摘 要

互联网的使用在我们人类的日常生活中所占的比重越来越大，无论我们去做什么事情都绕不开互联网，因此互联网的安全也是越来越得到大家的重视，网络的安全问题也是被摆到了明面上，使我们绝对不能忽视。访问控制、防病毒、防火墙等是目前常见的的网络安全防护技术。入侵检测系统能够自主的去进行防护是一个网络安全的方向,也是对网络安全技术的一个新的补充。

入侵检测系统（IDS）它通过收集分析网络中的数据和其他信息以及计算机中一些关键的信息点，来检查网络系统中是否存在异常行为和攻击行为，目前入侵检测系统（IDS）的使用已经越来越普遍，然而检测率过低仍是入侵检测系统中一个亟待解决的问题，并且攻击方式的更新换代对入侵检测系统的要求更高了，不仅需要它自主防护还需要它能更灵活更智能的解决问题。而我们发现神经网络很适合应用到入侵检测系统中去，它具有并行计算、抗干扰能力强和自适应学习等特性，这些特性使它在入侵检测的应用中具有其他方法不能比拟的优势。

因此本论文在入侵检测系统中加入了BP神经网络技术，研究并去设计一个入侵检测系统的模型，该系统同时应该具有神经网络的优点，本论文给出一个基于BP神经网络的入侵检测的模型，并且阐述了该模型的原理设计，最后在MATLAB上进行仿真得出结论

关键字：入侵检测系统 网络安全 BP神经网络 KDD99数据

Abstract

The use of the Internet is becoming more and more important in the daily life of our human beings. No matter what we do, there is no Internet, so the security of the Internet is getting more and more attention. Network is also put on the surface, so that we can not ignore it. Access control, anti virus and firewall are common network security protection technologies. Intrusion detection system can protect itself. It is a direction of network security and a new complement to network security technology.

Intrusion detection system (IDS) checks whether there is abnormal behavior and attack in the network system by collecting and analyzing the data and other information in the network and some key information points in the computer. At present, the intrusion detection system (IDS) is becoming more and more common. However, the low detection rate is still an intrusion detection system. In the system, an urgent problem is solved, and the update of the attack mode is more demanding for the intrusion detection system. It not only needs its self-protection but also needs it to be more flexible and intelligent to solve the problem. We find that the neural network is very suitable for the application of intrusion detection system, which has the characteristics of parallel computing, strong anti-jamming ability and adaptive learning. These characteristics make it have the advantages that other methods can not compare in the application of intrusion detection.

Therefore, this paper adds BP neural network technology to intrusion detection system, designs a model of intrusion detection system. Extract the data from some well-known KDD99 datasets to train and test the neural network. Finally, the simulation results on MATLAB

Key words: intrusion detection system；network security；BP neural network；KDD99 dat

