1 绪论
1.1 论文研究背景
根据国家互联网应急中心(National Internet Emergency Center,简称 CNCERT 或CNCERT/CC),在 2019 年 1 至 12 月发布的《CNCERT 互联网威胁报告》中显示,自今年 1 月到今年 12 月,篡改的网站数量从 1 千多起上涨到最高将近 10 万起,感染网络病毒的终端数量也从 61 万上涨到约 175 万。下图 1.1 和 1.2 是篡改网站数量和感染网络病毒终端数量 1 月至 12 月的变化图:
........................
1.2 研究目的和意义
近年来网络攻击愈演愈烈,如何能在攻击发生之前做好防范工作就成为能够有效防御网络攻击的重要途径,入侵检测技术作为防火墙的有效补充能够更好地保护网络免受攻击,这样一来入侵检测的检测准确性就是变得极为重要了,传统的入侵检测技术主要是将已经存在的网络攻击进行特征提取形成特征库,当网络发生异常时将该异常特征与特征库中的特征进行比对,若相同就判定为发生攻击,否则就判定为未发生攻击。但是这样进行匹配的入侵检测方法具有很强的局限性,特征库必须要进行时时更新才能保证检测的准确性,这就降低了入侵检测的效率和准确率。所以,如何将新出现的攻击类型及时并且有效的检测出来就成为现代入侵检测技术的重中之重了。
人工神经网络技术是一种模拟人脑神经元活动的技术,它具有很强的泛化能力和自适应性,并且近年来很多人都将其应用到入侵检测中都取得了很好地成果,本文在基于前人的基础上通过混合灰狼优化算法优化 BP 神经网络权值初始值的范围,减少迭代次数提高入侵检测的效率,然后又将该算法应用于 RBF 神经网络的参数选取中,最后将优化好的 RBF 神经网络应用到入侵检测中,经过实验证明检测准确率得到了有效的提高。
提高入侵检测的准确率,是保护网络免受攻击的重要手段,能够避免网络攻击带来的危害。尤其是如今在线支付、网上购物等已经成为人们的日常生活,保护网络免受攻击更能够保护人们的财产免受侵害,个人隐私不被泄露。
.......................
2 相关技术和原理
2.1 入侵检测系统概述
入侵检测系统(Intrusion Detection System,简称 IDS),随着物联网时代的到来,大量数据的产生,网络技术不断推陈出新,为了保证信息安全避免发生网络入侵,入侵检测系统作为信息安全防护的第二道防线就变得极为重要。入侵检测系统是一种主动防护技术,它利用算法或者策略对网络内部或者外部数据进行自主分析,检查是否有违反安全策略的行为或者被攻击的迹象,若发现网络异常行为则进行异常的处理。
网络攻击类型繁多,比如浏览器攻击、拒绝服务供击、蠕虫病毒等等,基于这些攻击类型十分繁杂的特点,其应对策略也各有不同,于是提出了一种通用入侵检测系统框架(Common Intrusion Detection Framework,简称 CIDF)。
2.1 入侵检测系统概述
入侵检测系统(Intrusion Detection System,简称 IDS),随着物联网时代的到来,大量数据的产生,网络技术不断推陈出新,为了保证信息安全避免发生网络入侵,入侵检测系统作为信息安全防护的第二道防线就变得极为重要。入侵检测系统是一种主动防护技术,它利用算法或者策略对网络内部或者外部数据进行自主分析,检查是否有违反安全策略的行为或者被攻击的迹象,若发现网络异常行为则进行异常的处理。
网络攻击类型繁多,比如浏览器攻击、拒绝服务供击、蠕虫病毒等等,基于这些攻击类型十分繁杂的特点,其应对策略也各有不同,于是提出了一种通用入侵检测系统框架(Common Intrusion Detection Framework,简称 CIDF)。
入侵检测系统通用框架模型如图 2.1 所示:
CIDF 由以下四个组件组成:
(1)事件产生器(Event Generators)
事件产生器能够从整个的计算机系统中得到各个网络节点的信息,包括日志、资源使用情况、流量情况等。
(1)事件产生器(Event Generators)
事件产生器能够从整个的计算机系统中得到各个网络节点的信息,包括日志、资源使用情况、流量情况等。
(2)事件分析器(Event Analyzers)
事件分析器能够将从事件产生器获得的信息进行分析,判断是否发生网络攻击。
事件分析器能够将从事件产生器获得的信息进行分析,判断是否发生网络攻击。
(3)响应单元(Response Units)
响应单元需要对事件分析器的判断结果进行相应的处理,比如断开连接或者取消权限等。
(4)事件数据库(Event DataBases)
事件数据库能够保存中间结果或者最终结果。
.............................
