朱韶平 肖永良 黨艷軍

摘? ?要：為解決網(wǎng)絡(luò)系統(tǒng)入侵行為升級(jí)快，隱蔽性強(qiáng)和隨機(jī)性高等嚴(yán)重安全問題，結(jié)合入侵檢測(cè)系統(tǒng)信息的特點(diǎn)，提出一種基于MSNN模型的入侵檢測(cè)算法。首先提取系統(tǒng)調(diào)用順序特性和頻度特性，然后利用多級(jí)Sigmoid神經(jīng)網(wǎng)絡(luò)中的Sigmoid神經(jīng)元具有微調(diào)網(wǎng)絡(luò)的作用，且能讓神經(jīng)元產(chǎn)生多元反應(yīng)進(jìn)行多類分類，構(gòu)建類似于大腦神經(jīng)突觸網(wǎng)絡(luò)信息處理的MSNN模型，實(shí)現(xiàn)網(wǎng)絡(luò)安全入侵檢測(cè)。實(shí)驗(yàn)結(jié)果表明，該算法的檢測(cè)精度高、抗干擾能力強(qiáng)，具有良好的檢測(cè)效果和較高的應(yīng)用價(jià)值。

關(guān)鍵詞：網(wǎng)絡(luò)安全;入侵檢測(cè);MSNN模型;系統(tǒng)調(diào)用順序特性;系統(tǒng)調(diào)用頻度特性

中圖分類號(hào)：TP391.4? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? 文獻(xiàn)標(biāo)識(shí)碼：A

Intrusion Detection of Network Security Based on MSNN Model

ZHU Shao-ping1？覮，XIAO Yong-lian2，DANG Yan-jun1

（1. Department of Electronic Information Engineering，Zhuhai City Polytechnic，Zhuhai，Guangdong 519090，China;

2. Department of Information Management，Hunan University of Finance and Economics，Changsha，Hunan 410205，China）

Abstract：In order to solve the serious security problems of network system intrusion behavior，such as rapid upgrade，strong concealment and high randomness，an intrusion detection algorithm based on MSNN model is proposed in combination with the characteristics of intrusion detection system information. First extract the system transfer sequence characteristics and frequency characteristics，then the algorithm use Sigmoid neurons in the multilevel Sigmoid neural network to fine-tune the network and enable the neurons to generate multiple responses for multiple classification，so as to build an MSNN model similar to the brain's synaptic network information processing and realize network security intrusion detection. The experimental results show that the proposed algorithm has high precision and strong anti-interference ability，and has a good detection effect and high application.

Key words：network security;intrusion detection;MSNN model;order characters of system;frequency characters of system

隨著物聯(lián)網(wǎng)、移動(dòng)互聯(lián)網(wǎng)的技術(shù)的飛速發(fā)展，網(wǎng)絡(luò)攻擊逐漸呈現(xiàn)智能化和復(fù)雜化的趨勢(shì)，人們面臨的網(wǎng)絡(luò)安全問題日益嚴(yán)峻。入侵檢測(cè)技術(shù)是通過分析從計(jì)算機(jī)系統(tǒng)或計(jì)算機(jī)網(wǎng)絡(luò)中收集來的安全日志和網(wǎng)絡(luò)數(shù)據(jù)包等信息，檢測(cè)出計(jì)算機(jī)系統(tǒng)或計(jì)算機(jī)網(wǎng)絡(luò)中可能存在的違反安全策略的入侵行