目 录

第1章 绪论 1

1.1、选题的背景与意义 1

1.2、常见的网络攻击与安全技术 1

1.3、入侵检测的研究现状与发展趋势 2

1.4、论文的主要内容与组织结构 3

第2章 入侵检测概述 4

2.1、IDS的基础 4

2.1.1、IDS的概念 4

2.1.2、IDS的功能 4

2.1.3、入侵检测的一般原理 4

2.2、IDS的模型和组成 4

2.2.1、DENNING模型 5

2.2.2、CDIF模型 5

2.2.3、IDS的组成 6

2.3、IDS的分类 6

2.3.1、检测数据源 7

2.3.2、数据分析技术 8

2.4、现有入侵检测系统存在的问题 8

第3章 人工神经网络在入侵检测中的应用 10

3.1、人工神经网络概述 10

3.1.1、人工神经网络的概念 10

3.1.2、人工神经网络的模型 10

3.2、多层前馈人工神经网络 12

3.2.1、三层前馈人工神经网络的结构 12

3.2.2、多层前馈人工神经网络的计算过程 14

3.3、BP算法 15

3.3.1、BP 算法基本思想 15

3.3.2、BP算法数学描述 15

3.3.3、BP算法的问题与改进 16

3.4、入侵检测中的神经网络应用 17

3.4.1、神经网络的补充 17

3.4.2、神经网络检测的长处 17

第4章BP神经网络的MATLAB实现 18

4.1、MATLAB工具箱建立入侵检测 18

4.2、BP神经网络的建立 18

4.3、BP神经网络常用函数 19

4.4、图形用户界面 20

第5章 实验及结果分析 24

5.1、实验前期的准备工作 24

5.2、实验具体代码与解析 24

5.3、本实验的结论与分析 29

结论 31

参考文献 32

致谢 33

第1章 绪论

1.1、选题的背景与意义

随着互联网的发展越来越迅速，信息时代正快速地向人们展现出它自己巨大的魅力，它在人类生活中所占据的比重也日益加深，可以说，人类在生活中无时无刻不在享受它带来的便利，但是在我们享受这些便利的同时也同样出现了各种各样的问题，那就是信息安全问题日益严峻，网络越来越不安全，各种网络安全问题层出不穷并且逐年都有上升的趋势。

黑客的攻击，软件自身缺陷，信息泄露等一系列问题都需要我们去解决，使用较多的网络安全技术有：防火墙技术、加密技术等^[1]，但是这些技术把主要的精力都放在了自身的防护上面，这使得可能会出现不必要的浪费，没有抓住主要矛盾等各种问题，因此为了解决这些问题，入侵检测系统应运而生。

入侵检测系统在动态安全模型中有着举足轻重的地位，它并联在计算机网络中，并且可以察觉到一些透过防火墙的攻击，但是它也有自己的缺点，那就是它不能进行实时检测，并且无法自己去进行响应和阻断，检测率低是入侵检测系统一直存在的问题,而攻击方式的更新对入侵检测系统的灵活性提出了高的要求^[2]。因此我们想到使用人工神经网络，神经网络具有并行计算,非线性的优点满足我们现在对防护技术的要求，并且人工神经网络表达了变量的非线性关系,它可以自主学习与更新。除此之外人工神经网络具有较好的抗干扰能力。也正是因为神经网络的这些特性使它能够在入侵检测的技术中使用^[3]。

本论文提出在BP神经网络的基础上设计入侵检测系统，最后在MATLAB上进行仿真得出结论。

1.2、常见的网络攻击与安全技术

网络攻击：（1）DNS域转换 ：DNS协议并不会对信息的更新进行身份认证，黑客可以针对这一点对它下手。如果只是需要保证一台主机正常运行，黑客只用进行一次域转换操作就能控住主机。（2）Finger服务：用命令来攻击一台finger服务器来获取系统的信息^[4]。它不进行身份验证，这使得黑客能通过自己一些简单的操作加入进去，除此之外它能让使用者自己主动靠近攻击；因为STMP对邮件发送的人的身份并不去核实查验，这使得黑客钻了空子，向客户伪造邮件称自己是与他们熟识的人，而在这一过程中，他会附上一个恶意的网站链接。（3）口令入侵：就是指黑客用非法的手段比如使用对方的账号等，然后取得了对方机子的控制权，之后在对其进行一系列攻击^[5]但是需要对这个合法用户的口令去破解；（4）恶意扫描：攻击者先对主机扫描,这是他的第一步它能够检查出主机存在多少问题,以及这些问题带来的有效信息,这是黑客进行攻击的基础。本来网络防护中扫描技术非常的常见是一种为之有效的技术,但是如果被黑客所利用,这种技术就会危害网络安全；（5）安全漏洞：这个是软件系统自身的问题，每个软件自身都会有自己的安全漏洞，不管是硬件或者是软件都会存在着自己的问题，这些漏洞毛病在使用者使用时并不会有任何问题，但是攻击者会利用这个漏洞，可以在未被授权的情况下攻击主机，并且如果想控制根目录也可以发送一串攻击的指令即可，从而可以使攻击者拥有对整个网络的绝对控制权。

