基于神經網絡的艦載網絡入侵檢測方法研究

馬 曦，李 瑞，姚 晉

（1.中國艦船研究設計中心，湖北 武漢 430064；2.中國海軍裝備部 北京 100841）

信息系統在信息安全方面有著對保密性、完整性及可用性的基本要求。隨著網絡技術的發展，越來越多的系統遭到入侵攻擊的威脅。但實際上，建立絕對安全系統是不可能的，原因有：1）軟件中總是存在缺陷，設計和實現一個整體安全系統相當困難[1]；2）將已安裝的帶安全缺陷的系統轉換成安全系統需要相當長的時間；3）加密技術本身存在的一定問題；4）安全系統易受內部用戶濫用特權的攻擊；5）安全訪問控制等級和用戶的使用效率成反比；6）訪問控制和保護模型本身存在一定的問題[2]；7）在軟件工程中存在軟件測試不充足軟件生命周期縮短大型軟件復雜性等難解問題。

基于上述幾類問題的解決難度，一個實用的方法是建立比較容易實現的安全系統，同時按照一定的安全策略建立相應的安全輔助系統，IDS就是這樣一類系統。現在安全軟件的開發方式基本上就是按照這個思路進行的。就目前系統安全狀況而言，系統存在被攻擊的可能性。如果系統遭到攻擊，只要盡可能地檢測到，甚至是實時地檢測到，即可采取適當的處理措施應對。IDS一般不采取預防的措施以防止入侵事件的發生。入侵檢測作為安全技術其作用在于：1）識別入侵者；2）識別入侵行為；3）檢測和監視已成功的安全突破；4）為對抗入侵及時提供重要信息，阻止事件的發生和事態的擴大。因此，入侵檢測非常必要。

艦載信息系統由于更多的承擔指揮控制任務對于系統的保密性、完整性及可用性要求較一般信息系統要求要高，同時具備高實時性、高可靠性等約束條件，對入侵檢測系統提出了更高的要求。本文在艦載信息系統網絡中引入了分布式錄取集中處理的網絡入侵檢測系統，該系統基于人工神經網絡能夠對艦載信息系統網絡發生攻擊的模式進行機器學習對已知的攻擊類型識別能夠達到較高分辨率，并由于神經網絡的泛化特性，基于神經網絡的入侵檢測系統能對未知攻擊類型進行分辨[3]。最后，文章采用了美國國防部發布的KDD 99（DAPRA 98）數據集對入侵檢測方法進行了訓練和檢測。

1 艦載入侵檢測系統體系結構

網絡入侵檢測系統監控艦載信息系統網內部的流量，該系統應能夠實時地或接近于實時地分析數據包，以圖發現入侵，同時對系統正常運行無不良影響。網絡入侵檢測系統檢查網絡層、傳輸層（udp，ftp等）、應用層協議的活動。

入侵檢測系統在邏輯上可分為三大組件，包括傳感器、分析器、傳感器及用戶接口。其中，傳感器負責收集數據，并把這些數據傳送給分析器。分析器從多個分布式傳感器中接收輸入，并由這些輸入進行模式判斷是否當前網絡中存在入侵行為。用戶接口為最終的用戶提供圖像和聲光等信息為用戶提供網絡狀態標識和告警提醒。

由于艦載信息系統對入侵檢測系統性能有較高要求，艦載網絡入侵檢測系統的體系結構采取了分布式錄取集中處理的體系結構，見圖1。

圖1 艦載信息系統網絡入侵檢測系統的體系結構示意圖

傳感單元由分布式網絡錄取單元在各子網交換機匯聚口接入網絡錄取單元對網絡報文進行錄取并進行協議分析。傳感單元將處理成預定義格式的報文信息傳遞給實時數據庫進行排序、存儲、屬性查詢等操作后將數據作為輸入傳輸給人工神經網絡進行識別，并將識別結果結合錄取的報文信息傳給用戶單元用于顯示和歸檔處理，同時可以進行報表生成和聲光報警。其中，提高神經網絡方法的性能是提高整個入侵檢測系統性能的重要步驟。在本文中在艦載入侵檢測系統中引入基于屬性約簡的神經網絡入侵檢測方法，對一般的BP神經網絡方法進行了改進。

