劉建

摘 要：隨著計算機網(wǎng)絡(luò)的高速發(fā)展，從20世紀(jì)90年代初至今的幾十年中，網(wǎng)絡(luò)安全問題日漸突出，計算機信息的安全和防御受到嚴(yán)重影響。傳統(tǒng)非神經(jīng)網(wǎng)絡(luò)入侵檢測包含著效率低、誤差較大和收斂速度慢等問題。采用改進(jìn)的遺傳算法來使神經(jīng)網(wǎng)絡(luò)權(quán)值與BP算法結(jié)合，能夠滿足入侵檢測分類識別的需求，利用給定的動態(tài)神經(jīng)網(wǎng)絡(luò)系統(tǒng)構(gòu)建相應(yīng)的網(wǎng)絡(luò)入侵檢測系統(tǒng)，能適應(yīng)不同類型的入侵檢測，有效地提高了網(wǎng)絡(luò)的安全性。

關(guān)鍵詞：改進(jìn)神經(jīng)網(wǎng)絡(luò)；網(wǎng)絡(luò)入侵檢測；遺傳算法

中圖分類號：TP393.08 文獻(xiàn)標(biāo)志碼：A 文章編號：2095-2945（2018）02-0011-03

Abstract： With the rapid development of computer network， in the past decades from the beginning of the 1990s to the present， the problem of network security has become increasingly prominent， and the security and defense of computer information have been seriously affected. Traditional non-neural network intrusion detection includes problems such as low efficiency， large error and slow convergence rate. The improved genetic algorithm is used to combine the weights of neural network with BP algorithm， which can meet the needs of intrusion detection classification and recognition， and construct the corresponding network intrusion detection system using the given dynamic neural network system. This adapts to different types of intrusion detection and effectively improves the security of the network.

Keywords： improved neural network； network intrusion detection； genetic algorithm

引言

社會信息化進(jìn)程不斷提高的今天，在享受計算機帶來的眾多便利時，網(wǎng)絡(luò)安全問題也不容忽視[1]。被動的網(wǎng)絡(luò)入侵檢測和防御機制已經(jīng)無法滿足現(xiàn)在網(wǎng)絡(luò)的需求，基于改進(jìn)神經(jīng)網(wǎng)絡(luò)的動態(tài)化網(wǎng)絡(luò)入侵檢測，在信息爆炸的時代中，日益成為網(wǎng)絡(luò)安全領(lǐng)域的重要技術(shù)手段。傳統(tǒng)基于規(guī)則的入侵檢測技術(shù)在管理和建模上存在一些問題，基于改進(jìn)神經(jīng)網(wǎng)絡(luò)的入侵檢測，利用神經(jīng)網(wǎng)絡(luò)模糊的運算能力，可以一定程度上解決模式識別中的問題。網(wǎng)絡(luò)入侵檢測是對網(wǎng)絡(luò)上的數(shù)據(jù)進(jìn)行識別，將其分類為正常或者非正常的數(shù)據(jù)。傳統(tǒng)的BP神經(jīng)網(wǎng)絡(luò)本身存在著算法的限制，容易陷入數(shù)值局部最小，利用改進(jìn)的遺傳算法優(yōu)化神經(jīng)網(wǎng)絡(luò)權(quán)值，一定程度上加強全局?jǐn)?shù)據(jù)搜索能力，提高系統(tǒng)實用性。研究神經(jīng)網(wǎng)絡(luò)系統(tǒng)的相關(guān)原理和基于改進(jìn)神經(jīng)網(wǎng)絡(luò)的入侵檢測系統(tǒng)的優(yōu)點，設(shè)計將神經(jīng)網(wǎng)絡(luò)應(yīng)用于網(wǎng)絡(luò)檢測，能夠使改進(jìn)的遺傳算法更適合于入侵監(jiān)測系統(tǒng)。

