论文部分内容阅读
随着世界上越来越多的政府部门、公司和个人依赖于计算机网络,保证网络信息安全成为十分严峻的课题。入侵检测技术作为一种主动的信息安全保障措施,引起学术界和实业界的密切关注。目前使用的入侵检测系统主要是基于规则分析的专家系统,它大大提高了信息安全系统的效率和实用性,但在利用规则库审计网络数据记录,判别网络中是否存在入侵时,攻击行为的微小变化就会影响系统的判别,导致入侵检测的误报和漏报。
本文研究基于神经网络的入侵检测方法。将混沌神经元引入到前馈型神经网络中,构建了MLP/CNN混合神经网络滥用入侵检测模型,它既具备MLP的实时分类能力,又具有混沌神经元的延时、收集和思维判断功能;提出了BP/Elman混合神经网络异常入侵检测方法,它能够发现新的入侵行为,训练简单、使用方便。为了验证所提出方法的有效性,本文利用Lincoln实验室采集的DARPA数据集对入侵检测方法进行了评估,结果显示本文的方法在提高入侵检测率和减少误报率方面取得了进展。具体工作如下:
1研究一种耗散型混沌神经元动力学,模拟大脑的高阶信息处理能力,识别复杂多变的入侵。在分析混沌的主要特征和识别混沌的主要方法基础上,分析了自激神经元和自抑制神经元的参数空间,对混沌神经元关于多个参数的分岔与混沌进行数值模拟,对多种参数神经元的运行机制进行计算机仿真。研究发现,自抑制神经元具有以倒分岔特性为特点的时间增益功能,提出利用混沌神经元的倒分岔特性,弥补普通神经网络的不足,识别分布协作式入侵。
2提出了基于混沌神经元的神经网络入侵检测分类方法。首先阐明延时分类原理,制定混沌神经元的参数选取原则,然后研究混沌状态识别算法(CSIA)和延时分类三元组判据,设计延时神经网络的训练算法和延时分类识别算法。本文使用实例验证了提出的三种算法。
3提出MLP/CNN混合神经网络入侵检测方法。首先建立MLP神经网络滥用检测模型,利用在局域网中模拟FTPblute-force滥用入侵截获的数据,对MLP神经网络进行训练和测试,结果表明MLP模型具有实时滥用检测能力。在MLP实时滥用检测模型的基础上,引入混沌神经元,建立MLP/CNN混合神经网络模型,制定延时滥用入侵判据。利用开环训练、然后再闭环训练的方法训练混合神经网络,并对网络进行测试。结果表明,MLP/CNN混合神经网络能够有效地识别滥用分布式入侵。
4提出BP/Elman神经网络异常检测方法。利用具有循环连接权值的Elman神经网络,发现新的异常入侵行为,通过记录网络通信的历史行为,提高系统的入侵检测率和降低误报率。对不同参数的Elman网络进行大量测试,优选出最佳工作点。
5提出基于Web攻击的神经网络的异常入侵检测方法,利用几种检测技术来检测对Web服务器和Web应用的攻击。该方法以Web服务器的联机日志文件为检测对象,对每一个Web请求进行打分,将所得分数作为BP神经网络的输入,通过神经网络分析后,得出是否异常的结论。它利用通用的异常检测技术,不考虑特定程序或运行环境,在检测带有参数的HTTP查询时,具有一定优越性。
6采用ROC曲线对本文提出的神经网络入侵检测方法进行评估。利用美国Lincoln实验室公布的DARPA数据集作为评估数据,得到入侵检测方法的检测率和误报率的综合结果,并与其它相关入侵检测方法进行比较,显示出神经网络入侵检测技术的优越性。
此外,在本文研究过程中,编写了所需要的各种计算和绘图软件。本文的最后给出了今后的研究方向。