關(guān)鍵詞：網(wǎng)絡(luò)安全 入侵檢測(cè) BP 神經(jīng)網(wǎng)絡(luò) 分布式神經(jīng)網(wǎng)絡(luò) 自學(xué)習(xí)算法

第 1 章 緒論

1.1 課題研究的背景和意義
入侵檢測(cè)的概念在 1980 年被提出，入侵檢測(cè)系統(tǒng)的抽象模型也首次在 1987年提出。第一個(gè)網(wǎng)絡(luò)入侵算法，是一種基于模式匹配的網(wǎng)絡(luò)入侵檢測(cè)算法，并持續(xù)發(fā)展于網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)。但是，算法的效率在匹配數(shù)據(jù)包的過程中表現(xiàn)不夠理想。網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)中被一些學(xué)者引入了“博耶-穆爾算法”[1]，通過算法的引入，檢測(cè)系統(tǒng)的效果有了很大的提高，而一些“博耶-穆爾算法”的研究者也做出了一些改善，但網(wǎng)絡(luò)規(guī)模的增加，使得基于單模的網(wǎng)絡(luò)入侵檢測(cè)算法難以滿足對(duì)計(jì)算機(jī)網(wǎng)絡(luò)的發(fā)展要求[2,3]。
本文結(jié)合分布式學(xué)習(xí)和自適應(yīng)學(xué)習(xí)的特點(diǎn)，提出了分布式神經(jīng)網(wǎng)絡(luò)自學(xué)習(xí)算法，它是一種采用分布式學(xué)習(xí)算法來優(yōu)化 BP 神經(jīng)網(wǎng)絡(luò)算法的入侵檢測(cè)算法，能夠很好地改善入侵檢測(cè)的性能和效率。綜上所述，神經(jīng)網(wǎng)絡(luò)入侵檢測(cè)算法對(duì)入侵檢測(cè)有很好的檢測(cè)效果，對(duì)于提高入侵檢測(cè)的檢測(cè)性能和效率具有深遠(yuǎn)的意義。

1.2 國內(nèi)外在該方向的研究現(xiàn)狀
早期，提出 IDS 這個(gè)概念的是在二十年代 80 年代，隨著 IDS 的發(fā)展，入侵檢測(cè)專家系統(tǒng)(IDES)[6]逐漸產(chǎn)生。到二十世紀(jì)九十年代開始，出現(xiàn)了兩代 IDS，它們分別是基于主機(jī)的和網(wǎng)絡(luò)的 IDS，隨后更為具體的分布式 IDS 的劃分也出現(xiàn)了[7]。IDS 在逐步發(fā)展，其檢測(cè)算法也在不斷的完善。為了傳輸、分析和處理數(shù)據(jù)方便，我們?cè)诰W(wǎng)絡(luò)的出口處安置了 IDS，其作用就是在提取數(shù)據(jù)時(shí)表現(xiàn)出來的行為和特征能夠及時(shí)被發(fā)現(xiàn)，以此來斷定是否受到了入侵，同時(shí)隔離開已經(jīng)響應(yīng)的入侵行為[8]。在 IDS 中，研究更多的還是核心算法，即檢測(cè)算法[9]，它是整個(gè) IDS 中最為重要的組成部分，是不可缺少的。它的最大的一個(gè)功能就是自學(xué)習(xí)性和收斂速度，這對(duì) IDS 整體的性能有著很大的影響。在檢測(cè)算法上我們一定要做的非常完善。
……………

第 2 章 入侵檢測(cè)與神經(jīng)網(wǎng)絡(luò)

2.1 入侵檢測(cè)概述及功能
入侵檢測(cè)是利用上述方法，利用網(wǎng)絡(luò)和計(jì)算機(jī)系統(tǒng)來收集關(guān)鍵信息，并根據(jù)分析所獲得的內(nèi)容，看它是否違反安全策略的結(jié)果特征，是否有非法入侵的存在來定義。包含多種這里提到的信息，如發(fā)送報(bào)文，系統(tǒng)日志，一些網(wǎng)絡(luò)的行為。入侵檢測(cè)系統(tǒng)(Intrusion Detection System)，簡(jiǎn)稱 IDS，入侵檢測(cè)有效地結(jié)合了硬件和軟件開發(fā)測(cè)試設(shè)備，它是基于安全策略的，一個(gè)很智能的設(shè)備、網(wǎng)絡(luò)產(chǎn)品，可以實(shí)現(xiàn)更高的智能功能，對(duì)于攻擊行為和提出有效的解決方案，并確定它是否及時(shí)給予關(guān)鍵信息的變化。

