智能神经网络在Internet入侵检测中的应用

1、智能神经网络在Internet入侵检测中的应用* 本文承蒙国家自然科学资金以及四川省重点科研项目基金的资助。肖瀛 李涛 王先旺 冷丽琴 刘峰 尹鹏1 肖瀛，王先旺，冷丽琴，刘峰，尹鹏 硕士研究生；李涛，教授，研究方向：人工智能，神经网络，Internet 核心技术等。四川大学（西区）计算机系 成都610065摘要本文探讨了一个基于智能神经网络的网络入侵检测系统模型。在对网络中的IP数据包进行分析处理以及特征提取的基础上，采用智能神经网络进行学习或判别,以达到对未知数据包进行检测的目的。由于智能神经网络可以将多种多样的入侵检测任务划分为多个单一的检测任务，分配给功能专一、结构简单的较小的智能神经

2、网络来完成。实验证明这是一种行之有效的网络入侵检测的解决方法。关键字Internet入侵检测，智能神经网络，IP数据包，Bp算法分类号TP31A New Method for Internet Intrusion DetectionXiao Ying ,Li Tao ,Wang Xianwang ,Leng Liqin ,Liu Feng ,Yin Peng(Dept. of Computer Science, Sichuan University, Chengdu 610065)Abstract This paper presents a prototype of a intrusion d

3、etection system based on intelligent neural networks, which works by capturing packets and using a intelligent neural network to learn or identify an intrusive behavior within the analyzed data stream. The intelligent neural networks can divide the intricate task of intrusion detection into several

4、single ones, and which will be operated by the some smaller intelligent neural network respectively. It is proved to be a good means for intrusion detection.Keywords Internet Intrusion Detection, Intelligent Neural Networks, IP data Steam, BP Algorithm一、前 言目前已经出现了许多种入侵检测系统（IDS）技术12，分为基于主机的入侵检测和基于网络的

5、入侵检测。基于主机的入侵检测主要使用日志跟踪，而基于网络的入侵检测则主要通过对网络上数据包的分析来进行。本文是想建立一个基于智能神经网络的入侵检测模型，它属于基于网络的入侵检测技术。由于它必须能分辨出当前连接是否属于恶意连接，因此我们必须对连接中传输的数据包信息进行分析，提取数据包中的特征信息，以及攻击行为的特征，然后将提取的信息输入到智能神经网络中进行学习，将获取的知识以隐性形式储存在神经网络中。智能神经网络可以看成是一个非常大的智能神经元3，由多个较小的具有一定功能的智能神经网络构成，而较小的智能神经网络可以由许多更小的智能神经网络构成，直到最简单的神经元。因此，可以将复杂多样的检测任务划

6、分为多个小的只针对几种攻击进行检测的任务，分别由各个小的智能神经网络完成，然后将它们组成一个功能强大的大智能神经网络。实验表明，经过大量的样本数据训练好的智能神经网络可用于入侵检测，它比传统神经网络更易于扩充知识和升级。二、攻击数据1 数据的收集：攻击数据和正常数据都是在可控制的网络环境下通过模拟入侵和正常网络运行收集的，攻击程序是根据或http:/www.geek-2 攻击的特征：不同的攻击有着不同的特征。例如，land攻击的特征为其源IP地址与目的IP地址相同；ping攻击的特征是其ICMP包的长度大于65536个字节；scan null这种扫描的特征是其seq位和ack位均为“0”。这些

7、攻击的共同点在于它们的特征都体现在数据包的包头中，因此我们可以将数据包的包头部分转化为可供智能神经网络学习的向量值，利用智能神经网络的自学习、自适应能力，将各种攻击分类识别。三、入侵检测模型的结构本入侵检测系统分为以下4个部分。其运行流程如图1所示。1 数据捕捉模块：负责抓取网络中的数据包，送入分析模块。通过系统调用initdevice()来创建SOCK_PACKET类型的套接口,并将网络接口设设置成混杂模式。由此可以监听整个网段的数据，然后系统调用readdevice()来接收数据包，pktlen为包的字节数，返回即得到数据包的指针pkt。2 分析模块：做初步的过滤工作。首先，判断IP协议是

8、否为IPV4，若否则丢弃。然后对IP包进行格式检查，若有分片则进行重组。接着，判别它是TCP包、UDP包或是ICMP包，根据包的不同嗐协议类型，调用不同的程序段进行语义分析。将符合要求的数据包中的信息（如：IP地址、端口、包长度等等）送往预处理模块。N移动pkt,指向TCP/UDP/ICMP的首部协议判别化为158个分向量神经网络模块有效协议返回错误3 预处理模块：产生对智能神经网络的输入值。它将从分析模块接受到的信息转换为具有158个分向量的特征向量，送往智能神经网络学习或判别。具体的编码方式如下：1 TCP包：§ 132位二进制数表示源IP地址。§ 3364位二进制数表

