詹沐清

摘 要： 主要研究包含神經(jīng)網(wǎng)絡(luò)模塊的網(wǎng)絡(luò)入侵檢測模型及系統(tǒng)，分析傳統(tǒng)入侵檢測系統(tǒng)的缺陷及神經(jīng)網(wǎng)絡(luò)技術(shù)在入侵檢測中的優(yōu)勢，建立了基于神經(jīng)網(wǎng)絡(luò)且包含誤用和異常檢測的網(wǎng)絡(luò)入侵檢測系統(tǒng)。利用該系統(tǒng)進(jìn)行了大量入侵檢測試驗(yàn)，試驗(yàn)結(jié)果表明：所建模型具有較低的漏報(bào)率和誤報(bào)率，可以很好地檢測各種網(wǎng)絡(luò)入侵類型，大大提高網(wǎng)絡(luò)的安全性能。

關(guān)鍵詞： 神經(jīng)網(wǎng)絡(luò)； 入侵檢測模型； 網(wǎng)絡(luò)安全； 漏報(bào)率； 誤報(bào)率

中圖分類號(hào)： TN711?34 文獻(xiàn)標(biāo)識(shí)碼： A 文章編號(hào)： 1004?373X（2015）21?0105?04

Application of neural network technology in network

intrusion detection model and system

ZHAN Muqing

（Jingdezhen Ceramic Institute， Jingdezhen 333403， China）

Abstract： The network intrusion detection model and system including neural network module are studied mainly. The defects of the traditional intrusion detection system and the advantages of neural network technology applied in intrusion detection are analyzed， and the network intrusion detection system including misuse and abnormal detection based on neural network was established. A large number of intrusion detection tests were carried out by using this system. The test results show that the established model has low missing alarm rate and false alarm rate， can detect a variety of network intrusion types better， and improve the safety performance of the network greatly.

Keywords： neural network； intrusion detection model； network security； missing alarm rate； false alarm rate

0 引 言

最近十年，隨著互聯(lián)網(wǎng)技術(shù)的迅速發(fā)展，網(wǎng)絡(luò)安全越來越受到人們的重視，各種利用網(wǎng)絡(luò)漏洞和病毒入侵的手段層出不窮，極大地威脅著網(wǎng)絡(luò)安全。而傳統(tǒng)的殺毒軟件和防火墻技術(shù)面對(duì)端口掃描和新型木馬等網(wǎng)絡(luò)攻擊顯得力不從心。在此背景下，作為一種積極主動(dòng)的安全防護(hù)策略，網(wǎng)絡(luò)入侵檢測技術(shù)得到了人們廣大的關(guān)注，獲得了廣泛的應(yīng)用。但是隨著網(wǎng)絡(luò)入侵技術(shù)的進(jìn)化，傳統(tǒng)的入侵檢測技術(shù)暴露出諸多缺陷，因此，本文引入了神經(jīng)網(wǎng)絡(luò)技術(shù)對(duì)傳統(tǒng)入侵檢測系統(tǒng)進(jìn)行升級(jí)，以提高系統(tǒng)的檢測性能。

目前國內(nèi)外有許多學(xué)者和機(jī)構(gòu)都進(jìn)行了基于神經(jīng)網(wǎng)絡(luò)的網(wǎng)絡(luò)入侵檢測系統(tǒng)的研究和探索。美國國防部為了提高計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)的防入侵能力，從20世紀(jì)90年代開始陸續(xù)起草了一系列的建議草案和標(biāo)準(zhǔn)，從結(jié)構(gòu)體系上規(guī)定了計(jì)算機(jī)網(wǎng)絡(luò)入侵防御的相關(guān)技術(shù)標(biāo)準(zhǔn)，并資助MIT發(fā)布了KDDCUP99入侵檢測測試集，為相關(guān)研究提供了研究樣本； 美國學(xué)者L Tony等采用單隱含層的簡神經(jīng)網(wǎng)絡(luò)構(gòu)建了一個(gè)IDES的入侵檢測專家系統(tǒng)，實(shí)現(xiàn)了對(duì)局域網(wǎng)內(nèi)幾種典型入侵行為的判斷，開啟了利用神經(jīng)網(wǎng)絡(luò)對(duì)網(wǎng)絡(luò)入侵行為進(jìn)行判斷的新途徑。隨著網(wǎng)絡(luò)技術(shù)，特別是網(wǎng)絡(luò)入侵技術(shù)和大數(shù)據(jù)技術(shù)的迅速發(fā)展，國外的網(wǎng)絡(luò)安全提供商分別推出了自己完善的反網(wǎng)絡(luò)入侵解決產(chǎn)品，如：思科的IDS?4250T和Internet Security的 Realsecure等[1]。

