英语原文共 16 页，剩余内容已隐藏，支付完成后下载完整资料

一种基于神经网络的入侵检测系统学习算法

Hassan I. Ahmed¹ bull; Nawal A. Elfeshawy¹ bull; S. F. Elzoghdy^2,4 bull; Hala S. El-sayed³ bull; Osama S. Faragallah^1,4

Springer Science Business Media, LLC 2017

摘要：近年来，人们引入入侵检测系统（IDS）来有效的保护网络。 使用神经网络和机器学习来检测和分类入侵是强大的替代解决方案。 在本研究论文中，基于动量（GDM）的反向传播（BP）的梯度下降和基于动量和自适应增益（GDM / AG）的BP算法的梯度下降被用于训练神经网络以像IDS一样进行入侵检测操作。 为了比较两种研究方案的效率，使用提出的深度学习算法来建立一个基于神经网络的IDS。 从收敛速度方面判断两种算法的效率，并且选择神经网络的合适参数来控制神经网络的学习时间。 结果表明，基于GDM / AG的BP学习算法优于基于GDM的BP学习算法。

关键词：入侵检测系统（IDS）；神经网络（NN）；反向传播（BP）

1 介绍

如今互联网广泛普及，计算机网络技术的改进增加了数字通信在人类生活活动中的重要性。 与此同时，黑客（入侵者）对网络性能的影响也随之而来。他们可能不经过授权就进行网络访问，他们可以通过访问，通过增加网络流量来操纵交换信息或拒绝网络服务。因此，针对不同类型的攻击，保护网络成为许多学者的主要研究问题。因此，过去引入了许多传统的安全技术，例如防病毒，间谍软件和认证机制等保护方式。这些传统的入侵检测系统不足以完全保护计算机系统来避免网络入侵。

入侵检测系统作为强大的安全技术被引入。入侵检测可以定义为分析系统和网络活动的过程，寻找讨厌和未经授权的过程[1-4]。 IDS的主要目的是在对系统和网络造成任何实际损害之前找到并抓住肇事者。最近，IDS成为任何信息保障系统的主要部分。 IDS的功能被视为对防火墙功能的补充。也就是说，防火墙的功能是保护数字信息交换和禁止入侵，而IDS的功能是检测网络是否受到攻击。 IDS还用于检测安全性强加的防火墙安全性是否被渗透[5,6]。因此，良好的安全系统应该同时具有防火墙和IDS，以提高网络安全性。尽管采用了预防技术，但仍应提供良好可靠的入侵系统，以防止我们的系统受到犯罪分子和网络攻击的攻击。这种入侵检测系统应该保护完整性，机密性和所有其他安全指标。

众所周知的IDS设计方法包括但不限于数据挖掘方法[4]，统计方法[3,4]，机器学习方法[4]，专家系统方法[4,7]，模式识别方法[4,8] ]和神经网络方法[5,9-12]。 这些方法代表了开发IDS的标准。

本文提出了两种神经网络学习算法来训练神经网络作为IDS。 这些算法是基于GDM的BP [52]和基于GDM / AG的BP [53]学习技术。 两种算法的性能在收敛速度方面进行了研究，以实现系统学习，并使用神经网络参数的各种设置进行学习时间。 结果表明，基于GDM / AG的BP学习方案在实现系统学习所需的收敛速度和CPU时间方面优于基于GDM的BP学习方案。

纸张休息的组织如下。 第2节介绍了IDS。 第3节介绍了入侵检测的相关工作。 第4节介绍了提议的IDS的特征。 第5节和第6节介绍了基于GDM的BP和基于GDM / AG的BP学习技术，以及它们如何应用于学习神经网络作为入侵检测系统来检测欺骗性IP攻击。 第7节介绍了基于GDM的BP和基于GDM / AG的BP学习算法之间的性能比较。 最后，结论在Sect。8。

2 IDS：分类，特征和任务

最近，各种类型的网络和计算机系统攻击正在爆炸式增加。因此，确保这些系统免受这些类型的攻击成为一个重要问题。入侵者试图绕过系统或网络安全技术，以破坏其机密性，完整性和可用性。这可能发生在攻击者通过互联网访问系统或网络，授权用户试图获得他/她未授权的更高权限，以及授权用户滥用他/她的权限时[4]。入侵检测是一种机制，可以观察计算机或网络中发生的所有活动，并分析它们寻找入侵的任何迹象[1,4-7,13-19]。 IDS的主要目标是保护网络，计算机资源及其内部滥用和外部攻击的信息。必须在抵达时立即分析数据。这种分析应该很快完成。在发现中，IDS必须及时警告系统管理员以防止进一步损坏系统资源和/或信息。 IDS不应该在系统或网络资源中造成任何实质性开销和/或瓶颈[4,18,19]。

