BP神经网络在入侵检测中的应用
BP神经网络在入侵检测中的改进设计
l N I M 的设 计 与 实现 ND
1 1 系 统 的 总 体 设 计 .
N DM( ua t ok It s n D tcin Mo — NI Ne rl w r nr i ee t d Ne u o o
e) 1 即神经 网络入 侵检 测模 型 , 是我 们 开发 的用 来 检
第 7卷
第 5期
漯 河 职 业 技 术 学 院 学 报
J u n lo u h o a in lT c n lg ol g o r a fL o e V c t a e h oo y C l e o e
Vo . . 1 7 NO 5
20 0 8年 9 月
Sp2 8 e . 00 Nhomakorabea12 N I M 的 实 现 . N D
12 1 网络探测 器 的设 计 与实现 . . 包 括数 据采 集 、 t re 帧 解 包 、P解 包 、C P Eh n t e I IM 解包 、 C T P解 包 、 D U P解 包 等 模 块 。在 本 系 统 的数
据采集 模块 中, 虑到采 集 网络包 的完整 性和 效率 , 考
网络 的初 始 阈值 。
表 1 预 处 理 编 码 规 则
望输出; ni Wihd e表 , 保存 输 人 层 到 隐含 层 的权 值 它 矩 阵 ; ieu 表 , 保 存 隐 含 层 到 输 出 层 的权 值 Whdo t 它 矩 阵 ; trsod表 , 保 存 隐 含 层 的 阈 值 矩 阵 ; H heh l 它
我们采 用 l p a/ nr 或 l p a/ c d m i cp so b t i cp T P u p相 结合 b 的方式 , 它们 具有 强大 而高效 的截获 数据 包 的能力 , 它有 多种参 数可供 选 择 , 过 参 数组 合 可 灵 活 地获 通
基于BP神经网络的入侵检测系统
2 De to o ue ce c , ih a iest f t . p. f mp tr in e Sc u nUnv ri o s& S in e , z o 3 0 0 C ia C S y Ar ce c s Dah u6 5 0 , hn )
Absr c : e i t u i n d t c i n s se i a e n BP n u a e wo k . e o i i l c o n a a wh c ip a e y ta t Th n r so e e to y t m sb s d o e r ln t r s Th rg na c u t t i h d s l y d b a d
O 引言
计 算 机 系 统 的主 要 问题 是 网络 信 息 安 全 。 入 侵 检 测 是 为 系 统 提 供 实 时 的 检 测 及 采 取 相 应 的 防护 手 段 。Itre 数 据 传 输 是 基 于 T P I 议 ,缺 乏 安 nent C /P协 全 措 施 。故 设 计 基 于 B P神 经 网 络 的入 侵 检测 系 统 。
文 章 编 号 : 1 0 — 5 6 ( 07)0 — 0 10 0 6 17 2 0 405— 2
2 0 , o . 6 No 4 0 7 V 12 , .
基于 B P神 经 网络 的入 侵检 测 系 统
杜 晓 曦 ,钟乐 海 ,陈 良维 z ( .西华 师 范大 学 计 算机 学 院 , 四川 南 充 6 7 0 ;2 1 3 0 2 .四川 文 理学 院 计 算机 科 学系 ,四川 达 J 6 5 0 ) J 3 00 ’ I
摘要 :基 于 B P神 经 网络 技 术 的入侵 检 测 系统 ,将二 进 制表 示 的原 始 审 计数 据 用 A C I 表 示 ,再 进行 数 据预 S I码 处 理 , 包括 数 据 解析 和 转化 成神 经 网络 可识 别 的输 入 。 然后 执 行数 据 收 集 和预 处 理 ,得 到评 估 数据 集 ,以评 估 新 的 模 式或特征的准确率。最后 ,神经网络分析 引擎处理分析数据 集,判断是否为异常数据。 关键 词 :B P神 经 网络 ;入 侵检 测 ;I ; 神 经元 :训 练 DS
基于BP神经网络算法的入侵检测技术
据, 直接对这些数据进行分析 。 这种方式只包含分析层 , 数据分 析
时经过 的环节较少 , 因此检测 的速 度较快 ; 并且还不会受 到传 统
通常为信息预处理模块或者是信息过滤模块 , 系 统输入 的信 息通
过神经 网络进 行过滤处理 , 过滤 处理之后 , 其他系统 再对信 息进
行处理。 此外 , 还可以 以神经网络为规则 自动生成模块 , 对入侵检
测系统 的模 式库和规 则库进 行更 新 。 这种方 式 既有优 点也有 不
足, 其优 点是可 以提 高入侵检测 系统 的工作 性能, 并保护系统 上 的投资 。 其不足是这 种方式不 能发挥神经 网络的真正优 势, 因为
1 B P 神经 网络 应用于 入侵 检测 的实现 方式 及 技 术 的 限 制 , 因此 , 可 以发 挥 B P神 经 网络 的最 大 优 势 。 存在的问题 1 . 2 存在 的问题
1 . 1 实现方式
式。
虽然 在入侵检测 技术 中应 用 B P 神经 网络具有 很多优势 , 但
Ke y wo r d s :i n t r u s i o n d e t e c t i o n; B P n e u r a l n e t w o r k: i m p r o v e d a l g o r i t h m
0 引言
随着计算机技术 网络技术 的发展 , 网络 已经成为人们工作和
络应用于入侵检测 的实现方式及存在 的问题 , 并对现有 的 B P神经 网络算法进 行改进, 阐述 了基于 B P 神经 网络入侵检测系统
基于MPSO的BP网络及其在入侵检测中的应用
