陳佳威

（湖南科技學院 電子與信息工程學院，湖南 永州 425199）

基于神經(jīng)網(wǎng)絡(luò)的入侵檢測

陳佳威

（湖南科技學院 電子與信息工程學院，湖南 永州 425199）

文章在分析BP神經(jīng)網(wǎng)絡(luò)基礎(chǔ)上，提出了一個入侵檢測模型。該模型能進行基本的入侵檢測。最后測試結(jié)果表明，按照本實驗設(shè)計的入侵檢測模型實現(xiàn)了檢測，達到設(shè)計的要求。

入侵檢測；神經(jīng)網(wǎng)絡(luò)；BP算法

1 入侵檢測的意義和目標

常用的入侵檢測方法：誤用檢測和異常檢測。而上述檢測方法存在很多的不足，比如自學習能力，特別是在入侵檢測中，需要達到很高的準確性，而且要求實時程度比較高，現(xiàn)有的這些方法不能很好地解決這些問題。所以，研究實現(xiàn)基于BP神經(jīng)網(wǎng)絡(luò)的入侵檢測具有非常重要的現(xiàn)實意義。

2 國內(nèi)外研究現(xiàn)狀

入侵檢測是我們數(shù)據(jù)安全和網(wǎng)絡(luò)安全的有力保障，各個國家的該領(lǐng)域?qū)＜叶歼M行了大量的學習和研究。當然國外一直走在最前列，他們有比較成熟的代表模型，國內(nèi)的思科在這方面做得很優(yōu)秀。比如有國內(nèi)的NetRanger，NetRanger是思科開發(fā)的產(chǎn)品，還有RealSecure，RealSecure是ISS公司開發(fā)的成熟產(chǎn)品。還有一些開放源碼網(wǎng)絡(luò)入侵檢測系統(tǒng)，這種開放源代碼可以幫助人們更好地進行學習溝通和交流。自治代理入侵檢測系統(tǒng)、基于圖形的入侵檢測系統(tǒng)等等都具有非常重要的學習和研究意義，本次實驗借鑒了上述入侵檢測成熟產(chǎn)品進行。

除了上述的成熟產(chǎn)品，還有領(lǐng)域?qū)＜疫M行的科學實驗研究，也取得了很大的發(fā)展，在入侵檢測領(lǐng)域，具有很長遠的發(fā)展空間。也是這次進行學習和實驗，并設(shè)計實現(xiàn)的依據(jù)所在。當然，不斷發(fā)展的網(wǎng)絡(luò)技術(shù)和計算機技術(shù)，要求提出的模型可以滿足很多領(lǐng)域的要求，但是總的來說，入侵檢測的發(fā)展大概有以下5個基本方向，本文選擇了其中一個點進行研究和實驗，是具有現(xiàn)實意義的。

2.1 入侵檢測的主要方向比較多

但目前來說，主要還是專注在智能化檢測方法的研究和實現(xiàn)方面?，F(xiàn)實網(wǎng)絡(luò)環(huán)境中，出現(xiàn)的各種入侵方式和原理多樣，要抵御這種攻擊，必須作出更多和更加高質(zhì)量的模型。比如加入神經(jīng)網(wǎng)路、BP算法、智能模型或者向量機等各種技術(shù)和方法，就能很好地幫助抵制各種入侵，從而進行入侵檢測。

2.2 入侵檢測還有一些比較前沿的研究領(lǐng)地

如在入侵檢測中，他們的數(shù)據(jù)分析關(guān)聯(lián)性問題，以及給用戶發(fā)出的警告信息是否可以合并或者說組合成一些比較完善的模型，幫助展開用戶的個性化分析，以及入侵方式方法的分析。從而幫助抵制外界的入侵，達到精準抵御和防止入侵發(fā)生的目的，這是本次實驗需要解決的關(guān)鍵問題。提高入侵檢測效率勢在必行，也具有非常重要的研究價值。

