朱韶平 肖永良 黨艷軍

摘? ?要：為解決網(wǎng)絡系統(tǒng)入侵行為升級快，隱蔽性強和隨機性高等嚴重安全問題，結合入侵檢測系統(tǒng)信息的特點，提出一種基于MSNN模型的入侵檢測算法。首先提取系統(tǒng)調用順序特性和頻度特性，然后利用多級Sigmoid神經(jīng)網(wǎng)絡中的Sigmoid神經(jīng)元具有微調網(wǎng)絡的作用，且能讓神經(jīng)元產生多元反應進行多類分類，構建類似于大腦神經(jīng)突觸網(wǎng)絡信息處理的MSNN模型，實現(xiàn)網(wǎng)絡安全入侵檢測。實驗結果表明，該算法的檢測精度高、抗干擾能力強，具有良好的檢測效果和較高的應用價值。

關鍵詞：網(wǎng)絡安全;入侵檢測;MSNN模型;系統(tǒng)調用順序特性;系統(tǒng)調用頻度特性

中圖分類號：TP391.4? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? 文獻標識碼：A

Intrusion Detection of Network Security Based on MSNN Model

ZHU Shao-ping1？覮，XIAO Yong-lian2，DANG Yan-jun1

（1. Department of Electronic Information Engineering，Zhuhai City Polytechnic，Zhuhai，Guangdong 519090，China;

2. Department of Information Management，Hunan University of Finance and Economics，Changsha，Hunan 410205，China）

Abstract：In order to solve the serious security problems of network system intrusion behavior，such as rapid upgrade，strong concealment and high randomness，an intrusion detection algorithm based on MSNN model is proposed in combination with the characteristics of intrusion detection system information. First extract the system transfer sequence characteristics and frequency characteristics，then the algorithm use Sigmoid neurons in the multilevel Sigmoid neural network to fine-tune the network and enable the neurons to generate multiple responses for multiple classification，so as to build an MSNN model similar to the brain's synaptic network information processing and realize network security intrusion detection. The experimental results show that the proposed algorithm has high precision and strong anti-interference ability，and has a good detection effect and high application.

Key words：network security;intrusion detection;MSNN model;order characters of system;frequency characters of system

隨著物聯(lián)網(wǎng)、移動互聯(lián)網(wǎng)的技術的飛速發(fā)展，網(wǎng)絡攻擊逐漸呈現(xiàn)智能化和復雜化的趨勢，人們面臨的網(wǎng)絡安全問題日益嚴峻。入侵檢測技術是通過分析從計算機系統(tǒng)或計算機網(wǎng)絡中收集來的安全日志和網(wǎng)絡數(shù)據(jù)包等信息，檢測出計算機系統(tǒng)或計算機網(wǎng)絡中可能存在的違反安全策略的入侵行

為 [1]。它是一種重要網(wǎng)絡安全防護手段，能為網(wǎng)絡用戶提供隱私和數(shù)據(jù)保護，是近年來信息安全領域的研究熱點。早在1987年Dorothy Denning[2]提出了第一個入侵檢測模型;1998年，IDES和Chen[3]等人相繼提出了通用入侵檢測模型CIDF;Ye N，Li X[4] 等人應用概率理論提出了基于計算機審計數(shù)據(jù)的入侵檢測模型，并取得了較好的檢測效果;張玲等人綜合誤用檢測和異常檢測提出了一種基于粗糙集和人工免疫的集成入侵檢測（RSAI-IID）模型[5];張得生等人結合SVM 和融合技術提出了基于SVM和融合技術的入侵檢測，有效解決了傳統(tǒng)SVM 算法易產生訓練參數(shù)選擇不當、分類精度低等問題[6]。近年來，盡管研究者提出了各種入侵檢測模型和相關算法，并取得了一些研究成果，然而檢測效果并非十分理想。