中 分 号 T1 圈 类 :P3 8
基 于 MP O 的 B 网络及 其在 入侵 检 测 中的应 用 S P
肖晓丽 ,黄继 红,刘志朋
( 长沙理工大学计算机与通信工程学院 ,长沙 4 7 ) 06 1 0 摘 要 : 出一种基于变异粒子群优化( S ) B 提 MP O 的 P网络学习算法 , 该算法用 P O算法替代了传统 B S P算法 ,且在学 习过程 中,引入变异
f se o v r e c a e m i i m t r t n , i h ra c r c . a t rc n e g n er t , n mu i a i s h g e c u a y e o
[ ywod !P rceS m t zt nP O) loi m; eei a oi m; e rl ewok ;nrs nd tcin muain Ke r s at l wa Opi ai (s a rh gn t l rh BPn ua nt rs it i eet ; tt i mi 0 g t c g t uo o o
M PS ag rt m u siu e h r d t n l l o i m rn h e r n r c s r e v r o et t h a t n l l or h i a y t O l o i h s b t t st eta i o a ag rt du i g t el a ni g p o e si o d r O o e c m e t di o a ag i m se s O t i BP h n t ha t r i BP t
改进的BP网络在入侵检测中的应用
授 权 活 动 . 着 非 常 广泛 的应 用 前 景 。而 人 工 神 经 网络 是 一 种 基 于 大 量神 经 元 广 泛 互 联 的 数学 模 型 , 有 自学 习 、 有 具 自
组织 、 自适 应 的 特 点 。将 神 经 网络 技 术 和 入 侵检 测技 术 相 结 合 , 立 了一 个 基 于 神 经 网 络 的 人 侵 检 测 系 统模 型并 实 建
) +, - ,
应 入侵 l。 】 入侵 检测 系统 (D ) 计算 机 网络 系统 的 ] IS从
一
个或若 干关键 点 收集信 息并 根据 相应规 则对 这些
图 1 神 经 元 数学 模 型
信 息进 行 分析 , 看 系统 中是 否 有 违反 安 全 策略 的 查 行 为和遭 到袭击 的迹 象 。它可 以在 不影 响网络性 能
型函数 . 即取神经元的输 出为:
1 人 工神 经 网络 模 型
神 经 网络模 型是 以神 经元 的数学模 型 为基础 来 描述 的 。神 经 网络模 型 由网络拓 扑节点 和学 习规则 来表示 。神 经元是 以生 物神 经系 统 的神 经 细胞为 基
舡 =
m
1
() 1
第1 2卷 第 1 期
重庆科 技学 院学 报 ( 自然科 学版 )
21 0 0年 2月
改进的 B P网络在入侵检测 中的应 用
李 钢
( 枣庄 学院 ,枣庄 2 7 0 ) 7 1 0
摘
要 : 侵检 测 是 一 种 积极 主动 的安 全 防护 技 术 , 仅 能 够 检 测 来 自外 部 的 入 侵 行 为 , 时 也 监 督 内部 用 户 的 未 人 不 同
关 键 词 : 络 安 全 ; 侵 检 测 ; 经 网络 网 入 神 中图 分 类号 : P 9 T 33 文 献 标 识码 : A 文 章编 号 : 6 3 1 8 (0 0 0 — 1 7 0 17 — 9 0 2 1 )1 0 5 — 3
bp算法网络入侵检测技术的应用分析
为了提高网络数据安全,本文分析了基于BP算法的网络 入侵检测技术,通过构建BP算法的网络入侵检测系统实现网 络数据捕获、网络数据分析、网络数据预处理、BP算法入侵 检测和入侵行为响应,最后对入侵检测系统的应用进行了分 析,结果表明:经过BP算法训练之后的神经网络入侵检测系 统的应用效果较好,检测的正确率高,误报率和漏报率低。
随着计算机技术的发展和应用,人们开始研究网络入 侵检测系统的性能,最早应用的入侵网络算法为基于模式 匹配的网络入侵的检测方法,这种算法在应用过程中存在数据 包的匹配效率低问题,之后有学者将BM(Boyer-Moore)算法应 用在网络入侵检测系统中,提高了入侵检测效果,并对BM算法 改进之后提出了BMH算法、QS算法等,但是这些算法随着计算 机网络规模的不断扩大,其入侵检测准确率越来越低;当前随 着人工智能技术的发展,越来越多的学者将BP神经网络算法应 用在网络入侵检测中,提升了入侵检测系统的自主学习能力和 检测成效,本文对BP算法网络入侵检测技术的应用进行分析。
是要注意训练结果的精度,设置合理的权值,初始权值在-0.3到0.3之间。 4)确定合理的网络模型 为了提高神经网络的训练精度,降低误差,寻找最优解,神经网络
中的权值要相应进行改变,进一步确定这个神经网络结构的最合适的连
• 187 •
ELECTRONICS WORLD・技术交流
2)确定网络拓扑结构 在BP网络中,隐含层的节点数设计直接关系着训练的性能,如果设计 的隐含层节点数目过多还会出现“过拟合”现象,因此,隐含层的节点设计
十分重要,在保证网络的训练精度和泛化能力的前提下,尽可能减少隐含层
的节点数目。经分析,输入层的节点数为16,输出层节点数为3。 3)神经网络的训练 训练使一个优化的过程,通过训练可以确定样本数据中包含的规律,但
基于改进的BP神经网络的入侵检测研究
日趋 多样 、复杂 化 ,传 统 的静态 防入 侵技 术 一防火 墙 已经 无法 满足 新形 式下 网络 安全 的要 求 ,入侵 检 测 系 统 (n uinDe co ytm,简称 I ) 由 It so t t nS s r ei e DS
