BP神经网络在入侵检测中的应用
BP神经网络在入侵检测中的改进设计
l N I M 的设 计 与 实现 ND
1 1 系 统 的 总 体 设 计 .
N DM( ua t ok It s n D tcin Mo — NI Ne rl w r nr i ee t d Ne u o o
e) 1 即神经 网络入 侵检 测模 型 , 是我 们 开发 的用 来 检
第 7卷
第 5期
漯 河 职 业 技 术 学 院 学 报
J u n lo u h o a in lT c n lg ol g o r a fL o e V c t a e h oo y C l e o e
Vo . . 1 7 NO 5
20 0 8年 9 月
Sp2 8 e . 00 Nhomakorabea12 N I M 的 实 现 . N D
12 1 网络探测 器 的设 计 与实现 . . 包 括数 据采 集 、 t re 帧 解 包 、P解 包 、C P Eh n t e I IM 解包 、 C T P解 包 、 D U P解 包 等 模 块 。在 本 系 统 的数
据采集 模块 中, 虑到采 集 网络包 的完整 性和 效率 , 考
网络 的初 始 阈值 。
表 1 预 处 理 编 码 规 则
望输出; ni Wihd e表 , 保存 输 人 层 到 隐含 层 的权 值 它 矩 阵 ; ieu 表 , 保 存 隐 含 层 到 输 出 层 的权 值 Whdo t 它 矩 阵 ; trsod表 , 保 存 隐 含 层 的 阈 值 矩 阵 ; H heh l 它
我们采 用 l p a/ nr 或 l p a/ c d m i cp so b t i cp T P u p相 结合 b 的方式 , 它们 具有 强大 而高效 的截获 数据 包 的能力 , 它有 多种参 数可供 选 择 , 过 参 数组 合 可 灵 活 地获 通
基于BP神经网络的入侵检测系统
2 De to o ue ce c , ih a iest f t . p. f mp tr in e Sc u nUnv ri o s& S in e , z o 3 0 0 C ia C S y Ar ce c s Dah u6 5 0 , hn )
Absr c : e i t u i n d t c i n s se i a e n BP n u a e wo k . e o i i l c o n a a wh c ip a e y ta t Th n r so e e to y t m sb s d o e r ln t r s Th rg na c u t t i h d s l y d b a d
O 引言
计 算 机 系 统 的主 要 问题 是 网络 信 息 安 全 。 入 侵 检 测 是 为 系 统 提 供 实 时 的 检 测 及 采 取 相 应 的 防护 手 段 。Itre 数 据 传 输 是 基 于 T P I 议 ,缺 乏 安 nent C /P协 全 措 施 。故 设 计 基 于 B P神 经 网 络 的入 侵 检测 系 统 。
文 章 编 号 : 1 0 — 5 6 ( 07)0 — 0 10 0 6 17 2 0 405— 2
2 0 , o . 6 No 4 0 7 V 12 , .
基于 B P神 经 网络 的入 侵检 测 系 统
杜 晓 曦 ,钟乐 海 ,陈 良维 z ( .西华 师 范大 学 计 算机 学 院 , 四川 南 充 6 7 0 ;2 1 3 0 2 .四川 文 理学 院 计 算机 科 学系 ,四川 达 J 6 5 0 ) J 3 00 ’ I
摘要 :基 于 B P神 经 网络 技 术 的入侵 检 测 系统 ,将二 进 制表 示 的原 始 审 计数 据 用 A C I 表 示 ,再 进行 数 据预 S I码 处 理 , 包括 数 据 解析 和 转化 成神 经 网络 可识 别 的输 入 。 然后 执 行数 据 收 集 和预 处 理 ,得 到评 估 数据 集 ,以评 估 新 的 模 式或特征的准确率。最后 ,神经网络分析 引擎处理分析数据 集,判断是否为异常数据。 关键 词 :B P神 经 网络 ;入 侵检 测 ;I ; 神 经元 :训 练 DS
基于BP神经网络算法的入侵检测技术
据, 直接对这些数据进行分析 。 这种方式只包含分析层 , 数据分 析
时经过 的环节较少 , 因此检测 的速 度较快 ; 并且还不会受 到传 统
通常为信息预处理模块或者是信息过滤模块 , 系 统输入 的信 息通
过神经 网络进 行过滤处理 , 过滤 处理之后 , 其他系统 再对信 息进
行处理。 此外 , 还可以 以神经网络为规则 自动生成模块 , 对入侵检
