神经网络技术在网络入侵检测模型及系统中的应用

詹沐清

摘 要： 主要研究包含神经网络模块的网络入侵检测模型及系统，分析传统入侵检测系统的缺陷及神经网络技术在入侵检测中的优势，建立了基于神经网络且包含误用和异常检测的网络入侵检测系统。利用该系统进行了大量入侵检测试验，试验结果表明：所建模型具有较低的漏报率和误报率，可以很好地检测各种网络入侵类型，大大提高网络的安全性能。

关键词： 神经网络； 入侵检测模型； 网络安全； 漏报率； 误报率

中图分类号： TN711?34 文献标识码： A 文章编号： 1004?373X（2015）21?0105?04

Application of neural network technology in network

intrusion detection model and system

ZHAN Muqing

（Jingdezhen Ceramic Institute， Jingdezhen 333403， China）

Abstract： The network intrusion detection model and system including neural network module are studied mainly. The defects of the traditional intrusion detection system and the advantages of neural network technology applied in intrusion detection are analyzed， and the network intrusion detection system including misuse and abnormal detection based on neural network was established. A large number of intrusion detection tests were carried out by using this system. The test results show that the established model has low missing alarm rate and false alarm rate， can detect a variety of network intrusion types better， and improve the safety performance of the network greatly.

Keywords： neural network； intrusion detection model； network security； missing alarm rate； false alarm rate

0 引 言

最近十年，随着互联网技术的迅速发展，网络安全越来越受到人们的重视，各种利用网络漏洞和病毒入侵的手段层出不穷，极大地威胁着网络安全。而传统的杀毒软件和防火墙技术面对端口扫描和新型木马等网络攻击显得力不从心。在此背景下，作为一种积极主动的安全防护策略，网络入侵检测技术得到了人们广大的关注，获得了广泛的应用。但是随着网络入侵技术的进化，传统的入侵检测技术暴露出诸多缺陷，因此，本文引入了神经网络技术对传统入侵检测系统进行升级，以提高系统的检测性能。

目前国内外有许多学者和机构都进行了基于神经网络的网络入侵检测系统的研究和探索。美国国防部为了提高计算机网络系统的防入侵能力，从20世纪90年代开始陆续起草了一系列的建议草案和标准，从结构体系上规定了计算机网络入侵防御的相关技术标准，并资助MIT发布了KDDCUP99入侵检测测试集，为相关研究提供了研究样本； 美国学者L Tony等采用单隐含层的简神经网络构建了一个IDES的入侵检测专家系统，实现了对局域网内几种典型入侵行为的判断，开启了利用神经网络对网络入侵行为进行判断的新途径。随着网络技术，特别是网络入侵技术和大数据技术的迅速发展，国外的网络安全提供商分别推出了自己完善的反网络入侵解决产品，如：思科的IDS?4250T和Internet Security的 Realsecure等[1]。

我国的网络入侵检测技术研究起步于20世纪90年代，哈尔滨工程大学的唐立力教授采用KDDCUP99入侵检测测试集作为研究样本，利用RBF神经网络作为判断模块，根据知识库中已经定义好的网络攻击方式来判断是否发生入侵行为，通过网络训练，对常见的四大类型的入侵行为进行了很好的判断；华中科大的周毅等采用遗传算法对BP网络输入参数进行优化，建立了GA?BP的诊断网络，大大提高了对网络入侵行为的诊断精度和速度，提高了网络的使用安全性[2]。虽然国内外对神经网络技术在入侵检测中的研究有着许多亮点，也取得了很多成绩，但是从目前的研究情况来看，大多学者采用的方法存在的普遍问题有：一是构建的网络入侵检测模型缺乏泛化能力，模型稳定差，当系统加入新的入侵类型时，模型诊断精度较低；二是除了国外少数商业软件巨头，其他研究者并未建立有效的基于检测模型的防入侵检测系统，即相关研究的实际用途有待进一步提高；三是检测系统的可扩展性和检测效率低。

1 入侵检测系统的组成

1.1 常见的两种入侵检测方法

在目前常见的入侵检测系统中，根据其检测方法的不同，可分为异常检测和误用检测两种方法。

异常检测的基础是建立一个安全行为的数据库，在此数据库外的操作会被进行比对，当其严重偏离安全行为时即被判断为入侵行为。此方法的优点是对未知的入侵行为有较好的检测效果，漏报率较低；缺点是容易将一些未定义的正常行为判定为入侵行为，即误报率较高。

误用检测则是一种基于入侵行为数据库的检测，该数据库是多种已知入侵行为及特征的集合，且数据库是实时更新的。误用检测工作时，会对网络行为与数据库中的信息进行比对，以判定其是否属于入侵行为。误用检测的优势是可以快速有效地判断常见入侵形式；缺点是数据库需要快速和持续的进行更新，随着数据库规模的持续增大，可能影响检测的速度。

本文研究了两种检测法的优缺点，决定在本文所构建的系统中同时采用这两种检测法，并以神经网络技术作为其实现的基础。

1.2 现有入侵检测系统存在的问题

一般来说，目前常见的入侵检测系统具有以下一些问题：

（1） 检测效率较低。不管是误用检测还是异常检测都很难快速检测具有欺骗性的入侵行为；异常检测的正常运行需要系统维护记录的实时更新，误用检测则需要复杂的专家系统shell来编码和解释，需要耗费大量的系统资源，因此其效率较低。