隨著網(wǎng)絡安全入侵技術更新速度的加快、隱蔽性的加強及網(wǎng)絡入侵方式的多樣化，計算機主機及計算機網(wǎng)絡系統(tǒng)的入侵面臨日益嚴峻的問題，網(wǎng)絡安全入侵技術也變得日趨復雜，對網(wǎng)絡安全入侵檢測的研究還需進一步加強。本文將結合系統(tǒng)調用頻度特征及系統(tǒng)調用短序列時序特征，利用多級Sigmoid神經(jīng)網(wǎng)絡能模擬人類思維過程的特點，讓神經(jīng)元產生多元反應，進行網(wǎng)絡安全入侵檢測。通過實驗與比較，驗證了所構建的MSNN模型能有效提高入侵檢測的準確率、降低入侵檢測的誤檢率，為網(wǎng)絡安全入侵檢測提供新的實現(xiàn)途徑。

1? ?特征提取

入侵檢測所用信息特征包括基于頻度特性的

系統(tǒng)調用頻率特征和基于序列的系統(tǒng)調用短序列特征等。本文將系統(tǒng)調用的頻率特征和系統(tǒng)調用短序列時序特征順序特性結合起來，進行入侵檢測，效果更好。

1.1? ?提取系統(tǒng)調用頻率特征

系統(tǒng)調用頻率特征包括獨立事件的發(fā)生、獨立事件發(fā)生的頻度、通過邏輯運算得到的多個獨立事件的出現(xiàn)、多個事件的發(fā)生頻度四種，它是用來判斷計算機網(wǎng)絡系統(tǒng)進程是否異常的重要特征，可用于入侵檢測。[7] 系統(tǒng)調用頻率穩(wěn)定系統(tǒng)進程正常執(zhí)行，否則系統(tǒng)進程異常執(zhí)行。當系統(tǒng)調用頻率發(fā)生變化或者產生一些未知的系統(tǒng)調用時，系統(tǒng)進程則會出現(xiàn)異常執(zhí)行。因此，可用一個元素來表示每一個系統(tǒng)調用的發(fā)生頻率，用一個向量表示一個進程的系統(tǒng)調用序列。設系統(tǒng)調用集合為I，進程為x，若I= {audit，access，creat，exit，colse，fork，chdir，ioctl}，程程x由1個access，1個close，1個exit，1個ioct1組成，則其頻率特征向量表示為：x = （0，1，0，1，1，0，0，1）。

1.2? ?提取系統(tǒng)調用短序列時序特征

系統(tǒng)調用短序列特征是指系統(tǒng)調用間的時序特征，它包含事件的變遷序列等。當系統(tǒng)調用短序列局部連貫時，系統(tǒng)進程正常執(zhí)行;當系統(tǒng)調用短序列產生異常時，程序存在安全漏洞或系統(tǒng)進程異常執(zhí)行。因此，可以根據(jù)系統(tǒng)進程產生的系統(tǒng)調用短序列來判斷系統(tǒng)進程是否異常。[8，9]我們用 STIDE滑動窗口的方法提取系統(tǒng)調用短序列特征，首先保持窗口長度一定，實驗時窗口長度取4，性能較好。然后將STIDE滑動窗口從頭到尾移動，每一次移動一個系統(tǒng)調用，這樣每次移動生成窗口內的系統(tǒng)調用短序列。若進程為x = open，close，ioctl，mmap，pipe，acces，close，exit，取窗口長度l = 4，則提取的系統(tǒng)調用短序列為：

