專利名稱:一種多神經網絡融合的入侵檢測方法
技術領域:
本發(fā)明涉及入侵檢測技術領域,具體涉及一種多神經網絡融合的入侵檢測 方法。 背景技木近年來,網絡攻擊和入侵的頻繁發(fā)生使得入侵檢測系統(tǒng)(IDS)技術的研究 變得越來越重要。在整個系統(tǒng)安全架構中,對于系統(tǒng)、網絡直至用戶IDS扮演了 非常重要的角色。通常而言, 一個計算機網絡系統(tǒng)包含了很多的安全系統(tǒng),諸 如網絡防火墻、漏洞掃描系統(tǒng)、訪問控制系統(tǒng)等。但入侵檢測系統(tǒng)是唯一通過 數據和行為模式判斷其是否有效的系統(tǒng)。對于一個成功的入侵檢測系統(tǒng)而言, 它不但可以使系統(tǒng)管理員時刻了解網絡系統(tǒng)(包括程序、文件和硬件設備)的 任何變更,還能給網絡安全策略的制定提供指南。神經網絡技術在網絡安全入侵檢測鄰域中是非常有前景的技術之一。國際 上最為著名的研究機構和組織包括Georgia大學,MIT, Research of RST Corp.,以 及UBILAB實驗室等。1998年,J. Cannady和J. Mahaffy在研究誤用檢測中,首 次采用多層感知機MLP模型使用后向傳播BP算法,并且提出和自組織神經網絡 SOM相結合,建立MLP/SOM模型以取得更佳性能。自此以后,基于神經網絡 技術的入侵檢測研究更加繁榮。在這些研究中,包括使用BP網絡、RBF網絡、 SOM網絡及其各種變化形式、支持向量機SVM、 PCA/MCA神經網絡用于特征抽 取等等??偨Y所有這些方法的特點,都是采用神經網絡^^型無關的特性進行特 征選擇/抽取,進而進行行為或者數據模式的建立;網絡的訓練根據需要采用監(jiān) 督或者無監(jiān)督方式;應用于異常檢測或誤用檢測;使用模型或算法具有的數據 分類或者聚類能力。明顯的,基于單一網絡/模型進行入侵檢測分析可以取得一定的效果(即針 對單一的異常檢測或者誤用檢測)。但整體而言, 一個完整的入侵檢測系統(tǒng)不但需要較高的異常檢測能力,即區(qū)分正常和異常行為,尤其需要對于新類型的入
侵/攻擊的檢測能力;而且需要自適應地完善系統(tǒng)誤用攻擊檢測能力,即對于已 經識別的入侵/攻擊的高效率識別能力。由此,單一的神經網絡智能方法對于構筑一個完整的入侵檢測系統(tǒng)捉襟見肘。發(fā)明內容本發(fā)明所要解決的技術問題是如何提供一種多神經網絡融合的入侵檢測方 法,該方法采用異常檢測和誤用檢測相結合的技術手段,克服現有技術中所存 在的缺陷。本發(fā)明所提出的技術問題是這樣解決的提供一種多神經網絡融合的入侵 檢測方法,其特征在于,包括以下步驟① 對來自外網的數據進行抓包和分析處理;② 將上述處理后的網絡數據同時傳輸到分析數據庫和SGNG異常檢測分類 器,使用封閉網絡采集的正常類型數據離線訓練SGNG異常檢測分類器;③ 所述SGNG異常檢測分類器將檢測出的異常數據標記后進行系統(tǒng)報警并 將其存入分析數據庫;④ 將分析數據庫中標記異常的數據集提供給PCSOM異常聚類分析器進行 異常數據聚類分析;⑤ 經過SGNG異常檢測分類器檢測出的異常數據按照類型分別輸入到若干 個并行的PCANN誤用檢測器,PCANN誤用檢測器將檢測出的異常數據進行具 體入侵類型報警,同時對所有PCANN誤用檢測器過濾的異常數據進行標記并存 入分析數據庫;其中SGNG異常檢測分類器 一種自增長的神經網絡4莫型,將輸入的外網數據 劃分為正常數據和異常數據兩大類,并將閉合網絡的數據采集作為訓練數據, 訓練過程為監(jiān)督過程,對實時采集的外網數據進行實時檢測,具體包括以下步 驟A、輸入單類別模式訓練數據,在此系統(tǒng)中此訓練數據為閉合網絡采集的正 常類型網絡連接數據;B、神經元自分裂過程4艮據輸入數據在高維空間中的 分布,網絡自動增長從而適應和模擬訓練數據的分布情況,初始網絡的神經元