传 统 的对 于入 侵检 测 系统 的研 究 ,主要 有基 于 规则 和基 于专 家 知识 库 的方法 【,但 是这 些方 法过 2 】 于依 赖规 则库 和专 家知 识库 ,造成 了 自身 的适应 性 不 强 的缺 陷。神 经 网络通 过模 拟人类 大 脑 的思维 方 法来 处 理信息 ,具 有 自组织 、 自学习 、 自适 应 的特 点 ,这 使得 如何 将神 经 网络运 用到 入侵 检测 技术 成
Ke r s BP n u a n t o k i t s o e e t l c l n mu ; a i n e c n y wo d : ; e r l ew r ; n r i n d tc ; o a i m g d e t s e t J u第 4期 21 01年 7 月
V 12 No4 o. . 3 Jl 2 1 uy 0 1
井 冈山大 学学报 ( 自然 科学 版) Junl f igaghnUnvrt N trl c ne ora n gn sa iesy( aua Si c) oJ i e
文章编 号:17 -0 52 1)4 0 6 - 5 648 8(0 0 - 0 6 0 1
RES EARCH oN NTRUS oN I I DETECTI oN BAS ED oN M P I RoVED BP
N EURAL E TW O RK
W AN G B0 , L UO Ch O a
变异粒子群优化的BP神经网络在入侵检测中的应用
2 0 1 3年 1 2月 D O I : 1 0 . 3 9 6 9 / j . i s s n . 1 6 7 3 - 4 7 8 5 . 2 0 1 3 0 4 0 4 0
智
能
系
统
学
报
Vo 1 . 8 N o . 6
De c .2 01 3
CAAI Tr a n s a c t i o n s o n I n t e l l i g e n t S y s t e ms
t r u s i o n d e t e c t i o n s y s t e m[ J ] . C A AI T r a n s a c t i o n s o n I n t e l l i g e n t S y s t e ms , 2 0 1 3 , 8( 6 ) : 5 5 8 - 5 6 3 .
Ab s t r a c t : A a i mi n g a t t he p r o p e r t i e s o f r e a l — t i me p e r f o r ma n c e a n d s e l f - l e a r n i n g o f t h e i n t r u s i o n d e t e c t i o n s y s t e m
中图 分 类 号 : T P 3 9 3 文献标志码 : A 文章编号 : 1 6 7 3 — 4 7 8 5 ( 2 0 1 3 ) 0 6 — 0 5 5 8 - 0 6
中文引用格式 : 宋龄 。 常磊 . 变异粒子群优化 的 B P神经网络在入侵检测中的应 用[ J ] . 智能系统学报 , 2 0 1 3 , 8 ( 6 ) : 5 出了 MP S O — B P混合 优化算法 . 为提高 入侵检测 系统 的检测率 、 降低 误报率 , 提 出了一种 新 的入侵检测模 型( MP B I D S ) . 采取 I r i s 数据集对 3 个B P神经 网络进行模拟 实验 , 结 果表 明, 优化后 的 B P神经 网络 具 有更好 的收敛速度和精度. 将 改进 的 B P神 经 网络应用 到入侵 检测 中 , 采取 K D D C U P 9 9为 测试数 据集 , 仿 真结果 表 明, 基 于改进 B P神经网络的入侵检测模 型能提高检测率 、 降低误报率 . 关键词 : 变异算子 ; 入侵检测系统 ; 粒子群优化算法 ; B P神经网络
bp神经网络在入侵检测中的优化和应用
资源、数据交换、数据共享的平台和渠道,随着越来越多的保密数 据在网络上传输,对网络的安全提出了更高的要求。入侵检测是保 障网络安全的重要部分。使用神经网络进行攻击的检测越来越多的 受到关注。本文通过大量的实验选取了适用的BP网络,建立了基 于BP网络的误用检测模型。并将此模型进行改进,增加了动量因 子。
测系统成败的关键所在。传统的特征选取方法(J.Cannady.Artificial Neural Networks for Misuse Detection:Proceedings National Information systems Security Conference(NISSC'98):Arlington VA,Oct.1998)是对 网络数据包进行特征抽取,具体是:协议类型、源端口号、目的 端口号、源地址、目的地址、ICMP类型、ICMP代码、原始数据长 度、数据部分。但是由于攻击者普遍使用伪造的IP地址,从多个主 机同时或间断的发起攻击,将源IP地址(SIP)和目的IP地址(DIP)作为 特征并不能获得较好的效果。
拒绝服务攻击,英文名称是Denial of Service,简称DOS。拒绝 服务攻击,实际上让服务器实现两种效果:一是迫使服务器的缓冲 区满,不接收新的请求;二是使用IP欺骗,迫使服务器与非法用户 建立连接,使得所有可用网络资源都被消耗殆尽,最后导致合法的 用户请求无法通过。拒绝服务攻击问题一直得不到合理的解决,究 其原因是因为网络协议本身的安全缺陷,例如:黑客可以伪造IP和 端口号等。
为了从包含大量冗余信息的数据中提取出尽可能多的安全信 息 , 抽 象 出 有 利 于 进 行 判 断 和 比 较 的 特 征 集 合 , We n k e L e e 建 立 了KDDCUP’99项目(/databases/kddcup99/ kddcup99.html)。用数据挖掘的方法确定的41维向量能有效的区 分正常数据和网络入侵攻击(J.Stolfo,F.Wei,W.Lee,A.Prodromidis,P. K.Chan,Cost-based modeling and evaluation for data mining with application to fraud and intrusion detection,Results from the JAM Project by Salvatore,1999)。这41为向量分为:
