开题报告-基于神经网络的入侵检测技术的研究.doc

南京邮电大学毕业设计(论文)开题报告题目基于神经网络的入侵检测技术的研究学生姓名班级学号专业网络工程提纲(开题报告2000字以上)：1. 对指导教师下达的课题任务的学习与理解；2. 阅读文献资料进行调研的综述（10篇左右）；3. 根据任务书的任务及文献调研结果，初步拟定的执行（实施）方案（含具体进度计划）。1、 对指导教师下达的课题任务的学习与理解通过对任务书的学习和与指导老师的交流，了解了这次毕业设计的主要任务：（1） 学习并掌握常用入侵检测技术的概念、原理和特点以及未来的发展趋势；（2） 学习并掌握Back Propagation(BP)算法等神经网络的学习方式；（3） 学习将粒子群优化算法PSO(Particle Swarm Optimization)改进BP的神经网络应用于入侵检测；（4） 学习应用Principal Component Analysis（PCA）特征提取技术减小算法的运算量；（5） 在MATLAB平台上对利用KDD99数据集对改进后的神经网络算法的入侵检测技术进行实验仿真。二、阅读文献资料进行调研的综述入侵检测技术研究是目前网络安全领域的研究热点，其中模式识别及数据挖掘等技术在入侵检测上的应用得到了广泛的关注。人工神经网络作为模式识别的重要方法，具有自组织、自学习和推广能力，将神经网络方法应用于入侵检测系统中，将使系统既可以对已知攻击有较好的识别能力，又具有检测未知攻击的能力。在理解Back Propagation等神经网络的基础上，同时引入Principal Component Analysis特征提取技术对模型进行改进，最终建立基于神经网络的入侵检测模型。1、入侵检测入侵检测（Intrusion Detection）是对入侵行为的检测。它通过收集和分析网络行为、安全日志、审计数据、其它网络上可以获得的信息以及计算机系统中若干关键点的信息，检查网络或系统中是否存在违反安全策略的行为和被攻击的迹象。入侵检测作为一种积极主动地安全防护技术，提供了对内部攻击、外部攻击和误操作的实时保护，在网络系统受到危害之前拦截和响应入侵。入侵检测系统是一种能够通过系统进行实时监控，分析网络的相关数据，检测到有可疑的入侵行为后进行警报等一系列措施的系统。一般的入侵检测系统的结构（如图1所示）由信息提取、数据分析和响应处理三部分组成。图1侵检测系统的结构2、神经网络神经网络NN (Neural Network)具有检测准确度高且有良好的非线性映射和自学习能力、建模简单、容错性强等优点。神经网络技术具备相当强的攻击模式分析能力，能够较好地处理带噪声的数据，在概念和处理方法上都适合入侵检测系统的要求，已成为入侵检测技术领域研究的热点之一。BP 神经网络，实现了一个输入输出的模式映射的功能。网络具有泛化能力，网络通过样本学习逐渐形成非线性映射关系并把这些关系存储记忆在权值中，在工作阶段，网络能够对未曾碰到过的样本做出正确的映射。网络还具有容错能力，因为是经过提取大量样本的统计特征后才会做出对网络权值的调整，所以个别有较大误差的输入样本不会对网络的学习过程造成影响。3、PCA特征提取技术PCA是设法将原来众多具有一定相关性的指标，重新组成一组新的相互无关的综合指标来代替原来的指标，达到降维的目的。新组成的综合指标的个数比原指标个数少，称为“主成分”，主成分能够反映原来指标的绝大部分信息。利用主成分分析技术可以减小消除原指标之间的相关性和冗余信息，减小后续工作的计算量。三、根据任务书的任务及文献调研结果，初步拟定的执行（实施）方案（含具体进度计划）1.执行（实施）方案1.1理解入侵检测技术的概念、特点以及学习入侵检测技术的分析方法；1.1.1常见的入侵检测系统的分类：（1）基于主机的入侵检测系统(Host-based Intrusion Detection System ,HIDS)重点检测主机系统和系统本地用户。它的数据源主要来自系统日志（如Linux的Loginlop、Wtmp和History文件），应用程序日志（如Syslog文件），提取数据之后进行审计和数据分析，通过分析计算机操作系统的日志文件、应用程序的日志、系统调用和端口调用，比较这些审计数据文件的记录与攻击模式是否匹配，如果匹配，则检测系统向管理员发出报警并做出相应的行动。（2）基于网络的入侵检测系统(Network-based Intrusion Detection System ,NIDS)分析的数据是网络上的数据包，它通过网络适配器捕获和过滤网络数据包，随之进行入侵的识别和响应。网络数据包捕获模块是网络入侵检测系统的基础。常用的捕获数据包的工具有ethereal、sniffer和wireshark等。网络数据包被捕获以后，需要包过滤机制进行过滤，以获得满足条件的数据包。1.2在1.1的基础上了解神经网络，BP算法等神经网络为主，学习神经网络在入侵检测中的应用；利用神经网络的学习能力，入侵检测系统能从系统网络数据流和审计日志中提取正常用户行为和入侵行为的模式特征。神经网络预先要经过训练，需要准备训练用的分类数据集。训练集包含正常分类数据和异常分类数据，且用特定的符号表示，如可用“1”表示正确数据，“”表示异常数据，然后控制分类器的输出进行训练。1.3入侵检测系统的总体设计1.3.1数据预处理模块对KDD99数据集（使用了各种不同的网络攻击和入侵手段，并且采集了9周时间的系统审计和网络连接数据。