數目為l,在神經元竟爭過程中,當獲勝神經元權值和輸入之間的距離大于某事先設定的分裂半徑時,自動添加一個神經元并設定其權值為當前輸入向量;C、 神經元竟爭和合作過程分裂后的SGNG網絡在后續(xù)的輸入迭代過程中進行權 值調整,直至滿足設定的收斂條件;D、神經元刪除過程在網絡收斂后,各 神經元的荻勝次數如果小于預先設定的刪除閾值,則此神經元被認為處于"欠訓 練,,或"死"的狀態(tài),在網絡中刪除此類神經元;E、組合網絡中所有活動的神經 元構成單模式有監(jiān)督訓練的精確分類器;PCSOM異常聚類分析器它結合自組織網絡SOM以及主成分分析方法 PCA對分析數據庫中的異常數據進行聚類分析,從而為確定某類具體攻擊類型 特征的建立提供訓練數據&出,此訓練過程為無監(jiān)督訓練,具體工作步驟如下 A、隨機初始化PCSOM網絡神經元權值;指定神經元數目;B、從分析數據庫 中輸入無具體攻擊類別標記(只由SGNG判為異常數據標記)的異常數據向量; C、分別計算輸入在每個神經元所代表的類別子空間中的投影誤差;D、根據SOM 規(guī)則對相關神經元權值進行更新;E、返回步驟B迭代,直至滿足預定的網絡收 斂條件;PCANN誤用檢測器PCANN誤用檢測器為針對確定的已知攻擊類型數據 而建立,主要檢測某異常數據是否為某類型攻擊,其訓練為有監(jiān)督訓練,訓練 數據來源于PCSOM異常聚類分析器所標記的具體入侵類別數據,訓練過程中, 根據檢測率和誤報率的平衡確定一個PCANN誤用檢測器的檢測閾值參數s,其 工作步驟如下A、 訓練階段給定精度,網絡自動迭代收斂至要求精度,此時,網絡中神 經元的數目m等同于訓練數據的實質維度,即將輸入的n維數據自動壓縮到m 維的特征子空間中;B、 確定分類器檢測閾值參數e:計算輸入在m維特征子空間中的投影誤差, 根據誤報率和檢測率指標的平衡確定s;C、 實時誤用檢測來自SGNG異常檢測分類器過濾的異常數據輸入PCANN 誤用檢測器,當異常數據的投影誤差小于s時,確定此異常數據為此PCANN誤 用檢測器刻畫的具體入侵類型,否則不予處理。
按照本發(fā)明所提供的多神經網絡融合的入侵檢測方法,其特征在于,當分析數據庫中的異常數據達到規(guī)定的規(guī)模以后,會自動觸發(fā)PCSOM異常聚類分析 器進行聚類分析,為訓練更多的新的PCANN誤用檢測器提供訓練數據,從而提 高系統(tǒng)的自適應性能。本發(fā)明有如下功能特點① 使用多種神經網絡方法的融合進行系統(tǒng)的訓練和實際檢測,因此可以充 分發(fā)揮多種神經網絡方法的優(yōu)點,摒棄其缺點;② M于網絡的入侵檢測系統(tǒng)。其數據分析、檢測基于網絡流,因此可以 適應較為復雜的網絡環(huán)境;③ 具有較好的可擴展性。系統(tǒng)運行過程中,將持續(xù)釆集標記異常數據,通 過PCSOM異常聚類分析將會有新的誤用檢測器得到訓練并投入使用;同時,現 有的PCANN誤用檢測器的訓練將得到周期性的更新;從長遠的角度來看,這種 擴展性將使得其自動識別并建立更多的入侵模式,從而為采取進一步的反擊措 施奠定良好的基礎。④ 具備較好的兼容性。系統(tǒng)中所采用的誤用檢測技術4J^于PCANN神經網 絡的方法,但系統(tǒng)并不局限于此,其他任何新出現的具有較好效果的分類器設 計方法都可在此兼容利用。
圖l是本發(fā)明的工作流程圖;圖2是PCSOM算法流程圖;圖3是PCANN網絡結構圖;圖4是SGNG異常檢測分類器分類示意圖;圖5是SGNG異常檢測分類器訓練模式圖;圖6是PCSOM異常聚類分析示意圖;圖7是PCSOM異常聚類分析器工作流程圖;圖8是PCANN誤用檢測器訓練流程圖;圖9是PCANN誤用檢測器檢測流程圖。