BP算法网络入侵检测技术的应用
BP算法网络入侵检测技术的应用摘要:近些年,网络安全越来越受到人们的关注,特别是网络入侵攻击事件不断的发生,对整个网络环境造成了很大的影响。
文章首先介绍网络入侵检测的基本现状,接着阐述传统网络入侵检测的不足,提出了基于BP算法的网络入侵检测技术,最后通过应用证明了技术改进的有效性。
关键词:网络入侵检测;BP算法;入侵攻击随着计算机网络技术与网络通信产业的高速发展,信息技术和网络对当今社会的科教、经济、文化和电子商务等各个领域具有非常大的贡献。
然而随着社会对计算机网络的依赖越来越大,出现了越来越多关于影响计算机网络安全的事件,目前有计算机杀毒软件、木马防御软件以及网络防火墙等软件,都起到一定的防御作用,但是在新的网络入侵攻击方式下,却常常无能为力。
所以近些年来,计算机网络入侵检测技术越来越受到欢迎,它可以适应主动性攻击,有自主学习能力,能够更新入侵攻击规则库等功能。
网络入侵检测技术的应用,的确可以弥补防火墙、杀毒软件的缺陷,提高计算机网络安全的性能。
但是传统的网络入侵检测技术存在一些问题,例如漏/误报率高、网络实时检测能力不高、检测的速率较低等问题。
如何解决以上提出的问题,就需要对传统的网络入侵检测技术进行改进,提高新的网络入侵检测方法。
本文提出了基于BP神经网络算法的网络入侵检测技术,它是能够很好适应当前海量数据检测,较低入侵检测漏/误报率的方法。
1 传统入侵检测技术的模型与不足1.1传统入侵检测的发展20世纪70年代后,随着计算机网络技术的发展,计算机的大规模及超大规模集成电路的高速发展,计算机的性能变高体积变小,在社会上应用计算机的用户也越来越多,遍布全世界。
传统的防火墙开始不能够满足计算机安全的新需求,于是入侵检测技术也登上了应用舞台。
它的发展主要包括几个时期,分别是:早期研究、基于主机入侵检测系统研究、基于网络入侵检测系统研究和基于智能网络入侵检测系统研究。
早期研究主要是1983年,(Stanford Research Institue)用统计方法分析IBM 大型机的(System Management Facility)记录,这就是网络入侵检测的雏形。
BP神经网络算法的改进及在入侵检测中的应用
BP神经网络算法的改进及在入侵检测中的应用BP算法是神经网络众多算法中应用最为广泛的一种,它在函数逼近、模式识别、分类、数据压缩等领域有着更加广泛的应用。
针对BP算法的缺陷,提出了几点改进措施。
标签:BP神经网络;算法改进;入侵检测1 引言据统计有近90%的神经网络应用是基于BP算法的。
但它存在学习收敛速度慢、容易陷入局部极小点而无法得到全局最优解、对初始权值的选取很敏感等缺点。
针对此问题,目前国内外已有不少人对BP网络进行了大量的研究.本文在众人研究上,针对BP算法的缺陷,提出了几点改进措施。
2 改变误差函数由于等效误差分量δpl jk和δpl ij的大小和正负的变化对收敛速度存在影响,因为BP网络是误差逆向传播,δpl jk和δpl ij两者比较,δpl jk对收敛速度的影响更大,所以,可选取“信息熵”作为误差函数的定义。
E total=PP i=1n-1l=0t pl l×1Og pl yl+(1-t pl l)δpl l×1og(1-y pl l)(1)其中,δPl l=y pl l-t pl l3 连接权重的选择为避免学习过程中的振荡,Jcaillon等人曾强调限制连接权重的范围,将权重初值限制在[-0.5,0.5]区间内随机选取(一般将连接权重初值限制在[-5,5],也可加速收敛。
4 加入动量项这种措施又称为惯性校正法,其权值调整公式可用下式表示:Δw ij(t)=aΔw ij(t-1)+μδi(t)y j等式右端第二项是常规BP算法的修正量,δi(t)称为广义误差,yj为第j层神经元输出。
第一项称为动量项,a为动量系数,μ为学习率。
这种方法在加速收敛的同时,抑制了振荡。
综上,BP算法的改进策略都从不同程度上提高了算法的收敛速度,避免算法陷于局部极值。
5 入侵检测实验设计本实验对BackDoS,Buffer_Overflow,Guess_Passwd,Imap,IpsweepProbe5类经常出现的攻击进行基于改进算法和传统算法的对比识别实验,给出实验结果,对结果进行分析。
人工蜂群-bp网络算法在云计算入侵检测中的应用
2020年第4期150网络与信息安全信息技术与信息化人工蜂群-BP 网络算法在云计算入侵检测中的应用杨 辉* YANG Hui摘 要 随着云计算在现代网络技术中不断深入,其服务信息安全防护也面临着巨大的挑战。
针对云计算多变的网络环境,建立入侵检测模型并将人工蜂群算法优化BP 神经网络应用到检测模块中,实时检测其复杂多变的攻击行为。
最终通过实例仿真实验验证了人工蜂群-BP 网络算法提高了入侵检测效率以及分类精度,并且能够很好的确保云计算环境的安全性。
关键词 云计算;入侵检测;BP 神经网络;人工蜂群算法doi:10.3969/j.issn.1672-9528.2020.04.050* 四川建筑职业技术学院 四川德阳 6180000 引言随着互联网应用以及分布式计算技术的飞快进步,云计算已经成为一种非常娴熟的网络技术[1-2]。
云计算通过整合非常多的计算以及存储资源于一体,从而构建一个给用户提供各种网络服务的虚拟共享计算资源池[3-4]。
随着云计算在现代网络技术中不断深入,其服务信息安全防护也面临着巨大的挑战,怎样提高云服务的信息安全性能已成为一个亟待解决的问题。