為 [1]。它是一種重要網(wǎng)絡(luò)安全防護(hù)手段，能為網(wǎng)絡(luò)用戶提供隱私和數(shù)據(jù)保護(hù)，是近年來信息安全領(lǐng)域的研究熱點(diǎn)。早在1987年Dorothy Denning[2]提出了第一個(gè)入侵檢測(cè)模型;1998年，IDES和Chen[3]等人相繼提出了通用入侵檢測(cè)模型CIDF;Ye N，Li X[4] 等人應(yīng)用概率理論提出了基于計(jì)算機(jī)審計(jì)數(shù)據(jù)的入侵檢測(cè)模型，并取得了較好的檢測(cè)效果;張玲等人綜合誤用檢測(cè)和異常檢測(cè)提出了一種基于粗糙集和人工免疫的集成入侵檢測(cè)（RSAI-IID）模型[5];張得生等人結(jié)合SVM 和融合技術(shù)提出了基于SVM和融合技術(shù)的入侵檢測(cè)，有效解決了傳統(tǒng)SVM 算法易產(chǎn)生訓(xùn)練參數(shù)選擇不當(dāng)、分類精度低等問題[6]。近年來，盡管研究者提出了各種入侵檢測(cè)模型和相關(guān)算法，并取得了一些研究成果，然而檢測(cè)效果并非十分理想。

隨著網(wǎng)絡(luò)安全入侵技術(shù)更新速度的加快、隱蔽性的加強(qiáng)及網(wǎng)絡(luò)入侵方式的多樣化，計(jì)算機(jī)主機(jī)及計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)的入侵面臨日益嚴(yán)峻的問題，網(wǎng)絡(luò)安全入侵技術(shù)也變得日趨復(fù)雜，對(duì)網(wǎng)絡(luò)安全入侵檢測(cè)的研究還需進(jìn)一步加強(qiáng)。本文將結(jié)合系統(tǒng)調(diào)用頻度特征及系統(tǒng)調(diào)用短序列時(shí)序特征，利用多級(jí)Sigmoid神經(jīng)網(wǎng)絡(luò)能模擬人類思維過程的特點(diǎn)，讓神經(jīng)元產(chǎn)生多元反應(yīng)，進(jìn)行網(wǎng)絡(luò)安全入侵檢測(cè)。通過實(shí)驗(yàn)與比較，驗(yàn)證了所構(gòu)建的MSNN模型能有效提高入侵檢測(cè)的準(zhǔn)確率、降低入侵檢測(cè)的誤檢率，為網(wǎng)絡(luò)安全入侵檢測(cè)提供新的實(shí)現(xiàn)途徑。

1? ?特征提取

入侵檢測(cè)所用信息特征包括基于頻度特性的

系統(tǒng)調(diào)用頻率特征和基于序列的系統(tǒng)調(diào)用短序列特征等。本文將系統(tǒng)調(diào)用的頻率特征和系統(tǒng)調(diào)用短序列時(shí)序特征順序特性結(jié)合起來，進(jìn)行入侵檢測(cè)，效果更好。

1.1? ?提取系統(tǒng)調(diào)用頻率特征

系統(tǒng)調(diào)用頻率特征包括獨(dú)立事件的發(fā)生、獨(dú)立事件發(fā)生的頻度、通過邏輯運(yùn)算得到的多個(gè)獨(dú)立事件的出現(xiàn)、多個(gè)事件的發(fā)生頻度四種，它是用來判斷計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)進(jìn)程是否異常的重要特征，可用于入侵檢測(cè)。[7] 系統(tǒng)調(diào)用頻率穩(wěn)定系統(tǒng)進(jìn)程正常執(zhí)行，否則系統(tǒng)進(jìn)程異常執(zhí)行。當(dāng)系統(tǒng)調(diào)用頻率發(fā)生變化或者產(chǎn)生一些未知的系統(tǒng)調(diào)用時(shí)，系統(tǒng)進(jìn)程則會(huì)出現(xiàn)異常執(zhí)行。因此，可用一個(gè)元素來表示每一個(gè)系統(tǒng)調(diào)用的發(fā)生頻率，用一個(gè)向量表示一個(gè)進(jìn)程的系統(tǒng)調(diào)用序列。設(shè)系統(tǒng)調(diào)用集合為I，進(jìn)程為x，若I= {audit，access，creat，exit，colse，fork，chdir，ioctl}，程程x由1個(gè)access，1個(gè)close，1個(gè)exit，1個(gè)ioct1組成，則其頻率特征向量表示為：x = （0，1，0，1，1，0，0，1）。

