(完整版)基于神经网络的网络入侵检测
基于神经网络的网络入侵检测
本章从人工神经网络的角度出发,对基于神经网络的网络入侵检测系统展开研究。在尝试用不同的网络结构训练和测试神经网络后,引入dropout层并给出了一种效果较好的网络结构。基于该网络结构,对目前的神经网络训练算法进行了改进和优化,从而有效避免了训练时出现的过拟合问题,提升了训练效率。
4.1 BP神经网络相关理论
本章从学习算法与网络结构相结合的角度出发,神经网络包括单层前向网络、多层前向网络、反馈神经网络、随机神经网络、竞争神经网络等多种类型。构造人工神经网络模型时主要考虑神经元的特征、网络的拓补结构以及学习规则等。本文选择反向传播神经网络(Back Propagation Neural Network, BPNN)作为基本网络模型。
BP神经网络是一种通过误差逆传播算法训练的多层前馈神经网络,是目前应用最广泛的神经网络模型形式之一。网络中每一层的节点都只接收上一层的输出,而每一层节点的输出都只影响下一层的输入,同层节点之间没有交互,相邻两层节点之间均为全连接模式。BP神经网络在结构上分为输入层、隐含层与输出层三部分,其拓扑结构如图4-1所示。
图4-1 BP神经网络拓扑结构
Figure 4-1 Topological Structure of BP Neural Network
这里隐含层既可以是一层也可以是多层,数据在输入后由隐含层传递到输出层,通过各层的处理最终得到输出结果。
传统的BP网络算法可分为两个过程:神经网络中信号的前向传播和误差函数的反向传播。算法在执行时会不断调整网络中的权值和偏置,计算输出结果与期望结果之间的误差,当误差达到预先设定的值后,算法就会结束。
(1)前向传播
隐含层第J个节点的输出通过式(4-1)来计算:
(4-1) 式中ωij代表输入层到隐含层的权重,αj代表输入层到隐含层的偏置,n 为输入层的节点个数,f(.)为激活函数。输出层第k个节点的输出通过式(4-2)来计算:
(4-2) 式中ωjk代表隐含层到输出层的权重,bk代表隐含层到输出层的偏置,l为隐含层的结点个数。
根据实际输出与期望输出来计算误差,见式(4-3)。
(4-3) 式中(Yk-Ok)用ek来表示,Yk代表期望输出,m为输出层的结点个数。
当E不满足要求时,就会进入反向传播阶段。
(2)反向传播
反向传播是从输出到输入的传播过程。从式((4-1)至式(4-3 )中,可以发现网络误差E是与各层权值和偏置有关的函数,所以如果想减小误差,需要对权值和偏置进行调整。一般采取梯度下降法反向计算每层的权值增量,令权值的变化量同误差的负梯度方向成正相关,调整的原则是令误差沿负梯度方向不断减少。权值的更新公式见式(4-4),偏置的更新公式见式(4-5)。
(4-4)
(4-5) 式中η为学习速率。
BP算法的整体流程如图4-2所示。
图4-2 BP算法流程图
Figure 4-2 Flow Chart of Back Propagation Algorithm
4.2 网络结构的设计
4.2.1 设计思路
设计网络结构时确定隐含层的层数以及隐含层的节点数是非常重要的。增加隐含层的层数有利于提高精度同时降低网络误差,但是BP神经网络的隐含层层数越多,所需的训练时间也就越长。对于单隐层神经网络而言,隐含层的神经元数量过少会导致网络的学习能力不足。相反,神经元数量越多,网络的学习能力
就越强,越容易达到预期的精度,但是相对地会削弱网络的泛化能力,使网络容易达到过拟合状态。为了保证网络拥有足够强的性能及泛化能力,尽量避免在训练时出现过拟合现象,本文在设计网络结构时主要遵循以下原则:
(1)在保证神经网络检测精度的前提下,尽量减少神经元的数量;
(2)通过仿真实验试探查找隐含层节点数的最优值。
本文中网络结构选择的是多层前馈神经网络,它的结构虽然简单,但是能够实现任意精度逼近任意连续函数,并且可以获得复杂的处理能力,因此分类能力和模式识别能力一般都会强于反馈网络。激活函数选择的是线性整流函数( Rectified Linear Unit, ReLU),也叫作修正线性单元,函数曲线如图4-3所示,其公式见式(4-6)。
图4-3 ReLU函数曲线
Figure 4-3 Function Curve of ReLU
(4-6) ReLU激活函数定义了神经元在线性变换w T x+b以后的非线性输出。换句话说,来自上一层网络的输入向量x在进入神经元后,将输出max(0, w T x + b)至下一层神经元。采用ReLU激活函数可以使梯度下降和反向传播的过程更加高效,同时避免了梯度爆炸与梯度消失的问题。此外,该函数没有其他复杂激活函数如Sigmoid函数中指数的影响,并且活跃度较为分散,使得神经网络整体的计算成本减少,从而简化计算过程。
目标函数选择的是Softmax函数。Softmax函数是式(4-7)取负对数后得到的损失函数,其公式见式((4-8)。
(4-7)
(4-8) 式中Sj表示j上的得分,Yi表示真实类别。
4.2.2 网络结构及对应实验分析
本文利用生长法来设计神经网络的网络结构,即设计网络结构时,首先确定一种较为简单的网络结构,然后通过增加隐含层数和隐含层节点数来形成其他的网络结构。根据4.2.1中的设计思路,设计并训练了五种不同的神经网络模型,对应的网络结构如图4-4所示。
在图4-4的网络结构中,输入层均由41个神经元构成,输出层由5个神经元构成。x为输入向量,数据输入后通过隐含层最终输出分别属于五个类别的概率,然后将概率最大的类别作为最终的判断结果。其中网络结构a,b,c包含一个隐含层,分别由50, 100, 500个神经元构成;网络结构d, e由两个隐含层构成,前者每个隐含层包含50个神经元,后者每个隐含层包含100个神经元。
a)网络结构a b)网络结构b
a) Network Structure a b) Network Structure b
c)网络结构c d)网络结构d
c) Network Structure c d) Network Structure d
e)网络结构e
e) Network Structure e
图4-4神经网络的网络结构
Figure 4-4 Structure of Neural Network
本章训练和测试神经网络时使用了Google推出的Tensorflow深度学习框架,Tensorflow是一个采用数据流图(data flow graphs),用于数值计算的开源软件库。它的灵活性和可延展性让用户可以在各种平台上展开计算,例如台式计算机中的单个或多个CPU(GPU)、服务器、移动设备等等,因此主要用于机器学习和深度神经网络方面的研究。本章实验部分的机器配置,显卡采用的是GeForceGT 750M,显存大小为2G,网络训练和测试时使用GPU模式。
用完整训练集分别训练图4-4中的五种网络结构,训练时的参数batch size(每次从训练集中取的数据量)和epochs(使用完整训练集训练的轮数)将影响模型的精度和训练时间。在合理范围内增大batch size对训练有一定好处,可以提高训练的速度,并且batch size越大其确定的下降方向越准确,引起的训练震荡越小。但受显存的限制,不能无限地增大batch size,因此在本实验中batch size设为50。Epochs代表使用完整训练集训练的轮数,由于训练集共包含494021条数据,在batch size = 50的情况下,训练一次完整的数据集就需要9881轮迭代,而完成全部训练过程的总迭代数=9881×epochs。考虑到完整训练集的数据量过于庞大,因此用完整训练集训练时epochs设为50。模型参数采用高斯分布初始化(Gaussian)方法进行初始化,训练时使用随机梯度下降法,基础学习率设置为base_1r=0.01调整策略使用step策略,stepsize=5000,学习率按照式(4-9)进行更新,其中gamma=0.1,iter是当前的训练迭代次数。在以上参数条件下,本文所设计的几种网络结构均可以达到收敛。
