入侵檢測（Intrusion Detection）是對入侵行為的檢測。它通過收集和分析網(wǎng)絡(luò)行為、安全日志、審計數(shù)據(jù)、其它網(wǎng)絡(luò)上可以獲得的信息以及計算機(jī)系統(tǒng)中若干關(guān)鍵點的信息，檢查網(wǎng)絡(luò)或系統(tǒng)中是否存在違反安全策略的行為和被攻擊的跡象。入侵檢測作為一種積極主動地安全防護(hù)技術(shù)，提供了對內(nèi)部攻擊、外部攻擊和誤操作的實時保護(hù)，在網(wǎng)絡(luò)系統(tǒng)受到危害之前攔截和響應(yīng)入侵。因此被認(rèn)為是防火墻之后的第二道安全閘門，在不影響網(wǎng)絡(luò)性能的情況下能對網(wǎng)絡(luò)進(jìn)行監(jiān)測。

入侵檢測通過執(zhí)行以下任務(wù)來實現(xiàn)：監(jiān)視、分析用戶及系統(tǒng)活動；系統(tǒng)構(gòu)造和弱點的審計；識別反映已知進(jìn)攻的活動模式并向相關(guān)人士報警；異常行為模式的統(tǒng)計分析；評估重要系統(tǒng)和數(shù)據(jù)文件的完整性；操作系統(tǒng)的審計跟蹤管理，并識別用戶違反安全策略的行為。 入侵檢測是防火墻的合理補充，幫助系統(tǒng)對付網(wǎng)絡(luò)攻擊，擴(kuò)展了系統(tǒng)管理員的安全管理能力（包括安全審計、監(jiān)視、進(jìn)攻識別和響應(yīng)），提高了信息安全基礎(chǔ)結(jié)構(gòu)的完整性。它從計算機(jī)網(wǎng)絡(luò)系統(tǒng)中的若干關(guān)鍵點收集信息，并分析這些信息，看看網(wǎng)絡(luò)中是否有違反安全策略的行為和遭到襲擊的跡象。

普通GA的適應(yīng)度函數(shù)不靈敏，其選擇方法易產(chǎn)生隨機(jī)誤差，通用性較差，影響算法的性能。本文對GA的適應(yīng)度函數(shù)和選擇方法進(jìn)行改進(jìn)，用其優(yōu)化BP神經(jīng)網(wǎng)絡(luò)，并應(yīng)用在入侵檢測中。

1 BP神經(jīng)網(wǎng)絡(luò)及遺傳算法簡介

　　1.1 BP神經(jīng)網(wǎng)絡(luò)簡介

BP神經(jīng)網(wǎng)絡(luò)模型是由一個輸入層、一個或多個隱含層和一個輸出層組成的一種多層前饋型網(wǎng)絡(luò)，并用BP算法進(jìn)行訓(xùn)練，是一種有導(dǎo)師的學(xué)習(xí)方法，利用梯度下降法對權(quán)值進(jìn)行修正。在實際應(yīng)用和研究中通常一個隱含層就能滿足要求。

BP 算法的過程可以分為兩個階段。階段是由輸入層開始逐層計算各層神經(jīng)元的輸入和輸出，直到輸出層為止。第二階段是由輸出層開始逐層計算各層神經(jīng)元的輸出誤差，并根據(jù)誤差梯度下降原則來調(diào)節(jié)各層的連接權(quán)值和節(jié)點閾值，使修改后的網(wǎng)絡(luò)的終輸出能接近期望值[2]。如果訓(xùn)練以后還達(dá)不到要求，可以重復(fù)訓(xùn)練，直到滿足訓(xùn)練為止。

　1.2 遺傳算法簡介

遺傳算法是由DARWIN的生物進(jìn)化論和MENDEL的遺傳理論發(fā)展而來的一種高效的全局搜索算法，它模擬自然選擇和遺傳中發(fā)生的繁殖、交配和突變現(xiàn)象，從初始種群出發(fā)，根據(jù)適應(yīng)度函數(shù)計算出的適應(yīng)度函數(shù)值，通過選擇、交叉和變異這3個操作，產(chǎn)生新的更適應(yīng)環(huán)境的個體(問題的解)，使群體進(jìn)化到搜索空間中越來越接近問題的解的區(qū)域。這樣一代一代不斷進(jìn)化，收斂到適應(yīng)環(huán)境的個體上，即求得問題的解。

