CN43—1258／TP计算机工程与科学2003年第25卷第6期ISSNlOO7—130XCOMPUTERENGINEERING＆SC1ENCEVo1．25，No．6，2003文章编号：1007．130X(2003)06．0028．04基于神经网络的入侵检测系统AnIntrusionDetectionSystemBasedonArtificialNeuralNetworks王景新，戴葵，宋辉。王志英WANGJing-xin。DAIKIli，SONGHIli。WANGZhi·ying(国防科技大学计算机学院，湖南长沙410073)(SchoolofComputerScience，NationalUniversityofDefenseTechnology，Changsha410073，China)摘要：文章在对现有入侵检测系统所存在不足进行分析的基础上，提出了一个基于神经网络技术的网络入侵检测系统模型，运用神经网络所特有的自学习、自组织能力，弥补现有入侵检测系统所存在的不足。Abstract：ThepaperpresentsaNeuralNetwork—BasednetworkintrusiondetectionmodelbasedonthedemeritanalysisofmodemIDSs．Themodelmakesuseoftheself-learning，serf-organizingcharacteristicsofneuralnet-works，SOastoredueethedemeritsofmodernintrusiondetectionsystems．关键词：神经网络；入侵检测；特征提取Keywords：neuralnetwork；intrusiondetection；featureextraction中图分类号：TP393．08文献标识码：A性，尝试解决入侵检测系统存在的某些问题。1引言2神经网络与入侵检测由Denning等人在1984年研究的IDESEI|是入侵检测研究历史上的一个里程碑，随着网络安早期将神经网络技术引入入侵检测中的研究全问题的日益严峻，入侵检测的研究成为热点。是由JakeRyan、KymieTan等人完成的．4J，这些研目前有两种主要的入侵检测技术，其一是误用检究一般都是将神经网络作为一种预测模型，并基测，其二是异常检测。误用检测可以比较精确地于一种假定，即假定UNIX用户的行为是有固定检测攻击行为，但漏报率较高；异常检测有可能检模式的。事实上，系统管理员和一般用户的行为测出未知攻击行为，但误报率较高。此外，入侵检确实有相当的稳定性和区分性，因此早期的研究测系统还存在诸如统计模型难以建立、规则库管取得了很好的效果。随着网络的飞速发展，这些理等问题J。本文提出了将神经网络技术引入到主要基于主机型的入侵检测系统研究成果的实用网络入侵检测系统的思路，通过具体工作探讨了性已经渐渐淡化，但研究的思路有较大的启发意将神经网络技术引入网络入侵检测系统中的可行义和参考价值。正是在这种思路的启发下，我们十牧稿日期：2002-08．29；修订日期：2002—11-13作者简介：王景新(1978一)，男，吉林德惠人，硕士生，研究方向为网络安全；戴葵，博士，副教授，研究方向为新一代计算机体系结构、神经网络和信息安全；宋辉，博士，研究方向为量子计算和信息安全；王志英，博士，教授．博士生导师．研究方向为计算机体系结构和信息安全。通讯地址：410073湖南省长沙市国防科技大学计算机学院；Tel：(o731)4575963；E-mail：wjxmysef@sohu．cornAdd麟：：h001ofComputerScience，NationalUniversityofDefenseTechnology，Changsha，Hunan410073，P．R-China28尝试将神经网络应用到网络型入侵检测系统，这据段是否包含“getcgi．bin”实现。也是我们工作比较有新意的地方。简单的几个例子说明了入侵检测系统特征提之所以将神经网络引入网络环境下的入侵检取的基本思路，即一般的入侵可以通过对数据报测系统中来，是基于这样几个考虑：头部值和内容进行检查实现。参考snort[6的规(1)网络入侵检测的问题可以归结为对网络则格式，结合前人的研究成果，考虑系统的实现难数据流的判别问题，即判断网络数据流是正常的度和检测效率，我们这里选取单数据报首部值和还是恶意的，在这个意义上入侵检测问题可以理报文数据段首字节作为人侵检测系统的特征描解为模式识别问题；述。所选取的特征主要包括协议码、端口号、TCP(2)神经