基于层次神经网络的入侵检测模型.pdf

第45卷增刊中山大学学报(自然科学版) 2006年5月 ACTA SCIENTIARUM NATURALIUM UNIVERSITATIS SUNYATSENI VoL45 May 2006 基于层次神经网络的入侵检测模型’杨志章,林柏钢,倪一涛(福州大学数学与计算机科学学院,福建福州350002) 摘要:本文讨论了层次神经网络在入侵检测中的应用,并给出了具体的算法描述。运用协议分析和数据挖掘技术,对数据信息的特征提取进行智能的分析;借助神经网络技术,对已知的入侵攻击进行归类,对未知的攻击进行比对检测。通过采用“分而治之”策略的层次神经网络,将复杂的入侵检测任务分配给若干个结构简单、功能独立的专家网络分别解决,最后由判决网络综合各个专家网络的结果得到一个比较合理的信任结论。关键词:入侵检测;特征比对;层次神经网络,可信综合判决中图分类号:TP393; 文献标识码:A 文章编号:0529-6579(2006)S1-0201-04 传统的入侵检测技术,通过网络报文或审计日记等数据的分析,以非智能化的模式匹配和特征分析技术来检测入侵攻击类型。这种依据具体的攻击特征库,具有算法简单,准确度高的特点,缺点是只能检测已知攻击,匹配要求严格,特征库需要不断的人工进行更新等。近年来,出现了很多新的入侵检测技术或模型【l。2J。这些入侵检测方法综合运用了人工智能等领域的技术,将入侵检测过程看成是数据的处理过程,采取以数据为中心的策略,克服了传统的入侵检测技术的缺点,实现了系统的智能化。神经网络由于具有一定程度的容错处理、自我学习和自适应能力,以及其独有的并行计算和存储特性,在入侵检测系统中得到了很好的应用。面对现实环境中大量的不同的攻击手段和攻击特征,入侵检测需要解决大量的复杂数据的识别,而单一类型和简单拓扑结构的神经网络,由于存在明显的学习能力容量的约束,使其应用受到一定的限制。本文构造的层次神经网络旨在克服该缺陷,目的是通过由多个独立的神经网络模块(包括专家专家经验网络数据包样本数据的收集神经网络)和一个判决网络组成的学习机制,采用“元学习”【31的技术来解决这个问题。这种网络模型基于“分而自治”的策略H],把一个复杂问题分解为相互有关或相关的小问题,利用小规模的神经网络模块分别去解决,最后综合各个子模块的中间结果得到最后结论。它可以用于入侵检测系统的层次神经网络使用的基本思路是:将需要识别的入侵特征按攻击类别分成若干个小类,然后采用两层的网络架构设计。上层网络由多个专家神经网络构成,每个专家网络分别学习并识别其中对应的某类攻击,之后由下层的判决网络对每个专家网络的输出结果进行综合判决,进而可以得出是否存在入侵的结论。 1 基于层次神经网络的入侵检测系统模型本模型结构如图1所示,模型的主要特点是针对网络数据包进行分析。基本原理是:先捕获网络数据包,在人为指导下进行样本的收集,对所收集的训练样本进行协议分析、关联分析和序列分析, 特征向量的构造数据预处理层次神经网络的训练与识别图1基于层次神经网络的入侵检测模型 Model forIDS based on hierarchical works 判决结果·收稿日期:2006—02—22 基金项目:国家自然科学基金资助项目(60172017);福建省政务信息共享平台安全评估技术研究基金资助项目作者简介:杨志