响应单元需要对事件分析器的判断结果进行相应的处理,比如断开连接或者取消权限等。
(4)事件数据库(Event DataBases)
事件数据库能够保存中间结果或者最终结果。
.............................
2.2 入侵检测系统分类
入侵检测系统的分类方法有很多,可以根据响应方式的不同划分为主动型的入侵检测和被动型的入侵检测;还可以依据入侵检测系统的体系结构的不同划分为分布式的入侵检测系统和非分布式入侵检测系统;还能够依据检测机制的不同分为误用检测和异常检测;最为常见的分类标准是根据入侵检测的数据来源的不同分为基于主机的入侵检测和基于网络的入侵检测。
2.2.1 基于主机的入侵检测系统
基于主机的入侵检测系统(Host - based Intrusion Detection System, 简称 HIDS),它主要是对于计算机的日志文件、网络记录、内存和 CPU 的使用情况进行分析,这种分析一般是将新纪录与攻击标记的记录进行匹配,如果匹配成功,那么立刻发出报警并进行相应的处理。基于主机的入侵检测系统一般通过轮询的方式对计算机的关键系统文件进行检测,很多的入侵检测产品都会对端口活动进行监控,一旦特定的端口被访问就会向管理员发出报警。
优点:当计算机数量较少时,基于主机的入侵检测系统检测速度快性价比高,并且误报率低。
缺点:该入侵检测系统在主机较多时不能全部安装,只能从中选择部分主机安装,这样被网络攻击的风险变高。另外,基于主机的入侵检测系统,必须依靠服务器日志等文件才能进行分析,如果服务器没有日志功能,该检测系统就不能工作,最后基于主机的入侵检测系统,监测范围有限,只检测所在主机的情况。
..........................
入侵检测系统的分类方法有很多,可以根据响应方式的不同划分为主动型的入侵检测和被动型的入侵检测;还可以依据入侵检测系统的体系结构的不同划分为分布式的入侵检测系统和非分布式入侵检测系统;还能够依据检测机制的不同分为误用检测和异常检测;最为常见的分类标准是根据入侵检测的数据来源的不同分为基于主机的入侵检测和基于网络的入侵检测。
2.2.1 基于主机的入侵检测系统
基于主机的入侵检测系统(Host - based Intrusion Detection System, 简称 HIDS),它主要是对于计算机的日志文件、网络记录、内存和 CPU 的使用情况进行分析,这种分析一般是将新纪录与攻击标记的记录进行匹配,如果匹配成功,那么立刻发出报警并进行相应的处理。基于主机的入侵检测系统一般通过轮询的方式对计算机的关键系统文件进行检测,很多的入侵检测产品都会对端口活动进行监控,一旦特定的端口被访问就会向管理员发出报警。
优点:当计算机数量较少时,基于主机的入侵检测系统检测速度快性价比高,并且误报率低。
缺点:该入侵检测系统在主机较多时不能全部安装,只能从中选择部分主机安装,这样被网络攻击的风险变高。另外,基于主机的入侵检测系统,必须依靠服务器日志等文件才能进行分析,如果服务器没有日志功能,该检测系统就不能工作,最后基于主机的入侵检测系统,监测范围有限,只检测所在主机的情况。
..........................
