基于隐马尔科夫模型和神经网络的入侵检测研究-闫新娟

第29卷第2期计算机应用与软件Vol.29No．22012年2月ComputerApplicationsandSoftwareFeb．2012基于隐马尔科夫模型和神经网络的入侵检测研究闫新娟1谭敏生1严亚周2吕明娥21(南华大学湖南衡阳421002)2(湖南工学院湖南衡阳421002)收稿日期:2011－02－09。闫新娟，硕士生，主研领域:计算机网络与信息安全。摘要针对目前的基于隐马尔科夫模型的入侵检测和基于神经网络入侵检测各自的不足之处，提出一种基于隐马尔科夫模型和神经网络的混合入侵检测方法。主要是从网络协议的角度入手，把TCP数据包作为分析对象，给出一种确定观察值的方法，把隐马尔科夫模型的输出作为神经网络的输入，神经网络的输出是最终的结果。最后通过实验证明了此混合入侵检测方法比单独使用隐马尔科夫模型或者是单独使用神经网络的检测方法有更低的误报率和漏报率。关键词隐马尔科夫模型神经网络入侵检测中图分类号TP393文献标识码ARESEARCHONHIDDENMARKOVMODEL-BASEDANDNEURALNETWORK-BASEDINTRUSIONDETECTIONSYanXinjuan1TanMinsheng1YanYazhou2LüMing'e21(UniversityofSouthChina，Hengyang421002，Hunan，China)2(HunanInstituteofTechnology，Hengyang421002，Hunan，China)AbstractBasedonthedisadvantagesofintrusiondetectionsbasedonHiddenMarkovmodelandonneuralnetworkrespectively，thispaperproposedahybridofintrusiondetectionwiththecombinationoftheabovetwoways．ItcommencesfromthepointofviewofnetworkprotocolandtakesTCPdatapacketastheanalyticobject，givesakindofmethodofobservationdetermination，theoutputofhiddenMarkovmodelisusedastheinputofneuralnetwork，andtheneuralnetworkoutputisourfinalresult．AtlasttheexperimentsrevealedthatthishybridintrusiondetectionmethodreachesalowerfalsealarmrateandmissingratethanthemethodusingeitherhiddenMarkovmodelorneuralnetworkalone．KeywordsHiddenmarkovmodelNeuralnetworkIntrusiondetection0引言计算机网络在诞生之初只是为了最大限度地提高网络资源的开放性，而没有更多地考虑资料的安全性，随着网络应用的普及，网络安全问题就变得越来越重要。据权威统计:新增病毒数量与4年前相比，增长了近400倍［1］。严峻的现实让人们清醒地认识到计算机网络的发展离不开信息安全技术的保障，随着人们安全意识的提高，入侵检测领域的探索和研究日益深入，网络安全的问题也是越来越受到各方面的重视。目前入侵检测有许多模型和方法，如文献［2］提出了神经网络的入侵检测模型;文献［3］提出了基于数据挖掘的入侵检测方法;文献［4］提出了支持向量机的入侵检测方法;文献［5，6］把基于隐马尔科夫模型引入到入侵检测等，但是这些检测方法或模型每种都有其优点和缺点。比如文献［7－9］中为计算机系统的运行状态建立了Markov模型，然后在这个模型的基础上提出检测算法，但是由于实际系统不能完全满足Markov条件，因此建立的模型不是非常精确;文献［10］提出基于攻击意图入侵检测方法，但是很难建立模型;文献［11］提出了基于神经网络的入侵检测研究，并对算法进行了改进，但是它的算法不具有一般性。鉴于以上原因本文提出了一种基于隐马尔科夫模型和神经网络的混合入侵检测方法。1隐马尔科夫模型和神经网络概述隐马尔可夫模型［12］(HiddenMarkovModel，简称HMM)是一种用参数表示的，用于描述随机过程统计的概率模型。它能够利用收集的训练样本进行自适应学习，得到相应的隐马尔可夫模型。神经网络由一系列的处理单元组成，这些处理单元是高度关联的，把一组输入转化为一组输出。这样的一组输出是由各个处理单元的特点和他们之间的相互关联的权重来决定的。通过修改节点