專利名稱:一種多神經(jīng)網(wǎng)絡(luò)融合的入侵檢測(cè)方法
技術(shù)領(lǐng)域:
本發(fā)明涉及入侵檢測(cè)技術(shù)領(lǐng)域�����,具體涉及一種多神經(jīng)網(wǎng)絡(luò)融合的入侵檢測(cè) 方法����。 背景技木近年來,網(wǎng)絡(luò)攻擊和入侵的頻繁發(fā)生使得入侵檢測(cè)系統(tǒng)(IDS)技術(shù)的研究 變得越來越重要�。在整個(gè)系統(tǒng)安全架構(gòu)中,對(duì)于系統(tǒng)����、網(wǎng)絡(luò)直至用戶IDS扮演了 非常重要的角色。通常而言�, 一個(gè)計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)包含了很多的安全系統(tǒng),諸 如網(wǎng)絡(luò)防火墻�����、漏洞掃描系統(tǒng)�、訪問控制系統(tǒng)等。但入侵檢測(cè)系統(tǒng)是唯一通過 數(shù)據(jù)和行為模式判斷其是否有效的系統(tǒng)���。對(duì)于一個(gè)成功的入侵檢測(cè)系統(tǒng)而言�����, 它不但可以使系統(tǒng)管理員時(shí)刻了解網(wǎng)絡(luò)系統(tǒng)(包括程序��、文件和硬件設(shè)備)的 任何變更��,還能給網(wǎng)絡(luò)安全策略的制定提供指南����。神經(jīng)網(wǎng)絡(luò)技術(shù)在網(wǎng)絡(luò)安全入侵檢測(cè)鄰域中是非常有前景的技術(shù)之一。國(guó)際 上最為著名的研究機(jī)構(gòu)和組織包括Georgia大學(xué)����,MIT, Research of RST Corp.,以 及UBILAB實(shí)驗(yàn)室等�����。1998年���,J. Cannady和J. Mahaffy在研究誤用檢測(cè)中�,首 次采用多層感知機(jī)MLP模型使用后向傳播BP算法�,并且提出和自組織神經(jīng)網(wǎng)絡(luò) SOM相結(jié)合�,建立MLP/SOM模型以取得更佳性能���。自此以后�����,基于神經(jīng)網(wǎng)絡(luò) 技術(shù)的入侵檢測(cè)研究更加繁榮。在這些研究中�,包括使用BP網(wǎng)絡(luò)、RBF網(wǎng)絡(luò)�、 SOM網(wǎng)絡(luò)及其各種變化形式、支持向量機(jī)SVM���、 PCA/MCA神經(jīng)網(wǎng)絡(luò)用于特征抽 取等等���。總結(jié)所有這些方法的特點(diǎn)��,都是采用神經(jīng)網(wǎng)絡(luò)^^型無關(guān)的特性進(jìn)行特 征選擇/抽取��,進(jìn)而進(jìn)行行為或者數(shù)據(jù)模式的建立�;網(wǎng)絡(luò)的訓(xùn)練根據(jù)需要采用監(jiān) 督或者無監(jiān)督方式;應(yīng)用于異常檢測(cè)或誤用檢測(cè)����;使用模型或算法具有的數(shù)據(jù) 分類或者聚類能力����。明顯的�,基于單一網(wǎng)絡(luò)/模型進(jìn)行入侵檢測(cè)分析可以取得一定的效果(即針 對(duì)單一的異常檢測(cè)或者誤用檢測(cè))。但整體而言�, 一個(gè)完整的入侵檢測(cè)系統(tǒng)不但需要較高的異常檢測(cè)能力,即區(qū)分正常和異常行為��,尤其需要對(duì)于新類型的入
侵/攻擊的檢測(cè)能力�����;而且需要自適應(yīng)地完善系統(tǒng)誤用攻擊檢測(cè)能力���,即對(duì)于已 經(jīng)識(shí)別的入侵/攻擊的高效率識(shí)別能力�。由此�����,單一的神經(jīng)網(wǎng)絡(luò)智能方法對(duì)于構(gòu)筑一個(gè)完整的入侵檢測(cè)系統(tǒng)捉襟見肘�����。發(fā)明內(nèi)容本發(fā)明所要解決的技術(shù)問題是如何提供一種多神經(jīng)網(wǎng)絡(luò)融合的入侵檢測(cè)方 法,該方法采用異常檢測(cè)和誤用檢測(cè)相結(jié)合的技術(shù)手段�,克服現(xiàn)有技術(shù)中所存 在的缺陷。本發(fā)明所提出的技術(shù)問題是這樣解決的提供一種多神經(jīng)網(wǎng)絡(luò)融合的入侵 檢測(cè)方法����,其特征在于,包括以下步驟① 對(duì)來自外網(wǎng)的數(shù)據(jù)進(jìn)行抓包和分析處理��;② 將上述處理后的網(wǎng)絡(luò)數(shù)據(jù)同時(shí)傳輸?shù)椒治鰯?shù)據(jù)庫(kù)和SGNG異常檢測(cè)分類 器�,使用封閉網(wǎng)絡(luò)采集的正常類型數(shù)據(jù)離線訓(xùn)練SGNG異常檢測(cè)分類器��;③ 所述SGNG異常檢測(cè)分類器將檢測(cè)出的異常數(shù)據(jù)標(biāo)記后進(jìn)行系統(tǒng)報(bào)警并 將其存入分析數(shù)據(jù)庫(kù)���;④ 將分析數(shù)據(jù)庫(kù)中標(biāo)記異常的數(shù)據(jù)集提供給PCSOM異常聚類分析器進(jìn)行 異常數(shù)據(jù)聚類分析�����;⑤ 經(jīng)過SGNG異常檢測(cè)分類器檢測(cè)出的異常數(shù)據(jù)按照類型分別輸入到若干 個(gè)并行的PCANN誤用檢測(cè)器���,PCANN誤用檢測(cè)器將檢測(cè)出的異常數(shù)據(jù)進(jìn)行具 體入侵類型報(bào)警,同時(shí)對(duì)所有PCANN誤用檢測(cè)器過濾的異常數(shù)據(jù)進(jìn)行標(biāo)記并存 入分析數(shù)據(jù)庫(kù)���;其中SGNG異常檢測(cè)分類器 一種自增長(zhǎng)的神經(jīng)網(wǎng)絡(luò)4莫型����,將輸入的外網(wǎng)數(shù)據(jù) 劃分為正常數(shù)據(jù)和異常數(shù)據(jù)兩大類,并將閉合網(wǎng)絡(luò)的數(shù)據(jù)采集作為訓(xùn)練數(shù)據(jù)�����, 訓(xùn)練過程為監(jiān)督過程�����,對(duì)實(shí)時(shí)采集的外網(wǎng)數(shù)據(jù)進(jìn)行實(shí)時(shí)檢測(cè)����,具體包括以下步 驟A、輸入單類別模式訓(xùn)練數(shù)據(jù)�����,在此系統(tǒng)中此訓(xùn)練數(shù)據(jù)為閉合網(wǎng)絡(luò)采集的正 常類型網(wǎng)絡(luò)連接數(shù)據(jù)�;B、神經(jīng)元自分裂過程4艮據(jù)輸入數(shù)據(jù)在高維空間中的 分布�����,網(wǎng)絡(luò)自動(dòng)增長(zhǎng)從而適應(yīng)和模擬訓(xùn)練數(shù)據(jù)的分布情況,初始網(wǎng)絡(luò)的神經(jīng)元
