基于神經網絡的入侵檢測

陳佳威

（湖南科技學院 電子與信息工程學院，湖南 永州 425199）

基于神經網絡的入侵檢測

陳佳威

（湖南科技學院 電子與信息工程學院，湖南 永州 425199）

文章在分析BP神經網絡基礎上，提出了一個入侵檢測模型。該模型能進行基本的入侵檢測。最后測試結果表明，按照本實驗設計的入侵檢測模型實現了檢測，達到設計的要求。

入侵檢測；神經網絡；BP算法

1 入侵檢測的意義和目標

常用的入侵檢測方法：誤用檢測和異常檢測。而上述檢測方法存在很多的不足，比如自學習能力，特別是在入侵檢測中，需要達到很高的準確性，而且要求實時程度比較高，現有的這些方法不能很好地解決這些問題。所以，研究實現基于BP神經網絡的入侵檢測具有非常重要的現實意義。

2 國內外研究現狀

入侵檢測是我們數據安全和網絡安全的有力保障，各個國家的該領域專家都進行了大量的學習和研究。當然國外一直走在最前列，他們有比較成熟的代表模型，國內的思科在這方面做得很優秀。比如有國內的NetRanger，NetRanger是思科開發的產品，還有RealSecure，RealSecure是ISS公司開發的成熟產品。還有一些開放源碼網絡入侵檢測系統，這種開放源代碼可以幫助人們更好地進行學習溝通和交流。自治代理入侵檢測系統、基于圖形的入侵檢測系統等等都具有非常重要的學習和研究意義，本次實驗借鑒了上述入侵檢測成熟產品進行。

除了上述的成熟產品，還有領域專家進行的科學實驗研究，也取得了很大的發展，在入侵檢測領域，具有很長遠的發展空間。也是這次進行學習和實驗，并設計實現的依據所在。當然，不斷發展的網絡技術和計算機技術，要求提出的模型可以滿足很多領域的要求，但是總的來說，入侵檢測的發展大概有以下5個基本方向，本文選擇了其中一個點進行研究和實驗，是具有現實意義的。

2.1 入侵檢測的主要方向比較多

但目前來說，主要還是專注在智能化檢測方法的研究和實現方面。現實網絡環境中，出現的各種入侵方式和原理多樣，要抵御這種攻擊，必須作出更多和更加高質量的模型。比如加入神經網路、BP算法、智能模型或者向量機等各種技術和方法，就能很好地幫助抵制各種入侵，從而進行入侵檢測。

2.2 入侵檢測還有一些比較前沿的研究領地

如在入侵檢測中，他們的數據分析關聯性問題，以及給用戶發出的警告信息是否可以合并或者說組合成一些比較完善的模型，幫助展開用戶的個性化分析，以及入侵方式方法的分析。從而幫助抵制外界的入侵，達到精準抵御和防止入侵發生的目的，這是本次實驗需要解決的關鍵問題。提高入侵檢測效率勢在必行，也具有非常重要的研究價值。

2.3 入侵檢測的體系結構多種多樣，其中最主要的是分布式的入侵檢測

這種檢測方式，最主要研究的重要方法和原理包括：在網絡連接中的協議如何，對數據如何進行總結和處理，處理的技術如何，數據傳遞的基本標準能否幫助實驗進行入侵檢測。

2.4 入侵檢測新的研究方向是入侵容忍度

在有入侵的情況下，網絡環境，本機系統，本身自帶的防火墻，對各種入侵的忍受程度如何。如果入侵，但并不能竊取數據信息，或者對本機的信息破壞或者盜取的程度不大，那么入侵容忍度是可以接受的。這個方面的研究也具有非常重要的研究意義。

2.5 入侵檢測最重要的是性能的測評

各個國家的專家，都在做同一件事情，因為入侵檢測的時效性很高，需要及時進行反映和回饋。從這個角度上分析，檢測的性能必然是很關鍵的一個環節，也是進行實驗的一個重要方向。

3 算法的技術路線

本實驗基于一個理想模型，首先從網絡中捕獲一定數量的TCP數據包（假設這些數據包為非入侵包），并用這些數據包訓練神經網絡，訓練完成后，神經網絡形成了非入侵數據包的行為輪廓，然后利用所得的神經網絡權重矩陣和閾值矩陣進行入侵檢測。檢測時因為已經形成了正常數據包的權重矩陣和閾值矩陣，所以對于正常數據包其檢測速度和誤差均滿足實驗要求，而對于入侵包，因為沒有其相應的權重矩陣和閾值矩陣，故對其進行檢測時誤差較大，不滿足題目要求，從而判斷出其屬異常包。