测系统 的模 式库和规 则库进 行更 新 。 这种方 式 既有优 点也有 不
足, 其优 点是可 以提 高入侵检测 系统 的工作 性能, 并保护系统 上 的投资 。 其不足是这 种方式不 能发挥神经 网络的真正优 势, 因为
1 B P 神经 网络 应用于 入侵 检测 的实现 方式 及 技 术 的 限 制 , 因此 , 可 以发 挥 B P神 经 网络 的最 大 优 势 。 存在的问题 1 . 2 存在 的问题
1 . 1 实现方式
式。
虽然 在入侵检测 技术 中应 用 B P 神经 网络具有 很多优势 , 但
Ke y wo r d s :i n t r u s i o n d e t e c t i o n; B P n e u r a l n e t w o r k: i m p r o v e d a l g o r i t h m
0 引言
随着计算机技术 网络技术 的发展 , 网络 已经成为人们工作和
络应用于入侵检测 的实现方式及存在 的问题 , 并对现有 的 B P神经 网络算法进 行改进, 阐述 了基于 B P 神经 网络入侵检测系统
基于MPSO的BP网络及其在入侵检测中的应用
中 分 号 T1 圈 类 :P3 8
基 于 MP O 的 B 网络及 其在 入侵 检 测 中的应 用 S P
肖晓丽 ,黄继 红,刘志朋
( 长沙理工大学计算机与通信工程学院 ,长沙 4 7 ) 06 1 0 摘 要 : 出一种基于变异粒子群优化( S ) B 提 MP O 的 P网络学习算法 , 该算法用 P O算法替代了传统 B S P算法 ,且在学 习过程 中,引入变异
f se o v r e c a e m i i m t r t n , i h ra c r c . a t rc n e g n er t , n mu i a i s h g e c u a y e o
[ ywod !P rceS m t zt nP O) loi m; eei a oi m; e rl ewok ;nrs nd tcin muain Ke r s at l wa Opi ai (s a rh gn t l rh BPn ua nt rs it i eet ; tt i mi 0 g t c g t uo o o
M PS ag rt m u siu e h r d t n l l o i m rn h e r n r c s r e v r o et t h a t n l l or h i a y t O l o i h s b t t st eta i o a ag rt du i g t el a ni g p o e si o d r O o e c m e t di o a ag i m se s O t i BP h n t ha t r i BP t
改进的BP网络在入侵检测中的应用
授 权 活 动 . 着 非 常 广泛 的应 用 前 景 。而 人 工 神 经 网络 是 一 种 基 于 大 量神 经 元 广 泛 互 联 的 数学 模 型 , 有 自学 习 、 有 具 自
组织 、 自适 应 的 特 点 。将 神 经 网络 技 术 和 入 侵检 测技 术 相 结 合 , 立 了一 个 基 于 神 经 网 络 的 人 侵 检 测 系 统模 型并 实 建
) +, - ,
应 入侵 l。 】 入侵 检测 系统 (D ) 计算 机 网络 系统 的 ] IS从
一
个或若 干关键 点 收集信 息并 根据 相应规 则对 这些
图 1 神 经 元 数学 模 型
信 息进 行 分析 , 看 系统 中是 否 有 违反 安 全 策略 的 查 行 为和遭 到袭击 的迹 象 。它可 以在 不影 响网络性 能
型函数 . 即取神经元的输 出为:
1 人 工神 经 网络 模 型
神 经 网络模 型是 以神 经元 的数学模 型 为基础 来 描述 的 。神 经 网络模 型 由网络拓 扑节点 和学 习规则 来表示 。神 经元是 以生 物神 经系 统 的神 经 细胞为 基
舡 =
m
1
() 1
第1 2卷 第 1 期
重庆科 技学 院学 报 ( 自然科 学版 )
21 0 0年 2月
改进的 B P网络在入侵检测 中的应 用
李 钢
( 枣庄 学院 ,枣庄 2 7 0 ) 7 1 0
摘
要 : 侵检 测 是 一 种 积极 主动 的安 全 防护 技 术 , 仅 能 够 检 测 来 自外 部 的 入 侵 行 为 , 时 也 监 督 内部 用 户 的 未 人 不 同
关 键 词 : 络 安 全 ; 侵 检 测 ; 经 网络 网 入 神 中图 分 类号 : P 9 T 33 文 献 标 识码 : A 文 章编 号 : 6 3 1 8 (0 0 0 — 1 7 0 17 — 9 0 2 1 )1 0 5 — 3