數(shù)目為l,在神經(jīng)元竟?fàn)庍^程中����,當(dāng)獲勝神經(jīng)元權(quán)值和輸入之間的距離大于某事先設(shè)定的分裂半徑時(shí),自動(dòng)添加一個(gè)神經(jīng)元并設(shè)定其權(quán)值為當(dāng)前輸入向量�����;C�、 神經(jīng)元竟?fàn)幒秃献鬟^程分裂后的SGNG網(wǎng)絡(luò)在后續(xù)的輸入迭代過程中進(jìn)行權(quán) 值調(diào)整,直至滿足設(shè)定的收斂條件����;D、神經(jīng)元?jiǎng)h除過程在網(wǎng)絡(luò)收斂后����,各 神經(jīng)元的荻勝次數(shù)如果小于預(yù)先設(shè)定的刪除閾值����,則此神經(jīng)元被認(rèn)為處于"欠訓(xùn) 練,���,或"死"的狀態(tài)����,在網(wǎng)絡(luò)中刪除此類神經(jīng)元;E����、組合網(wǎng)絡(luò)中所有活動(dòng)的神經(jīng) 元構(gòu)成單模式有監(jiān)督訓(xùn)練的精確分類器;PCSOM異常聚類分析器它結(jié)合自組織網(wǎng)絡(luò)SOM以及主成分分析方法 PCA對(duì)分析數(shù)據(jù)庫(kù)中的異常數(shù)據(jù)進(jìn)行聚類分析��,從而為確定某類具體攻擊類型 特征的建立提供訓(xùn)練數(shù)據(jù)&出���,此訓(xùn)練過程為無監(jiān)督訓(xùn)練��,具體工作步驟如下 A�、隨機(jī)初始化PCSOM網(wǎng)絡(luò)神經(jīng)元權(quán)值��;指定神經(jīng)元數(shù)目�;B、從分析數(shù)據(jù)庫(kù) 中輸入無具體攻擊類別標(biāo)記(只由SGNG判為異常數(shù)據(jù)標(biāo)記)的異常數(shù)據(jù)向量�����; C�����、分別計(jì)算輸入在每個(gè)神經(jīng)元所代表的類別子空間中的投影誤差;D�、根據(jù)SOM 規(guī)則對(duì)相關(guān)神經(jīng)元權(quán)值進(jìn)行更新;E�、返回步驟B迭代,直至滿足預(yù)定的網(wǎng)絡(luò)收 斂條件�;PCANN誤用檢測(cè)器PCANN誤用檢測(cè)器為針對(duì)確定的已知攻擊類型數(shù)據(jù) 而建立,主要檢測(cè)某異常數(shù)據(jù)是否為某類型攻擊��,其訓(xùn)練為有監(jiān)督訓(xùn)練�,訓(xùn)練 數(shù)據(jù)來源于PCSOM異常聚類分析器所標(biāo)記的具體入侵類別數(shù)據(jù),訓(xùn)練過程中����, 根據(jù)檢測(cè)率和誤報(bào)率的平衡確定一個(gè)PCANN誤用檢測(cè)器的檢測(cè)閾值參數(shù)s,其 工作步驟如下A�、 訓(xùn)練階段給定精度,網(wǎng)絡(luò)自動(dòng)迭代收斂至要求精度��,此時(shí)�,網(wǎng)絡(luò)中神 經(jīng)元的數(shù)目m等同于訓(xùn)練數(shù)據(jù)的實(shí)質(zhì)維度��,即將輸入的n維數(shù)據(jù)自動(dòng)壓縮到m 維的特征子空間中��;B���、 確定分類器檢測(cè)閾值參數(shù)e:計(jì)算輸入在m維特征子空間中的投影誤差�, 根據(jù)誤報(bào)率和檢測(cè)率指標(biāo)的平衡確定s;C、 實(shí)時(shí)誤用檢測(cè)來自SGNG異常檢測(cè)分類器過濾的異常數(shù)據(jù)輸入PCANN 誤用檢測(cè)器����,當(dāng)異常數(shù)據(jù)的投影誤差小于s時(shí),確定此異常數(shù)據(jù)為此PCANN誤 用檢測(cè)器刻畫的具體入侵類型�����,否則不予處理�。
按照本發(fā)明所提供的多神經(jīng)網(wǎng)絡(luò)融合的入侵檢測(cè)方法,其特征在于��,當(dāng)分析數(shù)據(jù)庫(kù)中的異常數(shù)據(jù)達(dá)到規(guī)定的規(guī)模以后��,會(huì)自動(dòng)觸發(fā)PCSOM異常聚類分析 器進(jìn)行聚類分析�,為訓(xùn)練更多的新的PCANN誤用檢測(cè)器提供訓(xùn)練數(shù)據(jù),從而提 高系統(tǒng)的自適應(yīng)性能�����。本發(fā)明有如下功能特點(diǎn)① 使用多種神經(jīng)網(wǎng)絡(luò)方法的融合進(jìn)行系統(tǒng)的訓(xùn)練和實(shí)際檢測(cè)�,因此可以充 分發(fā)揮多種神經(jīng)網(wǎng)絡(luò)方法的優(yōu)點(diǎn),摒棄其缺點(diǎn)��;② M于網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)。其數(shù)據(jù)分析�、檢測(cè)基于網(wǎng)絡(luò)流,因此可以 適應(yīng)較為復(fù)雜的網(wǎng)絡(luò)環(huán)境��;③ 具有較好的可擴(kuò)展性���。系統(tǒng)運(yùn)行過程中�,將持續(xù)釆集標(biāo)記異常數(shù)據(jù)�����,通 過PCSOM異常聚類分析將會(huì)有新的誤用檢測(cè)器得到訓(xùn)練并投入使用��;同時(shí)�,現(xiàn) 有的PCANN誤用檢測(cè)器的訓(xùn)練將得到周期性的更新;從長(zhǎng)遠(yuǎn)的角度來看�����,這種 擴(kuò)展性將使得其自動(dòng)識(shí)別并建立更多的入侵模式����,從而為采取進(jìn)一步的反擊措 施奠定良好的基礎(chǔ)���。④ 具備較好的兼容性��。系統(tǒng)中所采用的誤用檢測(cè)技術(shù)4J^于PCANN神經(jīng)網(wǎng) 絡(luò)的方法��,但系統(tǒng)并不局限于此�,其他任何新出現(xiàn)的具有較好效果的分類器設(shè) 計(jì)方法都可在此兼容利用。
圖l是本發(fā)明的工作流程圖��;圖2是PCSOM算法流程圖��;圖3是PCANN網(wǎng)絡(luò)結(jié)構(gòu)圖�����;圖4是SGNG異常檢測(cè)分類器分類示意圖���;圖5是SGNG異常檢測(cè)分類器訓(xùn)練模式圖��;圖6是PCSOM異常聚類分析示意圖�����;圖7是PCSOM異常聚類分析器工作流程圖���;圖8是PCANN誤用檢測(cè)器訓(xùn)練流程圖�;圖9是PCANN誤用檢測(cè)器檢測(cè)流程圖�����。
