当前位置:文档之家 › 论神经系统网络在入侵检测系统的应用

论神经系统网络在入侵检测系统的应用

  • 格式:doc
  • 大小:24.50 KB
  • 文档页数:5

下载文档原格式

  / 5

合集下载

基于深度学习的网络入侵检测系统部署方案研究

基于深度学习的网络入侵检测系统部署方案研究

基于深度学习的网络入侵检测系统部署方案研究一、引言随着互联网和网络技术的不断发展,网络安全问题越来越受到人们的关注。

网络入侵成为威胁网络安全的一个重要问题,给个人和组织带来了严重的损失。

因此,构建一套有效的网络入侵检测系统对于确保网络安全至关重要。

本文基于深度学习技术,对网络入侵检测系统的部署方案进行研究。

二、深度学习在网络入侵检测中的应用深度学习是一种基于人工神经网络的机器学习方法,具有强大的学习能力和模式识别能力。

在网络入侵检测中,深度学习可以通过学习大量的网络数据,自动提取特征并进行入侵检测,相比传统的规则或特征基于方法,具有更高的准确率和适应性。

三、网络入侵检测系统的架构设计网络入侵检测系统的架构包括数据采集、特征提取、模型训练和入侵检测四个环节。

其中,数据采集负责监控网络流量,获取原始数据;特征提取将原始数据转化为可供深度学习模型处理的特征向量;模型训练使用深度学习算法对提取的特征进行训练,并生成入侵检测模型;入侵检测将实时流量与模型进行匹配,判断是否存在入侵行为。