本實驗建立的基于神經網絡的入侵檢測模型，具體實現時建立如下模塊。

（1）數據包捕獲模塊。用于從網絡捕獲數據包，本實驗為實現方便，只對TCP數據包進行捕獲和檢測。

（2）數據分析模塊。從捕獲模塊獲得數據包，分析數據包，產生神經網絡的輸入字段。

（3）訓練模塊。用于對神經網絡進行訓練，本實驗在訓練時輸入正常數據包，使神經網絡形成對正常數據包的行為輪廓和閾值矩陣。

（4）測試模塊。用于數據包的測試，輸出測試結果。

4 實驗數據及結果

實驗的運行環境為：Pentiu m（R）Dual-Core CPU T4200 2.0 GHz，內存為2 GB。另外還配置JDK，Winpcap，Jpcap環境，用Java語言實現了BP神經網絡算法，并進行了入侵的檢測。在具體檢測時，定義一個訓練組數，本實驗共進行了3組訓練的測試，每一訓練組中包含一定數目的數據包（TCP數據包），在規定的允許誤差，學習率的情況下，實際輸出滿足實驗要求。神經網絡經過訓練后形成了對正常數據包的行為輪廓，記錄了相應的權重矩陣和閾值矩陣，可將其用于入侵的檢測。在本實驗中通過發送特定的異常包（TCP數據包，其源IP地址和目的IP地址相同），該模型可檢測出其狀態。如表2所示，表2中共有10個數據包，前面9個數據包屬正常的數據包，其相應的檢測狀態為正常，而第10個數據包，其源IP地址和目的IP地址相同，屬異常數據包，其相應的檢測狀態為異常。

表1 檢測結果

5 結語

本實驗實現了BP神經網絡算法，并將其用于簡單的入侵檢測模型。在實驗過程中，數據的處理難度較大，要實現BP神經網絡模型有很大發展空間，還需要不斷潛心研究和進行試驗。

（1）訓練對于本次試驗來說非常重要，只有經過了訓練和學習以后，才能達到入侵檢測的要求。但是，現代先進的計算機技術和網絡技術，給這次實驗帶來了方便和機會。而神經網絡對有些初始值收斂很慢，如果每次檢測時進行訓練，不利于入侵的檢測，如何有效地選取訓練樣本是下一步要研究的問題。

（2）由于時間原因，本實驗只實現了一個簡單的入侵檢測模型，只能對特定的異常包做出標記，由于神經網絡具有自學習性，可以在收集了合適的訓練數據后，對神經網絡進行訓練，從而用于更多的檢測。

（3）數據包信息對于本系統來說很重要，也是關鍵所在。入侵檢測，需要檢測的信息量很大，對于本次實驗來說，難度很高。但是，本文研究的模型完全可以抵制或者防御危險的信息和數據。在實驗過程中，本文也總結出了模型的基本框架和基本的原理，對于后續的研究具有重要的意義。

（4）入侵檢測是過程總是在某種算法的基礎上實現的，這次實驗完全基于協議分析。本實驗在將神經網絡應用到入侵檢測時沒能很好地體現神經網絡的優點，這將是下一步工作的重點。

[1]張永良，張智勤，吳鴻韜.基于改進卷積神經網絡的周界入侵檢測方法[J].計算機科學，2017（3）：182-186.

[2]劉博文.人工神經網絡的改進及其在入侵檢測中的應用[J].電腦知識與技術，2016（12）：188-189.

[3]吳春瓊，黃曉.基于猴群算法優化的神經網絡在入侵檢測中的應用研究[J].網絡空間安全，2016（6）：14-18.

Intrusion detection based on neural network

Chen Jiawei
（Electronic and Information Engineering School of Hunan University of Science and Engineering, Yongzhou 425199, China）

Based on the analysis of BP neural network, this paper proposed an intrusion detection model. The model of intrusion detection can be used to carry out the basic detection test. Final test results show that intrusion detection model in accordance with the experimental design meets the design requirements.

intrusion detection; neural network; BP algorithm

陳佳威（1992— ），男，廣東梅州；研究方向：智能算法，開源軟件。