当前位置: 首页 > 专利查询>北京大学专利>正文

一种基于生长型分级自组织映射神经网络的入侵检测方法技术

技术编号:4048282 阅读:273 留言:0更新日期:2012-04-11 18:40
本发明专利技术公开了一种基于生长型分级自组织映射(Growing?Hierarchical?Self-organizing?Maps,GHSOM)神经网络的入侵检测方法,属于网络信息安全技术领域。本方法中GHSOM入侵检测模型的训练方法的关键点为:1)设计一种新的混合向量结构,使得改进的GHSOM神经网络能够处理含有数值类型成员和字符类型成员的混合输入模式向量;2)设计一种新的控制机制,该机制使用张力映射率(Tension?and?Mapping?Ratio(TMR)来替代参数τ1,使得支持混合输入模式向量的GHSOM神经网络自动控制神经元的增长。把这种改进的神经网络用于入侵检测技术中,有利于检测率的提高。

【技术实现步骤摘要】

本专利技术涉及一种入侵检测方法,具体涉及一种基于生长型分级自组织映射 (GrowingHierarchical Self-organizing Maps,GHS0M)神经网络的入侵检测方法,属于计 算机网络信息安全

技术介绍
随着计算机网络尤其是Internet技术的迅速发展,网络在我们日常的生活、学习 和工作中发挥着越来越重要的作用,网络安全问题也越来越受到人们的关注。迅速、有效地 发现各类新的入侵行为,对于保障网络系统安全十分重要。入侵检测技术是一种通过监视 网络系统的运行状态,进而发现各种攻击企图、攻击行为或者攻击结果的信息安全技术。入侵检测作为一种主动防御技术,弥补了传统安全技术的不足。入侵检测系统可 以对计算机主机和网络进行实时监控,分析发现可疑事件。一旦入侵行为被检测出来,系统 就会采取相应的措施(如通知管理员,切断网络连接等),从而及时消除即将对系统安全产 生的危害。入侵检测作为系统安全技术的重要组成部分,日益受到各国政府及学者的重视。 美国国防部高级规划署(DARPA)和美国空军向麻省理工(MIT)等大学的研究机构提供资 助,利用人工智能的相关技术对入侵检测的技术及评估系统进行研究。包括中国在内的很 多国家都启动了信息安全的研究计划,来从事这方面的技术开发和研究。入侵检测方法一般可以分为两类误用检测和异常检测。误用检测假定所有的入 侵行为都能够表达为一种特定的模式或特征,通过模式匹配方法发现已知的入侵行为。异 常检测基于统计方法,假定所有的入侵行为都与正常行为不同,如果当前用户行为与正常 行为达到一定程度偏差,就认为系统受到了攻击。目前开展研究的异常检测算法和模型主 要包括统计异常检测、基于神经网络的异常检测以及基于数据挖掘的异常检测。神经网络是指为了模拟生物大脑的结构和功能而构成的一种信息处理系统或计 算机。神经网络的每个神经元接受大量其它神经元的输入,通过非线性输入/输出关系产 生输出,实现了从输入状态空间到输出状态空间的非线性映射。神经网络可以分为有监督 学习神经网络和无监督学习神经网络,无监督学习神经网络不要求预先给出网络的目标输 出,在训练的过程中,神经网络能够通过无监督学习对输入样本进行聚类分析,实现连接权 值的自动调节,大部分用于入侵检测的神经网络都采用无监督学习的方式。其中又以SOM 神经网络应用最为广泛。但是SOM网络结构是固定的,不能动态的改变。网络训练时某些 神经元始终不能获胜,成为“死”神经元,导致基于SOM网络的入侵检测方法的检测率比较 低,GHSOM神经网络试图克服这些缺陷。在入侵检测中,需要用一些字符特征(比如协议类型TCP,UDP等)描述各种攻击 行为。无论是SOM神经网络还是GHSOM神经网络,都只能处理数值类型的输入模式向量,对 于字符特征,需要把它们转化成数值形式。这种转化带有很大的随意性,不能准确反映攻击 行为的特点。另外,GHSOM在每层中神经元映射的增长依靠参数T1,参数T1设置不当往往 引起神经元数目的庞大,增加了系统的开销。
技术实现思路
针对现有技术中存在的问题,本专利技术的目的在于提供一种入侵检测方法,其通过 改进的生长型分级自组织映射(Growing Hierarchical Self-organizing Maps,GHS0M)神 经网络训练方法对入侵检测模型进行训练,使用训练好的GHSOM神经网络模型对网络入侵 行为进行检测。传统的SOM网络结构是固定的,不能动态改变。网络训练时某些神经元始终不能 获胜,成为冗余神经元,GHSOM在一定程度上克服了这些缺点。GHSOM神经网络中神经元的 数量、映射和层次都是在无监督的学习过程中动态确定的。但是GHSOM只能处理数值类型 的输入模式向量,对于含有字符类型成员的输入模式向量,GHSOM显得无能为力。另外,对 控制神经元增长的参数T1的设置也是一件比较麻烦的事情,往往需要实验多次才能找到 一个比较合适的数值。针对上述问题,对现有的GHSOM神经网络模型进行改进。包括1)设计一种新的 混合向量结构,使得改进的GHSOM神经网络能够处理含有数值类型成员和字符类型成员的 混合输入模式向量。2)设计一种新的控制机制,使得支持混合输入模式的GHSOM神经网络 能够自动控制神经元数目的增长。把这种改进的神经网络用于入侵检测技术中,有利于检 测率的提高。本专利技术的技术方案为,其步骤为1)从网络中采集网络数据,并对其进行特征的提取,生成神经网络能够识别的输2)将步骤1)处理后的数据输入给已加载训练好的神经网络模型的入侵检测模 入模式 块,进行入侵检测,其中神经网络模型的训练方法为 a)将训练样本数据集中的混合输入模式向量采用Xi =形式表示,其中表 示第j个混合输入模式向量&的数值类型分向量、X〗表示Xj的字符类型分向量;b)利用输入模式向量初始化神经网络第0层中唯一神经元的权值,并计算其量化 误差Qetl ;其中,神经元权值包括数值型权值分量、字符型权值分量;c)从第0层的神经元中拓展一 nXm结构S0M,并将其层次标识Layer置为1 ;其 中n、m为大于1的自然数;d)对于第Layer层中拓展出的每一 ηXm结构S0M,从映射到其父神经元的混合输 入模式向量构成的集合中挑选一混合输入模式向量X,并计算该SOM中每个神经元与X的距 罔;e)选取该SOM中与X距离最小的神经元c,并对神经元c及其邻域内神经元的权 值进行调整;如果未达到预定训练次数,则转入步骤d);f)计算经e)调整后的该SOM中每个神经元的量化误差;g)根据SOM中神经元的量化误差和第0层神经元的量化误差qeQ,控制拓展出的 SOM中神经元数目的增加和神经网络层次的拓展; h)对第Layer层中增加了新神经元的SOM和新拓展出的Layer+Ι层的所有nXm结构S0M,采用步骤d)__少骤f)所示方法对其重新进行训练,直至神经网络不再产生新的神经元和新的分层,整个训练结束;3)检测结果处理模块根据入侵检测模块输出结果判断当前是否发生入侵,如果发 生入侵,则入侵处理模块遍历攻击类型标识库,检验是否有匹配的攻击,如果有则确定攻击 的类型并发出告警信息;如果没有匹配的攻击,则判断是否为新的攻击类型,如果是新的攻 击类型,则把这种攻击类型加入到攻击类型标识库并发出告警信息。进一步的,第0层中神经元的数值型权值分量W^1为所有混合输入模式向量的数 值类型分向量的平均值,第0层中神经元的字符类型权值分向量W。s*所有混合输入模式向 量的字符类型分向量的众数向量;所述众数向量为对于一个形如的字符 类型向量构成的集合S,其众数向量mode (S)为,其中 mode (Si)表示所有向量的第i项构成的集合中出现次数最多的字符值。进一步的,所述ηXm结构SOM为2X2结构S0M。进一步的,采用张力映射率方法控制SOM中神经元的增加,其方法为(1)在神经元i与神经元j之间插入一虚神经元Vij,虚神经元Vij的权值Wij通过 公式‘、'(Win+W;)/2 、 modeiiC^Uiq})^(2)计算每个虚神经元的映射率;(3)计算所有虚神经元映射率之和SMR ;如果映射的拓扑结构规格大于2X2并且 SMR值大于之前映射的SMR值,则映射本文档来自技高网
...

