神經(jīng)網(wǎng)絡(luò)在網(wǎng)絡(luò)入侵檢測中的應(yīng)用

【摘 要】首先介紹了網(wǎng)絡(luò)入侵對網(wǎng)絡(luò)安全造成的威脅，接著分析了入侵檢測技術(shù)的不足。然后闡述了神經(jīng)網(wǎng)絡(luò)算法在網(wǎng)絡(luò)入侵檢測中的應(yīng)用。最后展望了神經(jīng)網(wǎng)絡(luò)技術(shù)在入侵檢測中的發(fā)展趨勢和主要研究方向。

【關(guān)鍵詞】網(wǎng)絡(luò)安全；神經(jīng)網(wǎng)絡(luò)；入侵檢測

1.引言

隨著Internet在社會各個領(lǐng)域的廣泛應(yīng)用，人們對Internet的依賴性越來越強，而網(wǎng)絡(luò)安全問題在很大程度上決定著人們對網(wǎng)絡(luò)的信任程度，這對網(wǎng)絡(luò)應(yīng)用的實施和普及造成了巨大的威脅。因此，面對日益嚴重的網(wǎng)絡(luò)信息安全問題，如何保障計算機系統(tǒng)、網(wǎng)絡(luò)系統(tǒng)及整個信息基礎(chǔ)設(shè)施的安全已經(jīng)成為急需解決的重要問題。

網(wǎng)絡(luò)入侵是威脅網(wǎng)絡(luò)安全的重要途徑之一。針對入侵檢測，國外早已開展了一系列的研究，特別是對一些重要的政治、軍事和經(jīng)濟網(wǎng)絡(luò)進行非法入侵實時監(jiān)控。這些系統(tǒng)能及時的檢測出網(wǎng)絡(luò)中的異常，并對管理人員發(fā)出警報，以避免異常所帶來的危害，因此，及時、準確的網(wǎng)絡(luò)入侵檢測技術(shù)能保障網(wǎng)絡(luò)信息安全，對提高網(wǎng)絡(luò)的可靠性和可用性有著重要的意義。

2.基于神經(jīng)網(wǎng)絡(luò)的入侵檢測技術(shù)

網(wǎng)絡(luò)入侵檢測系統(tǒng)作為一種主動型的網(wǎng)絡(luò)安全防護工具，它能夠根據(jù)網(wǎng)絡(luò)入侵數(shù)據(jù)的特征來判斷是否存在入侵以及入侵的分類，現(xiàn)有的入侵檢測技術(shù)大多是采用模式識別的方式進行檢測，即通過比對已知的攻擊數(shù)據(jù)的模式特征來判斷入侵是否存在[1]。雖然這種技術(shù)具有較高的檢測率，但它只能針對現(xiàn)有的入侵進行檢測，對于未知的入侵則無法檢出。所以，存在著漏報率高的缺點。

為解決以上問題，人們把神經(jīng)網(wǎng)絡(luò)技術(shù)應(yīng)用到入侵檢測的研究當中，取得了一些積極的進展。基于神經(jīng)網(wǎng)絡(luò)的入侵檢測技術(shù)包括：基于模糊聚類的BP神經(jīng)網(wǎng)絡(luò)的入侵檢測技術(shù)、基于SOFM網(wǎng)的入侵檢測技術(shù)、基于支持向量機（SVM）的入侵檢測技術(shù)和等。

2.1 基于BP神經(jīng)網(wǎng)絡(luò)模糊聚類的入侵檢測

雖然模糊聚類能對數(shù)據(jù)進行聚類挖掘，但由于網(wǎng)絡(luò)是一個復雜的非線性動力學系統(tǒng)，其入侵數(shù)據(jù)特征維數(shù)較多，不同的入侵類別間數(shù)據(jù)差別不明顯，不能對入侵模式進行準確的分類。采用基于BP神經(jīng)網(wǎng)絡(luò)的模糊聚類算法[2]能較好的解決以上問題。

