基于BP神经网络的入侵检测系统在TDCS网络中的应用.doc

基于BP神经网络的入侵检测系统在TDCS网络中的应用 宗盼 曹宏丽 （兰州交通大学 自动化与电气工程学院 730070） 摘要 由于TDCS网络存在许多不安全因素，为提高TDCS网络的安全性能，在此网络中引入了入侵检测系统，现有的检测技术和一般入侵检测系统还存在检测率低、误报率高等问题，针对这些不足，通过对神经网络的研究，将基于向后传播学习算法（Back-Propagstion Algorithm，简称BP算法）的神经网络应用于入侵检测中。 关键词：神经网络；入侵检测；主成分分析法；向后传播学习算法 Abstract Because there are many TDCS network safety factor, in order to improve the safety performance of the network we introduce the intrusion detection system in the network. The low detection’s rate and high false reporting is a common problem consisting in current intrusion detection technique methods, armed at these issues ，based on the back-propagation neural network learning algorithm is applied to the intrusion detection. Key Words：Neural networks, intrusion detection, principal component analysisack propagation TDCS（Train Operation Dispatching Command System） 1．入侵检测系统概述 1.1 入侵检测系统 随着入侵检测技术的快速发展，出现了很多种入侵检测系统。根据不同的分类标准，可以将入侵检测系统分为不同的类型。为了解决不同入侵检测系统(Intrusion Detection System，简称IDS）的共存问题和互操作性，美国国防高级研究计划署(DARPA)提出了通用入侵检测框架(Common Intrusion Detection Framework，简称CIDF)。通用入侵检测框架的体系结构定义了IDS功能组件的划分以及这些组件的分层通信模型，可以使来自不同系统的IDS组件能够做到即插即用，其体系结构如图1所示。 事件产生器将收集到的事件转换成Gido格式传送给事件分析器和事件数据库。事件分析器接收从事件产生器发送的Gido并进行分析，再将产生的分析结果传送给事件数据库及响应单元。事件分析器作为CIDF模型的核心部分，不仅可以是特征检测的工具，还可以作为基于统计模型的工具。将Gido存入事件数据库作为备份，在系统需要的时候使用。响应单元接收事件分析器处理后的Gido，并据分析结果采取相应的响应措施，如复位网络会话连接、杀死相关进程以及修改文件权限等等。 图1 CIDF结构图 1.2 入侵检测系统在TDCS网络中的作用及部署 防火墙作为网络安全防护的基本措施，如同第一道闸门，虽然可以阻止某类数据进入，但是对于能产生破坏结果的行为以及防火墙内部破坏行为却无法加以阻止。IDS作为网络安全防护的重要手段，对于目前的TDCS网来说其作用和功能如下： (1) 评估关键数据和系统的完整性； (2) 对异常活动进行统计分析； (3) 监控、分析用户和系统的活动； (4) 识别攻击活动的模式； (5) 审计系统的配置和弱点； (6) 对操作系统进行审计跟踪管理； (7) 识别违反政策的用户。 对于一个成功的入侵检测系统来说，它不仅需要配置简单以便非专业人员容易地获得网络安全，还需要使网管人员时刻了解系统和网络的实时变化，最终提供高性能的网络安全策略，当IDS发现TDCS网络中的异常行为或入侵行为时，会及时地做出响应，包括网络连接的切断、事件的记录和报警等。在列车调度指挥系统当中，入侵检测系统对其网络安全防护起着至关重要的作用，IDS在TDCS网络中的部署情况如图2所示。 图2 IDS在TDCS网中的部署 2．TDCS网络中入侵检测系统的模型设计 随着计算机网络的发展，TDCS网络中的许多用户在最初使用入侵检测系统时，都配置了基于网络的入侵检测，因为它拥有成本较低，反应速度快的特点。结合BP神经网络，在通用入侵检测模型的基础上，本文提出的系统设计目标如下： (1) 模型建立 实现一个入侵检测系统，其基本模块与第二章中所述的CIDF框架基本相对应，把入侵检测系统分为4