本发明专利技术公开了一种基于增量式GHSOM神经网络的入侵检测方法,属于网络信息安全技术领域。本方法为:1)在线采集网络数据输入给入侵检测模块;2)入侵检测模块计算可检测当前向量x的获胜神经元t;3)如果t是覆盖神经元,且x与t同类,则利用t检测x;否则为x打上未知攻击类型的标签,把x加入增量训练集;4)当t满足拓展条件时,从t下方拓展出一虚神经元t′再从t′拓展出一新SOM,利用t对应的增量训练集合It进行训练;5)查找新拓展SOM子网的成熟父神经元,如果其超过删除不成熟子网的条件,则对动态拓展出的不成熟神经网络部分重新训练;6)根据入侵检测模块输出的检测结果判断是否发生入侵。本发明专利技术能及时检测出各种入侵行为,尤其是新出现的入侵行为。
【技术实现步骤摘要】
本专利技术涉及ー种入侵检测方法,具体涉及ー种基于増量式生长型分级自组织映射(Incremental Growing Hierarchical Self-organizing Maps, IGHSOM)神经网络的入侵检测方法,属于计算机网络信息安全
技术介绍
随着计算机网络规模的不断扩大以及网络技术的高速发展,计算机网络与人们的日常生活紧密的联系在一起,网络安全问题也随之受到人们的关注。特别是近年来黑客攻击的频度、传播速度、受害面和破坏程度都在不断加大,如何保证个人信息不被盗取,以及如何抵御网络外部和系统内部的攻击行为或企图,成为网络安全业界密切关注的重要课·题。围绕网络安全问题人们提出了很多种解决的方法,如人们熟知的防火墙。防火墙能够通过过滤和访问控制阻止一些对系统的非法访问,但是缺乏对网络环境下日新月异的攻击行为的主动响应,不能提供足够的安全保护。入侵检测作为ー种主动防御技木,是对传统安全机制的补充,它能够通过监控网络的使用状态、用户的操作行为以及系统的异常情况,亦或通过对网络数据包进行分析和处理,来检测网络系统用户和系统外部的入侵者的入侵行为或企图,并做出实时响应,它的引入进ー步地提高网络系统的安全性。入侵检测方法分为异常检测和误用检测。异常检测是通过对比与正常模式的偏离度来预测用户的行为是否为异常,包括基于特征选择、贝叶斯网络、机器学习、数据挖掘、ネ申经网络的异常检测方法等;误用检测是通过模式匹配当前活动与预先定义好的入侵模式或入侵规则,包括基于条件概率、状态迁移分析、键盘监控、专家系统、模型误用推理及Petri网状态转换的误用入侵检测方法。神经网络算法具有自适应、自学习、自组织、较好的容错性和鲁棒性、以及能够进行大規模并行计算和非线性映射等优点,非常适用于变化多端的入侵检测环境。自组织映射(self-organizing maps, SOM)是神经网络方法中ー种典型的方法。但由于传统的SOM神经网络模型结构是固定的,不能改变,所以选择不同的初始神经元个数会直接导致最终神经网络模型的结构与检测精度。而生长型分层自组织映射(Growing HierarchicalSelf-organizing maps, GHS0M)是SOM模型的一种变体,不仅可以自适应地调整子网和拓展子网,而且可以更好的体现数据中可能存在的复杂阶层关系,较好地解决了 SOM神经网络模型不能动态更新的缺点。GHSOM神经网络算法是基于批量学习,即假设一次可以得到所有训练样本,对这些样本进行学习,达到预定学习次数后学习过程終止,不再学习新知识。然而在现实入侵检测网络应用中,攻击类型是层出不穷的,所以包含所有攻击类型的训练样本通常是随着时间逐步得到的,并且训练样本反映的内在信息可能随着时间的变化而变化。如果算法毎次得到新样本后都要对全部数据重新训练,势必会提高算法的时间复杂度和空间复杂度,不能及时发现新的入侵行为。
技术实现思路
针对现有技术中存在的问题,本专利技术的目的在于提供一种增量式入侵检测方法,其是在ー个稳定的入侵检测模型基础上以在线方式边检测边进行増量学习,实现在检测过程中对入侵检测模型进行动态更新,从而能够更及时的检测出各种入侵行为,尤其是新出现的入侵行为。传统的SOM神经网络结构是固定的,不能动态改变,训练时某些神经元始终不能获胜,成为冗余神经元,GHSOM在一定程度上克服了这些缺点。但是GHSOM神经网络算法是基于批量学习,达到预定学习次数后学习过程終止,不能再学习新知识,对于攻击类型层出不穷的实际入侵检测检测网络显得无能为力,如果频繁地对全部数据重新训练,全部数据重新训练,势必会提高算法的时间复杂度和空间复杂度。针对如上问题,本专利技术提出基于增量式生长型分级自组织映射(IncrementalGrowing Hierarchical Self-organizing Maps, IGHSOM)神经网络的入侵检测方法,提高入侵检测模型的智能性。主要工作包括I)在检测过程中増加相似度判断,用于判断检测·向量是否与获胜神经元同类型。2)在检测过程中动态构造新拓展层的训练数据集。3)提出增量式GHSOM神经网络的动态层拓展方案。4)设计增量式GHSOM神经网络规模的控制机制。为了便于后续内容的讨论,先给出如下定义定义I:映射向量。训练过程中落在神经元上的获胜向量称为映射向量。