1.2? ?提取系統(tǒng)調(diào)用短序列時(shí)序特征

系統(tǒng)調(diào)用短序列特征是指系統(tǒng)調(diào)用間的時(shí)序特征，它包含事件的變遷序列等。當(dāng)系統(tǒng)調(diào)用短序列局部連貫時(shí)，系統(tǒng)進(jìn)程正常執(zhí)行;當(dāng)系統(tǒng)調(diào)用短序列產(chǎn)生異常時(shí)，程序存在安全漏洞或系統(tǒng)進(jìn)程異常執(zhí)行。因此，可以根據(jù)系統(tǒng)進(jìn)程產(chǎn)生的系統(tǒng)調(diào)用短序列來判斷系統(tǒng)進(jìn)程是否異常。[8，9]我們用 STIDE滑動(dòng)窗口的方法提取系統(tǒng)調(diào)用短序列特征，首先保持窗口長(zhǎng)度一定，實(shí)驗(yàn)時(shí)窗口長(zhǎng)度取4，性能較好。然后將STIDE滑動(dòng)窗口從頭到尾移動(dòng)，每一次移動(dòng)一個(gè)系統(tǒng)調(diào)用，這樣每次移動(dòng)生成窗口內(nèi)的系統(tǒng)調(diào)用短序列。若進(jìn)程為x = open，close，ioctl，mmap，pipe，acces，close，exit，取窗口長(zhǎng)度l = 4，則提取的系統(tǒng)調(diào)用短序列為：

（open，close，ioctl，mmap），

（close，ioctl，mmap，pipe），

（ioctl，mmap，pipe，acces），…，

（pipe，acces，close，exit）。

本文將系統(tǒng)調(diào)用的頻率特征和系統(tǒng)調(diào)用短序列時(shí)序特征順序特性結(jié)合起來，進(jìn)行入侵檢測(cè)效果更好。

2? ?基于MSNN模型的入侵檢測(cè)

2.1? ?多級(jí)Sigmoid神經(jīng)網(wǎng)絡(luò)

多級(jí)Sigmoid 神經(jīng)網(wǎng)絡(luò)（ MSNN） [10]是一種能讓神經(jīng)元產(chǎn)生多元反應(yīng)進(jìn)行多類分類的神經(jīng)網(wǎng)絡(luò)分類器。它具有非線性逼近、易于訓(xùn)練、自適應(yīng)性、高選擇性、聯(lián)想記憶以及對(duì)特征空間進(jìn)行任意形狀的分割等優(yōu)勢(shì)。多級(jí)Sigmoid神經(jīng)網(wǎng)絡(luò)包括輸入層、隱含層和輸出層三層，如圖1所示。

多級(jí)Sigmoid神經(jīng)網(wǎng)絡(luò)中的Sigmoid 神經(jīng)元具有微調(diào)網(wǎng)絡(luò)的作用，類似感知器，對(duì)權(quán)重和偏置的微小變化均能引起輸出產(chǎn)生微小的變化。 sigmoid神經(jīng)元對(duì)每一個(gè)輸入x1 x2 x3…xi都有權(quán)重w1 w2 w3…wi和一個(gè)共有的偏置b。輸入信號(hào)前向傳播至隱含層節(jié)點(diǎn)，通過激活函數(shù)經(jīng)節(jié)點(diǎn)激活后，再傳至輸

出節(jié)點(diǎn)產(chǎn)生輸出結(jié)果。激活函數(shù)采用標(biāo)準(zhǔn)Sigmoid函數(shù)：

其中wi 為輸入xi的權(quán)重，b為共有的偏置。權(quán)重變化量Δwi和偏置變化量Δb發(fā)生細(xì)微的改變，輸出變化量Δyj產(chǎn)生細(xì)微的變化，Δyj可以近似的表示為：

輸出變化量Δyj是關(guān)于權(quán)重變化量Δwi和偏置變化量Δb的線性函數(shù)，從而可以實(shí)現(xiàn)網(wǎng)絡(luò)對(duì)權(quán)重和偏置的微調(diào)，以達(dá)到盡可能地學(xué)習(xí)規(guī)則。

采用多級(jí)Sigmoid神經(jīng)網(wǎng)絡(luò)構(gòu)建入侵檢測(cè)模型，進(jìn)行多類分類。用K表示層級(jí)數(shù)，c表示類的帶寬，多級(jí)Sigmoid激活函數(shù)可表示為：

輸出yj可表示為激活函數(shù)φi（x）的線性加權(quán)

其中wij表示隱含層第i個(gè)節(jié)點(diǎn)到輸出層第j個(gè)節(jié)點(diǎn)的連接權(quán)系數(shù)，n表示隱含層的節(jié)點(diǎn)個(gè)數(shù).

