[发明专利]基于移动代理和学习向量量化神经网络的智能NIPS架构

说明书

技术领域

本发明涉及计算机网络信息安全技术领域，尤其涉及应用于计算机网络安全防御系统NIPS的关键技术，可有效地解决网络安全漏检和误报率高的问题，进一步提高网络的检测辨识与阻断决策准确性和整体智能防御性能。

背景技术

现今一般使用的传统式防火墙是一种被动的静态访问控制系统，依据安全策略只对外网信息进行检测(不对内网检测)，从而只能保护内网不受外界非法访问和攻击。而入侵检测系统(Intrusion Detection System，IDS)，主要通过网络数据包事件行为进行分析、监视、检测和识别系统中未授权或异常现象。注重的是网络监控、审核跟踪，在发现异常时只报告不能防范，只能通过与防火墙等安全设备联动的方式进行防护。目前存在严重缺陷：一是动态联动性差、智能性差；二是网络缺陷，用交换机代替可共享监听的HUB使IDS的网络监听带来麻烦，并且在复杂的网络下精心地构造与发送数据包也可绕过IDS的监听；三是误报量大且出现漏报，报警不断。

入侵防御系统(Intrusion Prevention System，IPS)可以对传输过程中的全部数据包进行过滤检测，实时决策是否许可或禁止访问。IPS具有过滤器功能，能够防止系统上各种类型的弱点受到攻击。当新的弱点被发现之后会创建一个新过滤器并纳入管辖，试探攻击这些弱点的任何操作行为都会受到阻拦。IPS技术能够对网络进行多层、深层、主动的防护以有效保证企事业单位的网络安全。IPS相当于防火墙与入侵检测系统IDS结合，但并不能代替防火墙或IDS。防火墙在基于TCP/IP协议的过滤功能突出，IDS提供的全面审计资料对于攻击还原、入侵及异常操作取证、异常事件识别、网络故障排除等都有很重要的功效。但是仍然存在对计算机网络安全单一检测、误报率高、错误报警率多、漏报、动态实时交互协同联动性差、智能性和整体防御性差等缺点和不足。

网络性能、安全精确度和安全效率是计算机网络安全面临的主要问题。现有的传统式的防火墙是一种被动的静态访问控制系统，依据安全策略只对外网信息进行检测(不对内网检测)，从而只能保护内网不受外界非法访问和攻击。而基于网络的入侵防御系统NIPS(Network Intrusion Prevention System)具有难以智能主动阻断可疑数据包、监控受限、检测分析方法单一、实时性差、联动协同性差、漏误报率高、异构系统难互操作、体系结构不能满足分布及开放的要求等缺点，致使计算机网络安全隐患和威胁不断增加，网络资源利用及共享服务的效能降低，同时也加重了网络管理员和网络安全员的人工辅助处理与管理决策的负荷。严重地影响计算机网络安全防御和检测的关键技术精确度、安全效率、智能性、实动态时联动性和安全防御的整体性能。因此，对其关键技术的研究成为国内外倍受瞩目的高新技术。

神经网络NN是一种智能化信息处理技术，具有概括抽象、自学习与自适应能力和内在的并行计算特性等，在入侵防御异常行为检测辨识中具有独特优势：通过大量实例知识训练，可获取学习及预测能力，其过程可抽象计算，对数据分布及向NN解释知识细节要求不强，可利用现有实例确定系统各度量间内在联系；向NN传输新发现的异常行为实例，通过再学习使其对新异常行为模式进行反应，从而使NIPS具有自适应能力；NN可学习系统正常行为模式，对异常行为产生反应，进而发现一些新攻击模式；训练后可对模式匹配及判断转换为数值计算，提高系统处理速度，适于实时处理。

BP(Back Propagation)神经网络学习算法应用最广泛，具有训练时间长、收敛速度慢、容易陷入局部极小等缺点。采用学习向量量化LVQ网络来研究入侵检测问题，可弥补了BP网络的不足，提高了防御检测辨识性能。

学习向量量化LVQ(Learning Vector Quantization)神经网络，属于前向有监督神经网络类型。LVQ神经网络基于对具有期望类别信息数据的训练，是在监督状态下对竞争层进行训练的一种学习方法。因而，LVQ神经网络具有分辨故障原因及故障类型的能力。

LVQ网络的优势与模式识别或映射方式比，网络结构简单，可对线性输入数据进行分类，并可处理多维和含噪及干扰的数据，通过自身训练，自动对输入模式进行分类及智能异常行为的防御检测辨识。其实际上是传统的K-近邻分类器的改进，可有效克服其训练样本空间存储大及分类时间长的缺点，学习速度也比反向传播网络BPN快。可利用学习确定输入层与竞争层间的加权值变量，而竞争层与线性层间加权值为定值无需学习确定。可使线性网络达到更好分类效果，在竞争层作用下，可有效避免线性网络要求数据为线性可分的较强限制，更实用广泛。