1 神經(jīng)網(wǎng)絡(luò)和網(wǎng)絡(luò)入侵檢測流程

神經(jīng)網(wǎng)絡(luò)是對人腦的簡單抽象與模擬，它包含多重簡單單元組成的并行網(wǎng)絡(luò)，模擬人的神經(jīng)系統(tǒng)對世界做出交互反應(yīng)。神經(jīng)網(wǎng)絡(luò)將信息的存儲與處理之間的界限消除，介入到網(wǎng)絡(luò)檢測領(lǐng)域，為一些問題的提出提供了新的思路[2]。神經(jīng)網(wǎng)絡(luò)不同于傳統(tǒng)的只用一個計算單元計算的模式，系統(tǒng)采集大量的數(shù)據(jù)為系統(tǒng)提供樣本，通過不斷的學(xué)習(xí)建立計算模型，繼而建立神經(jīng)網(wǎng)絡(luò)計算模型，它的基本功能是通過交互神經(jīng)元的大規(guī)模并行運算實現(xiàn)。

人們對入侵檢測系統(tǒng)的研究應(yīng)用，使傳統(tǒng)網(wǎng)絡(luò)安全技術(shù)的不足被更多的關(guān)注，網(wǎng)絡(luò)入侵檢測系統(tǒng)的逐步完善，將為網(wǎng)絡(luò)安全提供更多的保障。入侵檢測技術(shù)是網(wǎng)絡(luò)安全系統(tǒng)中的一個重要環(huán)節(jié)，在安全監(jiān)測中，能夠發(fā)現(xiàn)網(wǎng)絡(luò)系統(tǒng)中的安全漏洞，安全檢測工具可以實現(xiàn)實時動態(tài)對網(wǎng)絡(luò)系統(tǒng)攻擊的監(jiān)測，通過監(jiān)測和分析用戶的系統(tǒng)活動，檢查系統(tǒng)存在的漏洞，關(guān)注數(shù)據(jù)文件的完整性來識別攻擊行為，統(tǒng)計異常行為的同時識別用戶活動中違反安全的部分。它的工作原理實際上就是從不同的環(huán)節(jié)收集和分析信息，記錄并報告檢測結(jié)果的過程。如圖1所示：

一般來說，網(wǎng)絡(luò)入侵檢測系統(tǒng)的組成構(gòu)件主要包括數(shù)據(jù)源、從數(shù)據(jù)源收集數(shù)據(jù)的傳感器、行為、分析處理收集到數(shù)據(jù)的分析器、事件、管理器和響應(yīng)器等。將神經(jīng)網(wǎng)絡(luò)應(yīng)用于網(wǎng)絡(luò)入侵檢測，提供系統(tǒng)的審計數(shù)據(jù)給神經(jīng)網(wǎng)絡(luò)，它就可以提取到用戶與系統(tǒng)的正常特征模式。神經(jīng)網(wǎng)絡(luò)在了解入侵實例后就可以對新的攻擊模式產(chǎn)生反應(yīng)，使網(wǎng)絡(luò)入侵檢測具有主動性，同時反應(yīng)出偏離系統(tǒng)正常工作的事件[3]。隨著網(wǎng)絡(luò)攻擊手段的發(fā)展，網(wǎng)絡(luò)入侵技術(shù)的發(fā)展也有了新的要求，更好的將神經(jīng)網(wǎng)絡(luò)應(yīng)用于網(wǎng)絡(luò)入侵檢測，改進(jìn)神經(jīng)網(wǎng)絡(luò)和入侵檢測，是我們研究的重要內(nèi)容。

