陳佳威

（湖南科技學(xué)院 電子與信息工程學(xué)院，湖南 永州 425199）

基于神經(jīng)網(wǎng)絡(luò)的入侵檢測(cè)

陳佳威

（湖南科技學(xué)院 電子與信息工程學(xué)院，湖南 永州 425199）

文章在分析BP神經(jīng)網(wǎng)絡(luò)基礎(chǔ)上，提出了一個(gè)入侵檢測(cè)模型。該模型能進(jìn)行基本的入侵檢測(cè)。最后測(cè)試結(jié)果表明，按照本實(shí)驗(yàn)設(shè)計(jì)的入侵檢測(cè)模型實(shí)現(xiàn)了檢測(cè)，達(dá)到設(shè)計(jì)的要求。

入侵檢測(cè)；神經(jīng)網(wǎng)絡(luò)；BP算法

1 入侵檢測(cè)的意義和目標(biāo)

常用的入侵檢測(cè)方法：誤用檢測(cè)和異常檢測(cè)。而上述檢測(cè)方法存在很多的不足，比如自學(xué)習(xí)能力，特別是在入侵檢測(cè)中，需要達(dá)到很高的準(zhǔn)確性，而且要求實(shí)時(shí)程度比較高，現(xiàn)有的這些方法不能很好地解決這些問(wèn)題。所以，研究實(shí)現(xiàn)基于BP神經(jīng)網(wǎng)絡(luò)的入侵檢測(cè)具有非常重要的現(xiàn)實(shí)意義。

2 國(guó)內(nèi)外研究現(xiàn)狀

入侵檢測(cè)是我們數(shù)據(jù)安全和網(wǎng)絡(luò)安全的有力保障，各個(gè)國(guó)家的該領(lǐng)域?qū)＜叶歼M(jìn)行了大量的學(xué)習(xí)和研究。當(dāng)然國(guó)外一直走在最前列，他們有比較成熟的代表模型，國(guó)內(nèi)的思科在這方面做得很優(yōu)秀。比如有國(guó)內(nèi)的NetRanger，NetRanger是思科開發(fā)的產(chǎn)品，還有RealSecure，RealSecure是ISS公司開發(fā)的成熟產(chǎn)品。還有一些開放源碼網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)，這種開放源代碼可以幫助人們更好地進(jìn)行學(xué)習(xí)溝通和交流。自治代理入侵檢測(cè)系統(tǒng)、基于圖形的入侵檢測(cè)系統(tǒng)等等都具有非常重要的學(xué)習(xí)和研究意義，本次實(shí)驗(yàn)借鑒了上述入侵檢測(cè)成熟產(chǎn)品進(jìn)行。

除了上述的成熟產(chǎn)品，還有領(lǐng)域?qū)＜疫M(jìn)行的科學(xué)實(shí)驗(yàn)研究，也取得了很大的發(fā)展，在入侵檢測(cè)領(lǐng)域，具有很長(zhǎng)遠(yuǎn)的發(fā)展空間。也是這次進(jìn)行學(xué)習(xí)和實(shí)驗(yàn)，并設(shè)計(jì)實(shí)現(xiàn)的依據(jù)所在。當(dāng)然，不斷發(fā)展的網(wǎng)絡(luò)技術(shù)和計(jì)算機(jī)技術(shù)，要求提出的模型可以滿足很多領(lǐng)域的要求，但是總的來(lái)說(shuō)，入侵檢測(cè)的發(fā)展大概有以下5個(gè)基本方向，本文選擇了其中一個(gè)點(diǎn)進(jìn)行研究和實(shí)驗(yàn)，是具有現(xiàn)實(shí)意義的。

2.1 入侵檢測(cè)的主要方向比較多

但目前來(lái)說(shuō)，主要還是專注在智能化檢測(cè)方法的研究和實(shí)現(xiàn)方面。現(xiàn)實(shí)網(wǎng)絡(luò)環(huán)境中，出現(xiàn)的各種入侵方式和原理多樣，要抵御這種攻擊，必須作出更多和更加高質(zhì)量的模型。比如加入神經(jīng)網(wǎng)路、BP算法、智能模型或者向量機(jī)等各種技術(shù)和方法，就能很好地幫助抵制各種入侵，從而進(jìn)行入侵檢測(cè)。

2.2 入侵檢測(cè)還有一些比較前沿的研究領(lǐng)地

如在入侵檢測(cè)中，他們的數(shù)據(jù)分析關(guān)聯(lián)性問(wèn)題，以及給用戶發(fā)出的警告信息是否可以合并或者說(shuō)組合成一些比較完善的模型，幫助展開用戶的個(gè)性化分析，以及入侵方式方法的分析。從而幫助抵制外界的入侵，達(dá)到精準(zhǔn)抵御和防止入侵發(fā)生的目的，這是本次實(shí)驗(yàn)需要解決的關(guān)鍵問(wèn)題。提高入侵檢測(cè)效率勢(shì)在必行，也具有非常重要的研究?jī)r(jià)值。

2.3 入侵檢測(cè)的體系結(jié)構(gòu)多種多樣，其中最主要的是分布式的入侵檢測(cè)

