神經(jīng)網(wǎng)絡在高效智能入侵檢測系統(tǒng)中的應用_第1頁
神經(jīng)網(wǎng)絡在高效智能入侵檢測系統(tǒng)中的應用_第2頁
神經(jīng)網(wǎng)絡在高效智能入侵檢測系統(tǒng)中的應用_第3頁
神經(jīng)網(wǎng)絡在高效智能入侵檢測系統(tǒng)中的應用_第4頁
神經(jīng)網(wǎng)絡在高效智能入侵檢測系統(tǒng)中的應用_第5頁
已閱讀5頁,還剩15頁未讀, 繼續(xù)免費閱讀

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進行舉報或認領

文檔簡介

1、2022-3-26神經(jīng)網(wǎng)絡在高效智能入侵檢測系神經(jīng)網(wǎng)絡在高效智能入侵檢測系統(tǒng)中的應用統(tǒng)中的應用2022-3-261. 入侵檢測系統(tǒng)入侵檢測系統(tǒng)是動態(tài)安全技術中最核心的技術之一。它通過對計算機網(wǎng)絡或計算機系統(tǒng)中若干關鍵點收集信息并對其進行分析,從中發(fā)現(xiàn)網(wǎng)絡或系統(tǒng)中是否有違反安全策略的行為和被攻擊的跡象。(內(nèi)部和外部)誤報率、漏報率高。原因:傳統(tǒng)IDS所提取的用戶行為特征不能很好的反映實際的情況,所建立的正常模式或者異常模式 不夠完善?;谏窠?jīng)網(wǎng)絡的高效智能入侵檢測系統(tǒng)。2022-3-26 基于神經(jīng)網(wǎng)絡的高效智能入侵檢測系統(tǒng)構(gòu)想人工神經(jīng)網(wǎng)絡具體的實時入侵檢測模型圖2022-3-262. 構(gòu)想 把神

2、經(jīng)網(wǎng)絡作為異常檢測系統(tǒng)的統(tǒng)計分析部分的一種替代方法,用來識別系統(tǒng)用戶的典型特征,對用戶既定行為的重大變化進行鑒別。將模式匹配模式匹配與人工神經(jīng)網(wǎng)絡技術人工神經(jīng)網(wǎng)絡技術結(jié)合在一起,構(gòu)成一個以已知的入侵規(guī)則為基礎、可擴展可擴展的動態(tài)入侵事件檢測系統(tǒng),自適應的進行特征提取與異常檢測,實現(xiàn)高效的入侵檢測及防御。用神經(jīng)網(wǎng)絡來過濾出接收數(shù)據(jù)當中的可疑事件,并把這種事件轉(zhuǎn)交給系統(tǒng)作進一步的處理。 這種結(jié)構(gòu)可以通過減少系統(tǒng)的開銷和IDS誤報率來提高監(jiān)測系統(tǒng)的效用。2022-3-263. 人工神經(jīng)網(wǎng)絡人工神經(jīng)網(wǎng)絡(Artificial Neural Network,ANN)3層前向人工神經(jīng)網(wǎng)絡2022-3-26

3、 ANN是理論化的人腦神經(jīng)網(wǎng)絡的數(shù)學模型,是基于模仿大腦神經(jīng)網(wǎng)絡結(jié)構(gòu)和功能而建立的一種信息處理系統(tǒng)。實際上是由大量簡單元件相互連接而成的復雜網(wǎng)絡,具有高度的非線性,能夠進行復雜的邏輯操作和非線性關系實現(xiàn)的系統(tǒng)。ANN采取樣本學習的方式,直接從過程的輸入輸出關系提取信息,并反映到神經(jīng)原之間相互作用的權(quán)值上。整個網(wǎng)絡是一種并行協(xié)同處理系統(tǒng);具有一定的智能特點,有自適應、自學習、自組織的能力。2022-3-26 將神經(jīng)網(wǎng)絡用于攻擊檢測只要提供系統(tǒng)的審計數(shù)據(jù),神經(jīng)網(wǎng)絡就可以通過自學習,從中提取正常的用戶或系統(tǒng)活動的特特征模式征模式,獲得預測的能力,而不需要獲取描述用戶行為特征的特征集以及用戶行為特征測