具體實施例方式
下面結合附圖以及實施例對本發(fā)明作進一步的說明。如圖1所示,圖中虛 線代表離線數據流進行神經網絡分類器或聚類分析的訓練,而實線則代表在線 數據處理流程。其中,SGNG異常檢測分類器通過閉合網絡的數據采集作為訓練數據,得 到網絡數據和行為的正常模式,訓練過程為監(jiān)督訓練,對實時采集的開放網絡 數據進行實時檢測;SGNG異常檢測分類器的目的是將輸入的網絡連接數據劃 分成兩類正常數據和異常數據。參考下圖4, SGNG異常檢測分類器是一種自 增長的神經氣網絡模型,和傳統(tǒng)的SOM自組織網絡在不同維度空間的映射機理 不同,SGNG網絡中神經元的竟爭合作是在輸入空間中進行。利用神經氣網絡 的聚類分析功能,結合神經元數目自動確定的動態(tài)結構,SGNG可以實現單類 別模式的精確刻畫,其工作原理示意圖如圖5所示。具體包括以下步驟輸入 單類別模式訓練數據,在此系統(tǒng)中此訓練數據為閉合網絡采集的正常類型網絡 連接數據;神經元自分裂過程根據輸入數據在高維空間中的分布,網絡自動 增長從而適應和模擬訓練數據的分布情況。初始網絡的神經元數目為1;在神經 元竟爭過程中,當獲勝神經元權值和輸入之間的距離大于某事先設定的分裂半 徑0 (圖5中圓的半徑示意)時,SGNG自動添加一個神經元并設定其權值為當 前輸入向量;在后續(xù)的輸入迭代過程中進行權值調整;直至滿足設定的收斂條 件;圖5中多個圓代表多個神經元,模擬正常數據的分布情況。神經元刪除過 程在網絡收斂后,各神經元的獲勝次數如果小于預先設定的刪除閾值,則此 神經元被認為處于"欠訓練,,或"死"的狀態(tài);在網絡中刪除此類神經元;如圖5中, 單個孤立的圓所表示的正常訓練數據可以看作訓練數據中的噪聲,進而刪除。 組合SGNG網絡中所有活動的神經元構成單^1式有監(jiān)督訓練的精確分類器。圖 5中未經刪除的圓組合代表主體的正常訓練模式。如上所述,采用正常網絡流量數據訓練的SGNG異常檢測分類器可以較為 精確的提供網絡正常模式的刻畫,同時快速將輸入網絡數據劃分成兩大類正 常和異常連接數據;由于并非依賴異常數據的特征,因此SGNG異常檢測分類 器可以充分檢測系統(tǒng)中新出現的攻擊,如圖5中,只要不滿足正常模式刻畫的 特征,SGNG異常檢測分類器將判為網絡攻擊數據。
所述SGNG異常檢測分類器通過閉合網絡的數據采集作為訓練數據,得到 網絡數據和行為的正常模式,訓練過程為監(jiān)督訓練,對實時采集的開放網絡數 據進行實時檢測;SGNG是一種自增長的神經氣網絡^=莫型,由于網絡中神經元 的竟爭和合作過程模擬了氣體分子的布朗運動而得名。和傳統(tǒng)的SOM自組織網絡在不同維度空間的映射機理不同,SGNG網絡中神經元的竟爭合作是在輸入 空間中進行。利用神經氣網絡的聚類分析功能,結合神經元數目自動確定的動 態(tài)結構,SGNG可以實現單類別模式的精確刻畫。采用正常網絡流量數據訓練 的SGNG異常檢測分類器可以較為精確的提供網絡正常模式的刻畫,同時快速 將輸入網絡數據劃分成兩大類正常和異常連接數據;由于并非依賴異常數據 的特征,因此SGNG異常檢測分類器可以充分檢測系統(tǒng)中新出現的攻擊。PCSOM異常聚類分析器根據分析數據庫中的異常數據規(guī)模觸發(fā)PCSOM異 常數據聚類分析。PCSOM網絡結合了經典自組織網絡SOM以及主成分分析方 法PCA。結合PCA分析,PCSOM將數據相似性度量由傳統(tǒng)的歐幾里德尺度替 換為在特征子空間中的映射;即由高維空間中的超球體聚類分析變換為超橢球 體聚類分析,從而更加適合高斯分布的數據聚類分析。傳統(tǒng)SOM僅以類別的中 心向量作為神經元的權值,而PCSOM增加了滿足精度要求的降維后類別數據的 特征子空間基向量。