bp算法网络入侵检测技术的应用分析
为了提高网络数据安全,本文分析了基于BP算法的网络 入侵检测技术,通过构建BP算法的网络入侵检测系统实现网 络数据捕获、网络数据分析、网络数据预处理、BP算法入侵 检测和入侵行为响应,最后对入侵检测系统的应用进行了分 析,结果表明:经过BP算法训练之后的神经网络入侵检测系 统的应用效果较好,检测的正确率高,误报率和漏报率低。
随着计算机技术的发展和应用,人们开始研究网络入 侵检测系统的性能,最早应用的入侵网络算法为基于模式 匹配的网络入侵的检测方法,这种算法在应用过程中存在数据 包的匹配效率低问题,之后有学者将BM(Boyer-Moore)算法应 用在网络入侵检测系统中,提高了入侵检测效果,并对BM算法 改进之后提出了BMH算法、QS算法等,但是这些算法随着计算 机网络规模的不断扩大,其入侵检测准确率越来越低;当前随 着人工智能技术的发展,越来越多的学者将BP神经网络算法应 用在网络入侵检测中,提升了入侵检测系统的自主学习能力和 检测成效,本文对BP算法网络入侵检测技术的应用进行分析。
是要注意训练结果的精度,设置合理的权值,初始权值在-0.3到0.3之间。 4)确定合理的网络模型 为了提高神经网络的训练精度,降低误差,寻找最优解,神经网络
中的权值要相应进行改变,进一步确定这个神经网络结构的最合适的连
• 187 •
ELECTRONICS WORLD・技术交流
2)确定网络拓扑结构 在BP网络中,隐含层的节点数设计直接关系着训练的性能,如果设计 的隐含层节点数目过多还会出现“过拟合”现象,因此,隐含层的节点设计
十分重要,在保证网络的训练精度和泛化能力的前提下,尽可能减少隐含层
的节点数目。经分析,输入层的节点数为16,输出层节点数为3。 3)神经网络的训练 训练使一个优化的过程,通过训练可以确定样本数据中包含的规律,但
基于改进的BP神经网络的入侵检测研究
日趋 多样 、复杂 化 ,传 统 的静态 防入 侵技 术 一防火 墙 已经 无法 满足 新形 式下 网络 安全 的要 求 ,入侵 检 测 系 统 (n uinDe co ytm,简称 I ) 由 It so t t nS s r ei e DS
传 统 的对 于入 侵检 测 系统 的研 究 ,主要 有基 于 规则 和基 于专 家 知识 库 的方法 【,但 是这 些方 法过 2 】 于依 赖规 则库 和专 家知 识库 ,造成 了 自身 的适应 性 不 强 的缺 陷。神 经 网络通 过模 拟人类 大 脑 的思维 方 法来 处 理信息 ,具 有 自组织 、 自学习 、 自适 应 的特 点 ,这 使得 如何 将神 经 网络运 用到 入侵 检测 技术 成
Ke r s BP n u a n t o k i t s o e e t l c l n mu ; a i n e c n y wo d : ; e r l ew r ; n r i n d tc ; o a i m g d e t s e t J u第 4期 21 01年 7 月
V 12 No4 o. . 3 Jl 2 1 uy 0 1
井 冈山大 学学报 ( 自然 科学 版) Junl f igaghnUnvrt N trl c ne ora n gn sa iesy( aua Si c) oJ i e
文章编 号:17 -0 52 1)4 0 6 - 5 648 8(0 0 - 0 6 0 1
RES EARCH oN NTRUS oN I I DETECTI oN BAS ED oN M P I RoVED BP
N EURAL E TW O RK
W AN G B0 , L UO Ch O a
变异粒子群优化的BP神经网络在入侵检测中的应用
2 0 1 3年 1 2月 D O I : 1 0 . 3 9 6 9 / j . i s s n . 1 6 7 3 - 4 7 8 5 . 2 0 1 3 0 4 0 4 0
智
能
系
统
学
报
Vo 1 . 8 N o . 6
De c .2 01 3
CAAI Tr a n s a c t i o n s o n I n t e l l i g e n t S y s t e ms
t r u s i o n d e t e c t i o n s y s t e m[ J ] . C A AI T r a n s a c t i o n s o n I n t e l l i g e n t S y s t e ms , 2 0 1 3 , 8( 6 ) : 5 5 8 - 5 6 3 .