（2） 维护性和系统更新能力较低。一个入侵检测系统需要实时维护及更新，目前广泛存在的系统在维护和更新时往往要求操作者了解专家系统规则语言，使得操作者的学习成本大大提高。

（3） 漏报和误报问题。目前常见的入侵检测系统普遍存在漏报率和误报率偏高的问题，这极大的影响了系统的性能。

1.3 将神经网络技术应用于入侵检测系统的优势

将神经网络技术应用到入侵检测研究中。主要有以下优势：

（1） 误警率低。现有系统的一大缺点就是误报率较高，这是由于其采用的模式匹配模块缺乏自学习能力导致的，神经网络模型有较高的自适应和自学习能力，可以很好的解决这一问题。

（2） 自适应性好。传统的入侵检测系统需要对每种已知的攻击行为制定专家系统shell来编码和解释。当新的攻击类型出现时，需要重新进行编码和解释，这极大的增加了系统的更新和维护成本。而基于神经网络技术的系统则不依靠信号的模式匹配，其具有很强的自适应性，当需要对系统进行更新时，也不会造成太大的学习成本。

（3） 漏报率低。传统入侵检测系统，特别是采用误用检测法的系统对于新的攻击行为会有较高的漏报率，而采用神经网络技术则可以有效解决这一问题。

1.4 基于神经网络的入侵检测模型

本文借鉴文献[3?4]，结合神经网络的相关特点，建立了如图1所示的检测模型。

在图1的入侵检测系统中，神经网络训练模块1在发现新的攻击类型后会将相关信息输入到神经网络训练模块2中进行训练，从而扩充误用检测库的数量，极大地提高了该系统的实用性，该系统主要分为以下几个模块：

（1） 数据采集模块

数据采集模块采用Winpcap来捕获网络中的数据包和处理系统日志并送入预处理模块。Winpcap体系结构利用的Packet.dll和Wpcap.dll两个API为用户提供支持。

（2） 数据预处理模块

对Winpcap采集到的数据进行筛选和处理，检查其格式，并调用不同的分析程序段对包中不同协议类型的内容进行分析，以转化为神经网络所能识别的标准格式。

（3） 神经网络模块

本系统建立了分别基于误用和异常检测库的神经网络模型。该网络首先需要一定样本的训练，然后即可以对相关的入侵行为进行识别，并把确定的行为报送给入侵响应模块。

（4） 报警响应模块

该模块的功能主要有两个：一是记录入侵行为的时间日志，以便复查、分析及作为证据，并保证这些记录不能被擦除或远程销毁；二是及时报警，通知网络管理人员及时采取相应措施以阻止网络入侵行为。

2 系统的试验过程及结果分析

2.1 实验环境

本次实验的硬件平台为Intel i5 3.2 GHz，8 GB内存和1 TB硬盘的计算机，实验在Windows 8平台上用Matlab语言编程实现。

2.2 试验数据源的选取

本文所采用的分析数据是目前入侵检测研究中常用的KDD Cup 1999 Data数据集，该数据集包含了近500万条模拟网络环境中的各种攻击和正常访问链接的记录。其中入侵行为主要包含4种常见的攻击类型和1种新的攻击类型，它们分别是拒绝服务攻击（Denial of Service，DOS）、本地用户权限提升攻击（User to Root，U2R）、远程攻击（Remote to Local，R2L）、探测攻击（Probe）和新类型攻击（Other）[5]，这5种攻击类型中包含的18种具体的攻击名称如表1所示。

由图4可知，当训练经过23次迭代之后达到了满意的期望误差限。

2.5 结果分析

为了表征入侵检测系统的性能，本文采用漏报率和误报率来作为其性能指标，其值按下式计算：

[漏报率=错误标示为正常的异常数据测试样本集中的异常数据总和]

[误报率=错误标识为异常的正常数据测试本集中的正常数据总和]

经计算各个样本的漏报率和误报率如表4所示。

从表4可以知道，本文构建的入侵检测模型不管是对于已知入侵类型或新的攻击类型的检测都有较好的检测效果，可以起到提高系统安全的作用。

3 结 语

本文主要对神经网络技术在网络入侵检测中的应用进行了研究，分析了传统入侵检测系统存在的检测效率低和漏报、误报率高等问题，指出了将神经网络运用于入侵检测系统可以有效降低漏报、误报率，提高系统自适应性和减去数据过载等优势。本文构建的系统共有数据采集、数据预处理、神经网络和报警响应四个模块组成。通过利用该系统进行的仿真实验表明，采用神经网络技术的网络入侵检测系统具有较高的检测精度，可以有效提高网络的安全性。

参考文献

[1] KOZIOL J.Snort入侵检测实用解决方案[M].吴溥峰，孙默，许诚，译.北京：机械工业出版社，2005.

[2] 危胜军，胡昌振，姜飞.基于BP神经网络改进算法的入侵检测方法[J].计算机工程，2005，31（13）：154?155.

[3] GHOSH A K， SEHWARTZBARD A. A study in using neural networks for anomaly detection And misuse detection [C]// Proceeding of 2009 the 8th Usenix Security Symposium. [S.l.]： ACM， 2009： 534?537.

[4] 李恒华，田捷，常琤，等.基于滥用检测和异常检测的入侵检测系统[J].计算机工程，2003（10）：14?16.

[5] 王景新，戴葵，宋辉，等.基于神经网络的入侵检测系统[J].计算机工程与科学，2003，25（6）：28?31.

[6] 李忠武，陈丽清.计算机网络安全评价中神经网络的应用研究[J].现代电子技术，2014，37（10）：80?82.