PCSOM網絡的主要功能是對分析數據庫中的異常數據進行 聚類分析,從而為確定某類具體攻擊類型特征的建立提供訓練數據基礎。此訓 練過程為無監(jiān)督訓練。根據分析數據庫中的異常數據規(guī)模觸發(fā)PCSOM異常數據聚類分析, PCSOM網絡結合了經典自組織網絡SOM以及主成分分析方法PCA。結合PCA 分析,PCSOM將數據相似性度量由傳統(tǒng)的歐幾里德尺度替換為在特征子空間中 的映射;即由高維空間中的超J求體聚類分析變換為超橢J求體聚類分析,從而更 加適合高斯分布的數據聚類分析,其優(yōu)點參考圖6示意圖。傳統(tǒng)SOM僅以類別 的中心向量作為神經元的權值,而PCSOM增加了滿足精度要求的降維后類別數據的特征子空間基向量。PCSOM網絡工作步驟如下(1)隨機初始化PCSOM網絡神經元權值;指定神經元數目;
(2)從分析數據庫中輸入無具體攻擊類別標記(只由SGNG判為異常數據標記)的異常數據向量; (3 )分別計算輸入在每個神經元所代表的類別子空間中的投影誤差;(4) 根據SOM規(guī)則對相關神經元權值進行更新;(5) 返回步驟(2)迭代,直至滿足預定的網絡收斂條件。PCSOM網絡的主要功能是對分析數據庫中的異常數據進行聚類分析,從而 為確定某類具體攻擊類型特征的建立提供訓練數據基礎。此訓練過程為無監(jiān)督 訓練。其工作流程示意如圖7所示PCANN誤用檢測器為針對確定的已知攻擊類型數據而建立,使用中主要檢 測某異常數據是否為某類型攻擊。PCANN神經網絡實現了傳統(tǒng)的PCA算法, 使得分類器更加適合高斯分布數據。其訓練采用AdaptiveGHA算法,可以在提 前確定總方差貢獻率精度a的基礎上,自動逼近輸入類別數據的實質維;其訓 練為有監(jiān)督訓練,訓練數據來源于PCSOM異常聚類分析數據;訓練過程中,根 據檢測率和誤報率的平衡確定一個PCANN誤用檢測器的檢測閾值參數s。因此, PCANN誤用檢測器通過更加精確的類別刻畫使得誤用檢測更加精確,從而降低 誤報率;同時可以更多的發(fā)現新類型的攻擊,當所有PCANN誤用檢測器不能檢 測的異常數據達到一定的規(guī)3莫時,系統(tǒng)將自動觸發(fā)PCSOM異常數據聚類分析, 從而訓練更多的PCANN誤用檢測器。所述PC ANN誤用檢測器為針對確定的已知攻擊類型數據而建立。使用中主 要檢測某異常數據是否為某類型攻擊。PCANN神經網絡實現了傳統(tǒng)的PCA算 法,使得分類器更加適合高斯分布數據。其訓練采用Adaptive GHA算法,可以 在提前確定總方差貢獻率精度a的基礎上,自動逼近輸入類別數據的實質維; 其訓練為有監(jiān)督訓練,訓練數據來源于PCSOM異常聚類分析器所標記的具體入 侵類別數據;訓練過程中,根據檢測率和誤報率的平衡確定一個PCANN誤用檢 測器的檢測閾值參數s。其工作步驟如下(l)訓練階段給定精度如01=90%,網絡自動迭代收斂至要求精度。此時, 網絡中神經元的數目m等同于訓練數椐的實質維度,即將輸入的n維數據自動 壓縮到m維的特征子空間中;
(2)確定分類器檢測閾值s:計算輸入在m維特征子空間中的投影誤差, 根據誤報率和檢測率指標的平衡確定£;(3 )實時誤用檢測來自SGNG過濾的異常數據輸入PCANN誤用檢測器; 當異常數據的投影誤差小于s時,確定此異常數據為此PCANN誤用檢測器刻畫 的具體入侵類型;否則不予處理;因此,PCANN誤用檢測器通過更加精確的類別刻畫使得誤用檢測更加精 確,從而降低誤報率;同時可以更多的發(fā)現新類型的攻擊,當所有PCANN誤用 檢測器不能檢測的異常數據達到一定的規(guī)模時,系統(tǒng)將自動觸發(fā)PCSOM異常數 據聚類分析,從而訓練更多的PCANN誤用檢測器。