BP算法网络入侵检测技术应用.docVIP

BP算法网络入侵检测技术应用摘 要：近些年，网络安全越来越受到人们的关注，特别是网络入侵攻击事件不断的发生，对整个网络环境造成了很大的影响。文章首先介绍网络入侵检测的基本现状，接着阐述传统网络入侵检测的不足，提出了基于BP算法的网络入侵检测技术，最后通过应用证明了技术改进的有效性。 关键词：网络入侵检测；BP算法；入侵攻击 中图分类号：TP393.08 文献标识码：A 文章编号：1006-8937（2012）11-0083-02 随着计算机网络技术与网络通信产业的高速发展，信息技术和网络对当今社会的科教、经济、文化和电子商务等各个领域具有非常大的贡献。然而随着社会对计算机网络的依赖越来越大，出现了越来越多关于影响计算机网络安全的事件，目前有计算机杀毒软件、木马防御软件以及网络防火墙等软件，都起到一定的防御作用，但是在新的网络入侵攻击方式下，却常常无能为力。所以近些年来，计算机网络入侵检测技术越来越受到欢迎，它可以适应主动性攻击，有自主学习能力，能够更新入侵攻击规则库等功能。 网络入侵检测技术的应用，的确可以弥补防火墙、杀毒软件的缺陷，提高计算机网络安全的性能。但是传统的网络入侵检测技术存在一些问题，例如漏/误报率高、网络实时检测能力不高、检测的速率较低等问题。 如何解决以上提出的问题，就需要对传统的网络入侵检测技术进行改进，提高新的网络入侵检测方法。本文提出了基于BP神经网络算法的网络入侵检测技术，它是能够很好适应当前海量数据检测，较低入侵检测漏/误报率的方法。 1 传统入侵检测技术的模型与不足 1.１ 传统入侵检测的发展 20世纪70年代后，随着计算机网络技术的发展，计算机的大规模及超大规模集成电路的高速发展，计算机的性能变高体积变小，在社会上应用计算机的用户也越来越多，遍布全世界。传统的防火墙开始不能够满足计算机安全的新需求，于是入侵检测技术也登上了应用舞台。它的发展主要包括几个时期，分别是：早期研究、基于主机入侵检测系统研究、基于网络入侵检测系统研究和基于智能网络入侵检测系统研究。 早期研究主要是1983年，（Stanford Research Institue）用统计方法分析IBM大型机的 （System Management Facility）记录，这就是网络入侵检测的雏形。 基于主机的入侵检测系统出现在20世纪80年代初期，那时网络规模还比较小，而且网络之间也没有完全互连。在此网络环境下，检查可疑行为的审计记录相对比较容易，也比较简单，通过对攻击的事后分析就可以防止随后的攻击。 基于网络的入侵检测系统需要原始的网络数据源，它把服务器的网卡设为混杂模式，该服务器的主机能够实时接收和分析网络中数据包，进而能够检测是否存在入侵行为，基于网络的入侵检测系统需要随机模式下的网络适配器来实时检测并分析通过网络的所有的网络通信业务数据。 基于智能网络入侵检测系统研究主要包括，神经网络、数据挖掘技术、人工免疫、容错技术等不断渗透或融入到智能的入侵检测技术中，将网络入侵检测系统的发展提高到一个新的台阶。 1.2 传统入侵检测的过程 传统的入侵检测的过程可以分为三个阶段，网络数据收集阶段、数据分析处理阶段及检测响应阶段。 ①网络数据收集阶段。从入侵检测系统的信息源中收集网络数据，收集到的数据内容包括网络用户活动的行为和日志情况等。数据收集的网络数据范围广，入侵检测系统的检查范围也变得越大。一般情况下，基于网络的入侵检测的数据源，属于多源数据源，数据量较大，而基于主机的入侵检测系统的数据源属于单一，数据量比较小。 ②数据分析处理。入侵检测系统从信息源中收集到大量的网络包数据，每秒钟都有源源不断的网络包，从海量的网络数据中，通过定好规则库，把大量的属于正常的网络数据包给过滤掉，剩下的小部分疑似网络攻击的异常行为的数据信息。因此如何快速处理数据，是当今入侵检测技术需要解决的热点问题。 ③检测响应。当发现到网络包里面包含异常事件时，入侵检测系统就会及时对攻击情况作出类型判断，采取相应的响应来处理。常见的响应方式有：自动终止攻击、终止用户连接、记录事件的相关信息、向安全管理人员发出提示性电子邮件等。 1.3 传统入侵检测技术的特点 传统的通用入侵检测模型比较适合基于主机的入侵检测系统，对应基于网络的入侵检测系统来说，存在着许多问题： ①误/漏报率高。由于传统的入侵检测系统在处理网络数据包时，检测的方法比较传统，只能按照现有的规则来判断是否是异常事件，但是一遇到基于网络的入侵检测系统，检测海量数据包，就不是那么得心应手了，有限的时间，要处理好大量的数据，方法单一，使得最终检测出来的结果误/漏报率高。 ②网络实时检测能力不高。传统的入侵检测技术方法比较单一，没有比较