基于神經(jīng)網(wǎng)絡(luò)的入侵檢測(cè)技術(shù)

李曾吉

摘要:隨著計(jì)算機(jī)的普及和Internet的迅速發(fā)展,計(jì)算機(jī)系統(tǒng)和網(wǎng)絡(luò)安全的漏洞問題不斷暴露出來,網(wǎng)絡(luò)惡意攻擊事件不斷發(fā)生,網(wǎng)絡(luò)安全問題日益嚴(yán)重,因此,網(wǎng)絡(luò)安全技術(shù)逐漸受到人們的重視。

關(guān)鍵詞:網(wǎng)絡(luò)安全入侵檢測(cè)技術(shù)神經(jīng)網(wǎng)絡(luò)算法

中圖分類號(hào):TP3 文獻(xiàn)標(biāo)識(shí)碼:A 文章編號(hào):1674-098X(2012)06(c)-0022-01

1 網(wǎng)絡(luò)安全概述

1.1 網(wǎng)絡(luò)安全

通俗來講,網(wǎng)絡(luò)安全就是指網(wǎng)絡(luò)上的信息安全。詳細(xì)來說,網(wǎng)絡(luò)安全是指網(wǎng)絡(luò)系統(tǒng)的硬件、軟件及其系統(tǒng)中的數(shù)據(jù)受到保護(hù),在偶然的或者惡意的因素影響下不遭受破壞、更改和泄露,保證系統(tǒng)連續(xù)正?？煽康剡\(yùn)行,保證網(wǎng)絡(luò)服務(wù)不中斷。網(wǎng)絡(luò)安全的研究領(lǐng)域包括網(wǎng)絡(luò)上信息的保密性、完整性、可用性、真實(shí)性和可控性的相關(guān)技術(shù)和理論。網(wǎng)絡(luò)安全技術(shù)非常復(fù)雜,集成了多種安全技術(shù)和設(shè)備。

1.2 影響網(wǎng)絡(luò)安全的因素

網(wǎng)絡(luò)安全是保護(hù)用戶信息安全的基礎(chǔ),一些黑客利用網(wǎng)絡(luò)上的漏洞,非法進(jìn)入未被授權(quán)的目標(biāo)計(jì)算機(jī),對(duì)目標(biāo)計(jì)算機(jī)內(nèi)部網(wǎng)絡(luò)和數(shù)據(jù)資源進(jìn)行訪問或者破壞、刪除、復(fù)制計(jì)算機(jī)內(nèi)部的數(shù)據(jù)信息;有些非法訪問者登陸未被授權(quán)的計(jì)算機(jī)竊取計(jì)算機(jī)信息,從而獲取機(jī)密文件或者非法獲取密碼;非法入侵者利用非法手段獲取未被授權(quán)的權(quán)限入侵網(wǎng)絡(luò),同時(shí)利用這些網(wǎng)絡(luò)上的漏洞傳播病毒、泄露信息、致使網(wǎng)絡(luò)癱瘓等網(wǎng)絡(luò)安全問題的發(fā)生;總結(jié)來說,黑客入侵、竊取信息、計(jì)算機(jī)病毒、網(wǎng)絡(luò)管理漏洞是影響網(wǎng)絡(luò)安全的三個(gè)主要因素。

2 基于神經(jīng)網(wǎng)絡(luò)算法的入侵檢測(cè)技術(shù)

2.1 常用網(wǎng)絡(luò)安全技術(shù)

網(wǎng)絡(luò)安全技術(shù)的使用可以保證信息的安全、建立起一套完整的網(wǎng)絡(luò)防御體系,保護(hù)系統(tǒng)中的數(shù)據(jù)不被篡改,保證系統(tǒng)連續(xù)正?？煽康剡\(yùn)行,保證網(wǎng)絡(luò)服務(wù)不中斷。目前,防火墻技術(shù)、認(rèn)證技術(shù)入、侵檢測(cè)技術(shù)和數(shù)據(jù)加密技術(shù)等是常用的幾種網(wǎng)絡(luò)安全技術(shù)。

2.2 基于神經(jīng)網(wǎng)絡(luò)算法的入侵檢測(cè)技術(shù)

(1)入侵檢測(cè)技術(shù)

