1、1目录摘 要 .3Abstract.4第 1 章 绪论 .51.1 课题的研究背景和意义 .51.2 入侵检测的国内外现状分析 .51.3 本文的研究内容和主要创新点 .61.4 论文内容安排 .6第 2 章 入侵检测技术 .82.1 入侵检测的概念 .82.2 入侵检测的功能 .82.3 入侵检测的组成与结构 .82.4 现有的入侵检测分析技术 .102.4.1 静态配置分析 .102.4.2 异常检测技术 .102.4.3 误用检测技术 .112.4.4 入侵检测的发展方向 .13第 3 章小波神经网络 .153.1 小波分析理论 .153.1.1 小波分析方法的起源与提出 .153.1.
2、2 小波分析的应用 .153.1.3 小波变换 .163.2 人工神经网络理论 .173.2.1 神经网络的基本理论 .183.2.2 神经元的结构模型 .183.2.3 神经网络的一般框架 .183.3 小波神经网络理论 .193.3.1 小波神经网络的基本结构 .1923.3.2 小波神经网络学习算法 .203.3.3 小波神经网络训练方法 .203.3.4 BP 网络的训练及算法 .213.3.5 小波网络与 BP 算法仿真对比 .22第 4 章 小波神经网络在入侵检测中的应用 .254.1 入侵检测系统设计目标 .254.2 小波神经网络入侵检测模型的设计 .264.3 检测系统工作模
3、式的应用 .274.4 仿真试验与结果 .30结论 .35致谢 .36参考文献 .373摘要现今社会,Internet已经受到人们越来越广泛的使用。各种网络服务,电子银行、电子商务、QQ聊天等已经成为人们生活中重要组成部分。各种各样的网络攻击也随着不断地增加。人们已经深刻认识到了保证网络安全的重要性。入侵检测作为一种主动的信息安全保障措施,能有效地弥补了传统安全防护技术的缺陷。通过构建动态的安全循环,可以最大限度地提高系统的安全保障能力,减少安全威胁对系统造成的危害,网络入侵检测系统成为一个重要的发展方向。本文通过利用小波变换在信号处理方面的时频分析特性和神经网络对任意非线性函数的逼近能力,提
4、出了一种基于小波神经网络的入侵检测方法。用小波变换代替普通神经网络的激励函数,能有效地提高网络样本训练的效率和速度,在仿真结果中体现出较好的收敛速度和学习能力,比较适合用于入侵检测系统中。关键词: 入侵检测;小波分析;神经网络;小波神经网络。4AbstractToday, the network services, such as E-bank、QQ and E-Commerce are becoming the part of life. And all kinds of Network attacks are increasing .People have realized the imp
5、ortance of network security.As a kind of active measure of imformation Assurance, IDS acts as an effective complement to traditional protection techniques. Network Intrusion Detection System is becoming a great developing direction The dynamic security circle,including poicy,protection ,detection an
6、d response,can greatly contribute to improving the assurance ability of information systems and reducing the extent of security threatsUtilizing the ability of time-frequency analysis of the wavelet transform in signal processing and approximation of the neural networks towards any nonlinear functio
