基于神經(jīng)網(wǎng)絡(luò)的網(wǎng)絡(luò)入侵檢測技術(shù)的研究與實現(xiàn).pdf

1、計算機網(wǎng)絡(luò)安全問題近年來得到普遍的關(guān)注。入侵檢測技術(shù)是網(wǎng)絡(luò)安全的重要技術(shù)之一，雖然入侵檢測經(jīng)歷了較長時間的發(fā)展，但它仍是一個不完全成熟的技術(shù)領(lǐng)域?，F(xiàn)有的許多入侵檢測技術(shù)還存在若干不足因素，其中，較高的漏報率、誤報率，需更加有效地檢測出已知攻擊的變種或未知攻擊是入侵檢測面臨和亟待解決的問題之一。針對以上問題，本文主要研究將神經(jīng)網(wǎng)絡(luò)技術(shù)應(yīng)用到網(wǎng)絡(luò)入侵檢測中，著重檢測網(wǎng)絡(luò)中可能存在的DoS攻擊和網(wǎng)絡(luò)掃描。之所以進行這樣的嘗試，出于如下考慮：(

2、1)神經(jīng)網(wǎng)絡(luò)可以通過利用大量實例進行訓(xùn)練的方法學(xué)會知識，獲得預(yù)測能力；(2)可以向神經(jīng)網(wǎng)絡(luò)展示新發(fā)現(xiàn)的入侵攻擊實例，通過再訓(xùn)練使神經(jīng)網(wǎng)絡(luò)能夠?qū)π碌墓裟Ｊ疆a(chǎn)生反應(yīng)，從而使入侵檢測系統(tǒng)具有自適應(yīng)的能力；(3)網(wǎng)絡(luò)入侵檢測可以看作是對被檢測數(shù)據(jù)的模式識別問題，神經(jīng)網(wǎng)絡(luò)技術(shù)現(xiàn)己廣泛應(yīng)用在模式識別問題中并已取得了許多應(yīng)用成果。本文的工作主要包括以下幾個方面：
　　 (△)對網(wǎng)絡(luò)攻擊的概念，拒絕服務(wù)攻擊技術(shù)和網(wǎng)絡(luò)掃描技術(shù)進行調(diào)研，從宏觀上

3、對入侵檢測的研究技術(shù)和方法、新的發(fā)展方向進行必要的探討。
　　 (△)對BP神經(jīng)網(wǎng)絡(luò)進行詳細的分析，針對傳統(tǒng)BP訓(xùn)練算法的收斂速度較慢的缺陷進行一定程度的改進，提出并實現(xiàn)一種綜合增加動量項和自適應(yīng)學(xué)習(xí)速率相結(jié)合的改進算法。
　　 (△)在詳細分析拒絕服務(wù)和網(wǎng)絡(luò)掃描攻擊實例的基礎(chǔ)上，提取這些攻擊中可區(qū)別于正常網(wǎng)絡(luò)行為的特征，并闡述如何應(yīng)用神經(jīng)網(wǎng)絡(luò)對這些特征進行訓(xùn)練和之后的入侵檢測。
　　 (△)根據(jù)神經(jīng)網(wǎng)絡(luò)具有較強

4、的模式識別能力，在對BP算法進行研究的基礎(chǔ)上，提出將神經(jīng)網(wǎng)絡(luò)技術(shù)方法應(yīng)用到網(wǎng)絡(luò)入侵檢測的仿真實驗方案。仿真實驗在一臺計算機上進行，訓(xùn)練和測試數(shù)據(jù)來源于KDD Cup99入侵檢測評估數(shù)據(jù)集，仿真程序在Windows系統(tǒng)下，通過Visual C++6.0編譯、調(diào)試和執(zhí)行。實驗結(jié)果表明，基于神經(jīng)網(wǎng)絡(luò)的網(wǎng)絡(luò)入侵檢測方法對DoS攻擊、網(wǎng)絡(luò)掃描有較高的檢測率、較低的漏報率和誤報率，對己知攻擊的變種和未知攻擊有較好的檢測效果，表明神經(jīng)網(wǎng)絡(luò)技術(shù)應(yīng)用于網(wǎng)

5、絡(luò)入侵檢測的可行性和有效性。
　　 (△)設(shè)計和實現(xiàn)一個基于神經(jīng)網(wǎng)絡(luò)的網(wǎng)絡(luò)入侵檢測原型系統(tǒng)。它運行在局域網(wǎng)實驗環(huán)境內(nèi)的一臺linux主機上，該系統(tǒng)檢測攻擊的適用范圍是拒絕服務(wù)攻擊和網(wǎng)絡(luò)掃描。通過在實驗環(huán)境中運行攻擊、掃描程序，對原型進行功能測試表明，對于己被訓(xùn)練過的網(wǎng)絡(luò)攻擊和掃描，原型可以準(zhǔn)確識別出它們的存在，對于己知攻擊的變種，原型也可以檢測出它們的存在；性能測試表明，對于已知攻擊及其變種具有很高的檢測率，對正常網(wǎng)絡(luò)流量具有很