其訓練工作流程和實時檢測 工作流程如圖8和圖9所示。本發(fā)明的具體實施步驟如下首先通過網絡數據的捕獲、分析建立離線的"normal"類型系統(tǒng)訓練數據,從 而可以訓練異常檢測器;對于誤用檢測器的訓練可以使用異常檢測器過濾后的 異常數據進行離線或者在線的訓練;這些流程包括網絡數據的抓包、實時分 析、 一般入侵的檢測報警、入侵數據的誤用分類、具體攻擊類型報警以及各類 處理后的標記數據入庫等。各部分的功能特點如下(D外網抓包/分析通過對流入、流出單位局域網的網絡連接數據進行捕獲、 分析,建立外部入侵檢測的數據源;網絡為大多數計算機提供的接口是一個內 置的以太網卡。以太網卡典型地具有一個"混合模式(Promiscuous)"選項,能 夠關掉過濾功能而查看經過它的所有數據報。這個混合模式選項恰好被數據報 監(jiān)測程序利用來實現它們的監(jiān)聽功能。數據報截獲程序調用WinPcap驅動,支持 Win32平臺上的信息包捕獲和網絡分析,它包括內核級的包過濾驅動程序,低級 動態(tài)連接庫(packet.dll)和高級系統(tǒng)無關性庫。WinPcap信息包捕獲啟動程序可把 設備驅動增加在Win32平臺下,它有能力捕獲和發(fā)送通過原始套接口的信息包 (RawPackets),具體實現時可直接調用驅動程序的API。在網絡監(jiān)聽時,常常 要保存大量的信息,并將對收集的信息進行大量的分析和處理。因此,監(jiān)聽和 數據分析如果不加協(xié)議過濾,將十分消耗系統(tǒng)的內存和CPU時間。同時,如果 分析過程不加緩存,許多包就會來不及接收而被漏走。所以監(jiān)聽程序通常將已
經捕獲到的數據報進行緩存然后分析,二者之間的延遲要視具體的應用進行設 置。G)SGNG (自增長神經氣網絡)異常檢測釆用有監(jiān)督訓練的SGNG神經網 絡方法實現異常檢測,將入侵數據和正常數據進行兩類劃分;對于SGNG的訓練 采用系統(tǒng)通過抓包程序獲取的網絡流數據,這是一種離線的網絡訓練方式;訓 練數據的獲取通過一個固定時間段的較為封閉的網絡環(huán)境下的數據收集,同時, 充分利用SGNG對于野點數據的剔除能力;對實時采集的開放網絡數據進行實時 檢測分析如果數據異常,進行數據標定并存入數據庫中,同時進行初步異常 報警。在很多實際的應用中,訓練數據中存在一些錯誤標記的數據,或者在根 本上存在一些遠離主體特征的樣本數據。這些數據通常稱之為"野點"(Outlier) 或者"孤立點"。存在野點的原因很多,比如人為的忽視或錯誤等等。而野點的存 在對通過聚類分析建立類別模式的過程產生較為重大的影響。針對訓練數據中的野點具備數量小、孤立等特征,自增長SGNG網絡可以在 網絡收斂后對每個神經元模式進行分析,通過界定神經元獲勝次數去除那些欠 訓練的"死"神經元,從而使之具備針對訓練數據中野點的抑制能力,提高對整體 類別特征模式刻畫的準確性。因此,網絡事先定義一個最小獲勝次數參數 M'"附w77we,用于判定最終神經元是否由野點數據造成的欠訓練神經元情況。 比如定義Mz'"附'w77we = 2,那些獲勝次數小于等于2的神經元將在網絡最終的結 構調整階段去除。在SGNG網絡算法中,假如某類別特征模式中存在由野點訓練 的子模式情況,首先它不會影響占絕對多數比例的正常訓練數據構造的類別子 模式;其次,這種情況的存在會對最終分類的準確性產生一定的影響,即將靠 近野點數據的不屬于類別C的樣本誤分為同一類別。SGNG通過神經元刪除機制 從而具備了對野點的抑制能力。當然,"野點,,存在的假設(即是否是真正的"野 點,,)在實際應用中也會對分類器的檢測能力造成一定的影響。但畢竟SGNG的 這種機制會在分類器檢測率和誤分率之間取得較好的平衡。