7、n,a method of instrusion detection based on wavelet neural network is proposedReplacing ordinary neural network activation functions by wavelet transform, the method can effectively improve the efficiency and speed of the network training samplesIn the simulation,it reflects a good convergence and l
8、earning abilityKey words:intrusion detection;wavelet neural network;neural network;wavelet analysis.5第 1 章 绪论1.1 课题的研究背景和意义随着计算机互联网技术的飞速发展,Internet的普及,在计算机上处理业务已由单机处理功能发展到面向内部局域网、全球互联网的世界范围内的信息共享和业务处理功能,深刻地改变了人类的工作和生活方式。网络信息已经成为社会发展的重要组成部分。涉及到国家的政府、军事、经济、文教等诸多领域。其中存贮、传输和处理的信息有许多是重要的政府宏观调控决策、商业经济信息、银
9、行资金转帐、股票证券、能源资源数据、科研数据等重要信息。有很多是敏感信息,甚至是国家机密。由于计算机网络组成形式多样性、终端分布广和网络的开放性、互联性等特征,致使这些网络信息容易受到来自世界各地的各种人为攻击(例如信息泄漏、信息窃取、数据篡改、数据删添、计算机病毒等) 。计算机网络安全已经变成一个国际化的问题,每年全球因计算机网络的安全系统被破坏而造成的经济损失达数百亿美元。2010年1月12日,国内最大搜索引擎网站百度遭到黑客攻击,域名被篡改,造成多地网民无法访问。而随着攻击工具和手法的日趋复杂多样,仅仅依靠传统的安全防范措施已经无法满足网络安全的需求,近两年频繁的网络黑客攻击事件也证明了
10、这种观点。入侵检测系统就是在这样的背景下产生的。在入侵检测之前,大量的安全机制都是根据从主观的角度设计的,他们没有根据网络攻击的具体行为来决定安全对策。因此,它们对入侵行为的反应非常迟钝,很难发现未知的攻击行为,不能根据网络行为的变化来及时地调整系统的安全策略。而入侵检测正是根据网络攻击行为而进行设计的,它不仅能够发现已知入侵行为,而且有能力发现未知的入侵行为,并可以通过学习和分析入侵手段,及时地调整系统策略以加强系统的安全性。1.2 入侵检测的国内外现状分析目前在网络安全方面,国内的用户对防火墙已经有了很高的认知程度,而对入侵检测系统的作用大多不是非常了解。防火墙在网络安全中起到大门警卫的作
11、用,对进出的数据依照预先设定的规则进行匹配,符合规则的就予以放行,起访问控制的作用,是网络安全的第一道闸门。优秀的防火墙甚至对高层的应用协议进行动态分析,保护进出数据应用层的安全。但防火墙的功能也有局限性。防火墙只能对进出网络的数据进行分析,对网络内部发生的事件完全无能为力 1。同时,由于防火墙处于网关的位置,不可能对进出攻击作太多判断,否则会严重影响网络性能。如果把防火墙比作大门警卫的话,入侵检测就是网络中不间断的摄像机,入侵检测通过旁路监听的方式不间断的收取网络数据,对网络6的运行和性能无任何影响,同时判断其中是否含有攻击的企图,通过各种手段向管理员报警。不但可以发现从外部的攻击,也可以发
12、现内部的恶意行为。所以说入侵检测是网络安全的第二道闸门,是防火墙的必要补充,构成完整的网络安全解决方案 2。国外著名的入侵检测研究机构包括Purdue University的COAST (Computer Operations Audit and Security Technology)研究小组,美国国家能源部的Lawrence Livermore National LaboratoryUC Davis的Computer Security Lab等,都有一些自己的商业产品,但这些入侵检测产品的检测效果还不能很令人满意。现在,入侵检测技术的研究主要朝智能化和分布式两个方向前进 2。国际顶尖的入侵
13、检测系统主要以模式匹配检测技术为主,并结合使用异常检测技术。国际著名的检测系统产品有:BlackICE,Snort,Showdow和SRI等。对于入侵检测的研究,从早期的审计跟踪数据分析,到实时入侵检测系统,到目前应用于大型网络的分布式检测系统,基本上已发展成为具有一定规模和相应理论的研究领域。国内与国外相比较,国内在研究和开发都相对比较晚,产品间的差距还很大,总体发展比较慢,检测技术单一,大多以仿国外产品为主。但无论国外还是国内,在产品和检测手段都还不够成熟。国内在入侵检测方面也出现了有自己的产品包括:启明星辰公司的天阗入侵检测系统、安氏(中国)公司的LinkTrust入侵检测系统等。1.3