四、数据采集数据采集是网络入侵检测系统的基础,可使用流量转发、网络监听或代理等方式获取网络流量数据。

采集的数据应包括网络包的源IP地址、目的IP地址、协议类型、传输端口等信息,用于后续的特征提取和训练。

五、特征提取特征提取是网络入侵检测系统中的关键环节,决定了后续模型训练和入侵检测的准确性。

常用的特征提取方法包括基于统计、基于模式匹配和基于深度学习等。

基于深度学习的方法通过卷积神经网络或循环神经网络等结构,自动学习网络流量中的高级特征,提高了入侵检测的准确率。

六、模型训练模型训练基于深度学习算法,使用已经提取的特征向量作为输入,通过多层神经网络进行训练。

常用的深度学习算法包括卷积神经网络(CNN)、长短时记忆网络(LSTM)和深度信念网络(DBN)等。

模型训练过程中需要使用大量标记好的入侵和非入侵数据,通过反向传播算法不断调整网络参数,提高模型对入侵行为的识别能力。

深度学习在网络入侵检测中的应用

深度学习在网络入侵检测中的应用

深度学习在网络入侵检测中的应用在当今数字化的时代,网络安全成为了至关重要的问题。

随着互联网的普及和信息技术的飞速发展,网络入侵事件日益频繁,给个人、企业乃至整个社会都带来了巨大的威胁。

为了有效地防范网络入侵,保护网络系统的安全,各种技术手段应运而生,其中深度学习在网络入侵检测中的应用正逐渐展现出强大的潜力。

网络入侵是指未经授权的个人或团体试图进入、破坏或窃取网络系统中的信息和资源的行为。

这些入侵行为可能包括黑客攻击、恶意软件感染、网络钓鱼、拒绝服务攻击等,它们不仅会导致数据泄露、系统瘫痪,还可能造成严重的经济损失和社会影响。

因此,及时准确地检测网络入侵行为对于维护网络安全至关重要。

传统的网络入侵检测方法主要基于特征匹配和规则库。

这些方法通常需要人工提取特征,并依赖于事先定义好的规则来判断是否存在入侵行为。

然而,随着网络攻击手段的不断变化和复杂化,传统方法逐渐暴露出一些局限性。

例如,它们难以应对新型的、未知的攻击模式,对于复杂的网络环境和大量的数据处理能力也有限。

深度学习作为一种新兴的技术,为网络入侵检测带来了新的思路和方法。

深度学习模型能够自动从大量的数据中学习特征和模式,无需人工进行繁琐的特征提取工作。

常见的深度学习模型如卷积神经网络(CNN)、循环神经网络(RNN)和长短时记忆网络(LSTM)等,在网络入侵检测中都有着广泛的应用。

以卷积神经网络为例,它在图像识别等领域取得了显著的成果,同样也适用于网络入侵检测。

通过对网络流量数据进行预处理和转换,将其构建为类似于图像的二维矩阵,卷积神经网络可以自动学习数据中的特征模式,从而识别出正常流量和入侵流量之间的差异。

循环神经网络和长短时记忆网络则擅长处理序列数据,能够捕捉网络流量中的时间依赖关系,对于检测具有时间特征的入侵行为具有优势。

深度学习在网络入侵检测中的应用具有诸多优点。

首先,它能够处理大规模的数据,并且具有较强的泛化能力,可以检测到未知的攻击模式。

基于神经网络的入侵检测模型研究

基于神经网络的入侵检测模型研究

种 有效 的入侵检测手段 。 关键 词 : 入侵检测系统 ; 神经 网络 ; 学习 向量量化神经 网络
中 国 分 类 号 :P9 T 33 文 献 标 识 码 : A
I r so d tcin o e e e r h b s d o n ur ln t r ntu in ee to m d lr sa c a e n e a ewo k
点 , 中 人 工 神 经 网 络 A N( rf i erlN t 其 N At c lNua e i a i .
人侵检测就是通过对计算机网络或计算机系统 中的若干关键点收集信 息并对其进行分析 , 从而发 现 网络或 系统 中是否 有违 反安 全策 略 的行 为和被 攻 击 的迹 象 …。 入 侵 检 测 系 统 IS It snDt tn 1 D (n ui e i r o c e o Ss r 是一种基于主动策略的网络安全系统, 网 ye ) t n 是 络安全系统的重要组成部分。根据检测所用的数据 来源 , 入侵检测系统分为基于主机的入侵检测和基 于网络的人侵检测 , 前者主要使用 日 志跟踪 , 而后者
K yw rs I S N ; V N e od : ; N L Q N D
则 主 要通 过对 网络 上数 据包 的分 析来 进行 。人 侵检
0 引言
随着计算机技术的不 断发展 , 网络规模的不断 扩大 , 系统遭受的人侵和攻击越来越多 , 网络与信息
安 全 问题 变 得越 来越 突 出 。人 侵检 测技 术作 为 网络 安 全技术 的重要 组成 部分 , 到 了越来 越 多的重 视 。 得
收 稿 日期 -06一l 一l '0 2 2 O
w r ) 自适应 、 o s以 k 自学习 、 自组织 、 较好 的容错性和 鲁棒性 、 并行性 、 联想记忆和联想映射等优点而受到 了世人 瞩 目, 在入侵 检测领域发挥 了重要作用L 。 3 ] 神经网络不仅可以识别出 已有的攻击模式 , 还有检 测出未知攻击的能力 , 这是很有 意义 的。传统 的基 于神经 网络的人侵检测系统 , 一般采用 B P网络结

基于神经网络与遗传算法的入侵检测研究

基于神经网络与遗传算法的入侵检测研究
维普资讯

ET I 子 RE 术 N G IRCE ENT 0 Y 0电A 量T L E N MS M C o C 测 技E U H
第8 月 2年5 05 3第 0 1 期 卷
基 于神 经 网络 与遗 传 算 法 的入 侵 检 测 研 究
2 B ia g Unv ri ,B in 0 0 3 . e n ie s y e ig 1 0 8 ) h t j
Ab ta t Th s p p r s o y t a o sr c : i a e h ws a wa h t c mb n s n u a e wo k wih g n tc ag rt m i n t t e d s o t n i e e r ln t r t e e i l o i h ami g a h it r s a d
栾 庆 林 卢 辉 斌 ,
(. 1 燕山大学信息科学与 工程 学院 秦 皇岛 0 60 ;. 6 0 4 2 北京航 空航 天大学 北京 1 0 8 ) 0 0 3