具體實(shí)施例方式
下面結(jié)合附圖以及實(shí)施例對(duì)本發(fā)明作進(jìn)一步的說明���。如圖1所示�����,圖中虛 線代表離線數(shù)據(jù)流進(jìn)行神經(jīng)網(wǎng)絡(luò)分類器或聚類分析的訓(xùn)練���,而實(shí)線則代表在線 數(shù)據(jù)處理流程。其中��,SGNG異常檢測(cè)分類器通過閉合網(wǎng)絡(luò)的數(shù)據(jù)采集作為訓(xùn)練數(shù)據(jù)�����,得 到網(wǎng)絡(luò)數(shù)據(jù)和行為的正常模式�����,訓(xùn)練過程為監(jiān)督訓(xùn)練,對(duì)實(shí)時(shí)采集的開放網(wǎng)絡(luò) 數(shù)據(jù)進(jìn)行實(shí)時(shí)檢測(cè)���;SGNG異常檢測(cè)分類器的目的是將輸入的網(wǎng)絡(luò)連接數(shù)據(jù)劃 分成兩類正常數(shù)據(jù)和異常數(shù)據(jù)。參考下圖4���, SGNG異常檢測(cè)分類器是一種自 增長(zhǎng)的神經(jīng)氣網(wǎng)絡(luò)模型���,和傳統(tǒng)的SOM自組織網(wǎng)絡(luò)在不同維度空間的映射機(jī)理 不同,SGNG網(wǎng)絡(luò)中神經(jīng)元的竟?fàn)幒献魇窃谳斎肟臻g中進(jìn)行���。利用神經(jīng)氣網(wǎng)絡(luò) 的聚類分析功能���,結(jié)合神經(jīng)元數(shù)目自動(dòng)確定的動(dòng)態(tài)結(jié)構(gòu),SGNG可以實(shí)現(xiàn)單類 別模式的精確刻畫�,其工作原理示意圖如圖5所示。具體包括以下步驟輸入 單類別模式訓(xùn)練數(shù)據(jù)���,在此系統(tǒng)中此訓(xùn)練數(shù)據(jù)為閉合網(wǎng)絡(luò)采集的正常類型網(wǎng)絡(luò) 連接數(shù)據(jù)�;神經(jīng)元自分裂過程根據(jù)輸入數(shù)據(jù)在高維空間中的分布����,網(wǎng)絡(luò)自動(dòng) 增長(zhǎng)從而適應(yīng)和模擬訓(xùn)練數(shù)據(jù)的分布情況。初始網(wǎng)絡(luò)的神經(jīng)元數(shù)目為1;在神經(jīng) 元竟?fàn)庍^程中,當(dāng)獲勝神經(jīng)元權(quán)值和輸入之間的距離大于某事先設(shè)定的分裂半 徑0 (圖5中圓的半徑示意)時(shí)����,SGNG自動(dòng)添加一個(gè)神經(jīng)元并設(shè)定其權(quán)值為當(dāng) 前輸入向量;在后續(xù)的輸入迭代過程中進(jìn)行權(quán)值調(diào)整���;直至滿足設(shè)定的收斂條 件��;圖5中多個(gè)圓代表多個(gè)神經(jīng)元��,模擬正常數(shù)據(jù)的分布情況�����。神經(jīng)元?jiǎng)h除過 程在網(wǎng)絡(luò)收斂后�����,各神經(jīng)元的獲勝次數(shù)如果小于預(yù)先設(shè)定的刪除閾值��,則此 神經(jīng)元被認(rèn)為處于"欠訓(xùn)練����,����,或"死"的狀態(tài)��;在網(wǎng)絡(luò)中刪除此類神經(jīng)元�����;如圖5中, 單個(gè)孤立的圓所表示的正常訓(xùn)練數(shù)據(jù)可以看作訓(xùn)練數(shù)據(jù)中的噪聲��,進(jìn)而刪除�。 組合SGNG網(wǎng)絡(luò)中所有活動(dòng)的神經(jīng)元構(gòu)成單^1式有監(jiān)督訓(xùn)練的精確分類器。圖 5中未經(jīng)刪除的圓組合代表主體的正常訓(xùn)練模式���。如上所述����,采用正常網(wǎng)絡(luò)流量數(shù)據(jù)訓(xùn)練的SGNG異常檢測(cè)分類器可以較為 精確的提供網(wǎng)絡(luò)正常模式的刻畫����,同時(shí)快速將輸入網(wǎng)絡(luò)數(shù)據(jù)劃分成兩大類正 常和異常連接數(shù)據(jù);由于并非依賴異常數(shù)據(jù)的特征���,因此SGNG異常檢測(cè)分類 器可以充分檢測(cè)系統(tǒng)中新出現(xiàn)的攻擊���,如圖5中����,只要不滿足正常模式刻畫的 特征����,SGNG異常檢測(cè)分類器將判為網(wǎng)絡(luò)攻擊數(shù)據(jù)。
所述SGNG異常檢測(cè)分類器通過閉合網(wǎng)絡(luò)的數(shù)據(jù)采集作為訓(xùn)練數(shù)據(jù)�����,得到 網(wǎng)絡(luò)數(shù)據(jù)和行為的正常模式�,訓(xùn)練過程為監(jiān)督訓(xùn)練,對(duì)實(shí)時(shí)采集的開放網(wǎng)絡(luò)數(shù) 據(jù)進(jìn)行實(shí)時(shí)檢測(cè)����;SGNG是一種自增長(zhǎng)的神經(jīng)氣網(wǎng)絡(luò)^=莫型,由于網(wǎng)絡(luò)中神經(jīng)元 的竟?fàn)幒秃献鬟^程模擬了氣體分子的布朗運(yùn)動(dòng)而得名�。和傳統(tǒng)的SOM自組織網(wǎng)絡(luò)在不同維度空間的映射機(jī)理不同,SGNG網(wǎng)絡(luò)中神經(jīng)元的竟?fàn)幒献魇窃谳斎?空間中進(jìn)行���。利用神經(jīng)氣網(wǎng)絡(luò)的聚類分析功能�,結(jié)合神經(jīng)元數(shù)目自動(dòng)確定的動(dòng) 態(tài)結(jié)構(gòu)�����,SGNG可以實(shí)現(xiàn)單類別模式的精確刻畫。采用正常網(wǎng)絡(luò)流量數(shù)據(jù)訓(xùn)練 的SGNG異常檢測(cè)分類器可以較為精確的提供網(wǎng)絡(luò)正常模式的刻畫�����,同時(shí)快速 將輸入網(wǎng)絡(luò)數(shù)據(jù)劃分成兩大類正常和異常連接數(shù)據(jù)���;由于并非依賴異常數(shù)據(jù) 的特征���,因此SGNG異常檢測(cè)分類器可以充分檢測(cè)系統(tǒng)中新出現(xiàn)的攻擊���。PCSOM異常聚類分析器根據(jù)分析數(shù)據(jù)庫(kù)中的異常數(shù)據(jù)規(guī)模觸發(fā)PCSOM異 常數(shù)據(jù)聚類分析��。PCSOM網(wǎng)絡(luò)結(jié)合了經(jīng)典自組織網(wǎng)絡(luò)SOM以及主成分分析方 法PCA���。