(4-9) 训练完成后用测试集分别对这五个模型进行测试,得到的结果见表4-1和4-2。
表4-1不同网络结构每种类别的检测率
Table 4-1 Detection Rate of Different Network Structures for Each Category
表4-2不同网络结构的整体效果
Table 4-2 Overall Effect Using Two Training Sets to Train the Structure a
从表4-1中可以看出使用网络结构a训练的模型在四种攻击类别上的检测率都比较高。虽然网络结构c在Normal类别上的检测率高于网络结构a,但是对入侵检测系统来说,检测出攻击流量是最为重要的,并且从表4-2中可以看到网络结构a对整体攻击流量的检测率最高,同时训练和检测时间要少于其他四种结构,这是由于网络结构a的复杂度最低,因此使用它进行训练和测试所需要的时间也就比较少。综上所述,本章选取网络结构a作为神经网络的一个基础候选网络结构,后续的研究也主要是在网络结构a的基础上进行一系列的改进。4.2.3 Dropout层的引入
训练BP神经网络时经常会遇到的一个问题是容易达到过拟合状态,过拟合是指模型在训练集上损失函数较小,但是在测试集上损失函数较大,预测准确率较低的现象。而dropout的出现可以很好地解决这些问题。dropout是指在神经网络的训练过程中,对于网络中的神经元,按照一定的概率暂时将其从网络中丢弃,即在每个batch中,让一部分隐层节点值为0。由于是随机丢弃,所以每一个batch 都在训练不同的网络,这种方式可以减少神经元之间的相互作用。Hinton在论文中证实了dropout对于全连接网络有防止过拟合的效果。
图4-5为dropout的可视化表示,其中图a)为应用dropout前的神经网络,图b)是应用dropout后的同一个网络,虚线代表临时删除的神经元。
a)应用out前的神经网络b)应用dropout后的神经网络a)Neural Network Before Applying Dropout b)Neural Network after Applying Dropout
图4-5应用dropout前后的神经网络
Figure 4-5 Neural Network Before and after Applying Dropout Dropout会以概率p舍弃部分神经元,其他神经元以概率1-p被保留,输入层和输出层神经元不作变动,舍去的神经元的输出都被设置为零。然后,将输入数据通过修改后的网络进行前向传播,将误差通过修改后的网络进行反向传播。对一个批次的样本完成上述操作以后,更新相应的权重和偏置,这样重复迭代处理,直至训练结束。
Dropout能够减轻过拟合现象的发生,主要是因为它达到了一种投票的作用。对于全连接神经网络,用相同的数据去训练多个不同的神经网络可能会得到多个不同的结果,这时采用投票机制可以相对提升网络的精度与鲁棒性。同理,对于单个神经网络。如果将其进行分批,虽然不同的网络可能会产生不同程度的过拟合,但是他们共用一个损失函数,相当于同时对其进行了优化,取了平均,因此可以较为有效地防止过拟合的发生。此外,当隐藏层神经元被随机删除后使得全连接网络具有了一定的稀疏性,从而有效地减轻了不同特征之间的协同效应。也就是说,有些特征可能会依赖于特定关系的隐含节点的共同作用,而dropout 有效地阻止了那些在其他特征存在下才有效果的情况,提高了神经网络的鲁棒性。将dropout添加到4.2.2中的网络结构a后训练使用的epochs量增加为100这是因为dropout会使每次训练时随机失效一些节点,因此需要更多的训练轮数来使
网络达到收敛。表4-3和表4-4展示了添加dropout后网络结构a的效果,可以发现网络的检测效果有一定的提升。虽然训练时间有所增长,但是训练时间增长的倍数并没有达到与epchos增长相同的倍数,这是由于每次训练时一些节点失效,使得实际的网络结构要比原始的网络结构a更简单。
表4-3添加dropout前后网络结构a对每种类别的检测率
Table 4-3 Detection Rate of Network Structure a for Each Category Before and after
Adding
表4-4添加dropout前后网络结构a的整体效果
Table 4-4 Overall Effect of Network Structure a Before and after Adding Dropout
4.3 数据集聚类与分层检测框架在神经网络入侵检测上的应用
本文提出了一些针对数据集和检测框架的改进方法,本节尝试将部分方法应用在神经网络的入侵检测上,并通过实验验证算法在神经网络入侵检测上的效果。训练使用4.2.3中添加了dropout的网络结构,训练时batch_size设为50,epochs 设为100,网络初始化和学习率的设定同4.2.2节。
表4-5用两种训练集训练网络结构a所得每种类别的检测率4-5 Detection Rate for Each Category Using TwoSets to Train the Structure a
表4-6用两种训练集训练网络结构a的整体效果
Table 4-6 Overall Effect Using Two Training Sets to Train the Structure a
表4-5和表4-6展示了使用聚类后的训练集的实验效果,可以发现用子训练集训练神经网络模型后每一种攻击的检测率均高于用完整训练集训练神经网络模型后的检测率,并且用子训练集进行训练所需的时间远远低于用完整训练集训练的时间。因此在后续实验中均采用子训练集来训练神经网络模型。
实验所用网络结构如图4-6所示,由于采用小类别后最终分类目标类别实际有15种,故输出层由之前的5个节点改为15个节点,训练集得到的结果见表4-7和表4-8,从表中可以看出这种小类结构的训练集应用于神经网络后也对检测效果有了明显提升,说明这种训练集的重构方法与分类器无关。
图4-6使用15个小类别的神经网络结构图
Figure 4-6 Structure of Neural Network Using 15 Small Classes
表4-7用小类别训练集训练网络结构a所得每种类别的检测率Table 4-7 Detection Rate for Each Category Using Small Class Training Sets to
Train the Structure a
表4-8用小类别训练集训练网络结构a的整体效果Table 4-8 Overall Effect Using Small Class Training Sets to Train the Structure a
现对应到分层检测框架中需要使用的是15个二分类器,故模型结构如图4-7所示,输出层节点数为2。表4-9和表4-10展示了利用神经网络分层检测框架进行检测的结果,可以发现Normal. U2R和R2L类别的检测率有一定的损失,但是剩余二类的检测率有所提升。检测率损失的部分原因是Normal, U2R和R2L 类别在分层检测框架中位于框架的末端,故这三类数据中有一些被前几种类别的分类器识别成对应类别而未能传递到应该被正确识别的层次上。但好在这种损失比较轻微,尤其是R2L类别只减少了0.01%的检测率,并且Probe和Dos类别以及整体的检测率还有所提升。
图4-7分层检测框架中用于二分类的神经网络结构图Figure 4-7 Structure of Neural Network as Binary Classifier in Hierarchical
Detection Framework.