Ab s t r a c t : A a i mi n g a t t he p r o p e r t i e s o f r e a l — t i me p e r f o r ma n c e a n d s e l f - l e a r n i n g o f t h e i n t r u s i o n d e t e c t i o n s y s t e m
中图 分 类 号 : T P 3 9 3 文献标志码 : A 文章编号 : 1 6 7 3 — 4 7 8 5 ( 2 0 1 3 ) 0 6 — 0 5 5 8 - 0 6
中文引用格式 : 宋龄 。 常磊 . 变异粒子群优化 的 B P神经网络在入侵检测中的应 用[ J ] . 智能系统学报 , 2 0 1 3 , 8 ( 6 ) : 5 出了 MP S O — B P混合 优化算法 . 为提高 入侵检测 系统 的检测率 、 降低 误报率 , 提 出了一种 新 的入侵检测模 型( MP B I D S ) . 采取 I r i s 数据集对 3 个B P神经 网络进行模拟 实验 , 结 果表 明, 优化后 的 B P神经 网络 具 有更好 的收敛速度和精度. 将 改进 的 B P神 经 网络应用 到入侵 检测 中 , 采取 K D D C U P 9 9为 测试数 据集 , 仿 真结果 表 明, 基 于改进 B P神经网络的入侵检测模 型能提高检测率 、 降低误报率 . 关键词 : 变异算子 ; 入侵检测系统 ; 粒子群优化算法 ; B P神经网络
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
收稿日期:2002-10-20.作者简介:肖道举(1954-),男,副教授;武汉,华中科技大学计算机科学与技术学院(430074).BP 神经网络在入侵检测中的应用肖道举 毛 辉 陈晓苏(华中科技大学计算机科学与技术学院)摘要:对如何检测未知入侵手段的问题进行了探讨.在被监测程序输入条件已知情况下,借助程序行为简档,给出了一种基于BP 神经网络的入侵检测方法,阐述了所用BP 神经网络的基本结构以及训练方法,最后在LIN U X 环境下进行了实验验证.结果表明,在程序行为简档内容比较清晰的条件下,运用BP 神经网络检测入侵,可在一定程度上提高入侵检测系统的准确检测率.关 键 词:入侵检测;BP 神经网络;程序行为简档中图分类号:T P393 文献标识码:A 文章编号:1671-4512(2003)05-0006-03 网络入侵本质上都是入侵者利用服务器提供的服务程序的弱点进行非法操作以期获得所想要得到的结果.例如LINUX 下的lpr ,sendm ail ,xterm 和eject 等被广泛使用的服务程序都存在一些缓冲区溢出的漏洞,这些漏洞容易被网络入侵者用来获取root 权限.由于这些程序漏洞不易被发现,而且很难修补,无法通过软件升级完全解决,这就要求入侵检测系统应该能够对此类利用服务程序漏洞的攻击作出正确响应[1].本文依据系统服务程序行为简档,提出了一种基于BP 神经网络的入侵检测方法,以求提升入侵检测系统的准确检测率.1 程序行为分析与检测方法的基本特征1.1 程序行为分析检测未知入侵手段的一种方法是通过建立用户活动简档来记录所有用户在服务器上的活动情况.该方法的基础建立在对用户历史行为的学习之上,通过不断更新用户活动简档,并以此与当前用户行为相比较,一旦发现当前用户行为显著背离正常行为,系统就认定发生了网络入侵.基于用户活动简档的入侵检测方法通常基于这样一个假设,即:入侵者总是突然地改变其行为.因此,如果入侵者缓慢地改变他的行为特征,往往易导致入侵检测系统产生漏报.应该看到,与用户行为相比,系统服务程序则具有相对稳定的行为特征,因而本文选取系统服务程序的行为作为研究对象,以期尽可能多地发现未知的入侵行为.基本做法是对不同系统服务程序分别建立程序行为简档,同时在分析这些简档的基础上求取正常程序行为的期望值,一旦当前程序行为偏离给定期望值过大,即认为攻击发生.这样做的一个优点在于不再需要重复记录用户的正常行为,大大降低了系统开销,同时也可避免因入侵者行为的缓慢改变而导致的系统漏报.一般而言,程序行为特征至少可表现在以下两个方面:程序的外部特征.例如它的输入;程序的内部特征.例如某些内部变量的取值.1.2 检测方法的基本特征对程序行为的检测实际上就是对系统服务程序的行为进行分类和识别.为了达到这一目的,要求入侵检测系统不仅应具有系统中每一个服务程序行为模式的知识,而且还应能适应程序行为的改变.显然,采用传统的统计分析方法很难满足这些要求.为此,本文采用BP 神经网络作为入侵检测的基本分析工具.