因此可以斷言,具 備統(tǒng)一誤差門限的自增長SGNG神經氣網絡在一定程度上不會受到訓練數據中 噪聲的影響;另外,這種方法同樣可以應用到對分類器訓練數據的正確清理/過 濾,從而盡量降低訓練過程中野點的影響。自增長神經氣算法GNG(Growing Neural Gas Algorithm)訓練算法步驟如下: ALGORITHM-TRAIN-GNG: STEP1:初始化系統(tǒng)數據 初始化神經元數量,M-l 分裂半徑,e 針對神經元刪除的最小獲勝次數參數MinWinTime 最大訓練迭代輪數MaxEPOCH 訓練數據輸入{x(t)}, t = 1,. ',N STEP2: Repeat: for i=0 to MaxEPOCH and j=l to N, input x(j), and CASE i: 0: goto STEP3 MaxEPOCH: goto STEP4 else: goto STEP5 STEP3:神經元自增長過程 for k=l to M,計算,dk = ||x(j) ■ wk|| and, dmin = arg min{dk} if dk > e, M =M +1, wm — x(j) Goto STEP2. STEP4:神經元刪除過程 對每個神經元計算BMU最佳匹配次數B(m), m = 1, . ',M if B(m) < MinWinTime,刪除m Goto STEP6. STEP5:神經元權值更新*更新ww-Wi + Ti(t)h"ri)(x(t)-Wi), 其中A是神經元的鄰域秩,h"ri)-e,,;學習速率參數 ll(t) = Tlo ( Tlend/Tlo )衰減因子計算 X(t) = Xo( lenA)) V Goto STEP2.STEP6: End of ALGORITHM國TRAIN國GNG6)PCSOM異常聚類分析網絡運行一段時間后,根據分析數據庫中的異常 數據規(guī)模觸發(fā)PCSOM異常數據聚類分析,此過程為離線無監(jiān)督分析過程。經過 聚類分析后,異常數據被劃分為一定的具體入侵類型的數據集合(正常情況包 含噪聲)。這些數據將進行后期人工類別標記入庫,同時作為PCANN異常檢測 器的訓練數據。對于新產生攻擊數據處理,使用同樣的流程。系統(tǒng)監(jiān)視分析數類別異常數據),當未標記異常數據達到一定規(guī)模,則重新觸發(fā)PCSOM聚類分 析;從而支持PCANN誤用檢測器的擴展。SOM的主要目的是將任意維數的輸入轉換為一維或二維的離散映射,并且 以拓樸有序的方式自適應實現這個過程。生物學基礎實驗表明,外界信息對于 神經元的刺激并非是單一的,而是以某一細胞為中心的一個區(qū)域;并且刺激強 度有強弱之分,大腦神經的刺激趨勢和強度呈墨西哥草帽形狀;經元受刺激的 強度以中心最大,隨著區(qū)域半徑的增大逐漸減弱;遠離中心的神經元相反會受 到抑制作用。根據這個原理,當某類模式輸入時,輸出層某節(jié)點(神經元)得 到最大刺激而獲勝,獲勝者以及其周圍節(jié)點的權值會向著輸入模式向量的方向 進行修正。隨著輸入^f莫式的變化,相應獲勝神經元也發(fā)生變化,網絡即通過自 組織的方式在大量樣本數據的訓練下,使得輸出層特征圖能夠反映出輸入樣本 數據的分布情況。PCSOM網絡結合了 PCA和SOM,網絡神經元的權值存儲于中心向量e和協(xié) 方差矩陣Rji, PCSOM處理流程參見附圖2。此處SOM采用Winner-Take-All規(guī)則, 即SOM的鄰域設置為l,從而簡化PCSOM模型,使之易于實現。假如在t時刻輸 入為x,可以得到神經元權值的學習公式如下e(t+l)=e(t)+"e(x-e(t))R(t+l)=R(t)+i!r((X-e(t))(X-e(t)T-R(t))式中,Tle和Tle分別是e和R的學習速率參數。聚類分析中,輸入x在神經元i上的投影誤差可以利用如下公式計算