要 :本文针对入侵检测 系统 中对入侵 事件 的误 报和漏报 , 出了一种将 神经 网络 和遗传 算法相结 合 的方 法 。该 提
L a n l L ii u n Qigi n u Hubn ’
( .C l g f n omain E gn e ig a s a ie s y 1 ol eo f r t n ie r ,Y n h n Unv ri ,Qih a g a 6 0 4 e I o n t n u n d o0 6 0 ;
定 的有 效 性网络
中图 分 类 号 :TP 9. 8 3 3 0 文 献 标 识 码 :A
Re e r h o t u i n d tc in b s d o h e r ln t r s a d g n t lo i m s a c fi r so ee to a e n t en u a ewo k n e e i a g rt n c h

计算机网络专业中基于深度学习的网络入侵检测系统研究

计算机网络专业中基于深度学习的网络入侵检测系统研究

计算机网络专业中基于深度学习的网络入侵检测系统研究网络入侵是一种对计算机系统进行非法访问、损害和破坏的行为。

为了保护网络系统的安全,网络入侵检测系统(Intrusion Detection System, IDS)被广泛应用于计算机网络中。

而其中基于深度学习的网络入侵检测系统正逐渐成为研究的焦点,它具有高准确率、良好的泛化能力和抗攻击性等优势。

本文将从深度学习的基本原理、网络入侵检测的需求、深度学习在网络入侵检测上的应用等方面展开研究。

首先,深度学习是一种机器学习方法,其灵感来源于人脑神经网络的结构和学习机制。

深度学习通过构建多层次的神经网络,实现了从大量数据中自主学习特征表示的能力。

相比于传统机器学习方法,深度学习可以更好地处理复杂的非线性关系,从而提高模型的性能和泛化能力。

在计算机网络领域,网络入侵检测是确保网络安全的关键任务之一。

传统的入侵检测系统主要基于规则或特征的匹配来识别潜在的攻击行为。

然而,随着网络攻击手段的不断演化和变化,传统的入侵检测系统往往无法应对新型的攻击。

而基于深度学习的网络入侵检测系统则可以通过学习网络流量中的高层次表示来捕捉和识别攻击行为。

深度学习在网络入侵检测中的应用主要有以下几个方面:1. 特征提取和表示学习:传统的入侵检测系统通常使用人工设计的特征来描述网络流量。

而深度学习可以通过自动学习网络数据的特征表示,减轻了手动设计特征的负担。

例如,可以使用卷积神经网络(Convolutional Neural Network, CNN)对网络流量进行卷积操作,提取局部空间特征。

另外,循环神经网络(Recurrent Neural Network, RNN)和长短时记忆网络(Long Short-Term Memory, LSTM)等网络结构也可以用于学习时间序列数据的特征表示。

2. 异常检测和分类:深度学习可以通过学习正常网络行为的模型,进而检测出异常行为。

例如,可以使用自编码器(Autoencoder)对正常网络流量进行编码和解码,当输入的网络流量与重构的流量存在差异时,即可认定为异常行为。

基于深度学习的网络入侵检测方法研究

基于深度学习的网络入侵检测方法研究

基于深度学习的网络入侵检测方法研究网络入侵是指攻击者利用网络空间漏洞,从而获取敏感信息、破坏系统或者窃取资源。

随着网络技术的不断发展,网络入侵已经成为一种常见的安全威胁。

传统的入侵检测方法主要基于规则匹配、特征识别等技术,具有一定的局限性。

而基于深度学习的网络入侵检测方法则可以通过学习网络流量数据的特征,实现更加精确和高效的入侵检测,本文将介绍基于深度学习的网络入侵检测方法的原理、关键技术、应用现状以及未来发展前景。

