劉建

摘 要：隨著計(jì)算機(jī)網(wǎng)絡(luò)的高速發(fā)展，從20世紀(jì)90年代初至今的幾十年中，網(wǎng)絡(luò)安全問題日漸突出，計(jì)算機(jī)信息的安全和防御受到嚴(yán)重影響。傳統(tǒng)非神經(jīng)網(wǎng)絡(luò)入侵檢測(cè)包含著效率低、誤差較大和收斂速度慢等問題。采用改進(jìn)的遺傳算法來使神經(jīng)網(wǎng)絡(luò)權(quán)值與BP算法結(jié)合，能夠滿足入侵檢測(cè)分類識(shí)別的需求，利用給定的動(dòng)態(tài)神經(jīng)網(wǎng)絡(luò)系統(tǒng)構(gòu)建相應(yīng)的網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)，能適應(yīng)不同類型的入侵檢測(cè)，有效地提高了網(wǎng)絡(luò)的安全性。

關(guān)鍵詞：改進(jìn)神經(jīng)網(wǎng)絡(luò)；網(wǎng)絡(luò)入侵檢測(cè)；遺傳算法

中圖分類號(hào)：TP393.08 文獻(xiàn)標(biāo)志碼：A 文章編號(hào)：2095-2945（2018）02-0011-03

Abstract： With the rapid development of computer network， in the past decades from the beginning of the 1990s to the present， the problem of network security has become increasingly prominent， and the security and defense of computer information have been seriously affected. Traditional non-neural network intrusion detection includes problems such as low efficiency， large error and slow convergence rate. The improved genetic algorithm is used to combine the weights of neural network with BP algorithm， which can meet the needs of intrusion detection classification and recognition， and construct the corresponding network intrusion detection system using the given dynamic neural network system. This adapts to different types of intrusion detection and effectively improves the security of the network.

Keywords： improved neural network； network intrusion detection； genetic algorithm

引言

社會(huì)信息化進(jìn)程不斷提高的今天，在享受計(jì)算機(jī)帶來的眾多便利時(shí)，網(wǎng)絡(luò)安全問題也不容忽視[1]。被動(dòng)的網(wǎng)絡(luò)入侵檢測(cè)和防御機(jī)制已經(jīng)無法滿足現(xiàn)在網(wǎng)絡(luò)的需求，基于改進(jìn)神經(jīng)網(wǎng)絡(luò)的動(dòng)態(tài)化網(wǎng)絡(luò)入侵檢測(cè)，在信息爆炸的時(shí)代中，日益成為網(wǎng)絡(luò)安全領(lǐng)域的重要技術(shù)手段。傳統(tǒng)基于規(guī)則的入侵檢測(cè)技術(shù)在管理和建模上存在一些問題，基于改進(jìn)神經(jīng)網(wǎng)絡(luò)的入侵檢測(cè)，利用神經(jīng)網(wǎng)絡(luò)模糊的運(yùn)算能力，可以一定程度上解決模式識(shí)別中的問題。網(wǎng)絡(luò)入侵檢測(cè)是對(duì)網(wǎng)絡(luò)上的數(shù)據(jù)進(jìn)行識(shí)別，將其分類為正常或者非正常的數(shù)據(jù)。傳統(tǒng)的BP神經(jīng)網(wǎng)絡(luò)本身存在著算法的限制，容易陷入數(shù)值局部最小，利用改進(jìn)的遺傳算法優(yōu)化神經(jīng)網(wǎng)絡(luò)權(quán)值，一定程度上加強(qiáng)全局?jǐn)?shù)據(jù)搜索能力，提高系統(tǒng)實(shí)用性。研究神經(jīng)網(wǎng)絡(luò)系統(tǒng)的相關(guān)原理和基于改進(jìn)神經(jīng)網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)的優(yōu)點(diǎn)，設(shè)計(jì)將神經(jīng)網(wǎng)絡(luò)應(yīng)用于網(wǎng)絡(luò)檢測(cè)，能夠使改進(jìn)的遺傳算法更適合于入侵監(jiān)測(cè)系統(tǒng)。