2 基于改進(jìn)神經(jīng)網(wǎng)絡(luò)的網(wǎng)絡(luò)入侵檢測設(shè)計

神經(jīng)網(wǎng)絡(luò)在解決模式識別問題時存在怎樣選擇結(jié)構(gòu)和參數(shù)的問題，雖然神經(jīng)網(wǎng)絡(luò)具有強大的能力，但是為了提供更加的性能，改進(jìn)神經(jīng)網(wǎng)絡(luò)為一種可調(diào)節(jié)的動態(tài)神經(jīng)網(wǎng)絡(luò)是非常有價值的開發(fā)工作。這種入侵檢測系統(tǒng)的原理是從網(wǎng)絡(luò)中捕捉數(shù)據(jù)，數(shù)據(jù)包進(jìn)行提取信息并解析，特征提取模塊得到的屬性送入系統(tǒng)，最后由GABP檢測引擎進(jìn)行辨別。GABP檢測引擎模塊的設(shè)計的原理是，先訓(xùn)練BP神經(jīng)網(wǎng)絡(luò)，再經(jīng)由GA優(yōu)化復(fù)制、交叉，直到訓(xùn)練過程達(dá)到標(biāo)準(zhǔn)，這種優(yōu)化帶來的局部最小值，使學(xué)習(xí)效率得到了提高，保證了入侵檢測系統(tǒng)的準(zhǔn)確程度。改進(jìn)后的網(wǎng)絡(luò)入侵檢測系統(tǒng)的神經(jīng)網(wǎng)絡(luò)結(jié)構(gòu)如圖2所示：endprint

神經(jīng)網(wǎng)絡(luò)中輸入與輸出的關(guān)系函數(shù)通常定義為

公式中D=（d1，…，dn）為期望輸出，O=（o1，…，on）為實際輸出。在本網(wǎng)絡(luò)入侵檢測系統(tǒng)中，數(shù)據(jù)采集是進(jìn)行數(shù)據(jù)檢查和做出決策的基礎(chǔ)條件，網(wǎng)絡(luò)信息采集包的準(zhǔn)確性和可靠性直接影響監(jiān)測系統(tǒng)的工作效率，數(shù)據(jù)盡量完整，才能實現(xiàn)對系統(tǒng)檢測攻擊能力的提升?；诟倪M(jìn)神經(jīng)網(wǎng)絡(luò)的入侵檢測模型主要包含獲取網(wǎng)絡(luò)信息的數(shù)據(jù)模塊、預(yù)處理信息的數(shù)據(jù)模塊、提取特征的模塊、神經(jīng)網(wǎng)絡(luò)入侵檢測的模塊等[4]。要實現(xiàn)這種模型就要通過Packet Capture library訪問數(shù)據(jù)鏈路層，與Snort軟件相結(jié)合；將收集到的數(shù)據(jù)轉(zhuǎn)化為ASCII字符信息，利用腳本語言編寫處理程序來獲得信息中的基本屬性，對比不同連接模式中的頻繁模式指導(dǎo)特征提??；將挖掘出的復(fù)雜數(shù)據(jù)屬性進(jìn)行降維處理；標(biāo)定適應(yīng)度值，放大個體適應(yīng)度，選擇操作前保留當(dāng)前最優(yōu)解，適應(yīng)度函數(shù)值的計算為：

公式中：t是預(yù)測值，ti是真實值，n為樣本數(shù)；以局部改進(jìn)的GABP算法訓(xùn)練神經(jīng)網(wǎng)絡(luò)，用與最大適應(yīng)函數(shù)相對的權(quán)值計算，防止陷入局部極小值。