結(jié)合PCA分析,PCSOM將數(shù)據(jù)相似性度量由傳統(tǒng)的歐幾里德尺度替 換為在特征子空間中的映射���;即由高維空間中的超球體聚類分析變換為超橢球 體聚類分析��,從而更加適合高斯分布的數(shù)據(jù)聚類分析��。傳統(tǒng)SOM僅以類別的中 心向量作為神經(jīng)元的權(quán)值�,而PCSOM增加了滿足精度要求的降維后類別數(shù)據(jù)的 特征子空間基向量。PCSOM網(wǎng)絡(luò)的主要功能是對(duì)分析數(shù)據(jù)庫(kù)中的異常數(shù)據(jù)進(jìn)行 聚類分析�,從而為確定某類具體攻擊類型特征的建立提供訓(xùn)練數(shù)據(jù)基礎(chǔ)。此訓(xùn) 練過程為無監(jiān)督訓(xùn)練��。根據(jù)分析數(shù)據(jù)庫(kù)中的異常數(shù)據(jù)規(guī)模觸發(fā)PCSOM異常數(shù)據(jù)聚類分析����, PCSOM網(wǎng)絡(luò)結(jié)合了經(jīng)典自組織網(wǎng)絡(luò)SOM以及主成分分析方法PCA。結(jié)合PCA 分析�����,PCSOM將數(shù)據(jù)相似性度量由傳統(tǒng)的歐幾里德尺度替換為在特征子空間中 的映射��;即由高維空間中的超J求體聚類分析變換為超橢J求體聚類分析���,從而更 加適合高斯分布的數(shù)據(jù)聚類分析�����,其優(yōu)點(diǎn)參考圖6示意圖���。傳統(tǒng)SOM僅以類別 的中心向量作為神經(jīng)元的權(quán)值�����,而PCSOM增加了滿足精度要求的降維后類別數(shù)據(jù)的特征子空間基向量����。PCSOM網(wǎng)絡(luò)工作步驟如下(1)隨機(jī)初始化PCSOM網(wǎng)絡(luò)神經(jīng)元權(quán)值��;指定神經(jīng)元數(shù)目��;
(2)從分析數(shù)據(jù)庫(kù)中輸入無具體攻擊類別標(biāo)記(只由SGNG判為異常數(shù)據(jù)標(biāo)記)的異常數(shù)據(jù)向量����; (3 )分別計(jì)算輸入在每個(gè)神經(jīng)元所代表的類別子空間中的投影誤差;(4) 根據(jù)SOM規(guī)則對(duì)相關(guān)神經(jīng)元權(quán)值進(jìn)行更新�;(5) 返回步驟(2)迭代�,直至滿足預(yù)定的網(wǎng)絡(luò)收斂條件。PCSOM網(wǎng)絡(luò)的主要功能是對(duì)分析數(shù)據(jù)庫(kù)中的異常數(shù)據(jù)進(jìn)行聚類分析����,從而 為確定某類具體攻擊類型特征的建立提供訓(xùn)練數(shù)據(jù)基礎(chǔ)。此訓(xùn)練過程為無監(jiān)督 訓(xùn)練�。其工作流程示意如圖7所示PCANN誤用檢測(cè)器為針對(duì)確定的已知攻擊類型數(shù)據(jù)而建立,使用中主要檢 測(cè)某異常數(shù)據(jù)是否為某類型攻擊�����。PCANN神經(jīng)網(wǎng)絡(luò)實(shí)現(xiàn)了傳統(tǒng)的PCA算法, 使得分類器更加適合高斯分布數(shù)據(jù)���。其訓(xùn)練采用AdaptiveGHA算法����,可以在提 前確定總方差貢獻(xiàn)率精度a的基礎(chǔ)上�,自動(dòng)逼近輸入類別數(shù)據(jù)的實(shí)質(zhì)維;其訓(xùn) 練為有監(jiān)督訓(xùn)練��,訓(xùn)練數(shù)據(jù)來源于PCSOM異常聚類分析數(shù)據(jù)�����;訓(xùn)練過程中���,根 據(jù)檢測(cè)率和誤報(bào)率的平衡確定一個(gè)PCANN誤用檢測(cè)器的檢測(cè)閾值參數(shù)s�����。因此�����, PCANN誤用檢測(cè)器通過更加精確的類別刻畫使得誤用檢測(cè)更加精確���,從而降低 誤報(bào)率����;同時(shí)可以更多的發(fā)現(xiàn)新類型的攻擊����,當(dāng)所有PCANN誤用檢測(cè)器不能檢 測(cè)的異常數(shù)據(jù)達(dá)到一定的規(guī)3莫時(shí),系統(tǒng)將自動(dòng)觸發(fā)PCSOM異常數(shù)據(jù)聚類分析�����, 從而訓(xùn)練更多的PCANN誤用檢測(cè)器�����。所述PC ANN誤用檢測(cè)器為針對(duì)確定的已知攻擊類型數(shù)據(jù)而建立�。使用中主 要檢測(cè)某異常數(shù)據(jù)是否為某類型攻擊�。PCANN神經(jīng)網(wǎng)絡(luò)實(shí)現(xiàn)了傳統(tǒng)的PCA算 法,使得分類器更加適合高斯分布數(shù)據(jù)����。其訓(xùn)練采用Adaptive GHA算法���,可以 在提前確定總方差貢獻(xiàn)率精度a的基礎(chǔ)上,自動(dòng)逼近輸入類別數(shù)據(jù)的實(shí)質(zhì)維���; 其訓(xùn)練為有監(jiān)督訓(xùn)練�,訓(xùn)練數(shù)據(jù)來源于PCSOM異常聚類分析器所標(biāo)記的具體入 侵類別數(shù)據(jù)����;訓(xùn)練過程中,根據(jù)檢測(cè)率和誤報(bào)率的平衡確定一個(gè)PCANN誤用檢 測(cè)器的檢測(cè)閾值參數(shù)s���。其工作步驟如下(l)訓(xùn)練階段給定精度如01=90%,網(wǎng)絡(luò)自動(dòng)迭代收斂至要求精度����。此時(shí)�����, 網(wǎng)絡(luò)中神經(jīng)元的數(shù)目m等同于訓(xùn)練數(shù)椐的實(shí)質(zhì)維度���,即將輸入的n維數(shù)據(jù)自動(dòng) 壓縮到m維的特征子空間中����;