ErHx老:W(B!/(x誦e(t)Bh))11上式中Bh, h=l...K是神經元權值中的特征子空間基向量,可由R求取;其 中K為事先確定。由此可得獲勝神經元為 C = argmin{Err_i|i=l. .m}級PCANN異常檢測器訓練和檢測采用PCA神經網絡進行具體類型入侵的 模式刻畫和建立。訓練數據來自PCSOM異常聚類分析后的簇數據;同時PCANN 網絡具備一定的噪聲抑制能力,訓練中確定^r測閾值,從而大大提高誤用檢測 的性能。PCANN訓練采用AGHA算法,其網絡結構參見附圖3,以下簡要介紹 AGHA算法原理。給傳統(tǒng)GHA網絡的神經元加上側向連接,從而產生激活或者 抑制的活動。最終活動的神經元的數量即可逼近數據的實質維數。其中,K表示 網絡最終收斂的數據集的實質維數,即抽取的主元數量。網絡的權值矩陣為 W^W! W2... W山GHA網絡的權值最終收斂于輸入向量x(t)的前K個最大主元 方向向量。為了減少算法振蕩,采C(t一卩C(t-l)+[x(t)xT(t)畫pC(t-l)]/t作為輸入代替x(t)xT(t)。其學習算法為<formula>formula see original document page 15</formula>式中,T!為學習因子。對角陣n(t)沖艮據其對角線元素的值,在t時刻起到控制器的 作用(為"r,代表神經元活動,此時僅nu(t一i),最終網絡逼近的實質維數等于矩陣n(t)的對角線元素為l的個數。根據網絡輸出yi和輸入數據方差矩陣的特征值 之間的關系,作如下三個函數定義<formula>formula see original document page 15</formula>) 式中,0(x)函數在x〈0時為0,其他為l; 6(x)函數在xO時為-l,其他為l。由此 可得自適應逼近數據實質維的改進GHA算法<formula>formula see original document page 15</formula>
通過AGHA算法訓練后的PCANN網絡,根據精度自動確定了主元子空間的維 數。檢測實驗中,輸入x (t),可得其投影誤差為 Err |X(t)-SH=1K(\VhTx(t)Wh)||實際應用中,假定輸入的測試樣本數目為N, 一個簡單的獲得分類器檢測閾值 s的方法是e=Max{Err_i|i= 1,... ,N}當然,大的s可以獲得較高的檢測率,但其誤報率也較高;反之亦然。因此, 實際應用中需要在誤報率和檢測率之間獲得一個平衡的檢測閾值。(S系統(tǒng)報警本系統(tǒng)報警分為兩個層次, 一是系統(tǒng)初步異常報警,即通過 SGNG異常檢測分類器判定為異常的數據進行初步報警,二是具體攻擊報警,即 通過多個PCANN誤用檢測器檢測出的異常判定為某一具體攻擊類型的報警;多 個并行PCANN誤用檢測器不能檢測出的異常標定為系統(tǒng)新出現的異常攻擊。系 統(tǒng)將其標定后存入分析數據庫,待達到預定數據規(guī)模后進行新的異常聚類分析,從而訓練新的PCANN誤用檢測器。
權利要求
1、一種多神經網絡融合的入侵檢測方法,其特征在于,包括以下步驟①對來自外網的數據進行抓包和分析處理;②將上述處理后的網絡數據同時傳輸到分析數據庫和SGNG異常檢測分類器,使用封閉網絡采集的正常類型數據離線訓練SGNG異常檢測分類器;③所述SGNG異常檢測分類器將檢測出的異常數據標記后進行系統(tǒng)報警并將其存入分析數據庫;④將分析數據庫中標記異常的數據集提供給PCSOM異常聚類分析器進行異常數據聚類分析;⑤經過SGNG異常檢測分類器檢測出的異常數據按照類型分別輸入到若干個并行的PCANN誤用檢測器,PCANN誤用檢測器將檢測出的異常數據進行具體入侵類型報警,同時對所有PCANN誤用檢測器過濾的異