基于人工神經網絡的黑客入侵檢測系統

梁 瀟，林清馨

（貴州大學 貴州 貴陽 550025）

資源的共享和分布增加了網絡受攻擊的可能性。 目前網絡安全系統主要采用的是以防火墻為主的被動管理，即根據設定的規則，對流入網絡中的流量進行過濾，從而防止非法行為的入侵[1]。當前在網絡安全問題的解決上所采取的上述技術手段對防止系統非法入侵具有一定的效果，但它們只是起著防御的功能，不能完全阻止入侵者通過蠻力攻擊或利用計算機軟硬件系統的缺陷闖入未授權的計算機或濫用計算機及網絡資源，這些技術手段已經不能滿足日益變化的網絡安全需要了。而另一項技術——入侵檢測技術，則有效的彌補了這些不足。

因此，一個安全的網絡系統應該既要有防火墻等防御手段，也需要有能夠對網絡安全進行實時控制、攻擊與反攻擊的網絡入侵檢測系統，實現網絡內外的聯合安全防范，為網絡系統提供良好的安全保障。如今，黑客入侵檢測系統已經成為安全研究界和產業界所共同關注的焦點[2-3]。黑客入侵檢測系統的應用，能使在入侵攻擊對系統發生危害前，檢測到入侵攻擊，并利用報警系統和防護系統防止黑客入侵攻擊。在黑客入侵攻擊過程中，能減少入侵攻擊所造成的損失；在被入侵攻擊后，收集入侵攻擊的相關信息，作為防范系統的知識，添加到知識庫內，以增強系統的防范能力。

本文的目的就是對人工神經網絡進行適當的改進，將其應用于網絡黑客入侵檢測系統中，以提高系統的效率，包括檢測速度的提高、減少漏報率和誤報率。

1 基于人工神經網絡的黑客入侵檢測系統

1.1 黑客入侵檢測系統框架

一個黑客入侵檢測系統的通用模型分為4大部分：

1）事件產生器，2）事件分析器，3）響應單元，4）事件數據庫。結構如圖1所示。

黑客入侵檢測系統需要分析的數據統稱為事件，它可以是基于網絡的黑客入侵檢測系統中的數據包，也可以是基于主機的黑客入侵檢測系統從系統日志等其他途徑得到的信息。事件產生器的目的是從整個計算環境中獲得事件，并向系統的其他部分提供此事件。為促進入侵檢測系統間的合作，它也對于各部件之間的信息傳遞格式、通信方法和標準API進行了標準化[4]。事件分析器分析得到的數據，并產生分析結果。響應單元則是對分析結果做出反應的功能單元，它可以做出切斷連接、改變文件屬性等強烈反應，甚至發動對攻擊者的反擊，也可以只是簡單的報警。事件數據庫是存放各種中間和最終數據的地方的統稱，它可以是復雜的數據庫，也可以是簡單的文本文件。

圖1 黑客入侵檢測系統框架Fig.1 Framework of hacker intrusion detection system

在現有的黑客入侵檢測系統中，經常用日志提取、分析引擎和報警機制來分別代替事件產生器、事件分析器和響應單元這些術語，而事件數據庫常簡單表現為日志文件的形式。

1.2 黑客入侵檢測系統體系結構和工作原理

一個完善的人工神經網路的黑客入侵檢測系統在結構上應該包括事件產生器、事件分析器、事件數據庫和響應單元等4大部分[5]。作為一項主要目的是嘗試和驗證神經網絡技術在網絡黑客入侵檢測系統中應用的可行性和有效性的研究工作，我們的精力和重點更多的集中在數據的收集（代表事件產生器）和數據分析（代表事件分析器）上，相應的部件在我們的系統里邊分別稱為數據收集模塊和神經網絡分類模塊。對于事件數據庫和響應單元，我們簡單的用日志文件和報警機制來實現。圖2給出了系統的總體結構。

圖2 基于人工神經網絡的黑客入侵檢測系統體系結構Fig.2 Architecture of hacker intrusion detection system based on artificial neural network

