基于神经网络的入侵检测技术摘要：关于神经网络与入侵检测技术的结合一直是网络安全问题研究的一个热点，本文介绍了网络发展带来的问题，并详细阐述了入侵检测技术的基本概况，接着说明神经网络在入侵检测中的应用，最后对其提出了一些展望。

关键词：神经网络入侵检测激励函数模型Abstract：On neural network and intrusion detection technology combined with network security issues has been a research focus, this paper brings the issue of network development, and elaborated on the basic overview of intrusion detection technology, and then the neural network intrusion detection Finally, some prospects of its proposed.Key words：neural network intrusion Detection Activation function model1 引言伴随着计算机网络技术的快速发展，网络的安全问题也日益突出，网络安全的一个主要威胁就是通过网络对信息系统的人侵。

特别是系统中一些敏感及关键信息，经常遭受恶意和非法用户的攻击，使得这些信息被非法获取或破坏，造成严重的后果。

目前在各个领域的计算机犯罪和网络非法入侵，无论是数量，手段，还是性质、规模，已经到了令人咋舌的地步。

据统计，美国每年由于网络安全问题而造成的经济损失超过170亿美元，德国、英国也均在数十亿美元以上，法国、新加坡等其它国家问题也很严重[1]。

在国际刑法界列举的现代社会新型犯罪排行榜上，计算机犯罪已名列榜首。

2008年，CSI/FBI调查所接触的524个组织工作中，有56%遇到电脑安全事件，其中有38%遇到1-5起，16%以上遇到11起以上。

因与互联网连接而成为频繁攻击点的组织连续3年不断增加，遭受拒绝服务攻击则从2005年的27%上升到2008的42%。

所以，对网络及其信息的保护成为重要课题。

对于网络安全现有的解决方案，我们知道防火墙、加密技术等都属于静态的防护手段，只能够被动的防御攻击，而对于已经发生的攻击则束手无策。

鉴于此，能动态、主动地实现网络防卫的实时人侵检测技术日益成为网络安全领域的一个关键技术。

神经网络NN (Neural Network)具有检测准确度高且有良好的非线性映射和自学习能力、建模简单、容错性强等优点。

神经网络技术具备相当强的攻击模式分析能力，能够较好地处理带噪声的数据，在概念和处理方法上都适合入侵检测系统的要求，已成为入侵检测技术领域研究的热点之一[2]。

但由于传统的入侵检测技术存在着规则库难于管理、统计模型难以建立以及较高的误报率和漏报率等诸多问题，制约了入侵检测系统在实际应用中的效果。

因此针对目前入侵检测系统存在的各种缺点和不足，提出了将神经网络运用于入侵检测的概念模型。

网络入侵检测问题本质上是获取网络上的数据流量信息并根据一定的方法进行分析，来判断是否受到了攻击或者入侵，因此，入侵检测问题可以理解为模式识别问题。

而人工神经网络是一种基于大量神经元广泛互联的数学模型，具有自学习、自组织、自适应的特点，在模式识别领域的应用取得了良好的效果。

利用神经网络技术的自学习能力、联想记忆能力和模糊运算能力，可以对各种入侵和攻击进行识别和检测。

基于这个思路，将神经网络技术和入侵检测技术相结合，建立了一个基于神经网络的入侵检测系统模型并实现了一个基于BP（Back Propagation）神经网络的入侵检测系统的原形，对原有的误差返向传播算法进行了改进以太提高收敛速度，然后对一些实际数据进行了测试和分析，在检测率，漏报率，误报率等方面取得了较好的效果。

2 入侵检测技术概况2.1入侵检测介绍2.1.1入侵检测的基本概念入侵(Intrusion)是指任何试图破坏资源完整性、机密性和可用性或可控性的行为。

完整性是指数据未经授权不能改变的特性；机密性是指信息不泄漏给非授权用户、实体或过程，或供其利用的特性；可用性是可被授权实体访问并按要求使用的特性；可控性是指对信息传播及内容具有控制能力。

作为一个广义的概念，入侵不仅包括发起攻击的人(如恶意的黑客)取得超出合法范围的系统控制权，也包括用户对于系统资源的误用，收集漏洞信息造成拒绝访问(Denial of Service)等对计算机系统造成危害的行为。

入侵检测(Intrusion Detection)，顾名思义，是指对于面向计算资源和网络资源的恶意行为的识别和响应。

入侵检测是一种主动保护网络和系统安全的新型网络安全技术，是目前网络安全体系结构中的重要组成部分。

它通过对计算机网络或计算机系统中的若干关键点收集信息并对其进行分析，从中发现网络或系统中是否有违反安全策略的行为或被攻击的迹象，然后采取适当的响应措施来阻挡攻击，降低可能的损失[3]。

入侵检测系统的主要功能包括：1、监视、分析用户及系统活动；2、检查系统配置及存在的漏洞；3、评估系统关键资源和数据文件的完整性；4、识别已知的攻击；5、统计分析异常行为；6、管理操作系统的日志，并识别违反用户安全策略的行为。

2.1.2入侵检测的一般步骤(1)信息收集确定数据源是入侵检测的第一步。

它的内容包括系统、网络、数据及用户活动的状态和行为。

入侵检测是否准确很大程度上依赖于收集信息的可靠性和正确性，入侵检测利用的信息一般来自一下四个方面：A系统日志和网络数据报B目录和文件中的不期望的改变C程序执行中的不期望行为D物理形式的入侵信息(2)数据分析收集到的有关系统、网络、数据及用户活动的状态和行为等信息，被送到检测引擎，一般通过三种技术手段进行分析：模式匹配、统计分析和完整性分析。