安全技术：（1）虚拟网技术：这是一种主要基于局域网交换的技术，它是一种面向连接的技术，并且它的基础是传统的局域网技术。（2）病毒防护技术：病毒的传播常见的途径有软盘、磁带传播、电子邮件传播等，可以在代理服务器、SMTP服务器、网络服务器中安装病毒防护软件来检查病毒。（3）入侵检测技术：IDS它是一种新型的网络安全技术，它能够对新的未知攻击或者未授权的行为及时做出反应（4）安全扫描技术：它能对造成的影响进行预测,寻找会对系统造成危害的漏洞.主要扫描的是系统和网络这两个方面。

1.3、入侵检测的研究现状与发展趋势

研究现状：随着人类日益依赖Internet进行工作，无论是个人还是公司，无论是上班还是生活我们都离不开网络，因此网络的安全问题也同样引起了我们的重视。而入侵检测系统作为一种自主实时监测的防护技术也是越来越受重视^[6]，它是对防火墙的补充，IDS能够在攻击系统并对系统产生危害前，检测并利用自身的防御系统抵御攻击。并且尽量减少入侵的攻击给系统带来的损失。在外国，现在的情况是有几所大学在这方面的研究一直走在前面，如普渡大学、哥伦比亚大学等，他们的研究情况，也是现在世界在IDS的研究情况。目前比较有名的入侵检测产品有：NAI公司的CYBER COP  Monitor，我们国家也在不断追赶世界领先的脚步，研究出了曙光，它是我国国内唯一一款认证的主机入侵检测系统。除此之外还有联想的网御入侵检测系统^[7]。网御入侵检测系统采用分布式入侵检测系统的构架，综合使用异常检测、重点监视等入侵的检测技术，对网络通信情况进行完整分析，进行实时监测并可以随时提供保护，为网络让人放心的完全安全防御体系。

发展趋势：从被提出以来，有20多年了，我们不得不说IDS发展的越来越快，但是我们也不得不承认现在的发展与我们理想中的入侵检测系统之间还是有不小的差距^[8]，可以说入侵检测仍是一个比较年轻的发展领域，IDS在很多方面还是有所不足，比如说规模大小与发展速度，网络规模在不断的变大，采用了不同的技术与平台，最重要的是网络带宽在迅速的增长，IDS的处理速度却没有变快，也渐渐无法跟得上网络的流速，从而会遗漏数据^[9]。自学习性，入侵检测系统很多都无法发现新的攻击方式，一般会依靠人工的添加，因此更新会十分的缓慢。准确性，目前的入侵检测系统无法精准的去判断数据是否因为入侵造成的，因此会有很多错误的播报。而同时，一些高级的入侵行为能把入侵痕迹分散，这样子又会避开入侵检测的检查，这又产生了漏报。面对各种各样的问题，我们必须做到不断的发展新的技术又有联系现有的实际情况合技术。分布式IDS的出现是一个很好的方向，传统的入侵检测技术一般只会有单一的主机，还有简单的网络的框架^[10]，在这种情况下，显然无法适应规模较大的检测，不同的入侵检测系统之间也无法一起协同工作。还有与网络安全技术相互结合。结合防火墙技术、病毒防护技术等，一起协同共同构建网络安全的屏障。