神经网络有多种模型,本文采用了误差反向传递神经网络(Erro r Back Propagation Neural Netw ork ,简称BP -NN ).BP -NN 采用BP (Back Propagation )算法进行训练.该算法实际上是工程上常用的最小均方误差算法的一种广义形式,它使用梯度最速下降搜索技术,按代价函数(网络的实际输出和期待输出的均方误差)最小的准则递归求解网络的权值和各结点的阈值[2].第31卷第5期 华 中 科 技 大 学 学 报(自然科学版) V ol .31 No .52003年 5月 J .Huazhong U niv .of Sci .&Tech .(N ature Science Editio n ) M ay 2003DOI :10.13245/j .hust .2003.05.0032 神经网络训练过程为了对程序行为进行准确的判别,必须训练一个合适的神经网络.神经网络的训练过程可分为以下三个阶段:收集训练数据;训练神经网络;系统测试与性能评估.2.1 训练数据的收集为了保证神经网络的准确判断率,必须收集丰富的且具有代表性的训练数据.从程序行为判别这一角度出发,用来训练神经网络的数据既应包含导致正常程序行为的程序输入,也应包含导致恶意程序行为的程序输入.训练数据的来源分为两个部分:一部分来自于服务器的服务记录,包括导致正常程序行为的程序输入和导致异常程序行为的程序输入;另一部分是随机生成的字符串,视作导致正常程序行为的程序输入.2.2 BP 神经网络的训练图1给出了BP 神经网络训练系统的总体结构.其中预处理模块主要用来将被监测程序的输入转换成可计算的数字量.图1 BP 神经网络训练系统的总体结构BP 神经网络要求在有导师条件下训练.有导师的训练除要求恰当选取组成训练集的无素外,还需对导致正常程序行为的程序输入和导致异常程序行为的程序输入进行恰当分类.因此不宜进行在线训练.对神经网络的整个训练过程可以分为多个阶段,每个阶段都是全体训练数据集的一次遍历,整个训练过程就是不断地重复这样的训练阶段,直到网络判断整体误差不再减小或者训练阶段数达到一个较大给定值为止.要强调的是,在训练神经网络过程中,如果需向训练集添加新元素,则整个训练过程必须从头开始而不是仅仅只对新添加的元素进行训练.2.3 BP 神经网络的结构图2给出了一个含隐层、输入层和输出层的典型BP 神经网络基本结构.本文所用神经网络中各网络结点的传递函数为Sigmoid 函数O j =11+ex p -∑W ij O i +Q j,式中,O j 是网络结点j 的输出,Q j 是结点j 的阈值;W ij 是从结点i 到j 的权值.图2 BP 神经网络结构在图2中,输入向量由被监控的系统服务程序的部分输入以及程序内部部分变量的取值所组成.输入分量在提交给BP 神经网络之前,经由预处理模块完成数值化.输出向量包含两个分量y 1与y 2,它们被用来表示正常程序行为和异常程序行为的概率,取值在0~1之间,并设定θ1和θ2分别表示正常程序行为和异常程序行为的阈值.因此,若:a .y 1=1,y 2=0,表示程序行为正常;b .y 1=0,y 2=1,表示程序行为异常;c .y 1>y 2且y 1≥θ1,认为程序行为正常,同时给出必要的提示信息;d .y 1<y 2且y 2≥θ2,认为程序行为异常,系统报警;e .其他情况需结合另外的检测手段进一步判断.2.4 神经网络的测试与选择神经网络存在的一个主要问题就是其隐层结构的不确定性.换言之,神经网络的性能在很大程度上取决于如何恰当确定隐层结点的数量,而隐层结点的确定又与特定的应用紧密相关.此外,由于神经网络所拥有的知识主要取决于网络连接的权值与结点阈值,因此网络权值与结点阈值的初始值不仅仅影响到网络的收敛速度,而且可能对最终网络的性能会有很大影响.遗憾的是,目前很难找到一种恰当的方法来确定神经网络的初始状态,一般都是采用一组随机值来初始化网络的权值和阈值[3].基于以上考虑,在取相同训练集的前提下,应选取若干不同结构的BP 神经网络,分别对其进行训练,从中选出性能最好的神经网络.由于不同BP 神经网络在结构上存在的差异主要体现在隐层结点数和隐层结构,因而在不失一般性的原则下,本文选取了隐层结点数分别为10,15,20,25,7第5期 肖道举等:BP 神经网络在入侵检测中的应用 30,35,40,50和60的九种不同结构的神经网络进行实验.同时,对每一种神经网络,采用10组随机值初始化神经网络的权值和阈值.