（open，close，ioctl，mmap），

（close，ioctl，mmap，pipe），

（ioctl，mmap，pipe，acces），…，

（pipe，acces，close，exit）。

本文將系統(tǒng)調用的頻率特征和系統(tǒng)調用短序列時序特征順序特性結合起來，進行入侵檢測效果更好。

2? ?基于MSNN模型的入侵檢測

2.1? ?多級Sigmoid神經(jīng)網(wǎng)絡

多級Sigmoid 神經(jīng)網(wǎng)絡（ MSNN） [10]是一種能讓神經(jīng)元產生多元反應進行多類分類的神經(jīng)網(wǎng)絡分類器。它具有非線性逼近、易于訓練、自適應性、高選擇性、聯(lián)想記憶以及對特征空間進行任意形狀的分割等優(yōu)勢。多級Sigmoid神經(jīng)網(wǎng)絡包括輸入層、隱含層和輸出層三層，如圖1所示。

多級Sigmoid神經(jīng)網(wǎng)絡中的Sigmoid 神經(jīng)元具有微調網(wǎng)絡的作用，類似感知器，對權重和偏置的微小變化均能引起輸出產生微小的變化。 sigmoid神經(jīng)元對每一個輸入x1 x2 x3…xi都有權重w1 w2 w3…wi和一個共有的偏置b。輸入信號前向傳播至隱含層節(jié)點，通過激活函數(shù)經(jīng)節(jié)點激活后，再傳至輸

出節(jié)點產生輸出結果。激活函數(shù)采用標準Sigmoid函數(shù)：

其中wi 為輸入xi的權重，b為共有的偏置。權重變化量Δwi和偏置變化量Δb發(fā)生細微的改變，輸出變化量Δyj產生細微的變化，Δyj可以近似的表示為：

輸出變化量Δyj是關于權重變化量Δwi和偏置變化量Δb的線性函數(shù)，從而可以實現(xiàn)網(wǎng)絡對權重和偏置的微調，以達到盡可能地學習規(guī)則。

采用多級Sigmoid神經(jīng)網(wǎng)絡構建入侵檢測模型，進行多類分類。用K表示層級數(shù)，c表示類的帶寬，多級Sigmoid激活函數(shù)可表示為：

輸出yj可表示為激活函數(shù)φi（x）的線性加權

其中wij表示隱含層第i個節(jié)點到輸出層第j個節(jié)點的連接權系數(shù)，n表示隱含層的節(jié)點個數(shù).

對輸出結果進行歸一化處理，取歸一化后的最大值為該節(jié)點的分類類別：

若滿足條件：

則判別X∈Lj，其中L為總類別數(shù)，即輸入X屬于第j類。

將提取系統(tǒng)調用的頻率特征和系統(tǒng)調用短序列時序特征作為多級Sigmoid神經(jīng)網(wǎng)絡的輸入，根據(jù)公式（1）至（4）計算輸出節(jié)點的值，根據(jù)公式（5）和（6）判斷輸出節(jié)點的類別，從而確定輸入所屬的入侵種類。

3? ?實驗結果與分析

為驗證本文算法的有效性，我們采Windows7（64位，4G內存）操作系統(tǒng)，Matlab 2010b實驗平臺和基于KDD99數(shù)據(jù)集進行驗證，KDD99數(shù)據(jù)集包含41個特征。從KDD99數(shù)據(jù)集中分別選取268456組數(shù)據(jù)作為訓練樣本，257386組數(shù)據(jù)作為測試樣本，由MSNN模型分別對訓練樣本和測試樣本進行入侵檢測實驗，實驗分兩組進行。

實驗一：不同比例訓練集實驗

針對KDD99數(shù)據(jù)集，MSNN模型分別采用總樣本數(shù)量的20%-40%進行訓練，剩余的樣本進行測試，測試結果如圖2所示。

由圖2可知，當所用訓練集的比例為40%時，MSNN模型的檢測精度高達98.2%，當所用訓練集數(shù)據(jù)的比例分別為20%和30%時，MSNN模型的檢測精度分別為96.1%和97.8%。實驗結果表明，隨著所用訓練集數(shù)據(jù)比例的增加，檢測精度的提升效率降低，從而表明MSNN模型具有較強的抽象表示能力，無需大量的樣本數(shù)據(jù)就能訓練出表達能力很強的模型，同時體現(xiàn)出MSNN模型具有良好的預測能力。