【技术保护点】
一种基于生长型分级自组织映射神经网络的入侵检测方法,其步骤为:1)从网络中采集网络数据,并对其进行特征的提取,生成神经网络能够识别的输入模式;2)将步骤1)处理后的数据输入给已加载训练好的神经网络模型的入侵检测模块,进行入侵检测,其中神经网络模型的训练方法为:a)将训练样本数据集中的混合输入模式向量采用***形式表示,其中X↓[j]↑[n]表示第j个混合输入模式向量Xj的数值类型分向量、X↓[j]↑[s]表示X↓[j]的字符类型分向量;b)利用输入模式向量初始化神经网络第0层中唯一神经元的权值,并计算其量化误差qe↓[0];其中,神经元权值包括数值型权值分量、字符型权值分量;c)从第0层的神经元中拓展一n×m结构SOM,并将其层次标识Layer置为1;其中n、m为大于1的自然数;d)对于第Layer层中拓展出的每一n×m结构SOM,从映射到其父神经元的混合输入模式向量构成的集合中挑选一混合输入模式向量X,并计算该SOM中每个神经元与X的距离;e)选取该SOM中与X距离最小的神经元c,并对神经元c及其邻域内神经元的权值进行调整;如果未达到预定训练次数,则转入步骤d);f)计算经e)调整后的该SOM中每个神经元的量化误差;g)根据SOM中神经元的量化误差和第0层神经元的量化误差qe↓[0],控制拓展出的SOM中神经元数目的增加和神经网络层次的拓展;h)对第Layer层中增加了新神经元的SOM和新拓展出的Layer+1层的所有n×m结构SOM,采用步骤d)~f)对其重新进行训练,直至神经网络不再产生新的神经元和新的分层,整个训练结束;3)检测结果处理模块根据入侵检测模块输出结果判断当前是否发生入侵,如果发生入侵,则入侵处理模块遍历攻击类型标识库,检验是否有匹配的攻击,如果有则确定攻击的类型并发出告警信息;如果没有匹配的攻击,则判断是否为新的攻击类型,如果是新的攻击类型,则把这种攻击类型加入到攻击类型标识库并发出告警信息。...

【技术特征摘要】

【专利技术属性】
技术研发人员:杨雅辉姜电波沈晴霓夏敏张英何家胜
申请(专利权)人:北京大学
类型:发明
国别省市:11

网友询问留言 已有0条评论
  • 还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。

1