結合上圖，其工作原理是：數據收集模塊讀取主機日志文件，并捕獲所有流經系統監測網段的網絡數據流，預處理模塊對所有收集到的數據流進行分析處理，提取出可以完備而準確代表該數據流的特征向量并轉化為神經網絡可識別的輸入，將該特征向量提交給神經網絡分類模塊，神經網絡分類模塊對這一特征向量進行分析和處理，從而判別出是否是一種入侵行為，如果神經網絡分類引擎經過分析處理以后認為是一種攻擊行為，則向用戶發出警告信息，并將攻擊事件相關信息記錄在日志文件里，以備事后計算機取證；如果發現是一種未知類型的攻擊行為，則將該次攻擊事件加入到攻擊樣本庫里，以備神經網絡分類模塊的再學習。這體現了神經網絡所具備的不斷學習以識別更多類型攻擊行為的能力，也是神經網絡入侵檢測系統相比于一般的基于規則入侵檢測系統的突出優勢和亮點，對入侵檢測系統的實際應用具有很大的價值[6]。

1.3 系統功能介紹

1）數據收集功能分析

本系統采用分布式入侵檢測系統，因此其數據源來自于兩部分，該模塊主要實現捕獲網絡數據包和讀取主機日志文件的功能。其結構如圖3所示。

2）數據預處理功能分析

圖3 數據收集模塊示意圖Fig.3 Schematic diagram of the data collection module

該模塊對數據收集模塊送來的原始數據包做進一步的加工處理，包括對數據包進行解碼，過濾掉其中的錯誤數據和重復數據，將原始的數據源轉化為事件分析器可以識別的數據流，即標準化數據源，并產生相應的特征值作為神經網絡分類模塊的輸入值。

3）神經網絡分類功能分析

根據標準的數據源提供的數據進行分析分類，做出是否有入侵行為的判斷，并將判斷結果發送給其自身的事件報告模塊，同時發送給報警機制，根據事態的嚴重程度不同，采取相應行動，若發現了未知類型攻擊行為，可以在用戶參與下將該次攻擊事件加入到攻擊樣本庫里，以備神經網絡分類引擎的再學習，其結構如圖4所示。

圖4 神經網絡分類引擎模塊示意圖Fig.4 Schematic diagram of neural network classification engine module

4）報警機制

如果神經網絡分類引擎經過分析處理以后認為是一種攻擊行為，則向用戶發出警告信息，并按結果的輕重緩急采取相應的安全措施，同時將攻擊事件相關信息記錄在日志文件里，以備事后計算機取證。

5）攻擊樣本庫

將發現的未知類型攻擊行為，在用戶參與下將該次攻擊事件加入到攻擊樣本庫里，以備人工神經網絡分類引擎的再學習。

1.4 關鍵技術—人工神經網絡檢測功能

使用人工神經網絡作為獨立的分析模塊時，不需要像某些實時系統那樣維持一個專門知識庫，而且時時更新。訓練良好的人工神經網絡有很好的推廣性，可以成功地檢測具有相同或相似特征的不同攻擊[7]。但是，由于入侵方式的多樣性和多變性，訓練完成的人工神經網絡不可能對往后遇到的所有新型入侵行為都有效，因此重新訓練是很有必要的；再者，為了滿足事后求證的需要，要求備份某些有用信息，所以不能在提取到特征信息后就將原始數據包徹底丟棄。人工神經網絡檢測模塊接收來自數據預處理模塊生成的多個檢測特征矢量，并啟動檢測功能，以判斷是否有入侵發生。

