论文部分内容阅读
入侵检测是一种主动保护网络资源的安全防护技术,它是对“防火墙”、“数据加密”、“访问控制”等信息安全措施的有效补充,能够用于对计算机及网络资源上的恶意使用行为进行识别和响应。入侵检测系统不仅可以检测来自外部网络的入侵攻击,同时也能够监督内部网络用户的未授权行为。
鉴于传统入侵检测技术存在的种种困难(如度量用户行为多是凭借感觉和经验、对攻击特征的刻画只能是某些固定的序列等),本文提出了一种基于BP人工神经网络的实时入侵检测建模方案。文章首先剖析了Ipv4下的IP、TCP、UDP及ICMP协议数据包的首部构造,然后重点讨论了各种常见网络攻击的实施原理,最后利用实验室的局域网络环境,针对部分网络攻击,在Linux(内核版本2.4.20-8)下设计并实现了一个简单的、基于BP人工神经网络的实时网络入侵检测系统。
该系统采用了专门为数据监听应用程序而设计的开发包——Libpcap(PacketCaptureLibrary)来实现网络数据采集,从而能够满足大流量网络及低丢包率等要求。利用其中的pcap_loopO函数,系统将捕获到的网络数据包输入回调函数,根据网络攻击的实施原理,在特定的时间窗口(该系统为2秒)内对相关连接的协议数据包的特征属性值进行统计,这些特征值组合起来便形成了进行后续处理所必须的网络输入事件,这使得输入数据的信息量更加完整。
此外,本系统采用了滥用检测与异常检测相结合的混合检测技术。实时网络事件首先被输入到滥用检测神经网络,进行攻击类型判别,若结果为未知类型则将该实时事件送入异常检测神经网络,做进一步的异常判断,并对相应的结束进行响应处理。这样在实际的应用中,两种检测技术相互结合、优缺互补,共同提高系统的整体性能。
最后,本论文利用已训练稳定的检测系统,进行了训练样本的回判、新样本的测试及实时入侵检测实验。结果显示,该系统不仅具有较高的检全率和较低的误警率,而且由于神经网络将入侵模式的识别过程转换为完全抽象的数值计算过程,系统的检测速度快、资源的占用率低,完全能够担当实时入侵检测的重任!