一、基于深度学习的网络入侵检测方法的原理基于深度学习的网络入侵检测方法基于神经网络进行建模,通过学习网络流量数据的特征,实现了对异常流量的检测。

具体来说,该方法分为两个阶段:模型训练和入侵检测。

首先是模型训练阶段。

在这个阶段中,首先需要构建深度神经网络的模型架构,然后使用标记的数据集对模型进行训练。

其中标记的数据集是指标注了正常流量和异常流量的网络数据集。

模型通过学习这些标记的数据集,提取并学习数据的特征,建立了一个能够准确反映数据特征的模型。

这个模型训练好以后,就可以用于后续的入侵检测。

其次是入侵检测阶段。

在这个阶段中,该方法将网络流量数据送入已经训练好的深度神经网络模型中,从而得到一个预测结果。

如果模型预测结果表明当前的网络流量数据是异常流量,则会触发警报或者防御措施,从而保护网络安全。

二、基于深度学习的网络入侵检测方法的关键技术基于深度学习的网络入侵检测方法的关键技术主要包括数据预处理,模型的选择和训练,以及模型的评估和调整。

1. 数据预处理在进行深度学习网络入侵检测之前,需要进行数据预处理。

数据预处理可以通过一系列技术来清洗数据、去除噪声和预处理特征。

这可以减少模型的复杂度,提高训练效果。

数据预处理方法主要包括数据标准化、数据降维以及特征工程。

2. 模型的选择和训练选择合适的深度神经网络模型是关键的。

目前,常用的网络模型包括卷积神经网络、循环神经网络和深度信念网络等。

在选择模型之后,需要使用数据集对模型进行训练,并优化模型参数。

改进的BP网络在入侵检测中的应用


授 权 活 动 . 着 非 常 广泛 的应 用 前 景 。而 人 工 神 经 网络 是 一 种 基 于 大 量神 经 元 广 泛 互 联 的 数学 模 型 , 有 自学 习 、 有 具 自
组织 、 自适 应 的 特 点 。将 神 经 网络 技 术 和 入 侵检 测技 术 相 结 合 , 立 了一 个 基 于 神 经 网 络 的 人 侵 检 测 系 统模 型并 实 建
) +, - ,
应 入侵 l。 】 入侵 检测 系统 (D ) 计算 机 网络 系统 的 ] IS从

个或若 干关键 点 收集信 息并 根据 相应规 则对 这些
图 1 神 经 元 数学 模 型
信 息进 行 分析 , 看 系统 中是 否 有 违反 安 全 策略 的 查 行 为和遭 到袭击 的迹 象 。它可 以在 不影 响网络性 能
型函数 . 即取神经元的输 出为:
1 人 工神 经 网络 模 型
神 经 网络模 型是 以神 经元 的数学模 型 为基础 来 描述 的 。神 经 网络模 型 由网络拓 扑节点 和学 习规则 来表示 。神 经元是 以生 物神 经系 统 的神 经 细胞为 基
舡 =


() 1
第1 2卷 第 1 期
重庆科 技学 院学 报 ( 自然科 学版 )
21 0 0年 2月
改进的 B P网络在入侵检测 中的应 用
李 钢
( 枣庄 学院 ,枣庄 2 7 0 ) 7 1 0

要 : 侵检 测 是 一 种 积极 主动 的安 全 防护 技 术 , 仅 能 够 检 测 来 自外 部 的 入 侵 行 为 , 时 也 监 督 内部 用 户 的 未 人 不 同
关 键 词 : 络 安 全 ; 侵 检 测 ; 经 网络 网 入 神 中图 分 类号 : P 9 T 33 文 献 标 识码 : A 文 章编 号 : 6 3 1 8 (0 0 0 — 1 7 0 17 — 9 0 2 1 )1 0 5 — 3