表4-9用神经网络分层检测框架检测所得每种类别的检测率Table 4-9 Detection Rate for Each Category Using Neural Network Hierarchical
Detection Framework
4-10用神经网络分层检测框架检测的整体效果
Table 4-10 Overall Effect Using Neural Network Hierarchical Detection
Framework
本节的三个实验可以证明本文提出的对数据集的精简聚类、训练集数据重新构造方法和分层检测框架都是分类器无关的通用方法,神经网络可以获得检测效果的提升。
4.4 BP算法优化
4.4.1 传统BP神经网络的局限性
尽管传统BP神经网络在非线性映射能力、自学习和自适应、泛化能力和容错能力等方面相较传统机器学习方法有一定优势,但是它也在近些年的应用中暴露了一些不足之处:
(1)易陷入局部最优:从数学的角度上看,BP神经网络本质上是一种基于局部搜索的方法,要解决的问题一般是复杂的非线性问题,其网络权值的调整是沿局部梯度的方向进行的,有陷入到局部最优的风险。同时,BP神经网络对网络权值的初始值比较敏感,使用不同的初始网络权值往往会得到完全不同的结果。
(2) BP神经网络训练时的收敛速度较慢:反向传播算法本质是梯度下降,通常给定的目标函数都比较复杂,因此训练时往往都会出现震荡,这使得BP算法的训练效率变低。与此同时,在训练中如果神经元的输出比较靠近0或者1,就会出现一些梯度很小的区域,这些平坦区内的权值变化往往很小,这使得梯度下降法的训练非常缓慢;训练BP神经网络模型时,对于权值改变的步长一般也会提前设置一些静态的更新规则,这些规则不能及时获得每次迭代的权值变化情况,也会引发一些效率问题。
(3) BP神经网络预测能力和训练能力的矛盾问题:一般情况下神经网络的预测能力会随着训练能力的提升而提高,但是当训练达到一定程度后,预测能力反而会有所下降,即出现了过拟合现象。这是由于网络学习了过多的样本细节,导致模型己经不能反映总体样本的规律,所以如何把握学习的程度来解决网络的预测能力和训练能力之间的矛盾也是BP神经网络的重要研究内容。
4.4.2 BP算法的改进
针对4.4.1中提出的几个传统BP神经网络的问题,在先前的研究中已经通过在网络结构中引入dropout层后在一定程度上解决了BP神经网络预测能力和训练能力的矛盾问题,并且通过使用第三章中重新构造的训练集来优化了网络的训练速度。本节将从BP算法的权值初始化、增加动量项和自适应调节学习速率的角度对BP算法进行改进。
(1)权值初始化
常用的神经网络权值初始化是采用高斯分布来生成随机初始值,这种做法的本质是将所有权值初始化为接近0的小随机数,从而避免将权值全部初始化为0导致的训练后同层的神经元得到相同的参数的问题。
He等人提出了一种针对ReLU神经元的特殊初始化,文章给出了采用ReLU 神经元的网络在通过高斯分布对权值进行初始化时的方差设置方法。基于方差的计算并带入ReLU神经元函数公式,最后推导出的方差表达式如式(4-10)所示,其中nl指第1层的维数,Var[wl]指第1层的参数的方差,即wl的初始化公式为N(O,2/nl),本文将此公式作为神经网络参数的初始化公式。
(4-10)
(2)增加动量项
BP神经网络在训练过程中调整权值时,只按照当前迭代的梯度下降方向进行调整,而未考虑之前迭代的梯度方向,这有可能会导致训练出现震荡而减慢收敛速度。为了解决这一问题,考虑在权值调整公式中添加动量项,动量项实际上是从前一次权值调整中取出一部分叠加到本次权值调整中,添加动量项以后的权值调整表达式如式(4-11)所示。式中的mc△wij(k)即为动量项,mc△wij(k)=mc(wij (k)-Wij(k)-1)),其中me代表动量因子,0≤mc<1,本实验中me取0.9可以看出动量项反映了上一次迭代所积累的调整经验。
(4-11) 动量项的作用如下:在训练过程中,当顺序加入训练数据时,在第t次迭代时,如果本次迭代的?E(t)/?wij(式中E为单个样本的训练误差)和上一次迭代同符号,动量项起到加快调节权值wij的作用;而如果本次迭代的?E(t)/?wij和上一次迭代
正负相反,说明有一定的震荡存在,此时动量项使得权值Wij的变化变小,起到了稳定的作用。
(3)自适应调节学习率
学习率η也称为步长,在标准BP算法中设置为一个常数,然而在实际应用中一般不会将其固定,比如在本节之前的网络训练中,使用式(4-9)来改变学习率,本质上就是随着训练迭代次数的增加,逐步降低学习率,使训练得以收敛。这种降低学习率的方法通常按照经验设置参数值,设定较为困难,并且若只根据迭代次数去调整学习率,在遇到本章研究中这种需要频繁更换网络结构和实验训练集的条件下难以保证效果,故引入一种自适应调节学习率的方法。
从BP算法在训练时学习率η的作用来看,η太小会使训练迭代次数增加,此时希望加大η的值;而当误差变化剧烈时,学习率η太大则会导致对权值的调整量过大,很容易跳过最优点,使训练迭代次数增加,此时则希望降低学习率η的值。为此提出一种可变学习率的BP算法,其规则如式(4-12)所示。式中α和β是设置的用于调整学习率变化的参数,范围是(0,1),实验中α=0.5 β=0.2, γ是设置的用于条件判断的参数,实验中设定为3%。
(4-12) 公式所代表的含义是,如果迭代的均方误差增加且超过了设置的阂值γ,说明学习率η可能太大,取消本次权值更新,设置新的学习率为之前学习率的1-α倍来降低学习率,同时将动量项中的动量因子mc设置为0;如果均方误差在权值更新后减少,那么本次迭代的权值更新有效,设置新的学习率为之前学习率的1+β倍以加大学习率,同时判断当前动量因子是否为0,如果是则恢复动量因子为0.9;如果均方误差有增长,但是增长没有超过阂值,那么权值更新被接受,保持学习速率不变,以防训练容易陷入局部最优。
4.4.3 基于改进BP算法的神经网络实验效果与分析
利用改进的BP算法训练网络结构a,由于改进后网络的收敛速度变快,因此训练时的参数epochs减少为80,batch_size设置与之前实验相同,测试得到的结果如表4-11和表4-12所示。
表4-11用改进的BP算法训练网络结构a所得每种类别的检测率
Table 4-11 Detection Rate for Each Category Using The Improved BP
Algorithm to Train theStructure a
表4-12用改进的BP算法训练网络结构a的整体效果Table 4-12 Overall Effect Using The Improved BP Algorithm to Train the
Structure a
从表4-11中可以看出,用改进后的BP算法训练的网络模型对Dos, Probe 和R2L类别的检测率均高于用传统BP算法训练的网络模型,其中Dos的检测率从97.38%上升到了97.99%,Probe的检测率从93.20%上升到了93.26%,R2L 的检测率上升最为明显,从28.97%上升到了31.45%。尽管Normal和U2R类别的检测率有所下降,但是下降幅度比较微弱,并且从表4-12可以看到整体的检测率相较于改进前得到了提升,同时误报率也被控制在理想的范围内,这说明改进的BP算法可以有效地防止训练陷入局部最优。除此以外,用改进后的BP算法训练网络模型需要2870秒,远远小于用传统BP算法训练网络模型所需的时间,这主要是由于改进的算法在权值调整时引入了动量项,从而减少了训练时的震荡,加快了网络的收敛速度。以上结果均证实了改进的BP算法可以有效弥补传统BP算法的不足。
网络安全技术习题及答案 入侵检测系统
第9章入侵检测系统 1. 单项选择题 1)B 2)D 3)D 4)C 5)A 6)D 2、简答题 (1)什么叫入侵检测,入侵检测系统有哪些功能? 入侵检测系统(简称“IDS”)就是依照一定的安全策略,对网络、系统的运行状况进行监视,尽可能发现各种攻击企图、攻击行为或者攻击结果,以保证网络系统资源的机密性、完整性和可用性。 入侵检测系统功能主要有: 识别黑客常用入侵与攻击手段 监控网络异常通信