1 神經(jīng)網(wǎng)絡(luò)和網(wǎng)絡(luò)入侵檢測(cè)流程

神經(jīng)網(wǎng)絡(luò)是對(duì)人腦的簡(jiǎn)單抽象與模擬，它包含多重簡(jiǎn)單單元組成的并行網(wǎng)絡(luò)，模擬人的神經(jīng)系統(tǒng)對(duì)世界做出交互反應(yīng)。神經(jīng)網(wǎng)絡(luò)將信息的存儲(chǔ)與處理之間的界限消除，介入到網(wǎng)絡(luò)檢測(cè)領(lǐng)域，為一些問題的提出提供了新的思路[2]。神經(jīng)網(wǎng)絡(luò)不同于傳統(tǒng)的只用一個(gè)計(jì)算單元計(jì)算的模式，系統(tǒng)采集大量的數(shù)據(jù)為系統(tǒng)提供樣本，通過不斷的學(xué)習(xí)建立計(jì)算模型，繼而建立神經(jīng)網(wǎng)絡(luò)計(jì)算模型，它的基本功能是通過交互神經(jīng)元的大規(guī)模并行運(yùn)算實(shí)現(xiàn)。

人們對(duì)入侵檢測(cè)系統(tǒng)的研究應(yīng)用，使傳統(tǒng)網(wǎng)絡(luò)安全技術(shù)的不足被更多的關(guān)注，網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)的逐步完善，將為網(wǎng)絡(luò)安全提供更多的保障。入侵檢測(cè)技術(shù)是網(wǎng)絡(luò)安全系統(tǒng)中的一個(gè)重要環(huán)節(jié)，在安全監(jiān)測(cè)中，能夠發(fā)現(xiàn)網(wǎng)絡(luò)系統(tǒng)中的安全漏洞，安全檢測(cè)工具可以實(shí)現(xiàn)實(shí)時(shí)動(dòng)態(tài)對(duì)網(wǎng)絡(luò)系統(tǒng)攻擊的監(jiān)測(cè)，通過監(jiān)測(cè)和分析用戶的系統(tǒng)活動(dòng)，檢查系統(tǒng)存在的漏洞，關(guān)注數(shù)據(jù)文件的完整性來識(shí)別攻擊行為，統(tǒng)計(jì)異常行為的同時(shí)識(shí)別用戶活動(dòng)中違反安全的部分。它的工作原理實(shí)際上就是從不同的環(huán)節(jié)收集和分析信息，記錄并報(bào)告檢測(cè)結(jié)果的過程。如圖1所示：

一般來說，網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)的組成構(gòu)件主要包括數(shù)據(jù)源、從數(shù)據(jù)源收集數(shù)據(jù)的傳感器、行為、分析處理收集到數(shù)據(jù)的分析器、事件、管理器和響應(yīng)器等。將神經(jīng)網(wǎng)絡(luò)應(yīng)用于網(wǎng)絡(luò)入侵檢測(cè)，提供系統(tǒng)的審計(jì)數(shù)據(jù)給神經(jīng)網(wǎng)絡(luò)，它就可以提取到用戶與系統(tǒng)的正常特征模式。神經(jīng)網(wǎng)絡(luò)在了解入侵實(shí)例后就可以對(duì)新的攻擊模式產(chǎn)生反應(yīng)，使網(wǎng)絡(luò)入侵檢測(cè)具有主動(dòng)性，同時(shí)反應(yīng)出偏離系統(tǒng)正常工作的事件[3]。隨著網(wǎng)絡(luò)攻擊手段的發(fā)展，網(wǎng)絡(luò)入侵技術(shù)的發(fā)展也有了新的要求，更好的將神經(jīng)網(wǎng)絡(luò)應(yīng)用于網(wǎng)絡(luò)入侵檢測(cè)，改進(jìn)神經(jīng)網(wǎng)絡(luò)和入侵檢測(cè)，是我們研究的重要內(nèi)容。

2 基于改進(jìn)神經(jīng)網(wǎng)絡(luò)的網(wǎng)絡(luò)入侵檢測(cè)設(shè)計(jì)

