基于人工智能算法入侵检测技术研究.docVIP

基于人工智能算法入侵检测技术研究 　　摘 要：随着网络信息化的快速发展，网络系统所受到的威胁越来越多，网络安全问题日益严重，静态网络安全防御技术对于新型的网络攻击所起的作用非常小，为了有效保护网络的安全，必须采用入侵检测等主动型网络安全防御技术。本文介绍了入侵检测技术的分类以及基于神经网络和遗传算法的入侵检测技术。 　　关键词：入侵检测；神经网络；遗传算法 　　中图分类号：TP393 文献标识码：A 文章编号：1674-7712 （2013） 22-0000-01 　　入侵是指未经授权的试图绕过计算机或网络的安全机制进行非法数据访问或者篡改数据等危害网络资源保密性、完整性或可用性的行为。入侵检测是一种主动的网络安全防御技术，有效弥补了静态安全防御技术的不足，能够对网络系统提供全面保护。因此，对于入侵检测技术的研究是很有必要的，而智能化的入侵检测技术是其中一个研究重点。 　　一、入侵检测技术分类 　　（一）按数据来源分类 　　1.基于主机的入侵检测。基于主机的入侵检测通常以主机系统事件和日志文件作为主要数据来源加以分析，对攻击事件进行分析、自动检测审计记录来发现攻击，选择适当方法来抵御攻击。基于主机的入侵检测系统保护的目标仅仅是运行该系统的主机，对于网络环境下发生的大规模攻击行为通常做不出及时反应。 　　2.基于网络的入侵检测。基于网络的入侵检测使用网络中传输的数据包作为主要数据来源，通过统计分析、模式匹配等手段判断是否发生攻击行为，能够实时监控网络中的数据流量，在攻击发生时就能将其检测出来，并做出快速响应。 　　（二）按检测方法分类 　　1.异常入侵检测。异常入侵检测是一种基于行为的检测，根据目标系统的正常行为模式创建状态模型不断更新，将用户行为的各参数与模型中的特征值相比较，若两者相差较大则视为入侵行为。在检测过程中，有些正常用户行为仅仅是因为改变了以往的行为习惯而产生了新的行为，这些行为与状态模型库中的值偏差较大，但并不是真正的入侵，会有误报情况出现，误报率较高是异常入侵检测不可避免的问题。 　　2.误用入侵检测。误用入侵检测??一种基于知识的检测，将已知的攻击方法进行归纳分析创建入侵行为模式状态模型库，将实际用户行为数据与模型中的特征值进行特征匹配或规则匹配，若发现满足条件的匹配则视为入侵行为。但它检测范围很有限，只能检测出预先定义好的已知入侵行为，对未知入侵行为不能做出正确的响应，所以不断更新入侵行为模式库才能保证检测的完整性。 　　（三）按响应方式分类 　　1.主动入侵检测。主动入侵检测是在检测出入侵行为后主动对其进行响应处理，采用的响应方式有自动修复目标系统漏洞、强制关闭相关服务端口或者对有可疑行为的用户强制其退出系统登录等。 　　2.被动入侵检测。被动入侵检测是在检测出入侵行为后只产生报警信息而不主动进行响应处理，系统安全管理员收到报警信息辨别入侵行为，进而对入侵行为进行处理。 　　（四）按体系结构分类 　　1.集中式入侵检测。集中式入侵检测将系统的各个模块都集中在一台主机上，包括收集数据、分析数据及响应处理，它适用于网络环境比较简单的情况。 　　2.分布式入侵检测。分布式入侵检测将系统的各个模块分布到网络上不同的计算机设备中，通过收集合并多个主机的审计数据作为主要数据来源，对这些数据进行分布式监听、集中式分析，并通过检查网络的通信，可以检测出由多个主机共同发起的协同攻击行为，它适用于网络环境比较复杂的情况。 　　二、智能化入侵检测技术 　　（一）神经网络 　　神经网络是基于模仿人脑结构和功能而形成的一种智能化信息处理技术，它具备自适应、自学习的能力，可以发展知识，适合处理背景知识不确定、背景信息很复杂的问题。它的学习方式有两种：一是有监督的学习，利用给定的样本标准进行分类或模仿学习；二是无监督的学习，不给定学习样本，只规定学习方式或某些规则，根据系统所处的环境产生不同的学习内容，自动发现环境特征和规律性，此时具有更接近人脑的功能。正是由于神经网络的自我学习能力使其在入侵检测领域得到了很好的应用。 　　（二）遗传算法 　　遗传算法是基于自然选择和遗传机理的自适应全局优化概率搜索算法，该算法通过使用计算机模拟生物遗传和进化过程的方法使得系统具有自学习和优化能力并且适应能力强等特征，它是现代有关智能计算方面的关键技术。遗传算法的优点主要有：对数据对象的个体编码进行运算，有效地使用遗传算子解决非数值个体的优化问题；每一代群体中有多个个体，每一次迭代都是对数据集合中的多个个体进行搜索，所以搜索效率较高；它是一种自适应概率搜索技术，以一定的概率确定是否执行各种遗传操作，所以搜索更灵活。 　　（三）遗传算法结合神经网络的入侵检测技术 　　神经网络技术在智能控制、模式识别、信号