4、度的統(tǒng)計分布。可以向神經(jīng)網(wǎng)絡展示新發(fā)現(xiàn)的入侵攻擊實例,通過再訓練使神經(jīng)網(wǎng)絡能夠?qū)π碌墓裟J疆a(chǎn)生反應,從而使入侵檢測系統(tǒng)具有自適應的能力。當神經(jīng)網(wǎng)絡學會了系統(tǒng)正常工作模式后,能夠?qū)ζx系統(tǒng)正常工作的事件做出反應,進而可以發(fā)現(xiàn)一些新的攻擊模式。2022-3-26 我們擬采用3層前向人工神經(jīng)網(wǎng)絡見圖(1)。3層前向人工神經(jīng)網(wǎng)絡由輸入層、隱層和輸出層組成,網(wǎng)絡中各神經(jīng)元接受前一級輸入,單輸出到下一級。訓練過程中,將在這個3層前向神經(jīng)網(wǎng)絡的基礎上應用經(jīng)過改進的反向傳播學習算法(BP)算法。在本模型中,取Sigmoid函數(shù) 作為隱層神經(jīng)元的激發(fā)函數(shù)。輸出層神經(jīng)的輸入信息的計算公式與隱層的輸入公式類似,輸

5、出層神經(jīng)元的激發(fā)函數(shù)可以取比例系數(shù)為1的線性函數(shù),也可以取非線性函數(shù)。2022-3-26圖1 三層前向人工神經(jīng)網(wǎng)絡 1782022-3-26 圖2 模型原理圖2022-3-26 本模型中,首先需要收集一定量的網(wǎng)絡數(shù)據(jù)樣本供神經(jīng)網(wǎng)絡訓練模塊學習,基本調(diào)節(jié)好神經(jīng)網(wǎng)絡的權(quán)值和閾值,并把這些信息交給神經(jīng)網(wǎng)絡過濾器使用。這樣神經(jīng)網(wǎng)絡過濾器可以開始發(fā)揮功能了。在當前的權(quán)值和閾值下,過濾器一旦發(fā)現(xiàn)可疑攻擊,就把數(shù)據(jù)交給模式匹配模塊進行傳統(tǒng)的分析。而模式匹配模塊對于從數(shù)據(jù)庫中獲得的網(wǎng)絡SQLServer數(shù)據(jù)的所有分析結(jié)果,都要提供給神經(jīng)網(wǎng)絡訓練模塊。神經(jīng)網(wǎng)絡訓練模塊依靠不斷獲得的這些攻擊或正常的網(wǎng)絡數(shù)據(jù)信息,

6、本身進行自適應的調(diào)整,更新神經(jīng)網(wǎng)絡的權(quán)值和閾值,同時也就更新了神經(jīng)網(wǎng)絡過濾器的設置,從而提高了過濾器對于攻擊的識別分析能力。這完全是一個在實際應用中動態(tài)自適應的過程。2022-3-26 神經(jīng)網(wǎng)絡學習樣本的收集和結(jié)構(gòu)設計神經(jīng)網(wǎng)絡學習樣本的收集和結(jié)構(gòu)設計 收集數(shù)據(jù)包需要注意數(shù)據(jù)包樣本應該具有代收集數(shù)據(jù)包需要注意數(shù)據(jù)包樣本應該具有代表性,廣泛性,要考慮到各種模式之間的平衡。表性,廣泛性,要考慮到各種模式之間的平衡。 從網(wǎng)探那里獲得完整的包,通過預處理程序過濾出TCP包,然后取包頭的重要字段存入數(shù)據(jù)庫,組成大部分神 經(jīng)網(wǎng)絡的輸入。這些字段從IP頭和TCP頭中抽取, IP頭中抽 取的字段包括頭長度、總長

