馬 曦，李 瑞，姚 晉

（1.中國艦船研究設(shè)計中心，湖北 武漢 430064；2.中國海軍裝備部 北京 100841）

信息系統(tǒng)在信息安全方面有著對保密性、完整性及可用性的基本要求。隨著網(wǎng)絡(luò)技術(shù)的發(fā)展，越來越多的系統(tǒng)遭到入侵攻擊的威脅。但實際上，建立絕對安全系統(tǒng)是不可能的，原因有：1）軟件中總是存在缺陷，設(shè)計和實現(xiàn)一個整體安全系統(tǒng)相當困難[1]；2）將已安裝的帶安全缺陷的系統(tǒng)轉(zhuǎn)換成安全系統(tǒng)需要相當長的時間；3）加密技術(shù)本身存在的一定問題；4）安全系統(tǒng)易受內(nèi)部用戶濫用特權(quán)的攻擊；5）安全訪問控制等級和用戶的使用效率成反比；6）訪問控制和保護模型本身存在一定的問題[2]；7）在軟件工程中存在軟件測試不充足軟件生命周期縮短大型軟件復(fù)雜性等難解問題。

基于上述幾類問題的解決難度，一個實用的方法是建立比較容易實現(xiàn)的安全系統(tǒng)，同時按照一定的安全策略建立相應(yīng)的安全輔助系統(tǒng)，IDS就是這樣一類系統(tǒng)?，F(xiàn)在安全軟件的開發(fā)方式基本上就是按照這個思路進行的。就目前系統(tǒng)安全狀況而言，系統(tǒng)存在被攻擊的可能性。如果系統(tǒng)遭到攻擊，只要盡可能地檢測到，甚至是實時地檢測到，即可采取適當?shù)奶幚泶胧?yīng)對。IDS一般不采取預(yù)防的措施以防止入侵事件的發(fā)生。入侵檢測作為安全技術(shù)其作用在于：1）識別入侵者；2）識別入侵行為；3）檢測和監(jiān)視已成功的安全突破；4）為對抗入侵及時提供重要信息，阻止事件的發(fā)生和事態(tài)的擴大。因此，入侵檢測非常必要。

艦載信息系統(tǒng)由于更多的承擔指揮控制任務(wù)對于系統(tǒng)的保密性、完整性及可用性要求較一般信息系統(tǒng)要求要高，同時具備高實時性、高可靠性等約束條件，對入侵檢測系統(tǒng)提出了更高的要求。本文在艦載信息系統(tǒng)網(wǎng)絡(luò)中引入了分布式錄取集中處理的網(wǎng)絡(luò)入侵檢測系統(tǒng)，該系統(tǒng)基于人工神經(jīng)網(wǎng)絡(luò)能夠?qū)ε炤d信息系統(tǒng)網(wǎng)絡(luò)發(fā)生攻擊的模式進行機器學習對已知的攻擊類型識別能夠達到較高分辨率，并由于神經(jīng)網(wǎng)絡(luò)的泛化特性，基于神經(jīng)網(wǎng)絡(luò)的入侵檢測系統(tǒng)能對未知攻擊類型進行分辨[3]。最后，文章采用了美國國防部發(fā)布的KDD 99（DAPRA 98）數(shù)據(jù)集對入侵檢測方法進行了訓練和檢測。

1 艦載入侵檢測系統(tǒng)體系結(jié)構(gòu)

網(wǎng)絡(luò)入侵檢測系統(tǒng)監(jiān)控艦載信息系統(tǒng)網(wǎng)內(nèi)部的流量，該系統(tǒng)應(yīng)能夠?qū)崟r地或接近于實時地分析數(shù)據(jù)包，以圖發(fā)現(xiàn)入侵，同時對系統(tǒng)正常運行無不良影響。網(wǎng)絡(luò)入侵檢測系統(tǒng)檢查網(wǎng)絡(luò)層、傳輸層（udp，ftp等）、應(yīng)用層協(xié)議的活動。