網(wǎng)絡(luò)入侵檢測作為主動防衛(wèi)系統(tǒng)安全的技術(shù)，需要在攻擊技術(shù)不斷出現(xiàn)的未知攻擊中，將改進(jìn)神經(jīng)網(wǎng)絡(luò)作為研究熱點[5]。神經(jīng)算法中最常見的是Back Propagation神經(jīng)網(wǎng)絡(luò)，為了克服它存在的缺點，建立遺傳算法優(yōu)化的BP神經(jīng)網(wǎng)絡(luò)入侵檢測系統(tǒng)模型將發(fā)揮神經(jīng)網(wǎng)絡(luò)的泛化映射能力。改進(jìn)算法將綜合增加動量與自適應(yīng)調(diào)節(jié)學(xué)習(xí)速率相結(jié)合，可以調(diào)整網(wǎng)絡(luò)學(xué)習(xí)速率，因此要先建立BP神經(jīng)網(wǎng)絡(luò)模型。這個過程包括：確定輸入和輸出、隱層層數(shù)的節(jié)點個數(shù)；調(diào)整并確立網(wǎng)絡(luò)參數(shù)，開始訓(xùn)練神經(jīng)網(wǎng)絡(luò)；趨于穩(wěn)定時在訓(xùn)練次數(shù)達(dá)到規(guī)定的要求時結(jié)束訓(xùn)練學(xué)習(xí)，此時如果神經(jīng)網(wǎng)絡(luò)的評測結(jié)果達(dá)到準(zhǔn)確程度，BP網(wǎng)絡(luò)模型就建立好了。

3 仿真實驗

入侵檢測技術(shù)已經(jīng)取得了較快的發(fā)展，我們能夠檢測網(wǎng)絡(luò)攻擊的狀況，通過截取網(wǎng)絡(luò)數(shù)據(jù)包數(shù)據(jù)的方式，實現(xiàn)驗證基于BP神經(jīng)網(wǎng)絡(luò)的入侵檢測模型的準(zhǔn)確程度實驗采用Lincoln實驗室數(shù)據(jù)作為網(wǎng)絡(luò)入侵檢測模型測試的數(shù)據(jù)集，將Matlab R2007作為仿真平臺，用相關(guān)的神經(jīng)網(wǎng)絡(luò)函數(shù)對實驗數(shù)據(jù)進(jìn)行調(diào)用。實驗的CPU為AMD Athlon XP 1700+，采用SQL 2000 Server數(shù)據(jù)庫。在IDS系統(tǒng)的測試環(huán)境中，通過不同類型的攻擊進(jìn)行訓(xùn)練和測試，驗證本網(wǎng)絡(luò)入侵系統(tǒng)檢測模型的檢測能力和檢查率。實驗的步驟包括：（1）使用600個樣本作為網(wǎng)絡(luò)訓(xùn)練的依據(jù)，150個樣本作為進(jìn)行測試的依據(jù)，通過檢驗比較出改進(jìn)后的算法與傳統(tǒng)神經(jīng)網(wǎng)絡(luò)的檢測差別，對數(shù)據(jù)的特征進(jìn)行編碼，以Premnmx（）函數(shù)歸一數(shù)據(jù)在一定區(qū)間內(nèi)。（2）確定神經(jīng)網(wǎng)絡(luò)的結(jié)構(gòu)，參考理論與實驗，將網(wǎng)絡(luò)拓?fù)浯_定為8-10-1，網(wǎng)格訓(xùn)練的最大次數(shù)為3000，隱含層與輸出層的激勵函數(shù)為雙曲函數(shù)和線性函數(shù)。（3）采用BP神經(jīng)網(wǎng)絡(luò)和改進(jìn)的方法進(jìn)行測試，初始值取值范圍為-0.3～0.3.學(xué)習(xí)誤差為0.0001，輸入節(jié)點為50，隱含節(jié)點為60，輸出節(jié)點為1。利用遺傳算法對自變量進(jìn)行優(yōu)化選擇。（4）篩選出最優(yōu)解以優(yōu)化改進(jìn)神經(jīng)網(wǎng)絡(luò)，將篩選后的變量作為改進(jìn)后神經(jīng)網(wǎng)絡(luò)的輸入，將結(jié)構(gòu)改變?yōu)樾碌膬?nèi)容。