我國的網(wǎng)絡(luò)入侵檢測技術(shù)研究起步于20世紀(jì)90年代，哈爾濱工程大學(xué)的唐立力教授采用KDDCUP99入侵檢測測試集作為研究樣本，利用RBF神經(jīng)網(wǎng)絡(luò)作為判斷模塊，根據(jù)知識(shí)庫中已經(jīng)定義好的網(wǎng)絡(luò)攻擊方式來判斷是否發(fā)生入侵行為，通過網(wǎng)絡(luò)訓(xùn)練，對(duì)常見的四大類型的入侵行為進(jìn)行了很好的判斷；華中科大的周毅等采用遺傳算法對(duì)BP網(wǎng)絡(luò)輸入?yún)?shù)進(jìn)行優(yōu)化，建立了GA?BP的診斷網(wǎng)絡(luò)，大大提高了對(duì)網(wǎng)絡(luò)入侵行為的診斷精度和速度，提高了網(wǎng)絡(luò)的使用安全性[2]。雖然國內(nèi)外對(duì)神經(jīng)網(wǎng)絡(luò)技術(shù)在入侵檢測中的研究有著許多亮點(diǎn)，也取得了很多成績，但是從目前的研究情況來看，大多學(xué)者采用的方法存在的普遍問題有：一是構(gòu)建的網(wǎng)絡(luò)入侵檢測模型缺乏泛化能力，模型穩(wěn)定差，當(dāng)系統(tǒng)加入新的入侵類型時(shí)，模型診斷精度較低；二是除了國外少數(shù)商業(yè)軟件巨頭，其他研究者并未建立有效的基于檢測模型的防入侵檢測系統(tǒng)，即相關(guān)研究的實(shí)際用途有待進(jìn)一步提高；三是檢測系統(tǒng)的可擴(kuò)展性和檢測效率低。

1 入侵檢測系統(tǒng)的組成

1.1 常見的兩種入侵檢測方法

在目前常見的入侵檢測系統(tǒng)中，根據(jù)其檢測方法的不同，可分為異常檢測和誤用檢測兩種方法。

異常檢測的基礎(chǔ)是建立一個(gè)安全行為的數(shù)據(jù)庫，在此數(shù)據(jù)庫外的操作會(huì)被進(jìn)行比對(duì)，當(dāng)其嚴(yán)重偏離安全行為時(shí)即被判斷為入侵行為。此方法的優(yōu)點(diǎn)是對(duì)未知的入侵行為有較好的檢測效果，漏報(bào)率較低；缺點(diǎn)是容易將一些未定義的正常行為判定為入侵行為，即誤報(bào)率較高。

誤用檢測則是一種基于入侵行為數(shù)據(jù)庫的檢測，該數(shù)據(jù)庫是多種已知入侵行為及特征的集合，且數(shù)據(jù)庫是實(shí)時(shí)更新的。誤用檢測工作時(shí)，會(huì)對(duì)網(wǎng)絡(luò)行為與數(shù)據(jù)庫中的信息進(jìn)行比對(duì)，以判定其是否屬于入侵行為。誤用檢測的優(yōu)勢是可以快速有效地判斷常見入侵形式；缺點(diǎn)是數(shù)據(jù)庫需要快速和持續(xù)的進(jìn)行更新，隨著數(shù)據(jù)庫規(guī)模的持續(xù)增大，可能影響檢測的速度。

本文研究了兩種檢測法的優(yōu)缺點(diǎn)，決定在本文所構(gòu)建的系統(tǒng)中同時(shí)采用這兩種檢測法，并以神經(jīng)網(wǎng)絡(luò)技術(shù)作為其實(shí)現(xiàn)的基礎(chǔ)。

1.2 現(xiàn)有入侵檢測系統(tǒng)存在的問題

一般來說，目前常見的入侵檢測系統(tǒng)具有以下一些問題：

（1） 檢測效率較低。不管是誤用檢測還是異常檢測都很難快速檢測具有欺騙性的入侵行為；異常檢測的正常運(yùn)行需要系統(tǒng)維護(hù)記錄的實(shí)時(shí)更新，誤用檢測則需要復(fù)雜的專家系統(tǒng)shell來編碼和解釋，需要耗費(fèi)大量的系統(tǒng)資源，因此其效率較低。

（2） 維護(hù)性和系統(tǒng)更新能力較低。一個(gè)入侵檢測系統(tǒng)需要實(shí)時(shí)維護(hù)及更新，目前廣泛存在的系統(tǒng)在維護(hù)和更新時(shí)往往要求操作者了解專家系統(tǒng)規(guī)則語言，使得操作者的學(xué)習(xí)成本大大提高。

