华中科技大学 硕士学位论文 基于自组织特征映射的入侵检测算法研究 姓名：张爱明 申请学位级别：硕士 专业：信息安全 指导教师：付小青 20070123 华 中 科 技 大 学 硕 士 学 位 论 文 I 摘摘 要要 入侵检测系统作为当前网络安全体系框架中的重要组成部分，其主要目标就是 对正常行为和入侵行为进行区分。将神经网络应用于入侵检测在解决传统的基于规 则或模式的专家系统所面对的问题时，也带来了入侵检测系统的误检率和漏检率都 较高的问题，同时，基于神经网络的入侵检测系统有学习过程慢，网络的计算量大 的问题。这些问题跟输入到神经网络中的特征数据有关系。 在对神经网络的基本特性和基本算法的研究基础上，发现神经网络的输入数据 维数增大，必然会带来神经网络的结构的膨胀，也会带来网络的计算量增大。同时， 在对这个模式进行识别时，这些输入数据所起的作用并不是一样的，有的特征对输 出结果影响大，有的相对就较小，有的甚至无影响。 根据自组织特征映射神经网络的学习算法，导出该网络的一个特点：相似模式 激活的神经元的物理位置邻近，并对其进行了证明。对于某个模式，竞争层神经元 的竞争力以激活神经元为中心，在某个范围内，逐渐减小。输入模式的类别采用激 活神经元的一个特定区域来表征。 利用自组织特征映射神经网络的这个特点，选择一系列的特征组合，利用这些 特征组合来进行入侵检测。通过对特征数据进行选择，去掉不必要的特征数据，能 有效地减小网络的计算量，并给出了证明。实验结果表明特征选择可以改善目前利 用人工神经网络进行入侵检测误检率和漏检率高的缺陷。 给出了一个基于自组织特征映射神经网络的入侵检测系统的模型，描述了系统 的工作过程，并对各个模块的功能进行了详细的描述，以及各个模块之间的联系。 关键词：入侵检测，神经网络，自组织特征映射 华 中 科 技 大 学 硕 士 学 位 论 文 II Abstract As an important component of current Internet security architecture, an intrusion detection system is to distinguish between normal behaviour and abnormal behaviour. Intrusion detection systems based on neural network solve the problems of traditional rule-based or pattern-based expert systems; meanwhile, they bring high negative rate and high false rate problem. They also have slow learning processes and large computation. These problems are relative to the features inputted to neural network. On research of primary characteristics and algorithms of neural network, it is found that big number of dimensions of inputted data leads to expanding of neural network and large computation. In recognizing patterns, these inputted datas effect is not the same. Some features have effect, but the others have less or even none. The physical locations of the neurons that similar patterns fired are neighboring. It is based on the learning algorithm of self-organizing feature map neural network, and proved in the paper. To a pattern, competitiveness of neurons in competitive layer decrease in a certain area which the center is the fired neuron. The class of an inputted pattern is represented by a certain area of the fired neuron. Using this characteristic of self-organizing feature map neural network, the intrusion behavior is detected with a series of features combination. This method can reduce the computation effectively by selecting features and deleting unnecessary features, and it is proved in the paper. The experiment shows that this method can improve negative rate and false rate of current intrusion detection systems based on neural networks. A model of intrusion detection system based on neural networks is proposed. The detection procedure of the system is described. All modules and relationship of these modules are discussed in details. Key WordsKey Words: intrusion detection, neural network, Self-Organizing Feature Map 独创性声明独创性声明 本人声明：所呈交的学位论文是我个人在导师指导下进行的研究工作及取得的 研究成果。