基于人工神经网络的入侵检测系统的研究与实现

摘要

入侵检测是一种主动保护网络资源的安全防护技术，它是对“防火墙”、“数据加密”、“访问控制”等信息安全措施的有效补充，能够用于对计算机及网络资源上的恶意使用行为进行识别和响应。入侵检测系统不仅可以检测来自外部网络的入侵攻击，同时也能够监督内部网络用户的未授权行为。　　鉴于传统入侵检测技术存在的种种困难(如度量用户行为多是凭借感觉和经验、对攻击特征的刻画只能是某些固定的序列等)，本文提出了一种基于BP人工神经网络的实时入侵检测建模方案。文章首先剖析了Ipv4下的IP、TCP、UDP及ICMP协议数据包的首部构造，然后重点讨论了各种常见网络攻击的实施原理，最后利用实验室的局域网络环境，针对部分网络攻击，在Linux(内核版本2.4.20-8)下设计并实现了一个简单的、基于BP人工神经网络的实时网络入侵检测系统。　　该系统采用了专门为数据监听应用程序而设计的开发包——Libpcap(PacketCaptureLibrary)来实现网络数据采集，从而能够满足大流量网络及低丢包率等要求。利用其中的pcap_loopO函数，系统将捕获到的网络数据包输入回调函数，根据网络攻击的实施原理，在特定的时间窗口(该系统为2秒)内对相关连接的协议数据包的特征属性值进行统计，这些特征值组合起来便形成了进行后续处理所必须的网络输入事件，这使得输入数据的信息量更加完整。　　此外，本系统采用了滥用检测与异常检测相结合的混合检测技术。实时网络事件首先被输入到滥用检测神经网络，进行攻击类型判别，若结果为未知类型则将该实时事件送入异常检测神经网络，做进一步的异常判断，并对相应的结束进行响应处理。这样在实际的应用中，两种检测技术相互结合、优缺互补，共同提高系统的整体性能。　　最后，本论文利用已训练稳定的检测系统，进行了训练样本的回判、新样本的测试及实时入侵检测实验。结果显示，该系统不仅具有较高的检全率和较低的误警率，而且由于神经网络将入侵模式的识别过程转换为完全抽象的数值计算过程，系统的检测速度快、资源的占用率低，完全能够担当实时入侵检测的重任!

目录

文摘

英文文摘

第一章绪论

§1.1网络安全问题的产生

§1.2网络安全已成为信息时代人类的挑战

§1.3静态安全防御体系难以适应新的网络环境

§1.4 P2DR动态安全模型与入侵检测

§1.5论文的研究内容

§1.6论文所做的主要工作

§1.7论文的组织安排

§1.8本章小结

第二章入侵检测概述

§2.1入侵检测的必要性

§2.2安全概念

§2.3入侵及入侵检测

§2.4入侵检测研究历程

§2.5入侵检测分类

2.5.1根据检测数据源分类

2.5.2根据检测的分析技术分类

2.5.3其他的分类标准

§2.6入侵检测系统的性能指标

§2.7入侵检测标准化

2.7.1公共入侵检测框架

2.7.2 I DWG建议草案

§2.8本章小结

第三章多层前馈人工神经网络

§3.1人工神经网络概述

3.1.1人工神经网络简介

3.1.2人工神经元模型

3.1.3人工神经网络的拓扑结构

3.1.4人工神经网络的学习规则

3.1.5人工神经网络的计算特征

§3.2多层前馈神经网络及BP学习算法

3.2.1多层感知器

3.2.2BP学习算法及其改进

§3.3本章小结

第四章TCP/I P协议及常见网络攻击原理分析

§4.1 TCP/IP协议概述

§4.2 TCP/IP部分协议简介

4.2.1网际协议(IP)

4.2.2传输控制协议(TCP)

4.2.3用户数据报协议(UDP)

4.2.4因特网控制报文协议(ICMP)

§4.3常见网络攻击原理分析

4.3.1端口扫描

4.3.2拒绝服务攻击

4.3.3 IP碎片攻击

§4.4本章小结

第五章基于BP网络的实时入侵检测模型的设计与实现

§5.1在IDS中引入人工神经网络的原因

5.1.1传统入侵检测技术存在的困难

5.1.2人工神经网络在入侵检测中的应用优势

§5.2基于BP网络的实时入侵检测模型设计

§5.3网络数据采集

§5.4网络事件处理

§5.5神经网络的设计与训练

§5.6利用神经网络实时检测网络攻击

5.6.1滥用检测

5.6.2异常检测

5.6.3混合检测

§5.7攻击响应及日志记录

5.7.1响应技术

5.7.2检测系统的攻击响应及日志记录

§5.8本章小结

第六章实验测试及结果分析

§6.1训练样本的组织

§6.2网络的训练与测试

§6.3实时检测

§6.4本章小结

第七章结束语

致谢

攻读硕士学位期间发表的论文

参考文献

原创性声明及关于学位论文使用授权的声明