鉴别对系统漏洞及后门的利用 完善网络安全管理 (2)根据检测对象的不同,入侵检测系统可分哪几种? 根据检测对象的不同,入侵检测系统可分为基于主机的入侵检测基于网络的入侵检测、混合型三种。主机型入侵检测系统就是以系统日志、应用程序日志等作为数据源。主机型入侵检测系统保护的一般是所在的系统。网络型入侵检测系统的数据源是网络上的数据包。一般网络型入侵检测系统担负着保护整个网段的任务。混合型是基于主机和基于网络的入侵检测系统的结合,它为前两种方案提供了互补,还提供了入侵检测的集中管理,采用这种技术能实现对入侵行为的全方位检测。 (3)常用的入侵检测系统的技术有哪几种?其原理分别是什么? 常用的入侵检测系统的技术有两种,一种基于误用检测(Anomal Detection),另一种基于异常检测(Misuse Detection)。 对于基于误用的检测技术来说,首先要定义违背安全策略事件的特征,检测主要判别这类特征是否在所收集到的数据中出现,如果检测到该行为在入侵特征库中,说明是入侵行为,此方法非常类似杀毒软件。基于误用的检测技术对于已知的攻击,它可以详细、准确的报告出攻击类型,但是对未知攻击却效果有限,而且知识库必须不断更新。 基于异常的检测技术则是先定义一组系统正常情况的数值,如CPU利用率、内存利用率、文件校验和等(这类数据可以人为定义,也可以通过观察系统、并用统计的办法得出),然后将系统运行时的数值与所定义的“正常”情况比较,得出是否有被攻击的迹象。这种检测方式的核心在于如何定义所谓的正常情况。异常检测只能识别出那些与正常过程有较
入侵检测技术 课后答案
精品文档 . 第1章入侵检测概述 思考题: (1)分布式入侵检测系统(DIDS)是如何把基于主机的入侵检测方法和基于网络的入侵检测方法集成在一起的? 答:分布式入侵检测系统是将主机入侵检测和网络入侵检测的能力集成的第一次尝试,以便于一个集中式的安全管理小组能够跟踪安全侵犯和网络间的入侵。DIDS的最初概念是采用集中式控制技术,向DIDS中心控制器发报告。 DIDS解决了这样几个问题。在大型网络互联中的一个棘手问题是在网络环境下跟踪网络用户和文件。DIDS允许用户在该环境中通过自动跨越被监视的网络跟踪和得到用户身份的相关信息来处理这个问题。DIDS是第一个具有这个能力的入侵检测系统。 DIDS解决的另一个问题是如何从发生在系统不同的抽象层次的事件中发现相关数据或事件。这类信息要求要理解它们对整个网络的影响,DIDS用一个6层入侵检测模型提取数据相关性,每层代表了对数据的一次变换结果。 (2)入侵检测作用体现在哪些方面? 答:一般来说,入侵检测系统的作用体现在以下几个方面: ●监控、分析用户和系统的活动; ●审计系统的配置和弱点; ●评估关键系统和数据文件的完整性; ●识别攻击的活动模式; ●对异常活动进行统计分析; ●对操作系统进行审计跟踪管理,识别违反政策的用户活动。 (3)为什么说研究入侵检测非常必要? 答:计算机网络安全应提供保密性、完整性以及抵抗拒绝服务的能力,但是由于连网用户的增加,网上电子商务开辟的广阔前景,越来越多的系统受到入侵者的攻击。为了对付这些攻击企图,可以要求所有的用户确认并验证自己的身份,并使用严格的访问控制机制,还可以用各种密码学方法对数据提供保护,但是这并不完全可行。另一种对付破坏系统企图的理想方法是建立一个完全安全的系统。但这样的话,就要求所有的用户能识别和认证自己,还要采用各种各样的加密技术和强访问控制策略来保护数据。而从实际上看,这根本是不可能的。 因此,一个实用的方法是建立比较容易实现的安全系统,同时按照一定的安全策略建立相应的安全辅助系统。入侵检测系统就是这样一类系统,现在安全软件的开发方式基本上就是按照这个思路进行的。就目前系统安全状况而言,系统存在被攻击的可能性。如果系统遭到攻击,只要尽可能地检测到,甚至是实时地检测到,然后采取适当的处理
BP神经网络在入侵检测中的应用
收稿日期:2002-10-20. 作者简介:肖道举(1954-),男,副教授;武汉,华中科技大学计算机科学与技术学院(430074). BP 神经网络在入侵检测中的应用 肖道举 毛 辉 陈晓苏 (华中科技大学计算机科学与技术学院) 摘要:对如何检测未知入侵手段的问题进行了探讨.在被监测程序输入条件已知情况下,借助程序行为简档,给出了一种基于BP 神经网络的入侵检测方法,阐述了所用BP 神经网络的基本结构以及训练方法,最后在LIN U X 环境下进行了实验验证.结果表明,在程序行为简档内容比较清晰的条件下,运用BP 神经网络检测入侵,可在一定程度上提高入侵检测系统的准确检测率.关 键 词:入侵检测;BP 神经网络;程序行为简档 中图分类号:T P393 文献标识码:A 文章编号:1671-4512(2003)05-0006-03 网络入侵本质上都是入侵者利用服务器提供的服务程序的弱点进行非法操作以期获得所想要得到的结果.例如LINUX 下的lpr ,sendm ail ,xterm 和eject 等被广泛使用的服务程序都存在一些缓冲区溢出的漏洞,这些漏洞容易被网络入侵者用来获取root 权限.由于这些程序漏洞不易被发现,而且很难修补,无法通过软件升级完全解决,这就要求入侵检测系统应该能够对此类利用服务程序漏洞的攻击作出正确响应[1].本文依据系统服务程序行为简档,提出了一种基于BP 神经网络的入侵检测方法,以求提升入侵检测系统的准确检测率. 1 程序行为分析与检测方法的基本 特征 1.1 程序行为分析 检测未知入侵手段的一种方法是通过建立用户活动简档来记录所有用户在服务器上的活动情况.该方法的基础建立在对用户历史行为的学习之上,通过不断更新用户活动简档,并以此与当前用户行为相比较,一旦发现当前用户行为显著背离正常行为,系统就认定发生了网络入侵.基于用户活动简档的入侵检测方法通常基于这样一个假设,即:入侵者总是突然地改变其行为.因此,如果入侵者缓慢地改变他的行为特征,往往易导致入侵检测系统产生漏报. 应该看到,与用户行为相比,系统服务程序则具有相对稳定的行为特征,因而本文选取系统服 务程序的行为作为研究对象,以期尽可能多地发 现未知的入侵行为.基本做法是对不同系统服务程序分别建立程序行为简档,同时在分析这些简档的基础上求取正常程序行为的期望值,一旦当前程序行为偏离给定期望值过大,即认为攻击发生.这样做的一个优点在于不再需要重复记录用户的正常行为,大大降低了系统开销,同时也可避免因入侵者行为的缓慢改变而导致的系统漏报. 一般而言,程序行为特征至少可表现在以下两个方面:程序的外部特征.例如它的输入;程序的内部特征.例如某些内部变量的取值.1.2 检测方法的基本特征 对程序行为的检测实际上就是对系统服务程序的行为进行分类和识别.为了达到这一目的,要求入侵检测系统不仅应具有系统中每一个服务程序行为模式的知识,而且还应能适应程序行为的改变.显然,采用传统的统计分析方法很难满足这些要求.为此,本文采用BP 神经网络作为入侵检测的基本分析工具. 神经网络有多种模型,本文采用了误差反向传递神经网络(Erro r Back Propagation Neural Netw ork ,简称BP -NN ).BP -NN 采用BP (Back Propagation )算法进行训练.该算法实际上是工程上常用的最小均方误差算法的一种广义形式,它使用梯度最速下降搜索技术,按代价函数(网络的实际输出和期待输出的均方误差)最小的准则递归求解网络的权值和各结点的阈值[2]. 第31卷第5期 华 中 科 技 大 学 学 报(自然科学版) V ol .31 No .52003年 5月 J .Huazhong U niv .of Sci .&Tech .(N ature Science Editio n ) M ay 2003 DOI :10.13245/j .hust .2003.05.003
入侵检测部署方案
1.1 入侵检测部署方案 1.1.1需求分析 利用防火墙技术,经过仔细的配置,通常能够在内外网之间提供安全的网络保护,降低了网络安全风险,但是入侵者可寻找防火墙背后可能敞开的后门,或者入侵者也可能就在防火墙内。通过部署安全措施,要实现主动阻断针对信息系统的各种攻击,如病毒、木马、间谍软件、可疑代码、端口扫描、DoS/DDoS等,能防御针对操作系统漏洞的攻击,能够实现应用层的安全防护,保护核心信息资产的免受攻击危害。 针对网络的具体情况和行业特点,我们得到的入侵检测的需求包括以下几个方面: ●入侵检测要求 能够对攻击行为进行检测,是对入侵检测设备的核心需求,要求可以检测的种类包括:基于特征的检测、异常行为检测(包括针对各种服务器的攻击等)、可移动存储设备检测等等。 ●自身安全性要求 作为网络安全设备,入侵检测系统必须具有很高的安全性,配置文件需要加密保存,管理台和探测器之间的通讯必须采用加密的方式,探测器要可以去除协议栈,并且能够抵抗各种攻击。 ●日志审计要求 系统能对入侵警报信息分类过滤、进行统计或生成报表。对客户端、服务器端的不同地址和不同服务协议的流量分析。可以选择不同的时间间隔生成报表,反映用户在一定时期内受到的攻击类型、严重程度、发生频率、攻击来源等信息,使管理员随时对网络安全状况有正确的了解。可以根据管理员的选择,定制不同形式的报表。 ●实时响应要求