(2)確定分類器檢測(cè)閾值s:計(jì)算輸入在m維特征子空間中的投影誤差, 根據(jù)誤報(bào)率和檢測(cè)率指標(biāo)的平衡確定£;(3 )實(shí)時(shí)誤用檢測(cè)來自SGNG過濾的異常數(shù)據(jù)輸入PCANN誤用檢測(cè)器�����; 當(dāng)異常數(shù)據(jù)的投影誤差小于s時(shí)��,確定此異常數(shù)據(jù)為此PCANN誤用檢測(cè)器刻畫 的具體入侵類型�;否則不予處理;因此�,PCANN誤用檢測(cè)器通過更加精確的類別刻畫使得誤用檢測(cè)更加精 確,從而降低誤報(bào)率��;同時(shí)可以更多的發(fā)現(xiàn)新類型的攻擊���,當(dāng)所有PCANN誤用 檢測(cè)器不能檢測(cè)的異常數(shù)據(jù)達(dá)到一定的規(guī)模時(shí)����,系統(tǒng)將自動(dòng)觸發(fā)PCSOM異常數(shù) 據(jù)聚類分析��,從而訓(xùn)練更多的PCANN誤用檢測(cè)器��。其訓(xùn)練工作流程和實(shí)時(shí)檢測(cè) 工作流程如圖8和圖9所示��。本發(fā)明的具體實(shí)施步驟如下首先通過網(wǎng)絡(luò)數(shù)據(jù)的捕獲���、分析建立離線的"normal"類型系統(tǒng)訓(xùn)練數(shù)據(jù)���,從 而可以訓(xùn)練異常檢測(cè)器;對(duì)于誤用檢測(cè)器的訓(xùn)練可以使用異常檢測(cè)器過濾后的 異常數(shù)據(jù)進(jìn)行離線或者在線的訓(xùn)練�����;這些流程包括網(wǎng)絡(luò)數(shù)據(jù)的抓包�、實(shí)時(shí)分 析、 一般入侵的檢測(cè)報(bào)警��、入侵?jǐn)?shù)據(jù)的誤用分類��、具體攻擊類型報(bào)警以及各類 處理后的標(biāo)記數(shù)據(jù)入庫(kù)等�。各部分的功能特點(diǎn)如下(D外網(wǎng)抓包/分析通過對(duì)流入、流出單位局域網(wǎng)的網(wǎng)絡(luò)連接數(shù)據(jù)進(jìn)行捕獲��、 分析����,建立外部入侵檢測(cè)的數(shù)據(jù)源;網(wǎng)絡(luò)為大多數(shù)計(jì)算機(jī)提供的接口是一個(gè)內(nèi) 置的以太網(wǎng)卡��。以太網(wǎng)卡典型地具有一個(gè)"混合模式(Promiscuous)"選項(xiàng),能 夠關(guān)掉過濾功能而查看經(jīng)過它的所有數(shù)據(jù)報(bào)����。這個(gè)混合模式選項(xiàng)恰好被數(shù)據(jù)報(bào) 監(jiān)測(cè)程序利用來實(shí)現(xiàn)它們的監(jiān)聽功能。數(shù)據(jù)報(bào)截獲程序調(diào)用WinPcap驅(qū)動(dòng)����,支持 Win32平臺(tái)上的信息包捕獲和網(wǎng)絡(luò)分析,它包括內(nèi)核級(jí)的包過濾驅(qū)動(dòng)程序�,低級(jí) 動(dòng)態(tài)連接庫(kù)(packet.dll)和高級(jí)系統(tǒng)無關(guān)性庫(kù)。WinPcap信息包捕獲啟動(dòng)程序可把 設(shè)備驅(qū)動(dòng)增加在Win32平臺(tái)下���,它有能力捕獲和發(fā)送通過原始套接口的信息包 (RawPackets)��,具體實(shí)現(xiàn)時(shí)可直接調(diào)用驅(qū)動(dòng)程序的API�����。在網(wǎng)絡(luò)監(jiān)聽時(shí)����,常常 要保存大量的信息���,并將對(duì)收集的信息進(jìn)行大量的分析和處理�����。因此����,監(jiān)聽和 數(shù)據(jù)分析如果不加協(xié)議過濾�,將十分消耗系統(tǒng)的內(nèi)存和CPU時(shí)間。同時(shí)����,如果 分析過程不加緩存,許多包就會(huì)來不及接收而被漏走��。所以監(jiān)聽程序通常將已
經(jīng)捕獲到的數(shù)據(jù)報(bào)進(jìn)行緩存然后分析����,二者之間的延遲要視具體的應(yīng)用進(jìn)行設(shè) 置。G)SGNG (自增長(zhǎng)神經(jīng)氣網(wǎng)絡(luò))異常檢測(cè)釆用有監(jiān)督訓(xùn)練的SGNG神經(jīng)網(wǎng) 絡(luò)方法實(shí)現(xiàn)異常檢測(cè)��,將入侵?jǐn)?shù)據(jù)和正常數(shù)據(jù)進(jìn)行兩類劃分��;對(duì)于SGNG的訓(xùn)練 采用系統(tǒng)通過抓包程序獲取的網(wǎng)絡(luò)流數(shù)據(jù)��,這是一種離線的網(wǎng)絡(luò)訓(xùn)練方式����;訓(xùn) 練數(shù)據(jù)的獲取通過一個(gè)固定時(shí)間段的較為封閉的網(wǎng)絡(luò)環(huán)境下的數(shù)據(jù)收集�����,同時(shí)���, 充分利用SGNG對(duì)于野點(diǎn)數(shù)據(jù)的剔除能力;對(duì)實(shí)時(shí)采集的開放網(wǎng)絡(luò)數(shù)據(jù)進(jìn)行實(shí)時(shí) 檢測(cè)分析如果數(shù)據(jù)異常�,進(jìn)行數(shù)據(jù)標(biāo)定并存入數(shù)據(jù)庫(kù)中,同時(shí)進(jìn)行初步異常 報(bào)警��。在很多實(shí)際的應(yīng)用中�,訓(xùn)練數(shù)據(jù)中存在一些錯(cuò)誤標(biāo)記的數(shù)據(jù),或者在根 本上存在一些遠(yuǎn)離主體特征的樣本數(shù)據(jù)���。這些數(shù)據(jù)通常稱之為"野點(diǎn)"(Outlier) 或者"孤立點(diǎn)"��。存在野點(diǎn)的原因很多�,比如人為的忽視或錯(cuò)誤等等���。而野點(diǎn)的存 在對(duì)通過聚類分析建立類別模式的過程產(chǎn)生較為重大的影響�����。針對(duì)訓(xùn)練數(shù)據(jù)中的野點(diǎn)具備數(shù)量小����、孤立等特征,自增長(zhǎng)SGNG網(wǎng)絡(luò)可以在 網(wǎng)絡(luò)收斂后對(duì)每個(gè)神經(jīng)元模式進(jìn)行分析����,通過界定神經(jīng)元獲勝次數(shù)去除那些欠 訓(xùn)練的"死"神經(jīng)元��,從而使之具備針對(duì)訓(xùn)練數(shù)據(jù)中野點(diǎn)的抑制能力��,提高對(duì)整體 類別特征模式刻畫的準(zhǔn)確性��。因此��,網(wǎng)絡(luò)事先定義一個(gè)最小獲勝次數(shù)參數(shù) M'"附w77we�,用于判定最終神經(jīng)元是否由野點(diǎn)數(shù)據(jù)造成的欠訓(xùn)練神經(jīng)元情況。 比如定義Mz'"附'w77we = 2,那些獲勝次數(shù)小于等于2的神經(jīng)元將在網(wǎng)絡(luò)最終的結(jié) 構(gòu)調(diào)整階段去除��。在SGNG網(wǎng)絡(luò)算法中����,假如某類別特征模式中存在由野點(diǎn)訓(xùn)練 的子模式情況,首先它不會(huì)影響占絕對(duì)多數(shù)比例的正常訓(xùn)練數(shù)據(jù)構(gòu)造的類別子 模式���;其次���,這種情況的存在會(huì)對(duì)最終分類的準(zhǔn)確性產(chǎn)生一定的影響����,即將靠 近野點(diǎn)數(shù)據(jù)的不屬于類別C的樣本誤分為同一類別�。