IDS的分类

IDS可以根据其数据来源进行分类，并根据其检测方法进行分类。

2.1.1基于数据源的IDS分类

IDS可以根据数据源分为四类：基于应用的IDS（AIDS），基于主机的IDS（HIDS），基于网络的IDS（NIDS）和混合IDS。

2.1.1.1基于应用程序的入侵检测系统（艾滋病）艾滋病通过使用日志文件[18]检查应用程序的活动行为来工作。

2.1.1.2基于主机的入侵检测系统（HIDS）HIDS实现了一个软件包工具，用于检查主机日志文件，如进程记帐信息，用户行为，应用程序输出和活动事件日志[5,18]。 图1展示了HIDS的想象视图。

2.1.1.3基于网络的入侵检测系统（NIDS）NIDS在网络上实现，如图2所示。它通过监视和检查搜索入侵的所有网络流量来工作[13,18]。

2.1.1.4混合入侵检测系统一般来说，混合IDS将HIDS与NIDS结合起来，如图3所示。

2.1.2基于检测方法的IDS分类

IDS可以使用检测方案分为两类：误用和异常检测。

图1 HIDS想象的观点[19]

图2 NIDS想象的观点[19]

图3混合IDS想象的视图[50,51]

2.1.2.1误用检测在基于误用的IDS方法中，只能检测到先前已知的攻击类型。 这些系统收集有关以前成功攻击的知识。 这些知识既可以从之前对其他系统的正面攻击中获得，也可以从专家那里获得有关系统漏洞的信息，也可以从可以预测任何可能的系统攻击的任何其他信息来源获得。 计算机网络收集的信息以特定系统的语言重写，并作为一组规则/政策存储在IDS [18,20]中。 IDS使用此类规则/策略检查信息流是否存在任何攻击迹象。 也就是说它只搜索以前已知的入侵或漏洞签名[2]。

基于误用的IDS的动机是理论上具有低误报率。 警报的分析过程简化（通过一套书面规则和策略）系统管理任务，以便快速理解和做出反应。 基于误用的IDS有许多缺点，包括： 知识库应该经常更新，这会耗费时间，并引入开销; 几乎所有类型的攻击都取决于操作系统，应用程序和平台[18]。

2.1.2.2异常检测基于异常的IDS方法通过查找任何异常网络流量来发现入侵者[3]。 基于异常的IDS在一定时间内监视用户或系统的行为，并将其保存为用户或系统的正常行为。 因此，基于异常的IDS可替代地称为基于行为的系统[16,18,21-23]。

与基于误用的IDS相反，基于异常的IDS的动机是它们能够检测新的（系统未知）攻击，它们与操作系统特定信息的独立性以及训练简单性，因为它只训练了规则/策略。 用于检测未授权用户或网络数据包。

基于异常的IDS遭受产生高误报率，这被认为是其主要缺点之一。 此问题会对网络密钥性能指标产生负面影响，例如延迟时间，吞吐量和数据包丢失率。 它还参与增加网络管理员工作。 当IDS使用有限的网络信息时，会出现误报率高的问题，这些信息可能是由于改变了正常的网络行为而没有相应地更新IDS [4]。 此外，系统或用户的正常行为可能会随着时间的推移而发生变化，导致IDS在一段时间内不可用。 入侵者可能会在那段时间内攻击系统。 基于异常的IDS的一个更危险的缺点是，在用户或系统正常行为学习阶段，系统可能受到攻击[18]。