在遺傳算法求解問題時，個體的優(yōu)劣程度是由適應(yīng)度函數(shù)值的大小來判定的。通常對高于平均適應(yīng)度值的個體做交叉，而對低于平均適應(yīng)度值的個體進(jìn)行變異，從而一代一代地提高群體的平均適應(yīng)度值。對于同一種群而言，采用不同的適應(yīng)度函數(shù)，平均適應(yīng)度值就會不同，優(yōu)于平均適應(yīng)度值的個體數(shù)目也不同，即求解問題的能力有差別。由此可見，適應(yīng)度函數(shù)在遺傳算法求解問題的過程中起著至關(guān)重要的作用。

遺傳算法中的選擇、交叉和變異這3個操作是實現(xiàn)優(yōu)勝劣汰進(jìn)化的關(guān)鍵過程。理想情況下，如果每次選擇操作選取的都是適合解決問題的那些解，那么得到的解即為解。因此，遺傳算法有必要進(jìn)行改進(jìn)。

2.2 基于種群交流的選擇方法

基于種群交流的選擇方法就是利用兩種或兩種以上的選擇方法，綜合各種選擇方法的優(yōu)點，既能保證找到全局解，又能保證以一個相對較快的速度收斂，所以其性能通常較好。本文采用的基于種群交流的選擇方法綜合運用輪盤賭選擇法和錦標(biāo)賽選擇法。

以群體A和群體B為例詳細(xì)說明基于種群交流選擇方法的基本思想。群體A和群體B是兩個不同的種群。在進(jìn)化中，群體A代中的a11與群體B代中的b12產(chǎn)生的后代a11′和a12′進(jìn)入到群體A中的第二代；群體B代中的b11與群體A代中a12產(chǎn)生的后代b11′和b12′進(jìn)入到群體B中的第二代。而群體A代中剩余的個體進(jìn)行輪盤賭選擇，群體B代中剩余的個體進(jìn)行錦標(biāo)賽選擇。以后的每一代都按照上述的方式進(jìn)化，直至達(dá)到進(jìn)化代數(shù)N[5]。

可以看出，在遺傳算法進(jìn)化過程中如果對每一個種群的每一代都進(jìn)行種群間交流，當(dāng)進(jìn)化代數(shù)N很大時會嚴(yán)重影響算法的執(zhí)行效率，而且效果也不一定好。所以在該方法具體應(yīng)用過程中，以一定的概率(稱為種群交流概率)隨機(jī)對某兩個種群進(jìn)化過程中的某些代進(jìn)行交流。這樣既能發(fā)揮種群交流的優(yōu)點，又有助于提高算法的效率。

3 基于改進(jìn)遺傳算法優(yōu)化的BP神經(jīng)網(wǎng)絡(luò)原理

本文用改進(jìn)的遺傳算法優(yōu)化BP神經(jīng)網(wǎng)絡(luò)權(quán)值的主要思想是：初始化神經(jīng)網(wǎng)絡(luò)權(quán)值后，首先用BP神經(jīng)網(wǎng)絡(luò)進(jìn)行訓(xùn)練，如果能滿足要求就結(jié)束；如果不能滿足，再用改進(jìn)的遺傳算法對BP神經(jīng)網(wǎng)絡(luò)權(quán)值進(jìn)行優(yōu)化，在解空間中找出一個較好、較小的搜索空間；然后，用BP算法在這個較小的解空間中搜索出解[7]。該算法的主要步驟如下：

(1)初始化連接權(quán)值和節(jié)點閾值，先用BP神經(jīng)網(wǎng)絡(luò)進(jìn)行訓(xùn)練。若滿足訓(xùn)練，則停止訓(xùn)練；否則，將這些初始權(quán)閾值初始化為一個初始種群，用改進(jìn)的遺傳算法進(jìn)行優(yōu)化。

