遗传算法在网络入侵检测系统中的应用

摘 要：将遗传算法应用于入侵检测有着广阔的前景。当今计算机技术和计算机网络的不断发展，促使黑客不断的攻击敏感数据，安全形势越来越严峻。遗传算法能够从训练的数据中学习规则和不规则行为，并能在计算机系统上产生用来检测攻击的分类器。本文主要探讨遗传算法在网络入侵系统中的应用。

关键词：遗传算法；入侵检测系统；网络

中图分类号：TP393.08

遗传算法作为一种自动化的搜索算法，主要是通过自然选择与基因变化的思想作为首选条件，在通过进化论的思想理论基础升华，在实践操作中，采用参数编码的方式，并构建初始条件与函数设计的方式，形成具体操作的整体运用，进行运用算法的迭代计算，能收到更好的效果，并为整个性能的实现创设良好的条件。

1 遗传算法的基本步骤

遗传算法主要是根据已有的网络连接进行综合模式的分析，在数据库的产生与检测系统中，主要是通过规则化的正常网络区分，形成相应的网络连接，这些网络系统的链接形成一定的侵入活动，在整个存储方式中，突出一般的形式运用。

在这些网络链接中，通过IDS的规则管理是否相匹配进行条件管理，对于源头的IP地址，进行整个系统化的管理，系统体系结构是一个由许多结构要素及各种视图（或观点）所组成的综合模型。目前主要的信息系统体系结构模式有单用户体系结构、C/S体系结构、B/S体系结构、P2P体系结构。通用数据挖掘平台设计通过对几种模式的评估与分析，决定使用B/S体系结构。B/S体系结构，即Browser/Server（浏览器/服务器）结构，就是只安装维护一个服务器（Server），而客户端采用浏览器（Browse）运行软件。在B/S体系结构系统中，用户通过浏览器向服务器发出请求，服务器对浏览器的请求进行处理并将用户所需信息返回到浏览器。B/S三层体系结构采用三层客户/服务器结构，在数据管理层（Server）和用户界面层（Client）增加了一层称为中间件（Middleware）的结构，使整个体系结构成为三层。中间件将应用分为表示层、业务逻辑层和数据存储层三个不同的处理层次，而且三层结构在层与层之间相互独立，任何一层的改变不会影响其它层的功能。

2 基于网络的入侵检测系统

当今计算机网络技术的不断发展，单独地依靠主机审计信息进行入侵检测已经不能满足人们对网络安全的需求，于是人们在不断研究下，提出了基于网络的入侵检测系统体系结构，这种检测系统根据网络流量、单台或多台主机的审计数据检测入侵。基于网络的入侵检测系统的数据源是网络流量，它实时监视并分析通过网络的所有通信业务，检测范围是整个网络，由于网络数据是规范的TCP/IP协议数据包，所以基于网络的入侵检测系统比较易于实现。但它只能检测出远程入侵，对于本地入侵它是看不到的。其基本结构如图1所示。探测器的功能是按一定的规则从网络上获取与安全事件相关的数据包，再传递给分析引擎器进行安全分析判断，其一般由过滤器、网络接口引擎器以及过滤规则决策器构成。探测器上接收到的数据包通过分析引擎器结合网络安全数据库进行分析，然后把分析的结果传递给配置构造器。配置构造器将根据分析引擎的结果构造出探测器所需要的配置规则。分析引擎器是它的一个重要部件，用来分析网络数据中的异常现象或可疑迹象，并提取出异常标志。分析引擎器的分析和判断决定了具有什么样特征的网络数据流是非正常的网络行为，它常用的四种入侵和攻击识别技术分别包括根据模式、表达式及字节匹配；利用出现频率或穿越阈值；根据次要事件的相关性；统计学意义上的非常规现象检测。

3 遗传算法在网络入侵检测系统中的应用

我们以计算机为工具，数据库为核心，用计算机技术和方法、网络技术和方法、通信技术和方法综合应用管理工程技术，行为科学技术等现代化科学技术，建立一个客户关系管理系统，以操作简便、界面友好、灵活、安全稳定为出发点，对各种资源信息进行管理，并在网络范围内进行共享。本测试系统服务器：CPU主频1GHz以上，内存1GB以上，硬盘自由空间在1GB以上。服务器：操作系统为Windows2003 Server或Windows XP，客户端。操作系统：Microsoft WindowsXPSP3或win7，同时，软件为B/S架构，用户使用IE浏览器即可登录并访问系统。为了保证数据的安全性以及平缓电网的波动给网络带来的影响，在服务器及工作站均采用了UPS不间断电源。基于网络的入侵检测系统可以获得很多有价值的数据，去判别不良的意图。即使防火墙抗拒这些尝试，但防火墙之外的基于网络的入侵检测系统也能查出躲在防火墙后的攻击意图。

式中： 为某个个体，a为正确检测到的攻击数目；A为总有攻击数目；b为被误判为攻击的连接数；B为总的正常连接数；m为 中1的个数； 为m对于该适应度函数的相关系数，即高检出率低误报率使适应度函数值高，低检出率高误报率使适应度函数值低。个体中置l的位数越少，适应度值越大，这是出于寻找最小特征子集的考虑，其影响的强弱由相关系数d去控制。对于终端主机网络安全技术来说，目前为人们所接受并大规模投入应用的主要有：杀毒软件、主机网络防火墙、各种辅助的安全工具。其中，杀毒软件主要用于计算机病毒和各种恶意代码的防护。主机网络防火墙可以对针对当前主机的网络访问流量进行简单控制并防护常见的针对主机的网络攻击行为，它可以大大减少来自网络的潜在威胁，各种辅助安全工具可以有针对性的对某些环境或软件起到专门的保护作用，如MSN防护盾、网银安全控件等。

4 结论

作为一项安全技术，目前入侵系统有许多地方需要完善和改进，面对网络的高速发展，入侵检测系统存在检测效率低，实时性不强、误报和漏报率比较高等不足，如何提高入侵系统的性能就变得非常迫切。

参考文献：

[1]陈.遗传算法在网络入侵检测系统中的应用研究[J].数字技术与应用，2013，07：95.

[2]张辉.自体集网络入侵检测中的高效寻优算法仿真[J].计算机仿真，2013，08：297-300.

[3]麻书钦.基于Kohonen神经网络算法的网络入侵聚类算法的测试研究[J].中国测试，2013，04：113-116.

[4]王晟，赵壁芳.基于模糊数据挖掘和遗传算法的网络入侵检测技术[J].计算机测量与控制，2012，03：660-663.

作者单位：广州航天海特系统工程有限公司，广州 510663