基于神经网络的入侵检测

陈佳威

（湖南科技学院 电子与信息工程学院，湖南 永州 425199）

基于神经网络的入侵检测

陈佳威

（湖南科技学院 电子与信息工程学院，湖南 永州 425199）

文章在分析BP神经网络基础上，提出了一个入侵检测模型。该模型能进行基本的入侵检测。最后测试结果表明，按照本实验设计的入侵检测模型实现了检测，达到设计的要求。

入侵检测；神经网络；BP算法

1 入侵检测的意义和目标

常用的入侵检测方法：误用检测和异常检测。而上述检测方法存在很多的不足，比如自学习能力，特别是在入侵检测中，需要达到很高的准确性，而且要求实时程度比较高，现有的这些方法不能很好地解决这些问题。所以，研究实现基于BP神经网络的入侵检测具有非常重要的现实意义。

2 国内外研究现状

入侵检测是我们数据安全和网络安全的有力保障，各个国家的该领域专家都进行了大量的学习和研究。当然国外一直走在最前列，他们有比较成熟的代表模型，国内的思科在这方面做得很优秀。比如有国内的NetRanger，NetRanger是思科开发的产品，还有RealSecure，RealSecure是ISS公司开发的成熟产品。还有一些开放源码网络入侵检测系统，这种开放源代码可以帮助人们更好地进行学习沟通和交流。自治代理入侵检测系统、基于图形的入侵检测系统等等都具有非常重要的学习和研究意义，本次实验借鉴了上述入侵检测成熟产品进行。

除了上述的成熟产品，还有领域专家进行的科学实验研究，也取得了很大的发展，在入侵检测领域，具有很长远的发展空间。也是这次进行学习和实验，并设计实现的依据所在。当然，不断发展的网络技术和计算机技术，要求提出的模型可以满足很多领域的要求，但是总的来说，入侵检测的发展大概有以下5个基本方向，本文选择了其中一个点进行研究和实验，是具有现实意义的。

2.1 入侵检测的主要方向比较多

但目前来说，主要还是专注在智能化检测方法的研究和实现方面。现实网络环境中，出现的各种入侵方式和原理多样，要抵御这种攻击，必须作出更多和更加高质量的模型。比如加入神经网路、BP算法、智能模型或者向量机等各种技术和方法，就能很好地帮助抵制各种入侵，从而进行入侵检测。

2.2 入侵检测还有一些比较前沿的研究领地

如在入侵检测中，他们的数据分析关联性问题，以及给用户发出的警告信息是否可以合并或者说组合成一些比较完善的模型，帮助展开用户的个性化分析，以及入侵方式方法的分析。从而帮助抵制外界的入侵，达到精准抵御和防止入侵发生的目的，这是本次实验需要解决的关键问题。提高入侵检测效率势在必行，也具有非常重要的研究价值。

2.3 入侵检测的体系结构多种多样，其中最主要的是分布式的入侵检测

这种检测方式，最主要研究的重要方法和原理包括：在网络连接中的协议如何，对数据如何进行总结和处理，处理的技术如何，数据传递的基本标准能否帮助实验进行入侵检测。

2.4 入侵检测新的研究方向是入侵容忍度

在有入侵的情况下，网络环境，本机系统，本身自带的防火墙，对各种入侵的忍受程度如何。如果入侵，但并不能窃取数据信息，或者对本机的信息破坏或者盗取的程度不大，那么入侵容忍度是可以接受的。这个方面的研究也具有非常重要的研究意义。

2.5 入侵检测最重要的是性能的测评

各个国家的专家，都在做同一件事情，因为入侵检测的时效性很高，需要及时进行反映和回馈。从这个角度上分析，检测的性能必然是很关键的一个环节，也是进行实验的一个重要方向。

3 算法的技术路线

本实验基于一个理想模型，首先从网络中捕获一定数量的TCP数据包（假设这些数据包为非入侵包），并用这些数据包训练神经网络，训练完成后，神经网络形成了非入侵数据包的行为轮廓，然后利用所得的神经网络权重矩阵和阈值矩阵进行入侵检测。检测时因为已经形成了正常数据包的权重矩阵和阈值矩阵，所以对于正常数据包其检测速度和误差均满足实验要求，而对于入侵包，因为没有其相应的权重矩阵和阈值矩阵，故对其进行检测时误差较大，不满足题目要求，从而判断出其属异常包。