實驗二：不同算法對比

為了進一步驗證本文算法的檢測效果及檢測精度，我們將本文算法分別與DBN和SVM算法進行比對實驗，三種算法的檢測準確率和誤報率分別如表1所示。

由表可知，相同訓練集比例情況下，本文算法較DBN[11]和SVM 算法[6]具有更高檢測準確率和更低誤報率。實驗結果表明，MSNN模型進行入侵檢測效果優(yōu)于DBN和SVM模型，具有更高檢測準確率和更低的誤報率，完全滿足入侵檢測的要求。

4? ?結? ?論

針對傳統(tǒng)的網(wǎng)絡入侵檢測存在檢測正確率不高、擴展性不強和誤報率較高等問題，研究了多級Sigmoid神經(jīng)網(wǎng)絡，結合多級Sigmoid神經(jīng)網(wǎng)絡中的Sigmoid 神經(jīng)元具有微調網(wǎng)絡的作用，且能讓神經(jīng)元產生多元反應進行多類分類，易于訓練的特點，提出了一種基于MSNN模型的入侵檢測方法用于網(wǎng)絡安全入侵檢測，解決了模型訓練困難，計算復雜，大數(shù)據(jù)處理慢等缺點。研究結果表明，本文算法能夠進一步提高入侵檢測的準確率和降低入侵檢測的誤報率，其性能明顯優(yōu)于DBN和SVM等先進算法，具有檢測速度快，精度高，效果好等優(yōu)點。論文在如何將多級Sigmoid神經(jīng)網(wǎng)絡應用到網(wǎng)絡安全領域，以及如何有效利用網(wǎng)絡大量無標簽數(shù)據(jù)等方面都具有積極的意義。但是在如何利用多級Sigmoid神經(jīng)網(wǎng)絡挖掘數(shù)據(jù)與數(shù)據(jù)之間的關系，都還需要進行進一步的研究。

參考文獻

[1]? ? 楊宏宇，朱丹，謝豐，等. 入侵異常檢測研究綜述[J]. 電子科技大學學報，2009，38（5）：587—596.

[2]? ? DENNING D. E. An intrusion detection model[J]. IEEE Transactions on Software Engineering，1987，13（2）：222—232.

[3]? ?CHEN S， TUNG B， SCHNACKENBERG D. The common intrusion detection framework data formats[R]. Internet Draft Draft-Ietf-Cidf-Data-Formats-OO.txt，1998，V2—223.

[4]? ?YE N，LI X，CHEN Q，et al. Probabilistic techniques for intrusion detection based on computer audit data[J]. IEEE Trans. SMC-A，2001，31（4）：266—274.

[5]? ? 張玲，白中英，羅守山，等.基于粗糙集和人工免疫的集成人侵檢測模型[J].通信學報，2013，34（9）：166—175.

[6]? ? 張得生，張飛.基于SVM和融合技術的入侵檢測研究[J].科技通報，2013，29（5）：167—172.

[7]? ? 張莉萍，雷大江，曾憲華. 基于頻率特征向量的系統(tǒng)調用入侵檢測方法[J].計算機科學，2013，4（6A）：330—333.

[8]? ? 姚立紅，訾小超，黃皓，等.基于系統(tǒng)調用特征的入侵檢測研究[J].電子學報，2003，31（8）：1134—1137.

[9]? ? KOSORESOW A P ，HOFMEYR S A. Intrusion detection via system call traces[J]. IEEE Software，1997，14（5）：35—42.

[10]? 武妍. 基于多級神經(jīng)元的神經(jīng)網(wǎng)絡及其在分類中的應用[J].計算機工程，2005，31（11）：10—12.

[11]? 徐東輝，王 勇，樊汝森. 一種基于DBN的網(wǎng)絡入侵檢測算法 [J]. 上海電力學院學報，2013，29（6）：589—592.