定义2 :获胜向量。检测过程中落在神经元上的获胜向量称为获胜向量。定义3 :覆盖神经元。如果神经元能够被ー个足够小的超球区域所覆盖,即神经元上的映射向量到该神经元权值的欧氏距离都小于某ー个期望值,那么该神经元称为覆盖神经元,即满足如下式子I I i-wt I < , (I)其中i是神经元t上映射向量集合中的任意ー个向量,Wt是神经元t的权值,4取经验常数以保证该神经元的映射向量分布集中。本文中(的取值通过实验方式获取,取值为0. 11。定义4:成熟神经元。是指在増量学习算法执行过程中不发生改变的神经元。所有初始训练的GHSOM神经网络中的神经元都是成熟神经元;对于动态增量拓展的子网络中的神经元是成熟神经元,应同时满足以下必要条件1)非虚根节点上的成熟神经元一定是覆盖神经元。2)成熟神经元的虚根神经元也是成熟神经元。3)成熟神经元所在SOM网络中的所有非根神经元都是覆盖神经元。4)成熟神经元的所有上层(包括直接上层和间接上层)SOM网络中的所有神经元都是成熟神经元。本专利技术的技术方案为一种基于増量式生长型分级自组织映射神经网络的入侵检测方法,其步骤为I)初始化。动态增量式GHSOM神经网络模型初始化为使用生长型分级自组织映射神经网络的入侵检测方法训练好的神经网络模型。并将初始化后的动态增量式GHSOM神经网络模型加载到入侵检测&动态增量式学习模块。2)从网络中采集网络数据,并对其进行特征的提取,生成神经网络能够识别的检测模式向量;将处理好的检测模式向量输入给入侵检测&动态增量式学习模块,进行增量式学习,实现在入侵检测的过程中对GHSOM模型进行动态更新,其中增量式学习(包括入侵检测)过程为a.将基于网络流量在线采集并提取的当前检测模式向量赋值给X,选择第一层SOM中与X距离最小的神经元t作为获胜神经元。b.如果获胜神经元t是可用于检测神经元,就跳到d。c.如果获胜神经元t不是叶子神经元,则继续找获胜神经元t子层中的获胜神经元,并将该神经元赋值给t,然后返回b ;否则获胜神经元t是叶子神经元,输出检测结果并调整获胜神经元的增量训练集当获胜神经元t是非覆盖神经元且增量集合It为空,那么It = {x} U Mt,其余情况都只需It = It U {x},跳到e。d.计算向量X与获胜神经元t的欧氏距离dis (x,t)和获胜神经元t的相似度阈·值St。如果dis(x,t) >St,说明检测模式向量X与获胜神经元t不同类,返回c;否则向量X检测成功,判断获胜神经元t是否为覆盖神经元,是则输出检测结果并返回a,不是则返回Coe.如果获胜叶子神经元t满足拓展条件时,即增量训练集中向量个数达到拓展参数Ex的倍数,则从神经元t下方拓展出一个虚神经元t',再从虚神经元t'拓展出一个新的2X2结构的S0M。将神经元t的增量训练集合It作为本文档来自技高网...
【技术保护点】
一种基于增量式GHSOM神经网络的入侵检测方法,其步骤为:1)从网络中在线采集网络数据,并生成神经网络能够识别的检测模式向量,输入给入侵检测&动态增量式学习模块;其中,所述入侵检测&动态增量式学习模块包括一离线训练好的GHSOM神经网络模型;2)所述入侵检测&动态增量式学习模块将当前检测模式向量赋值给x,采用自顶向下的方式按照GHSOM神经网络模型的层拓展关系,计算并找出可用于检测向量x的获胜神经元t;3)如果获胜神经元t是覆盖神经元,且向量x与获胜神经元t是同类,则利用该神经元t检测输出该检测向量x的检测结果;否则为向量x打上未知攻击类型的标签并输出检测结果,如果获胜神经元t是非覆盖神经元且增量训练集为空,则需要把获胜神经元t的映射向量集和向量x都添加入增量训练集中,否则只需把向量x添加入获胜神经元t的增量训练集中;4)当获胜叶子神经元t满足设定拓展条件时,从获胜叶子神经元t下方拓展出一个虚神经元t′再从虚神经元t′拓展出一个新的2×2结构SOM,利用获胜叶子神经元t对应的增量训练集合It进行训练;所述虚神经元不具备检测攻击类型的功能,其权值不能改变且等于父神经元增量训练集中向量的均值,它的映射向量集等于父神经元的增量训练集;5)查找新拓展SOM子网的成熟父神经元,判断该成熟神经元是否满足删除不成熟子网条件,如果满足删除不成熟子网条件,则对从该成熟神经元动态拓展出的不成熟神经网络部分删除并重新进行训练;6)入侵分析与处理模块根据入侵检测模块输出的检测结果判断当前是否发生入侵;其中,所述覆盖神经元为:如果神经元上的映射向量到该神经元权值的欧氏距离都小于某一个期望值,那么该神经元称为覆盖神经元;GHSOM神经网络模型离线训练过程中落在神经元上的获胜向量称为映射向量;如果神经元所在子网中的全部神经元及其上层网络的全部神经元均为覆盖神经元,则该神经元为成熟神经元,由所述成熟神经元构成的网络为所述成熟神经网络;包含不成熟神经元的网络为不成熟子网。...
【技术特征摘要】
【专利技术属性】
技术研发人员:杨雅辉,黄海珍,沈晴霓,吴中海,夏敏,阳时来,
申请(专利权)人:北京大学,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。