当入侵检测报警系统发现网络入侵和内部的违规操作时,将针对预先设置的规则,对事件进行实时应急响应。根据不同级别的入侵行为能做出不同方式告警,用以提醒管理人员及时发现问题,并采取有效措施,控制事态发展。报警信息要分为不同的级别:对有入侵动机的行为向用户显示提示信息、对严重的违规现象实行警告通知、对极其危险的攻击可通过网管或者互动防火墙进行及时阻断、以及向安全管理中心报告。另外,必须在基于规则和相应的报警条件下,对不恰当的网络流量进行拦截。 联动要求 入侵检测系统必须能够与防火墙实现安全联动,当入侵检测系统发现攻击行为时,能够及时通知防火墙,防火墙根据入侵检测发送来的消息,动态生成安全规则,将可疑主机阻挡在网络之外,实现动态的防护体系!进一步提升网络的安全性。 1.1.2方案设计 网络入侵检测系统位于有敏感数据需要保护的网络上,通过实时侦听网络数据流,寻找网络违规模式和未授权的网络访问尝试。当发现网络违规行为和未授权的网络访问时,网络监控系统能够根据系统安全策略做出反应,包括实时报警、事件登录,或执行用户自定义的安全策略等。 入侵检测系统可以部署在网络中的核心,这里我们建议在网络中采用入侵检测系统,监视并记录网络中的所有访问行为和操作,有效防止非法操作和恶
第八章入侵检测系统
第八章入侵检测系统 第一节引言 通过电子手段对一个组织信息库的恶意攻击称为信息战(information warfare)。攻击的目的可能干扰组织的正常活动,甚至企图对组织的信息库造成严重的破坏。对信息战的各种抵抗措施都可归结为三类:保护、检测、响应。 保护 (入侵的防范)指保护硬件、软件、数据抵御各种攻击的技术。目前各种网络安全设施如防火墙及VPN,各种加密技术,身份认证技术,易攻击性扫描等都属于保护的范围之内,它们是计算机系统的第一道防线。 检测 (入侵的检测)研究如何高效正确地检测网络攻击。只有入侵防范不足以保护计算机的安全,任何系统及协议都不可避免地存在缺陷,可能是协议本身也可能是协议的实现,还有一些技术之外的社会关系问题,都能威胁信息安全。因此即使采用这些保护措施,入侵者仍可能利用相应缺陷攻入系统,这意味着入侵检测具有其他安全措施所不能代替的作用。 响应 (入侵的响应)是入侵检测之后的处理工作,主要包括损失评估,根除入侵者留下的后门,数据恢复,收集入侵者留下的证据等。这三种安全措施构成完整的信息战防御系统。 入侵检测(Intrusion Detection,ID)是本章讨论的主题之一,它通过监测计算机系统的某些信息,加以分析,检测入侵行为,并做出反应。入侵检测系统所检测的系统信息包括系统记录,网络流量,应用程序日志等。入侵(Intrusion)定义为未经授权的计算机使用者以及不正当使用(misuse)计算机的合法用户(内部威胁),危害或试图危害资源的完整性、保密性、可用性的行为。入侵检测系统(Intrusion Detection System,IDS)是实现入侵检测功能的硬件与软件。入侵检测基于这样一个假设,即:入侵行为与正常行为有显著的不同,因而是可以检测的。入侵检测的研究开始于20世纪80年代,进入90年代入侵检测成为研究与应用的热点,其间出现了许多研究原型与商业产品。 入侵检测系统在功能上是入侵防范系统的补充,而并不是入侵防范系统的替代。相反,它与这些系统共同工作,检测出已经躲过这些系统控制的攻击行为。入侵检测系统是计算机系统安全、网络安全的第二道防线。 一个理想的入侵检测系统具有如下特性: ?能以最小的人为干预持续运行。 ?能够从系统崩溃中恢复和重置。 ?能抵抗攻击。IDS必须能监测自身和检测自己是否已经被攻击者所改变。
网络入侵检测原理与技术
网络入侵检测原理与技术 摘要:计算机网络技术的发展和应用对人类生活方式的影响越来越大,通过Internet人们的交流越来越方便快捷,以此同时安全问题也一直存在着,而人们却一直未给予足够的重视,结果连接到Internet上的计算机暴露在愈来愈频繁的攻击中,基于计算机、网络的信息安全问题已经成为非常严重的问题。 关键词:入侵检测;入侵检测系统;入侵检测系统的原理、方法、技术 一、网络入侵及其原因 简单来说,网络安全问题可以分为两个方面: 1)网络本身的安全; 2)所传输的信息的安全。 那么,我们之所以要进行网络入侵检测,原因主要有以下几个:1)黑客攻击日益猖獗 2)传统安全产品存在相当多的问题 二、入侵检测原理、方法及技术 1、入侵检测概念 入侵检测是指对潜在的有预谋的未经授权的访问信息、操作信息以及致使系统不可靠、不稳定或者无法使用的企图的检测和监视。它是对安全保护的一种积极主动地防御策略,它从计算机网络系统中的若干关键点收集信息,并进行相应的分析,以检查网路中是否有违反安全策略的行为和遭到袭击的迹象。入侵检测被认为是防火墙之后第二道安全闸门,在不影响网路性能的前提下对网络进行监测,从而提供对内外部攻击和误操作的实时保护。 2、入侵检测模型
3、入侵检测原理 根据入侵检测模型,入侵检测系统的原理可以分为以下两种: 1)异常检测原理 该原理根据系统或者用户的非正常行为和使用计算机资源的非正常情况来检测入侵行为。 异常检测原理根据假设攻击和正常的活动的很大的差异来识别攻击。首先收集一段正常操作的活动记录,然后建立代表用户、主机或网络连接的正常行为轮廓,再收集事件数据同时使用一些不同的方法来决定所检测到的事件活动是否正常。 基于异常检测原理的入侵检测方法和技术主要有以下几种方法: a)统计异常检测方法; b)特征选择异常检测方法; c)基于贝叶斯推理异常的检测方法; d)基于贝叶斯网络异常检测方法; e)基于模式预测异常检测方法。 其中比较成熟的方法是统计异常检测方法和特征选择异常检测方法,对这两种方法目前已有由此而开发成的软件产品面市,而其他方法都还停留在理论研究阶段。 异常检测原理的优点:无需获取攻击特征,能检测未知攻击或已知攻击的变种,且能适应用户或系统等行为的变化。 异常检测原理的缺点:一般根据经验知识选取或不断调整阈值以满足系统要求,阈值难以设定;异常不一定由攻击引起,系统易将用户或系统的特殊行为(如出错处理等)判定为入侵,同时系统的检测准确性受阈值的影响,在阈值选取不当时,会产生较多的检测错误,造成检测错误率高;攻击者可逐渐修改用户或系统行为的轮廓模型,因而检测系统易被攻击者训练;无法识别攻击的类型,因而难以采取适当的措施阻止攻击的继续。 2)误用检测原理 误用检测,也称为基于知识或基于签名的入侵检测。误用检测IDS根据已知攻击的知识建立攻击特征库,通过用户或系统行为与特征库中各种攻击模式的比较确定是否发生入侵。常用的误用检测方法和技术主要有: a)基于专家系统的检测方法; b)基于状态转移分析的检测方法; c)基于条件的概率误用检测方法; d)基于键盘监控误用检测方法; e)基于模型误用检测方法。 误用检测技术的关键问题是:攻击签名的正确表示。误用检测是根据攻击签名来判断入侵的,如何用特定的模式语言来表示这种攻击行为,是该方法的关键所在。尤其攻击签名必须能够准确地表示入侵行为及其所有可能的变种,同时又不会把非入侵行为包含进来。由于大部分的入侵行为是利用系统的漏洞和应用程序的缺陷进行攻击的,那么通过分析攻击过程的特征、条件、排列以及事件间的关系,就可具体描述入侵行为的迹象。 4、入侵检测方法 1)基于概率统计的检测 该方法是在异常入侵检测中最常用的技术,对用户行为建立模型并根据该模型,当发现出现可疑行为时进行跟踪,监视和记录该用户的行为。优越性在于理论成熟,缺点是匹配用
入侵检测系统的研究