入侵檢測(cè)技術(shù)是用來發(fā)現(xiàn)入侵行為,防止網(wǎng)絡(luò)攻擊的技術(shù),在一定程度上保證了網(wǎng)絡(luò)的安全。入侵檢測(cè)主要通過對(duì)計(jì)算機(jī)系統(tǒng)或者網(wǎng)絡(luò)中的一些關(guān)鍵點(diǎn)收集信息并然后分析這些關(guān)鍵點(diǎn),從而發(fā)現(xiàn)系統(tǒng)或網(wǎng)絡(luò)中的違反安全策略的行為和被攻擊的跡象。入侵檢測(cè)可以對(duì)內(nèi)部入侵、外部入侵和誤操作實(shí)時(shí)保護(hù),在網(wǎng)絡(luò)系統(tǒng)受到危害之前攔截入侵,可以說是一種積極主動(dòng)的安全防護(hù)技術(shù)。入侵檢測(cè)可以監(jiān)測(cè)并分析用戶和系統(tǒng)的活動(dòng);評(píng)估系統(tǒng)關(guān)鍵資源和數(shù)據(jù)文件的完整性;核查系統(tǒng)配置和漏洞;識(shí)別已經(jīng)知道的攻擊行為;分析統(tǒng)計(jì)異常的行為;操作系統(tǒng)日志管理,并識(shí)別違反安全策略的用戶活動(dòng);當(dāng)發(fā)現(xiàn)入侵時(shí)系統(tǒng)能夠及時(shí)作出響應(yīng),切斷網(wǎng)絡(luò)連接、記錄事件和報(bào)警等。

(2)基于神經(jīng)網(wǎng)絡(luò)算法的入侵檢測(cè)技術(shù)

近年來,基于神經(jīng)網(wǎng)絡(luò)算法的入侵檢測(cè)技術(shù)逐漸成為眾多學(xué)者研究的熱點(diǎn)。神經(jīng)網(wǎng)絡(luò)理論是仿效生物信息處理模式以獲得智能信息處理功能的理論和方法。在誤用檢測(cè)和異常檢測(cè)時(shí)均可使用。尤其是異常檢測(cè),由于要對(duì)檢測(cè)對(duì)象行為特征進(jìn)行建?；?qū)W習(xí),分析的數(shù)據(jù)依賴于對(duì)象行為和海量的信息資源,特別適宜用神經(jīng)網(wǎng)絡(luò)的計(jì)算方法來實(shí)現(xiàn)。同時(shí)神經(jīng)網(wǎng)絡(luò)分類具備的自學(xué)習(xí)和識(shí)別未知攻擊行為的能力,可以對(duì)獲取的新攻擊類型存儲(chǔ),不斷地更新樣本庫(kù),可以提高識(shí)別攻擊的能力,提高入侵檢測(cè)系統(tǒng)的性能。

基于神經(jīng)網(wǎng)絡(luò)的入侵檢測(cè)模型如圖1。

收集到的數(shù)據(jù)須經(jīng)過處理轉(zhuǎn)換為神經(jīng)網(wǎng)絡(luò)所能識(shí)別的數(shù)據(jù),作為輸入層數(shù)據(jù);隱含層節(jié)點(diǎn)均采用Sigmoid轉(zhuǎn)換函數(shù)g(h)=1/ (1+);設(shè)置兩個(gè)輸出層節(jié)點(diǎn),其中,y1和y2分別表示正常行為和異常行為的概率,在[0,1]之間取值,并設(shè)定和分別表示正常和異常的閾值。

判斷方法有4種:

(a)y1=1,y2=0代表正常;

(b)y1=0,y2=1代表異常,進(jìn)行異常處理;

(c)y1>y2且y1與y2的值在(0,1)之間,y1>,可認(rèn)為是正常,只需給出必要的提示信息;

(d)y1,進(jìn)行報(bào)警。

(3)神經(jīng)網(wǎng)絡(luò)入侵檢測(cè)設(shè)計(jì)