与此同时考虑到云计算工作于异构虚拟环境这一特性,从而导致传统的、单一的入侵检测技术是间接运用至云计算内,所以本文提出了一种新算法即人工蜂群-BP 网络算法。
1 建立云计算分布式入侵检测模型图1 以主机为基础的入侵检测以主机为基础的入侵检测主要是运用监控、分析主机系统以及应用软件程序日志等方式来分析对比数据源记录和确定的攻击模式从而获得其入侵信息。
而以网络为基础的入侵检测主要是实时监控网段内的网络数据包,并实现对数据包的正异常情况分析以及处理,其各自的框架图以及优缺点分别见图1、图2以及表1。
图2 以网络为基础的入侵检测表1 以主机以及网络为基础的入侵检测优缺点对比优点缺点以主机为基础的入侵检测可及时检测和响应异常行为;适用于加密机交换环境;无需另外的软硬件具有操作平台依赖性;配置运行与计算机,影响主机性能;很难处理互联网环境下出现的众多入侵活动以网络为基础的入侵检测不占用计算机资源,不影响主机性能;网络架构出现部分故障不会影响其一般业务运转;风险小;24小时监测和响应异常行为活动,可以检测到未能成功的攻击行为只能检测出于电脑谅解的网段信息;网络适配器宣章多台网络入侵检测系统,使得成本增加网络与信息安全信息技术与信息化针对云计算异构化分布式特征以及其复杂未知的攻击行为,创建以网络以及主机相结合的分布式入侵检测模型[5-6],如图3所示。
神经网络在网络入侵检测中的应用
迭 代 聚 类 ,则 能 有 效 的 对 入侵 数 据 进 行分 是系 统 的误报率 和漏 报率均 较高 。随 着计算 类。 机 与 网 络 技 术 的 发 展 , 新 的 入 侵 手 段 将 层 出 2 . 2基 于 S O F M 网 的 入 侵 检 测 不穷 ,采用 单一 的入 侵检测 技术 无法满 足入 B P神 经 网 络 具 有 较 好 的 模 式 识 别 能 侵 检测 的 需要 。在 深 入研 究神 经 网络 的原理 力 ,被 广 泛 的应 用 于 入 侵 检 测 ,但 由于B P 以及将 神 经网络 应用 到入侵 检测 中 的同时应 算 法 本 身 存 在 一 定 的 局 限 性 , 如 存 在 局 部 重 点 研 究 以 下 几 个 问题 。 极 小值 、学 习速 度 慢 ,甚 至 会 在 极 值 点 附 ( 1 ) 应 综 合 各 种 神 经 网络 的 优 点 进 行 近 出现 振 荡 现 象 ,因 此 ,可 将 无 师 自组 织 自学 习 的S O F M网 和 B P 神 经 网络 结 合 起 来 , 从 而 克服B P 算 法 的弊 端 【 3 ] 。 采用S O F M 和B P 混 合 神 经 网络 的 算 法 , 首 先 进 行 数 据 的 预 处 理 , 提 取 能 够 表 示 网 络 流 量 特 征 的 特 征 量 , 作为 S O F M 网 络 的 输 入 ;然 后 利 用 S O F M网 络 的 自 组 织 自 学 习 特 性 ,保 存 在 竞 争 中取 得 胜 利 的 神 经 元 的连 接 权 值 矢 量 ,并 将 其 作 为B P 神 经 网 络 的输 入 ,最 后 利 用 B P 神 经 网 络 的 预 测 模 块 进 行 入 侵识 别 。 2 . 3 基 于 支 持 向 量 机 的 入 侵 检 测 . 入 侵 检 测 系 统 的设 计 , 针 对特 定 的检 测 领 域 ,采 用 不 同的 方 法 , 有 目的地 把 各 种 神 经 网 络 检 测 技 术 融 合 在 一 起 , 同 时 把 滥 用 检 测 与误 用检 测 并用 。 ( 2 ) 随 着 分 布 式入 侵 检 测 的 出 现 与 发 展 , 网络 环 境 日趋 复 杂 ,在 使 用 神 经 网 络 技 术 的 同时 ,要 注 重整 合 智能 化A g e n t 技 术 加 强 各 种 安 全 部 件 之 间与 安全 工 具 之 间 协 作 的研 究 。 ( 3 ) 随 着 黑 客 攻 击 网 络 的技 术 的 复 杂 化 ,提 取 的 攻 击 者 攻 击特 征量 很 难 与 网 络 流 量 特 征 库 中的 提 取 的特 征 量 相 匹 配 , 靠
一种改进的BP神经网络算法在入侵检测中的应用
一种改进的BP神经网络算法在入侵检测中的应用
王俊士;李江涛
【期刊名称】《电脑知识与技术》
【年(卷),期】2014(000)003
【摘要】该文介绍了一种改进的神经网络算法,该算法对网络结构采用自确定的
方法,并将随机算子和遗忘因子引入BP神经网络中。
在提高全局寻优能力的同时,加快了网络的收敛速度。
同时将该算法应用于网络的入侵检测中,效果良好。
【总页数】3页(P614-616)
【作者】王俊士;李江涛
【作者单位】濮阳职业技术学院数学与信息工程系,河南濮阳457000;濮阳职业
技术学院数学与信息工程系,河南濮阳457000
【正文语种】中文
【中图分类】TP18
【相关文献】
1.一种改进的贝叶斯网算法在入侵检测中的应用研究 [J], 冯祖洪;叶晨
2.BP神经网络算法的改进及在入侵检测中的应用 [J], 侯勇
3.一种改进的决策树算法在入侵检测中的应用 [J], 张旻宇
4.一种改进的决策树算法在入侵检测中的应用 [J], 张旻宇
5.一种改进随机森林算法及其在入侵检测中的应用 [J], 江轲;张宏进
因版权原因,仅展示原文概要,查看原文内容请购买。
改进的BP网络在入侵检测中的应用