SGNG通過神經(jīng)元?jiǎng)h除機(jī)制 從而具備了對(duì)野點(diǎn)的抑制能力。當(dāng)然��,"野點(diǎn)���,�����,存在的假設(shè)(即是否是真正的"野 點(diǎn)�,��,)在實(shí)際應(yīng)用中也會(huì)對(duì)分類器的檢測(cè)能力造成一定的影響���。但畢竟SGNG的 這種機(jī)制會(huì)在分類器檢測(cè)率和誤分率之間取得較好的平衡���。因此可以斷言��,具 備統(tǒng)一誤差門限的自增長(zhǎng)SGNG神經(jīng)氣網(wǎng)絡(luò)在一定程度上不會(huì)受到訓(xùn)練數(shù)據(jù)中 噪聲的影響�����;另外�,這種方法同樣可以應(yīng)用到對(duì)分類器訓(xùn)練數(shù)據(jù)的正確清理/過 濾�,從而盡量降低訓(xùn)練過程中野點(diǎn)的影響。自增長(zhǎng)神經(jīng)氣算法GNG(Growing Neural Gas Algorithm)訓(xùn)練算法步驟如下: ALGORITHM-TRAIN-GNG: STEP1:初始化系統(tǒng)數(shù)據(jù) 初始化神經(jīng)元數(shù)量�,M-l 分裂半徑,e 針對(duì)神經(jīng)元?jiǎng)h除的最小獲勝次數(shù)參數(shù)MinWinTime 最大訓(xùn)練迭代輪數(shù)MaxEPOCH 訓(xùn)練數(shù)據(jù)輸入{x(t)}���, t = 1,. '�,N STEP2: Repeat: for i=0 to MaxEPOCH and j=l to N, input x(j), and CASE i: 0: goto STEP3 MaxEPOCH: goto STEP4 else: goto STEP5 STEP3:神經(jīng)元自增長(zhǎng)過程 for k=l to M,計(jì)算���,dk = ||x(j) ■ wk|| and, dmin = arg min{dk} if dk > e, M =M +1, wm — x(j) Goto STEP2. STEP4:神經(jīng)元?jiǎng)h除過程 對(duì)每個(gè)神經(jīng)元計(jì)算BMU最佳匹配次數(shù)B(m), m = 1, . ',M if B(m) < MinWinTime,刪除m Goto STEP6. STEP5:神經(jīng)元權(quán)值更新*更新ww-Wi + Ti(t)h"ri)(x(t)-Wi), 其中A是神經(jīng)元的鄰域秩���,h"ri)-e,,���;學(xué)習(xí)速率參數(shù) ll(t) = Tlo ( Tlend/Tlo )衰減因子計(jì)算 X(t) = Xo( lenA)) V Goto STEP2.STEP6: End of ALGORITHM國(guó)TRAIN國(guó)GNG6)PCSOM異常聚類分析網(wǎng)絡(luò)運(yùn)行一段時(shí)間后����,根據(jù)分析數(shù)據(jù)庫(kù)中的異常 數(shù)據(jù)規(guī)模觸發(fā)PCSOM異常數(shù)據(jù)聚類分析,此過程為離線無監(jiān)督分析過程��。經(jīng)過 聚類分析后����,異常數(shù)據(jù)被劃分為一定的具體入侵類型的數(shù)據(jù)集合(正常情況包 含噪聲)。這些數(shù)據(jù)將進(jìn)行后期人工類別標(biāo)記入庫(kù)��,同時(shí)作為PCANN異常檢測(cè) 器的訓(xùn)練數(shù)據(jù)����。對(duì)于新產(chǎn)生攻擊數(shù)據(jù)處理,使用同樣的流程�。系統(tǒng)監(jiān)視分析數(shù)類別異常數(shù)據(jù)),當(dāng)未標(biāo)記異常數(shù)據(jù)達(dá)到一定規(guī)模���,則重新觸發(fā)PCSOM聚類分 析�;從而支持PCANN誤用檢測(cè)器的擴(kuò)展�����。SOM的主要目的是將任意維數(shù)的輸入轉(zhuǎn)換為一維或二維的離散映射,并且 以拓樸有序的方式自適應(yīng)實(shí)現(xiàn)這個(gè)過程�����。生物學(xué)基礎(chǔ)實(shí)驗(yàn)表明����,外界信息對(duì)于 神經(jīng)元的刺激并非是單一的,而是以某一細(xì)胞為中心的一個(gè)區(qū)域�;并且刺激強(qiáng) 度有強(qiáng)弱之分,大腦神經(jīng)的刺激趨勢(shì)和強(qiáng)度呈墨西哥草帽形狀��;經(jīng)元受刺激的 強(qiáng)度以中心最大���,隨著區(qū)域半徑的增大逐漸減弱���;遠(yuǎn)離中心的神經(jīng)元相反會(huì)受 到抑制作用�����。根據(jù)這個(gè)原理��,當(dāng)某類模式輸入時(shí)��,輸出層某節(jié)點(diǎn)(神經(jīng)元)得 到最大刺激而獲勝,獲勝者以及其周圍節(jié)點(diǎn)的權(quán)值會(huì)向著輸入模式向量的方向 進(jìn)行修正���。隨著輸入^f莫式的變化�����,相應(yīng)獲勝神經(jīng)元也發(fā)生變化��,網(wǎng)絡(luò)即通過自 組織的方式在大量樣本數(shù)據(jù)的訓(xùn)練下��,使得輸出層特征圖能夠反映出輸入樣本 數(shù)據(jù)的分布情況���。PCSOM網(wǎng)絡(luò)結(jié)合了 PCA和SOM,網(wǎng)絡(luò)神經(jīng)元的權(quán)值存儲(chǔ)于中心向量e和協(xié) 方差矩陣Rji, PCSOM處理流程參見附圖2��。此處SOM采用Winner-Take-All規(guī)則���, 即SOM的鄰域設(shè)置為l�����,從而簡(jiǎn)化PCSOM模型��,使之易于實(shí)現(xiàn)�����。假如在t時(shí)刻輸 入為x���,可以得到神經(jīng)元權(quán)值的學(xué)習(xí)公式如下e(t+l)=e(t)+"e(x-e(t))R(t+l)=R(t)+i!r((X-e(t))(X-e(t)T-R(t))式中���,Tle和Tle分別是e和R的學(xué)習(xí)速率參數(shù)。聚類分析中�����,輸入x在神經(jīng)元i上的投影誤差可以利用如下公式計(jì)算
