基于神经网络的实时入侵检测系统的研究和实现
合集下载
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
例, 特作了两个实验来说明( 丛早上 8: 00 到晚上 12: 00) 。一个
是 捕 获 使 用 公 有 IP 地 址( 221.197.82.196) 的 主 机 收 到 的 数 据
包; 另一个是捕获内网的一个使用私有 IP 地址( 192.168.0.119)
的主机收到的数据包, 解析结果如表 1 所示。
2007, 43( 30) 121
以发现一些新的攻击行为模式; 当人工神经网络学会攻击行为 模式, 就能够检测出一些己知攻击行为的变体。( 4) 人工神经网 络内部的运算是数值计算, 而且是并行的, 提高了检测的处理 速度, 适合于实时处理。所以, 近几年来, 它得到了国内外很多 学者的关注。
文 献[4]可 能 是 最 早 将 人 工 神 经 网 络 应 用 于 入 侵 检 测 领 域 的研究工作, Fox 等提出将人工 神 经 网 络 作 为 统 计 分 析 工 具 应 用 于 计 算 机 网 络 上 的 病 毒 及 其 它 恶 意 程 序 的 检 测 。Tan[5]提 出 一 个自治的用户行为异常检测原型系统。Kumar 和 Venkateram[6] 提出一个全面的网络安全管理框架, 其中包括一个基于人工神 经网络的入侵检测模型系统。Ghosh 等[7]将人 工 神 经 网 络 用 于 检 测 对 软 件 程 序 的 异 常 操 作 和 未 知 入 侵 。 Lippmann 和 Cunningham[8]提 出 使 用 人 工 神 经 网 络 来 提 高 基 于 关 键 字 的 基 于 网 络 的 入 侵 检 测 系 统 的 检 测 性 能 。Cannady[9]提 出 一 个 混 合 人 工 神经网络原型系统用于误用检测, 该原型系统包括一个自组织 特 征 映 射( Self- Organization Feature Map, SOFM) 人 工 神 经 网 络和一个多层前馈人工神经网络。
摘 要: 根据 TCP/IP 协议族攻击的特征, 提出在传输层上将捕获的数据包分成三类( UDP、TCP 和 ICMP) 分别进行编码并输入到三 个不同的神经网络中训练、检测。根据以上思想设计并实现了一个基于 BP 神经网络的实时入侵检测系统的原型。该原型系统具有 通用性和可扩展性, 能够根据需要灵活调整网络结构和训练参数, 可以发展为更精确的网络入侵检测系统。最后给出了实验设计 及其结果, 证明了文中对数据包分类处理的方法既能减少网络训练的次数, 又能提高网络检测的精度。 关键词: 网络安全; 入侵检测; BP 神经网络; 传输层数据包 文章编号: 1002- 8331( 2007) 30- 0120- 04 文献标识码: A 中图分类号: TP393
Abstr act: According to the characteristics of the attacks against TCP/IP protocol, transferring layer data packets can be classified into three types ( namely UDP, TCP and ICMP) and handled respectively.The three types of packets are used as input to train and formulate different neural networks for intrusion detection.With the proposed method, a novel instant intrusion detection system is designed and achieved.The system has favorable usability, extensibility and the parameters of the network structure can be flexibly adjusted to achieve satisfactory detection performance.Experimental results prove that disposing data packets respectively can reduce the time of neural network training and improve the accuracy of network intrusion detection. Key wor ds: network security; intrusion detection; BP neural network; packets of transferring layer
ZHONG Zhao - man, LI Cun - hua, GUAN Yan.Instant intr usion detection system based on neur al networ k.Computer Engineer ing and Applications, 2007, 43( 30) : 120- 123.