（3） 漏報(bào)和誤報(bào)問題。目前常見的入侵檢測系統(tǒng)普遍存在漏報(bào)率和誤報(bào)率偏高的問題，這極大的影響了系統(tǒng)的性能。

1.3 將神經(jīng)網(wǎng)絡(luò)技術(shù)應(yīng)用于入侵檢測系統(tǒng)的優(yōu)勢

將神經(jīng)網(wǎng)絡(luò)技術(shù)應(yīng)用到入侵檢測研究中。主要有以下優(yōu)勢：

（1） 誤警率低?，F(xiàn)有系統(tǒng)的一大缺點(diǎn)就是誤報(bào)率較高，這是由于其采用的模式匹配模塊缺乏自學(xué)習(xí)能力導(dǎo)致的，神經(jīng)網(wǎng)絡(luò)模型有較高的自適應(yīng)和自學(xué)習(xí)能力，可以很好的解決這一問題。

（2） 自適應(yīng)性好。傳統(tǒng)的入侵檢測系統(tǒng)需要對(duì)每種已知的攻擊行為制定專家系統(tǒng)shell來編碼和解釋。當(dāng)新的攻擊類型出現(xiàn)時(shí)，需要重新進(jìn)行編碼和解釋，這極大的增加了系統(tǒng)的更新和維護(hù)成本。而基于神經(jīng)網(wǎng)絡(luò)技術(shù)的系統(tǒng)則不依靠信號(hào)的模式匹配，其具有很強(qiáng)的自適應(yīng)性，當(dāng)需要對(duì)系統(tǒng)進(jìn)行更新時(shí)，也不會(huì)造成太大的學(xué)習(xí)成本。

（3） 漏報(bào)率低。傳統(tǒng)入侵檢測系統(tǒng)，特別是采用誤用檢測法的系統(tǒng)對(duì)于新的攻擊行為會(huì)有較高的漏報(bào)率，而采用神經(jīng)網(wǎng)絡(luò)技術(shù)則可以有效解決這一問題。

1.4 基于神經(jīng)網(wǎng)絡(luò)的入侵檢測模型

本文借鑒文獻(xiàn)[3?4]，結(jié)合神經(jīng)網(wǎng)絡(luò)的相關(guān)特點(diǎn)，建立了如圖1所示的檢測模型。

在圖1的入侵檢測系統(tǒng)中，神經(jīng)網(wǎng)絡(luò)訓(xùn)練模塊1在發(fā)現(xiàn)新的攻擊類型后會(huì)將相關(guān)信息輸入到神經(jīng)網(wǎng)絡(luò)訓(xùn)練模塊2中進(jìn)行訓(xùn)練，從而擴(kuò)充誤用檢測庫的數(shù)量，極大地提高了該系統(tǒng)的實(shí)用性，該系統(tǒng)主要分為以下幾個(gè)模塊：

（1） 數(shù)據(jù)采集模塊

數(shù)據(jù)采集模塊采用Winpcap來捕獲網(wǎng)絡(luò)中的數(shù)據(jù)包和處理系統(tǒng)日志并送入預(yù)處理模塊。Winpcap體系結(jié)構(gòu)利用的Packet.dll和Wpcap.dll兩個(gè)API為用戶提供支持。

（2） 數(shù)據(jù)預(yù)處理模塊

對(duì)Winpcap采集到的數(shù)據(jù)進(jìn)行篩選和處理，檢查其格式，并調(diào)用不同的分析程序段對(duì)包中不同協(xié)議類型的內(nèi)容進(jìn)行分析，以轉(zhuǎn)化為神經(jīng)網(wǎng)絡(luò)所能識(shí)別的標(biāo)準(zhǔn)格式。

（3） 神經(jīng)網(wǎng)絡(luò)模塊

本系統(tǒng)建立了分別基于誤用和異常檢測庫的神經(jīng)網(wǎng)絡(luò)模型。該網(wǎng)絡(luò)首先需要一定樣本的訓(xùn)練，然后即可以對(duì)相關(guān)的入侵行為進(jìn)行識(shí)別，并把確定的行為報(bào)送給入侵響應(yīng)模塊。

（4） 報(bào)警響應(yīng)模塊

該模塊的功能主要有兩個(gè)：一是記錄入侵行為的時(shí)間日志，以便復(fù)查、分析及作為證據(jù)，并保證這些記錄不能被擦除或遠(yuǎn)程銷毀；二是及時(shí)報(bào)警，通知網(wǎng)絡(luò)管理人員及時(shí)采取相應(yīng)措施以阻止網(wǎng)絡(luò)入侵行為。