ErHx老:W(B!/(x誦e(t)Bh))11上式中Bh�, h=l...K是神經(jīng)元權(quán)值中的特征子空間基向量,可由R求?���。黄?中K為事先確定�。由此可得獲勝神經(jīng)元為 C = argmin{Err_i|i=l. .m}級(jí)PCANN異常檢測(cè)器訓(xùn)練和檢測(cè)采用PCA神經(jīng)網(wǎng)絡(luò)進(jìn)行具體類型入侵的 模式刻畫和建立。訓(xùn)練數(shù)據(jù)來自PCSOM異常聚類分析后的簇?cái)?shù)據(jù)�����;同時(shí)PCANN 網(wǎng)絡(luò)具備一定的噪聲抑制能力��,訓(xùn)練中確定^r測(cè)閾值�,從而大大提高誤用檢測(cè) 的性能。PCANN訓(xùn)練采用AGHA算法�����,其網(wǎng)絡(luò)結(jié)構(gòu)參見附圖3��,以下簡(jiǎn)要介紹 AGHA算法原理��。給傳統(tǒng)GHA網(wǎng)絡(luò)的神經(jīng)元加上側(cè)向連接�,從而產(chǎn)生激活或者 抑制的活動(dòng)。最終活動(dòng)的神經(jīng)元的數(shù)量即可逼近數(shù)據(jù)的實(shí)質(zhì)維數(shù)�����。其中����,K表示 網(wǎng)絡(luò)最終收斂的數(shù)據(jù)集的實(shí)質(zhì)維數(shù),即抽取的主元數(shù)量�����。網(wǎng)絡(luò)的權(quán)值矩陣為 W^W! W2... W山GHA網(wǎng)絡(luò)的權(quán)值最終收斂于輸入向量x(t)的前K個(gè)最大主元 方向向量����。為了減少算法振蕩����,采C(t一卩C(t-l)+[x(t)xT(t)畫pC(t-l)]/t作為輸入代替x(t)xT(t)�。其學(xué)習(xí)算法為<formula>formula see original document page 15</formula>式中,T!為學(xué)習(xí)因子��。對(duì)角陣n(t)沖艮據(jù)其對(duì)角線元素的值�����,在t時(shí)刻起到控制器的 作用(為"r��,代表神經(jīng)元活動(dòng)�,此時(shí)僅nu(t一i),最終網(wǎng)絡(luò)逼近的實(shí)質(zhì)維數(shù)等于矩陣n(t)的對(duì)角線元素為l的個(gè)數(shù)。根據(jù)網(wǎng)絡(luò)輸出yi和輸入數(shù)據(jù)方差矩陣的特征值 之間的關(guān)系�����,作如下三個(gè)函數(shù)定義<formula>formula see original document page 15</formula>) 式中����,0(x)函數(shù)在x〈0時(shí)為0,其他為l; 6(x)函數(shù)在xO時(shí)為-l���,其他為l��。由此 可得自適應(yīng)逼近數(shù)據(jù)實(shí)質(zhì)維的改進(jìn)GHA算法<formula>formula see original document page 15</formula>
通過AGHA算法訓(xùn)練后的PCANN網(wǎng)絡(luò)�,根據(jù)精度自動(dòng)確定了主元子空間的維 數(shù)���。檢測(cè)實(shí)驗(yàn)中�,輸入x (t)��,可得其投影誤差為 Err |X(t)-SH=1K(\VhTx(t)Wh)||實(shí)際應(yīng)用中,假定輸入的測(cè)試樣本數(shù)目為N����, 一個(gè)簡(jiǎn)單的獲得分類器檢測(cè)閾值 s的方法是e=Max{Err_i|i= 1,... ,N}當(dāng)然�����,大的s可以獲得較高的檢測(cè)率���,但其誤報(bào)率也較高�����;反之亦然���。因此���, 實(shí)際應(yīng)用中需要在誤報(bào)率和檢測(cè)率之間獲得一個(gè)平衡的檢測(cè)閾值。(S系統(tǒng)報(bào)警本系統(tǒng)報(bào)警分為兩個(gè)層次�����, 一是系統(tǒng)初步異常報(bào)警��,即通過 SGNG異常檢測(cè)分類器判定為異常的數(shù)據(jù)進(jìn)行初步報(bào)警����,二是具體攻擊報(bào)警,即 通過多個(gè)PCANN誤用檢測(cè)器檢測(cè)出的異常判定為某一具體攻擊類型的報(bào)警�����;多 個(gè)并行PCANN誤用檢測(cè)器不能檢測(cè)出的異常標(biāo)定為系統(tǒng)新出現(xiàn)的異常攻擊���。系 統(tǒng)將其標(biāo)定后存入分析數(shù)據(jù)庫(kù)�����,待達(dá)到預(yù)定數(shù)據(jù)規(guī)模后進(jìn)行新的異常聚類分析���,從而訓(xùn)練新的PCANN誤用檢測(cè)器��。
權(quán)利要求
1�、一種多神經(jīng)網(wǎng)絡(luò)融合的入侵檢測(cè)方法�����,其特征在于��,包括以下步驟①對(duì)來自外網(wǎng)的數(shù)據(jù)進(jìn)行抓包和分析處理�����;②將上述處理后的網(wǎng)絡(luò)數(shù)據(jù)同時(shí)傳輸?shù)椒治鰯?shù)據(jù)庫(kù)和SGNG異常檢測(cè)分類器��,使用封閉網(wǎng)絡(luò)采集的正常類型數(shù)據(jù)離線訓(xùn)練SGNG異常檢測(cè)分類器��;③所述SGNG異常檢測(cè)分類器將檢測(cè)出的異常數(shù)據(jù)標(biāo)記后進(jìn)行系統(tǒng)報(bào)警并將其存入分析數(shù)據(jù)庫(kù)�;④將分析數(shù)據(jù)庫(kù)中標(biāo)記異常的數(shù)據(jù)集提供給PCSOM異常聚類分析器進(jìn)行異常數(shù)據(jù)聚類分析���;⑤經(jīng)過SGNG異常檢測(cè)分類器檢測(cè)出的異常數(shù)據(jù)按照類型分別輸入到若干個(gè)并行的PCANN誤用檢測(cè)器���,PCANN誤用檢測(cè)器將檢測(cè)出的異常數(shù)據(jù)進(jìn)行具體入侵類型報(bào)警���,同時(shí)對(duì)所有PCANN誤用檢測(cè)器過濾的異常數(shù)據(jù)進(jìn)行標(biāo)記并存入分析數(shù)據(jù)庫(kù);其中SGNG異常檢測(cè)分類器一種自增長(zhǎng)的神經(jīng)網(wǎng)絡(luò)模型�����,將輸入的外網(wǎng)數(shù)據(jù)劃分為正常數(shù)據(jù)和異常數(shù)據(jù)兩大類��,并將閉合網(wǎng)絡(luò)的數(shù)據(jù)采集作為訓(xùn)練數(shù)據(jù)��,訓(xùn)練過程為監(jiān)督過程����,對(duì)實(shí)時(shí)采集的外網(wǎng