該算法首先用模糊聚類算法把對入侵數(shù)據(jù)進行分類，并得到每類的聚類中心和個體模糊隸屬度矩陣，BP神經(jīng)網(wǎng)絡(luò)的初始訓練數(shù)據(jù)選擇最靠近每類中心的樣本作為訓練樣本。BP神經(jīng)網(wǎng)絡(luò)訓練模塊用訓練數(shù)據(jù)訓練網(wǎng)絡(luò)，BP神經(jīng)網(wǎng)絡(luò)預測模塊根據(jù)預測輸出將入侵數(shù)據(jù)重新進行分類，并從中找出最靠近每類中心值的樣本作為訓練樣本，這樣就再次得到了網(wǎng)絡(luò)訓練數(shù)據(jù)，其輸入數(shù)據(jù)為網(wǎng)絡(luò)入侵檢測數(shù)據(jù)，而輸出則為該數(shù)據(jù)所屬的入侵類別。按該方法反復迭代聚類，則能有效的對入侵數(shù)據(jù)進行分類。

2.2 基于SOFM網(wǎng)的入侵檢測

BP神經(jīng)網(wǎng)絡(luò)具有較好的模式識別能力，被廣泛的應(yīng)用于入侵檢測，但由于BP算法本身存在一定的局限性，如存在局部極小值、學習速度慢，甚至會在極值點附近出現(xiàn)振蕩現(xiàn)象，因此，可將無師自組織自學習的SOFM網(wǎng)和BP神經(jīng)網(wǎng)絡(luò)結(jié)合起來，從而克服BP算法的弊端[3]。

采用SOFM和BP混合神經(jīng)網(wǎng)絡(luò)的算法，首先進行數(shù)據(jù)的預處理，提取能夠表示網(wǎng)絡(luò)流量特征的特征量，作為SOFM網(wǎng)絡(luò)的輸入；然后利用SOFM網(wǎng)絡(luò)的自組織自學習特性，保存在競爭中取得勝利的神經(jīng)元的連接權(quán)值矢量，并將其作為BP神經(jīng)網(wǎng)絡(luò)的輸入，最后利用BP神經(jīng)網(wǎng)絡(luò)的預測模塊進行入侵識別。

2.3 基于支持向量機的入侵檢測

基于支持向量機的機器學習已成為神經(jīng)網(wǎng)絡(luò)研究的前沿領(lǐng)域。迄今為止支持向量機技術(shù)已在圖像識別、手寫數(shù)字識別、生物信息學方面取得了積極的進展?；谥С窒蛄繖C入侵檢測技術(shù)[4，5]首先需要對數(shù)據(jù)進行預處理，將具有高維、小樣本和不可分等特性的網(wǎng)絡(luò)數(shù)據(jù)處理成支持向量機可以接受的向量；然后將該向量作為SVM數(shù)據(jù)訓練模塊的輸入，經(jīng)過訓練之后的數(shù)據(jù)會生成一組支持向量SV，最后利用SVM數(shù)據(jù)檢測模塊對經(jīng)過預處理之后的網(wǎng)絡(luò)數(shù)據(jù)進行檢測，通過對經(jīng)SVM數(shù)據(jù)訓練模塊得到的模型與實際需要檢測的網(wǎng)絡(luò)數(shù)據(jù)進行比對，判斷是否有入侵發(fā)生。

2.4 基于小波神經(jīng)網(wǎng)絡(luò)的入侵檢測

小波神經(jīng)網(wǎng)絡(luò)是一種廣泛應(yīng)用的神經(jīng)網(wǎng)絡(luò)模型，它在BP神經(jīng)網(wǎng)絡(luò)的基礎(chǔ)上，把小波基函數(shù)作為隱含節(jié)點的傳遞函數(shù)，將信號向前傳播的同時將誤差反向傳播?；谛〔ㄉ窠?jīng)網(wǎng)絡(luò)的入侵檢測技術(shù)[6]首先將網(wǎng)絡(luò)數(shù)據(jù)進行預處理分析，提取能表示網(wǎng)絡(luò)特性的特征量，然后經(jīng)小波神經(jīng)網(wǎng)絡(luò)檢測模塊進行處理，小波神經(jīng)網(wǎng)絡(luò)不僅可以檢測出已知的網(wǎng)絡(luò)入侵，對未知的網(wǎng)絡(luò)入侵也具有很好的檢測能力。這說明小波神經(jīng)網(wǎng)絡(luò)不僅具有識別能力，還具有很強的學習能力，與傳統(tǒng)的基于規(guī)則的入侵檢測技術(shù)相比，基于小波神經(jīng)網(wǎng)絡(luò)的入侵檢測技術(shù)誤報率低，實用性更強，更具有研究價值。

