为八章,第一章引言,概要的给出与本课题相关的网络安全的基本概念,目前在IDS领域的国内外的研究概况,并引出将神经网络应用于入侵检测当中。第二章入侵检测技术的简介。对研究入侵检测的必要性进行说明和介绍相关的概念以及入侵检测工作的基本原理和工作模式。还对入侵检测系统的分类进行了介绍并提出入侵检测目前存在的局限性和未来的发
17、展。第三章神经网络的简介。本章首先介绍了生物神经元模型从而引出人工神经元模型,进而对整个神经网络进行了简介,并提出把神经网络应用于入侵检测系统。第四章基于集成神经网络的入侵检测系统。本章先提出系统的设计并对其工作原理进行解释,并提出集成学习和遗传学习两个概念。然后对集成神经网络算法进行理论的分析,还对遗传算法进行了详细的分析。把集成学习原理和遗传算法结合起来,从而来论述基于遗传算法的集成神经网络检测方法。最后论述了整个算法的思想和步骤,对个体网络的构建和选择进行分析,最后论述了网络的集成输出。第五章仿真实验分析。对实验数据进行分析,从而得出一些结论。最后一章对本文进行总结。2 入侵检测技术简介
18、2.1 研究入侵检测的必要性在网络安全技术中,防火墙是第一道防御屏障。一般它位于路由器之后,为进出网络的连接提供安全访问控制。但一般网络系统必须对外开放一些应用端口,如80、110等,这时防火墙的不足就会充分体现出来,并且防火墙对内部攻击无能为力;同时,防火墙绝对不是坚不可摧的,即使是某些防火墙本身也会引起一些安全问题。信息安全的PDRR模型充分说明了检测的重要性。入侵检测是防火墙的合理补充,它帮助系统对付网络攻击,扩展了系统管理员的安全管理能力,提高了信息安全基础结构的完整性。入侵检测技术是一种动态的网络检测技术,主要用于识别对计算机和网络资源的恶意使用行为,包括来自外部用户的入侵行为和内部
19、用户的未经授权活动。入侵检测系统(IDS)由入侵检测软件和硬件组合而成,被认为是防火墙之后的第二道安全闸门,在不影响网络性能的情况下能对网络进行监测,提供对内部攻击、外部攻击和误操作的实时保护。2.2 入侵检测的相关概念美国国家安全通信委员会(NSTAC)下属的入侵检测小组(IDSG)在1997年给出的关于“入侵”的定义为:入侵是对信息系统的非授权访问以及(或者)未经许可在信息系统中进行的操作。关于“入侵检测”的定义为:入侵检测是对企图入侵、正在进行的入侵或者已经发生的入侵进行识别的过程。所有能够执行入侵检测任务和功能的系统,都可成为入侵检测系统,其中包括软件系统和软硬件结合的系统。2.3 入
20、侵检测系统的基本原理入侵检测系统(Instrusion Detection System,IDS)的基本原理如图2-1所示。主要分为四个阶段:数据收集、数据处理、数据分析和响应处理。数据收集数据处理数据分析响应处理入侵检测系统具有脆弱性的系统和网络攻击者包图 2-1入侵检测系统的基本原理1)数据收集数据收集是入侵检测的基础,通过不同途径收集的数据,需要采用不同的方法进行分析。目前的数据主要有主机日记、网络数据包、应用程序数据、防火墙日志等。2)数据处理数据收集过程中得到的原始数据量一般非常大,而且还存在噪声。为了进行全面、进一步的分析,需要从原始数据中去除冗余、噪声,并且进行格式化及标准化处理
21、。3)数据分析采用统计、智能算法等方法分析经过初步处理的数据,检查数据是否正常,或显示存在入侵。4)响应处理 当发现入侵时,采取措施进行防护、保留入侵证据并通知管理员。常用的措施包括切断网络连接、记录日志、通过电子邮件或电话通知管理员等。2.4 入侵检测系统的基本工作模式入侵检测系统的基本工作模式为:1)从系统的不同环节收集信息。2)分析该信息,试图寻找入侵活动的特征。3)自动对检测到的行为作出响应。4)记录并报告检测过程的结果。入侵检测系统的基本工作模式可以用如图2-2所示的图形来表示。 系统日记原始数据包检测原理异常入侵检测误用入侵检测报警报警并采取相应措施周期性检测实时检测图 2-2入侵
22、检测系统的基本工作模式2.5 入侵检测系统的分类入侵检测系统可以按不同的方法进行分类,其中,按检测技术、数据来源、体系结构及时效性进行分类是应用最多的分类方法。本文主要介绍前两者的分类方法。2.5.1 根据检测技术分类根据入侵检测系统所采用的技术可分为误用入侵检测、异常入侵检测和协议分析三种。1)误用入侵检测误用入侵检测(misuse intrusion detection)又称为基于特征的入侵检测。这一检测(signature-based intrusion detection)假设入侵者的活动可以用一种模式来表示,系统的目标是检测主体活动是否符合这些模式。它可以将已有的入侵方法检查出来,但
23、对新的入侵方法无能为力。其难点在于如何设计模式,既能够表达“入侵”现象,又不会将正常的活动包含进来。2)异常入侵检测异常入侵检测(anomaly intrusion detection)假设入侵者的活动异常于正常主体的活动。根据这一假设建立主体正常活动的(“活动简档”),将当前主体的活动状况与“活动简档”相比较,当违反其统计规律时,认为改活动可能是“入侵”行为。异常入侵检测的难题在于如何建立“活动简档”以及如何设计统计算法,从而不把正常的操作误认为“入侵”或忽略真正的“入侵”行为。3)协议分析协议分析是在传统模式匹配技术基础之上发展起来的一种新的入侵检测技术。它充分利用了网络协议的高度有序性,
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 集成 神经网络 入侵 检测 系统 研究
限制150内