入侵檢測系統(tǒng)在邏輯上可分為三大組件，包括傳感器、分析器、傳感器及用戶接口。其中，傳感器負責收集數(shù)據(jù)，并把這些數(shù)據(jù)傳送給分析器。分析器從多個分布式傳感器中接收輸入，并由這些輸入進行模式判斷是否當前網(wǎng)絡(luò)中存在入侵行為。用戶接口為最終的用戶提供圖像和聲光等信息為用戶提供網(wǎng)絡(luò)狀態(tài)標識和告警提醒。

由于艦載信息系統(tǒng)對入侵檢測系統(tǒng)性能有較高要求，艦載網(wǎng)絡(luò)入侵檢測系統(tǒng)的體系結(jié)構(gòu)采取了分布式錄取集中處理的體系結(jié)構(gòu)，見圖1。

圖1 艦載信息系統(tǒng)網(wǎng)絡(luò)入侵檢測系統(tǒng)的體系結(jié)構(gòu)示意圖

傳感單元由分布式網(wǎng)絡(luò)錄取單元在各子網(wǎng)交換機匯聚口接入網(wǎng)絡(luò)錄取單元對網(wǎng)絡(luò)報文進行錄取并進行協(xié)議分析。傳感單元將處理成預(yù)定義格式的報文信息傳遞給實時數(shù)據(jù)庫進行排序、存儲、屬性查詢等操作后將數(shù)據(jù)作為輸入傳輸給人工神經(jīng)網(wǎng)絡(luò)進行識別，并將識別結(jié)果結(jié)合錄取的報文信息傳給用戶單元用于顯示和歸檔處理，同時可以進行報表生成和聲光報警。其中，提高神經(jīng)網(wǎng)絡(luò)方法的性能是提高整個入侵檢測系統(tǒng)性能的重要步驟。在本文中在艦載入侵檢測系統(tǒng)中引入基于屬性約簡的神經(jīng)網(wǎng)絡(luò)入侵檢測方法，對一般的BP神經(jīng)網(wǎng)絡(luò)方法進行了改進。

2 基于屬性約簡的神經(jīng)網(wǎng)絡(luò)入侵檢測方法

本文在網(wǎng)絡(luò)入侵檢測系統(tǒng)中引入基于粗糙集屬性約簡[3]的BP神經(jīng)網(wǎng)絡(luò)方法[4]。該方法首先使用粗糙集算法針對訓練樣本對屬性進行約簡，使用約簡后的數(shù)據(jù)對神經(jīng)網(wǎng)絡(luò)進行訓練，完成訓練后使用訓練好的神經(jīng)網(wǎng)絡(luò)對錄取數(shù)據(jù)約簡后的屬性項進行模式識別[5]。如圖2，輸入數(shù)據(jù)在經(jīng)過粗糙集屬性約簡部件后其原有的數(shù)據(jù)項不能反應(yīng)數(shù)據(jù)特性的數(shù)據(jù)屬性項將被約簡，而經(jīng)過粗糙集約簡的數(shù)據(jù)將只具備約簡后的屬性項，并將作為 BP神經(jīng)網(wǎng)絡(luò)的培訓數(shù)據(jù)進行培訓或作為訓練好的 BP神經(jīng)網(wǎng)絡(luò)的輸入數(shù)據(jù)進行入侵模式識別。下面將分別對所選用的粗糙集和 BP神經(jīng)網(wǎng)絡(luò)技術(shù)進行描述。

圖2 基于粗糙集屬性約簡的神經(jīng)網(wǎng)絡(luò)入侵檢測方法

2.1 基于粗糙集的屬性約簡

粗糙集（Rougset，RS）理論是20世紀80年代由Pawlak提出的一種處理模糊性與不確定性的數(shù)學工具[6]。由于知識庫中的知識（屬性）往往不是同等重要，而且還存在著冗余，不利于做出正確且簡潔的決策，因此需要進行約簡。針對目前已有的基于粗糙集理論的屬性約簡算法計算復(fù)雜度高，不適用于規(guī)模數(shù)據(jù)約簡，本文采用基于可辨識矩陣的屬性約簡算法，將所有有關(guān)屬性區(qū)分信息都濃縮在一個矩陣中，通過該矩陣能方便的得到信息表的屬性核。定義可辨識矩陣：設(shè)S=（U，A）是一個信息系統(tǒng)，U為論域且U=｛x1，x2，...，xn｝，A是條件屬性集合，D是決策屬性，a（x）是記錄x在屬性a上的值。S的可辨識矩陣是一個∣U∣×∣U∣的對稱矩陣，矩陣的每一項定義為Cij為：