3.神經(jīng)網(wǎng)絡(luò)在入侵檢測中的發(fā)展趨勢與研究方向

雖然將神經(jīng)網(wǎng)絡(luò)應(yīng)用于入侵檢測有一定的時間積累，但它在入侵檢測中的應(yīng)用還存在一定的缺陷，至少離商用系統(tǒng)的要求還有很大的差距從整體上來講存在的主要問題是系統(tǒng)的誤報率和漏報率均較高。隨著計算機與網(wǎng)絡(luò)技術(shù)的發(fā)展，新的入侵手段將層出不窮，采用單一的入侵檢測技術(shù)無法滿足入侵檢測的需要。在深入研究神經(jīng)網(wǎng)絡(luò)的原理以及將神經(jīng)網(wǎng)絡(luò)應(yīng)用到入侵檢測中的同時應(yīng)重點研究以下幾個問題。

（1）應(yīng)綜合各種神經(jīng)網(wǎng)絡(luò)的優(yōu)點進行入侵檢測系統(tǒng)的設(shè)計，針對特定的檢測領(lǐng)域，采用不同的方法，有目的地把各種神經(jīng)網(wǎng)絡(luò)檢測技術(shù)融合在一起，同時把濫用檢測與誤用檢測并用。

（2）隨著分布式入侵檢測的出現(xiàn)與發(fā)展，網(wǎng)絡(luò)環(huán)境日趨復雜，在使用神經(jīng)網(wǎng)絡(luò)技術(shù)的同時，要注重整合智能化Agent技術(shù)加強各種安全部件之間與安全工具之間協(xié)作的研究。

（3）隨著黑客攻擊網(wǎng)絡(luò)的技術(shù)的復雜化，提取的攻擊者攻擊特征量很難與網(wǎng)絡(luò)流量特征庫中的提取的特征量相匹配，靠單一的模式匹配來進行入侵檢測越來越困難。如果采用神經(jīng)網(wǎng)絡(luò)對黑客攻擊網(wǎng)絡(luò)的步驟進行訓練，提取出黑客攻擊網(wǎng)絡(luò)的模式，而不是單純的依靠入侵檢測系統(tǒng)從海量數(shù)據(jù)中提取特征去進行模式匹配，將會進一步提高入侵檢測的效率。

4.結(jié)束語

計算機網(wǎng)絡(luò)誕生以來，就有了網(wǎng)絡(luò)入侵與入侵檢測兩者間的斗爭，并且這一對矛盾會隨著網(wǎng)絡(luò)發(fā)展一直存在。隨著入侵手段的發(fā)展，入侵檢測技術(shù)也在不斷完善。采用神經(jīng)網(wǎng)絡(luò)技術(shù)進行入侵檢測使檢測具有很好的適應(yīng)性和一定的智能性，但入侵檢測系統(tǒng)是由技術(shù)、人和工具三方面因素構(gòu)成的一個整體。安全重在防范，要有效的保障網(wǎng)絡(luò)安全，需要從提高人對網(wǎng)絡(luò)入侵的防范意識，改進網(wǎng)絡(luò)基礎(chǔ)設(shè)施和提高網(wǎng)絡(luò)入侵檢測技術(shù)等多方面努力。

參考文獻：

[1]李鋼.基于神經(jīng)網(wǎng)絡(luò)的入侵檢測研究與實現(xiàn)[D].上海：華東師范大學，2008.

[2]王小軍.模糊聚類在入侵檢測中的應(yīng)用研究[D].南京：南京師范大學，2006.

[3]林永菁.基于SOFM的入侵檢測技術(shù)研究[J].長春工程學院學報（自然科學版）2011，12（3）：93-96.

[4]葉琳.基于SVM的網(wǎng)絡(luò)流量異常檢測系統(tǒng)研究[D].云南：云南大學，2010.

[5]肖海軍，王小非，洪帆，等.基于特征選擇和支持向量機的異常檢測[J].華中科技大學學報（自然科學版），2008，36（003）：99-102.

[6]李昂.基于小波神經(jīng)網(wǎng)絡(luò)的入侵檢測系統(tǒng)研究[D].河南：河南大學，2007.

基金項目：中南民族大學校級基金項目（編號：YZQ09006）。