遗传算法下的网络安全技术.doc

遗传算法下的网络安全技术 摘要：网络开展速度之快，令人振奋的同时，也让业内人士加深了对网络平安的担心所以，网络给企业带来了信息化的便利，也带来了平安的隐患设计了一个入侵检测模型，该模型使用了遗传算法技术，可以应用在企业的网络中监测非法入侵 关键词：遗传算法；网络平安；入侵检测 硬件技术、软件技术和网络技术都开展飞速正因为如此好的大环境，使得越来越多的企业都开始进行全方位的信息化建设企业的信息化离不开网络的支持，但是网络为企业带来信息的传输和共享的便利的同时，也为企业带来了潜在的平安隐患因为网络的存在，使得企业的信息都在网络中传输，是开放性的，这就使得企业的数据面临着数据丧失或者被非法窃取的风险，还有其他方面的可能对企业造成风险的存在，示例：可能会因为员工的误操作使得信息的泄露；非法入侵网络对网络的数据进行篡改或窃取无论是什么方面的原因对企业造成的负面影响都是一样的，可能会使得企业造成经济方面或者信誉方面的损失所以企业的基于网络的信息化建设必须要强化网络平安的建设，否那么信息化建设的意义就会大大折扣甚至失去作业为某个企业设计一个改良的复合入侵检测模型，为企业的网络平安保驾护航 1企业现状分析 架设一个企业的网络结构：该网络的逻辑结构有3层，从上到下分别是企业最高领导、企业主要部门和企业的分厂与对外营业部。

该企业的主要办公场所设有信息管理系统，示例：财务管理系统、生产管理系统、销售管理系统、采购管理系统等企业可以通过网络在总部、分厂和营业部之间进行信息的传递和共享数据能够在总厂和分厂双向流动；分厂之间却不能进行数据的直接传输，必须经过总部之所以这样设计，为的是尽可能地避免数据的公开和外漏分厂和总部之间是必须有网络连接的，但是分厂之间不需要进行直接的数据共享，所以也就不需要在分厂时间搭建网络，这样网络的拓扑结构变得相对简单，容易管理和防护 2遗传算法原理 Holland，Holland最早提出了遗传算法他一直致力于遗传算法的研究，他结合了Darwin的进化论和Mendel的遗传学说来提出的遗传算法Darwin的进化论的主要观点是随着进化，物种的后辈越来越适应环境后辈虽然继承了父代的特征，却不能和父代完全一致，变化是肯定存在的之所以有变化就是为了对环境的适应才产生的如果没有适应环境的特征出现，物种就会出现被淘汰的可能，这就是所谓的适者生存最初的遗传算法是在生物界使用的算法，为的是对自然界的自适应现象进行模拟，后来在项目问题的应用开始变多，遗传算法是全局范围的搜索算法，遗传算法有较强的自适应性，它能通过迭代和启发来进行算法，能应用在非线性问题的解决中，能解决问题的鲁棒性，需要获得全局最优性等。

遗传算法的这些能力使得它很快获得业界的认可遗传算法要能够进行，最重要的是它能进行迭代，它是模拟生物进化，通过复制、杂交和变异等操作来完成迭代不停迭代更新的是由一个代码串形成的基因代码从初始给定的基因代码群开始迭代，不断用优化的代码群对旧的进行取代，最终得到的就是最优解其区别于传统搜索算法，主要体现为如下的4个方面：〔1〕传统搜索算法是独自个体进行迭代，而遗传算法是按组为单位进行迭代；〔2〕传统搜索算法叙述问题域可以采用任意形式，而遗传算法叙述问题域只能使用染色体；〔3〕传统搜索算法依赖于问题所在的领域知识，而遗传算法只需要考虑染色体的构成；〔4〕传统搜索算法的搜索策略是确定的，而遗传算法那么是随机的，这恰好反馈了“适者生存〞的规律总结遗传算法的特点，它和传统搜索算法进行比拟，优势主要体现在3个方面：1〕有较强的适用性遗传算法之和染色体有关，和问题本身无关这对优化来说是非常重要的，根本上能得到称心答案2〕体现智能性的特点遗传算法通过染色体的方式来产生最具有适应性的基因才能产生最适应值然后继续迭代，最终获得最优值该特点对于大型复杂问题效果非常好3〕并行性并行问题是遗传算法最擅长处理的，而且使用它进行搜索，能够到达解空间内的几乎所有区域。