2.3 入侵檢測的體系結(jié)構(gòu)多種多樣，其中最主要的是分布式的入侵檢測

這種檢測方式，最主要研究的重要方法和原理包括：在網(wǎng)絡(luò)連接中的協(xié)議如何，對數(shù)據(jù)如何進行總結(jié)和處理，處理的技術(shù)如何，數(shù)據(jù)傳遞的基本標準能否幫助實驗進行入侵檢測。

2.4 入侵檢測新的研究方向是入侵容忍度

在有入侵的情況下，網(wǎng)絡(luò)環(huán)境，本機系統(tǒng)，本身自帶的防火墻，對各種入侵的忍受程度如何。如果入侵，但并不能竊取數(shù)據(jù)信息，或者對本機的信息破壞或者盜取的程度不大，那么入侵容忍度是可以接受的。這個方面的研究也具有非常重要的研究意義。

2.5 入侵檢測最重要的是性能的測評

各個國家的專家，都在做同一件事情，因為入侵檢測的時效性很高，需要及時進行反映和回饋。從這個角度上分析，檢測的性能必然是很關(guān)鍵的一個環(huán)節(jié)，也是進行實驗的一個重要方向。

3 算法的技術(shù)路線

本實驗基于一個理想模型，首先從網(wǎng)絡(luò)中捕獲一定數(shù)量的TCP數(shù)據(jù)包（假設(shè)這些數(shù)據(jù)包為非入侵包），并用這些數(shù)據(jù)包訓練神經(jīng)網(wǎng)絡(luò)，訓練完成后，神經(jīng)網(wǎng)絡(luò)形成了非入侵數(shù)據(jù)包的行為輪廓，然后利用所得的神經(jīng)網(wǎng)絡(luò)權(quán)重矩陣和閾值矩陣進行入侵檢測。檢測時因為已經(jīng)形成了正常數(shù)據(jù)包的權(quán)重矩陣和閾值矩陣，所以對于正常數(shù)據(jù)包其檢測速度和誤差均滿足實驗要求，而對于入侵包，因為沒有其相應(yīng)的權(quán)重矩陣和閾值矩陣，故對其進行檢測時誤差較大，不滿足題目要求，從而判斷出其屬異常包。

本實驗建立的基于神經(jīng)網(wǎng)絡(luò)的入侵檢測模型，具體實現(xiàn)時建立如下模塊。

（1）數(shù)據(jù)包捕獲模塊。用于從網(wǎng)絡(luò)捕獲數(shù)據(jù)包，本實驗為實現(xiàn)方便，只對TCP數(shù)據(jù)包進行捕獲和檢測。

（2）數(shù)據(jù)分析模塊。從捕獲模塊獲得數(shù)據(jù)包，分析數(shù)據(jù)包，產(chǎn)生神經(jīng)網(wǎng)絡(luò)的輸入字段。

（3）訓練模塊。用于對神經(jīng)網(wǎng)絡(luò)進行訓練，本實驗在訓練時輸入正常數(shù)據(jù)包，使神經(jīng)網(wǎng)絡(luò)形成對正常數(shù)據(jù)包的行為輪廓和閾值矩陣。

（4）測試模塊。用于數(shù)據(jù)包的測試，輸出測試結(jié)果。

4 實驗數(shù)據(jù)及結(jié)果

實驗的運行環(huán)境為：Pentiu m（R）Dual-Core CPU T4200 2.0 GHz，內(nèi)存為2 GB。另外還配置JDK，Winpcap，Jpcap環(huán)境，用Java語言實現(xiàn)了BP神經(jīng)網(wǎng)絡(luò)算法，并進行了入侵的檢測。在具體檢測時，定義一個訓練組數(shù)，本實驗共進行了3組訓練的測試，每一訓練組中包含一定數(shù)目的數(shù)據(jù)包（TCP數(shù)據(jù)包），在規(guī)定的允許誤差，學習率的情況下，實際輸出滿足實驗要求。神經(jīng)網(wǎng)絡(luò)經(jīng)過訓練后形成了對正常數(shù)據(jù)包的行為輪廓，記錄了相應(yīng)的權(quán)重矩陣和閾值矩陣，可將其用于入侵的檢測。在本實驗中通過發(fā)送特定的異常包（TCP數(shù)據(jù)包，其源IP地址和目的IP地址相同），該模型可檢測出其狀態(tài)。如表2所示，表2中共有10個數(shù)據(jù)包，前面9個數(shù)據(jù)包屬正常的數(shù)據(jù)包，其相應(yīng)的檢測狀態(tài)為正常，而第10個數(shù)據(jù)包，其源IP地址和目的IP地址相同，屬異常數(shù)據(jù)包，其相應(yīng)的檢測狀態(tài)為異常。