模式匹配就是将收集到的信息与已知的网络入侵和系统误用模式数据库进行比较，从而发现违背安全策略的行为。

该过程可以很简单(如通过字符串匹配以寻找一个简单的条目或指令)，也可以很复杂(如利用正规的数学表达式来表示安全状态的变化)。

一般来讲，一种进攻模式可以用一个过程(如执行一条指令)或一个输出(如获得权限)来表示。

该方法的一大优点是只需收集相关的数据集合，显著减少系统负担，且技术已相当成熟。

它与病毒防火墙采用的方法一样，检测准确率和效率都相当高。

但是，该方法存在的弱点是需要不断的升级以对付不断出现的黑客攻击手法，不能检测到从未出现过的黑客攻击手段。

统计分析方法首先给系统对象(如用户、文件、目录和设备等)创建一个统计描述，统计正常使用时的一些测量属性(如访问次数、操作失败次数和延时等)。

测量属性的平均值将被用来与网络、系统的行为进行比较，任何观察值在正常值范围之外时，就认为有入侵发生。

例如，统计分析可能标识一个不正常行为，因为它发现一个在晚八点至早六点不登录的账户却在凌晨两点试图登录。

其优点是可检测到未知的入侵和更为复杂的入侵，缺点是误报、漏报率高，且不适应用户正常行为的突然改变。

具体的统计分析方法如基于专家系统的、基于模型推理的和基于神经网络的分析方法，目前正处于研究热点和迅速发展之中。

完整性分析主要关注某个文件或对象是否被更改，这经常包括文件和目录的内容及属性，它在发现被更改的、被特洛伊化的应用程序方面特别有效。

完整性分析利用强有力的加密机制，称为消息摘要函数(例如MD5)，它能识别哪怕是微小的变化。

其优点是不管模式匹配方法和统计分析方法能否发现入侵，只要是成功的攻击导致了文件或其它对象的任何改变，它都能够发现。

缺点是一般以批处理方式实现，不用于实时响应。

尽管如此，完整性检测方法还应该是网络安全产品的必要手段之一。

例如，可以在每一天的某个特定时间内开启完整性分析模块，对网络系统进行全面地扫描检查。

(3)系统响应入侵检测的响应可以分为主动响应和被动响应两种类型。

在主动响应中，入侵检测系统(自动地或与用户一起)应能阻塞攻击，进而改变攻击的进程。

在被动攻击里，入侵检测系统仅仅简单地报告和记录所检测出的问题。

主动响应包括入侵反击、修正系统环境、收集额外信息等几种方式；被动相应包括告警和通知等。

主动响应和被动响应并不是相互排斥的，不管使用哪一种响应机制，作为任务的一个重要部分，入侵检测系统应该总能以日志的形式记录下检测结果。

2.2入侵检测分类目前入侵检测技术的分类方法很多，但主要包括基于体系结构的分类、基于分析策略的分类和基于工作方式的分类[4,5]。

2.2.1基于体系结构的分类根据体系结构的不同可以分为基于主机的IDS(Host-based IDS)和基于网络的IDS(Network-based IDS)。

基于主机的IDS安装在独立的主机上，通过监视WINDOWS NT上的系统事件、日志以及UNIX环境下的SYSLOG文件可以精确地判断入侵事件[6]，一旦这些系统文件有变化，IDS将新的日志记录与攻击签名比较，以发现它们是否匹配。

如匹配，IDS将向管理员报警并采取相应行动。

基于网络的IDS使用原始的网络分组数据包作为进行攻击分析的数据源，一般需要一个独立的网络适配器，将其设置为混杂模式来实时监听所有通过网络进行传输的数据包[7]，并与攻击签名匹配，一旦检测到攻击，IDS将对相关事件进行报警。

2.2.1.1基于主机的入侵检测早期在网络远没有现在盛行的时候，入侵检测系统主要是基于主机的系统。

基于主机的入侵检测系统通常应用两种类型的信息源，操作系统审计踪迹和系统日志。

操作系统审计踪迹由操作系统内核产生，这些审计踪迹是系统活动信息的集合，是对系统事件的忠实记录，由于操作系统本身提供了对审计踪迹的保护机制，因此作为入侵检测的信息源，操作系统审计踪迹的可靠性能得到很好的保证，但审计数据过于庞杂并且不易理解是其弱点所在；系统日志是一个反应各种各样的系统事件和设置的文件，由于日志文件通常是由应用程序产生，而且通常存储在不受保护的目录里，与操作系统审计踪迹相比，安全性不够好，但是系统日志结构简单(比如作为文本文件形式存在)，理解起来相对容易，而安全性问题可以通过日志文件重定向等方法来解决，因此日志文件仍然是基于主机的入侵检测系统最常用的信息源之一，对日志文件在入侵检测系统中应用的研究也是当前的研究热点之一。

基于主机的入侵检测系统的优点包括：对入侵事件的观察更为细腻，理解更为准确；可以观察到入侵事件的后果；可以检测到网络入侵检测系统检测不到的入侵，不受网络信息流加密和交换网络的影响；可以检测到特洛伊木马等破坏软件完整性的入侵。