这样对每一个被监测的系统程序来说,将有90个神经网络需要训练.90个神经网络被训练完之后,分别对其进行性能测试(测试数据不包括在训练数据集之中),从中挑选出对测试数据集的总体判断正确率最高的神经网络,用于在线使用.3 实验分析举例为了检验本文所给出的入侵检测方法是否能够很好地检测出针对系统服务程序的非法使用,在LIN UX环境下,对系统服务程序lpr的使用情况进行了测试.lpr是一个提供远程打印服务的系统程序,它存在缓冲区溢出漏洞,容易被攻击者利用来执行一个具有roo t权限的shell程序,或者其他一些root命令.攻击者为了利用lpr存在的缓冲区溢出漏洞进行攻击,首先需要设计一个特殊的攻击程序,该程序至少具有如下特征:a.会自动生成一个很长的字符串;b.在上述字符串的结尾自动加上一串起攻击作用的字符,用来覆盖堆栈的返回地址指针,同时将新的返回地址指针指向内存中另一条指令的入口地址(通常这个指令是/bin/sh);c.为了使系统缓冲区溢出,被用来攻击的字符串总长度应达4096个字符以上.由于攻击程序所生成的字符串的最后一部分字符(一般不长于75字符)是真正产生实质性攻击的,因此,可以取攻击字符串的最后75个字符作为导致异常程序行为的程序输入来训练神经网络.另一方面,正常的lpr输入字符串一般不长于75个字符(不足75个字符时,以NULL填充),因此也用来可以作为导致正常程序行为的程序输入来训练神经网络.显然,神经网络的输入向量包含75个分量.实验中,共收集了800例数据,其中导致异常程序行为的程序输入200例.具体实验时,将800例数据平均分为两部分(各含100例导致异常程序行为的程序输入),一部分用于训练神经网络,另一部分用于测试神经网络性能.测试结果:隐层结点数为25个的BP神经网络表现最好,其误报数为5,漏报数为16. 预测正确率= 1-预测出错的实例数测试实例总数×100%=(1-21/400)×100%=94.75%. 实验结果表明,在程序行为简档比较清晰的情况下,使用BP神经网络作为入侵检测的一种方法,灵活性较好、自适应能力较强、预测精度较高,能在一定程度上实现对未知入侵行为的检测.参考文献[1]Lunt T.A survey of intrusion de tection techniques.Computers and Security,1993,12:405~418[2]Jain A,M ao J,M ohiuddin K M.Artificial neural net-w orks:a tuto rial.I EEE Computer,1996,29(3): 31~33[3]Lane T,Bro dley C.An application of machine learningto anomaly detection.in:Stephen B ed.The20th Na-tio nal I nformation Systems Security Conference.Balti-more,1997.Baltimore:Boulder.CO.,1997.366~377The application of BP-neural network in the intrusion detectionXiao Daoju Mao Hui Chen X iaosuA bstract:In order to detect the unknow n intrusion into system service,this paper presented a study of BP neural netw ork in the intrusion detection system under the condition that the behavio r of program w as pro-filed.The structure and training method of neural netw ork w as explained.With this method,an experi-ment based on LIN UX platfo rm was given.The result showed that the accuracy of detection based on BP neural netw ork w as very satisfacto ry if the profile of the prog ram behavior w as clear.Key words:intrusion detection;BP neural netw ork;program behavior profileXiao Daoju Assoc.Prof.;College of Computer Sci.&Tech.,Huazhong Univ.of Sci.&Tech., Wuhan430074,China.8 华 中 科 技 大 学 学 报(自然科学版) 第31卷。