改进的BP网络在入侵检测中的应用李钢【摘要】入侵检测是一种积极主动的安全防护技术,不仅能够检测来自外部的入侵行为,同时也监督内部用户的未授权活动,有着非常广泛的应用前景.而人工神经网络是一种基于大量神经元广泛互联的数学模型,具有自学习、自组织、自适应的特点.将神经网络技术和入侵检测技术相结合,建立了一个基于神经网络的入侵检测系统模型并实现了一个基于BP(Back Propagation)神经网络的入侵检测系统的原形,对原有的误差返向传播算法进行了改进以提高收敛速度,然后对一些实际数据进行了测试和分析,在检测率、漏报率、误报率等方面取得了较好的效果.【期刊名称】《重庆科技学院学报(自然科学版)》【年(卷),期】2010(012)001【总页数】4页(P157-159,162)【关键词】网络安全;入侵检测;神经网络【作者】李钢【作者单位】枣庄学院,枣庄277100【正文语种】中文【中图分类】TP393入侵检测(Intrusion Detection)是一种积极主动的安全防护技术,提供了对内部攻击、外部攻击和误操作的实时保护,在网络系统受到危害前发现和响应入侵[1]。
入侵检测系统(IDS)从计算机网络系统的一个或若干关键点收集信息并根据相应规则对这些信息进行分析,查看系统中是否有违反安全策略的行为和遭到袭击的迹象。
它可以在不影响网络性能的情况下对网络进行监视,从而提供对系统内部攻击、外部攻击和误操作的实时保护,被认为是防火墙之后的第二道安全闸门。
神经网络模型是以神经元的数学模型为基础来描述的。
神经网络模型由网络拓扑节点和学习规则来表示。
神经元是以生物神经系统的神经细胞为基础的生物模型,在人们对生物神经系统进行研究,以探讨人工智能的机制时,把神经元数学化,从而产生了神经元数学模型。
根据神经元的特性和功能,可以把神经元抽象为一个简单数学模型[2](图1)。
图1中:X1,X2,...,Xn是神经元的输入,即来自前级n个神经元的轴突的信息;A是i神经元的阈值;Wi1,Wi2,...,Win分别是 i神经元对 X1,X2, (X)的权系数,也即突触的传递效率;yi是i神经元的输出;f()是激发函数,它决定i神经元受到输入X1,X2,…,Xn的共同刺激达到阈值时以何种方式输出。
基于神经网络的BP算法研究及在网络入侵检测中的应用
基于神经网络的BP算法研究及在网络入侵检测中的应用罗俊松【摘要】通过分析BP神经网络用于检测系统存在的问题,在传统BP算法基础上,采用自动变速率学习法,引入遗忘因子、随机优化算子,并将其用于网络入侵检测系统.仿真实验结果表明,改进的BP神经网络算法用于入侵检测,速度快、易收敛,目标精度0.02很快达到.改进的BP神经网络算法的检测率、漏测率、误报率分别为96.17%,3.83%,4.15%,检测率比未改进的BP算法要高出11.65%,漏测率比未改进的BP算法要低10.66%,误报率比未改进的BP算法要低4.07%,改进算法优越性明显.%By analyzing the problems of BP neural network applied to the detection system,the automatic variable - rate learning method,forgetting factor and random optimization operator are introduced into the BP algorithm on the basis of traditional BP algorithm. The BP algorithm is applied to the network intrusion detection system. The simulation results show that the im-proved BP neural network algorithm applied to intrusion detection has the characteristics of fast speed and easy convergence, and can quickly obtain the target accuracy of 0.02. The detection rate,missed detection rate and false alarm rate of the improved BP neural network algorithm can reach up to 96.17%,3.83% and 4.15% respectively,whose detection rate is 11.65% higher than that of the traditional BP algorithm,the missed detection rate is 10.66% lower than that of the traditional BP algorithm,and the false alarm rate is 4.07% lower than that of the traditional BP algorithm. The superiority of the algorithm is obvious.【期刊名称】《现代电子技术》【年(卷),期】2017(040)011【总页数】4页(P91-94)【关键词】BP算法;入侵检测;神经网络;随机优化算子【作者】罗俊松【作者单位】成都理工大学信息科学与技术学院,四川成都 610059【正文语种】中文【中图分类】TN915.08-34;TP393.08随着通信技术和计算机技术的快速发展,计算机的网络规模越来越大,通信系统也越来越复杂,由于计算机网络本身具有漏洞,同时还有黑客对网络进行攻击,因此计算机网络受到的威胁和攻击日益增加[1⁃3]。
BP神经网络在入侵检测系统中的应用研究
BP神经网络在入侵检测系统中的应用研究
薛琴
【期刊名称】《信息网络安全》
【年(卷),期】2011(000)011
【摘要】文章针对传统的入侵检测系统误报率和漏报率较高、检测效率和智能化程度不足的缺点,提出了基于BP神经网络的入侵检测系统,详细介绍了BP神经网络的工作原理,分析了基于BP神经网络的入侵检测系统的设计和实现,通过仿真实验表明这种神经网络和遗传算法可以有效地应用到入侵检测系统中.