令M是決策表T的可辨識矩陣，A=｛a1，a2，…，an｝，是T中所有條件屬性的聚合。S是M中所有決策屬性組合的集合，且S中不包含重復(fù)項。另S中包含有s個屬性組合，每個屬性組合表示為Bi，即Bi∈S，Bj∈S，Bi ≠ Bj（i，j=1，2，…，s）。

矩陣中所有屬性組合數(shù)為1的屬性均為決策表的核屬性（可能為空）。令Redu是決策表T屬性約簡后得到的屬性集合，將核屬性列入屬性約簡后得到的屬性集合，并在可辨識矩陣中找出所有不包含核屬性的屬性組合S，先將屬性組合S表示為合取范式形式，即P=∧｛∨bik:（i=1，2，...，s;k=1，2，...，m）｝，然后將P轉(zhuǎn)化為析取范式形式。

根據(jù)需要選擇滿意的屬性組合。如需屬性數(shù)最少，可直接選擇合取式中屬性數(shù)最少的組合；如需規(guī)則最簡或數(shù)據(jù)約簡量最大，則需先進行屬性值約簡。

2.2 神經(jīng)網(wǎng)絡(luò)分類器設(shè)計

本選取BP神經(jīng)網(wǎng)絡(luò)作為神經(jīng)網(wǎng)絡(luò)分類器[7]。BP網(wǎng)絡(luò)是一種多層前饋型神經(jīng)網(wǎng)絡(luò)網(wǎng)絡(luò)，包括輸入層、隱含層和輸出層。同一層的網(wǎng)絡(luò)節(jié)點之間是互相不連接的，相鄰兩層之間的網(wǎng)絡(luò)節(jié)點互相連接，網(wǎng)絡(luò)的基本處理單元（輸入單元除外）為非線性輸入與輸出關(guān)系[8]。信息交換只發(fā)生在相鄰兩層之間，而同層或越層之間無任何信息交換。在使用的時候，信息從上一層傳遞到下一層，只影響下一層的結(jié)果輸出。在使用以前網(wǎng)絡(luò)要通過訓練改善自身性能，以便更好地適應(yīng)應(yīng)用環(huán)境，也為學習。BP神經(jīng)網(wǎng)絡(luò)的具體設(shè)計見圖3。按照隱層節(jié)點選取的經(jīng)驗公式選取隱層節(jié)點數(shù)目為8。選取前兩層的激勵函數(shù)為TANSIG函數(shù)，輸出層選取陡峭的LOGSIG函數(shù)以模擬硬限符函數(shù)的作用。

圖3 BP神經(jīng)網(wǎng)絡(luò)的結(jié)構(gòu)

3 試驗及分析

3.1 試驗環(huán)境及結(jié)果

本文在Pentium IV 3GHZ,1G ddr內(nèi)存環(huán)境下采用MATLAB7.0結(jié)合ACCESS數(shù)據(jù)庫編制了本文中入侵檢測方法的原型程序，對基于粗糙集的神經(jīng)網(wǎng)絡(luò)算法進行了驗證，并將其與傳統(tǒng)的BP神經(jīng)網(wǎng)絡(luò)算法進行了對比。

訓練和測試數(shù)據(jù)采用美國麻省理工學院林肯實驗室提供的1999年從模擬網(wǎng)絡(luò)中搜集的網(wǎng)絡(luò)攻擊評估數(shù)據(jù)。這些數(shù)據(jù)提供了4類共41個特征量，分為5大類型，分別包括：DOS、R2L、U2R、probing、normal。從這5類數(shù)據(jù)中分別選取200組數(shù)據(jù)作為屬性約簡和神經(jīng)網(wǎng)絡(luò)訓練數(shù)據(jù)。

采用粗糙集進行約簡后的屬性項（共13項）包括：service、src bytes、dst bytes、wrong fragment、hot、srv count、srv serror rate、rerror rate、diff srv rate、dst host srv count、dst host diff srv rate、dst host serror rate、dst host srv rerror rate。