將選取的數(shù)據(jù)結(jié)果進(jìn)行分析，實驗中采取的經(jīng)PCA技術(shù)預(yù)處理的數(shù)據(jù)，在降低數(shù)據(jù)維數(shù)的同時，大大縮短了神經(jīng)網(wǎng)絡(luò)的測試時間。對比著傳統(tǒng)的神經(jīng)網(wǎng)絡(luò)，改進(jìn)后的網(wǎng)絡(luò)不僅收斂速度快，還具有更高的檢測率和正確性。試驗檢測結(jié)果如圖3所示。

由上圖可以看到，改進(jìn)后的網(wǎng)絡(luò)入侵檢測系統(tǒng)相比傳統(tǒng)的網(wǎng)絡(luò)入侵檢測模型具有更高的檢測率，能夠有效地提高網(wǎng)絡(luò)的安全性。改進(jìn)神經(jīng)網(wǎng)絡(luò)的識別率能夠達(dá)到96%以上，在檢測入侵上具有巨大的發(fā)展?jié)摿?，在?yōu)化遺傳算法自變量之后，加快的收斂速度能有效地縮短時間，顯著提高了檢測率。

4結(jié)束語

通過本文的研究可以發(fā)現(xiàn)，依據(jù)傳統(tǒng)神經(jīng)網(wǎng)絡(luò)的特點。將改進(jìn)后的神經(jīng)網(wǎng)絡(luò)應(yīng)用于網(wǎng)絡(luò)入侵檢測中，優(yōu)化篩選參與建模的自變量，能有效地減少誤差，提高效率縮短時間。網(wǎng)絡(luò)入侵檢測是全新的具備主動性的安全防護技術(shù)，基于改進(jìn)神經(jīng)網(wǎng)絡(luò)的入侵檢測成為網(wǎng)絡(luò)安全技術(shù)提升必不可少的補充。隨著網(wǎng)絡(luò)規(guī)模的擴大和手段的變化，網(wǎng)絡(luò)入侵檢測能力也提出了更高的要求[6]。傳統(tǒng)BP神經(jīng)網(wǎng)絡(luò)模型限制了網(wǎng)絡(luò)入侵檢測系統(tǒng)的應(yīng)用，改進(jìn)后的神經(jīng)網(wǎng)絡(luò)在網(wǎng)絡(luò)入侵檢測中的應(yīng)用能力和研究成果還需要進(jìn)一步的深入，爭取構(gòu)建網(wǎng)絡(luò)入侵檢測與身份認(rèn)證、數(shù)據(jù)加密等技術(shù)相結(jié)合的多層次防護體系。

參考文獻(xiàn)：

[1]羅俊松.基于神經(jīng)網(wǎng)絡(luò)的BP算法研究及在網(wǎng)絡(luò)入侵檢測中的應(yīng)用[J].現(xiàn)代電子技術(shù)，2017，40（11）：91-94.

[2]詹沐清.神經(jīng)網(wǎng)絡(luò)技術(shù)在網(wǎng)絡(luò)入侵檢測模型及系統(tǒng)中的應(yīng)用[J].現(xiàn)代電子技術(shù)，2015，38（21）：105-108.

[3]周立軍，張杰，呂海燕.基于數(shù)據(jù)挖掘技術(shù)的網(wǎng)絡(luò)入侵檢測技術(shù)研究[J].現(xiàn)代電子技術(shù)，2016，39（6）：10-13.

[4]張永良，張智勤，吳鴻韜，等.基于改進(jìn)卷積神經(jīng)網(wǎng)絡(luò)的周界入侵檢測方法[J].計算機科學(xué)，2017，44（3）：182-186.

[5]劉浩然，趙翠香，李軒，等.一種基于改進(jìn)遺傳算法的神經(jīng)網(wǎng)絡(luò)優(yōu)化算法研究[J].儀器儀表學(xué)報，2016，37（7）：1573-1580.

[6]劉敬，谷利澤，鈕心忻，等.基于神經(jīng)網(wǎng)絡(luò)和遺傳算法的網(wǎng)絡(luò)安全事件分析方法[J].北京郵電大學(xué)學(xué)報，2015，38（2）：50-54.endprint