基于神經(jīng)網(wǎng)絡(luò)的入侵檢測(cè)方法研究.pdf

1、隨著世界上越來(lái)越多的政府部門、公司和個(gè)人依賴于計(jì)算機(jī)網(wǎng)絡(luò)，保證網(wǎng)絡(luò)信息安全成為十分嚴(yán)峻的課題。入侵檢測(cè)技術(shù)作為一種主動(dòng)的信息安全保障措施，引起學(xué)術(shù)界和實(shí)業(yè)界的密切關(guān)注。目前使用的入侵檢測(cè)系統(tǒng)主要是基于規(guī)則分析的專家系統(tǒng)，它大大提高了信息安全系統(tǒng)的效率和實(shí)用性，但在利用規(guī)則庫(kù)審計(jì)網(wǎng)絡(luò)數(shù)據(jù)記錄，判別網(wǎng)絡(luò)中是否存在入侵時(shí)，攻擊行為的微小變化就會(huì)影響系統(tǒng)的判別，導(dǎo)致入侵檢測(cè)的誤報(bào)和漏報(bào)。 本文研究基于神經(jīng)網(wǎng)絡(luò)的入侵檢測(cè)方法。將混沌神經(jīng)元

2、引入到前饋型神經(jīng)網(wǎng)絡(luò)中，構(gòu)建了MLP/CNN混合神經(jīng)網(wǎng)絡(luò)濫用入侵檢測(cè)模型，它既具備MLP的實(shí)時(shí)分類能力，又具有混沌神經(jīng)元的延時(shí)、收集和思維判斷功能；提出了BP/Elman混合神經(jīng)網(wǎng)絡(luò)異常入侵檢測(cè)方法，它能夠發(fā)現(xiàn)新的入侵行為，訓(xùn)練簡(jiǎn)單、使用方便。為了驗(yàn)證所提出方法的有效性，本文利用Lincoln實(shí)驗(yàn)室采集的DARPA數(shù)據(jù)集對(duì)入侵檢測(cè)方法進(jìn)行了評(píng)估，結(jié)果顯示本文的方法在提高入侵檢測(cè)率和減少誤報(bào)率方面取得了進(jìn)展。具體工作如下： 1研究

3、一種耗散型混沌神經(jīng)元?jiǎng)恿W(xué)，模擬大腦的高階信息處理能力，識(shí)別復(fù)雜多變的入侵。在分析混沌的主要特征和識(shí)別混沌的主要方法基礎(chǔ)上，分析了自激神經(jīng)元和自抑制神經(jīng)元的參數(shù)空間，對(duì)混沌神經(jīng)元關(guān)于多個(gè)參數(shù)的分岔與混沌進(jìn)行數(shù)值模擬，對(duì)多種參數(shù)神經(jīng)元的運(yùn)行機(jī)制進(jìn)行計(jì)算機(jī)仿真。研究發(fā)現(xiàn)，自抑制神經(jīng)元具有以倒分岔特性為特點(diǎn)的時(shí)間增益功能，提出利用混沌神經(jīng)元的倒分岔特性，彌補(bǔ)普通神經(jīng)網(wǎng)絡(luò)的不足，識(shí)別分布協(xié)作式入侵。 2提出了基于混沌神經(jīng)元的神經(jīng)網(wǎng)絡(luò)入侵

4、檢測(cè)分類方法。首先闡明延時(shí)分類原理，制定混沌神經(jīng)元的參數(shù)選取原則，然后研究混沌狀態(tài)識(shí)別算法(CSIA)和延時(shí)分類三元組判據(jù)，設(shè)計(jì)延時(shí)神經(jīng)網(wǎng)絡(luò)的訓(xùn)練算法和延時(shí)分類識(shí)別算法。本文使用實(shí)例驗(yàn)證了提出的三種算法。 3提出MLP/CNN混合神經(jīng)網(wǎng)絡(luò)入侵檢測(cè)方法。首先建立MLP神經(jīng)網(wǎng)絡(luò)濫用檢測(cè)模型，利用在局域網(wǎng)中模擬FTPblute-force濫用入侵截獲的數(shù)據(jù)，對(duì)MLP神經(jīng)網(wǎng)絡(luò)進(jìn)行訓(xùn)練和測(cè)試，結(jié)果表明MLP模型具有實(shí)時(shí)濫用檢測(cè)能力。在ML

5、P實(shí)時(shí)濫用檢測(cè)模型的基礎(chǔ)上，引入混沌神經(jīng)元，建立MLP/CNN混合神經(jīng)網(wǎng)絡(luò)模型，制定延時(shí)濫用入侵判據(jù)。利用開(kāi)環(huán)訓(xùn)練、然后再閉環(huán)訓(xùn)練的方法訓(xùn)練混合神經(jīng)網(wǎng)絡(luò)，并對(duì)網(wǎng)絡(luò)進(jìn)行測(cè)試。結(jié)果表明，MLP/CNN混合神經(jīng)網(wǎng)絡(luò)能夠有效地識(shí)別濫用分布式入侵。 4提出BP/Elman神經(jīng)網(wǎng)絡(luò)異常檢測(cè)方法。利用具有循環(huán)連接權(quán)值的Elman神經(jīng)網(wǎng)絡(luò)，發(fā)現(xiàn)新的異常入侵行為，通過(guò)記錄網(wǎng)絡(luò)通信的歷史行為，提高系統(tǒng)的入侵檢測(cè)率和降低誤報(bào)率。對(duì)不同參數(shù)的Elman

6、網(wǎng)絡(luò)進(jìn)行大量測(cè)試，優(yōu)選出最佳工作點(diǎn)。 5提出基于Web攻擊的神經(jīng)網(wǎng)絡(luò)的異常入侵檢測(cè)方法，利用幾種檢測(cè)技術(shù)來(lái)檢測(cè)對(duì)Web服務(wù)器和Web應(yīng)用的攻擊。該方法以Web服務(wù)器的聯(lián)機(jī)日志文件為檢測(cè)對(duì)象，對(duì)每一個(gè)Web請(qǐng)求進(jìn)行打分，將所得分?jǐn)?shù)作為BP神經(jīng)網(wǎng)絡(luò)的輸入，通過(guò)神經(jīng)網(wǎng)絡(luò)分析后，得出是否異常的結(jié)論。它利用通用的異常檢測(cè)技術(shù)，不考慮特定程序或運(yùn)行環(huán)境，在檢測(cè)帶有參數(shù)的HTTP查詢時(shí)，具有一定優(yōu)越性。 6采用ROC曲線對(duì)本文提出的神