1.4、论文的主要内容与组织结构

主要内容：网络的不断发展，传统的入侵检测系统受到了挑战，本论文从入侵检测技术的相关概念和发展入手，发现了现有的入侵检测系统的不足，然后又通过对神经网络的研究发现，神经网络的特点是它具备了高度的学习能力,并且能够以非常高的准确率识别出已知的攻击，我们发现神经网络的特点和能力，包括处理方法上都非常满足入侵检测系统的要求，因此本论文将人工神经网络应用于入侵检测系统中，介绍了BP神经网络，并且对BP算法进行了分析,提出了一个基于BP神经网络的入侵检测模型。组织结构：第1章绪论介绍背景意义，IDS研究现状与发展，以及常见的网络攻击方式与网络安全技术和本论文的主要内容和结构，第2章的入侵检测介绍了基本的入侵检测的概念，系统，功能以及它的具体内容和原理和一些不足，第3章介绍了ANN模型结构以及BP算法，第4章介绍了MATLAB的一些关于神经网络的知识，包括神经网络的MATLAB工具箱等，第五章是自己的实验数据，准备过程，自己做的BP神经网络的代码以及解释，还有对实验结果的分析。

第2章 入侵检测概述

2.1、IDS的基础

2.1.1、IDS的概念

IDS：它是对入侵行为的察觉。它的做法是在网络的关键点进行信息收集分析,判断网络系统是否违反了网络安全策略。IDS有着自己独自的特点，它的要求更高，必须能自主的完成检测分析得出有用结果。

2.1.2、IDS的功能

IDS的功能：（1）监视并且分析用户及系统活动；（2）分析系统中出现的异常行为；（3）识别已知的攻击；（4）操作系统日志管理^[11]。入侵检测系统的两大职责：实时监测和安全审计，实时监测顾名思义就是实时的进行检测，分析网络或系统中关键点的信息判断。

2.1.3、入侵检测的一般原理

入侵检测有三步：信息收集，信息分析，系统响应。

信息收集作用是收集内容，这些内容包括系统数据和用户的活动的状态等。总之要尽可能的在系统的各个关键节点去收集信息，扩大检索信息搜索的范围，信息分析的分析方法如下：模式匹配、统计分析和完整性分析。系统响应工作时叫做响应期。理论上来说，系统响应这一部分应该具有各种各样的功能。再进一步的说系统响应是分为主动响应被动响应这两种各类型，主动响应时IDS能阻止入侵，改变攻击进程。被动响应时，IDS会将查到的问题记录报告。

2.2、IDS的模型和组成

IDS不断地发展，在不同的发展时期入侵检测系统也有自己不同的模型代表。

2.2.1、DENNING模型

DENNING模型模型最早在1987年提出，它的提出对后面整个入侵检测的发展产生很大的影响，模型由主体、对象、审计记录、活动简档、异常记录、活动规则组成。它是一个抽象模型，与具体系统和输入并无关系^[12]。该模型其实是一个以基本规则为前提的模式匹配系统。该模型的缺点是它没有关于系统漏洞和攻击的知识,但是这些知识其实并不能忽视。下图是这个抽象模型的结构。

时钟

规则设计和更新

创建

审计记录 学习

抽取

更新 历史轮廓

活动轮廓

图2.1 DENNING模型抽象结构

2.2.2、CDIF模型

公共入侵检测框架（CIDF）是由DARPA提出的，它是解决不同入侵检测系统的操作性和共存问题,它努力的想创建一个对所有的IDS都适用的结构。它将IDS分为四个组件：事件产生器,事件分析器,响应单元和事件数据库。图2.2是CDIF功能结构。

事件数据库

事件GIDO

GIDO

反应GIDO

图2.2 CDIF的功能结构

CDIF中事件是需要进行分析的数据,它可以来自于很多的东西，比如说是是数据包,系统日志等得到的信息。第一部分的作用是将正在运行数据进行提取,并对数据进行过滤,向系统的其他部分提供此事件。第二部分是去分析得到的数据,产生分析结果,将授权操作和不正常访问区分,找出攻击行为。第三部分是对结果做出响应的组件,根据不同的入侵行为，会做出不同的处理,它可以对入侵行为只是简单的警告也可以作出改变属性的复杂响应。事件数据库是存放最后数据的地方。

2.2.3、IDS的组成