)數(shù)據(jù)進(jìn)行實(shí)時(shí)檢測(cè),具體包括以下步驟A�����、輸入單類別模式訓(xùn)練數(shù)據(jù)����,在此系統(tǒng)中此訓(xùn)練數(shù)據(jù)為閉合網(wǎng)絡(luò)采集的正常類型網(wǎng)絡(luò)連接數(shù)據(jù);B�、神經(jīng)元自分裂過程根據(jù)輸入數(shù)據(jù)在高維空間中的分布,網(wǎng)絡(luò)自動(dòng)增長(zhǎng)從而適應(yīng)和模擬訓(xùn)練數(shù)據(jù)的分布情況,初始網(wǎng)絡(luò)的神經(jīng)元數(shù)目為1�����,在神經(jīng)元競(jìng)爭(zhēng)過程中��,當(dāng)獲勝神經(jīng)元權(quán)值和輸入之間的距離大于某事先設(shè)定的分裂半徑時(shí)���,自動(dòng)添加一個(gè)神經(jīng)元并設(shè)定其權(quán)值為當(dāng)前輸入向量��;C、神經(jīng)元競(jìng)爭(zhēng)和合作過程分裂后的SGNG網(wǎng)絡(luò)在后續(xù)的輸入迭代過程中進(jìn)行權(quán)值調(diào)整�����,直至滿足設(shè)定的收斂條件����;D、神經(jīng)元?jiǎng)h除過程在網(wǎng)絡(luò)收斂后���,各神經(jīng)元的獲勝次數(shù)如果小于預(yù)先設(shè)定的刪除閾值���,則此神經(jīng)元被認(rèn)為處于“欠訓(xùn)練”或“死”的狀態(tài),在網(wǎng)絡(luò)中刪除此類神經(jīng)元;E�����、組合網(wǎng)絡(luò)中所有活動(dòng)的神經(jīng)元構(gòu)成單模式有監(jiān)督訓(xùn)練的精確分類器���;PCSOM異常聚類分析器它結(jié)合自組織網(wǎng)絡(luò)SOM以及主成分分析方法PCA對(duì)分析數(shù)據(jù)庫(kù)中的異常數(shù)據(jù)進(jìn)行聚類分析�����,從而為確定某類具體攻擊類型特征的建立提供訓(xùn)練數(shù)據(jù)基礎(chǔ)����,此訓(xùn)練過程為無監(jiān)督訓(xùn)練����,具體工作步驟如下A、隨機(jī)初始化PCSOM網(wǎng)絡(luò)神經(jīng)元權(quán)值�;指定神經(jīng)元數(shù)目;B�����、從分析數(shù)據(jù)庫(kù)中輸入無具體攻擊類別標(biāo)記的異常數(shù)據(jù)向量���;C����、分別計(jì)算輸入在每個(gè)神經(jīng)元所代表的類別子空間中的投影誤差;D���、根據(jù)SOM規(guī)則對(duì)相關(guān)神經(jīng)元權(quán)值進(jìn)行更新����;E�、返回步驟B迭代,直至滿足預(yù)定的網(wǎng)絡(luò)收斂條件��;PCANN誤用檢測(cè)器PCANN誤用檢測(cè)器為針對(duì)確定的已知攻擊類型數(shù)據(jù)而建立��,主要檢測(cè)某異常數(shù)據(jù)是否為某類型攻擊���,其訓(xùn)練為有監(jiān)督訓(xùn)練,訓(xùn)練數(shù)據(jù)來源于PCSOM異常聚類分析器所標(biāo)記的具體入侵類別數(shù)據(jù)�����,訓(xùn)練過程中����,根據(jù)檢測(cè)率和誤報(bào)率的平衡確定一個(gè)PCANN誤用檢測(cè)器的檢測(cè)閾值參數(shù)ε�,其工作步驟如下A�、訓(xùn)練階段給定精度,網(wǎng)絡(luò)自動(dòng)迭代收斂至要求精度����,此時(shí),網(wǎng)絡(luò)中神經(jīng)元的數(shù)目m等同于訓(xùn)練數(shù)據(jù)的實(shí)質(zhì)維度���,即將輸入的n維數(shù)據(jù)自動(dòng)壓縮到m維的特征子空間中����;B�����、確定分類器檢測(cè)閾值參數(shù)ε計(jì)算輸入在m維特征子空間中的投影誤差���,根據(jù)誤報(bào)率和檢測(cè)率指標(biāo)的平衡確定ε��;C���、實(shí)時(shí)誤用檢測(cè)來自SGNG異常檢測(cè)分類器過濾的異常數(shù)據(jù)輸入PCANN誤用檢測(cè)器���,當(dāng)異常數(shù)據(jù)的投影誤差小于ε時(shí),確定此異常數(shù)據(jù)為此PCANN誤用檢測(cè)器刻畫的具體入侵類型�,否則不予處理。
2�、根據(jù)權(quán)利要求1所述的多神經(jīng)網(wǎng)絡(luò)融合的入侵檢測(cè)方法,其特征在于���, 當(dāng)分析數(shù)據(jù)庫(kù)中的異常數(shù)據(jù)達(dá)到規(guī)定的規(guī)模以后����,會(huì)自動(dòng)觸發(fā)PCSOM異常聚類 分析器進(jìn)行聚類分析����。
全文摘要
一種多神經(jīng)網(wǎng)絡(luò)融合的入侵檢測(cè)方法,包括以下步驟對(duì)來自外網(wǎng)的數(shù)據(jù)進(jìn)行抓包和分析處理�����;將上述處理后的網(wǎng)絡(luò)數(shù)據(jù)同時(shí)傳輸?shù)椒治鰯?shù)據(jù)庫(kù)和SGNG異常檢測(cè)分類器��,使用封閉網(wǎng)絡(luò)采集的正常類型數(shù)據(jù)離線訓(xùn)練SGNG異常檢測(cè)分類器��;所述SGNG異常檢測(cè)分類器將檢測(cè)出的異常數(shù)據(jù)標(biāo)記后進(jìn)行系統(tǒng)報(bào)警并將其存入分析數(shù)據(jù)庫(kù)�;將分析數(shù)據(jù)庫(kù)中標(biāo)記異常的數(shù)據(jù)集提供給PCSOM異常聚類分析器進(jìn)行異常數(shù)據(jù)聚類分析;經(jīng)過SGNG異常檢測(cè)分類器檢測(cè)出的異常數(shù)據(jù)按照類型分別輸入到若干個(gè)并行的PCANN誤用檢測(cè)器���,PCANN誤用檢測(cè)器將檢測(cè)出的異常數(shù)據(jù)進(jìn)行具體入侵類型報(bào)警��,同時(shí)對(duì)所有PCANN誤用檢測(cè)器過濾的異常數(shù)據(jù)進(jìn)行標(biāo)記并存入分析數(shù)據(jù)庫(kù)���。
文檔編號(hào)H04L9/36GK101399672SQ20081004630
公開日2009年4月1日 申請(qǐng)日期2008年10月17日 優(yōu)先權(quán)日2008年10月17日
發(fā)明者劉貴松, 鴻 屈, 蕾 張, 彭德中, 毅 章, 蒲曉蓉 申請(qǐng)人:章 毅;劉貴松