神經(jīng)網(wǎng)絡(luò)算法需要進(jìn)行訓(xùn)練學(xué)習(xí),之后才能運(yùn)用于實(shí)際問題的處理。給定一個(gè)學(xué)習(xí)樣本庫(kù)和網(wǎng)絡(luò)訓(xùn)練要達(dá)到的目標(biāo)作為神經(jīng)網(wǎng)絡(luò)模塊的輸入,之后利用某種訓(xùn)練算法對(duì)該訓(xùn)練樣本庫(kù)中的樣本進(jìn)行學(xué)習(xí)處理,直到達(dá)到所要求的訓(xùn)練目標(biāo)。經(jīng)過訓(xùn)練以后,用于判別攻擊行為的有關(guān)知識(shí)就以權(quán)值的形式被神經(jīng)網(wǎng)絡(luò)記憶,從而在神經(jīng)網(wǎng)絡(luò)內(nèi)部建立起了對(duì)攻擊行為的識(shí)別模型,在獲得未知樣本的輸入之后,就可以對(duì)該樣本進(jìn)行分析處理,以達(dá)到判別的目的。設(shè)計(jì)神經(jīng)網(wǎng)絡(luò)模型的注意事項(xiàng)如下:

①設(shè)置隱含層數(shù)。BP網(wǎng)絡(luò)設(shè)置為三層時(shí)就能夠滿足所有的維到維的映射,也就是說一層隱含層就可以滿足神經(jīng)網(wǎng)絡(luò)模型的計(jì)算能力。②確定輸入層和輸出層單元數(shù)。一般來說輸入維數(shù)是特征向量元數(shù),輸出維數(shù)指的是類別數(shù)。③確定隱含層的單元數(shù)。在確定隱含層層數(shù)以及隱含層單元數(shù)目時(shí),沒有一個(gè)嚴(yán)格的理論依據(jù)指導(dǎo),需要根據(jù)特定的問題,結(jié)合經(jīng)驗(yàn)公式設(shè)置大致范圍來進(jìn)行逐步試算比較得到,或者將值取為輸出輸人單元數(shù)和的一半,然后進(jìn)行試驗(yàn)性調(diào)整。④初始化權(quán)值。初始化權(quán)值的目的是保證網(wǎng)絡(luò)的收斂性,通常把權(quán)值初始化為小隨機(jī)數(shù)。⑤樣本的預(yù)處理。將輸入特征進(jìn)行標(biāo)準(zhǔn)化和歸一化,即將每組數(shù)據(jù)都?xì)w一化變?yōu)閇-1,1]之間的數(shù)值的處理過程,目的是為了加快網(wǎng)絡(luò)的訓(xùn)練速度。

基于上述的注意事項(xiàng),設(shè)計(jì)了可以判別網(wǎng)絡(luò)入侵行為的BP神經(jīng)網(wǎng)絡(luò)分類模型。

在入侵檢測(cè)系統(tǒng)中,應(yīng)該先得到典型網(wǎng)絡(luò)攻擊行為的樣本作為學(xué)習(xí)樣本庫(kù),然后將這些樣本應(yīng)用于對(duì)神經(jīng)網(wǎng)絡(luò)分類的訓(xùn)練中。通過訓(xùn)練,神經(jīng)網(wǎng)絡(luò)以權(quán)值的形式保存上述攻擊行為的特征模式,把神經(jīng)網(wǎng)絡(luò)分類用于實(shí)際工作之后,就能夠?qū)Λ@取的網(wǎng)絡(luò)數(shù)據(jù)流進(jìn)行分析處理,并判別行為的正常與否。實(shí)驗(yàn)結(jié)果顯示:這個(gè)模型不僅能夠準(zhǔn)確檢測(cè)出現(xiàn)有的攻擊手段,同時(shí)對(duì)以前未接受過訓(xùn)練的攻擊手段也可以有效地識(shí)別。

3 結(jié)語

隨著計(jì)算機(jī)技術(shù)的普及和Internet的迅速發(fā)展,計(jì)算機(jī)系統(tǒng)和網(wǎng)絡(luò)安全的漏洞問題不斷暴露出來,如何保證信息的安全、建立起一套完整的網(wǎng)絡(luò)防御體系,已經(jīng)成為網(wǎng)絡(luò)安全問題研究的關(guān)鍵點(diǎn)。

參考文獻(xiàn)

[1] 張千里,陳光英.網(wǎng)絡(luò)安全新技術(shù)[J].北京:人民郵電出版社,2003.

[2] 周國(guó)民.入侵檢測(cè)系統(tǒng)評(píng)價(jià)與技術(shù)發(fā)展研究[J].現(xiàn)代電子技術(shù),2004(12).