基于PNN概率神经网络的数据库入侵检测

基于PNN概率神经网络的数据库入侵检测

摘要：本文利用神经网络的强大的自学习能力和自适应性来提高安全审计系统的性能。在众多神经网络中，PNN概率神经网络尤为适合运用到入侵行为模式的误用检测方面。因此本文将PNN概率神经网络和入侵检测技术结合起来，研究保护企业数据库的安全技术，并构造出一套企业数据库入侵误用检测模型。该模型主要用于检测已知的入侵行为模式，并给系统及时处理入侵行为提供依据。

关键词：数据库安全 PNN概率神经网络 入侵检测

Abstract：The thesis uses the neural network’s powerful self-learning and self-adaptive to improve the performance of the security audit system. In many neural networks， the Probabilistic Neural Network is particularly suitable for the misuse detection of intrusion mode. The thesis combines the method of the Probabilistic Neural Network with the technique of intrusion detection， and constructs a model of intrusion detection system applied to the corporation database. The mode can detect the known intrusion modes， in the same time， provides the basis for system to deal with the intrusions in time.

Key words： Database security Probabilistic Neural Network Intrusion detection

数据库作为企业和部门信息系统的重要组成部分，存储着大量的数据，其中某些数据可能是机密的重要数据，这些数据一旦遭到破坏，会给企业和部门造成不可挽回的损失，所以，这些数据的安全性在信息系统的安全中起着至关重要的作用。当前，数据库安全技术的研究已经成为信息安全的重要课题，入侵检测技术是新一代的动态安全保障技术，它用来检测内部用户的不合法操作和外部非法入侵者的恶意攻击。检测系统在检测到攻击的同时，还会采取适当的处理与保护措施，对有效保护数据库安全提供了一种很好的解决思路，被称为防火墙之后的第二道安全闸门。其本身也成为当今信息安全领域的一个研究热点。

入侵检测ID（Intrusion Detection）是近十年发展起来的一种预防、动态监测和抵御系统入侵行为的安全机制，弥补了传统安全技术的不足。入侵检测系统IDS（Intrusion Detection System）可以实时监控网络和计算机主机，发现可疑事件，入侵行为一旦被检测出来，系统就会采取报警、记录和切断连接等措施，在对系统安全产生的危害之前及时消除风险。

神经网络技术具有自适应和自学习的能力，只要给系统提供所需的网络数据包和审计数据，它就可以通过自学习构造出相对正常的用户或系统活动模型，从而检测出异常活动的攻击模式，因此在检测方法上，将神经网络引入到入侵检测的研究中，使得入侵检测的智能性研究逐渐成为热点。

PNN概率神经网络在数据库入侵的误用检测中，能够对入侵行为模式进行

快速准确的检测及判断，为系统及时采取相应的措施提供依据。误用检测是指运用已知的攻击方法，根据定义好的异常模式，通过判断这些异常模式是否出现来检测。本文围绕PNN神经网络的运用，对整个数据处理过程进行了介绍，从数据采集，到网络训练，以及测试网络性能，提出利用PNN概率神经网络进行入侵行为模式判断的优势，进而总结出一种新型的企业数据库入侵的误用检测模型。

一、PNN神经网络算法模型

概率神经网络PNN（Probabilistic Neural Network）是根据径向基函数网络发展而来的一种前馈型神经网络，是径向基网络的一种变化形式，其理论依据是贝叶斯最小风险准则。PNN具有结构简单、训练快捷等优点，在分类问题中，它的优势在于可以利用线性学习算法来完成非线性算法所做的工作，同时又可以保持非线性算法高精度的特点。其结构如图1所示。

输入层测试向量X（X1…Xn）通过传递机制传递到模式层，经过模式层的相应处理产生新的信息量依次经过该网络的所有层，其神经元的数目由训练数据的维数决定。模式层中各个类别组的输出为：

其中Wi表示连接输入层与模式层的权值，δ表示平滑因子。

求和层具有线性求和的功能，估计分类模式的各个类别的累计概率。概率密度函数为：

其中m为属于类别A的训练样本数，XAi为样本中属于类别A的第i个训练样本，σ为平滑因子。训练过程可以表示如下：首先通过输入层输入训练样本向量，然后在模式层中分别计算该向量与代表不同类别组的神经元之间的距离，再在求和层中求出每个类别模式的概率，最后在输出层计算各个类别的概率估计，由阈值辨别器从中选择并传递出后验概率密度最大的神经元的输出即1，而其他的输出0。

二、数据采集

入侵检测的数据采集可以收集系统、网络、数据及用户活动的状态和行为，一般可以利用的信息主要来自以下三个方面。

1、系统和网络日志文件

2、非正常的程序执行

3、非正常的目录和文件改变该模型主要流程为：利用事件探查器实时跟踪各客户端调用，采集相关数据并进行处理，将数据直接导入特征数据库，利用PNN神经网络对误用检测的优势，实现快速检测及判断各种数据是否为已知的异常调用，如有匹配则为某种入侵行为模式，将数据送入报警单元，不匹配的数

据则为正常行为，不作处理。

总结：

随着互联网迅猛发展，企业数据库的安全显得非常重要。入侵检测作为一种重要的安全保障手段，涉及到广泛的技术领域。本文提出一种基于PNN概率神经网络的算法，实验结果表明将PNN概率神经网络引入到入侵检测中的具有快速、精准的优势，由此结合PNN概率神经网络与入侵检测技术研究了一类企业数据库的安全保护技术，实现了企业数据库入侵检测的系统模型，并详细介绍了模型各个模块的具体实现方法及流程。可以有效的防范到来自内部的越权操作、违规操作和恶意破坏等，并可以抵制外部的远程非法入侵，是运用神经网络技术解决企业数据库安全保障的有效尝试。基于企业数据库的数据采集方法和神经网络检测技术为今后的工作打开了思路。

参考文献：

[1]王小川，史峰等。《MATLAB神经网络30个案例分析》.第一版.北京：北京航空航天大学出版社，2010：176-182.

[2]张德丰等.《MATLAB神经网络应用设计》.第二版.北京：机械工业出版社，出版年2011：320-323.

[3]金波.入侵检测智能方法的研究.上海：华东理工大学，2000：29-131.

[4]李钢.基于神经网络的入侵检测研究与实现.南京：南京师范大学.2006.

[5]Sushil Jajodia.Database Security and Privacy.ACM Computing Surveys.1996.

[6]K.Richard. Network Based Intrusion Detection： A Review of Technologies. Computers & Security.1999.

[7]W.Lee. A data mining for constructing features and models for intrusion detection system. Ph.D.Dissertation， Columbia University，1999.