入侵检测系统的研究 【摘要】近几年来,随着网络技术以及网络规模的 不断扩大,此时对计算机系统的攻击已经是随处可见。现阶段,安全问题成为越来越多的人关注的重点。本文主要分析了入侵检测系统的功能、技术等情况。 【关键词】入侵检测系统研究情况 、刖言 目前的安全防护主要有防火墙等手段,但是由于防火墙 本身容易受到攻击,并且内部网络中存在着一系列的问题,从而不能够发挥其应有的作用。面对这一情况,一些组织开 始提出了通过采用更强大的主动策略以及方案来增强网络 的安全性。其中个最有效的解决方法那就是入侵检测。入 侵检测采用的是一种主动技术,从而弥补防火墙技术的不足,并且也可以防止入侵行为。 二、入侵检测系统的概述 (一)入侵检测系统的具体功能 入侵检测就是要借助计算机和网络资源来识别以及响 应一些恶意使用行为。检测的内容主要分为两个部分:外部的入侵行为、内部用户的未授权活动。然而入侵检测系统是由入侵检测的软件以及硬件这两个部分组成的。到现在为
止,入侵检测成为继防火墙之后的第二道安全闸门。在网络 安全体系中,入侵检测是成为一个非常重要的组成部分。总 之,入侵检测的功能主要包括了以下几个功能:第一,对用户活动进行监测以及分析;第二,审计系统构造变化以及弱点;第三,对已知进攻的活动模式进行识别反映,并且要向相关人士报警;第四,统计分析异常行为模式,保证评估重要系统以及数据文件的完整性以及准确性;第五,审计以及跟踪管理操作系统。 二)入侵检测系统的模型 在1987 年正式提出了入侵检测的模型,并且也是第 次将入侵检测作为一种计算机安全防御措施提出来。入侵检测模型主要分为六个部分:第一部分,主体。主体就是指在目标系统上进行活动的实体,也就是一般情况下所说的用户。第二部分,对象。对象就是指资源,主要是由系统文件、设备、命令等组成的。第三部分,审计记录。在主体对象中,活动起着操作性的作用,然而对操作系统来说,这些操作包括了登陆、退出、读、写以及执行等。异常条件主要是指系统可以识别异常的活动,比如:违反系统读写权限。资源使用情况主要指的是在系统内部,资源的实际消耗情况。时间戳主要是指活动所发生的时间。第四部分,活动档案。活动档案就是指系统正常行为的模型,并且可以将系统正常活动的相关信息保存下来。第五部分,异常记录。异常记录主要是可以将异常事件的发生情况表现出来。第六部分,活动规则。活动规则主要是指通过一组异常记录来判断入侵是否发生在规划集合中。一般情况下,通过将系统的正常活动模型作为准则,并且要按照专家所提出的系统或者统计方法来分析以及处理审计记录,如果已经发生了入侵,那么此时就应该采用相应的处理措施。 三)入侵检测系统的具体分类 通过研究现有的入侵检测系统,可以按照信息源的不同 将入侵检测系统分为以下几类: 第一,以主机为基础的入侵检测系统。通过对主机的审 计记录来进行监视以及分析,从而可以达到了入侵检测。这 监视主要发生在分布式、加密以及交换的环境中,从而可以判断出攻击是否发生。然而这一入侵检测系统存在着缺点,那就是该系统与具体操作系统平台有联系,从而很难将来自网络的入侵检测出来,并且会占有一定的系
入侵检测技术简单汇总
入侵检测技术 注意:本文只是对入侵检测技术的粗略的汇总,可供平时了解与学习,不能作为科研使用! 入侵检测分析系统可以采用两种类型的检测技术:异常检测(Anomaly Detection)和误用 检测(Misuse Detection). 异常检测 异常检测也被称为基于行为的检测,基于行为的检测指根据使用者的行为或资源使用状况来判断是否入侵。基于行为的检测与系统相对无关,通用性较强。它甚至有可能检测出以前未出现过的攻击方法,不像基于知识的检测那样受已知脆弱性的限制。但因为不可能对整个系统内的所有用户行为进行全面的描述,况且每个用户的行为是经常改变的,所以它的主要缺陷在于误检率很高。尤其在用户数目众多,或工作目的经常改变的环境中。其次由于统计简表要不断更新,入侵者如果知道某系统在检测器的监视之下,他们能慢慢地训练检测系统,以至于最初认为是异常的行为,经一段时间训练后也认为是正常的了。 异常检测主要方法: (1)统计分析 概率统计方法是基于行为的入侵检测中应用最早也是最多的一种方法。首先,检测器根据用户对象的动作为每个用户都建立一个用户特征表,通过比较当前特征与已存储定型的以前特征,从而判断是否是异常行为。 用户特征表需要根据审计记录情况不断地加以更新。用于描述特征的变量类型有: 操作密度:度量操作执行的速率,常用于检测通过长时间平均觉察不到的异常行为; 审计记录分布:度量在最新纪录中所有操作类型的分布; 范畴尺度:度量在一定动作范畴内特定操作的分布情况; 数值尺度:度量那些产生数值结果的操作,如CPU 使用量,I/O 使用量等。 统计分析通过在一段时间内收集与合法用户行为相关的数据来定义正常的域值(Threshold ),如果当前的行为偏离了正常行为的域值,那么就是有入侵的产生。对于用户所生成的每一个审计记录,系统经计算生成一个单独的检测统计值T2,用来综合表明最近用户行为的异常程度较大的T2值将指示有异常行为的发生,而接近于零的T2值则指示正常的行为。统计值T2本身是一个对多个测量值异常度的综合评价指标。假设有n个测量值表示为Si ,(1<=i<=n ),则T2 =a1S12+a2S22+…+a n S n2,其中a i(1<=i<=n )表示第i个测量值的权重。 其优点是能应用成熟的概率统计理论,检测率较高,因为它可以使用不同类型的审计数据,但也有一些不足之处,如:统计检测对事件发生的次序不敏感,也就是说,完全依靠统计理论可能漏检那些利用彼此关联事件的入侵行为。其次,定义是否入侵的判断阙值也比
(完整版)基于神经网络的网络入侵检测
基于神经网络的网络入侵检测 本章从人工神经网络的角度出发,对基于神经网络的网络入侵检测系统展开研究。在尝试用不同的网络结构训练和测试神经网络后,引入dropout层并给出了一种效果较好的网络结构。基于该网络结构,对目前的神经网络训练算法进行了改进和优化,从而有效避免了训练时出现的过拟合问题,提升了训练效率。 4.1 BP神经网络相关理论 本章从学习算法与网络结构相结合的角度出发,神经网络包括单层前向网络、多层前向网络、反馈神经网络、随机神经网络、竞争神经网络等多种类型。构造人工神经网络模型时主要考虑神经元的特征、网络的拓补结构以及学习规则等。本文选择反向传播神经网络(Back Propagation Neural Network, BPNN)作为基本网络模型。 BP神经网络是一种通过误差逆传播算法训练的多层前馈神经网络,是目前应用最广泛的神经网络模型形式之一。网络中每一层的节点都只接收上一层的输出,而每一层节点的输出都只影响下一层的输入,同层节点之间没有交互,相邻两层节点之间均为全连接模式。BP神经网络在结构上分为输入层、隐含层与输出层三部分,其拓扑结构如图4-1所示。 图4-1 BP神经网络拓扑结构 Figure 4-1 Topological Structure of BP Neural Network
这里隐含层既可以是一层也可以是多层,数据在输入后由隐含层传递到输出层,通过各层的处理最终得到输出结果。 传统的BP网络算法可分为两个过程:神经网络中信号的前向传播和误差函数的反向传播。算法在执行时会不断调整网络中的权值和偏置,计算输出结果与期望结果之间的误差,当误差达到预先设定的值后,算法就会结束。 (1)前向传播 隐含层第J个节点的输出通过式(4-1)来计算: (4-1) 式中ωij代表输入层到隐含层的权重,αj代表输入层到隐含层的偏置,n 为输入层的节点个数,f(.)为激活函数。输出层第k个节点的输出通过式(4-2)来计算: (4-2) 式中ωjk代表隐含层到输出层的权重,bk代表隐含层到输出层的偏置,l为隐含层的结点个数。 根据实际输出与期望输出来计算误差,见式(4-3)。 (4-3) 式中(Yk-Ok)用ek来表示,Yk代表期望输出,m为输出层的结点个数。 当E不满足要求时,就会进入反向传播阶段。 (2)反向传播 反向传播是从输出到输入的传播过程。从式((4-1)至式(4-3 )中,可以发现网络误差E是与各层权值和偏置有关的函数,所以如果想减小误差,需要对权值和偏置进行调整。一般采取梯度下降法反向计算每层的权值增量,令权值的变化量同误差的负梯度方向成正相关,调整的原则是令误差沿负梯度方向不断减少。权值的更新公式见式(4-4),偏置的更新公式见式(4-5)。
网络安全之入侵检测技术
网络安全之入侵检测技 术 Revised as of 23 November 2020