神經(jīng)網(wǎng)絡(luò)在解決模式識(shí)別問題時(shí)存在怎樣選擇結(jié)構(gòu)和參數(shù)的問題，雖然神經(jīng)網(wǎng)絡(luò)具有強(qiáng)大的能力，但是為了提供更加的性能，改進(jìn)神經(jīng)網(wǎng)絡(luò)為一種可調(diào)節(jié)的動(dòng)態(tài)神經(jīng)網(wǎng)絡(luò)是非常有價(jià)值的開發(fā)工作。這種入侵檢測(cè)系統(tǒng)的原理是從網(wǎng)絡(luò)中捕捉數(shù)據(jù)，數(shù)據(jù)包進(jìn)行提取信息并解析，特征提取模塊得到的屬性送入系統(tǒng)，最后由GABP檢測(cè)引擎進(jìn)行辨別。GABP檢測(cè)引擎模塊的設(shè)計(jì)的原理是，先訓(xùn)練BP神經(jīng)網(wǎng)絡(luò)，再經(jīng)由GA優(yōu)化復(fù)制、交叉，直到訓(xùn)練過程達(dá)到標(biāo)準(zhǔn)，這種優(yōu)化帶來的局部最小值，使學(xué)習(xí)效率得到了提高，保證了入侵檢測(cè)系統(tǒng)的準(zhǔn)確程度。改進(jìn)后的網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)的神經(jīng)網(wǎng)絡(luò)結(jié)構(gòu)如圖2所示：endprint

神經(jīng)網(wǎng)絡(luò)中輸入與輸出的關(guān)系函數(shù)通常定義為

公式中D=（d1，…，dn）為期望輸出，O=（o1，…，on）為實(shí)際輸出。在本網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)中，數(shù)據(jù)采集是進(jìn)行數(shù)據(jù)檢查和做出決策的基礎(chǔ)條件，網(wǎng)絡(luò)信息采集包的準(zhǔn)確性和可靠性直接影響監(jiān)測(cè)系統(tǒng)的工作效率，數(shù)據(jù)盡量完整，才能實(shí)現(xiàn)對(duì)系統(tǒng)檢測(cè)攻擊能力的提升?；诟倪M(jìn)神經(jīng)網(wǎng)絡(luò)的入侵檢測(cè)模型主要包含獲取網(wǎng)絡(luò)信息的數(shù)據(jù)模塊、預(yù)處理信息的數(shù)據(jù)模塊、提取特征的模塊、神經(jīng)網(wǎng)絡(luò)入侵檢測(cè)的模塊等[4]。要實(shí)現(xiàn)這種模型就要通過Packet Capture library訪問數(shù)據(jù)鏈路層，與Snort軟件相結(jié)合；將收集到的數(shù)據(jù)轉(zhuǎn)化為ASCII字符信息，利用腳本語言編寫處理程序來獲得信息中的基本屬性，對(duì)比不同連接模式中的頻繁模式指導(dǎo)特征提?。粚⑼诰虺龅膹?fù)雜數(shù)據(jù)屬性進(jìn)行降維處理；標(biāo)定適應(yīng)度值，放大個(gè)體適應(yīng)度，選擇操作前保留當(dāng)前最優(yōu)解，適應(yīng)度函數(shù)值的計(jì)算為：

公式中：t是預(yù)測(cè)值，ti是真實(shí)值，n為樣本數(shù)；以局部改進(jìn)的GABP算法訓(xùn)練神經(jīng)網(wǎng)絡(luò)，用與最大適應(yīng)函數(shù)相對(duì)的權(quán)值計(jì)算，防止陷入局部極小值。

網(wǎng)絡(luò)入侵檢測(cè)作為主動(dòng)防衛(wèi)系統(tǒng)安全的技術(shù)，需要在攻擊技術(shù)不斷出現(xiàn)的未知攻擊中，將改進(jìn)神經(jīng)網(wǎng)絡(luò)作為研究熱點(diǎn)[5]。神經(jīng)算法中最常見的是Back Propagation神經(jīng)網(wǎng)絡(luò)，為了克服它存在的缺點(diǎn)，建立遺傳算法優(yōu)化的BP神經(jīng)網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)模型將發(fā)揮神經(jīng)網(wǎng)絡(luò)的泛化映射能力。改進(jìn)算法將綜合增加動(dòng)量與自適應(yīng)調(diào)節(jié)學(xué)習(xí)速率相結(jié)合，可以調(diào)整網(wǎng)絡(luò)學(xué)習(xí)速率，因此要先建立BP神經(jīng)網(wǎng)絡(luò)模型。這個(gè)過程包括：確定輸入和輸出、隱層層數(shù)的節(jié)點(diǎn)個(gè)數(shù)；調(diào)整并確立網(wǎng)絡(luò)參數(shù)，開始訓(xùn)練神經(jīng)網(wǎng)絡(luò)；趨于穩(wěn)定時(shí)在訓(xùn)練次數(shù)達(dá)到規(guī)定的要求時(shí)結(jié)束訓(xùn)練學(xué)習(xí)，此時(shí)如果神經(jīng)網(wǎng)絡(luò)的評(píng)測(cè)結(jié)果達(dá)到準(zhǔn)確程度，BP網(wǎng)絡(luò)模型就建立好了。