1.5 實驗結果及性能分析

本實驗以1 000個樣本數據輸入神經網絡，其中Code Red攻擊1 000次，DoS攻擊1 000次，木馬攻擊1 000次，CodeRed變種1 000次。

本實驗的實驗環境：Core（TM）2，1.66 GHz，內存 1 G，網卡D-Link 100 M。

下面是神經網絡底檢測結果：

漏報率=[實際黑客入侵次數-正確報警數]/實際黑客入侵次數

誤報率=錯誤報警率 /正常數據包總數（6 000）

檢測Times為檢測1 000個樣本數據包的時間

表1 使用未改進的神經網絡后的實驗結果Tab.1 The results of using non-im proved neural network

表2 使用改進的神經網絡后的實驗結果Tab.2 The results of using imp roved neural network

表3 未使用神經網絡的實驗結果Tab.3 The resu lts of w ithout neural network

通過上面的實驗結果，得出以下幾點結論：

1）將人工神經網絡應用在網絡黑客入侵檢測系統中提高了系統的性能及自學習能。由于在上面的樣本數據包中，我們的規則庫中事先并沒有與CodeRed變種相對應的規則，在對神經網絡進行訓練的時候也并不包含CodeRed變種的學習樣本，所以CodeRed變種對于入侵檢測系統來說是一個全新的攻擊類型，那么通過上面的實驗結果，我們發現，在使用神經網絡的系統中，我們能夠鑒別出這種攻擊，檢測成功率低是因為我們的數據包數量較小，不能夠讓神經網絡得到充分的學習，如果有足夠的數據樣本，檢測率將很快上升。

2）將人工神經網絡應用在入侵檢測系統中對于降低系統的漏報率和誤報率起到了較大的作用。而改進后的PB算法使其進一步降低。

3）改進后的BP算法提高了神經網絡的收斂速度，反應在檢測時間上，我們可以看到從12 000 ms提高到9 500 ms（這樣的檢測速度相對于商用檢測系統來說依然是較慢的，但是文中實現的只是一個簡單的系統，系統結構較為簡單，代碼也并未進行優化），而神經網絡也的確可以提高檢測效率（不使用神經網絡時耗時15 000 ms）。

2 結 論

黑客入侵檢測技術己經發展了十多年，但是由于黑客入侵手段的復雜性和多變性，想要確定黑客入侵行為與網絡數據特征之間的函數關系是不可能的，因此只能對其進行估計和逼近。人工智能技術在黑客入侵檢測中的應用就是為了實現該關系函數的逼近，應對多變的網絡安全現狀。人工神經網絡是人工智能的一個研究領域，多年來已經發展得比較成熟。人工神經網絡具有良好的自適應能力和泛化能力，人工神經網絡的非線性處理能力和概括抽象能力非常適應處理入侵檢測這類問題。

本文主要研究人工神經網絡在入侵檢測中的應用。研究如何將神經網絡成功應用于入侵檢測，并給出了一個基于神經網絡的網絡入侵檢測系統的模型，該模型由數據收集模塊、預處理模塊、神經網絡分類模塊、攻擊樣本庫、報警機制5部分組成，其中詳細介紹了本文的研究重點—神經網絡分類模塊。

[1]薛俊，陳行，陶軍.一種基于神經網絡的入侵檢測技術[J].計算機技術與發展，2009，19（8）:148-154.XUE Jun，CHEN Xing，TAO Jun.The intrusion detection technology based on neural network[J].Computer Technology and Development，2009，19（8）:148-154.

[2]朱守業.基于BP神經網絡和Bagging算法的入侵檢測[J].計算機工程與應用，2009，45（18）:123-125.ZHU Shou-ye.The intrusion detection based on BP neural network and Bagging arithmetic[J].Computer Engineering and Applications，2009，45（18）:123-125.

[3]林果園，曹天杰.入侵檢測系統研究綜述[J].計算機應用與軟件，2009，26（3）:14-17.LINGuo-yuan，CAOTian-jie.Intrusion detection system review[J].Computer Applications and Software，2009，26（3）:14-17.

[4]徐暉，張衛平.入侵檢測系統的發展與研究[J].微機發展，2003，13（1）:67-69.XU Hui，ZHANG Wei-ping.Intrusion detection system developmentand research[J].Computer Developoment，2003，13（1）:67-69.

[5]薛英花，呂述望.入侵檢測系統研究[J].計算機工程與應用，2003，39（1）:150-152.XUE Ying-hua，LV Shu-wang.Intrusion detection system research[J].Computer Engineering and Applications，2003，39（1）:150-152.

[6]張瑞霞，王勇.入侵檢測系統綜述[J].計算機工程與科學，2002，24（6）:27-31.ZHANG Rui-xia，WANG Yong.Intrusion detection system review[J].Computer Engineering and Science，2002，24（6）:27-31.

[7]李家春，李之棠.神經模糊入侵檢測系統的研究[J].計算機工程與應用，2001，37（17）:37-38.LI Jia-chun，LI Zhi-tang.Research of Neuro-Fuzzy intrusion detection system[J].Computer Engineering and Applications，2001，37（17）:37-38.