本实验建立的基于神经网络的入侵检测模型，具体实现时建立如下模块。

（1）数据包捕获模块。用于从网络捕获数据包，本实验为实现方便，只对TCP数据包进行捕获和检测。

（2）数据分析模块。从捕获模块获得数据包，分析数据包，产生神经网络的输入字段。

（3）训练模块。用于对神经网络进行训练，本实验在训练时输入正常数据包，使神经网络形成对正常数据包的行为轮廓和阈值矩阵。

（4）测试模块。用于数据包的测试，输出测试结果。

4 实验数据及结果

实验的运行环境为：Pentiu m（R）Dual-Core CPU T4200 2.0 GHz，内存为2 GB。另外还配置JDK，Winpcap，Jpcap环境，用Java语言实现了BP神经网络算法，并进行了入侵的检测。在具体检测时，定义一个训练组数，本实验共进行了3组训练的测试，每一训练组中包含一定数目的数据包（TCP数据包），在规定的允许误差，学习率的情况下，实际输出满足实验要求。神经网络经过训练后形成了对正常数据包的行为轮廓，记录了相应的权重矩阵和阈值矩阵，可将其用于入侵的检测。在本实验中通过发送特定的异常包（TCP数据包，其源IP地址和目的IP地址相同），该模型可检测出其状态。如表2所示，表2中共有10个数据包，前面9个数据包属正常的数据包，其相应的检测状态为正常，而第10个数据包，其源IP地址和目的IP地址相同，属异常数据包，其相应的检测状态为异常。

表1 检测结果

5 结语

本实验实现了BP神经网络算法，并将其用于简单的入侵检测模型。在实验过程中，数据的处理难度较大，要实现BP神经网络模型有很大发展空间，还需要不断潜心研究和进行试验。

（1）训练对于本次试验来说非常重要，只有经过了训练和学习以后，才能达到入侵检测的要求。但是，现代先进的计算机技术和网络技术，给这次实验带来了方便和机会。而神经网络对有些初始值收敛很慢，如果每次检测时进行训练，不利于入侵的检测，如何有效地选取训练样本是下一步要研究的问题。

（2）由于时间原因，本实验只实现了一个简单的入侵检测模型，只能对特定的异常包做出标记，由于神经网络具有自学习性，可以在收集了合适的训练数据后，对神经网络进行训练，从而用于更多的检测。

（3）数据包信息对于本系统来说很重要，也是关键所在。入侵检测，需要检测的信息量很大，对于本次实验来说，难度很高。但是，本文研究的模型完全可以抵制或者防御危险的信息和数据。在实验过程中，本文也总结出了模型的基本框架和基本的原理，对于后续的研究具有重要的意义。

（4）入侵检测是过程总是在某种算法的基础上实现的，这次实验完全基于协议分析。本实验在将神经网络应用到入侵检测时没能很好地体现神经网络的优点，这将是下一步工作的重点。

[1]张永良，张智勤，吴鸿韬.基于改进卷积神经网络的周界入侵检测方法[J].计算机科学，2017（3）：182-186.

[2]刘博文.人工神经网络的改进及其在入侵检测中的应用[J].电脑知识与技术，2016（12）：188-189.

[3]吴春琼，黄晓.基于猴群算法优化的神经网络在入侵检测中的应用研究[J].网络空间安全，2016（6）：14-18.

Intrusion detection based on neural network

Chen Jiawei
（Electronic and Information Engineering School of Hunan University of Science and Engineering, Yongzhou 425199, China）

Based on the analysis of BP neural network, this paper proposed an intrusion detection model. The model of intrusion detection can be used to carry out the basic detection test. Final test results show that intrusion detection model in accordance with the experimental design meets the design requirements.

intrusion detection; neural network; BP algorithm

陈佳威（1992— ），男，广东梅州；研究方向：智能算法，开源软件。