基于深度学习的网络入侵检测系统

基于深度学习的网络入侵检测系统随着互联网的飞速发展,网络安全问题日益突出。

网络入侵已成为威胁网络安全的一大问题,给个人、企业和政府带来了巨大的损失。

为了解决这一问题,学者们不断研究并提出了各种网络入侵检测的方法。

其中,基于深度学习的网络入侵检测系统引起了广泛的关注。

深度学习是一种模仿人脑神经网络的人工智能技术,具有强大的数据处理和模式识别能力,适用于处理大规模复杂数据。

网络入侵检测系统利用深度学习的特点,通过学习网络数据的模式和规律,能够有效地识别和报警网络中的异常行为。

首先,深度学习网络入侵检测系统需要构建一个强大的模型。

通常采用的是卷积神经网络(CNN)和递归神经网络(RNN)。

卷积神经网络主要用于处理网络数据的空间特征,而递归神经网络则主要用于处理数据的时间特征。

这两种网络结合起来可以全面地分析网络数据,在检测入侵行为时具有很高的准确性。

其次,深度学习网络入侵检测系统需要进行大规模的数据训练。

深度学习算法需要大量的样本数据进行学习和训练,以提高检测模型的准确率。

这些数据包括正常网络流量和各种恶意网络流量,通过对这些数据进行分类和分析,可以建立一个完备的入侵检测模型。

此外,深度学习网络入侵检测系统还需要进行特征工程。

特征工程是指通过对原始数据进行处理和提取,得到更加有用的特征。

在网络入侵检测中,特征工程的目标是将网络数据转化为模型可以理解的数据,以便进行准确的分类和识别。

常用的特征工程方法包括统计特征提取、时间序列分析等。

在实际应用中,基于深度学习的网络入侵检测系统具有很高的准确率和稳定性。

与传统方法相比,深度学习网络入侵检测系统在处理复杂网络数据和识别新型入侵行为方面具有更好的效果。

同时,深度学习网络入侵检测系统还可以不断地进行模型更新和优化,提高检测效果和抵御新型入侵的能力。

总结起来,基于深度学习的网络入侵检测系统是一种高效、准确的网络安全防护工具。

它借鉴了人脑神经网络的思想,利用深度学习算法对网络数据进行全方位分析和识别,能够及时发现和报警入侵行为,保障网络安全的稳定性和可靠性。

深度学习技术中的网络安全与入侵检测方法

深度学习技术中的网络安全与入侵检测方法随着互联网的快速发展和普及,网络安全问题变得越来越重要。

恶意攻击者利用各种方法对网络进行入侵,并窃取、篡改敏感信息,给个人和组织的安全带来了巨大威胁。

为了应对这些威胁,研究人员纷纷探索使用深度学习技术来加强网络安全,并开发出了各种入侵检测方法。

深度学习是一种机器学习方法,其灵感来自于人类的神经网络系统。

它能够通过层层堆叠的神经元结构,对数据进行学习和建模,并且在各个领域展现出了令人瞩目的成果。

在网络安全领域,深度学习技术也得到了广泛应用,并在入侵检测方面取得了显著的成就。

首先,深度学习技术在网络安全中的一个重要应用是异常检测。

传统的入侵检测方法通常基于规则和签名,即事先定义好入侵的特征或模式,然后利用这些规则或者模式来检测网络中的异常行为。

然而,这种方法无法应对一些未知和复杂的入侵行为。

深度学习技术的引入可以帮助解决这个问题,它能够自动从大规模数据中学习并提取特征,不需人工定义规则和模式。

通过对网络流量、日志数据等进行深度学习处理,可以更准确地检测出异常行为,及时发现潜在的入侵威胁。

其次,深度学习技术还可以用于基于内容的入侵检测。

传统的入侵检测方法主要基于网络流量的元数据,如源IP地址、目的IP地址、端口号等,来判断是否有入侵行为。

然而,这种方法容易被攻击者绕过,采取一些隐蔽的策略来规避检测。

深度学习技术可以对网络流量中的内容进行分析,从而识别出包含恶意行为的数据包。

例如,通过对网络数据包的负载信息进行深度学习处理,可以检测出潜在的恶意代码或者攻击指令,有效提高入侵检测的准确率。

此外,深度学习技术还可以结合传统的入侵检测方法,构建混合型的入侵检测系统。

深度学习在网络安全领域展现出了强大的特征学习和表示能力,能够提取出数据中的高层次特征,但其训练和计算成本较高。

而传统的入侵检测方法通常基于规则和模式匹配,具有实时性和低计算成本的优势。

所以,将深度学习与传统方法相结合,可以充分发挥它们各自的优势,提高入侵检测的效果和效率。

基于深度学习的实时网络入侵检测方法研究与实现

基于深度学习的实时网络入侵检测方法研究与实现基于深度学习的实时网络入侵检测方法研究与实现摘要:随着网络的普及和发展,网络安全问题日益凸显,特别是网络入侵威胁不断增加。

