BP算法网络入侵检测技术的应用
开篇:润墨网以专业的文秘视角,为您筛选了一篇BP算法网络入侵检测技术的应用范文,如需获取更多写作素材,在线客服老师一对一协助。欢迎您的阅读与分享!
摘 要:近些年,网络安全越来越受到人们的关注,特别是网络入侵攻击事件不断的发生,对整个网络环境造成了很大的影响。文章首先介绍网络入侵检测的基本现状,接着阐述传统网络入侵检测的不足,提出了基于bp算法的网络入侵检测技术,最后通过应用证明了技术改进的有效性。
关键词:网络入侵检测;BP算法;入侵攻击
中图分类号:TP393.08 文献标识码:A 文章编号:1006-8937(2012)11-0083-02
随着计算机网络技术与网络通信产业的高速发展,信息技术和网络对当今社会的科教、经济、文化和电子商务等各个领域具有非常大的贡献。然而随着社会对计算机网络的依赖越来越大,出现了越来越多关于影响计算机网络安全的事件,目前有计算机杀毒软件、木马防御软件以及网络防火墙等软件,都起到一定的防御作用,但是在新的网络入侵攻击方式下,却常常无能为力。所以近些年来,计算机网络入侵检测技术越来越受到欢迎,它可以适应主动性攻击,有自主学习能力,能够更新入侵攻击规则库等功能。
网络入侵检测技术的应用,的确可以弥补防火墙、杀毒软件的缺陷,提高计算机网络安全的性能。但是传统的网络入侵检测技术存在一些问题,例如漏/误报率高、网络实时检测能力不高、检测的速率较低等问题。
如何解决以上提出的问题,就需要对传统的网络入侵检测技术进行改进,提高新的网络入侵检测方法。本文提出了基于BP神经网络算法的网络入侵检测技术,它是能够很好适应当前海量数据检测,较低入侵检测漏/误报率的方法。
1 传统入侵检测技术的模型与不足
1.1 传统入侵检测的发展
20世纪70年代后,随着计算机网络技术的发展,计算机的大规模及超大规模集成电路的高速发展,计算机的性能变高体积变小,在社会上应用计算机的用户也越来越多,遍布全世界。传统的防火墙开始不能够满足计算机安全的新需求,于是入侵检测技术也登上了应用舞台。它的发展主要包括几个时期,分别是:早期研究、基于主机入侵检测系统研究、基于网络入侵检测系统研究和基于智能网络入侵检测系统研究。
早期研究主要是1983年,(Stanford Research Institue)用统计方法分析IBM大型机的 (System Management Facility)记录,这就是网络入侵检测的雏形。
基于主机的入侵检测系统出现在20世纪80年代初期,那时网络规模还比较小,而且网络之间也没有完全互连。在此网络环境下,检查可疑行为的审计记录相对比较容易,也比较简单,通过对攻击的事后分析就可以防止随后的攻击。
基于网络的入侵检测系统需要原始的网络数据源,它把服务器的网卡设为混杂模式,该服务器的主机能够实时接收和分析网络中数据包,进而能够检测是否存在入侵行为,基于网络的入侵检测系统需要随机模式下的网络适配器来实时检测并分析通过网络的所有的网络通信业务数据。
基于智能网络入侵检测系统研究主要包括,神经网络、数据挖掘技术、人工免疫、容错技术等不断渗透或融入到智能的入侵检测技术中,将网络入侵检测系统的发展提高到一个新的台阶。
1.2 传统入侵检测的过程
传统的入侵检测的过程可以分为三个阶段,网络数据收集阶段、数据分析处理阶段及检测响应阶段。
①网络数据收集阶段。从入侵检测系统的信息源中收集网络数据,收集到的数据内容包括网络用户活动的行为和日志情况等。数据收集的网络数据范围广,入侵检测系统的检查范围也变得越大。一般情况下,基于网络的入侵检测的数据源,属于多源数据源,数据量较大,而基于主机的入侵检测系统的数据源属于单一,数据量比较小。
②数据分析处理。入侵检测系统从信息源中收集到大量的网络包数据,每秒钟都有源源不断的网络包,从海量的网络数据中,通过定好规则库,把大量的属于正常的网络数据包给过滤掉,剩下的小部分疑似网络攻击的异常行为的数据信息。因此如何快速处理数据,是当今入侵检测技术需要解决的热点问题。