网络安全之入侵检测技术 标签: 2012-07-31 14:07 中国移动通信研究院卢楠 摘要:入侵检测技术作为网络安全中的一项重要技术已有近30年的发展历史,随着中国移动网络的开放与发展,入侵检测系统(IDS)也逐渐成为保卫中国移动网络安全不可或缺的安全设备之一。在入侵检测技术发展过程中,逐步形成了2类方法、5种硬件架构,不同的方法与架构都存在其优势与不足。本文基于入侵检测的应用场景,对现有的主流技术原理、硬件体系架构进行剖析;详细分析IDS产品的测评方法与技术,并介绍了一个科学合理、方便操作的IDS测评方案。最后,从应用需求出发分析入侵检测技术的未来发展趋势。 1、背景 目前,互联网安全面临严峻的形势。因特网上频繁发生的大规模网络入侵和计算机病毒泛滥等事件使很多政府部门、商业和教育机构等都受到了不同程度的侵害,甚至造成了极大的经济损失。 随着互联网技术的不断发展,网络安全问题日益突出。网络入侵行为经常发生,网络攻击的方式也呈现出多样性和隐蔽性的特征。当前网络和信息安全面临的形势严峻,网络安全的主要威胁如图1所示。
图1 目前网络安全的主要威胁 说到网络安全防护,最常用的设备是防火墙。防火墙是通过预先定义规则并依据规则对访问进行过滤的一种设备;防火墙能利用封包的多样属性来进行过滤,例如:来源 IP 、来源端口号、目的 IP 地址或端口号、(如 WWW 或是 FTP)。对于目前复杂的网络安全来说,单纯的防火墙技术已不能完全阻止网络攻击,如:无法解决木马后门问题、不能阻止网络内部人员攻击等。据调查发现,80%的网络攻击来自于网络内部,而防火墙不能提供实时入侵检测能力,对于病毒等束手无策。因此,很多组织致力于提出更多更强大的主动策略和方案来增强网络的安全性,其中一个有效的解决途径就是入侵检测系统IDS(Intrusion Detection Systems)。 2、入侵检测技术发展历史 IDS即入侵检测系统,其英文全称为:Intrusion Detection System。入侵检测系统是依照一定的安全策略,通过软件和硬件对网络、系统的运行状况进行监视,尽可能发现各种攻击企图、攻击行为或攻击结果,以保证网络系统资源的机密性、完整性和可用性。IDS通用模型如图2所示。
入侵检测系统研究的论文
入侵检测系统研究的论文 摘要介绍了入侵检测系统的概念,分析了入侵检测系统的模型;并对现有的入侵检测系统进行了分类,讨论了入侵检测系统的评价标准,最后对入侵检测系统的发展趋势作了有意义的预测。 关键词入侵检测系统;cidf ;网络安全;防火墙 0 引言 近年来,随着信息和网络技术的高速发展以及政治、经济或者军事利益的驱动,计算机和网络基础设施,特别是各种官方机构的网站,成为黑客攻击的热门目标。近年来对电子商务的热切需求,更加激化了这种入侵事件的增长趋势。由于防火墙只防外不防内,并且很容易被绕过,所以仅仅依赖防火墙的计算机系统已经不能对付日益猖獗的入侵行为,对付入侵行为的第二道防线——入侵检测系统就被启用了。 1 入侵检测系统(ids)概念 1980年,james 第一次系统阐述了入侵检测的概念,并将入侵行为分为外部滲透、内部滲透和不法行为三种,还提出了利用审计数据监视入侵活动的思想[1]。即其之后,1986年dorothy 提出实时异常检测的概念[2]并建立了第一个实时入侵检测模型,命名为入侵检测专家系统(ides),1990年,等设计出监视网络数据流的入侵检测系统,nsm(network security monitor)。自此之后,入侵检测系统才真正发展起来。 anderson将入侵尝试或威胁定义为:潜在的、有预谋的、未经授权的访问信息、操作信息、致使系统不可靠或无法使用的企图。而入侵检测的定义为[4]:发现非授权使用计算机的个体(如“黑客”)或计算机系统的合法用户滥用其访问系统的权利以及企图实施上述行为的个体。执行入侵检测任务的程序即是入侵检测系统。入侵检测系统也可以定义为:检测企图破坏计算机资源的完整性,真实性和可用性的行为的软件。 入侵检测系统执行的主要任务包括[3]:监视、分析用户及系统活动;审计系统构造和弱点;识别、反映已知进攻的活动模式,向相关人士报警;统计分析异常行为模式;评估重要系统和数据文件的完整性;审计、跟踪管理操作系统,识别用户违反安全策略的行为。入侵检测一般分为三个步骤:信息收集、数据分析、响应。 入侵检测的目的:(1)识别入侵者;(2)识别入侵行为;(3)检测和监视以实施的入侵行为;(4)为对抗入侵提供信息,阻止入侵的发生和事态的扩大; 2 入侵检测系统模型 美国斯坦福国际研究所(sri)的于1986年首次提出一种入侵检测模型[2],该模型的检测方法就是建立用户正常行为的描述模型,并以此同当前用户活动的审计记录进行比较,如果有较大偏差,则表示有异常活动发生。这是一种基于统计的检测方法。随着技术的发展,后来人们又提出了基于规则的检测方法。结合这两种方法的优点,人们设计出很多入侵检测的模型。通用入侵检测构架(common intrusion detection framework简称cidf)组织,试图将现有的入侵检测系统标准化,cidf阐述了一个入侵检测系统的通用模型(一般称为cidf模型)。它将一个入侵检测系统分为以下四个组件: 事件产生器(event generators) 事件分析器(event analyzers) 响应单元(response units) 事件数据库(event databases) 它将需要分析的数据通称为事件,事件可以是基于网络的数据包也可以是基于主机的系统日志中的信息。事件产生器的目的是从整个计算机环境中获得事件,并向系统其它部分提供此事件。事件分析器分析得到的事件并产生分析结果。响应单元则是对分析结果做出反应
基于神经网络的实时入侵检测系统的研究和实现
1引言 目前,网络的攻击手段越来越多,入侵手段也不断更新。抵制攻击常用的机制是防火墙,它是被动的网络安全机制,对许多攻击难以检测,尤其是来自内部网络的攻击。入侵检测它弥补了传统安全技术的不足,是一种主动的防御技术。根据CIDF(CommonIntrusionDetectionFramework)标准[1]。 IDS就是通过从计算机网络或计算机系统中的若干关键点收集信息并对其进行分析,从中发现网络或系统中是否有违反安全策略的行为和遭到袭击的迹象的网络安全技术。 根据入侵检测系统的信息源,通常将入侵检测系统分为三类[2]:基于主机的入侵检测系统(Host-BasedIDS)、基于网络的入侵检测系统(Network-BasedIDS)和基于应用程序的入侵检测系统(Application-BasedIDS)。基于主机的入侵检测系统检测的信息主要来自操作系统的审计踪迹和系统日志。基于网络的入侵检测系统的信息源是网络数据包。基于应用程序的入侵检测系统的信息源则是应用程序产生的事务日志,它实际上是基于主机的入侵检测系统的一个特例。三种入侵检测手段都具有自己的优点和不足,互相可作为补充。 不同的入侵检测算法将直接决定本系统的执行效率,所以选用好的入侵检测算法是非常重要的。入侵检测算法大致有简单模式匹配、专家系统、模型推理、状态转换分析等。目前多数商业化的入侵检测产品都采用简单模式匹配。其特点是原理简单、扩展性好、检测效率高、可以实时检测,但只能适用于比较简单的攻击方式,并且误报率高。由于人工神经网络在入侵检测中具有如下应用优势[3]:(1)人工神经网络具有卓越的非线性映射能力和知识归纳学习,可以通过对大量实例样本反复学习来逐渐调整和修改人工神经网络的权值分布,使人工神经网络收敛于稳定状态,从而完成知识的学习,获得预测能力。(2)人工神经网络能不断接受新的实例样本,并不断调整人工神经网络的权值分布,自适应能力强,具有动态特性。(3)人工神经网络具有良好的知识推理能力,当人工神经网络学会正常行为模式,就能够对偏离正常行为特征轮廓的事件做出反应,进而可 基于神经网络的实时入侵检测系统的研究和实现 仲兆满1,李存华2,3,管燕1,2 ZHONGZhao-man1,LICun-hua2,3,GUANYan1,2 1.连云港师范高等专科学校计算机科学与技术系,江苏连云港222006 2.扬州大学信息工程学院,江苏扬州225009 3.