2 系統(tǒng)的試驗(yàn)過程及結(jié)果分析

2.1 實(shí)驗(yàn)環(huán)境

本次實(shí)驗(yàn)的硬件平臺(tái)為Intel i5 3.2 GHz，8 GB內(nèi)存和1 TB硬盤的計(jì)算機(jī)，實(shí)驗(yàn)在Windows 8平臺(tái)上用Matlab語言編程實(shí)現(xiàn)。

2.2 試驗(yàn)數(shù)據(jù)源的選取

本文所采用的分析數(shù)據(jù)是目前入侵檢測研究中常用的KDD Cup 1999 Data數(shù)據(jù)集，該數(shù)據(jù)集包含了近500萬條模擬網(wǎng)絡(luò)環(huán)境中的各種攻擊和正常訪問鏈接的記錄。其中入侵行為主要包含4種常見的攻擊類型和1種新的攻擊類型，它們分別是拒絕服務(wù)攻擊（Denial of Service，DOS）、本地用戶權(quán)限提升攻擊（User to Root，U2R）、遠(yuǎn)程攻擊（Remote to Local，R2L）、探測攻擊（Probe）和新類型攻擊（Other）[5]，這5種攻擊類型中包含的18種具體的攻擊名稱如表1所示。

由圖4可知，當(dāng)訓(xùn)練經(jīng)過23次迭代之后達(dá)到了滿意的期望誤差限。

2.5 結(jié)果分析

為了表征入侵檢測系統(tǒng)的性能，本文采用漏報(bào)率和誤報(bào)率來作為其性能指標(biāo)，其值按下式計(jì)算：

[漏報(bào)率=錯(cuò)誤標(biāo)示為正常的異常數(shù)據(jù)測試樣本集中的異常數(shù)據(jù)總和]

[誤報(bào)率=錯(cuò)誤標(biāo)識(shí)為異常的正常數(shù)據(jù)測試本集中的正常數(shù)據(jù)總和]

經(jīng)計(jì)算各個(gè)樣本的漏報(bào)率和誤報(bào)率如表4所示。

從表4可以知道，本文構(gòu)建的入侵檢測模型不管是對(duì)于已知入侵類型或新的攻擊類型的檢測都有較好的檢測效果，可以起到提高系統(tǒng)安全的作用。

3 結(jié) 語

本文主要對(duì)神經(jīng)網(wǎng)絡(luò)技術(shù)在網(wǎng)絡(luò)入侵檢測中的應(yīng)用進(jìn)行了研究，分析了傳統(tǒng)入侵檢測系統(tǒng)存在的檢測效率低和漏報(bào)、誤報(bào)率高等問題，指出了將神經(jīng)網(wǎng)絡(luò)運(yùn)用于入侵檢測系統(tǒng)可以有效降低漏報(bào)、誤報(bào)率，提高系統(tǒng)自適應(yīng)性和減去數(shù)據(jù)過載等優(yōu)勢。本文構(gòu)建的系統(tǒng)共有數(shù)據(jù)采集、數(shù)據(jù)預(yù)處理、神經(jīng)網(wǎng)絡(luò)和報(bào)警響應(yīng)四個(gè)模塊組成。通過利用該系統(tǒng)進(jìn)行的仿真實(shí)驗(yàn)表明，采用神經(jīng)網(wǎng)絡(luò)技術(shù)的網(wǎng)絡(luò)入侵檢測系統(tǒng)具有較高的檢測精度，可以有效提高網(wǎng)絡(luò)的安全性。

參考文獻(xiàn)

[1] KOZIOL J.Snort入侵檢測實(shí)用解決方案[M].吳溥峰，孫默，許誠，譯.北京：機(jī)械工業(yè)出版社，2005.

[2] 危勝軍，胡昌振，姜飛.基于BP神經(jīng)網(wǎng)絡(luò)改進(jìn)算法的入侵檢測方法[J].計(jì)算機(jī)工程，2005，31（13）：154?155.

[3] GHOSH A K， SEHWARTZBARD A. A study in using neural networks for anomaly detection And misuse detection [C]// Proceeding of 2009 the 8th Usenix Security Symposium. [S.l.]： ACM， 2009： 534?537.

[4] 李恒華，田捷，?，b，等.基于濫用檢測和異常檢測的入侵檢測系統(tǒng)[J].計(jì)算機(jī)工程，2003（10）：14?16.

[5] 王景新，戴葵，宋輝，等.基于神經(jīng)網(wǎng)絡(luò)的入侵檢測系統(tǒng)[J].計(jì)算機(jī)工程與科學(xué)，2003，25（6）：28?31.

[6] 李忠武，陳麗清.計(jì)算機(jī)網(wǎng)絡(luò)安全評(píng)價(jià)中神經(jīng)網(wǎng)絡(luò)的應(yīng)用研究[J].現(xiàn)代電子技術(shù)，2014，37（10）：80?82.