基于遗传算法入侵检测系统探究.docVIP

基于遗传算法入侵检测系统探究摘要：随着科技进步和计算机网络技术的飞速发展，网络“黑客”的攻击手段越来越先进，信息安全问题也越来越突出。本文讨论了应用自适应遗传算法到网络入侵检测系统，包括入侵检测系统、遗传算法的简单介绍和相关的检测技术，详细论述了遗传算法在入侵检测系统中应用的具体过程，特别是染色体的构造以及交叉和突变两类算子的应用。通过研究我们发现将遗传算法应用于入侵检测有着广阔的前景。 关键词：遗传算法 入侵检测系统 一、引言 入侵检测系统（IDS）就是对网络或操作系统上的可疑行为做出策略反应，及时切断资料入侵源、记录、并通过各种途径通知网络管理员，最大幅度地保障系统安全，是防火墙的合理补充，帮助系统对付网络攻击，扩展系统管理员的安全管理能力（包括安全审计、监视、进攻识别和响应），提高信息安全基础结构的完整性，被认为是防火墙之后的第二道安全闸门。遗传算法已经采用了不同的方法应用到入侵检测系统中，使其具有智能性，这些研究还处于研究阶段。有人使用不同的机器学习技术，如限定状态机器、决策树和遗传算法来为入侵检测系统产生人工智能规则。 二、遗传算法 遗传算法（GA）是自适应启发性的搜索算法，以自然界选择和基因的进化思想为先决条件。GA的基本概念是设计模拟自然界进化的过程，特别是由达尔文的适者生存原则。我们通常采用的遗传算法的工作流程的结构形式是Goldberg在天然气管道控制优化应用中首先提出的，一般称为规范遗传算法（Canonical GA，CGA）或者标准遗传算法（Standard GA，SGA）。规范遗传算法的基本流程图如下： 遗传算法所涉及到的五大要素：参数编码、初始群体的设定、适应度函数的设计、遗传操作的设计和控制参数的设定。 遗传算法的运行过程为一个典型的迭代过程，它必须完成的工作内容和基本步骤如下： 1）选择编码策略，把参数集合X和域转换为位串结构空间S； 2）定义适应度函数F(x); 3）确定遗传策略，包括选择群体大小n，选择、交叉、变异方法，以及确定交叉概率、变异概率等遗传参数； 4）随机初始化生成群体； 5）计算群体中个体位串解码后的适应值 F(x)； 6）按照遗传策略，运用选择、交叉和变异算子作用于群体，形成下一代群体； 7）判断群体性能是否满足某一目标，或者已完成预定迭代次数，不满足则返回 步骤 6），或者修改遗传策略再返回步骤 6）。 三、遗传算法在入侵检测系统中的应用 （一）概述 遗传算法可以用来产生入侵检测系统的规则，这些规则是根据已知的网络连接构成的数据库来自动产生的。产生的规则用来区分正常的网络连接和异常的网络连接。异常的网络连接就是指可能的入侵活动。存储在规则库中的规则一般是以下形式： if{condition} then{act} 这里的条件通常是指当前网络连接和IDS中的规则是否匹配，比如源IP地址、目的IP地址、端口号等等。动作通常是指安全策略定义的对异常的反应，比如给系统管理员报警、将可能的入侵存入日志等等。 应用遗产算法的最终目的就是产生只匹配异常连接的规则。这些规则在历史网络连接上测试，并且应用在过滤新的网络连接上检测可能的入侵攻击。 在本文中所述实现中，历史数据是一个预先分好类的数据库，由正常的网络连接和异常的网络连接组成。这些数据可由网络嗅探器搜集，比如Tcpdump或者Snort等。搜集到的数据由标准的聚类算法进行智能分类，这个分类的数据库用来在遗传算法的运行过程中给确定染色体的适应度提供依据。这样，通过遗传算法，一个小的随机产生的规则集就会生成一个大的包含很多规则的集合给IDS使用。这些规则就是遗传算法的足够好的解，这些规则可以用来过滤新的网络连接。 （二）编码方案 为了准确发现入侵，我们应该对一个特定网络连接的所有部分进行检查。但通常为了简单起见，我们仅考虑每一个连接的一些明显属性。对于一个网络连接（TCP/IP协议类型）我们通常考虑下表的域。 if { 一个网络连接有如下特征： 源IP地址d2.0f.**.**； 目标IP地址c0.a8.a*.**； 源端口号43226； 目标口号80； 持续时间482秒； 终止状态（连接由发起连接的人终止）11； 使用协议（TCP协议）2； 发送方发送了7341个字节； 接受方接受了37761个字节； } then { 终止该连接； } 可以将上面的例子转换为染色体编码的形式： 该染色体是一57维向量，共有57个基因，为了简单，我们用十六进制来表示IP地址。 这条规