关于入侵检测中遗传算法研究.doc

关于入侵检测中遗传算法研究 　　摘 要 入侵检测系统（IDS）为网络安全提供有力的保障，是防火墙安全技术的补充，是一种主动式的网络安全保护技术。遗传算法（GA）是传统搜索方法的优化，在入侵检测系统中应用，可以有效的提高DIS的检测效率，降低检测错误率的发生，明显的提高IDS运行的效率。本文即对遗传算法在入侵检测中的应用进行分析和讨论。 关键词 入侵检测；遗传算法；网络安全；分析 中图分类号：TP393 文献标识码：A 文章编号：1671-7597（2013）15-0043-02 随着信息技术和网络技术的飞速发展，互联网在人们生活中普及，给人们的生活带来了极大的方便。随着人们网络安全意识的不断提高，一系列的网络安全保护技术应运而生，如：防火墙技术、安全路由器等。入侵检测系统（IDS）与其它网络安全设备不同，它是一种主动式的网络安全防护技术，为网络安全提供有力的保障。近年来，遗传算法（GA）被应用于入侵检测系统之中，受到了国内外的普遍关注，各国都开始了对遗传算法在入侵检测系统中应用的研究，也产生了多种计算方法。实验表明，遗传算法可以明显的提高入侵检测系统的检查效率，有效的减少检查错误率的发生，使IDS的运行得到优化。 1 入侵检测技术 入侵检测技术相当于网络安全的第二道防火墙，是防火墙的有力补充，对网络数据的传输实时进行监视，通过对数据的检测分析发现外来的网络入侵行为，及时发出入侵警报，或者采用主动的反应措施来地域入侵的行为。入侵检测系统的发展已经有二十余年，其使用的检查方式主要有两种：一种是异常检测，即预先对系统的静态形式和授权行为特征进行抽取，然后对静态形式下的错误改动以及未经授权的可疑行为进行动态的检测；另一种是误用检测，其也可以视为特征检测，将入侵活动假设成一种特征模式，检测系统通过检测系统活动是否与这些特征模式相符合来完成检测任务。 对于异常检测，细分下来有动态异常的检测和静态异常的检查两种。动态异常检测多针对于用户或者系统的行为动作，这是有一定难度存在的。通常来讲，动态异常检测采用的方法是建立在统计学的基础之上，其通过对用户使用的习惯进行学习和记忆，从而将不符合用户使用习惯的入侵行为检测出来。但是其也存在一定的弊端，比如入侵者可以利用它的学习记忆能力，有针对性的进行“学习”训练，逐步使得入侵行为成为“正常行为”，避开入侵检测后侵入系统中。静态异常检测是指先对系统静态部分的特征表示加以保留后再加以检测，在检查的过程中将系统的静态部分和事先保留的备份特征表示进行对比，如果有偏差存在，表现系统受到了网络入侵的攻击或者系统本身出了问题。静态异常检测常用散列函数、主要信息、校验和等方法来表示特征，相当于对系统是否保持完整的检查。误用检测的检查对象主要针对采用已知的攻击技术进行网络攻击的入侵情况。对已知的网络入侵方式可以描述为一个行为序列，如果一个行为序列完成，也就表示一次入侵的行为发生。 从入侵检测技术的应用和发展方向来看，如果有效的提高检测效率，有效的降低检测的错误发生率，优化入侵检测系统的运行效率，是入侵检测技术亟待解决的关键问题。 2 遗传算法 遗传算法是一种全局性概率搜索算法，建立在达尔文的进化论的基础之上，结合了遗传学理论，可以在多个领域中应用。遗传算法将问题的参数空间用编码空间取代，评价依据采用适应度函数，按照一定的概率ρ将编码位串进行重组以生成新的编码，不断的对个体进行优化，最终获得一个最优的解。传统的遗传算法通常是指霍兰德的遗传算法，其计算步骤基本如下：首先确定群体的规模N，已知交配概率ρc和变异概率ρm，生成一个初始群体，此初始群体由N个初始解组成。然后对各染色体x进行适应度的计算，得到适应度函数值F（x），如果此函数值结果满足停止准则，则表示此染色体的适应值最大，其可用视为最优解经过解码后输出。如果此函数值结果不满足停止准则，需要对群组中的各个染色体x进行概率ρ（x）的重新计算，接着参考计算得到的概率值随机选出N个染色体组成一个新的种群，参考交配概率ρc根据交叉算子进行交配获得子代，子代和没有进行交配的染色体共同组成一个新的群组。再参考变异概率ρm选出N个染色体并将它们根据变异算子进行变异替代原染色体形成新的种群，代数加一后重新计算新种群中染色体的适应度函数值，得到最优解解码后输出。 可参考图1了解遗传算法的具体流程。 3 遗传算法在入侵检测中的应用 3.1 基于遗传算法的入侵检测模型 在我国，最先在入侵检测中应用遗传算法是建立在模型推理入侵检测的基础之上的，在Internet/Intranet运行环境下，通过将某些类型的入侵行为制作为特定的模型，通过遗传算法进行计算检测。基于遗传算法的入侵检测模型如图2所示。 3.2 遗传算