2021/3/20
1
2021/3/20
7 8
图1 三层前向人工神经网络
2021/3/20
图2 模型原理图
本模型中，首先需要收集一定量的网络数据 样本供神经网络训练模块学习，基本调节好神经 网络的权值和阈值，并把这些信息交给神经网络 过滤器使用。这样神经网络过滤器可以开始发挥 功能了。在当前的权值和阈值下，过滤器一旦发 现可疑攻击，就把数据交给模式匹配模块进行传 统的分析。而模式匹配模块对于从数据库中获得 的网络SQLServer数据的所有分析结果，都要提 供给神经网络训练模块。神经网络训练模块依靠 不断获得的这些攻击或正常的网络数据信息，本 身进行自适应的调整，更新神经网络的权值和阈 值，同时也就更新了神经网络过滤器的设置，从 而提高了过滤器对于攻击的识别分析能力。这完 全是一个在实际应用中动态自适应的过程。
2021/3/20
4. 结论
下面是在MATLAB环境下实现的实验结果。 由实验结果可知，在学习到14步或9步时，前
向神经网络就可以达到要求的精度。 由此可见，利用神经网络也不失为一种较好
的实现入侵检测的方法。
2021/3/20
2021/3/20
TRAINLM, Epoch 0/1000, MSE 0.311482/0.01, Gradient 0.88205/1e-010 TRAINLM, Epoch 14/1000, MSE 0.00357177/0.01, Gradient 0.0709494/1e-010 TRAINLM, Performance goal met.
2021/3/20
训练的主要目的就是利用反向学习来 获得理想的权值和阈值。由于训练数据的 量一般都比较大，我们采用批处理的方法， 即对一批样本进行计算后，分别求出这批 样本的输出误差及其对应的连接权修正值， 然后求出这些误差的均值和连接权修正值 的均值，用均值连接权进行一次修正。这 样可以提高网络学习的速度。神经网络经 过训练后，生成了合适的权值和阈值，有 了权值和阈值，神经网络便能对网络数据 进行检测。经过训练后的神经网络具有非 常快的检测速度，实时性将非常强。
2021/3/20
我们拟采用3层前向人工神经网络见图(1)。3 层前向人工神经网络由输入层、隐层和输出层组 成，网络中各神经元接受前一级输入，单输出到 下一级。训练过程中，将在这个3层前向神经网 络的基础上应用经过改进的反向传播学习算法 (BP)算法。在本模型中，取Sigmoid函数
作为隐层神经元的激发函数。输出层神经的输入 信息的计算公式与隐层的输入公式类似，输出层 神经元的激发函数可以取比例系数为1的线性函 数，也可以取非线性函数。
神经网络在高效智能入侵检测系 统中的应用
1. 入侵检测系统
入侵检测系统是动态安全技术中最核心的技术之一。 它通过对计算机网络或计算机系统中若干关键点收 集信息并对其进行分析，从中发现网络或系统中是 否有违反安全策略的行为和被攻击的迹象。（内部 和外部）
误报率、漏报率高。原因：传统IDS所提取的用户 行为特征不能很好的反映实际的情况，所建立的正 常模式或者异常模式 不够完善。
2021/3/20
神经网络学习样本的收集和结构设计 收集数据包需要注意数据包样本应该具有代
表性，广泛性，要考虑到各种模式之间的平衡。 从网探那里获得完整的包，通过预处理程序
过滤出TCP包，然后取包头的重要字段存入数据 库，组成大部分神 经网络的输入。这些字段从IP 头和TCP头中抽取， IP头中抽 取的字段包括头 长度、总长度、生命期、源地址、目的地址； TCP头中抽取的字段包括源端口、目的端口、控 制位。这些字段信息还需进行预处理，才能作为 神经网络的输入。
这种结构可以通过减少系统的开销和IDS误报 率来提高监测系统的效用。
2021/3/20
3. 人工神经网络
人工神经网络（Artificial Neural Network,ANN)
3层前向人工神经网络
2021/3/20
ANN是理论化的人脑神经网络的数学模型， 是基于模仿大脑神经网络结构和功能而建 立的一种信息处理系统。实际上是由大量 简单元件相互连接而成的复杂网络，具有 高度的非线性，能够进行复杂的逻辑操作 和非线性关系实现的系统。
2021/3/20
神经网络的训练和检测
输入的样本共有8个字 段，所以网络的输入 层设计为8个神经元，输出层有1个神经 元，网络 输出值在 (0 ，1) 之间， 0表示无攻击， 1表示有 攻击。隐含层的神经元数目确定比较复杂，并无 确定的法则，只能通过一些经验法则，借助于实 验来确定。
我们采用的神经网络的学习算法是改进的反 向传播学习算法算法，增加了附加动量项，输入 层激发函数为线性(BP )函数，隐藏层和输出层的 激发函数都为Sigmoid函数。在反向过程中，将 求得的神经网络输出值与期望输出值相比较，并 将比较所得差别作为误差输回到神经网络中，以 调整神经网络的权值和阈值。
基于神经网络的高效智能入侵检测系统。
2021/3/20
基于神经网络的高效智能入侵检测系统
构想 人工神经网络 具体的实时入侵检测模型图
2021/异常检测系统的统计分析部 分的一种替代方法，用来识别系统用户的典型特征， 对用户既定行为的重大变化进行鉴别。将模式匹配 与人工神经网络技术结合在一起，构成一个以已 知的入侵规则为基础、可扩展的动态入侵事件检测 系统，自适应的进行特征提取与异常检测，实现高 效的入侵检测及防御。用神经网络来过滤出接收数 据当中的可疑事件，并把这种事件转交给系统作进 一步的处理。
ANN采取样本学习的方式，直接从过程的 输入输出关系提取信息，并反映到神经原 之间相互作用的权值上。整个网络是一种 并行协同处理系统；具有一定的智能特点， 有自适应、自学习、自组织的能力。
2021/3/20
将神经网络用于攻击检测只要提供系 统的审计数据，神经网络就可以通过自学 习，从中提取正常的用户或系统活动的特 征模式，获得预测的能力，而不需要获取 描述用户行为特征的特征集以及用户行为 特征测度的统计分布。可以向神经网络展 示新发现的入侵攻击实例，通过再训练使 神经网络能够对新的攻击模式产生反应， 从而使入侵检测系统具有自适应的能力。 当神经网络学会了系统正常工作模式后， 能够对偏离系统正常工作的事件做出反应， 进而可以发现一些新的攻击模式。