常數據進行標記并存入分析數據庫;其中SGNG異常檢測分類器一種自增長的神經網絡模型,將輸入的外網數據劃分為正常數據和異常數據兩大類,并將閉合網絡的數據采集作為訓練數據,訓練過程為監(jiān)督過程,對實時采集的外網數據進行實時檢測,具體包括以下步驟A、輸入單類別模式訓練數據,在此系統(tǒng)中此訓練數據為閉合網絡采集的正常類型網絡連接數據;B、神經元自分裂過程根據輸入數據在高維空間中的分布,網絡自動增長從而適應和模擬訓練數據的分布情況,初始網絡的神經元數目為1,在神經元競爭過程中,當獲勝神經元權值和輸入之間的距離大于某事先設定的分裂半徑時,自動添加一個神經元并設定其權值為當前輸入向量;C、神經元競爭和合作過程分裂后的SGNG網絡在后續(xù)的輸入迭代過程中進行權值調整,直至滿足設定的收斂條件;D、神經元刪除過程在網絡收斂后,各神經元的獲勝次數如果小于預先設定的刪除閾值,則此神經元被認為處于“欠訓練”或“死”的狀態(tài),在網絡中刪除此類神經元;E、組合網絡中所有活動的神經元構成單模式有監(jiān)督訓練的精確分類器;PCSOM異常聚類分析器它結合自組織網絡SOM以及主成分分析方法PCA對分析數據庫中的異常數據進行聚類分析,從而為確定某類具體攻擊類型特征的建立提供訓練數據基礎,此訓練過程為無監(jiān)督訓練,具體工作步驟如下A、隨機初始化PCSOM網絡神經元權值;指定神經元數目;B、從分析數據庫中輸入無具體攻擊類別標記的異常數據向量;C、分別計算輸入在每個神經元所代表的類別子空間中的投影誤差;D、根據SOM規(guī)則對相關神經元權值進行更新;E、返回步驟B迭代,直至滿足預定的網絡收斂條件;PCANN誤用檢測器PCANN誤用檢測器為針對確定的已知攻擊類型數據而建立,主要檢測某異常數據是否為某類型攻擊,其訓練為有監(jiān)督訓練,訓練數據來源于PCSOM異常聚類分析器所標記的具體入侵類別數據,訓練過程中,根據檢測率和誤報率的平衡確定一個PCANN誤用檢測器的檢測閾值參數ε,其工作步驟如下A、訓練階段給定精度,網絡自動迭代收斂至要求精度,此時,網絡中神經元的數目m等同于訓練數據的實質維度,即將輸入的n維數據自動壓縮到m維的特征子空間中;B、確定分類器檢測閾值參數ε計算輸入在m維特征子空間中的投影誤差,根據誤報率和檢測率指標的平衡確定ε;C、實時誤用檢測來自SGNG異常檢測分類器過濾的異常數據輸入PCANN誤用檢測器,當異常數據的投影誤差小于ε時,確定此異常數據為此PCANN誤用檢測器刻畫的具體入侵類型,否則不予處理。
2、根據權利要求1所述的多神經網絡融合的入侵檢測方法,其特征在于, 當分析數據庫中的異常數據達到規(guī)定的規(guī)模以后,會自動觸發(fā)PCSOM異常聚類 分析器進行聚類分析。
全文摘要
一種多神經網絡融合的入侵檢測方法,包括以下步驟對來自外網的數據進行抓包和分析處理;將上述處理后的網絡數據同時傳輸到分析數據庫和SGNG異常檢測分類器,使用封閉網絡采集的正常類型數據離線訓練SGNG異常檢測分類器;所述SGNG異常檢測分類器將檢測出的異常數據標記后進行系統(tǒng)報警并將其存入分析數據庫;將分析數據庫中標記異常的數據集提供給PCSOM異常聚類分析器進行異常數據聚類分析;經過SGNG異常檢測分類器檢測出的異常數據按照類型分別輸入到若干個并行的PCANN誤用檢測器,PCANN誤用檢測器將檢測出的異常數據進行具體入侵類型報警,同時對所有PCANN誤用檢測器過濾的異常數據進行標記并存入分析數據庫。
文檔編號H04L9/36GK101399672SQ20081004630
公開日2009年4月1日 申請日期2008年10月17日 優(yōu)先權日2008年10月17日
發(fā)明者劉貴松, 鴻 屈, 蕾 張, 彭德中, 毅 章, 蒲曉蓉 申請人:章 毅;劉貴松