传统的入侵检测方法往往依赖于特定规则和统计模型,这些方法受限于规则库的实时更新和统计模型的表达能力,往往无法有效地识别新型的入侵行为。

基于深度学习的实时网络入侵检测方法通过利用深度神经网络自动学习特征表示,能够提高入侵检测的准确率和实时性。

本文将对基于深度学习的实时网络入侵检测方法进行研究与实现。

一、引言网络入侵行为指的是未经授权的对计算机网络进行非法访问、操控和破坏的行为。

网络入侵行为对网络安全和用户隐私造成了严重威胁,因此网络入侵检测成为了网络安全领域的重要研究方向。

传统的网络入侵检测方法主要基于规则和统计模型,这些方法在识别新型入侵行为和提升实时性方面存在一定的局限性。

随着深度学习方法的发展,基于深度学习的实时网络入侵检测方法开始受到研究者的关注。

二、基于深度学习的实时网络入侵检测方法2.1 数据预处理在深度学习方法中,数据的预处理是非常重要的一步。

网络入侵检测中的数据往往包含大量的冗余信息和噪声,对数据进行合理的预处理可以提高模型的训练效果。

常见的数据预处理方法包括标准化、PCA降维和特征选择等。

通过数据预处理,可以降低输入数据的维度,提高训练速度和模型的泛化能力。

2.2 深度神经网络模型深度学习方法主要依赖于深度神经网络模型对数据进行特征学习和表示学习。

常用的深度神经网络模型包括卷积神经网络(CNN)、循环神经网络(RNN)和长短期记忆网络(LSTM)。

这些模型可以有效地学习数据中的相关特征,提取有用的信息进行分类和识别。

2.3 实时入侵检测系统基于深度学习的实时入侵检测系统主要由数据采集、特征提取、模型训练和检测四个模块组成。

首先,系统需要采集网络流量数据,并对数据进行预处理。

然后,通过深度神经网络模型提取数据中的相关特征。

  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。

论神经系统网络在入侵检测系统的应用
摘要:随着计算机技术的发展,传统的技术手段已经不能满足日
益变化的网络安全需要了。而另一项技术—入侵检测技术则有效的
弥补了这些不足。因此,本文对此进行相关探讨。
关键词:神经网络系统 入侵检测系统 网络安全
入侵检测作为一种主动防御技术,弥补了传统安全技术的不足。
其主要通过监控网络与系统的状态、用户行为以及系统的使用情况,
来检测系统用户的越权使用以及入侵者利用安全缺陷对系统进行
入侵的企图,并对入侵采取相应的措施。
一、入侵检测系统概述
入侵检测系统(intrusion detection system,简称ids)可以认为
是进行入侵检测过程时所需要配置的各种软件和硬件的组合。对一
个成功的入侵检测系统来讲,它不但可使系统管理员时刻了解计算
机网络系统(包括程序、文件和硬件设备等)的任何变更,还能给网
络安全策略的制订提供指南。更为重要的一点是,对它的管理和配
置应该更简单,从而使非专业人员能非常容易地进行操作。而且,入
侵检测的规模还应根据网络威胁、系统构造和安全需求的改变而改
变。入侵检测系统在发现入侵后,会及时做出响应,包括切断网络连
接、记录事件和报警等。
二、入侵检测系统的功能
1. 检测入侵。检测入侵行为是入侵检测系统的核心功能,主要包
括两个方面:一方面是对进出主机或者网络的数据进行监控,检查
是否存在对系统的异常行为;另一方面是检查系统关键数据和文件
的完整性,看系统是否己经遭到入侵行为。前者的作用是在入侵行
为发生时及时发现,使系统免受攻击;后者一般是在系统遭到入侵
时没能及时发现和阻止,攻击的行为已经发生,但可以通过攻击行
为留下的痕迹了解攻击行为的一些情况,从而避免再次遭受攻击。
对系统资源完整性的检查也有利于我们对攻击者进行追踪,对攻击
行为进行取证。
2. 抗欺骗。入侵检测系统要识别入侵者,入侵者就会想方设法逃
避检测。逃避检测的方法很多,总结起来可分为误报和漏报两大类。
一种使入侵检测系统误报的实现形式,是快速告普信息的产生让系
统无法反应以致死机,这其实是通用的网络攻击方式一拒绝服务攻