7、度、生命期、源地址、目的地址; TCP頭中抽取的字段包括源端口、目的端口、控制位。這些字段信息還需進行預處理,才能作為神經(jīng)網(wǎng)絡的輸入。 2022-3-26 神經(jīng)網(wǎng)絡的訓練和檢測神經(jīng)網(wǎng)絡的訓練和檢測 輸入的樣本共有8個字 段,所以網(wǎng)絡的輸入層設計為8個神經(jīng)元,輸出層有1個神經(jīng) 元,網(wǎng)絡輸出值在 (0 ,1) 之間, 0表示無攻擊, 1表示有攻擊。隱含層的神經(jīng)元數(shù)目確定比較復雜,并無確定的法則,只能通過一些經(jīng)驗法則,借助于實驗來確定。 我們采用的神經(jīng)網(wǎng)絡的學習算法是改進的反向傳播學習算法算法,增加了附加動量項,輸入層激發(fā)函數(shù)為線性(BP )函數(shù),隱藏層和輸出層的激發(fā)函數(shù)都為Sigmoid函數(shù)。在反

8、向過程中,將求得的神經(jīng)網(wǎng)絡輸出值與期望輸出值相比較,并將比較所得差別作為誤差輸回到神經(jīng)網(wǎng)絡中,以調(diào)整神經(jīng)網(wǎng)絡的權(quán)值和閾值。2022-3-26 訓練的主要目的就是利用反向?qū)W習來獲得理想的權(quán)值和閾值。由于訓練數(shù)據(jù)的量一般都比較大,我們采用批處理的方法,即對一批樣本進行計算后,分別求出這批樣本的輸出誤差及其對應的連接權(quán)修正值,然后求出這些誤差的均值和連接權(quán)修正值的均值,用均值連接權(quán)進行一次修正。這樣可以提高網(wǎng)絡學習的速度。神經(jīng)網(wǎng)絡經(jīng)過訓練后,生成了合適的權(quán)值和閾值,有了權(quán)值和閾值,神經(jīng)網(wǎng)絡便能對網(wǎng)絡數(shù)據(jù)進行檢測。經(jīng)過訓練后的神經(jīng)網(wǎng)絡具有非常快的檢測速度,實時性將非常強。2022-3-264. 結(jié)論下

9、面是在MATLAB環(huán)境下實現(xiàn)的實驗結(jié)果。由實驗結(jié)果可知,在學習到14步或9步時,前向神經(jīng)網(wǎng)絡就可以達到要求的精度。由此可見,利用神經(jīng)網(wǎng)絡也不失為一種較好的實現(xiàn)入侵檢測的方法。2022-3-262022-3-26TRAINLM, Epoch 0/1000, MSE 0.311482/0.01, Gradient 0.88205/1e-010TRAINLM, Epoch 14/1000, MSE 0.00357177/0.01, Gradient 0.0709494/1e-010TRAINLM, Performance goal met.Y = 0.9967 0.0006 0.0009 0.001

10、9 0.0000 0.9833 0.0480 0.0043 0.0101 0.0105 0.9359 0.0908 0.0042 0.1070 0.0311 0.85862022-3-262022-3-26TRAINLM, Epoch 0/1000, MSE 0.291114/0.01, Gradient 0.966068/1e-010TRAINLM, Epoch 9/1000, MSE 0.000700908/0.01, Gradient 0.0522145/1e-010TRAINLM, Performance goal met.Y = 0.9627 0.0003 0.0001 0.0004 0.0000 0.9948 0.0027 0.0012 0.0000 0.0005 0.8082 0.0001 0.0425 0.0001 0.0022 0.92712022-3-26 1. Kevin M. Passino, S

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預覽,若沒有圖紙預覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負責。
  • 6. 下載文件中如有侵權(quán)或不適當內(nèi)容,請與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準確性、安全性和完整性, 同時也不承擔用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。

評論

0/150

提交評論