神經(jīng)網(wǎng)絡(luò)在高效智能入侵檢測系統(tǒng)中的應用課件

神經(jīng)網(wǎng)絡(luò)在高效智能入侵檢測系統(tǒng)中的應用神經(jīng)網(wǎng)絡(luò)在高效智能入侵檢測系統(tǒng)中的應用1.入侵檢測系統(tǒng)入侵檢測系統(tǒng)是動態(tài)安全技術(shù)中最核心的技術(shù)之一。它通過對計算機網(wǎng)絡(luò)或計算機系統(tǒng)中若干關(guān)鍵點收集信息并對其進行分析，從中發(fā)現(xiàn)網(wǎng)絡(luò)或系統(tǒng)中是否有違反安全策略的行為和被攻擊的跡象。（內(nèi)部和外部）誤報率、漏報率高。原因：傳統(tǒng)IDS所提取的用戶行為特征不能很好的反映實際的情況，所建立的正常模式或者異常模式不夠完善?；谏窠?jīng)網(wǎng)絡(luò)的高效智能入侵檢測系統(tǒng)。2024/12/25神經(jīng)網(wǎng)絡(luò)在高效智能入侵檢測系統(tǒng)中的應用

基于神經(jīng)網(wǎng)絡(luò)的高效智能入侵檢測系統(tǒng)構(gòu)想人工神經(jīng)網(wǎng)絡(luò)具體的實時入侵檢測模型圖2024/12/25神經(jīng)網(wǎng)絡(luò)在高效智能入侵檢測系統(tǒng)中的應用2.構(gòu)想

把神經(jīng)網(wǎng)絡(luò)作為異常檢測系統(tǒng)的統(tǒng)計分析部分的一種替代方法，用來識別系統(tǒng)用戶的典型特征，對用戶既定行為的重大變化進行鑒別。將模式匹配與人工神經(jīng)網(wǎng)絡(luò)技術(shù)結(jié)合在一起，構(gòu)成一個以已知的入侵規(guī)則為基礎(chǔ)、可擴展的動態(tài)入侵事件檢測系統(tǒng)，自適應的進行特征提取與異常檢測，實現(xiàn)高效的入侵檢測及防御。用神經(jīng)網(wǎng)絡(luò)來過濾出接收數(shù)據(jù)當中的可疑事件，并把這種事件轉(zhuǎn)交給系統(tǒng)作進一步的處理。這種結(jié)構(gòu)可以通過減少系統(tǒng)的開銷和IDS誤報率來提高監(jiān)測系統(tǒng)的效用。2024/12/25神經(jīng)網(wǎng)絡(luò)在高效智能入侵檢測系統(tǒng)中的應用3.人工神經(jīng)網(wǎng)絡(luò)人工神經(jīng)網(wǎng)絡(luò)（ArtificialNeuralNetwork,ANN)3層前向人工神經(jīng)網(wǎng)絡(luò)2024/12/25神經(jīng)網(wǎng)絡(luò)在高效智能入侵檢測系統(tǒng)中的應用

ANN是理論化的人腦神經(jīng)網(wǎng)絡(luò)的數(shù)學模型，是基于模仿大腦神經(jīng)網(wǎng)絡(luò)結(jié)構(gòu)和功能而建立的一種信息處理系統(tǒng)。實際上是由大量簡單元件相互連接而成的復雜網(wǎng)絡(luò)，具有高度的非線性，能夠進行復雜的邏輯操作和非線性關(guān)系實現(xiàn)的系統(tǒng)。ANN采取樣本學習的方式，直接從過程的輸入輸出關(guān)系提取信息，并反映到神經(jīng)原之間相互作用的權(quán)值上。整個網(wǎng)絡(luò)是一種并行協(xié)同處理系統(tǒng)；具有一定的智能特點，有自適應、自學習、自組織的能力。2024/12/25神經(jīng)網(wǎng)絡(luò)在高效智能入侵檢測系統(tǒng)中的應用

