摘 要：針對(duì)傳統(tǒng)的入侵檢測(cè)方法存在檢測(cè)速度慢、不易收斂、檢測(cè)準(zhǔn)確率低等問題，提出了一種新的適用于網(wǎng)絡(luò)入侵檢測(cè)的模糊神經(jīng)Petri網(wǎng)（簡(jiǎn)稱為FNPN）。文中首先給出了模糊神經(jīng)Petri網(wǎng)的定義及其引發(fā)規(guī)則，然后給出了一種學(xué)習(xí)算法。該FNPN結(jié)合了模糊Petri網(wǎng)和神經(jīng)網(wǎng)絡(luò)各自的優(yōu)點(diǎn)，既可以表示和處理模糊產(chǎn)生式規(guī)則的知識(shí)庫(kù)系統(tǒng)，又具有學(xué)習(xí)能力，可通過對(duì)樣本數(shù)據(jù)學(xué)習(xí)來調(diào)整模型中的參數(shù)以獲得系統(tǒng)內(nèi)部的等效結(jié)構(gòu)。實(shí)驗(yàn)證明，該方法具有更高的識(shí)別精度和更高的學(xué)習(xí)速率。

關(guān)鍵詞：模糊神經(jīng)Petri網(wǎng)；入侵檢測(cè)；神經(jīng)網(wǎng)絡(luò)；知識(shí)學(xué)習(xí)

中圖分類號(hào)：TP393.08

隨著網(wǎng)絡(luò)在人們的日常生活中應(yīng)用不斷增多，網(wǎng)絡(luò)入侵的風(fēng)險(xiǎn)性和機(jī)會(huì)也越來越多，網(wǎng)絡(luò)安全成為了人們無法回避的問題。入侵檢測(cè)技術(shù)已經(jīng)成為一項(xiàng)非常重要的技術(shù)，得到越來越多的重視。目前，傳統(tǒng)的入侵檢測(cè)方法都是基于模式匹配的入侵檢測(cè)方法、基于統(tǒng)計(jì)分析的入侵檢測(cè)方法等，但它們都存在靈活性和適應(yīng)性差[1，2]，檢測(cè)效率不高，尤其是對(duì)未知的入侵行為檢測(cè)存在困難。

針對(duì)上述問題，作者提出基于模糊神經(jīng)Petri網(wǎng)（fuzzyneuralPetrinets，F(xiàn)NPN）的網(wǎng)絡(luò)入侵檢測(cè)方法，將類似于神經(jīng)網(wǎng)絡(luò)的學(xué)習(xí)功能引入FPN中。利用FNPN的并行推理能力解決傳統(tǒng)檢測(cè)方法靈活性和適應(yīng)性差的問題，實(shí)驗(yàn)結(jié)果表明，本方法具有更高的檢測(cè)準(zhǔn)確率和更快的檢測(cè)速度。

1 基本概念

Petri網(wǎng)是對(duì)離散并行系統(tǒng)的數(shù)學(xué)表示。Petri網(wǎng)是1960年由Karl·A·Petri發(fā)明的，適合于描述異步的、并發(fā)的計(jì)算機(jī)系統(tǒng)模型。Petri網(wǎng)既有嚴(yán)格的數(shù)學(xué)表述方式，也有直觀的圖形表達(dá)方式，既有豐富的系統(tǒng)描述手段和系統(tǒng)行為分析技術(shù)，又為計(jì)算機(jī)科學(xué)提供堅(jiān)實(shí)的概念基礎(chǔ)[3]。

2 基于FNPN的網(wǎng)絡(luò)入侵檢測(cè)方法

基于FNPN的入侵檢測(cè)原理如圖1所示：首先利用專家知識(shí)建立攻擊知識(shí)的初始FNPN模型，然后通過現(xiàn)實(shí)網(wǎng)絡(luò)環(huán)境采集含有入侵信息的數(shù)據(jù)，利用學(xué)習(xí)算法對(duì)知識(shí)模型的參數(shù)進(jìn)行自動(dòng)調(diào)整，以提高知識(shí)模型的準(zhǔn)確度。將調(diào)整好后的模型作為模糊推理的知識(shí)，通過模糊推理得到某攻擊發(fā)生的可能性。

基于FNPN的模糊推理過程是攻擊知識(shí)的FNPN模型從初始標(biāo)志開始，所有滿足條件的變遷按順序并行激發(fā)的過程。該過程與基于神經(jīng)網(wǎng)絡(luò)的推理過程相似，是一種并行推理過程，避免了傳統(tǒng)誤用入侵檢測(cè)（基于產(chǎn)生式規(guī)則推理）中的推理沖突、組合爆炸等問題，因此具有較高的推理效率；同時(shí)，該方法中引入學(xué)習(xí)算法對(duì)初始知識(shí)的FNPN模型的參數(shù)進(jìn)行動(dòng)態(tài)調(diào)整，以提高知識(shí)模型的準(zhǔn)確度，從而提高系統(tǒng)的入侵檢測(cè)率[6]。

