基于改進神經網絡的網絡入侵檢測

劉建

摘 要：隨著計算機網絡的高速發展，從20世紀90年代初至今的幾十年中，網絡安全問題日漸突出，計算機信息的安全和防御受到嚴重影響。傳統非神經網絡入侵檢測包含著效率低、誤差較大和收斂速度慢等問題。采用改進的遺傳算法來使神經網絡權值與BP算法結合，能夠滿足入侵檢測分類識別的需求，利用給定的動態神經網絡系統構建相應的網絡入侵檢測系統，能適應不同類型的入侵檢測，有效地提高了網絡的安全性。

關鍵詞：改進神經網絡；網絡入侵檢測；遺傳算法

中圖分類號：TP393.08 文獻標志碼：A 文章編號：2095-2945（2018）02-0011-03

Abstract： With the rapid development of computer network， in the past decades from the beginning of the 1990s to the present， the problem of network security has become increasingly prominent， and the security and defense of computer information have been seriously affected. Traditional non-neural network intrusion detection includes problems such as low efficiency， large error and slow convergence rate. The improved genetic algorithm is used to combine the weights of neural network with BP algorithm， which can meet the needs of intrusion detection classification and recognition， and construct the corresponding network intrusion detection system using the given dynamic neural network system. This adapts to different types of intrusion detection and effectively improves the security of the network.

Keywords： improved neural network； network intrusion detection； genetic algorithm

引言

社會信息化進程不斷提高的今天，在享受計算機帶來的眾多便利時，網絡安全問題也不容忽視[1]。被動的網絡入侵檢測和防御機制已經無法滿足現在網絡的需求，基于改進神經網絡的動態化網絡入侵檢測，在信息爆炸的時代中，日益成為網絡安全領域的重要技術手段。傳統基于規則的入侵檢測技術在管理和建模上存在一些問題，基于改進神經網絡的入侵檢測，利用神經網絡模糊的運算能力，可以一定程度上解決模式識別中的問題。網絡入侵檢測是對網絡上的數據進行識別，將其分類為正常或者非正常的數據。傳統的BP神經網絡本身存在著算法的限制，容易陷入數值局部最小，利用改進的遺傳算法優化神經網絡權值，一定程度上加強全局數據搜索能力，提高系統實用性。研究神經網絡系統的相關原理和基于改進神經網絡的入侵檢測系統的優點，設計將神經網絡應用于網絡檢測，能夠使改進的遺傳算法更適合于入侵監測系統。

1 神經網絡和網絡入侵檢測流程

神經網絡是對人腦的簡單抽象與模擬，它包含多重簡單單元組成的并行網絡，模擬人的神經系統對世界做出交互反應。神經網絡將信息的存儲與處理之間的界限消除，介入到網絡檢測領域，為一些問題的提出提供了新的思路[2]。神經網絡不同于傳統的只用一個計算單元計算的模式，系統采集大量的數據為系統提供樣本，通過不斷的學習建立計算模型，繼而建立神經網絡計算模型，它的基本功能是通過交互神經元的大規模并行運算實現。

人們對入侵檢測系統的研究應用，使傳統網絡安全技術的不足被更多的關注，網絡入侵檢測系統的逐步完善，將為網絡安全提供更多的保障。入侵檢測技術是網絡安全系統中的一個重要環節，在安全監測中，能夠發現網絡系統中的安全漏洞，安全檢測工具可以實現實時動態對網絡系統攻擊的監測，通過監測和分析用戶的系統活動，檢查系統存在的漏洞，關注數據文件的完整性來識別攻擊行為，統計異常行為的同時識別用戶活動中違反安全的部分。它的工作原理實際上就是從不同的環節收集和分析信息，記錄并報告檢測結果的過程。如圖1所示：

一般來說，網絡入侵檢測系統的組成構件主要包括數據源、從數據源收集數據的傳感器、行為、分析處理收集到數據的分析器、事件、管理器和響應器等。將神經網絡應用于網絡入侵檢測，提供系統的審計數據給神經網絡，它就可以提取到用戶與系統的正常特征模式。神經網絡在了解入侵實例后就可以對新的攻擊模式產生反應，使網絡入侵檢測具有主動性，同時反應出偏離系統正常工作的事件[3]。隨著網絡攻擊手段的發展，網絡入侵技術的發展也有了新的要求，更好的將神經網絡應用于網絡入侵檢測，改進神經網絡和入侵檢測，是我們研究的重要內容。

2 基于改進神經網絡的網絡入侵檢測設計

神經網絡在解決模式識別問題時存在怎樣選擇結構和參數的問題，雖然神經網絡具有強大的能力，但是為了提供更加的性能，改進神經網絡為一種可調節的動態神經網絡是非常有價值的開發工作。這種入侵檢測系統的原理是從網絡中捕捉數據，數據包進行提取信息并解析，特征提取模塊得到的屬性送入系統，最后由GABP檢測引擎進行辨別。GABP檢測引擎模塊的設計的原理是，先訓練BP神經網絡，再經由GA優化復制、交叉，直到訓練過程達到標準，這種優化帶來的局部最小值，使學習效率得到了提高，保證了入侵檢測系統的準確程度。改進后的網絡入侵檢測系統的神經網絡結構如圖2所示：endprint