將神經(jīng)網(wǎng)絡(luò)用于攻擊檢測只要提供系統(tǒng)的審計數(shù)據(jù)，神經(jīng)網(wǎng)絡(luò)就可以通過自學習，從中提取正常的用戶或系統(tǒng)活動的特征模式，獲得預測的能力，而不需要獲取描述用戶行為特征的特征集以及用戶行為特征測度的統(tǒng)計分布?？梢韵蛏窠?jīng)網(wǎng)絡(luò)展示新發(fā)現(xiàn)的入侵攻擊實例，通過再訓練使神經(jīng)網(wǎng)絡(luò)能夠?qū)π碌墓裟Ｊ疆a(chǎn)生反應，從而使入侵檢測系統(tǒng)具有自適應的能力。當神經(jīng)網(wǎng)絡(luò)學會了系統(tǒng)正常工作模式后，能夠?qū)ζx系統(tǒng)正常工作的事件做出反應，進而可以發(fā)現(xiàn)一些新的攻擊模式。2024/12/25神經(jīng)網(wǎng)絡(luò)在高效智能入侵檢測系統(tǒng)中的應用

我們擬采用3層前向人工神經(jīng)網(wǎng)絡(luò)見圖(1)。3層前向人工神經(jīng)網(wǎng)絡(luò)由輸入層、隱層和輸出層組成，網(wǎng)絡(luò)中各神經(jīng)元接受前一級輸入，單輸出到下一級。訓練過程中，將在這個3層前向神經(jīng)網(wǎng)絡(luò)的基礎(chǔ)上應用經(jīng)過改進的反向傳播學習算法(BP)算法。在本模型中，取Sigmoid函數(shù)

作為隱層神經(jīng)元的激發(fā)函數(shù)。輸出層神經(jīng)的輸入信息的計算公式與隱層的輸入公式類似，輸出層神經(jīng)元的激發(fā)函數(shù)可以取比例系數(shù)為1的線性函數(shù)，也可以取非線性函數(shù)。2024/12/25神經(jīng)網(wǎng)絡(luò)在高效智能入侵檢測系統(tǒng)中的應用圖1三層前向人工神經(jīng)網(wǎng)絡(luò)

1782024/12/25神經(jīng)網(wǎng)絡(luò)在高效智能入侵檢測系統(tǒng)中的應用

圖2模型原理圖2024/12/25神經(jīng)網(wǎng)絡(luò)在高效智能入侵檢測系統(tǒng)中的應用

本模型中，首先需要收集一定量的網(wǎng)絡(luò)數(shù)據(jù)樣本供神經(jīng)網(wǎng)絡(luò)訓練模塊學習，基本調(diào)節(jié)好神經(jīng)網(wǎng)絡(luò)的權(quán)值和閾值，并把這些信息交給神經(jīng)網(wǎng)絡(luò)過濾器使用。這樣神經(jīng)網(wǎng)絡(luò)過濾器可以開始發(fā)揮功能了。在當前的權(quán)值和閾值下，過濾器一旦發(fā)現(xiàn)可疑攻擊，就把數(shù)據(jù)交給模式匹配模塊進行傳統(tǒng)的分析。而模式匹配模塊對于從數(shù)據(jù)庫中獲得的網(wǎng)絡(luò)SQLServer數(shù)據(jù)的所有分析結(jié)果，都要提供給神經(jīng)網(wǎng)絡(luò)訓練模塊。神經(jīng)網(wǎng)絡(luò)訓練模塊依靠不斷獲得的這些攻擊或正常的網(wǎng)絡(luò)數(shù)據(jù)信息，本身進行自適應的調(diào)整，更新神經(jīng)網(wǎng)絡(luò)的權(quán)值和閾值，同時也就更新了神經(jīng)網(wǎng)絡(luò)過濾器的設(shè)置，從而提高了過濾器對于攻擊的識別分析能力。這完全是一個在實際應用中動態(tài)自適應的過程。2024/12/25神經(jīng)網(wǎng)絡(luò)在高效智能入侵檢測系統(tǒng)中的應用

神經(jīng)網(wǎng)絡(luò)學習樣本的收集和結(jié)構(gòu)設(shè)計收集數(shù)據(jù)包需要注意數(shù)據(jù)包樣本應該具有代表性，廣泛性，要考慮到各種模式之間的平衡。從網(wǎng)探那里獲得完整的包，通過預處理程序過濾出TCP包，然后取包頭的重要字段存入數(shù)據(jù)庫，組成大部分神經(jīng)網(wǎng)絡(luò)的輸入。這些字段從IP頭和TCP頭中抽取，IP頭中抽取的字段包括頭長度、總長度、生命期、源地址、目的地址；TCP頭中抽取的字段包括源端口、目的端口、控制位。這些字段信息還需進行預處理，才能作為神經(jīng)網(wǎng)絡(luò)的輸入。2024/12/25神經(jīng)網(wǎng)絡(luò)在高效智能入侵檢測系統(tǒng)中的應用