14、 本文的研究内容和主要创新点本文将小波神经网络应用于入侵检测技术中,建立了新的基于小波神经网络的入侵检测模型,并进行仿真实验,最后用已知的攻击类型的数据源对网络进行训练和测试,实验结果说明,本文提出的基于小波神经网络模型,样本训练时间短,网络收敛速度快(网络收敛速度是指神经网络训练过程中,它的训练误差减小的快慢),检测准确率高,整体性能优于基于传统BP神经网络的入侵检测系统。并且利用小波神经网络技术改造SNORT入侵检测系统。通过把小波神经网络技术与SNORT系统相结合,尝试建立一种功能更全面的入侵检测系统模型,既可以精确判别入侵类别,又具有一定的对未知入侵、变种入侵的检测能力。1.4 论文内
15、容安排在神经网络的实际应用中,应用最广泛的是 BP 网络。它的一大缺点是当学习速度较小时,其缓慢的学习速度使得网络的学习失去了意义。学习速度过大又会使得误差函数不能收敛。本文采用小波神经网络入侵检测模型,在检测效果和学习速度上都有较大的提高。本论文的内容安排如下:7第一章对研究问题的背景做简单的介绍,概述了信息安全的重要性以及现有网络安全技术概况,提出本文的研究思路和内容安排。第二章介绍入侵检测技术。对入侵检测技术的基本概念和理论进行分析,包括入侵检测的原理、构成、分类,以及主要的入侵检测技术。第三章主要介绍了小波分析的基础知识,如:小波分析理论基础、小波分析的应用,小波变换等。人工神经网络方
16、面的研究。主要介绍了人工神经网络的研究内容,人工神经网络构成的基本原理。最后通过总结 BP 神经网络和小波分析的特点,引出了小波神经网络相关定义,其中包括小波神经网络的基本结构,小波神经网络的算法和模型等。第四章介绍了小波神经网络在入侵检测中的应用,结合开源软件 SNORT,提出了两种模型,互补式和嵌入式入侵检测模型,并使用 KDDCup99 数据对模型进行仿真测试。最后一章对全文进行总结。8第 2 章 入侵检测技术2.1 入侵检测的概念1980 年,James P.Anderson 第一次系统的阐述了入侵检测的概念,并将入侵行为分为外部滲透、内部滲透和不法行为三种,还提出了利用审计数据监视入
17、侵活动的思想。即其之后,1986 年 Dorothy E.Denning 提出实时异常检测的概念并建立了第一个实时入侵检测模型,命名为入侵检测专家系统(IDES),1990 年,L.T.Heberlein 等设计出监视网络数据流的入侵检测系统,NSM( Network Security Monitor) 3。自此之后,入侵检测系统才真正发展起来。Anderson 将入侵尝试或威胁定义为:潜在的、有预谋的、未经授权的访问信息、操作信息、致使系统不可靠或无法使用的企图。而入侵检测的定义为:发现非授权使用计算机的个体(如“黑客”)或计算机系统的合法用户滥用其访问系统的权利以及企图实施上述行为的个体。
18、执行入侵检测任务的程序即是入侵检测系统。2.2 入侵检测的功能(1)入侵检测(Intrusion Detection)技术是一种动态的网络检测技术,主要用于识别对计算机和网络资源的恶意使用行为,包括来自外部用户的入侵行为和内部用户的未经授权活动。一旦发现网络入侵现象,则马上做出适当的反应。对于正在进行的网络攻击,则采取适当的方法来阻断攻击(与防火墙联动) ,以减少系统损失。对于已经发生的网络攻击,则应通过分析日志记录找到发生攻击的原因和入侵者的踪迹,作为增强网络系统安全性和追究入侵者法律责任的依据。它从计算机网络系统中的若干关键点收集信息,并分析这些信息,看看网络中是否有违反安全策略的行为和遭
19、到袭击的现象。(2)入侵检测系统(IDS)也可以定义为:检测企图破坏计算机资源的完整性,真实性和可用性的行为的软件。入侵检测系统执行的主要任务包括:监视、分析用户及系统活动;审计系统构造和弱点;识别、反映已知进攻的活动模式,向相关人士报警;统计分析异常行为模式;评估重要系统和数据文件的完整性;审计、跟踪管理操作系统,识别用户违反安全策略的行为。入侵检测一般分为三个步骤:信息收集、数据分析、响应。入侵检测的目的:1)识别入侵者;2)识别入侵行为;3)检测和监视以实施的入侵行为;4)为对抗入侵提供信息,阻止入侵的发生和事态的扩大。2.3 入侵检测的组成与结构入侵检测系统(Intrusion Det