淮海工学院,计算机科学与技术系,江苏连云港222005 1.DepartmentofComputer,LianyungangTeacher’sCollege,Lianyungang,Jiangsu222006,China 2.CollegeofInformationEngineering,YangzhouUniversity,Yangzhou,Jiangsu225009,China 3.DepartmentofComputerScience,HuaihaiInstituteofTechnology,Lianyungang,Jiangsu222005,China E-mail:zhongzhaoman@163.com ZHONGZhao-man,LICun-hua,GUANYan.Instantintrusiondetectionsystembasedonneuralnetwork.ComputerEngineeringandApplications,2007,43(30):120-123. Abstract:AccordingtothecharacteristicsoftheattacksagainstTCP/IPprotocol,transferringlayerdatapacketscanbeclassifiedintothreetypes(namelyUDP,TCPandICMP)andhandledrespectively.Thethreetypesofpacketsareusedasinputtotrainandformulatedifferentneuralnetworksforintrusiondetection.Withtheproposedmethod,anovelinstantintrusiondetectionsystemisdesignedandachieved.Thesystemhasfavorableusability,extensibilityandtheparametersofthenetworkstructurecanbeflexiblyadjustedtoachievesatisfactorydetectionperformance.Experimentalresultsprovethatdisposingdatapacketsrespectivelycanreducethetimeofneuralnetworktrainingandimprovetheaccuracyofnetworkintrusiondetection. Keywords:networksecurity;intrusiondetection;BPneuralnetwork;packetsoftransferringlayer 摘要:根据TCP/IP协议族攻击的特征,提出在传输层上将捕获的数据包分成三类(UDP、TCP和ICMP)分别进行编码并输入到三个不同的神经网络中训练、检测。根据以上思想设计并实现了一个基于BP神经网络的实时入侵检测系统的原型。该原型系统具有通用性和可扩展性,能够根据需要灵活调整网络结构和训练参数,可以发展为更精确的网络入侵检测系统。最后给出了实验设计及其结果,证明了文中对数据包分类处理的方法既能减少网络训练的次数,又能提高网络检测的精度。 关键词:网络安全;入侵检测;BP神经网络;传输层数据包 文章编号:1002-8331(2007)30-0120-04文献标识码:A中图分类号:TP393 作者简介:仲兆满(1977-),男,讲师,主要研究方向为智能信息处理、网络安全等;李存华(1963-),男,教授,博士,主要研究方向为网络安全、数据挖掘等;管燕(1976-),女,讲师,主要研究方向为图像处理、模式识别等。
入侵检测技术
入侵检测技术 一、入侵检测技术 入侵检测的研究最早可追溯到James Aderson在1980年的工作,他首先提出了入侵检测的概念,在该文中Aderson提出审计追踪可应用于监视入侵威胁,但由于当时所有已有的系统安全程序都着重于拒绝未经认证主体对重要数据的访问,这一设想的重要性当时并未被理解。1987年Dorothy.E.Denning[2]提出入侵检测系统(Intrusion Detection System,IDS)的抽象模型,首次将入侵检测的概念作为一种计算机系统安全防御问题的措施提出,与传统加密和访问控制的常用方法相比,IDS是全新的计算机安全措施。1988年的Morris Internet蠕虫事件使得Internet近5天无法使用。该事件使得对计算机安全的需要迫在眉睫,从而导致了许多IDS系统的开发研制。 入侵检测(Intrusion Detection)的定义为:识别针对计算机或网络资源的恶意企图和行为,并对此作出反应的过程。IDS则是完成如上功能的独立系统。IDS能够检测未授权对象(人或程序)针对系统的入侵企图或行为(Intrusion),同时监控授权对象对系统资源的非法操作(Misuse)。 ●从系统的不同环节收集信息; ●分析该信息,试图寻找入侵活动的特征; ●自动对检测到的行为做出响应; ●纪录并报告检测过程结果。 入侵检测作为一种积极主动的安全防护技术,提供了对内部攻击、外部攻击和误操作的实时保护,在网络系统受到危害之前拦截和响应入侵。入侵检测系统能很好的弥补防火墙的不足,从某种意义上说是防火墙的补充[1]。 二、入侵检测的分类 现有的分类,大都基于信息源和分析方法进行分类。 2.1 根据信息源的不同,分为基于主机型和基于网络型两大类 2.1.1 基于主机的入侵检测系统 基于主机的IDS可监测系统、事件和Windows NT下的安全记录以及Unix环境下的系统记录。当有文件被修改时,IDS将新的记录条目与已知的攻击特征相比较,看它们是否匹配。如果匹配,就会向系统管理员报警或者作出适当的响应。 基于主机的IDS在发展过程中融入了其他技术。检测对关键系统文件和可执行文件入侵
基于神经网络的入侵检测技术
基于神经网络的入侵检测技术 摘要:关于神经网络与入侵检测技术的结合一直是网络安全问题研究的一个热点,本文介绍了网络发展带来的问题,并详细阐述了入侵检测技术的基本概况,接着说明神经网络在入侵检测中的应用,最后对其提出了一些展望。 关键词:神经网络入侵检测激励函数模型 Abstract:On neural network and intrusion detection technology combined with network security issues has been a research focus, this paper brings the issue of network development, and elaborated on the basic overview of intrusion detection technology, and then the neural network intrusion detection Finally, some prospects of its proposed. Key words:neural network intrusion Detection Activation function model 1 引言 伴随着计算机网络技术的快速发展,网络的安全问题也日益突出,网络安全的一个主要威胁就是通过网络对信息系统的人侵。特别是系统中一些敏感及关键信息,经常遭受恶意和非法用户的攻击,使得这些信息被非法获取或破坏,造成严重的后果。目前在各个领域的计算机犯罪和网络非法入侵,无论是数量,手段,还是性质、规模,已经到了令人咋舌的地步。据统计,美国每年由于网络安全问题而造成的经济损失超过170亿美元,德国、英国也均在数十亿美元以上,法国、新加坡等其它国家问题也很严重[1]。在国际刑法界列举的现代社会新型犯罪排行榜上,计算机犯罪已名列榜首。2008年,CSI/FBI调查所接触的524个组织工作中,有56%遇到电脑安全事件,其中有38%遇到1-5起,16%以上遇到11起以上。因与互联网连接而成为频繁攻击点的组织连续3年不断增加,遭受拒绝服务攻击则从2005年的27%上升到2008的42%。所以,对网络及其信息的保护成为重要课题。对于网络安全现有的解决方案,我们知道防火墙、加密技术等都属于静态的防护手段,只能够被动的防御攻击,而对于已经发生的攻击则束手无策。鉴于此,能动态、主动地实现网络防卫的实时人侵检测技术日益成为网络安全领域的一个关键技术。 神经网络NN (Neural Network)具有检测准确度高且有良好的非线性映射和自学习能力、建模简单、容错性强等优点。神经网络技术具备相当强的攻击模式分析能力,能够较好地处理带噪声的数据,在概念和处理方法上都适合入侵检测系统的要求,已成为入侵检测技术领域研究的热点之一[2]。但由于传统的入侵检测技术存在着规则库难于管理、统计模型难以建立以及较高的误报率和漏报率等