神經(jīng)網(wǎng)絡(luò)的訓練和檢測輸入的樣本共有8個字段，所以網(wǎng)絡(luò)的輸入層設(shè)計為8個神經(jīng)元，輸出層有1個神經(jīng)元，網(wǎng)絡(luò)輸出值在(0，1)之間，0表示無攻擊，1表示有攻擊。隱含層的神經(jīng)元數(shù)目確定比較復雜，并無確定的法則，只能通過一些經(jīng)驗法則，借助于實驗來確定。我們采用的神經(jīng)網(wǎng)絡(luò)的學習算法是改進的反向傳播學習算法算法，增加了附加動量項，輸入層激發(fā)函數(shù)為線性(BP)函數(shù)，隱藏層和輸出層的激發(fā)函數(shù)都為Sigmoid函數(shù)。在反向過程中，將求得的神經(jīng)網(wǎng)絡(luò)輸出值與期望輸出值相比較，并將比較所得差別作為誤差輸回到神經(jīng)網(wǎng)絡(luò)中，以調(diào)整神經(jīng)網(wǎng)絡(luò)的權(quán)值和閾值。2024/12/25神經(jīng)網(wǎng)絡(luò)在高效智能入侵檢測系統(tǒng)中的應用

訓練的主要目的就是利用反向?qū)W習來獲得理想的權(quán)值和閾值。由于訓練數(shù)據(jù)的量一般都比較大，我們采用批處理的方法，即對一批樣本進行計算后，分別求出這批樣本的輸出誤差及其對應的連接權(quán)修正值，然后求出這些誤差的均值和連接權(quán)修正值的均值，用均值連接權(quán)進行一次修正。這樣可以提高網(wǎng)絡(luò)學習的速度。神經(jīng)網(wǎng)絡(luò)經(jīng)過訓練后，生成了合適的權(quán)值和閾值，有了權(quán)值和閾值，神經(jīng)網(wǎng)絡(luò)便能對網(wǎng)絡(luò)數(shù)據(jù)進行檢測。經(jīng)過訓練后的神經(jīng)網(wǎng)絡(luò)具有非?？斓臋z測速度，實時性將非常強。2024/12/25神經(jīng)網(wǎng)絡(luò)在高效智能入侵檢測系統(tǒng)中的應用4.結(jié)論下面是在MATLAB環(huán)境下實現(xiàn)的實驗結(jié)果。由實驗結(jié)果可知，在學習到14步或9步時，前向神經(jīng)網(wǎng)絡(luò)就可以達到要求的精度。由此可見，利用神經(jīng)網(wǎng)絡(luò)也不失為一種較好的實現(xiàn)入侵檢測的方法。2024/12/25神經(jīng)網(wǎng)絡(luò)在高效智能入侵檢測系統(tǒng)中的應用2024/12/25神經(jīng)網(wǎng)絡(luò)在高效智能入侵檢測系統(tǒng)中的應用TRAINLM,Epoch0/1000,MSE0.311482/0.01,Gradient0.88205/1e-010TRAINLM,Epoch14/1000,MSE0.00357177/0.01,Gradient0.0709494/1e-010TRAINLM,Performancegoalmet.Y=0.99670.00060.00090.00190.00000.98330.04800.00430.01010.01050.93590.09080.00420.10700.03110.85862024/12/25神經(jīng)網(wǎng)絡(luò)在高效智能入侵檢測系統(tǒng)中的應用2024/12/25神經(jīng)網(wǎng)絡(luò)在高效智能入侵檢測系統(tǒng)中的應用TRAINLM,Epoch0/1000,MSE0.291114/0.01,Gradient0.966068/1e-010TRAINLM,Epoch9/1000,MSE0.000700908/0.01,Gradient0.0522145/1e-010TRAINLM,Performancegoalmet.Y=0.96270.00030.00010.00040.00000.99480.00270.00120.00000.00050.80820.00010.04250.00010.00220.92712024/12/25神經(jīng)網(wǎng)絡(luò)在高效智能入侵檢測系統(tǒng)中的應用1.KevinM.Passino,StephenYurkovich,FuzzyControl模糊控制,北京:清華大