数据集分为训练集和测试集两部分。为了提高数据的质量和系统的处理效率，使数据保持一致性，必须经过数据预处理过程。本设计的数据预处理模块的工作主要包括数据清理、数据集成和变化、数据规范化三个过程。在数据集中，有部分特征的值为离散值，为了使它们被神经网络识别，分别用数值1、2、3和4代替（如表1所示KDDCUP攻击类型）。其余离散变量也用相似的方法进行处理。此处理过程是用Python处理语言完成的。 表1 KDDCUP攻击类型类别具体攻击类型DoSBack, land, Neptune, pod , smurf , teardropProbingipsweep ,nmap ,portsweep ,satanR2Lftp_write ,guess_passwd ,imap ,multihop ,phf ,spy,warezclient, warezmasterU2Rbuffer_overflow,loadmodule,perl,rootkit离散化的变量处理完后，需要进行数据的标准化。标准化釆用如下方法：（1）计算特征变量属性的平均值设有M 个样本，是第j 个样本的第i个特征的值，是第i个特征的平均值，则： （1）（2）计算样本特征的均方差设第i个特征的均方差为公式如下： （2）（3）归一化归一化后新的特征值为： （3）1.3.2特征提取模块特征提取主要采用的方法有主成分分析，主成分分析的优点是高效和简单易用。主成分分析就是设法将原来众多具有一定相关性的指标，重新组成一组新的相互无关的综合指标来代替原来的指标，达到降维的目的。新组成的综合指标的个数比原指标少，称为“主成分”，主成分能够反映原来指标的绝大部分信息。利用主成分分析技术可以减小消除原指标之间的相关性和冗余信息，减小后续工作的计算量。1.3.3神经网络训练和检测模块神经网络训练和检测模块是入侵检测系统的核心。选取KDD99数据集中具有个特征的数据经过数据预处理和PCA特征提取，送入网络。网络分训练和检测两个阶段。在训练阶段，一次训练将所有样本数据正向运行一轮并根据误差反向修改权值一次，反复训练，直到网络总误差达到精度要求或最大训练次数为止。在检测阶段，网络对输入数据进行非线性映射，根据网络输出的不同判断是否发生入侵行为。 基于神经网络的入侵检测系统的结构图如图2所示：图2基于神经网络的入侵检测系统2.进度计划(1)2017年3月13日-24日：依据任务书，通过查阅文献了解入侵检测技术的概念和神经网络的原理，完成开题报告； (2)2017年3月25日-4月23日：认真学习PSO-BP等神经网络算法，完成外文文献的翻译工作，学习PCA特征提取技术来减小神经网络算法的运算量；(3)2017年4月24日-28日：进行中期检查； (4)2017年4月29日-5月28日：对神经网络算法的入侵检测技术进行实验仿真，分析实验结果，修改外文文献的翻译稿； (5)2017年5月29日-6月4日：撰写毕业设计(论文)报告；(6)2017年6月5日-16日：整理毕业设计资料，准备答辩，毕业论文答辩。四、参考文献1 盛仲飙.BP神经网络在数据预测中的应用J.软件导刊,2016, 15(1):147-148.2 伍万里,赵长明.针对网络信息帐户安全及漏洞防御探究J.网络安全技术与应用, 2017(1):24-24.3 金海旻, 顾骏,金晶.网络攻击防护体系发展趋势与建设思路研究J.信息安全与通信保密, 2017(1):38-45.4 胡亮, 康健, 赵阔,等. 入侵检测系统J. 吉林大学学报信息科学版, 2002, 20(4):46-53.5 Rosset S, Inger A. KDD-cup 99J. Acm Sigkdd Explorations Newsletter, 2000, 1(2):85.6 李爱国, 覃征,鲍复民,等. 粒子群优化算法J.计算机工程与应用,2002, 38(21):1-3.7 戚德虎, 康继昌. BP神经网络的设计J. 计算机工程与设计, 1998(2):48-50.8 Callegari C, Gazzarrini L, Giordano S, et al. A Novel PCA-Based Network Anomaly DetectionC/ IEEE International Conference on Communications. IEEE, 2016:1-5.9 Rowland C H. Intrusion detection system: US, US6405318P. 2002.10 史美林, 钱俊, 董永乐.入侵检测技术与其发展趋势J.信息安全与通信保密, 2002(5):12-16.11 张慧敏,何军,黄厚宽.入侵检测系统J.计算机应用研究, 2001, 18(9):38-41.12 杨浩, 谢昕, 李卓群,等.多样性入侵环境下网络安全态势估计模型仿真J. 计算机仿真, 2016, 33(6):270-273. 13 高鹏毅.BP神经网络分类器优化技术研究D. 华中科技大学, 2012.14 Sangari A S. Anomaly detection in wireless sensor networksC/ Recent Advances in Space Technology Services and Climate Change. IEEE, 201