20、ection System,IDS)是实现入侵检测功能的硬件与软件组合而成。入侵检测基于这样一个假设,即:入侵行为与正常行9为有显著的不同,因而是可以检测的。入侵检测系统通常处于防火墙之后对网络活动进行实时检测。许多情况下,由于可以记录和禁止网络活动,所以入侵检测系统是防火墙的延续。它们可以和你的防火墙和路由器配合工作。 一个入侵检测系统分为四个组件(如图 2-1 所示) ,即 CIDF 模型(Common Intrusion Detection Framework):CIDF 阐述了一个入侵检测系统(IDS)的通用模型。它将一个入侵检测系统分为以下组件:事件产生器(Event generat
21、ors) ,用 E 盒表示;事件分析器(Event analyzers) ,用 A 盒表示;响应单元(Responseunits) ,用 R 盒表示;事件数据库(Event databases) ,用D 盒表示。 1)事件产生器(Event generater, E-box)收集入侵检测事件,并提供给 IDS其他部件处理,是 IDS 的信息源。事件包含的范围很广泛既可以是网络活动也可是系统调用序列等系统信息。事件的质量、数量与种类对 IDS 性能的影响极大。 2)事件分析器(Analysis engine, A-box)对输入的事件进行分析并检测入侵。许多 IDS 的研究都集中于如何提高事件分
22、析器的能力,包括提高对已知入侵识别的准确性以及提高 发现未知入侵的几率等。3)事件数据库(Event database, D-box)E-boxes 和 A-boxes 产生大量的数据,这些数据必须被妥善地存储,以备将来的使用。D-box 的功能就是存储和管理这些数据,用于 IDS 的训练和证据保存。 4)事件响应器(Response unit, R-box)对入侵作出响应,包括向管理员发出警告,切断入侵连接,根除入侵者留下的后门以及数据恢复等。 图 2-1 CIDF 模型结构图CIDF 模型的结构如下:E 盒通过传感器收集事件数据,并将信息传送给 A盒,A 盒检测误用模式;D 盒存储来自 A
23、、E 盒的数据,并为额外的分析提供信息;R 盒从 A、E 盒中提取数据,D 盒启动适当的响应。A、E、D 及 R 盒之间的通信都基于 GIDO(generalized Intrusion detection objects,通用入侵检测对象)和 CISL(common intrusion specification language,通用入侵规10范语言) 。如果想在不同种类的 A、E、D 及 R 盒之间实现互操作,需要对 GIDO实现标准化并使用 CISL。2.4 现有的入侵检测分析技术入侵检测主要采用的技术分为:静态配置技术、异常检测技术和误用检测技术,另外还有一种新的思想是基于系统关键程
24、序的安全规格方法及通过构架陷阱进行入侵检测。2.4.1 静态配置分析静态配置分析 4是通过检查系统的当前系统配置,诸如系统文件的内容或系统表,来检查系统是否已经或者可能会遭到破坏。静态是指检查系统的静态特征(系统配置信息) ,而不是系统中的活动。采用静态分析方法主要有一下几个方面的原因:入侵者对系统攻击时可能会留下痕迹,这可通过检查系统的状态检测出来;系统管理员以及用户在建立系统时那面会出现一些错误和遗漏一些系统的安全性缺陷。另外,系统在遭受攻击之后,入侵者也可能在系统中安装一些安全性后门以方便后续对系统的进一步攻击。对系统的配置信息进行静态分析,就可以及早发现系统中潜在的安全性问题,并采取相
25、应的措施来补救。但这种方法需要对系统的缺陷尽可能地了解;否则,入侵者只需要简单地利用那些安全系统未知的缺陷就可以避开检测系统。2.4.2 异常检测技术入侵检测的异常检测技术(Anomaly Detection)是一种在不需要操作系统及其安全性缺陷的专门知识的情况下,就可以检测入侵者的方法,同时它也是检测冒充合法用户的入侵者的有效方法。但是,在许多环境中,为用户建立正常行为模式的特征轮廓以及对用户活动的异常性进行报警的门限值的确定都是比较难的事。因为并不是所有入侵行为都能产生异常性,所以在入侵检测系统中,仅使用异常性检测技术不可能检测出所有的入侵行为。有经验的入侵者还可以通过缓慢的改变它的行为,来改变入侵检测系统中用户正常行为模式,使其入侵行为逐步变为合法,这样就可以避开使用异常性检测技术的入侵检测系统的检测。Denning5于 1986 年给出一个基于用户特征轮廓(Profile)的入侵检测系统模型。基本思想是:通过对系统审计数据的分析建立起系统主体(单个用户、一组用户、主机、 ,甚至是系统中的某个关键的程序和文件等)的正常行为特征轮廓;检测时,如果系统中的审计数据与已建立的主体的正常行为特征有较大出入就认为是一个入侵行为。特征轮廓是借助主体登陆的时刻、登陆的位置、
