分布式自学习导向的神经网络入侵检测算法研究

关键词：网络安全 入侵检测 BP 神经网络 分布式神经网络 自学习算法

第 1 章 绪论

1.1 课题研究的背景和意义
入侵检测的概念在 1980 年被提出，入侵检测系统的抽象模型也首次在 1987年提出。第一个网络入侵算法，是一种基于模式匹配的网络入侵检测算法，并持续发展于网络入侵检测系统。但是，算法的效率在匹配数据包的过程中表现不够理想。网络入侵检测系统中被一些学者引入了“博耶-穆尔算法”[1]，通过算法的引入，检测系统的效果有了很大的提高，而一些“博耶-穆尔算法”的研究者也做出了一些改善，但网络规模的增加，使得基于单模的网络入侵检测算法难以满足对计算机网络的发展要求[2,3]。
本文结合分布式学习和自适应学习的特点，提出了分布式神经网络自学习算法，它是一种采用分布式学习算法来优化 BP 神经网络算法的入侵检测算法，能够很好地改善入侵检测的性能和效率。综上所述，神经网络入侵检测算法对入侵检测有很好的检测效果，对于提高入侵检测的检测性能和效率具有深远的意义。

1.2 国内外在该方向的研究现状
早期，提出 IDS 这个概念的是在二十年代 80 年代，随着 IDS 的发展，入侵检测专家系统(IDES)[6]逐渐产生。到二十世纪九十年代开始，出现了两代 IDS，它们分别是基于主机的和网络的 IDS，随后更为具体的分布式 IDS 的划分也出现了[7]。IDS 在逐步发展，其检测算法也在不断的完善。为了传输、分析和处理数据方便，我们在网络的出口处安置了 IDS，其作用就是在提取数据时表现出来的行为和特征能够及时被发现，以此来断定是否受到了入侵，同时隔离开已经响应的入侵行为[8]。在 IDS 中，研究更多的还是核心算法，即检测算法[9]，它是整个 IDS 中最为重要的组成部分，是不可缺少的。它的最大的一个功能就是自学习性和收敛速度，这对 IDS 整体的性能有着很大的影响。在检测算法上我们一定要做的非常完善。
……………

第 2 章 入侵检测与神经网络

2.1 入侵检测概述及功能
入侵检测是利用上述方法，利用网络和计算机系统来收集关键信息，并根据分析所获得的内容，看它是否违反安全策略的结果特征，是否有非法入侵的存在来定义。包含多种这里提到的信息，如发送报文，系统日志，一些网络的行为。入侵检测系统(Intrusion Detection System)，简称 IDS，入侵检测有效地结合了硬件和软件开发测试设备，它是基于安全策略的，一个很智能的设备、网络产品，可以实现更高的智能功能，对于攻击行为和提出有效的解决方案，并确定它是否及时给予关键信息的变化。

2.2 入侵检测方法
根据所谓的迁移状态的状态检测技术移民，是指在入侵过程结束的行为从初始状态到入侵系列化，便于应用程序状态转换图。请求必须明确状态迁移系统状态和行为的条件和状态转换的条件，有针对性的行为建模的基础上，入侵过程中的检查，以模型为单位，从行为检测模型单位转换，缩短了检测时间。因为与模型内的转移条件相关联，因此该行为的同时，我们可以预测攻击方法中使用的状态迁移的方向。但缺点是，状态迁移只能为一个简单的迁移入侵，入侵复杂的实施，将会有各种不同的行为转化，关联模型无法形成，否则数据发生爆炸。
使用基于模型的测试技术误用检测原理基于模型的错误检测技术是由系统活动行为捕获推出相应的场景，对模型抽象处理，通过脚步分析和观察来发现入侵的目的。通过对误用检测技术应用与模型搜寻信息来对工作量的减少，大量的人力会在创建模型的过程中消耗。
………………

第 3 章 基于分布式神经网络自学习算法....................................... 16
3.1 入侵检测算法原理................................................. 16
第 4 章 实例验证.......................... 29
4.1 入侵检测数据集及特点........................................ 29
结论...................................................... 34

