硕士学位毕业论文答辩

1、入侵检测中神经网络及数据融合方法的若干应用硕士学位毕业论文答辩答辩人: 刘 琦指导老师: 孙怀江网络安全及其重要性v网络安全主要三个方面： 网络服务的可用性 网络信息的保密性 网络信息的完整性v最主要的网络安全威胁： 通过网络对信息系统的入侵网络入侵网络入侵是指任何试图危害资源完整性、保密性和可用性的活动集合。 网络入侵入侵分为四大类： (1) DOS (2) U2R (3) R2L (4) Probing入侵检测技术入侵检测技术是近年来发展较迅速的网络安全技术，顾名思义入侵检测就检测和发现入侵行为。它通过对计算机网络或计算机系统中的若干关键点收集信息并进行分析，从中发现网络或系统中是否有违反

2、安全策略的行为和被攻击的迹象。入侵检测系统的分类根据检测的对象分为： 基于主机的入侵检测系统(HIDS) 基于网络的入侵检测系统(NIDS)根据检测所用的检测分析方法分为： 误用检测型(Misuse Detection) 异常检测型(Anomaly Detection) 入侵检测方法基于专家系统的检测方法基于代理的检测方法概率统计方法神经网络方法数据挖掘方法遗传算法人工神经网络人工神经网络是对生物神经系统的某种抽象、简化和模拟。人工神经网络是由许多并行互联的相同神经元模型组成，网络的信号处理由神经元之间的相互作用来实现。神经网络应用于入侵检测神经网络方法是属于模式识别方法的一种，目前在许多种领

3、域都有其应用，如图像识别、语音识别和数据压缩等等。入侵检测可以简化为正常网络连接和异常网络连接（入侵）的分类问题，这样就可以将模式识别的神经网络方法运用到入侵检测当中。BPBP神经网络神经网络目前，在人工神经网络的实际应用中，决大部分的神经网络模型是采用BP网络和它的变化形式。 BP网络(Back-Propagation Network, 简称BP网络)采用反向传播学习算法学习算法。BP网络神经元采用S型变换函数，使网络具有较强的分类能力。测试数据说明（一）v数据来源：MIT林肯实验室DARPA数据集。v数据内容：该数据集中有数以百万计的网络连接数据记录。每一条记录都代表一次网络连接，每条记录

4、都有41个属性分别代表连接的不同特征。测试数据说明（二）为了检测神经网络的入侵检测算法, 只选取了ftp服务相关的网络连接作为实验数据。选取了30个特征值，并按照各值的内容含义分为三组：固有特征组，流量特征组和内容特征组。对这三组特征值，分别用不同的神经网络进行训练和识别，以比较实际性能。神经网络设计采用BP神经网络结构。网络采用的是三层结构: 输入层、隐含层和输出层。采用有师学习的方法，选取一定样本集对神经网络进行训练。然后再将网络应用于实际检测中。实验数据集结构训练集Training Set测试集Test Set正常连接: Normal6305120侦听攻击: Probing3259DOS

5、攻击: 2921042U2R攻击: 88R2L攻击84311总计连接数10466540入侵检测算法的评估标准正确检测率误警率漏检率最终检测结果比较Intrinsic FeaturesTraffic FeaturesContent Features正确检测率%97.285.794.0误警率%1.640.120.23漏检率%1.2114.175.78信息融合信息融合的研究起源于20世纪70年代军事领域中对多源信息进行的信息处理，它是一门综合性的横断学科。现已应用于各种领域，如自动控制、图像识别、数据挖掘等,并出现了 “数据融合”、“信息融合”等术语。融合(Fusion)的概念可以抽象的定义为：对满

6、足一定条件的不同信源的数据，按一定准则进行综合处理，以获得对象的更加准确的描述。 数据融合技术数据融合的方法有很多，主要有加权平均法，选举决策法，贝叶斯概率推理法，模糊推理法，以及DS证据推理法等。按照对信息的抽象程度和从信息表征水平的层次上，融合主要在三个层次上展开：数据层融合，特征层融合和决策层融合。 证据理论应用简介论文中证据理论融合方法应用属于决策级数据融合，即将前面三组神经网络检测的结果进行融合。决策融合时，将三组神经网络的初步检测结果视为证据体。在融合时，如果三组检测结果一致判定为入侵或正常连接即证据体均支持连接为入侵或正常连接时，可以肯定的判定该连接记录为入侵或正常连接。但对于那

