智能神经网络在Internet入侵检测中的应用

目前已经出现了许多种入侵检测系统 (IDS) 技术[1,2], 分为基于主机的入侵检测和基于网络的入侵检测。基于主机的入侵检测主要使用日志跟踪, 而基于网络的入侵检测则主要通过对网络上数据包的分析来进行。

智能神经网络可以看成是一个非常大的智能神经元[3], 由多个较小的具有一定功能的智能神经网络构成, 而较小的智能神经网络可以由许多更小的智能神经网络构成, 直到最简单的神经元。实验表明, 经过大量的样本数据训练好的智能神经网络可用于入侵检测, 它比传统神经网络更易于扩充知识和升级。

1 攻击数据

1.1 数据的收集

攻击数据和正常数据都是在可控制的网络环境下通过模拟入侵和正常网络运行收集的, 攻击程序是根据h t t p://w w w.rootshell.com或http://www.geek-girl.com/bugtraq/文挡中的C源代码改写、编译而成。本实验针对8种攻击进行检测, 分别为每一种攻击采集8 0 0个数据包头样本, 其中4 0 0个用于学习, 4 0 0个用于测试。

1.2 攻击的特征

不同的攻击有着不同的特征。这些攻击的共同点在于它们的特征都体现在数据包的包头中, 因此我们可以将数据包的包头部分转化为可供智能神经网络学习的向量值, 利用智能神经网络的自学习、自适应能力, 将各种攻击分类识别。

2 入侵检测模型的结构

本入侵检测系统分为以下4个部分。

2.1 数据捕捉模块

负责抓取网络中的数据包, 送入分析模块。

2.2 分析模块

做初步的过滤工作。首先, 判断I P协议是否为IPV4, 若否则丢弃。然后对IP包进行格式检查, 若有分片则进行重组。接着, 判别它是TCP包、UDP包或是ICMP包, 根据包的不同嗐协议类型, 调用不同的程序段进行语义分析。将符合要求的数据包中的信息送往预处理模块。

2.3 预处理模块

产生对智能神经网络的输入值。它将从分析模块接受到的信息转换为具有1 5 8个分向量的特征向量, 送往智能神经网络学习或判别。具体的编码方式如下。

(1) TCP包。

*1～3 2位二进制数表示源I P地址。

*33～64位二进制数表示目的IP地址。

*65～66位固定为“01”, 表示传输类型。

*6 7～8 0位表示源端口, 将端口编为14位长的二进制数, 对于16383以上的不常用端口统一用1 4位的“0”表示。

*8 1～9 4位表示目的端口, 同上。

*95～126位为Seq位编码。

*127～158位为Ack位编码。

(2) ICMP包。

*1～3 2位二进制数表示源I P地址。

*33～64位二进制数表示目的IP地址。

*65～66位固定为“11”, 表示传输类型。

*67～98位为ID位编码。

*99～114位为I P包片偏移的编码。

*115～126位为IP包分片大小的编码。

*127～158位全为“0”, 以补足158位, 从而与T C P包共用神经网络输入层。

2.4 智能神经网络模块

系统采用的网络拓扑结构如图1, 图2所示。其中, 小网可独立运行, 并完成四种攻击的分类, 大网组合两个小网, 共可完成8种攻击的识别。

3 实验结果

本实验是在赛扬466, 64M内存, WIN-D O W S 9 8环境下进行的。表2是使用大智能神经网络进行检测的结果。为了更好地测试这种方法的有效性, 与传统神经网络 (拓扑结构为:158个输入神经元, 40个隐含神经元, 9个输出神经元) 进行了比较如表3所示。

4 结语

与传统神经网络相比, 由于智能神经网络中大网的学习建立在已学习好的小网的基础上, 收敛速度明显快许多, 并且在加入新的攻击检测时, 它只需加入一个小网, 对大网进行一定调整即可, 而不需要象传统神经网络必须全部重新训练专家系统, 这更易于复杂任务的完成和知识的扩充。

摘要：本文探讨了一个基于智能神经网络的网络入侵检测系统模型。在对网络中的IP数据包进行分析处理以及特征提取的基础上, 采用智能神经网络进行学习或判别, 以达到对未知数据包进行检测的目的。实验证明这是一种行之有效的网络入侵检测的解决方法。

关键词：Internet入侵检测,智能神经网络,IP数据包,Bp算法

参考文献

[1] W.Lee, S.J.Stolfo, and K.Mok.Data mining in work flow environments:Experiences in intrusion detection.In Proceedings of1999Conference on Knowledge Discovery and Data Mining (KDD-99) , 1999.

[2] Christina Warrender, Stephanie Forrest, and Barak Pearlmutter.Detecting intrsions using system calls:alternative data models.In Proceedings of the1999IEEE Symposium on Security and Privacy.IEEE Computer Society, 1999:149～151.

[3] LiTao.The Fundamental Theory of Big_Neuron, Proc.of ICNNSP95, Nanjing, P.R.China, 1995, 12.