2 基于屬性約簡的神經網絡入侵檢測方法

本文在網絡入侵檢測系統中引入基于粗糙集屬性約簡[3]的BP神經網絡方法[4]。該方法首先使用粗糙集算法針對訓練樣本對屬性進行約簡，使用約簡后的數據對神經網絡進行訓練，完成訓練后使用訓練好的神經網絡對錄取數據約簡后的屬性項進行模式識別[5]。如圖2，輸入數據在經過粗糙集屬性約簡部件后其原有的數據項不能反應數據特性的數據屬性項將被約簡，而經過粗糙集約簡的數據將只具備約簡后的屬性項，并將作為 BP神經網絡的培訓數據進行培訓或作為訓練好的 BP神經網絡的輸入數據進行入侵模式識別。下面將分別對所選用的粗糙集和 BP神經網絡技術進行描述。

圖2 基于粗糙集屬性約簡的神經網絡入侵檢測方法

2.1 基于粗糙集的屬性約簡

粗糙集（Rougset，RS）理論是20世紀80年代由Pawlak提出的一種處理模糊性與不確定性的數學工具[6]。由于知識庫中的知識（屬性）往往不是同等重要，而且還存在著冗余，不利于做出正確且簡潔的決策，因此需要進行約簡。針對目前已有的基于粗糙集理論的屬性約簡算法計算復雜度高，不適用于規模數據約簡，本文采用基于可辨識矩陣的屬性約簡算法，將所有有關屬性區分信息都濃縮在一個矩陣中，通過該矩陣能方便的得到信息表的屬性核。定義可辨識矩陣：設S=（U，A）是一個信息系統，U為論域且U=｛x1，x2，...，xn｝，A是條件屬性集合，D是決策屬性，a（x）是記錄x在屬性a上的值。S的可辨識矩陣是一個∣U∣×∣U∣的對稱矩陣，矩陣的每一項定義為Cij為：

令M是決策表T的可辨識矩陣，A=｛a1，a2，…，an｝，是T中所有條件屬性的聚合。S是M中所有決策屬性組合的集合，且S中不包含重復項。另S中包含有s個屬性組合，每個屬性組合表示為Bi，即Bi∈S，Bj∈S，Bi ≠ Bj（i，j=1，2，…，s）。

矩陣中所有屬性組合數為1的屬性均為決策表的核屬性（可能為空）。令Redu是決策表T屬性約簡后得到的屬性集合，將核屬性列入屬性約簡后得到的屬性集合，并在可辨識矩陣中找出所有不包含核屬性的屬性組合S，先將屬性組合S表示為合取范式形式，即P=∧｛∨bik:（i=1，2，...，s;k=1，2，...，m）｝，然后將P轉化為析取范式形式。

根據需要選擇滿意的屬性組合。如需屬性數最少，可直接選擇合取式中屬性數最少的組合；如需規則最簡或數據約簡量最大，則需先進行屬性值約簡。

2.2 神經網絡分類器設計

本選取BP神經網絡作為神經網絡分類器[7]。BP網絡是一種多層前饋型神經網絡網絡，包括輸入層、隱含層和輸出層。同一層的網絡節點之間是互相不連接的，相鄰兩層之間的網絡節點互相連接，網絡的基本處理單元（輸入單元除外）為非線性輸入與輸出關系[8]。信息交換只發生在相鄰兩層之間，而同層或越層之間無任何信息交換。在使用的時候，信息從上一層傳遞到下一層，只影響下一層的結果輸出。在使用以前網絡要通過訓練改善自身性能，以便更好地適應應用環境，也為學習。BP神經網絡的具體設計見圖3。按照隱層節點選取的經驗公式選取隱層節點數目為8。選取前兩層的激勵函數為TANSIG函數，輸出層選取陡峭的LOGSIG函數以模擬硬限符函數的作用。