對(duì)輸出結(jié)果進(jìn)行歸一化處理，取歸一化后的最大值為該節(jié)點(diǎn)的分類類別：

若滿足條件：

則判別X∈Lj，其中L為總類別數(shù)，即輸入X屬于第j類。

將提取系統(tǒng)調(diào)用的頻率特征和系統(tǒng)調(diào)用短序列時(shí)序特征作為多級(jí)Sigmoid神經(jīng)網(wǎng)絡(luò)的輸入，根據(jù)公式（1）至（4）計(jì)算輸出節(jié)點(diǎn)的值，根據(jù)公式（5）和（6）判斷輸出節(jié)點(diǎn)的類別，從而確定輸入所屬的入侵種類。

3? ?實(shí)驗(yàn)結(jié)果與分析

為驗(yàn)證本文算法的有效性，我們采Windows7（64位，4G內(nèi)存）操作系統(tǒng)，Matlab 2010b實(shí)驗(yàn)平臺(tái)和基于KDD99數(shù)據(jù)集進(jìn)行驗(yàn)證，KDD99數(shù)據(jù)集包含41個(gè)特征。從KDD99數(shù)據(jù)集中分別選取268456組數(shù)據(jù)作為訓(xùn)練樣本，257386組數(shù)據(jù)作為測(cè)試樣本，由MSNN模型分別對(duì)訓(xùn)練樣本和測(cè)試樣本進(jìn)行入侵檢測(cè)實(shí)驗(yàn)，實(shí)驗(yàn)分兩組進(jìn)行。

實(shí)驗(yàn)一：不同比例訓(xùn)練集實(shí)驗(yàn)

針對(duì)KDD99數(shù)據(jù)集，MSNN模型分別采用總樣本數(shù)量的20%-40%進(jìn)行訓(xùn)練，剩余的樣本進(jìn)行測(cè)試，測(cè)試結(jié)果如圖2所示。

由圖2可知，當(dāng)所用訓(xùn)練集的比例為40%時(shí)，MSNN模型的檢測(cè)精度高達(dá)98.2%，當(dāng)所用訓(xùn)練集數(shù)據(jù)的比例分別為20%和30%時(shí)，MSNN模型的檢測(cè)精度分別為96.1%和97.8%。實(shí)驗(yàn)結(jié)果表明，隨著所用訓(xùn)練集數(shù)據(jù)比例的增加，檢測(cè)精度的提升效率降低，從而表明MSNN模型具有較強(qiáng)的抽象表示能力，無需大量的樣本數(shù)據(jù)就能訓(xùn)練出表達(dá)能力很強(qiáng)的模型，同時(shí)體現(xiàn)出MSNN模型具有良好的預(yù)測(cè)能力。

實(shí)驗(yàn)二：不同算法對(duì)比

為了進(jìn)一步驗(yàn)證本文算法的檢測(cè)效果及檢測(cè)精度，我們將本文算法分別與DBN和SVM算法進(jìn)行比對(duì)實(shí)驗(yàn)，三種算法的檢測(cè)準(zhǔn)確率和誤報(bào)率分別如表1所示。

由表可知，相同訓(xùn)練集比例情況下，本文算法較DBN[11]和SVM 算法[6]具有更高檢測(cè)準(zhǔn)確率和更低誤報(bào)率。實(shí)驗(yàn)結(jié)果表明，MSNN模型進(jìn)行入侵檢測(cè)效果優(yōu)于DBN和SVM模型，具有更高檢測(cè)準(zhǔn)確率和更低的誤報(bào)率，完全滿足入侵檢測(cè)的要求。