這種檢測(cè)方式，最主要研究的重要方法和原理包括：在網(wǎng)絡(luò)連接中的協(xié)議如何，對(duì)數(shù)據(jù)如何進(jìn)行總結(jié)和處理，處理的技術(shù)如何，數(shù)據(jù)傳遞的基本標(biāo)準(zhǔn)能否幫助實(shí)驗(yàn)進(jìn)行入侵檢測(cè)。

2.4 入侵檢測(cè)新的研究方向是入侵容忍度

在有入侵的情況下，網(wǎng)絡(luò)環(huán)境，本機(jī)系統(tǒng)，本身自帶的防火墻，對(duì)各種入侵的忍受程度如何。如果入侵，但并不能竊取數(shù)據(jù)信息，或者對(duì)本機(jī)的信息破壞或者盜取的程度不大，那么入侵容忍度是可以接受的。這個(gè)方面的研究也具有非常重要的研究意義。

2.5 入侵檢測(cè)最重要的是性能的測(cè)評(píng)

各個(gè)國(guó)家的專家，都在做同一件事情，因?yàn)槿肭謾z測(cè)的時(shí)效性很高，需要及時(shí)進(jìn)行反映和回饋。從這個(gè)角度上分析，檢測(cè)的性能必然是很關(guān)鍵的一個(gè)環(huán)節(jié)，也是進(jìn)行實(shí)驗(yàn)的一個(gè)重要方向。

3 算法的技術(shù)路線

本實(shí)驗(yàn)基于一個(gè)理想模型，首先從網(wǎng)絡(luò)中捕獲一定數(shù)量的TCP數(shù)據(jù)包（假設(shè)這些數(shù)據(jù)包為非入侵包），并用這些數(shù)據(jù)包訓(xùn)練神經(jīng)網(wǎng)絡(luò)，訓(xùn)練完成后，神經(jīng)網(wǎng)絡(luò)形成了非入侵?jǐn)?shù)據(jù)包的行為輪廓，然后利用所得的神經(jīng)網(wǎng)絡(luò)權(quán)重矩陣和閾值矩陣進(jìn)行入侵檢測(cè)。檢測(cè)時(shí)因?yàn)橐呀?jīng)形成了正常數(shù)據(jù)包的權(quán)重矩陣和閾值矩陣，所以對(duì)于正常數(shù)據(jù)包其檢測(cè)速度和誤差均滿足實(shí)驗(yàn)要求，而對(duì)于入侵包，因?yàn)闆](méi)有其相應(yīng)的權(quán)重矩陣和閾值矩陣，故對(duì)其進(jìn)行檢測(cè)時(shí)誤差較大，不滿足題目要求，從而判斷出其屬異常包。

本實(shí)驗(yàn)建立的基于神經(jīng)網(wǎng)絡(luò)的入侵檢測(cè)模型，具體實(shí)現(xiàn)時(shí)建立如下模塊。

（1）數(shù)據(jù)包捕獲模塊。用于從網(wǎng)絡(luò)捕獲數(shù)據(jù)包，本實(shí)驗(yàn)為實(shí)現(xiàn)方便，只對(duì)TCP數(shù)據(jù)包進(jìn)行捕獲和檢測(cè)。

（2）數(shù)據(jù)分析模塊。從捕獲模塊獲得數(shù)據(jù)包，分析數(shù)據(jù)包，產(chǎn)生神經(jīng)網(wǎng)絡(luò)的輸入字段。

（3）訓(xùn)練模塊。用于對(duì)神經(jīng)網(wǎng)絡(luò)進(jìn)行訓(xùn)練，本實(shí)驗(yàn)在訓(xùn)練時(shí)輸入正常數(shù)據(jù)包，使神經(jīng)網(wǎng)絡(luò)形成對(duì)正常數(shù)據(jù)包的行為輪廓和閾值矩陣。

（4）測(cè)試模塊。用于數(shù)據(jù)包的測(cè)試，輸出測(cè)試結(jié)果。

4 實(shí)驗(yàn)數(shù)據(jù)及結(jié)果

實(shí)驗(yàn)的運(yùn)行環(huán)境為：Pentiu m（R）Dual-Core CPU T4200 2.0 GHz，內(nèi)存為2 GB。另外還配置JDK，Winpcap，Jpcap環(huán)境，用Java語(yǔ)言實(shí)現(xiàn)了BP神經(jīng)網(wǎng)絡(luò)算法，并進(jìn)行了入侵的檢測(cè)。在具體檢測(cè)時(shí)，定義一個(gè)訓(xùn)練組數(shù)，本實(shí)驗(yàn)共進(jìn)行了3組訓(xùn)練的測(cè)試，每一訓(xùn)練組中包含一定數(shù)目的數(shù)據(jù)包（TCP數(shù)據(jù)包），在規(guī)定的允許誤差，學(xué)習(xí)率的情況下，實(shí)際輸出滿足實(shí)驗(yàn)要求。神經(jīng)網(wǎng)絡(luò)經(jīng)過(guò)訓(xùn)練后形成了對(duì)正常數(shù)據(jù)包的行為輪廓，記錄了相應(yīng)的權(quán)重矩陣和閾值矩陣，可將其用于入侵的檢測(cè)。在本實(shí)驗(yàn)中通過(guò)發(fā)送特定的異常包（TCP數(shù)據(jù)包，其源IP地址和目的IP地址相同），該模型可檢測(cè)出其狀態(tài)。如表2所示，表2中共有10個(gè)數(shù)據(jù)包，前面9個(gè)數(shù)據(jù)包屬正常的數(shù)據(jù)包，其相應(yīng)的檢測(cè)狀態(tài)為正常，而第10個(gè)數(shù)據(jù)包，其源IP地址和目的IP地址相同，屬異常數(shù)據(jù)包，其相應(yīng)的檢測(cè)狀態(tài)為異常。