2.2 入侵檢測(cè)方法
根據(jù)所謂的遷移狀態(tài)的狀態(tài)檢測(cè)技術(shù)移民，是指在入侵過程結(jié)束的行為從初始狀態(tài)到入侵系列化，便于應(yīng)用程序狀態(tài)轉(zhuǎn)換圖。請(qǐng)求必須明確狀態(tài)遷移系統(tǒng)狀態(tài)和行為的條件和狀態(tài)轉(zhuǎn)換的條件，有針對(duì)性的行為建模的基礎(chǔ)上，入侵過程中的檢查，以模型為單位，從行為檢測(cè)模型單位轉(zhuǎn)換，縮短了檢測(cè)時(shí)間。因?yàn)榕c模型內(nèi)的轉(zhuǎn)移條件相關(guān)聯(lián)，因此該行為的同時(shí)，我們可以預(yù)測(cè)攻擊方法中使用的狀態(tài)遷移的方向。但缺點(diǎn)是，狀態(tài)遷移只能為一個(gè)簡(jiǎn)單的遷移入侵，入侵復(fù)雜的實(shí)施，將會(huì)有各種不同的行為轉(zhuǎn)化，關(guān)聯(lián)模型無法形成，否則數(shù)據(jù)發(fā)生爆炸。
使用基于模型的測(cè)試技術(shù)誤用檢測(cè)原理基于模型的錯(cuò)誤檢測(cè)技術(shù)是由系統(tǒng)活動(dòng)行為捕獲推出相應(yīng)的場(chǎng)景，對(duì)模型抽象處理，通過腳步分析和觀察來發(fā)現(xiàn)入侵的目的。通過對(duì)誤用檢測(cè)技術(shù)應(yīng)用與模型搜尋信息來對(duì)工作量的減少，大量的人力會(huì)在創(chuàng)建模型的過程中消耗。
………………

第 3 章 基于分布式神經(jīng)網(wǎng)絡(luò)自學(xué)習(xí)算法....................................... 16
3.1 入侵檢測(cè)算法原理................................................. 16
第 4 章 實(shí)例驗(yàn)證.......................... 29
4.1 入侵檢測(cè)數(shù)據(jù)集及特點(diǎn)........................................ 29
結(jié)論...................................................... 34

第 4 章 實(shí)例驗(yàn)證

研究和評(píng)價(jià)各種入侵檢測(cè)算法首要任務(wù)就是數(shù)據(jù)集的選擇。目前，大家用的最多的入侵檢測(cè)數(shù)據(jù)集就是安全審計(jì)數(shù)據(jù)集 KDD CUP99。該數(shù)據(jù)集作為許多論文和研究成果的基礎(chǔ)數(shù)據(jù)，其驗(yàn)證效果是顯著的，但分析和使用該數(shù)據(jù)集會(huì)存在明顯的差異。本文也將采用 KDD CUP99 數(shù)據(jù)集來對(duì)本算法模型進(jìn)行實(shí)例驗(yàn)證，并分析實(shí)驗(yàn)結(jié)果，給出相應(yīng)的實(shí)驗(yàn)結(jié)論。

4.1 入侵檢測(cè)數(shù)據(jù)集及特點(diǎn)
在入侵檢測(cè)系統(tǒng)中，可以通過提供的原始數(shù)據(jù)進(jìn)行分析入侵的程序，能夠集中地反應(yīng)系統(tǒng)的運(yùn)行狀態(tài)和網(wǎng)絡(luò)行為，依賴數(shù)據(jù)集的數(shù)據(jù)分布和整體結(jié)構(gòu)。作為入侵檢測(cè)算法的處理對(duì)象，從中提取特定的入侵模式是算法的某一部分任務(wù)。所以，實(shí)現(xiàn)入侵檢測(cè)算法必須要有足夠的先驗(yàn)知識(shí)。訓(xùn)練數(shù)據(jù)集和測(cè)試數(shù)據(jù)集兩者都屬于驗(yàn)證算法性能的兩大類數(shù)據(jù)集。被選擇數(shù)據(jù)集的特點(diǎn)[42]：1．有足夠的先驗(yàn)數(shù)據(jù)，能夠全面反映安全系統(tǒng)的真實(shí)狀態(tài)；2．正常情況下，安全審計(jì)數(shù)據(jù)集一般是很穩(wěn)定的，而且也是很全面的；3．不同類型的攻擊分布特征必須注重清楚地反映在先驗(yàn)數(shù)據(jù)；4．入侵檢測(cè)算法學(xué)習(xí)各種入侵模式；5．由于某些功能被攻擊而引起安全審計(jì)數(shù)據(jù)明顯偏離正常值。

4.2 輸入數(shù)據(jù)與輸出數(shù)據(jù)
本文的測(cè)試數(shù)據(jù)集是數(shù)據(jù)集的一部分，只用了 10%的數(shù)據(jù)作為訓(xùn)練數(shù)據(jù)，而使用測(cè)試數(shù)據(jù)集的標(biāo)識(shí)作為測(cè)試數(shù)據(jù)，本文設(shè)置為 311028 條記錄，包括正常行為記錄 60592，入侵記錄 250436，一共有 37 種入侵的數(shù)據(jù)集。
.............