第 4 章 实例验证

研究和评价各种入侵检测算法首要任务就是数据集的选择。目前，大家用的最多的入侵检测数据集就是安全审计数据集 KDD CUP99。该数据集作为许多论文和研究成果的基础数据，其验证效果是显著的，但分析和使用该数据集会存在明显的差异。本文也将采用 KDD CUP99 数据集来对本算法模型进行实例验证，并分析实验结果，给出相应的实验结论。

4.1 入侵检测数据集及特点
在入侵检测系统中，可以通过提供的原始数据进行分析入侵的程序，能够集中地反应系统的运行状态和网络行为，依赖数据集的数据分布和整体结构。作为入侵检测算法的处理对象，从中提取特定的入侵模式是算法的某一部分任务。所以，实现入侵检测算法必须要有足够的先验知识。训练数据集和测试数据集两者都属于验证算法性能的两大类数据集。被选择数据集的特点[42]：1．有足够的先验数据，能够全面反映安全系统的真实状态；2．正常情况下，安全审计数据集一般是很稳定的，而且也是很全面的；3．不同类型的攻击分布特征必须注重清楚地反映在先验数据；4．入侵检测算法学习各种入侵模式；5．由于某些功能被攻击而引起安全审计数据明显偏离正常值。

4.2 输入数据与输出数据
本文的测试数据集是数据集的一部分，只用了 10%的数据作为训练数据，而使用测试数据集的标识作为测试数据，本文设置为 311028 条记录，包括正常行为记录 60592，入侵记录 250436，一共有 37 种入侵的数据集。
.............

结论

本文首先研究并讨论了传统 BP 神经网络的流程和缺陷，然后针对性地对算法进行了改进，并运用改进的算法来建立模型，提高了入侵检测的检测效率，改善了其收敛性，最后进行了实例验证。本文主要从以下几个方面进行研究：1．详细介绍了网络安全及入侵检测的相关知识。全面阐述了网络安全的发展现状，并对入侵检测技术作出了概述，深入研究了入侵检测的功能、方法与不足。2．对神经网络技术进行了阐述，介绍了神经网络的产生和原理。对现有的BP算法进行分析，提出了基于分布式学习的神经网络入侵检测算法，即分布式神经网络自学习算法，对传统BP算法进行了有效改进，降低了算法的时间复杂度，从而提高了算法的效率。运用改进的算法建立模型，并分析模型的特点，为后面的实例验证做好铺垫。3．通过给定的入侵检测实验数据，与传统BP算法进行验证和比较，改进后的算法大大提高了学习速度，有效缩短了训练时间，很大程度上提高了数据检测的稳定性和收敛性，具有较高的检测效率和较低的误报率。本文存在的不足以及下一步的研究内容：1．本文的数据来源是标准的 KDD CUP99 数据集，而实时网络数据却不能用该数据集来完全表示，如果今后有条件，应当加强这方面的工作，通过真正的实时网络数据来进行测试。

..............

参考文献：

• [1] 乔俊飞,韩红桂.  神经网络结构动态优化设计的分析与展望[J]. 控制理论与应用. 2010(03)
• [2] 乔俊飞,李淼,刘江.  一种神经网络快速修剪算法[J]. 电子学报. 2010(04)
• [3] 范才智,宋宝泉,刘云辉,蔡宣平.  微小无人直升机自适应视觉伺服[J]. 自动化学报. 2010(06)
• [4] 杨锋,彭勤科,徐涛.  基于随机网络的在线评论情绪倾向性分类[J]. 自动化学报. 2010(06)
• [5] 谷丛,梁彦,张共愿,杨峰,潘泉.  量测缺失下多速率传感器系统的H_∞滤波器设计[J]. 自动化学报. 2010(06)
• [6] 于雪松,赵巍,刘鹏,唐降龙.  基于混合跟踪模型的室内步行人体3D运动估计[J]. 自动化学报. 2010(06)
• [7] 何朕,孟范伟,刘伟,王广雄.  H_∞回路成形设计的鲁棒性[J]. 自动化学报. 2010(06)
• [8] 刘振丙,陈忠,刘建国.  一种新的构造SVM分类器的几何最近点法[J]. 自动化学报. 2010(06)
• [9] 宋宇,孙富春,李庆玲.  移动机器人的改进无迹粒子滤波蒙特卡罗定位算法[J]. 自动化学报. 2010(06)