遗传算法的并行性能够使得它的性价比拟高，少付出多收益，所以遗传算法应用在大规模生产调度问题上较为适宜网络的入侵检测如果采用遗传算法，需要分为3个步骤：捕捉数据、分析数据、响应在此设计了一个改良的遗传算法，利用Winpcap(WindowsPacketCapture)获取的网络数据包，从而能够作为判断是否存在网络入侵的依据这些数据可以存储在规那么库中，遗传算法可以随时调用这些数据，作为入侵检测使用要使用遗传算法，需要将规那么转换为染色体然后对染色体进行编码，染色体就是可能的入侵，所以染色体的设计就是为了寻找网络的入侵操作 3入侵检测模型的设计 传统的入侵检测存在一定的问题，示例搜索算法可能陷入部分最优解，不能找到全部的网络非法访问针对这个问题，入侵检测模型是以遗传算法为根底的，是混合型的也就是说采用了多种检测方式来完成入侵检测，检测的根底是遗传算法，然后采用了异常检测和误用检测同时该模型可以在不同玩过拓扑结构上采用不同的架构方式，扩展性和适应性较强对于信息源的考虑，是检测主机和网络的数据通过数据分析引擎来处理主机的数据主要是日志、CPU运行数据、内存使用数据、主机连接数量等；网络数据一般包括网络协议、网络数据包、网络统计数据等。

这些数据是由WinPcap捕获的另外，还在网络中设置了主动扫描模块来完成网络中可能存在的漏洞，为后续的入侵分析提供大量的信息入侵检测模型既对网络数据进行检测，又对主机数据进行检测；检测的方面有两个：误用和异常然后将两者结合起来分析传统的检测方式一般都是单一的检测，对于多样性的网络信息，效果不是很理想；其误报率比拟高而采用的混合型的检测办法相对单一的办法，其有效提高了很多检测信息源的多样性使得检测率大大提高，而采用的二层联合分析又使得系统的误警率大大降低混合型入侵检测系统采用的体系架构是可扩展的它对应用场合的适应性非常强，如果网络环境不同，能够建立的体系架构也可以不同系统在接口和通信方面都采用规范的协议，这就是的系统的兼容性和扩展性都较好如图1所示，入侵检测模型的模块有数据采集、捕获网络数据、分析管理单元、主机信息采集器等数据采集模块分为主机和网络两个方面的采集和捕获其中捕获网络数据需要按照数据包截取、解析和存储的步骤来进行，所有需要分别设置3个子模块该系统的核心是分析器和管理器其中分析器是对异常和误用分别进行分析，然后再联合一起分析，这是入侵检测最为核心的任务管理器的功能有两块：〔1〕控制和配置分析器和整个系统；〔2〕接收分析器的信息来控制反馈单元和报告单元。

由于企业网络的子网有假设干个，所以每个子网都要进行数据采集，就要通过网络数据捕获器来完成，每个子网都需要部署一个而所有子网的每台主机都需要设置对应的采集器，用来进行该主机信息的采集，并将信息传递给分析管理单元，在此处进行判断是否存在入侵检测，并得到是否存在入侵检测的判断 4结语 虽然网络给企业的信心化管理带来了很大的便利，但是网络平安问题也是非常棘手问题为了保障企业的网络平安需要从多个方面入手，包括技术、法律和内容等多个方面其中技术角度是最为直接的网络平安保障方式文中是一种改良的基于遗传算法的混合型入侵检测模型，能够利用遗传算法找到最优的入侵检测策略，并结合信息源和检测伎俩的检测办法能够最大限度地提升检测率和降低误警率 参考文献 【1】代威.入侵检测技术在网络平安中的应用.重庆理工大学学报,2008,032(004):156-160. 【2】辛壮,万良.基于人工免疫的集成入侵检测模型.计算机项目与设计,2008,040(010):2799-2804. 【3】高阳.机器学习在网络入侵检测中的应用浅谈.电脑迷,2008,000(025):178. 【4】王楠鑫."互联网+"时代网络平安入侵检测技术应用与研究.中国科技投资,2008,000(010):302. 。