基于神经网络的入侵检测研究
【摘要】:
随着网络的广泛应用,特别是政府信息和军事数据在网络上的传输给网络安全提出了很高的要求。网络攻击方法层出不穷,入侵手段也不断更新,使得目前的防火墙等被动的网络安全机制对许多攻击难以检测。入侵检测作为一种主动防御技术,弥补了传统安全技术的不足。其主要通过监控网络与系统的状态、用户行为以及系统的使用情况,来检测系统用户的越权使用以及入侵者利用安全缺陷对系统进行入侵的企图,并对入侵采取相应的措施。
入侵检测系统智能性研究是目前网络安全领域的研究热点,其中模式识别及数据挖掘等技术在入侵检测上的应用得到了广泛的关注。人工神经网络作为模式识别的重要方法,具有自组织、自学习和推广能力,将人工神经网络方法应用于入侵检测系统中,将使系统既可以对已知攻击有较好的识别能力,又具有检测未知攻击的能力。
本论文首先在分析了入侵原理的基础上,对现有的入侵检测的模型和方法进行了分析;继而针对入侵检测中的几个关键问题,综合利用数据挖掘、人工免疫、灰色系统等理论和技术,提出了基于人工神经网络的入侵检测模型,并对传统的神经网络模型进行改进,然后对其在入侵检测中的效果进行了验证。
本文的主要工作如下:
分析了目前常用的几类攻击方法,使后面的系统设计更加有的放矢。重点对入侵检测系统的概念、分类、模型和技术等进行了综述,详细分析了目前的入侵检测方法及其优缺点,并指出了入侵检测的发展方向。
根据第三届国际知识发现和数据挖掘竞赛(KDDCUP'99)标准,对截获的网络数据包进行41维特征抽取,并采用混合数值编码方法,使这些特征转化为能被神经网络处理的数值形式。
建立了基于反向传播网络BP和决策树相结合的误用检测模型。采用BP网络对入侵数据包进行检测时,其对拒绝服务(DOS)和探测(Probing)类的攻击有较好的检测率,但对远程到本地(R2L)以及对超级用户(U2R)非授权访问类攻击的检测率较低。通过实验我们发现,决策树算法根据信息增益的原理,可以精确地从这两类攻击的内容特征中提取攻击规则,因此对R2L和U2R类攻击有较高的检测率。基于BP网络和C4.5决策树相结合的误用检测模型结合了两种模型的优势,使整个入侵检测系统针对各类攻击的平均检测率提高,同时降低了误报警率。利用国际标准数据集DARPA入侵检测评估数据,我们用实验验证了该模型的高性能和高可靠性。
提出了基于一般化的灰色自组织特征映射模型并应用于DOS类攻击检测。自组织特征映射理论(SOM)具有聚类、自组织、自学习以及可视化的功能,已广泛的应用于模式识
基于神经网络的入侵检测研究
别、故障诊断、异常检测等领域。自组织特征映射权值的调整仅考虑了学习率及输入模式与
邻域内权值之间的关系,忽略了输入模式分量与全体参与竞争的神经元权值向量间的某种相
关关系。灰关系系数(GRC)的描述方法可以显式地刻画断中关系。尽管如此但GRC仍忽
略了输入模式与所有参与竞争的神经元权值间的整体描述关系。本文是在GRC中加入该整
体关系的同时,提出了一个更一般化的灰关系模型JSOM,进而侧重就三种特殊的函数关
系进行了通用模型的性能评估。将JsOM应用于Dos攻击的检测中,JsoM可以充分考
虑DOS类攻击数据之间的内在相关性,通过实验验证了口soM对Dos类攻击的有效性。
将核方法引入SOM中,设计了原空间的核SOM分类器,并提出了基于核SOM分类器
的异常检测模型。由于SOM模型的整个学习过程是在输入样本空间内进行,并以欧氏距离
为度量。浏各导致当输入样本分布结构呈高度非线性时,其分类能力下降。本文采用核方法
为原输入空间诱导出了一类不同于欧氏距离的新的距离度量,该方法即通过核映射榭氏维输
入空间中的非线性问题变换为高维特征空间中可能的线性可分问题,又可以确保对原输入空
间聚类中心的直观刻画。而核的灵活性可诱导出在原空间中不同度量的分类器,并使该分类