表1 檢測(cè)結(jié)果

5 結(jié)語(yǔ)

本實(shí)驗(yàn)實(shí)現(xiàn)了BP神經(jīng)網(wǎng)絡(luò)算法，并將其用于簡(jiǎn)單的入侵檢測(cè)模型。在實(shí)驗(yàn)過(guò)程中，數(shù)據(jù)的處理難度較大，要實(shí)現(xiàn)BP神經(jīng)網(wǎng)絡(luò)模型有很大發(fā)展空間，還需要不斷潛心研究和進(jìn)行試驗(yàn)。

（1）訓(xùn)練對(duì)于本次試驗(yàn)來(lái)說(shuō)非常重要，只有經(jīng)過(guò)了訓(xùn)練和學(xué)習(xí)以后，才能達(dá)到入侵檢測(cè)的要求。但是，現(xiàn)代先進(jìn)的計(jì)算機(jī)技術(shù)和網(wǎng)絡(luò)技術(shù)，給這次實(shí)驗(yàn)帶來(lái)了方便和機(jī)會(huì)。而神經(jīng)網(wǎng)絡(luò)對(duì)有些初始值收斂很慢，如果每次檢測(cè)時(shí)進(jìn)行訓(xùn)練，不利于入侵的檢測(cè)，如何有效地選取訓(xùn)練樣本是下一步要研究的問(wèn)題。

（2）由于時(shí)間原因，本實(shí)驗(yàn)只實(shí)現(xiàn)了一個(gè)簡(jiǎn)單的入侵檢測(cè)模型，只能對(duì)特定的異常包做出標(biāo)記，由于神經(jīng)網(wǎng)絡(luò)具有自學(xué)習(xí)性，可以在收集了合適的訓(xùn)練數(shù)據(jù)后，對(duì)神經(jīng)網(wǎng)絡(luò)進(jìn)行訓(xùn)練，從而用于更多的檢測(cè)。

（3）數(shù)據(jù)包信息對(duì)于本系統(tǒng)來(lái)說(shuō)很重要，也是關(guān)鍵所在。入侵檢測(cè)，需要檢測(cè)的信息量很大，對(duì)于本次實(shí)驗(yàn)來(lái)說(shuō)，難度很高。但是，本文研究的模型完全可以抵制或者防御危險(xiǎn)的信息和數(shù)據(jù)。在實(shí)驗(yàn)過(guò)程中，本文也總結(jié)出了模型的基本框架和基本的原理，對(duì)于后續(xù)的研究具有重要的意義。

（4）入侵檢測(cè)是過(guò)程總是在某種算法的基礎(chǔ)上實(shí)現(xiàn)的，這次實(shí)驗(yàn)完全基于協(xié)議分析。本實(shí)驗(yàn)在將神經(jīng)網(wǎng)絡(luò)應(yīng)用到入侵檢測(cè)時(shí)沒(méi)能很好地體現(xiàn)神經(jīng)網(wǎng)絡(luò)的優(yōu)點(diǎn)，這將是下一步工作的重點(diǎn)。

[1]張永良，張智勤，吳鴻韜.基于改進(jìn)卷積神經(jīng)網(wǎng)絡(luò)的周界入侵檢測(cè)方法[J].計(jì)算機(jī)科學(xué)，2017（3）：182-186.

[2]劉博文.人工神經(jīng)網(wǎng)絡(luò)的改進(jìn)及其在入侵檢測(cè)中的應(yīng)用[J].電腦知識(shí)與技術(shù)，2016（12）：188-189.

[3]吳春瓊，黃曉.基于猴群算法優(yōu)化的神經(jīng)網(wǎng)絡(luò)在入侵檢測(cè)中的應(yīng)用研究[J].網(wǎng)絡(luò)空間安全，2016（6）：14-18.

Intrusion detection based on neural network

Chen Jiawei
（Electronic and Information Engineering School of Hunan University of Science and Engineering, Yongzhou 425199, China）

Based on the analysis of BP neural network, this paper proposed an intrusion detection model. The model of intrusion detection can be used to carry out the basic detection test. Final test results show that intrusion detection model in accordance with the experimental design meets the design requirements.

intrusion detection; neural network; BP algorithm

陳佳威（1992— ），男，廣東梅州；研究方向：智能算法，開源軟件。