1.连云港师范高等专科学校 计算机科学与技术系, 江苏 连云港 222006 2.扬州大学 信息工程学院, 江苏 扬州 225009 3.淮海工学院, 计算机科学与技术系, 江苏 连云港 222005 1.Department of Computer, Lianyungang Teacher’s College, Lianyungang, Jiangsu 222006, China 2.College of Information Engineering, Yangzhou University, Yangzhou, Jiangsu 225009, China 3.Department of Computer Science, Huaihai Institute of Technology, Lianyungang, Jiangsu 222005, China E- mail: zhongzhaoman@163.com
1 引言
目前, 网络的攻击手段越来越多, 入侵手段也不断更新。抵 制攻击常用的机制是防火墙, 它是被动的网络安全机制, 对许 多攻击难以检测, 尤其是来自内部网络的攻击。入侵检测它弥 补了传统安全技术的不足, 是一种主动的防御技术。根据 CIDF ( Common Intrusion Detection Framework) 标准[1]。
基 于 主 机 的 入 侵 检 测 系 统 的 一 个 特 例 。三 种 入 侵 检 测 手 段 都 具 有自己的优点和不足, 互相可作为补充。
不同的入侵检测算法将直接决定本系统的执行效率, 所以 选 用 好 的 入 侵 检 测 算 法 是 非 常 重 要 的 。入 侵 检 测 算 法 大 致 有 简 单 模 式 匹 配 、专 家 系 统 、模 型 推 理 、状 态 转 换 分 析 等 。 目 前 多 数 商 业 化 的 入 侵 检 测 产 品 都 采 用 简 单 模 式 匹 配 。其 特 点 是 原 理 简 单 、扩 展 性 好 、检 测 效 率 高 、可 以 实 时 检 测 , 但 只 能 适 用 于 比 较 简单的攻击方式, 并且误报率高。由于人工神经网络在入侵检 测中具有如下应用优势[3]:( 1) 人工神经网络具有卓越的非线性 映射能力和知识归纳学习, 可以通过对大量实例样本反复学习 来逐渐调整和修改人工神经网络的权值分布, 使人工神经网络 收敛于稳定状态, 从而完成知识的学习, 获得预测能力。( 2) 人 工神经网络能不断接受新的实例样本, 并不断调整人工神经网 络的权值分布, 自适应能力强, 具有动态特性。( 3) 人工神经网 络具有良好的知识推理能力, 当人工神经网络学会正常行为模 式, 就能够对偏离正常行为特征轮廓的事件做出反应, 进而可
120 2007, 43( 30)
Computer Engineering and Applications 计算机工程与应用
基于神经网络的实时入侵检测系统的研究和实现
仲兆满 1, 李存华2, 3, 管 燕 1, 2 ZHONG Zhao- man1, LI Cun- hua2, 3, GUAN Yan1, 2
表 1 传输层上不同数据包的比例
%
IP 地址类型 公有 私有
TCP 包 62.6 52.3
UDP 包 12.3 19.7
ICMP 包 8.6 20.4
其他包 16.5 7.6
据区中的数据是由哪一种高层协议产生, 利用不同的协议数据 包可以实施不同的攻击行为, 因此协议字段也可以作为检测的 特征; 有些攻击是通过频繁发送数据包从而耗尽目标主机资源 来实现的, 因此可以把时间戳作为入侵检测的参考特征。
2 入侵检测的数据包解析层的确定
在网络不同的层上进行检测将直接决定数据包的解析的
简单与复杂。常见的检测有的是在传输层, 有的是在应用层。确 定在传输层进行入侵检测, 对捕获的数据包主要分成三种类 型: TCP 包、UDP 包、ICMP 包。这样做既能简化数据包的解析工 作, 又能减少神经网络输入层的输入数据的类型。从而可以把 神经网络进行三分类, 分别用于对不同的传输层的数据包进行 训 练 、检 测 。 为 了 说 明 三 种 不 同 的 数 据 包 在 网 络 的 传 输 层 的 比
IDS 就 是 通 过 从 计 算 机 网 络 或 计 算 机 系 统 中 的 若 干 关 键 点收集信息并对其进行分析, 从中发现网络或系统中是否有违 反安全策略的行ቤተ መጻሕፍቲ ባይዱ和遭到袭击的迹象的网络安全技术。
根据入侵检测系统的信息源, 通常将入侵检测系统分为三 类[2]: 基于主机的入侵 检 测 系 统( Host- Based IDS) 、基 于 网 络 的 入 侵 检 测 系 统( Network- Based IDS) 和 基 于 应 用 程 序 的 入 侵 检 测系统( Application- Based IDS) 。基于主机的入侵检测系统检 测 的 信 息 主 要 来 自 操 作 系 统 的 审 计 踪 迹 和 系 统 日 志 。基 于 网 络 的 入 侵 检 测 系 统 的 信 息 源 是 网 络 数 据 包 。基 于 应 用 程 序 的 入 侵 检测系统的信息源则是应用程序产生的事务日志, 它实际上是
作者简介: 仲兆满( 1977- ) , 男, 讲师, 主要研究方向为智能信息处理、网络安全等; 李存华( 1963- ) , 男, 教授, 博士, 主要研究方向为网络安全、数据 挖掘等; 管燕( 1976- ) , 女, 讲师, 主要研究方向为图像处理、模式识别等。
仲兆满, 李存华, 管 燕: 基于神经网络的实时入侵检测系统的研究和实现
TCP 报 文 中 包 含 6 个 标 志 位 : urg, ack, psh, rst, syn 和 fin。 通过对这些标志位的设置, 可以指出报文段的目的和内容。攻 击者可以通过设置非法的标志位或标志位组合来构造恶意的 报文, 因此, 这 6 个标志位及其组合方式可以作为检测的参考 特征。
在 TCP/IP 协议组中 , 用 户 数 据 报 协 议 UDP 不 仅 传 送 用 户 数据报, 还包括发送方和接收方的协议端口号, 这就使得攻击 者可以通过设置源端口或目的端口来构造恶意的报文, 因此, UDP 数据包的端口号可以作为入侵检测的参考特征。
在国内, 也有许多的学者从事这方面的研究。潘志松综合 利用数据挖掘、人工免疫、灰色系统等理论和技术, 提出了基于 人 工 神 经 网 络 的 入 侵 检 测 模 型 [10]。连 一 峰 用 遗 传 算 法 来 优 化 神 经网络的权值和阈值 , 从而可以消除“黑箱”问题[11]。 杨 森 等 中 提出了一种应用自组织特征映射神经网络技术构建的分布式 入 侵 检 测 系 统 模 型 [12]。李 之 堂 等 将 模 糊 神 经 网 络 应 用 于 入 侵 检 测 领 域[13]。