圖3 BP神經網絡的結構

3 試驗及分析

3.1 試驗環境及結果

本文在Pentium IV 3GHZ,1G ddr內存環境下采用MATLAB7.0結合ACCESS數據庫編制了本文中入侵檢測方法的原型程序，對基于粗糙集的神經網絡算法進行了驗證，并將其與傳統的BP神經網絡算法進行了對比。

訓練和測試數據采用美國麻省理工學院林肯實驗室提供的1999年從模擬網絡中搜集的網絡攻擊評估數據。這些數據提供了4類共41個特征量，分為5大類型，分別包括：DOS、R2L、U2R、probing、normal。從這5類數據中分別選取200組數據作為屬性約簡和神經網絡訓練數據。

采用粗糙集進行約簡后的屬性項（共13項）包括：service、src bytes、dst bytes、wrong fragment、hot、srv count、srv serror rate、rerror rate、diff srv rate、dst host srv count、dst host diff srv rate、dst host serror rate、dst host srv rerror rate。

分別使用未經約簡的數據集和約簡過的數據集對BP神經網絡進行訓練和測試，試驗結果與傳統BP神經網絡的比較結果見表1，使用屬性約簡后數據對BP神經網絡的訓練過程見圖4。

表1 試驗數據對比

圖4 試驗1與試驗2基于粗糙集屬性約簡的神經網絡入侵檢測方法的訓練過程試驗分析

3.2 試驗分析

由于使用粗糙集對入侵數據進行了約簡，使原具有41個特征項的輸入數據約簡至只具有13個屬性項的數據使需處理的數據量減少68.2%。由表1可以看出，由于數據量的減少用于入侵模式識別的BP神經網絡的培訓和測試時間減少85%-90%。并從圖4中可以發現，使用經過屬性約簡的數據對BP神經網絡的培訓的均方誤差在100個周期內均已達到較好值，可適用于入侵檢測模式識別，較未經數據屬性約簡的BP神經網絡方法提高了方法精度和性能。

4 結束語

本文提出一種基于人工神經網絡的艦載信息系統入侵檢測方法，設計了分布式錄取集中處理的入侵檢測系統體系結構。但是單純把神經網絡應用于入侵檢測系統中所處理數據維數較高并存在一定量冗余信息，使得網絡存在規模劇增、結構復雜、訓練時間較長、影響神經網絡精度、穩定性、泛化能力差等一系列問題。文中把基于粗糙集的屬性約簡應用于基于神經網絡入侵檢測中，考慮了數據本身屬性特點，壓縮并提取主要屬性，為BP網絡輸入量進行訓練識別。這樣處理代表特征的主要信息，大大地減小BP網絡的輸入矢量維數，提高了神經網絡的精度及其性能。

[1]Rao X,Dong C X,Yang S Q.Statistic learning and intrusion detection[C]9th International Conference on Rough Sets,Fuzzy Sets,Data Mining,and Granular Computing,2003,652-659.

[2]卿斯漢,蔣建春,馬恒太,等.入侵檢測技術研究綜述[J]通信學報,2004(7):19-29.

[3]Mukkamala S,Sung AH,Abraham A.Intrusion detection using an ensemble of intelligent paradigms.Journal of Network and Computer Applications,2005,28(2):167-182.

[4]Rao X,Dong C X,Yang S Q.Statistic learning and intrusion detection[C]9th International Conference on Rough Sets,Fuzzy Sets,Data Mining,and Granular Computing,2003,652-659.

[5]X Yan H Z,Hu C Z,Tan H M.Intelligent intrusion detection system model using roush neural network[J].Wuhan University Journal of Natural Sciences,2005:119-122.

[6]Pawlak Z.Rough Set-Theoretical Aspects of Reasoning About Data.Dorderecht,Kluwer Academic Publishers,1991.

[7]Chang R I,Lai L B,Su W D,ct a1.Intrusion detection by back-propagation neural networks with sample-query and attribute-query[J].International Journal of Computational Intelligence Research,2007,3(1):6-10.

[8]陳海,丁邦旭,王煒立.基于神經網絡LMBP算法的入侵檢測方法[J].計算機應用與軟件,2007:183-185.