表1 檢測結(jié)果

5 結(jié)語

本實驗實現(xiàn)了BP神經(jīng)網(wǎng)絡(luò)算法，并將其用于簡單的入侵檢測模型。在實驗過程中，數(shù)據(jù)的處理難度較大，要實現(xiàn)BP神經(jīng)網(wǎng)絡(luò)模型有很大發(fā)展空間，還需要不斷潛心研究和進行試驗。

（1）訓練對于本次試驗來說非常重要，只有經(jīng)過了訓練和學習以后，才能達到入侵檢測的要求。但是，現(xiàn)代先進的計算機技術(shù)和網(wǎng)絡(luò)技術(shù)，給這次實驗帶來了方便和機會。而神經(jīng)網(wǎng)絡(luò)對有些初始值收斂很慢，如果每次檢測時進行訓練，不利于入侵的檢測，如何有效地選取訓練樣本是下一步要研究的問題。

（2）由于時間原因，本實驗只實現(xiàn)了一個簡單的入侵檢測模型，只能對特定的異常包做出標記，由于神經(jīng)網(wǎng)絡(luò)具有自學習性，可以在收集了合適的訓練數(shù)據(jù)后，對神經(jīng)網(wǎng)絡(luò)進行訓練，從而用于更多的檢測。

（3）數(shù)據(jù)包信息對于本系統(tǒng)來說很重要，也是關(guān)鍵所在。入侵檢測，需要檢測的信息量很大，對于本次實驗來說，難度很高。但是，本文研究的模型完全可以抵制或者防御危險的信息和數(shù)據(jù)。在實驗過程中，本文也總結(jié)出了模型的基本框架和基本的原理，對于后續(xù)的研究具有重要的意義。

（4）入侵檢測是過程總是在某種算法的基礎(chǔ)上實現(xiàn)的，這次實驗完全基于協(xié)議分析。本實驗在將神經(jīng)網(wǎng)絡(luò)應(yīng)用到入侵檢測時沒能很好地體現(xiàn)神經(jīng)網(wǎng)絡(luò)的優(yōu)點，這將是下一步工作的重點。

[1]張永良，張智勤，吳鴻韜.基于改進卷積神經(jīng)網(wǎng)絡(luò)的周界入侵檢測方法[J].計算機科學，2017（3）：182-186.

[2]劉博文.人工神經(jīng)網(wǎng)絡(luò)的改進及其在入侵檢測中的應(yīng)用[J].電腦知識與技術(shù)，2016（12）：188-189.

[3]吳春瓊，黃曉.基于猴群算法優(yōu)化的神經(jīng)網(wǎng)絡(luò)在入侵檢測中的應(yīng)用研究[J].網(wǎng)絡(luò)空間安全，2016（6）：14-18.

Intrusion detection based on neural network

Chen Jiawei
（Electronic and Information Engineering School of Hunan University of Science and Engineering, Yongzhou 425199, China）

Based on the analysis of BP neural network, this paper proposed an intrusion detection model. The model of intrusion detection can be used to carry out the basic detection test. Final test results show that intrusion detection model in accordance with the experimental design meets the design requirements.

intrusion detection; neural network; BP algorithm

陳佳威（1992— ），男，廣東梅州；研究方向：智能算法，開源軟件。