【总页数】3页(P68-69,90)
【作者】薛琴
【作者单位】湖北警官学院,湖北武汉430034
【正文语种】中文
【中图分类】TP393.08
【相关文献】
1.属性数据融合算法在分布式入侵检测系统中的应用研究 [J], 潘晓君;张佑春
2.数据挖掘算法在入侵检测系统中的应用研究 [J], 林国庆
3.数据挖掘技术在入侵检测系统中的应用研究 [J], 骆焦煌
4.基于BP神经网络的入侵检测系统在TDCS网络中的应用 [J], 宗盼;曹宏丽
5.BP神经网络在入侵检测系统中的应用及优化 [J], 高小伟;蒋晓芸
因版权原因,仅展示原文概要,查看原文内容请购买。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
收稿日期:2002-10-20.作者简介:肖道举(1954-),男,副教授;武汉,华中科技大学计算机科学与技术学院(430074).BP 神经网络在入侵检测中的应用肖道举 毛 辉 陈晓苏(华中科技大学计算机科学与技术学院)摘要:对如何检测未知入侵手段的问题进行了探讨.在被监测程序输入条件已知情况下,借助程序行为简档,给出了一种基于BP 神经网络的入侵检测方法,阐述了所用BP 神经网络的基本结构以及训练方法,最后在LIN U X 环境下进行了实验验证.结果表明,在程序行为简档内容比较清晰的条件下,运用BP 神经网络检测入侵,可在一定程度上提高入侵检测系统的准确检测率.关 键 词:入侵检测;BP 神经网络;程序行为简档中图分类号:T P393 文献标识码:A 文章编号:1671-4512(2003)05-0006-03 网络入侵本质上都是入侵者利用服务器提供的服务程序的弱点进行非法操作以期获得所想要得到的结果.例如LINUX 下的lpr ,sendm ail ,xterm 和eject 等被广泛使用的服务程序都存在一些缓冲区溢出的漏洞,这些漏洞容易被网络入侵者用来获取root 权限.由于这些程序漏洞不易被发现,而且很难修补,无法通过软件升级完全解决,这就要求入侵检测系统应该能够对此类利用服务程序漏洞的攻击作出正确响应[1].本文依据系统服务程序行为简档,提出了一种基于BP 神经网络的入侵检测方法,以求提升入侵检测系统的准确检测率.1 程序行为分析与检测方法的基本特征1.1 程序行为分析检测未知入侵手段的一种方法是通过建立用户活动简档来记录所有用户在服务器上的活动情况.该方法的基础建立在对用户历史行为的学习之上,通过不断更新用户活动简档,并以此与当前用户行为相比较,一旦发现当前用户行为显著背离正常行为,系统就认定发生了网络入侵.基于用户活动简档的入侵检测方法通常基于这样一个假设,即:入侵者总是突然地改变其行为.因此,如果入侵者缓慢地改变他的行为特征,往往易导致入侵检测系统产生漏报.应该看到,与用户行为相比,系统服务程序则具有相对稳定的行为特征,因而本文选取系统服务程序的行为作为研究对象,以期尽可能多地发现未知的入侵行为.基本做法是对不同系统服务程序分别建立程序行为简档,同时在分析这些简档的基础上求取正常程序行为的期望值,一旦当前程序行为偏离给定期望值过大,即认为攻击发生.这样做的一个优点在于不再需要重复记录用户的正常行为,大大降低了系统开销,同时也可避免因入侵者行为的缓慢改变而导致的系统漏报.一般而言,程序行为特征至少可表现在以下两个方面:程序的外部特征.例如它的输入;程序的内部特征.例如某些内部变量的取值.1.2 检测方法的基本特征对程序行为的检测实际上就是对系统服务程序的行为进行分类和识别.为了达到这一目的,要求入侵检测系统不仅应具有系统中每一个服务程序行为模式的知识,而且还应能适应程序行为的改变.显然,采用传统的统计分析方法很难满足这些要求.为此,本文采用BP 神经网络作为入侵检测的基本分析工具.神经网络有多种模型,本文采用了误差反向传递神经网络(Erro r Back Propagation Neural Netw ork ,简称BP -NN ).BP -NN 采用BP (Back Propagation )算法进行训练.该算法实际上是工程上常用的最小均方误差算法的一种广义形式,它使用梯度最速下降搜索技术,按代价函数(网络的实际输出和期待输出的均方误差)最小的准则递归求解网络的权值和各结点的阈值[2].第31卷第5期 华 中 科 技 大 学 学 报(自然科学版) V ol .31 No .52003年 5月 J .Huazhong U niv .of Sci .&Tech .(N ature Science Editio n ) M ay 2003DOI :10.13245/j .hust .2003.05.0032 神经网络训练过程为了对程序行为进行准确的判别,必须训练一个合适的神经网络.神经网络的训练过程可分为以下三个阶段:收集训练数据;训练神经网络;系统测试与性能评估.2.1 训练数据的收集为了保证神经网络的准确判断率,必须收集丰富的且具有代表性的训练数据.从程序行为判别这一角度出发,用来训练神经网络的数据既应包含导致正常程序行为的程序输入,也应包含导致恶意程序行为的程序输入.训练数据的来源分为两个部分:一部分来自于服务器的服务记录,包括导致正常程序行为的程序输入和导致异常程序行为的程序输入;另一部分是随机生成的字符串,视作导致正常程序行为的程序输入.2.2 BP 神经网络的训练图1给出了BP 神经网络训练系统的总体结构.其中预处理模块主要用来将被监测程序的输入转换成可计算的数字量.图1 BP 神经网络训练系统的总体结构BP 神经网络要求在有导师条件下训练.有导师的训练除要求恰当选取组成训练集的无素外,还需对导致正常程序行为的程序输入和导致异常程序行为的程序输入进行恰当分类.因此不宜进行在线训练.对神经网络的整个训练过程可以分为多个阶段,每个阶段都是全体训练数据集的一次遍历,整个训练过程就是不断地重复这样的训练阶段,直到网络判断整体误差不再减小或者训练阶段数达到一个较大给定值为止.要强调的是,在训练神经网络过程中,如果需向训练集添加新元素,则整个训练过程必须从头开始而不是仅仅只对新添加的元素进行训练.2.3 BP 神经网络的结构图2给出了一个含隐层、输入层和输出层的典型BP 神经网络基本结构.本文所用神经网络中各网络结点的传递函数为Sigmoid 函数O j =11+ex p -∑W ij O i +Q j,式中,O j 是网络结点j 的输出,Q j 是结点j 的阈值;W ij 是从结点i 到j 的权值.图2 BP 神经网络结构在图2中,输入向量由被监控的系统服务程序的部分输入以及程序内部部分变量的取值所组成.输入分量在提交给BP 神经网络之前,经由预处理模块完成数值化.