9、示目的IP地址。§ 6566位固定为“01”，表示传输类型。§ 6780位表示源端口，将端口编为14位长的二进制数，对于16383以上的不常用端口统一用14位的“0”表示。§ 8194位表示目的端口，同上。§ 95126位为Seq位编码。§ 127158位为Ack位编码。2 ICMP包：§ 132位二进制数表示源IP地址。§ 3364位二进制数表示目的IP地址。§ 6566位固定为“11”，表 示传输类型。§ 6798位为ID位编码。§ 99114位为IP包片偏移的编码。§ 11512

10、6位为IP包分片大小的编码。表1 一个TCP包的处理例子§ 127158位全为“0”，以补足158位，从而与TCP包共用神经网络输入层。4 智能神经网络模块：系统采用的网络拓扑结构如图2，图3所示。其中，小网可独立运行，并完成四种攻击的分类，大网组合两个小网，共可完成8种攻击的识别。图2 大网的拓扑结构图3 小网的拓扑结构输出层（5个神经元）隐含层（40个神经元）输入层（158个神经元）158个特征输入值输出层（9个神经元）隐含层（2个神经元）158个特征输入值输入层（158个神经元）每个隐层单元的拓扑结构如图3所示小网的学习: 训练第I（I=1,2）个小智能神经网络时，用第I组攻击

11、样本进行学习，一共有4*200个攻击训练样本和200个正常训练样本，对每个训练样本，除了它所对应的输出神经元的输出为“1”外，其余4个输出神经元均输出“0”。小网学习好后保存其权值、阈值及所识别的汉字。大网的学习: 将学习好的2个小智能神经网络联合，小网内部状态保持不变（作为一个独立的智能神经元），用含有8种攻击的训练样本对大智能神经网络进行训练，权值的调整只发生在每个小网的输出神经元到大网的输出神经元的连接权值上，阈值的调整只发生在大网的输出神经元上，调整算法采用传统BP算法，并采用如下的推理规则：l 如果2个小网的2*4个输出中，只有一个为“1”，则第I（I=1,2）个小网竞争胜利，它的第

12、J个神经元输出“1”，那么强行置大网的第I*2+J个输出为“1”，其余输出均为“0”。 l 2个小网的2*4个输出中有多个“1”，那么用扩展BP算法调整小网的输出神经元到大网的输出神经元之间的连接权值以及大网输出神经元的阈值。TCP包头部部分信息一个TCP数据包提取的智能神经网络输入值源IP地址2711001010011100110011110011100011源端口80801111110010000目的IP地址5811001010011011000111101110011110目的端口102410000000000协议类型TCP01Seq段2

13、43500000000000000000000100110000011Ack段456234600000000010001011001110110101010共有8*200个攻击训练样本和200个正常训练样本，对每个训练样本，除了它所对应的大网输出神经元输出为“1”外，其余8个大网输出神经元均输出“0”。大网学习好后保存其权值、阈值。四、实验结果本实验是在赛扬466,64M内存，WINDOWS98环境下进行的。表2是使用大智能神经网络进行检测的结果。为了更好地测试这种方法的有效性，与传统神经网络（拓扑结构为：158个输入神经元，40个隐含神经元，9个输出神经元）进行了比较，如表3所示。攻击名称识

14、别率误警率攻击名称识别率误警率Land96%5%DDos-TFN client command LE88.875%0.025%Backdoor 99%0.075%DDos TFN client command BE96.5%0.025%Scan null100%0ICMP Broad Smurf Scanner95.375%0.01%Ddos shaft synflood incoming100%0.083%Ping of death99.25%0学习时间平均识别率平均误警率有规则的智能神经网络12分40秒96.875%0.65225%无规则的智能神经网络1小时14分31秒96.225%0.5

15、75%传统神经网络2小时52分26秒94.375%0.325%表3 传统神经网络与智能神经网络的比较表2 八种攻击的比较五、结 论本实验通过研究网络入侵检测这样一个复杂任务，在智能神经网络组成原理的基础上，提出了一种神经网络解决大规模、复杂问题的方案：先训练好各个功能专一、结构简单的小网，然后联合各个小网构建功能强大的大网。与传统神经网络相比，由于智能神经网络中大网的学习建立在已学习好的小网的基础上，收敛速度明显快许多，并且在加入新的攻击检测时，它只需加入一个小网，对大网进行一定调整即可，而不需要象传统神经网络必须全部重新训练专家系统，这更易于复杂任务的完成和知识的扩充。本实验证明这是一种行之

16、有效的入侵检测方法。参考文献1 W. Lee, S. J. Stolfo, and K. Mok. Data mining in work flow environments: Experiences in intrusion detection. In Proceedings of 1999 Conference on Knowledge Discovery and Data Mining(KDD-99),1999.2 Christina Warrender, Stephanie Forrest, and Barak Pearlmutter. Detecting intrsions using system calls:alternative data models. In Proceedings of the 1999 IEEE Symposium on Securit