3 仿真實(shí)驗(yàn)

入侵檢測(cè)技術(shù)已經(jīng)取得了較快的發(fā)展，我們能夠檢測(cè)網(wǎng)絡(luò)攻擊的狀況，通過截取網(wǎng)絡(luò)數(shù)據(jù)包數(shù)據(jù)的方式，實(shí)現(xiàn)驗(yàn)證基于BP神經(jīng)網(wǎng)絡(luò)的入侵檢測(cè)模型的準(zhǔn)確程度實(shí)驗(yàn)采用Lincoln實(shí)驗(yàn)室數(shù)據(jù)作為網(wǎng)絡(luò)入侵檢測(cè)模型測(cè)試的數(shù)據(jù)集，將Matlab R2007作為仿真平臺(tái)，用相關(guān)的神經(jīng)網(wǎng)絡(luò)函數(shù)對(duì)實(shí)驗(yàn)數(shù)據(jù)進(jìn)行調(diào)用。實(shí)驗(yàn)的CPU為AMD Athlon XP 1700+，采用SQL 2000 Server數(shù)據(jù)庫。在IDS系統(tǒng)的測(cè)試環(huán)境中，通過不同類型的攻擊進(jìn)行訓(xùn)練和測(cè)試，驗(yàn)證本網(wǎng)絡(luò)入侵系統(tǒng)檢測(cè)模型的檢測(cè)能力和檢查率。實(shí)驗(yàn)的步驟包括：（1）使用600個(gè)樣本作為網(wǎng)絡(luò)訓(xùn)練的依據(jù)，150個(gè)樣本作為進(jìn)行測(cè)試的依據(jù)，通過檢驗(yàn)比較出改進(jìn)后的算法與傳統(tǒng)神經(jīng)網(wǎng)絡(luò)的檢測(cè)差別，對(duì)數(shù)據(jù)的特征進(jìn)行編碼，以Premnmx（）函數(shù)歸一數(shù)據(jù)在一定區(qū)間內(nèi)。（2）確定神經(jīng)網(wǎng)絡(luò)的結(jié)構(gòu)，參考理論與實(shí)驗(yàn)，將網(wǎng)絡(luò)拓?fù)浯_定為8-10-1，網(wǎng)格訓(xùn)練的最大次數(shù)為3000，隱含層與輸出層的激勵(lì)函數(shù)為雙曲函數(shù)和線性函數(shù)。（3）采用BP神經(jīng)網(wǎng)絡(luò)和改進(jìn)的方法進(jìn)行測(cè)試，初始值取值范圍為-0.3～0.3.學(xué)習(xí)誤差為0.0001，輸入節(jié)點(diǎn)為50，隱含節(jié)點(diǎn)為60，輸出節(jié)點(diǎn)為1。利用遺傳算法對(duì)自變量進(jìn)行優(yōu)化選擇。（4）篩選出最優(yōu)解以優(yōu)化改進(jìn)神經(jīng)網(wǎng)絡(luò)，將篩選后的變量作為改進(jìn)后神經(jīng)網(wǎng)絡(luò)的輸入，將結(jié)構(gòu)改變?yōu)樾碌膬?nèi)容。