③检测响应。当发现到网络包里面包含异常事件时,入侵检测系统就会及时对攻击情况作出类型判断,采取相应的响应来处理。常见的响应方式有:自动终止攻击、终止用户连接、记录事件的相关信息、向安全管理人员发出提示性电子邮件等。
1.3 传统入侵检测技术的特点
传统的通用入侵检测模型比较适合基于主机的入侵检测系统,对应基于网络的入侵检测系统来说,存在着许多问题:
①误/漏报率高。由于传统的入侵检测系统在处理网络数据包时,检测的方法比较传统,只能按照现有的规则来判断是否是异常事件,但是一遇到基于网络的入侵检测系统,检测海量数据包,就不是那么得心应手了,有限的时间,要处理好大量的数据,方法单一,使得最终检测出来的结果误/漏报率高。
②网络实时检测能力不高。传统的入侵检测技术方法比较单一,没有比较灵活的检查算法,所以在检测的时候,很难及时把结果处理出来,因此在一定程度下,实时检测性较差,影响了检测效果。
③检测的速率较低。传统入侵检测技术方法相关产品已不能适应交换技术和高带宽环境的发展,在大流量冲击、多IP分片情况下都可能造入侵检测系统的崩溃或丢包,所以检测的速率也不是很理想。
2 BP神经网络算法概述
2.1 BP神经网络算法
人工神经网络是一种应用类似于大脑神经突触联接的结构进行信息处理的数学模型。神经网络是一种运算模型,由大量的节点(或称神经元)和之间相互联接构成。
输入:给定训练集Xtrain,其中每一个训练样本都是由一组输入和一组输出构成,所有的输入和输出都是[0,1]之间的浮点数据(如果不是,要首先通过数据变换把它们映射到[0,1]区间);神经网络结构:隐含层节点数目;神经网络每个节点的、参数化了的特征函数。
输出:神经网络每个节点特征函数的参数。
①按照有序导数计算公式计算总体误差对于每个参数的有序导数公式(函数)。
②任意选择一组数据作为初始参数,一般选取(0,0,…,0),把这组初始参数作为当前参数。
③根据当前参数和总体误差计算公式计算总体误差,如果误差足够小,就把当前参数作为输出,退出;否则,继续下面的步骤。
④根据参数调整公式和当前参数数值,计算总体误差对于各参数的有序导数数值。
⑤计算各个参数的调整大小,并计算调整后的参数大小。把调整后的参数作为当前参数,回到第三步。
2.2 神经网络计算过程
BP神经网络算法在工作过程中,首先对神经网络的参数进行初始化处理,然后计算出隐藏层单元的个数、计算输出层单元的输出个数、计算输出层单元出现的误差,当误差在允许范围内,则结束,输出相应的结果;如果误差不在允许范围内,则要调整中间层到输出层连接的权值和输出层单元,再调整输入层到中间层的连接权值和输出单元,同时更新学习的次数,当学习次数大于上限值,则结束,输出结果;如果还没到上限值,则反复地进行误差调整,直至满足算法的误差要求。最终输出结果。
3 网络入侵检测的结果
该设计方案已经在广东省潮州市某大型企业中应用,具体实验情况包括以下几个方面。
3.1 实验环境
该实验在真实网络入侵环境下进行检测。该应用平台的硬件包括由1台服务器和25台客户机构成。
入侵检测时,以25台主机同时对企业的内部财务系统进行访问,对公司的服务器进行。
3.2 实验结果
改进前和改进后的实验结果如下表1所示。
通过实验的结果比较,改过后的入侵检测系统比改进前入侵检测系统,提高了准确率,同时也降低了误报率和漏报。结论证明改进后的基于BP神经网络入侵检测系统达到预期目标。
4 结 语
本文从实际出发,通过科学改进,设计开发出一种基于BP算法网络入侵检测技术的有效方法,充分地利用了算法设计思想,并应用到实际项目中,最终达到预期的效果。总体来说,入侵检测在网络安全应用中是越来越广泛的,但是随着海量网络数据的发展,入侵检测技术要不断的更新检测算法,来适应网络对技术的要求。
参考文献:
[1] 李秀改,候媛彬.基于神经网络BP算法的模糊自适应控制器的研究与实现[J].电气传动自动化,2000,(4).
[2] 周川,董秀成.基于神经网络模型母线保护的运用研究[J].成都纺织高等专科学校学报,2007,(3).
[3] 王俊清.BP神经网络及其改进[J].重庆工学院学报(自然科学版),2007,(3).
[4] 曹大元.入侵检测技术[M].北京:人民邮电出版社,2007.