7、些检测结果不一致的情况，也就是最终检测结果出现不确定性时，就要应用D-S证据理论进行融合，来最终决定网络连接的属性是正常连接还是恶意入侵。证据推理理论基础证据推理理论基础证据理论把证据的信任函数与概率的上下值相联系，提供了一种构造不确定推理模型的一般框架，能满足比概率论更弱的公理系统。在对于目标识别中，证据理论更侧重于对目标集合的分析。基本问题是：已知识别框架，判明中一个先验的未定位元素属于中某个子集A的程度。其相关的概念和定义包括鉴别框架，基本概率分配函数，信任度，信任区间等识别框架的建立识别框架的建立 识别框架是所有可能的识别结果的集合。本论文中，入侵检测的目的是检测入侵，判断一个网络连接

8、是正常连接还是恶意入侵，其最终得出的结果只有网络连接为正常或恶意，即入侵。故定义识别框架为： 正常网络连接，H1； 恶意网络连接，H2。 证据推理相关定理证据推理相关定理基本概率赋值函数BPA是一个0，1之间的正数，它与支持某个假定的证据相联系。其大小表示该证据支持或反对该假定的精确程度 。对于给定的基本概率赋值函数m，及任一A属于2定义它所对应的信任函数为：似真函数定义为： 式中： ABBmABel)()(ABBmABelAPl)()(1)(AA信任区间信任区间基本概率赋值m实际上是定义在2上的概率，它反映了人们的信念的不确定程度。信任函数Bel(A)是支持A的总信任度的最小值。似真函数Pl

9、(A)表示不否定A的信任程度，是支持A的总的信任最大值。而Bel(A),Pl(A)而就形成了对A的信任区间，记为：ABel(A),Pl(A)。证据理论的判断规则证据理论的判断规则 判断规则为： 1. 当H1的信任区间大于H2的信任区间时，则说明所识别的对象倾向正常网络连接，其支持程度为H1的信任区间。 2. 当H1的信任区间小于H2的信任区间时，则说明识别对象倾向为异常网络连接，即网络入侵，其支持程度为H2的信任区间。 三个不同特征组的神经网络入侵检测结果的分类结果信息则作为理论应用中的证据体，并且用这些证据体的基本概率赋值函数计算信任区间。最后根据给出的假设判断准则做出最终判断。融合前后检测

10、结果比较 融合前融合前融合后融合后Intrinsic FeatureTraffic FeatureContent Feature投票法投票法D-S理论理论正确检测率%97.285.794.094.995.1误警率%1.610.19漏检率%1.2114.175.784.864.74论文小结 本文入侵检测方法中，首先用的是异常检测的神经网络方法。根据网络连接特征的不同属性，对特征值进行分类，再分别训练神经网络对其进行入侵检测，获得检测的初步结果。由于是对不同特征组分别进行检测，其结果可能会有所不同。这时利用D-S证据理论，进行结果的数据融合，提高检测精度，最终得到较好的检测

11、结果。Thanks!endBP网络神经元特性S型激活函数为非线性函数，可以将将任意输入值压缩到(0,1)的范围内。S型激活函数具有非线性放大增益，对任意输入的增益等于在输入/输出曲线中该输入点处的曲线斜率值。当输入由-增大到0时，其增益由0增至最大；然后当输入由0增加至+时，其增益又由最大逐渐降低至0，并总为正值。利用该函数可以使同一神经网络既能处理小信号，也能处理大信号。因为该函数的中间商增益区解决了处理小信号的问题，而在伸向两边的低增益区正好适用于处理大信号的输入。 intrinsic特征组检测结果实际检测分类检测率Normal5120501397.9总恶意连接数1420134194.4Probing5923.4DOS攻击: 10421042100U2R攻击: 8450R2L攻击:31129394.2Traffic特征组检测结果 实际检测分类检测率Normal5120511299.8总恶意连接数142