输出向量包含两个分量y 1与y 2,它们被用来表示正常程序行为和异常程序行为的概率,取值在0~1之间,并设定θ1和θ2分别表示正常程序行为和异常程序行为的阈值.因此,若:a .y 1=1,y 2=0,表示程序行为正常;b .y 1=0,y 2=1,表示程序行为异常;c .y 1>y 2且y 1≥θ1,认为程序行为正常,同时给出必要的提示信息;d .y 1<y 2且y 2≥θ2,认为程序行为异常,系统报警;e .其他情况需结合另外的检测手段进一步判断.2.4 神经网络的测试与选择神经网络存在的一个主要问题就是其隐层结构的不确定性.换言之,神经网络的性能在很大程度上取决于如何恰当确定隐层结点的数量,而隐层结点的确定又与特定的应用紧密相关.此外,由于神经网络所拥有的知识主要取决于网络连接的权值与结点阈值,因此网络权值与结点阈值的初始值不仅仅影响到网络的收敛速度,而且可能对最终网络的性能会有很大影响.遗憾的是,目前很难找到一种恰当的方法来确定神经网络的初始状态,一般都是采用一组随机值来初始化网络的权值和阈值[3].基于以上考虑,在取相同训练集的前提下,应选取若干不同结构的BP 神经网络,分别对其进行训练,从中选出性能最好的神经网络.由于不同BP 神经网络在结构上存在的差异主要体现在隐层结点数和隐层结构,因而在不失一般性的原则下,本文选取了隐层结点数分别为10,15,20,25,7第5期 肖道举等:BP 神经网络在入侵检测中的应用 30,35,40,50和60的九种不同结构的神经网络进行实验.同时,对每一种神经网络,采用10组随机值初始化神经网络的权值和阈值.这样对每一个被监测的系统程序来说,将有90个神经网络需要训练.90个神经网络被训练完之后,分别对其进行性能测试(测试数据不包括在训练数据集之中),从中挑选出对测试数据集的总体判断正确率最高的神经网络,用于在线使用.3 实验分析举例为了检验本文所给出的入侵检测方法是否能够很好地检测出针对系统服务程序的非法使用,在LIN UX环境下,对系统服务程序lpr的使用情况进行了测试.lpr是一个提供远程打印服务的系统程序,它存在缓冲区溢出漏洞,容易被攻击者利用来执行一个具有roo t权限的shell程序,或者其他一些root命令.攻击者为了利用lpr存在的缓冲区溢出漏洞进行攻击,首先需要设计一个特殊的攻击程序,该程序至少具有如下特征:a.会自动生成一个很长的字符串;b.在上述字符串的结尾自动加上一串起攻击作用的字符,用来覆盖堆栈的返回地址指针,同时将新的返回地址指针指向内存中另一条指令的入口地址(通常这个指令是/bin/sh);c.为了使系统缓冲区溢出,被用来攻击的字符串总长度应达4096个字符以上.由于攻击程序所生成的字符串的最后一部分字符(一般不长于75字符)是真正产生实质性攻击的,因此,可以取攻击字符串的最后75个字符作为导致异常程序行为的程序输入来训练神经网络.另一方面,正常的lpr输入字符串一般不长于75个字符(不足75个字符时,以NULL填充),因此也用来可以作为导致正常程序行为的程序输入来训练神经网络.显然,神经网络的输入向量包含75个分量.实验中,共收集了800例数据,其中导致异常程序行为的程序输入200例.具体实验时,将800例数据平均分为两部分(各含100例导致异常程序行为的程序输入),一部分用于训练神经网络,另一部分用于测试神经网络性能.测试结果:隐层结点数为25个的BP神经网络表现最好,其误报数为5,漏报数为16. 预测正确率= 1-预测出错的实例数测试实例总数×100%=(1-21/400)×100%=94.75%. 实验结果表明,在程序行为简档比较清晰的情况下,使用BP神经网络作为入侵检测的一种方法,灵活性较好、自适应能力较强、预测精度较高,能在一定程度上实现对未知入侵行为的检测.参考文献[1]Lunt T.A survey of intrusion de tection techniques.Computers and Security,1993,12:405~418[2]Jain A,M ao J,M ohiuddin K M.Artificial neural net-w orks:a tuto rial.I EEE Computer,1996,29(3): 31~33[3]Lane T,Bro dley C.An application of machine learningto anomaly detection.in:Stephen B ed.The20th Na-tio nal I nformation Systems Security Conference.Balti-more,1997.Baltimore:Boulder.CO.,1997.366~377The application of BP-neural network in the intrusion detectionXiao Daoju Mao Hui Chen X iaosuA bstract:In order to detect the unknow n intrusion into system service,this paper presented a study of BP neural netw ork in the intrusion detection system under the condition that the behavio r of program w as pro-filed.The structure and training method of neural netw ork w as explained.With this method,an experi-ment based on LIN UX platfo rm was given.The result showed that the accuracy of detection based on BP neural netw ork w as very satisfacto ry if the profile of the prog ram behavior w as clear.Key words:intrusion detection;BP neural netw ork;program behavior profileXiao Daoju Assoc.Prof.;College of Computer Sci.&Tech.,Huazhong Univ.of Sci.&Tech., Wuhan430074,China.8 华 中 科 技 大 学 学 报(自然科学版) 第31卷。