基于神經網絡的入侵檢測技術

李曾吉

摘要:隨著計算機的普及和Internet的迅速發展,計算機系統和網絡安全的漏洞問題不斷暴露出來,網絡惡意攻擊事件不斷發生,網絡安全問題日益嚴重,因此,網絡安全技術逐漸受到人們的重視。

關鍵詞:網絡安全入侵檢測技術神經網絡算法

中圖分類號:TP3 文獻標識碼:A 文章編號:1674-098X(2012)06(c)-0022-01

1 網絡安全概述

1.1 網絡安全

通俗來講,網絡安全就是指網絡上的信息安全。詳細來說,網絡安全是指網絡系統的硬件、軟件及其系統中的數據受到保護,在偶然的或者惡意的因素影響下不遭受破壞、更改和泄露,保證系統連續正常可靠地運行,保證網絡服務不中斷。網絡安全的研究領域包括網絡上信息的保密性、完整性、可用性、真實性和可控性的相關技術和理論。網絡安全技術非常復雜,集成了多種安全技術和設備。

1.2 影響網絡安全的因素

網絡安全是保護用戶信息安全的基礎,一些黑客利用網絡上的漏洞,非法進入未被授權的目標計算機,對目標計算機內部網絡和數據資源進行訪問或者破壞、刪除、復制計算機內部的數據信息;有些非法訪問者登陸未被授權的計算機竊取計算機信息,從而獲取機密文件或者非法獲取密碼;非法入侵者利用非法手段獲取未被授權的權限入侵網絡,同時利用這些網絡上的漏洞傳播病毒、泄露信息、致使網絡癱瘓等網絡安全問題的發生;總結來說,黑客入侵、竊取信息、計算機病毒、網絡管理漏洞是影響網絡安全的三個主要因素。

2 基于神經網絡算法的入侵檢測技術

2.1 常用網絡安全技術

網絡安全技術的使用可以保證信息的安全、建立起一套完整的網絡防御體系,保護系統中的數據不被篡改,保證系統連續正常可靠地運行,保證網絡服務不中斷。目前,防火墻技術、認證技術入、侵檢測技術和數據加密技術等是常用的幾種網絡安全技術。

2.2 基于神經網絡算法的入侵檢測技術

(1)入侵檢測技術

入侵檢測技術是用來發現入侵行為,防止網絡攻擊的技術,在一定程度上保證了網絡的安全。入侵檢測主要通過對計算機系統或者網絡中的一些關鍵點收集信息并然后分析這些關鍵點,從而發現系統或網絡中的違反安全策略的行為和被攻擊的跡象。入侵檢測可以對內部入侵、外部入侵和誤操作實時保護,在網絡系統受到危害之前攔截入侵,可以說是一種積極主動的安全防護技術。入侵檢測可以監測并分析用戶和系統的活動;評估系統關鍵資源和數據文件的完整性;核查系統配置和漏洞;識別已經知道的攻擊行為;分析統計異常的行為;操作系統日志管理,并識別違反安全策略的用戶活動;當發現入侵時系統能夠及時作出響應,切斷網絡連接、記錄事件和報警等。

(2)基于神經網絡算法的入侵檢測技術

近年來,基于神經網絡算法的入侵檢測技術逐漸成為眾多學者研究的熱點。神經網絡理論是仿效生物信息處理模式以獲得智能信息處理功能的理論和方法。在誤用檢測和異常檢測時均可使用。尤其是異常檢測,由于要對檢測對象行為特征進行建模或學習,分析的數據依賴于對象行為和海量的信息資源,特別適宜用神經網絡的計算方法來實現。同時神經網絡分類具備的自學習和識別未知攻擊行為的能力,可以對獲取的新攻擊類型存儲,不斷地更新樣本庫,可以提高識別攻擊的能力,提高入侵檢測系統的性能。

基于神經網絡的入侵檢測模型如圖1。

收集到的數據須經過處理轉換為神經網絡所能識別的數據,作為輸入層數據;隱含層節點均采用Sigmoid轉換函數g(h)=1/ (1+);設置兩個輸出層節點,其中,y1和y2分別表示正常行為和異常行為的概率,在[0,1]之間取值,并設定和分別表示正常和異常的閾值。

判斷方法有4種:

(a)y1=1,y2=0代表正常;

(b)y1=0,y2=1代表異常,進行異常處理;

(c)y1>y2且y1與y2的值在(0,1)之間,y1>,可認為是正常,只需給出必要的提示信息;

(d)y1,進行報警。

(3)神經網絡入侵檢測設計

神經網絡算法需要進行訓練學習,之后才能運用于實際問題的處理。給定一個學習樣本庫和網絡訓練要達到的目標作為神經網絡模塊的輸入,之后利用某種訓練算法對該訓練樣本庫中的樣本進行學習處理,直到達到所要求的訓練目標。經過訓練以后,用于判別攻擊行為的有關知識就以權值的形式被神經網絡記憶,從而在神經網絡內部建立起了對攻擊行為的識別模型,在獲得未知樣本的輸入之后,就可以對該樣本進行分析處理,以達到判別的目的。設計神經網絡模型的注意事項如下:

①設置隱含層數。BP網絡設置為三層時就能夠滿足所有的維到維的映射,也就是說一層隱含層就可以滿足神經網絡模型的計算能力。②確定輸入層和輸出層單元數。一般來說輸入維數是特征向量元數,輸出維數指的是類別數。③確定隱含層的單元數。在確定隱含層層數以及隱含層單元數目時,沒有一個嚴格的理論依據指導,需要根據特定的問題,結合經驗公式設置大致范圍來進行逐步試算比較得到,或者將值取為輸出輸人單元數和的一半,然后進行試驗性調整。④初始化權值。初始化權值的目的是保證網絡的收斂性,通常把權值初始化為小隨機數。⑤樣本的預處理。將輸入特征進行標準化和歸一化,即將每組數據都歸一化變為[-1,1]之間的數值的處理過程,目的是為了加快網絡的訓練速度。

基于上述的注意事項,設計了可以判別網絡入侵行為的BP神經網絡分類模型。

在入侵檢測系統中,應該先得到典型網絡攻擊行為的樣本作為學習樣本庫,然后將這些樣本應用于對神經網絡分類的訓練中。通過訓練,神經網絡以權值的形式保存上述攻擊行為的特征模式,把神經網絡分類用于實際工作之后,就能夠對獲取的網絡數據流進行分析處理,并判別行為的正常與否。實驗結果顯示:這個模型不僅能夠準確檢測出現有的攻擊手段,同時對以前未接受過訓練的攻擊手段也可以有效地識別。

3 結語

隨著計算機技術的普及和Internet的迅速發展,計算機系統和網絡安全的漏洞問題不斷暴露出來,如何保證信息的安全、建立起一套完整的網絡防御體系,已經成為網絡安全問題研究的關鍵點。

參考文獻

[1] 張千里,陳光英.網絡安全新技術[J].北京:人民郵電出版社,2003.

[2] 周國民.入侵檢測系統評價與技術發展研究[J].現代電子技術,2004(12).