基于人工神經(jīng)網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)的研究與實(shí)現(xiàn).pdf

1、入侵檢測(cè)是一種主動(dòng)保護(hù)網(wǎng)絡(luò)資源的安全防護(hù)技術(shù)，它是對(duì)“防火墻”、“數(shù)據(jù)加密”、“訪問控制”等信息安全措施的有效補(bǔ)充，能夠用于對(duì)計(jì)算機(jī)及網(wǎng)絡(luò)資源上的惡意使用行為進(jìn)行識(shí)別和響應(yīng)。入侵檢測(cè)系統(tǒng)不僅可以檢測(cè)來自外部網(wǎng)絡(luò)的入侵攻擊，同時(shí)也能夠監(jiān)督內(nèi)部網(wǎng)絡(luò)用戶的未授權(quán)行為?！　¤b于傳統(tǒng)入侵檢測(cè)技術(shù)存在的種種困難(如度量用戶行為多是憑借感覺和經(jīng)驗(yàn)、對(duì)攻擊特征的刻畫只能是某些固定的序列等)，本文提出了一種基于BP人工神經(jīng)網(wǎng)絡(luò)的實(shí)時(shí)入侵檢測(cè)建模方案。文

2、章首先剖析了Ipv4下的IP、TCP、UDP及ICMP協(xié)議數(shù)據(jù)包的首部構(gòu)造，然后重點(diǎn)討論了各種常見網(wǎng)絡(luò)攻擊的實(shí)施原理，最后利用實(shí)驗(yàn)室的局域網(wǎng)絡(luò)環(huán)境，針對(duì)部分網(wǎng)絡(luò)攻擊，在Linux(內(nèi)核版本2.4.20-8)下設(shè)計(jì)并實(shí)現(xiàn)了一個(gè)簡(jiǎn)單的、基于BP人工神經(jīng)網(wǎng)絡(luò)的實(shí)時(shí)網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)?！　≡撓到y(tǒng)采用了專門為數(shù)據(jù)監(jiān)聽?wèi)?yīng)用程序而設(shè)計(jì)的開發(fā)包——Libpcap(PacketCaptureLibrary)來實(shí)現(xiàn)網(wǎng)絡(luò)數(shù)據(jù)采集，從而能夠滿足大流量網(wǎng)絡(luò)及低丟

3、包率等要求。利用其中的pcap_loopO函數(shù)，系統(tǒng)將捕獲到的網(wǎng)絡(luò)數(shù)據(jù)包輸入回調(diào)函數(shù)，根據(jù)網(wǎng)絡(luò)攻擊的實(shí)施原理，在特定的時(shí)間窗口(該系統(tǒng)為2秒)內(nèi)對(duì)相關(guān)連接的協(xié)議數(shù)據(jù)包的特征屬性值進(jìn)行統(tǒng)計(jì)，這些特征值組合起來便形成了進(jìn)行后續(xù)處理所必須的網(wǎng)絡(luò)輸入事件，這使得輸入數(shù)據(jù)的信息量更加完整。　　此外，本系統(tǒng)采用了濫用檢測(cè)與異常檢測(cè)相結(jié)合的混合檢測(cè)技術(shù)。實(shí)時(shí)網(wǎng)絡(luò)事件首先被輸入到濫用檢測(cè)神經(jīng)網(wǎng)絡(luò)，進(jìn)行攻擊類型判別，若結(jié)果為未知類型則將該實(shí)時(shí)事件送入異