IDS的特征

为了简化IDS的评估过程，在[4]中提出了一个好的IDS的许多特征。 这些特征可归纳如下：

1.准确性如果IDS不通过将非侵入性活动视为侵入性而不发出任何虚假警报，则IDS是准确的。

2.Continuity IDS应该在没有任何人为干预或监督的情况下持续工作。

3.可靠性IDS应该是可靠的，能够在观察系统的后台工作，其功能应该从系统的前景可观察到。

4.Fault Tolerance如果系统损坏，IDS应该能够在重启时间内生存并恢复其知识库。

5.自我监控通过监控自身，IDS确保它没有被破坏，并且它还检测到任何与正常行为的偏差。

6.最小开销IDS引入的系统开销应该是最小的，不应该使系统变慢。

7.及时性IDS应该能够尽快做出反应分析并提醒系统管理员，让他/她有时间在攻击发生前做出反应。

8.Integrity Systems与使用的观点不同，即每个系统都有自己的使用模式，IDS应该很容易适应这些模式。

9.Dynamicity IDS应该能够自动处理系统的行为变化（由于添加和删除应用程序而导致的配置文件更改）。

10.性能IDS性能主要取决于其信息处理速率。该信息处理速率应该非常高（快），否则IDS可能是不可能的。

11.完整性IDS应该能够检测所有类型的攻击，这被称为系统的完整性。

2.3入侵检测系统任务

通常，IDS系统执行一些任务来识别入侵或分析入侵[9]。 这些任务总结如下：

1.重新格式化：此任务将收集的数据从IDS或IPS传感器重新格式化为某种格式，以用作系统输入。

2.分析：此任务将数据包与系统的知识或经验进行比较以接受它或将其标记为入侵事件。 然后分析下一个数据包。

3.Response：此任务在检测到入侵事件后立即发出警报。

4.Refinement：此任务使用有关先前使用的历史信息和检测到的入侵来改进IDS，从而提高IDS的准确性。

3 相关工作

入侵检测（ID）概念由Anderson等人介绍。他在1980年开发了一种基于异常的入侵检测框架，该框架利用系统监督监控来检测用户行为的异常。凯宁等人。 [25]提出了异常合作HIDS框架，以提供实时入侵检测，并在发生之前使用一系列异常检测系统调用来防止入侵。 Dutkevyach等。 [26]为实时系统引入了一种基于异常的入侵防御技术。它分析了多维流量和基于协议的攻击。另外，在[27]中，郑冰等人。提出了一种IDS，用于实时有效地检测入侵。春华等人[28]提出了一个IDS，它使用粗糙集来减少归因，SVM用于归类ID。夏等人。 [29]基于关键字符选择使用增量SVM呈现IDS。使用RST和SVM，Chen等。 [30]开发了IDS。首先，RST用于预处理数据和减少维度。然后由RST选择的内容被发送到SVM以进行学习和测试。赫巴等人。 [31]利用主成分分析（PCA）和SVM作为在提出有效IDS时选择最佳特征子集的方法。 Shingo等人。 [32]利用遗传网络编程通过新的类关联挖掘规则技术设计NIDS。 Rangadurai等。 [33]提出了一种自适应的两阶段NIDS。第一阶段使用概率分类器来识别可能的网络流量异常。第二阶段的功能是缩小可能的IP地址攻击范围。 Yogita等。 [34]，使用SVM引入了IDS。使用SVM减少了构建分类模型所需的时间。通过在SVM中利用高斯径向基函数（RBF）内核，所提出的IDS准确度增加。

基于先前成功的已知攻击来设计各种入侵攻击。韩等人。 [35]提出了先验签名算法来检测这种攻击。该算法在给定的攻击数据集中搜索并检测重复的子集（具有一些/所有原始攻击特征）。使用数据挖掘技术，Han等人。 [35]提出了一个NIDS。该系统为滥用检测创建签名数据库。但是，它耗费了创建签名数据库的时间，这被认为是其主要缺点。在[36]，郑冰等人。为Han等人创建了签名数据库时间消耗问题的解决方案。 [35]。该解决方案基于减少所需扫描数据库的数量，以有效地从先前已知的成功攻击中创建签名数据库。在生成签名数据库时进行的这种扫描减少解决了时间消耗问题，但是它增加了误报警的速率。在[37]中，雷等人。使用基于长度减少支持的apriori算法提出了ID，该算法减少了由Han等人和Zhengbing等人提出的短模式的产生。算法。如他们论文的结果部分所示，他们提出的技术比其他类似的基于apriori的技术更快。在[38]中，Ektefa等人。使用分类树和SVM等数据挖掘技术提出了IDS。他们的结果表明，使用KDD CUP 99数据集，C4.5算法比入侵检测和误报率的观点更好于SVM。 Nadiammai等。 [39]，提出了一种快速IDS，使用数据挖掘来有效地检测用户的相关和隐藏数据。所提出的算法有效地处理数据分类，人类交互，缺乏标记数据和分布式拒绝服务攻击问题。

Shyu等人。 [40]利用PCA和卡方分布为KDD1999数据集开发NIDS。 Ye等人。 [41]提出了一个基于卡方检验的异常IDS。 该IDS实现了100％的检测率。 Davis el al [42]提出了一种新的数据包检查开发，用于通过解析目标内容来构建更多相关功能。 Jin等人。 [43]利用顺序样本的协方差矩阵来检测多个网络攻击。 陈等人。 [44]提出了一种可以减少系统工作量的有效过滤技术。 卡萨斯等人。 [45]提出了一种无监督的NIDS，它可以在不使用任何类型的签名，标记的交通数据或训练的情况下检测未知的网络攻击。 Hari等人。 [46]使用卡方和高斯混合分布分析IDS。 他们的实验结果表明，对于卡方分布，PCA和高斯混合物分布的最大检测率约为97.5％，约为90％。

陈等人。 [47]利用粒子群优化算法（PSO）通过估计适应度函数，更新粒子速度和位置以及判断终止

剩余内容已隐藏，支付完成后下载完整资料

资料编号：[20749]，资料为PDF文档或Word文档，PDF文档可免费转换为Word