器具有鲁棒胜和高可靠胜。在通丈对Benchi爪田火验证了该分类器的性能后,将其应用到异常
检测中,核SOM分类器不仅育树己知的DOS和P旧b吨攻击有较好的检测性能,也可以检
测未知的这类攻击。检测的结果同时说明基于网络数据包的特征提取方法不能很好的对UZR
和RZL这两类攻击进行异常检测,需要利用主机审计信息作为数据源来解决这个问题。
设计和实现了单类SOM分类器,用于解决入侵检测中的单类问题。由于攻击数据难以
获取,单类分类器只育蹄日用正常环境下的网络数据和主机审计信息建立正常模式,将偏离了
正常模式的用户活动判断为入侵。利用传统的SOM模型建立了单类分类器,并对其进行了
改进,在对基于网络和基于系统调用执行迹的入侵检测上取得了较好的检测性能。
利用了单类SOM分类器的优良胜能,运用人工免疫学原理建立分布式的入侵检测框架,
给出了一个基于人工免疫和神经网络相结合的入侵检测系统模型和相关算法,使系统具有分
布式、自组织、高效的特性,为建立分布式的入侵检测提出一种新的思路。
设计和实现了一个基于专家系统的入侵检测系统软件,并详细介绍了实现技才坏
|
|
|
|
1 |
刘赛,徐斌,梁意文;入侵检测系统中的一种免疫遗传算法[J];计算机工程;2004年08期 |
2 |
叶吉祥;谭冠政;;线性时间检测器生成算法的改进[J];计算机工程;2006年09期 |
3 |
黄科军;;基于人工免疫的网络安全监控模型研究[J];青海师范大学学报(自然科学版);2010年02期 |
4 |
吴道永;;基于人工免疫和神经网络混成算法的入侵检测系统研究[J];南平师专学报;2007年04期 |
5 |
饶鲜;杨绍全;魏青;董春曦;;核的最近邻算法及其仿真[J];系统工程与电子技术;2007年03期 |
6 |
刘完芳;黄生叶;常卫东;;负选择检测模型中初始检测器集生成的研究[J];湘潭师范学院学报(自然科学版);2007年02期 |
7 |
韩健,张乐,蔡瑞英;基于人工免疫算法的入侵检测系统[J];南京工业大学学报(自然科学版);2004年01期 |
8 |
鱼静,戴宗友;一种基于免疫原理的入侵检测系统模型[J];安徽电子信息职业技术学院学报;2004年Z1期 |
9 |
郑艳君,王曙霞;基于人工免疫原理的入侵检测研究[J];石河子大学学报(自然科学版);2005年01期 |
10 |
景志刚,王相林;基于人工免疫的网络入侵检测技术[J];现代计算机;2005年02期 |
11 |
尹峰,邓小鹏,许四毛;生物免疫机理在计算机安全领域的应用与发展[J];安徽电子信息职业技术学院学报;2004年Z1期 |
12 |
吴作顺,刘世栋;CORBA分布式对象应用中的免疫型入侵检测研究[J];计算机应用研究;2005年05期 |
13 |
张楠,李志蜀,张建华,李奇;基于免疫融合的分布式入侵检测技术[J];计算机工程与应用;2005年17期 |
14 |
杨向荣,宋擒豹,沈钧毅;基于数据挖掘的智能化入侵检测系统[J];计算机工程;2001年09期 |
15 |
祁建清,闫镔,杨正;IDS研究概述[J];电子对抗技术;2001年04期 |
16 |
李焕洲;网络安全和入侵检测技术[J];四川师范大学学报(自然科学版);2001年04期 |
17 |
周继军,李祥和;面向用户的网络安全预警系统[J];网络安全技术与应用;2001年01期 |
18 |
董小玲;;金诺网安与天融信结成产品联盟[J];计算机安全;2001年08期 |
19 |
杜滨,杨寿保;基于入侵检测的立体防御系统体系结构研究[J];计算机工程与应用;2002年20期 |
20 |
卢桂艳,郭权,苏飞;基于移动代理的入侵检测系统的研究[J];大连民族学院学报;2002年03期 |
|