神經網絡中輸入與輸出的關系函數通常定義為

公式中D=（d1，…，dn）為期望輸出，O=（o1，…，on）為實際輸出。在本網絡入侵檢測系統中，數據采集是進行數據檢查和做出決策的基礎條件，網絡信息采集包的準確性和可靠性直接影響監測系統的工作效率，數據盡量完整，才能實現對系統檢測攻擊能力的提升。基于改進神經網絡的入侵檢測模型主要包含獲取網絡信息的數據模塊、預處理信息的數據模塊、提取特征的模塊、神經網絡入侵檢測的模塊等[4]。要實現這種模型就要通過Packet Capture library訪問數據鏈路層，與Snort軟件相結合；將收集到的數據轉化為ASCII字符信息，利用腳本語言編寫處理程序來獲得信息中的基本屬性，對比不同連接模式中的頻繁模式指導特征提取；將挖掘出的復雜數據屬性進行降維處理；標定適應度值，放大個體適應度，選擇操作前保留當前最優解，適應度函數值的計算為：

公式中：t是預測值，ti是真實值，n為樣本數；以局部改進的GABP算法訓練神經網絡，用與最大適應函數相對的權值計算，防止陷入局部極小值。

網絡入侵檢測作為主動防衛系統安全的技術，需要在攻擊技術不斷出現的未知攻擊中，將改進神經網絡作為研究熱點[5]。神經算法中最常見的是Back Propagation神經網絡，為了克服它存在的缺點，建立遺傳算法優化的BP神經網絡入侵檢測系統模型將發揮神經網絡的泛化映射能力。改進算法將綜合增加動量與自適應調節學習速率相結合，可以調整網絡學習速率，因此要先建立BP神經網絡模型。這個過程包括：確定輸入和輸出、隱層層數的節點個數；調整并確立網絡參數，開始訓練神經網絡；趨于穩定時在訓練次數達到規定的要求時結束訓練學習，此時如果神經網絡的評測結果達到準確程度，BP網絡模型就建立好了。

3 仿真實驗

入侵檢測技術已經取得了較快的發展，我們能夠檢測網絡攻擊的狀況，通過截取網絡數據包數據的方式，實現驗證基于BP神經網絡的入侵檢測模型的準確程度實驗采用Lincoln實驗室數據作為網絡入侵檢測模型測試的數據集，將Matlab R2007作為仿真平臺，用相關的神經網絡函數對實驗數據進行調用。實驗的CPU為AMD Athlon XP 1700+，采用SQL 2000 Server數據庫。在IDS系統的測試環境中，通過不同類型的攻擊進行訓練和測試，驗證本網絡入侵系統檢測模型的檢測能力和檢查率。實驗的步驟包括：（1）使用600個樣本作為網絡訓練的依據，150個樣本作為進行測試的依據，通過檢驗比較出改進后的算法與傳統神經網絡的檢測差別，對數據的特征進行編碼，以Premnmx（）函數歸一數據在一定區間內。（2）確定神經網絡的結構，參考理論與實驗，將網絡拓撲確定為8-10-1，網格訓練的最大次數為3000，隱含層與輸出層的激勵函數為雙曲函數和線性函數。（3）采用BP神經網絡和改進的方法進行測試，初始值取值范圍為-0.3～0.3.學習誤差為0.0001，輸入節點為50，隱含節點為60，輸出節點為1。利用遺傳算法對自變量進行優化選擇。（4）篩選出最優解以優化改進神經網絡，將篩選后的變量作為改進后神經網絡的輸入，將結構改變為新的內容。

將選取的數據結果進行分析，實驗中采取的經PCA技術預處理的數據，在降低數據維數的同時，大大縮短了神經網絡的測試時間。對比著傳統的神經網絡，改進后的網絡不僅收斂速度快，還具有更高的檢測率和正確性。試驗檢測結果如圖3所示。

由上圖可以看到，改進后的網絡入侵檢測系統相比傳統的網絡入侵檢測模型具有更高的檢測率，能夠有效地提高網絡的安全性。改進神經網絡的識別率能夠達到96%以上，在檢測入侵上具有巨大的發展潛力，在優化遺傳算法自變量之后，加快的收斂速度能有效地縮短時間，顯著提高了檢測率。

4結束語

通過本文的研究可以發現，依據傳統神經網絡的特點。將改進后的神經網絡應用于網絡入侵檢測中，優化篩選參與建模的自變量，能有效地減少誤差，提高效率縮短時間。網絡入侵檢測是全新的具備主動性的安全防護技術，基于改進神經網絡的入侵檢測成為網絡安全技術提升必不可少的補充。隨著網絡規模的擴大和手段的變化，網絡入侵檢測能力也提出了更高的要求[6]。傳統BP神經網絡模型限制了網絡入侵檢測系統的應用，改進后的神經網絡在網絡入侵檢測中的應用能力和研究成果還需要進一步的深入，爭取構建網絡入侵檢測與身份認證、數據加密等技術相結合的多層次防護體系。

參考文獻：

[1]羅俊松.基于神經網絡的BP算法研究及在網絡入侵檢測中的應用[J].現代電子技術，2017，40（11）：91-94.

[2]詹沐清.神經網絡技術在網絡入侵檢測模型及系統中的應用[J].現代電子技術，2015，38（21）：105-108.

[3]周立軍，張杰，呂海燕.基于數據挖掘技術的網絡入侵檢測技術研究[J].現代電子技術，2016，39（6）：10-13.

[4]張永良，張智勤，吳鴻韜，等.基于改進卷積神經網絡的周界入侵檢測方法[J].計算機科學，2017，44（3）：182-186.

[5]劉浩然，趙翠香，李軒，等.一種基于改進遺傳算法的神經網絡優化算法研究[J].儀器儀表學報，2016，37（7）：1573-1580.

[6]劉敬，谷利澤，鈕心忻，等.基于神經網絡和遺傳算法的網絡安全事件分析方法[J].北京郵電大學學報，2015，38（2）：50-54.endprint