(2)編碼，在遺傳算法中，編碼影響著算法的性能和種群的多樣性。二進(jìn)制編碼和實數(shù)編碼相比較而言，二進(jìn)制編碼比實數(shù)編碼搜索能力更強，而實數(shù)編碼在變異操作上能更好地保持種群的多樣性。本文采用這兩種編碼相結(jié)合的方式[8]，對網(wǎng)絡(luò)結(jié)構(gòu)采用二進(jìn)制編碼，對權(quán)閾值范圍、學(xué)習(xí)速率和動量因子采用實數(shù)編碼[9]。

(3)用適應(yīng)度函數(shù)計算出各初始種群對應(yīng)的適應(yīng)度函數(shù)值。

(4)選擇，采用基于種群交流的選擇方法。

(5)交叉，將選擇后得到的新的群體按照預(yù)先確定的交叉率用均勻交叉的方式進(jìn)行交叉。

(6)變異，依據(jù)預(yù)先給定的變異率進(jìn)行變異操作。

(7)重復(fù)進(jìn)行步驟(4)、(5)、(6)，直至滿足達(dá)到進(jìn)化代數(shù)后結(jié)束。

(8)將得到的權(quán)值再次用BP神經(jīng)網(wǎng)絡(luò)訓(xùn)練判斷是否滿足要求。若滿足，則算法結(jié)束；否則，繼續(xù)對該權(quán)值進(jìn)行訓(xùn)練，直至達(dá)到要求為止。

4 入侵檢測MATLAB仿真

　　4.1 數(shù)據(jù)獲取

將本文提出的入侵檢測方法用Matlab 7.6進(jìn)行仿真，驗證其性能。樣本數(shù)據(jù)采用美國麻省理工學(xué)院林肯實驗室提供的網(wǎng)絡(luò)攻擊評估數(shù)據(jù)。為了使神經(jīng)網(wǎng)絡(luò)能夠處理非數(shù)值型數(shù)據(jù)，對數(shù)據(jù)特征中數(shù)值特征和非數(shù)值特征統(tǒng)一進(jìn)行數(shù)值編碼，并進(jìn)行歸一化處理。

　4.2 參數(shù)設(shè)置

整個神經(jīng)網(wǎng)絡(luò)輸入層節(jié)點為10，隱含層節(jié)點為15，輸出層為1；隱含層傳遞函數(shù)為tansig，輸出層傳遞函數(shù)為logsig，訓(xùn)練函數(shù)為traingda，目標(biāo)為0.001，訓(xùn)練周期為1 000；遺傳算法初始種群大小為200，進(jìn)化代數(shù)為200，選擇概率為0.9，交叉率為0.8，變異率為0.09，種群交流概率為0.6。

4.3 仿真結(jié)果比較

將所選取的數(shù)據(jù)應(yīng)用到遺傳算法優(yōu)化的神經(jīng)網(wǎng)絡(luò)和改進(jìn)的遺傳算法優(yōu)化的神經(jīng)網(wǎng)絡(luò)，并用Matlab 7.6對兩種神經(jīng)網(wǎng)絡(luò)分別進(jìn)行入侵檢測仿真。

仿真結(jié)果進(jìn)行的比較和分析，可以看出：基于改進(jìn)遺傳算法優(yōu)化的BP神經(jīng)網(wǎng)絡(luò)入侵檢測取得較好的效果。由此可見，采用改進(jìn)遺傳算法優(yōu)化BP神經(jīng)網(wǎng)絡(luò)的入侵檢測，訓(xùn)練、漏報率、誤報率和檢測率都明顯提高，時間也比前者縮短了一半以上，性能較好。

本文主要是對遺傳算法的適應(yīng)度函數(shù)和選擇方法進(jìn)行改進(jìn)，用改進(jìn)的遺傳算法優(yōu)化BP神經(jīng)網(wǎng)絡(luò)，并將其應(yīng)用在入侵檢測中。有效克服了BP神經(jīng)網(wǎng)絡(luò)容易陷入局部極值和收斂速度慢等問題，增強了全局搜索能力，提高了訓(xùn)練、漏報率、誤報率和檢測率，縮短了訓(xùn)練時間，從而提升入侵檢測的性能。