結(jié)論

本文首先研究并討論了傳統(tǒng) BP 神經(jīng)網(wǎng)絡(luò)的流程和缺陷，然后針對(duì)性地對(duì)算法進(jìn)行了改進(jìn)，并運(yùn)用改進(jìn)的算法來建立模型，提高了入侵檢測(cè)的檢測(cè)效率，改善了其收斂性，最后進(jìn)行了實(shí)例驗(yàn)證。本文主要從以下幾個(gè)方面進(jìn)行研究：1．詳細(xì)介紹了網(wǎng)絡(luò)安全及入侵檢測(cè)的相關(guān)知識(shí)。全面闡述了網(wǎng)絡(luò)安全的發(fā)展現(xiàn)狀，并對(duì)入侵檢測(cè)技術(shù)作出了概述，深入研究了入侵檢測(cè)的功能、方法與不足。2．對(duì)神經(jīng)網(wǎng)絡(luò)技術(shù)進(jìn)行了闡述，介紹了神經(jīng)網(wǎng)絡(luò)的產(chǎn)生和原理。對(duì)現(xiàn)有的BP算法進(jìn)行分析，提出了基于分布式學(xué)習(xí)的神經(jīng)網(wǎng)絡(luò)入侵檢測(cè)算法，即分布式神經(jīng)網(wǎng)絡(luò)自學(xué)習(xí)算法，對(duì)傳統(tǒng)BP算法進(jìn)行了有效改進(jìn)，降低了算法的時(shí)間復(fù)雜度，從而提高了算法的效率。運(yùn)用改進(jìn)的算法建立模型，并分析模型的特點(diǎn)，為后面的實(shí)例驗(yàn)證做好鋪墊。3．通過給定的入侵檢測(cè)實(shí)驗(yàn)數(shù)據(jù)，與傳統(tǒng)BP算法進(jìn)行驗(yàn)證和比較，改進(jìn)后的算法大大提高了學(xué)習(xí)速度，有效縮短了訓(xùn)練時(shí)間，很大程度上提高了數(shù)據(jù)檢測(cè)的穩(wěn)定性和收斂性，具有較高的檢測(cè)效率和較低的誤報(bào)率。本文存在的不足以及下一步的研究?jī)?nèi)容：1．本文的數(shù)據(jù)來源是標(biāo)準(zhǔn)的 KDD CUP99 數(shù)據(jù)集，而實(shí)時(shí)網(wǎng)絡(luò)數(shù)據(jù)卻不能用該數(shù)據(jù)集來完全表示，如果今后有條件，應(yīng)當(dāng)加強(qiáng)這方面的工作，通過真正的實(shí)時(shí)網(wǎng)絡(luò)數(shù)據(jù)來進(jìn)行測(cè)試。

..............

參考文獻(xiàn)：

• [1] 喬俊飛,韓紅桂.  神經(jīng)網(wǎng)絡(luò)結(jié)構(gòu)動(dòng)態(tài)優(yōu)化設(shè)計(jì)的分析與展望[J]. 控制理論與應(yīng)用. 2010(03)
• [2] 喬俊飛,李淼,劉江.  一種神經(jīng)網(wǎng)絡(luò)快速修剪算法[J]. 電子學(xué)報(bào). 2010(04)
• [3] 范才智,宋寶泉,劉云輝,蔡宣平.  微小無人直升機(jī)自適應(yīng)視覺伺服[J]. 自動(dòng)化學(xué)報(bào). 2010(06)
• [4] 楊鋒,彭勤科,徐濤.  基于隨機(jī)網(wǎng)絡(luò)的在線評(píng)論情緒傾向性分類[J]. 自動(dòng)化學(xué)報(bào). 2010(06)
• [5] 谷叢,梁彥,張共愿,楊峰,潘泉.  量測(cè)缺失下多速率傳感器系統(tǒng)的H_∞濾波器設(shè)計(jì)[J]. 自動(dòng)化學(xué)報(bào). 2010(06)
• [6] 于雪松,趙巍,劉鵬,唐降龍.  基于混合跟蹤模型的室內(nèi)步行人體3D運(yùn)動(dòng)估計(jì)[J]. 自動(dòng)化學(xué)報(bào). 2010(06)
• [7] 何朕,孟范偉,劉偉,王廣雄.  H_∞回路成形設(shè)計(jì)的魯棒性[J]. 自動(dòng)化學(xué)報(bào). 2010(06)
• [8] 劉振丙,陳忠,劉建國.  一種新的構(gòu)造SVM分類器的幾何最近點(diǎn)法[J]. 自動(dòng)化學(xué)報(bào). 2010(06)
• [9] 宋宇,孫富春,李慶玲.  移動(dòng)機(jī)器人的改進(jìn)無跡粒子濾波蒙特卡羅定位算法[J]. 自動(dòng)化學(xué)報(bào). 2010(06)