圖1 基于FNPN的入侵檢測(cè)原理

2.1 模糊規(guī)則的FNPN表示

一條模糊產(chǎn)生式‘與’規(guī)則對(duì)應(yīng)FNPN中的一個(gè)變遷，而一條模糊產(chǎn)生式‘或’規(guī)則對(duì)應(yīng)一組變遷。同樣一條模糊產(chǎn)生式非規(guī)則對(duì)應(yīng)FNPN中的一個(gè)變遷，規(guī)則中的命題與FNPN中的庫(kù)所一一對(duì)應(yīng)，規(guī)則中的模糊命題的當(dāng)前隸屬度值為庫(kù)所中的標(biāo)記值，規(guī)則的信任度對(duì)應(yīng)變遷的一個(gè)映射函數(shù)[5]。

2.2 FNPN的訓(xùn)練算法

第1步：初始化，根據(jù)專家經(jīng)驗(yàn)輸入各權(quán)值和變遷信任度的初始值，并把輸入命題和中間命題的總個(gè)數(shù)送n，變遷的總個(gè)數(shù)送m，樣本總數(shù)N，i和j分別送1，學(xué)習(xí)步長(zhǎng)送δ。

第2步：計(jì)算初始誤差，根據(jù)初始權(quán)值和信任度及前面的引發(fā)規(guī)則計(jì)算出一組系統(tǒng)可靠度，并根據(jù)計(jì)算出初始誤差值。判斷其是否小于規(guī)定的誤差限，若小于的話直接結(jié)束，否則進(jìn)入下一步。

第3步：依據(jù)學(xué)習(xí)步長(zhǎng)對(duì)部件i的權(quán)值進(jìn)行調(diào)整，并判斷是否每個(gè)值都大于等于零，若都大于等于零，則進(jìn)行下一步，否則轉(zhuǎn)第6步。

第4步：計(jì)算出當(dāng)前系統(tǒng)的誤差值fi與fi-1比較，若fi

第5步：重新調(diào)回原權(quán)值，說明上一步的調(diào)整方向不正確。

第6步：令i=i+1，并判斷其是否大于n，若不大于n，轉(zhuǎn)第3步進(jìn)行下一部件的權(quán)值調(diào)整，否則進(jìn)入下一步。

第7步：判斷這時(shí)的fi是否小于等于要求的誤差限，若已達(dá)到規(guī)定的誤差限，則結(jié)束訓(xùn)練；否則，判斷訓(xùn)練次數(shù)是否超過規(guī)定權(quán)值訓(xùn)練次數(shù)，若不超過，則把fi的值賦給f0并重新使i=1轉(zhuǎn)第3步，開始下一輪訓(xùn)練；若已超過權(quán)值訓(xùn)練次數(shù)，則進(jìn)入下一步。

第8步：對(duì)信任度進(jìn)行訓(xùn)練，逐個(gè)調(diào)整信任度值但不能超過1，并逐次計(jì)算fj并判斷是否小于等于規(guī)定的誤差限，若已經(jīng)達(dá)到誤差限，則結(jié)束訓(xùn)練，否則，一直調(diào)整信任度直至達(dá)到規(guī)定的信任度訓(xùn)練次數(shù)為止。此時(shí)，若還達(dá)不到要求的誤差限，則修改模糊規(guī)則，然后返回第一步重新學(xué)習(xí)。

2.3 FNPN的入侵檢測(cè)模型

通過專家知識(shí)得到FNPN的最優(yōu)初始權(quán)值，利用最優(yōu)初始權(quán)值的FNPN對(duì)入侵檢測(cè)數(shù)據(jù)進(jìn)行學(xué)習(xí)和訓(xùn)練，得到最優(yōu)的網(wǎng)絡(luò)入侵檢測(cè)模型。然后采用這個(gè)最優(yōu)網(wǎng)絡(luò)入侵模型對(duì)網(wǎng)絡(luò)上采集數(shù)據(jù)進(jìn)行在線檢測(cè)，對(duì)檢測(cè)結(jié)果進(jìn)行分析和判斷，最后根據(jù)分析結(jié)果進(jìn)行相應(yīng)的處理。

3 實(shí)例分析

為了對(duì)上述方法進(jìn)行效果分析，本文對(duì)BackDoS、BufferOverflow、Guess-Passwd、Imap、IpsweepProbe、Land攻擊、SYNFlooding攻擊共7類攻擊進(jìn)行基于FNPN和NN的對(duì)比識(shí)別實(shí)驗(yàn)[7]。

取其中100條包含有以上7類攻擊的記錄，80條作為訓(xùn)練，20條作為測(cè)試。其中正常連接19個(gè)，攻擊連接81個(gè)。

令FNPN和NN的參數(shù)相同學(xué)習(xí)速率均為0.10，動(dòng)力因子為0.075，f（x）=1/（1+e-x）。

FNPN的初始權(quán)值和變遷信任度由專家系統(tǒng)根據(jù)其經(jīng)驗(yàn)的所得。用圖5所示的專家系統(tǒng)的FNPN模型作為網(wǎng)絡(luò)的入侵檢測(cè)模型，用所述的學(xué)習(xí)算法，用Matlab編制程序，并在假設(shè)專家知識(shí)的情況下給出一組初值：w11=w21=w31=w41=w51=w61=w71=w81=w91=wa1=0，w12=w22=w32=w42=w52=w62=w72=w82=w92=wa2=1，所有的信任度都取1，步長(zhǎng)選為0.0001，用樣本中的80組數(shù)據(jù)對(duì)權(quán)值和信任度進(jìn)行訓(xùn)練。經(jīng)過179次學(xué)習(xí)后，達(dá)到規(guī)定的誤差范圍（<10-4）之內(nèi)，算法收斂[7，8]。