分別使用未經(jīng)約簡的數(shù)據(jù)集和約簡過的數(shù)據(jù)集對BP神經(jīng)網(wǎng)絡(luò)進行訓練和測試，試驗結(jié)果與傳統(tǒng)BP神經(jīng)網(wǎng)絡(luò)的比較結(jié)果見表1，使用屬性約簡后數(shù)據(jù)對BP神經(jīng)網(wǎng)絡(luò)的訓練過程見圖4。

表1 試驗數(shù)據(jù)對比

圖4 試驗1與試驗2基于粗糙集屬性約簡的神經(jīng)網(wǎng)絡(luò)入侵檢測方法的訓練過程試驗分析

3.2 試驗分析

由于使用粗糙集對入侵數(shù)據(jù)進行了約簡，使原具有41個特征項的輸入數(shù)據(jù)約簡至只具有13個屬性項的數(shù)據(jù)使需處理的數(shù)據(jù)量減少68.2%。由表1可以看出，由于數(shù)據(jù)量的減少用于入侵模式識別的BP神經(jīng)網(wǎng)絡(luò)的培訓和測試時間減少85%-90%。并從圖4中可以發(fā)現(xiàn)，使用經(jīng)過屬性約簡的數(shù)據(jù)對BP神經(jīng)網(wǎng)絡(luò)的培訓的均方誤差在100個周期內(nèi)均已達到較好值，可適用于入侵檢測模式識別，較未經(jīng)數(shù)據(jù)屬性約簡的BP神經(jīng)網(wǎng)絡(luò)方法提高了方法精度和性能。

4 結(jié)束語

本文提出一種基于人工神經(jīng)網(wǎng)絡(luò)的艦載信息系統(tǒng)入侵檢測方法，設(shè)計了分布式錄取集中處理的入侵檢測系統(tǒng)體系結(jié)構(gòu)。但是單純把神經(jīng)網(wǎng)絡(luò)應(yīng)用于入侵檢測系統(tǒng)中所處理數(shù)據(jù)維數(shù)較高并存在一定量冗余信息，使得網(wǎng)絡(luò)存在規(guī)模劇增、結(jié)構(gòu)復(fù)雜、訓練時間較長、影響神經(jīng)網(wǎng)絡(luò)精度、穩(wěn)定性、泛化能力差等一系列問題。文中把基于粗糙集的屬性約簡應(yīng)用于基于神經(jīng)網(wǎng)絡(luò)入侵檢測中，考慮了數(shù)據(jù)本身屬性特點，壓縮并提取主要屬性，為BP網(wǎng)絡(luò)輸入量進行訓練識別。這樣處理代表特征的主要信息，大大地減小BP網(wǎng)絡(luò)的輸入矢量維數(shù)，提高了神經(jīng)網(wǎng)絡(luò)的精度及其性能。

[1]Rao X,Dong C X,Yang S Q.Statistic learning and intrusion detection[C]9th International Conference on Rough Sets,Fuzzy Sets,Data Mining,and Granular Computing,2003,652-659.

[2]卿斯?jié)h,蔣建春,馬恒太,等.入侵檢測技術(shù)研究綜述[J]通信學報,2004(7):19-29.

[3]Mukkamala S,Sung AH,Abraham A.Intrusion detection using an ensemble of intelligent paradigms.Journal of Network and Computer Applications,2005,28(2):167-182.

[4]Rao X,Dong C X,Yang S Q.Statistic learning and intrusion detection[C]9th International Conference on Rough Sets,Fuzzy Sets,Data Mining,and Granular Computing,2003,652-659.

[5]X Yan H Z,Hu C Z,Tan H M.Intelligent intrusion detection system model using roush neural network[J].Wuhan University Journal of Natural Sciences,2005:119-122.

[6]Pawlak Z.Rough Set-Theoretical Aspects of Reasoning About Data.Dorderecht,Kluwer Academic Publishers,1991.

[7]Chang R I,Lai L B,Su W D,ct a1.Intrusion detection by back-propagation neural networks with sample-query and attribute-query[J].International Journal of Computational Intelligence Research,2007,3(1):6-10.

[8]陳海,丁邦旭,王煒立.基于神經(jīng)網(wǎng)絡(luò)LMBP算法的入侵檢測方法[J].計算機應(yīng)用與軟件,2007:183-185.