3 改进 BP 神经网络模型构建 ....................................... 24
3.1 HGWO-BP 神经网络的设计 ............... 24
4 HGWO-RBF 神经网络模型 .................................. 38
4.1 RBF 神经网络的设计 .............................. 38
4.1.1 径向基函数的选取 ................................ 38
4.1.2 参数的选择 .......................... 39
5 总结与展望 ..................................... 47
5.1 总结 ................................... 47
5.2 展望 ............................ 48
4 HGWO-RBF 神经网络模型
4.1 RBF 神经网络的设计
根据 2.3.2 节的 RBF 神经网络的介绍,我们已经知道该神经网络有输入层、隐含层和输出层三层结构,将 HGWO 应用到神经网络中,对 RBF 神经网络的权值和中心值进行优化。
在构建径向基神经网络模型中,除去核函数的选取还有三个参数的选取也很重要,它们分别是径向基宽度σ、权值 w 和中心值 c,这些参数的选取至关重要,它们对神经网络模型的效率和最终的准确率会产生很大影响。
基于 4.1 节中的 RBF 神经网络的构建,发现该神经网络存在参数难以确定,应用到入侵检测中出现误报率和漏报率高并且自适应学习能力低的特点,于是在本文中将HGWO 应用到该神经网络中提高检测准确率和自适应性。
HGWO 算法在第二章中的 2.4 节已经进行了介绍,HGWO 算法的主要作用是根据父代灰狼种群、子代灰狼种群和变异灰狼种群狩猎的过程,这一过程可以看作是数学模型中的寻优过程,结果即为最优解。
将 HGWO 智能种群算法用于 RBF 神经网络权值和中心值的参数调整,提高 RBF的检测准确率,降低误报率和漏报率。
HGWO 算法在第二章中的 2.4 节已经进行了介绍,HGWO 算法的主要作用是根据父代灰狼种群、子代灰狼种群和变异灰狼种群狩猎的过程,这一过程可以看作是数学模型中的寻优过程,结果即为最优解。
将 HGWO 智能种群算法用于 RBF 神经网络权值和中心值的参数调整,提高 RBF的检测准确率,降低误报率和漏报率。
HGWO-RBF 算法流程图如图 4.1 所示:
...........................
...........................
5.1 总结
互联网时代不断向前发展,我国已经成为互联网大国,互联网的普及率已经达到六成,全国拥有 8.54 亿互联网用户,伴随着这样大规模的互联网使用群体,网络安全问题日益凸显,无论是网页篡改、木马病毒、DDOS 攻击、垃圾邮件和短信等充斥在我们的周围。为了有效预防和处理网络攻击发生,入侵检测技术已经成为近年来保护网络安全的最重要手段之一。
基于这样的背景下本文主要是对入侵检测算法的研究,针对入侵检测检测准确率低、自适应性差、误报率和漏报率高的缺点,使用改进后的人工神经网络模型 RBF 神经网络模型和 BP 神经网络模型应用于入侵检测中。
针对人工神经网络中的 RBF 神经网络权值和中心值难以确定的问题,使用混合灰狼优化算法进行参数的选取,构成 HGWO-RBF 入侵检测模型。在 BP 神经网络中权值和阈值的调整导致 BP 神经网络易陷入局部最优,使用 HGWO 调整阈值和权值的初始值,减小 BP 神经网络陷入局部最优的可能,缩小权值和阈值的调整范围。混合灰狼优化算法是将差分进化算法应用的灰狼优化算法的种群更新中,经过实验证明混合灰狼优化算法无论是在全局寻优还是局部寻优都有很好的表现。所以使用混合灰狼优化算法进行参数的选择。
进行入侵检测实验数据选择,KDDcup99 数据集是已经公开的并且大量应用于入侵检测实验的数据集,该数据集总共有 500 万条数据,本实验选取该数据集的两个数量为百分之十的子数据集的数据进行入侵检测,并且根据该数据集的数据特点,对所有的数据进行降维、数值化、归一化处理得到最终的实验数据集。
参考文献(略)