將FNPN和NN的訓(xùn)練結(jié)果對(duì)比如圖2所示。表明FNPN的最小平均誤差比NN的最小平均誤差小，且學(xué)習(xí)速度快。

圖2 FNPN和NN的訓(xùn)練曲線

最后，對(duì)訓(xùn)練好的參數(shù)用樣本中的其余20組數(shù)據(jù)進(jìn)行測(cè)試，平均誤差為0.0000154，表1為測(cè)試中所有攻擊的識(shí)別率統(tǒng)計(jì)。結(jié)果表明，基于FNPN的識(shí)別方法比基于相同結(jié)構(gòu)的NN對(duì)攻擊具有更高的識(shí)別率[9]。

表1 基于FNPN和NN的檢測(cè)率比較

攻擊類型檢測(cè)率/%

FNPNNN

BackDoS90.384.2

BufferOverflow86.582.4

GuessPasswd79.975.1

Imap83.781.2

IpsweepProbe88.685.8

Land91.287.7

SYNFlooding85.282.7

4 結(jié)論

本文提出的適合于網(wǎng)絡(luò)入侵檢測(cè)的模糊神經(jīng)Petri網(wǎng)，既具有模糊Petri網(wǎng)自動(dòng)模糊推理的能力，又具有神經(jīng)網(wǎng)絡(luò)的學(xué)習(xí)能力。由于采用了基于專家經(jīng)驗(yàn)的系統(tǒng)結(jié)構(gòu)，省去對(duì)實(shí)際系統(tǒng)建模的困難。與直接用神經(jīng)網(wǎng)絡(luò)進(jìn)行入侵檢測(cè)相比需要訓(xùn)練的參數(shù)更少，節(jié)省了存儲(chǔ)空間，且各參數(shù)具有明確的物理意義。該方法適用于基于結(jié)構(gòu)模糊推理的網(wǎng)絡(luò)入侵檢測(cè)。

參考文獻(xiàn)：

[1]危勝軍，胡昌振，高秀峰.基于學(xué)習(xí)Petri網(wǎng)的網(wǎng)絡(luò)入侵檢測(cè)方法[J].兵工學(xué)報(bào)，2006，27（2）：269-272.

[2]趙俊閣，付鈺，劉玲艷.網(wǎng)絡(luò)系統(tǒng)可靠性評(píng)估的模糊神經(jīng)Petri網(wǎng)方法[J].火力與指揮控制，2010，35（3）：55-57.

[3]ChenSM，KeJS，ChangJF.KnowledgeRepresentationUsingFuzzyPetriNets[J].IEEETransonKnowledgeDataEnergy，1990，2（3）：311-319.

[4]原菊梅，侯朝楨，王小藝.復(fù)雜系統(tǒng)可靠性估計(jì)的模糊神經(jīng)Petri網(wǎng)方法[J].控制理論與應(yīng)用，2006，23（5）：687-691.

[5]KoriemSM.AfuzzyPetriNetToolforModelingandVerificationofKnowledge-basedSystems[J].TheComputerJournal，2000，43（3）：206-223.

[6]傅學(xué)彥，尹滄濤.神經(jīng)網(wǎng)絡(luò)在網(wǎng)絡(luò)入侵檢測(cè)中的應(yīng)用[J].計(jì)算機(jī)仿真，2010，27（12）：152-155.

[7]原菊梅，侯朝楨，王小藝.復(fù)雜系統(tǒng)可靠性估計(jì)的模糊神經(jīng)Petri網(wǎng)方法[J].控制理論與應(yīng)用，2006，23（5）：687-691.

[8]危勝軍，胡昌振，孫明謙.基于模糊Petri網(wǎng)的誤用入侵檢測(cè)方法[J].北京理工大學(xué)學(xué)報(bào)，2007，27（4）：312-317.

[9]張白一，崔尚森.基于規(guī)則推理的FPN誤用入侵檢測(cè)方法[J].計(jì)算機(jī)工程，2006，32（14）：119-121.

[9]李玲娟，翟雙燦，郭立瑋.用支持向量機(jī)預(yù)測(cè)中藥水提液膜分離過程[J].計(jì)算機(jī)與應(yīng)用化學(xué)，2010，27（2）：149-154.

作者簡(jiǎn)介：翟雙燦（1966-），江蘇人，講師，研究方向：軟件工程，數(shù)據(jù)挖掘，知識(shí)及軟件工程。

作者單位：南京中醫(yī)藥大學(xué)信息技術(shù)學(xué)院，南京 210046；南京中醫(yī)藥大學(xué)中醫(yī)藥研究院，南京 210046