网络异常入侵检测

【摘要】：入侵检测技术的不断发展,改变了传统意义上只在静态防御网络入侵的策略。专家系统、神经网络等大规模入侵检测技术的广泛应用,使得预防网络入侵有了更加有效的方法。专家系统技术和神经网络技术的进步,也改变了传统入侵检测系统的设计方法。 专家系统是根据已知到入侵攻击来进行推理分析,而对于未知的入侵攻击不能检测出来。为了弥补专家系统的不足,本文引入神经网络技术作为补充。神经网络最主要的特征是非线性、自组织、自学习能力、自适应和推理能力等,将其应用在入侵检测中,可以把未知入侵攻击检测出来。 本文首先分析了智能检测技术、专家系统技术和神经网络技术,分别指出它们各自的优点及不足。在此基础之上,提出了神经网络和专家系统相结合的方法,并将该方法应用在入侵检测系统的总体设计方案中。在具体的设计实现上,利用Libpcap对网络数据包进行截取,经过初步分析后,将结果送人专家系统模块中进行进一步检测。采用二叉树形式构建知识库中的入侵规则,并在推理机中采用了和snort兼容的入侵行为描述方法——规则描述。将专家系统模块不能检测出来的数据包送入到神经网络模块中,通过PCA进行特征提取,进行数据预处理,再利用BP神经网络进行训练模块的设计。最后通过规则抽取完成并建立了完整的智能入侵检测系统。