將選取的數(shù)據(jù)結(jié)果進(jìn)行分析，實(shí)驗(yàn)中采取的經(jīng)PCA技術(shù)預(yù)處理的數(shù)據(jù)，在降低數(shù)據(jù)維數(shù)的同時(shí)，大大縮短了神經(jīng)網(wǎng)絡(luò)的測(cè)試時(shí)間。對(duì)比著傳統(tǒng)的神經(jīng)網(wǎng)絡(luò)，改進(jìn)后的網(wǎng)絡(luò)不僅收斂速度快，還具有更高的檢測(cè)率和正確性。試驗(yàn)檢測(cè)結(jié)果如圖3所示。

由上圖可以看到，改進(jìn)后的網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)相比傳統(tǒng)的網(wǎng)絡(luò)入侵檢測(cè)模型具有更高的檢測(cè)率，能夠有效地提高網(wǎng)絡(luò)的安全性。改進(jìn)神經(jīng)網(wǎng)絡(luò)的識(shí)別率能夠達(dá)到96%以上，在檢測(cè)入侵上具有巨大的發(fā)展?jié)摿Γ趦?yōu)化遺傳算法自變量之后，加快的收斂速度能有效地縮短時(shí)間，顯著提高了檢測(cè)率。

4結(jié)束語

通過本文的研究可以發(fā)現(xiàn)，依據(jù)傳統(tǒng)神經(jīng)網(wǎng)絡(luò)的特點(diǎn)。將改進(jìn)后的神經(jīng)網(wǎng)絡(luò)應(yīng)用于網(wǎng)絡(luò)入侵檢測(cè)中，優(yōu)化篩選參與建模的自變量，能有效地減少誤差，提高效率縮短時(shí)間。網(wǎng)絡(luò)入侵檢測(cè)是全新的具備主動(dòng)性的安全防護(hù)技術(shù)，基于改進(jìn)神經(jīng)網(wǎng)絡(luò)的入侵檢測(cè)成為網(wǎng)絡(luò)安全技術(shù)提升必不可少的補(bǔ)充。隨著網(wǎng)絡(luò)規(guī)模的擴(kuò)大和手段的變化，網(wǎng)絡(luò)入侵檢測(cè)能力也提出了更高的要求[6]。傳統(tǒng)BP神經(jīng)網(wǎng)絡(luò)模型限制了網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)的應(yīng)用，改進(jìn)后的神經(jīng)網(wǎng)絡(luò)在網(wǎng)絡(luò)入侵檢測(cè)中的應(yīng)用能力和研究成果還需要進(jìn)一步的深入，爭(zhēng)取構(gòu)建網(wǎng)絡(luò)入侵檢測(cè)與身份認(rèn)證、數(shù)據(jù)加密等技術(shù)相結(jié)合的多層次防護(hù)體系。

參考文獻(xiàn)：

[1]羅俊松.基于神經(jīng)網(wǎng)絡(luò)的BP算法研究及在網(wǎng)絡(luò)入侵檢測(cè)中的應(yīng)用[J].現(xiàn)代電子技術(shù)，2017，40（11）：91-94.

[2]詹沐清.神經(jīng)網(wǎng)絡(luò)技術(shù)在網(wǎng)絡(luò)入侵檢測(cè)模型及系統(tǒng)中的應(yīng)用[J].現(xiàn)代電子技術(shù)，2015，38（21）：105-108.

[3]周立軍，張杰，呂海燕.基于數(shù)據(jù)挖掘技術(shù)的網(wǎng)絡(luò)入侵檢測(cè)技術(shù)研究[J].現(xiàn)代電子技術(shù)，2016，39（6）：10-13.

[4]張永良，張智勤，吳鴻韜，等.基于改進(jìn)卷積神經(jīng)網(wǎng)絡(luò)的周界入侵檢測(cè)方法[J].計(jì)算機(jī)科學(xué)，2017，44（3）：182-186.

[5]劉浩然，趙翠香，李軒，等.一種基于改進(jìn)遺傳算法的神經(jīng)網(wǎng)絡(luò)優(yōu)化算法研究[J].儀器儀表學(xué)報(bào)，2016，37（7）：1573-1580.

[6]劉敬，谷利澤，鈕心忻，等.基于神經(jīng)網(wǎng)絡(luò)和遺傳算法的網(wǎng)絡(luò)安全事件分析方法[J].北京郵電大學(xué)學(xué)報(bào)，2015，38（2）：50-54.endprint