尽我所知，除文中已经标明引用的内容外，本论文不包含任何其他个人 或集体已经发表或撰写过的研究成果。对本文的研究做出贡献的个人和集体，均已 在文中以明确方式标明。本人完全意识到本声明的法律结果由本人承担。 学位论文作者签名： 日期： 年 月 日 学位论文版权使用授权书学位论文版权使用授权书 本学位论文作者完全了解学校有关保留、使用学位论文的规定，即：学校有 权保留并向国家有关部门或机构送交论文的复印件和电子版，允许论文被查阅和借 阅。本人授权华中科技大学可以将本学位论文的全部或部分内容编入有关数据库进 行检索，可以采用影印、缩印或扫描等复制手段保存和汇编本学位论文。 保密，在_年解密后适用本授权书。 本论文属于 不保密。 （请在以上方框内打“” ） 学位论文作者签名： 指导教师签名： 日期： 年 月 日 日期： 年 月 日 华 中 科 技 大 学 硕 士 学 位 论 文 1 1 绪论绪论 1.1 课题背景 随着计算机技术和通信技术的迅猛发展，计算机应用日趋广泛与深入。特别是 近些年来互联网技术的迅速发展，网络的开放性、共享性和开放程度不断扩大，通 过网络连接的用户和计算机迅速增加。因特网（Internet）已成为人们日常工作、学 习、娱乐中不可或缺的重要组成部分。但是由于 Internet 的无主管性、跨国界性、不 设防、缺少法律约束等特点，网络在给人们生活提供便利的同时，也产生了许多意 想不到的问题，计算机安全就是其中一个突出的问题。 入侵检测技术是继防火墙、信息加密等传统安全保护方法之后的新一代安全保 障技术。它通过对计算机网络或计算机系统中的若干关键点收集信息并对其进行分 析，从中发现网络或系统中是否有违反安全策略的行为和系统被攻击的迹象，并实 时报警。入侵检测系统不仅针对外来的入侵者，同时也针对内部的入侵行为。 入侵检测是一种动态的监控、预防或抵御系统入侵行为的安全机制，主要通过 监控网络、系统的状态和行为以及系统的使用情况来检测系统用户的越权使用以及 系统外部的入侵者利用系统的安全缺陷对系统进行入侵的企图。它是一种能自动识 别系统中的异常操作和未授权访问，检测各种网络攻击的技术，目前已经成为动态 安全工具的主要研究和开发方向1。 入侵检测系统的目的就是检测系统中未经授权的使用、滥用计算机资源的行为， 保护资源的完整性、机密性和可用性，它是一个自动的过程。 目前已有许多入侵检测系统被开发出来，但大部分采用基于知识工程的方法。 这使系统的灵活性和准确性不够，不能有效识别新型攻击。1998 年林肯实验室进行 的评估表明，入侵检测系统只能检测到 50%到 70%的攻击，发生误报的频率大约为 每天 1 至 10 次，虽然误报率是可以接受的，但这种状况还是可以进一步改善的。为 了克服入侵检测系统现存的诸多问题，网络安全领域的研究者也在努力寻找新的方 法和技术，以期取得突破性的进展。 传统的操作系统加固技术和防火墙隔离技术等都是静态安全防御技术，对网络 环境下日新月异的攻击手段缺乏主动的反应。与传统的安全机制相比，入侵检测是 一种事前处理方案，具有智能监控、实时探测、动态响应、易于配置等特点。由于 华 中 科 技 大 学 硕 士 学 位 论 文 2 入侵检测所需要的分析数据源仅是记录系统活动轨迹的审计数据，使其适用于所有 的计算机系统。入侵检测系统的应用，使得入侵攻击对系统发生危害前，检测到入 侵攻击，并利用报警和防护系统隔离入侵攻击；在入侵过程中，它能减少入侵攻击 所造成的损失；在被入侵后，它可以收集入侵攻击的相关信息，作为防范系统的知 识添入知识库，以增强系统的防范能力。 1.2 国内外研究现状 1.2.1 入侵检测系统的研究历史 在入侵检测系统出现之前，审计系统已经在计算机领域中被广泛应用了。20世纪 70年代，随着计算机日益广泛的应用，对计算机安全的需要也显著增加。 主机审计是指产生、记录并检查按照时间顺序排列的系统事件记录的过程。在 早期的中央主机集中的环境下，主机审计的主要目的是统计用户的上机时间，便于 进行计费管理。随着计算机的普及，审计的用途扩展到跟踪记录计算机系统的资源 使用情况，经过进一步的发展，主机审计开始应用于追踪调查计算机系统中用户的 不正当使用行为。此时的主机审计，已经逐步开始引入了安全审计的概念。 安全审计的主要需求来自于商业领域和军事、行政领域。军方的强大需求迅速 地推动了安全审计的发展。 在 20 世纪 70 年代，美国军方支持了一项内容广泛的关于计算机系统安全的研 究计划，最终的研究成果包括一项重要的计算机安全评估标准，即可信计算机系统 评估准则。它首次定义了计算机系统安全的等级评估标准，并给出了满足各个安全 等级的计算机系统所应满足的各方面的条件，并规定，C2 及以上安全等级的计算机 系统必须包含审计机制，并给出了满足要求的审计机制所应达到的诸多安全目标。 1980 年 James P. Anderson 在为美国空军做了一份题为计算机安全威胁监控与 监视的技术报告中首次提出了入侵检测的概念。他认为审计数据中含有对于跟踪 滥用和理解用户行为十分有价值的