神经网络在高效智能入侵检测系统中的应用.ppt

1、神经网络在高效智能入侵检测系统中的应用,2020/7/28,1. 入侵检测系统,入侵检测系统是动态安全技术中最核心的技术之一。它通过对计算机网络或计算机系统中若干关键点收集信息并对其进行分析，从中发现网络或系统中是否有违反安全策略的行为和被攻击的迹象。（内部和外部） 误报率、漏报率高。原因：传统IDS所提取的用户行为特征不能很好的反映实际的情况，所建立的正常模式或者异常模式 不够完善。 基于神经网络的高效智能入侵检测系统。,2020/7/28,基于神经网络的高效智能入侵检测系统,构想 人工神经网络 具体的实时入侵检测模型图,2020/7/28,2. 构想,把神经网络作为异常检测系统的统计分析部

2、分的一种替代方法，用来识别系统用户的典型特征，对用户既定行为的重大变化进行鉴别。将模式匹配与人工神经网络技术结合在一起，构成一个以已知的入侵规则为基础、可扩展的动态入侵事件检测系统，自适应的进行特征提取与异常检测，实现高效的入侵检测及防御。用神经网络来过滤出接收数据当中的可疑事件，并把这种事件转交给系统作进一步的处理。 这种结构可以通过减少系统的开销和IDS误报率来提高监测系统的效用。,2020/7/28,3. 人工神经网络,人工神经网络（Artificial Neural Network,ANN) 3层前向人工神经网络,2020/7/28,ANN是理论化的人脑神经网络的数学模型，是基于模仿大

3、脑神经网络结构和功能而建立的一种信息处理系统。实际上是由大量简单元件相互连接而成的复杂网络，具有高度的非线性，能够进行复杂的逻辑操作和非线性关系实现的系统。 ANN采取样本学习的方式，直接从过程的输入输出关系提取信息，并反映到神经原之间相互作用的权值上。整个网络是一种并行协同处理系统；具有一定的智能特点，有自适应、自学习、自组织的能力。,2020/7/28,将神经网络用于攻击检测只要提供系统的审计数据，神经网络就可以通过自学习，从中提取正常的用户或系统活动的特征模式，获得预测的能力，而不需要获取描述用户行为特征的特征集以及用户行为特征测度的统计分布。可以向神经网络展示新发现的入侵攻击实例，通过

4、再训练使神经网络能够对新的攻击模式产生反应，从而使入侵检测系统具有自适应的能力。当神经网络学会了系统正常工作模式后，能够对偏离系统正常工作的事件做出反应，进而可以发现一些新的攻击模式。,2020/7/28,我们拟采用3层前向人工神经网络见图(1)。3层前向人工神经网络由输入层、隐层和输出层组成，网络中各神经元接受前一级输入，单输出到下一级。训练过程中，将在这个3层前向神经网络的基础上应用经过改进的反向传播学习算法(BP)算法。在本模型中，取Sigmoid函数 作为隐层神经元的激发函数。输出层神经的输入信息的计算公式与隐层的输入公式类似，输出层神经元的激发函数可以取比例系数为1的线性函数，也可以

5、取非线性函数。,2020/7/28,图1 三层前向人工神经网络,2020/7/28,图2 模型原理图,2020/7/28,本模型中，首先需要收集一定量的网络数据样本供神经网络训练模块学习，基本调节好神经网络的权值和阈值，并把这些信息交给神经网络过滤器使用。这样神经网络过滤器可以开始发挥功能了。在当前的权值和阈值下，过滤器一旦发现可疑攻击，就把数据交给模式匹配模块进行传统的分析。而模式匹配模块对于从数据库中获得的网络SQLServer数据的所有分析结果，都要提供给神经网络训练模块。神经网络训练模块依靠不断获得的这些攻击或正常的网络数据信息，本身进行自适应的调整，更新神经网络的权值和阈值，同时也就

6、更新了神经网络过滤器的设置，从而提高了过滤器对于攻击的识别分析能力。这完全是一个在实际应用中动态自适应的过程。,2020/7/28,神经网络学习样本的收集和结构设计 收集数据包需要注意数据包样本应该具有代表性，广泛性，要考虑到各种模式之间的平衡。 从网探那里获得完整的包，通过预处理程序过滤出TCP包，然后取包头的重要字段存入数据库，组成大部分神 经网络的输入。这些字段从IP头和TCP头中抽取， IP头中抽 取的字段包括头长度、总长度、生命期、源地址、目的地址； TCP头中抽取的字段包括源端口、目的端口、控制位。这些字段信息还需进行预处理，才能作为神经网络的输入。,2020/7/28,神经网络的

7、训练和检测 输入的样本共有8个字 段，所以网络的输入层设计为8个神经元，输出层有1个神经 元，网络输出值在 (0 ，1) 之间， 0表示无攻击， 1表示有攻击。隐含层的神经元数目确定比较复杂，并无确定的法则，只能通过一些经验法则，借助于实验来确定。 我们采用的神经网络的学习算法是改进的反向传播学习算法算法，增加了附加动量项，输入层激发函数为线性(BP )函数，隐藏层和输出层的激发函数都为Sigmoid函数。在反向过程中，将求得的神经网络输出值与期望输出值相比较，并将比较所得差别作为误差输回到神经网络中，以调整神经网络的权值和阈值。,2020/7/28,训练的主要目的就是利用反向学习来获得理想的

8、权值和阈值。由于训练数据的量一般都比较大，我们采用批处理的方法，即对一批样本进行计算后，分别求出这批样本的输出误差及其对应的连接权修正值，然后求出这些误差的均值和连接权修正值的均值，用均值连接权进行一次修正。这样可以提高网络学习的速度。神经网络经过训练后，生成了合适的权值和阈值，有了权值和阈值，神经网络便能对网络数据进行检测。经过训练后的神经网络具有非常快的检测速度，实时性将非常强。,2020/7/28,4. 结论,下面是在MATLAB环境下实现的实验结果。 由实验结果可知，在学习到14步或9步时，前向神经网络就可以达到要求的精度。 由此可见，利用神经网络也不失为一种较好的实现入侵检测的方法。

9、,2020/7/28,2020/7/28,TRAINLM, Epoch 0/1000, MSE 0.311482/0.01, Gradient 0.88205/1e-010 TRAINLM, Epoch 14/1000, MSE 0.00357177/0.01, Gradient 0.0709494/1e-010 TRAINLM, Performance goal met. Y = 0.9967 0.0006 0.0009 0.0019 0.0000 0.9833 0.0480 0.0043 0.0101 0.0105 0.9359 0.0908 0.0042 0.1070 0.0311 0.

10、8586,2020/7/28,2020/7/28,TRAINLM, Epoch 0/1000, MSE 0.291114/0.01, Gradient 0.966068/1e-010 TRAINLM, Epoch 9/1000, MSE 0.000700908/0.01, Gradient 0.0522145/1e-010 TRAINLM, Performance goal met. Y = 0.9627 0.0003 0.0001 0.0004 0.0000 0.9948 0.0027 0.0012 0.0000 0.0005 0.8082 0.0001 0.0425 0.0001 0.0022 0.9271,2020/7/28,1. Kevin M. Passino,