4? ?結(jié)? ?論

針對(duì)傳統(tǒng)的網(wǎng)絡(luò)入侵檢測(cè)存在檢測(cè)正確率不高、擴(kuò)展性不強(qiáng)和誤報(bào)率較高等問題，研究了多級(jí)Sigmoid神經(jīng)網(wǎng)絡(luò)，結(jié)合多級(jí)Sigmoid神經(jīng)網(wǎng)絡(luò)中的Sigmoid 神經(jīng)元具有微調(diào)網(wǎng)絡(luò)的作用，且能讓神經(jīng)元產(chǎn)生多元反應(yīng)進(jìn)行多類分類，易于訓(xùn)練的特點(diǎn)，提出了一種基于MSNN模型的入侵檢測(cè)方法用于網(wǎng)絡(luò)安全入侵檢測(cè)，解決了模型訓(xùn)練困難，計(jì)算復(fù)雜，大數(shù)據(jù)處理慢等缺點(diǎn)。研究結(jié)果表明，本文算法能夠進(jìn)一步提高入侵檢測(cè)的準(zhǔn)確率和降低入侵檢測(cè)的誤報(bào)率，其性能明顯優(yōu)于DBN和SVM等先進(jìn)算法，具有檢測(cè)速度快，精度高，效果好等優(yōu)點(diǎn)。論文在如何將多級(jí)Sigmoid神經(jīng)網(wǎng)絡(luò)應(yīng)用到網(wǎng)絡(luò)安全領(lǐng)域，以及如何有效利用網(wǎng)絡(luò)大量無標(biāo)簽數(shù)據(jù)等方面都具有積極的意義。但是在如何利用多級(jí)Sigmoid神經(jīng)網(wǎng)絡(luò)挖掘數(shù)據(jù)與數(shù)據(jù)之間的關(guān)系，都還需要進(jìn)行進(jìn)一步的研究。

參考文獻(xiàn)

[1]? ? 楊宏宇，朱丹，謝豐，等. 入侵異常檢測(cè)研究綜述[J]. 電子科技大學(xué)學(xué)報(bào)，2009，38（5）：587—596.

[2]? ? DENNING D. E. An intrusion detection model[J]. IEEE Transactions on Software Engineering，1987，13（2）：222—232.

[3]? ?CHEN S， TUNG B， SCHNACKENBERG D. The common intrusion detection framework data formats[R]. Internet Draft Draft-Ietf-Cidf-Data-Formats-OO.txt，1998，V2—223.

[4]? ?YE N，LI X，CHEN Q，et al. Probabilistic techniques for intrusion detection based on computer audit data[J]. IEEE Trans. SMC-A，2001，31（4）：266—274.

[5]? ? 張玲，白中英，羅守山，等.基于粗糙集和人工免疫的集成人侵檢測(cè)模型[J].通信學(xué)報(bào)，2013，34（9）：166—175.

[6]? ? 張得生，張飛.基于SVM和融合技術(shù)的入侵檢測(cè)研究[J].科技通報(bào)，2013，29（5）：167—172.

[7]? ? 張莉萍，雷大江，曾憲華. 基于頻率特征向量的系統(tǒng)調(diào)用入侵檢測(cè)方法[J].計(jì)算機(jī)科學(xué)，2013，4（6A）：330—333.

[8]? ? 姚立紅，訾小超，黃皓，等.基于系統(tǒng)調(diào)用特征的入侵檢測(cè)研究[J].電子學(xué)報(bào)，2003，31（8）：1134—1137.

[9]? ? KOSORESOW A P ，HOFMEYR S A. Intrusion detection via system call traces[J]. IEEE Software，1997，14（5）：35—42.

[10]? 武妍. 基于多級(jí)神經(jīng)元的神經(jīng)網(wǎng)絡(luò)及其在分類中的應(yīng)用[J].計(jì)算機(jī)工程，2005，31（11）：10—12.

[11]? 徐東輝，王 勇，樊汝森. 一種基于DBN的網(wǎng)絡(luò)入侵檢測(cè)算法 [J]. 上海電力學(xué)院學(xué)報(bào)，2013，29（6）：589—592.