击在入侵检测系统上的体现。与误报相比,漏报更具危险性,即躲过
系统的检测,使系统对某些攻击方式失效。入侵检测系统无法统一
漏报和误报的矛盾,目前的入侵检测产品一般会在两者间进行折衷,
并且进行调整以适应不同的应用环境。
3. 记录、报警和响应。入侵检测系统在检测到攻击后,应该采取
相应的措施来阻止攻击或者响应攻击。作为一种主动防御策略,它
必然应该具备此功能。入侵检测系统首先应该记录攻击的基本情况,
其次应该能够及时发出报警。好的入侵检测系统,不仅应该把相关
数据记录在文件或数据库中,还应该提供好的报表打印功能。必要
时,系统还应该采取必要的响应行为,如拒绝接受所有来自某台计
算机的数据、追踪入侵行为等。
三、神经系统网络在入侵检测系统中的应用
目前计算机入侵的现状是入侵的数量日益增长、入侵个体的入侵
手段和目标系统多种多样,因此要确切的描述入侵特征非常困难,
入侵规则库和模式库的更新要求难以得到满足,这就要求入侵检测
应该具有相当大的智能性和灵活性,这是多项人工智能技术被相继
应用到入侵检测中的原因。
1. 传统入侵检测中存在的问题。我们先来分析一下传统ids存
在的问题。传统ids产品大多都是基于规则的,而这一传统的检测
技术有一些难以逾越的障碍:
(1)在基于规则的入侵检测系统中,所有的规则可理解为“if一
then”形式,也就是说,这一规则表述的是一种严格的线性关系,缺
乏灵活性和适应性,当网络数据出现信息不完整、变形失真或攻击
方法变化时,这种检测方法将失效,因此引起较高的误警率和漏报
率。
(2)随着攻击类型的多样化,必然导致规则库中的规则不断增多,
当这些规则增加到一定程度,会引起系统检测效率的显著降低,在
流量较高时,可造成丢包等现象。此外,攻击方法的不断发展,使得
传统的入侵检测系统无法有效地预测和识别新的攻击方法,使系统
的适应性受到限制。
(3)传统的用来描述用户行为特征的度量一般是凭感觉和经验的,
这些度量是否能有效地描述用户行为很难估计。有些度量当考虑所
有用户可能是无效的,但当考虑某些特别的用户时,可能又非常有
用。
2. 神经网络在入侵检测中的应用
作为人工智能(ad)的一个重要分支,神经网络在入侵检测领域得
到了很好的应用。神经网络技术在入侵检测系统中用来构造分类器,
主要用于资料特征的分析,以发现是否为一种入侵行为。如果是一
种入侵行为,系统将与已知入侵行为的特征进行比较,判断是否为
一种新的攻击行为,从而决定是进行丢弃还是进行存盘、报警、发
送资料特征等工作。神经网络在入侵检测中的具体实现方法一般有
两种:
(1)系统或模式匹配系统合并在一起
这种方法不是像以前一样在异常检测中用神经网络代替现有的
统计分析部分,而是用神经网络来过滤出数据当中的可疑事件,并
把这些事件转交给专家系统处理。这种结构可以通过减少专家系统
的误报来提高检测系统的效用。因为神经网络将确定某一特别事件
具有攻击迹象的概率,我们就可以确定一个闽值来决定事件是否转
交给专家系统作进一步分析,这样一来,由于专家系统只接收可疑
事件的数据,它的灵敏度就会大大增加(通常,专家系统以牺牲灵敏
度来减少误报率)。这种结构对那些投资专家系统技术的机构大有
好处,因为它提高了系统的效用,同时还保护了在现有ids上的投
资。
(2)网络作为一个独立的特征检测系统
在这个结构中,神经网络从网络流中接受数据,并对数据进行分
析。任何被识别为带有攻击迹象的事件都将被转交给安全管理员或
自动入侵应答系统来处理。这种方法在速度方面超过了以前的方法,
因为它只有一个单独的分析层。另外,随着神经网络对攻击特征的
学习,这种结构的效用也会不断提高,它不同于第一种方法,不会受
专家系统分析能力的限制,而最终将超越专家系统基于规则的种种
限制。
参考文献:
[1]韩东海、王超、李群,入侵检测系统及实例剖析.北京:清华大
学出版社,2008.
[2]韩力群,人工神经网络理论、设计及应用—人工神经细胞、人
工神经网络和人工神经系统.北京:化学工业出版社,2007.