神經(jīng)網(wǎng)絡(luò)與模式匹配相結(jié)合的入侵檢測(cè)系統(tǒng)的研究.pdf

1、隨著Internet的發(fā)展，網(wǎng)絡(luò)豐富的信息資源給用戶帶來(lái)許多方便，同時(shí)也帶來(lái)許多安全問(wèn)題。日益增加的網(wǎng)絡(luò)安全要求，不斷地推動(dòng)網(wǎng)絡(luò)安全技術(shù)的發(fā)展。入侵檢測(cè)技術(shù)是一種主動(dòng)的防御技術(shù)，通過(guò)對(duì)行為、安全日志、審計(jì)數(shù)據(jù)或者其他網(wǎng)絡(luò)上可以獲得的信息進(jìn)行操作，檢測(cè)到對(duì)系統(tǒng)的闖入或者闖入的企圖，并且對(duì)入侵行為采取相應(yīng)的措施。雖然這種技術(shù)有其不可替代的優(yōu)點(diǎn)，彌補(bǔ)了傳統(tǒng)安全技術(shù)的不足，在很多方面都對(duì)傳統(tǒng)的防火墻有很大的補(bǔ)充以及改善，但是固有的缺點(diǎn)卻制約其在

2、實(shí)際應(yīng)用中的效果。技術(shù)融合是提高入侵檢測(cè)系統(tǒng)性能的有效途徑之一，對(duì)入侵檢測(cè)技術(shù)的研究以及未來(lái)的發(fā)展具有重要的理論以及實(shí)用意義。
　　 本論文首先從入侵檢測(cè)的基本概念入手，分析現(xiàn)有常用的入侵檢測(cè)方法、入侵檢測(cè)系統(tǒng)的通用模型、入侵檢測(cè)的分類以及這些方法在解決問(wèn)題的同時(shí)發(fā)現(xiàn)它們存在的不足之處，使得IDS難以滿足實(shí)時(shí)性、適應(yīng)性、準(zhǔn)確性以及自學(xué)習(xí)能力等方面的需求。接著，本論文又分析了神經(jīng)網(wǎng)絡(luò)以及模式匹配技術(shù)各自的特點(diǎn)。神經(jīng)網(wǎng)絡(luò)適用于檢測(cè)具

3、有統(tǒng)計(jì)特性的入侵行為；然而模式匹配技術(shù)是通過(guò)在數(shù)據(jù)包中搜索特征字符串檢測(cè)入侵的。按照特征存在的方式，網(wǎng)絡(luò)入侵行為可以分為兩類。第一類入侵行為的特征主要體現(xiàn)在網(wǎng)絡(luò)連接的時(shí)間以及流量特性上；第二類入侵行為的特征隱藏在數(shù)據(jù)包的數(shù)據(jù)段中，主要是系統(tǒng)服務(wù)的操作命令，對(duì)應(yīng)的服務(wù)程序在執(zhí)行該命令時(shí)觸發(fā)入侵行為。這類入侵行為在網(wǎng)絡(luò)流量特性以及網(wǎng)絡(luò)連接狀態(tài)上與正常網(wǎng)絡(luò)行為是相似的，所以通過(guò)對(duì)流量以及連接狀態(tài)的統(tǒng)計(jì)分析是難以將兩者有效地區(qū)分開(kāi)的。
　

4、　 結(jié)合對(duì)入侵特征的分析，可以看出神經(jīng)網(wǎng)絡(luò)和模式匹配技術(shù)在功能上是互補(bǔ)的。所以，本論文構(gòu)造出一個(gè)神經(jīng)網(wǎng)絡(luò)與模式匹配技術(shù)相結(jié)合的入侵檢測(cè)系統(tǒng)模型。為了提高神經(jīng)網(wǎng)絡(luò)檢測(cè)模塊以及模式匹配檢測(cè)模塊的檢測(cè)能力，又分別在傳統(tǒng)BP算法、BM算法的基礎(chǔ)上進(jìn)行相應(yīng)的優(yōu)化，從而更加充分地體現(xiàn)出該入侵檢測(cè)系統(tǒng)的優(yōu)越性。并且結(jié)合應(yīng)用中的實(shí)際情況，設(shè)計(jì)出并列式以及包含式兩種系統(tǒng)工作模式，以滿足對(duì)檢測(cè)速度或者檢測(cè)精度的不同需求，增加該檢測(cè)系統(tǒng)的應(yīng)用靈活性。