專利名稱:一種基于生長型分級自組織映射神經(jīng)網(wǎng)絡(luò)的入侵檢測方法
技術(shù)領(lǐng)域:
本發(fā)明涉及一種入侵檢測方法,具體涉及一種基于生長型分級自組織映射 (GrowingHierarchical Self-organizing Maps�,GHS0M)神經(jīng)網(wǎng)絡(luò)的入侵檢測方法,屬于計 算機網(wǎng)絡(luò)信息安全技術(shù)領(lǐng)域�。
背景技術(shù):
隨著計算機網(wǎng)絡(luò)尤其是Internet技術(shù)的迅速發(fā)展,網(wǎng)絡(luò)在我們?nèi)粘5纳?��、學(xué)習(xí) 和工作中發(fā)揮著越來越重要的作用�����,網(wǎng)絡(luò)安全問題也越來越受到人們的關(guān)注����。迅速����、有效地 發(fā)現(xiàn)各類新的入侵行為,對于保障網(wǎng)絡(luò)系統(tǒng)安全十分重要���。入侵檢測技術(shù)是一種通過監(jiān)視 網(wǎng)絡(luò)系統(tǒng)的運行狀態(tài)����,進而發(fā)現(xiàn)各種攻擊企圖、攻擊行為或者攻擊結(jié)果的信息安全技術(shù)�����。入侵檢測作為一種主動防御技術(shù)�����,彌補了傳統(tǒng)安全技術(shù)的不足��。入侵檢測系統(tǒng)可 以對計算機主機和網(wǎng)絡(luò)進行實時監(jiān)控��,分析發(fā)現(xiàn)可疑事件�。一旦入侵行為被檢測出來,系統(tǒng) 就會采取相應(yīng)的措施(如通知管理員����,切斷網(wǎng)絡(luò)連接等),從而及時消除即將對系統(tǒng)安全產(chǎn) 生的危害��。入侵檢測作為系統(tǒng)安全技術(shù)的重要組成部分,日益受到各國政府及學(xué)者的重視�。 美國國防部高級規(guī)劃署(DARPA)和美國空軍向麻省理工(MIT)等大學(xué)的研究機構(gòu)提供資 助���,利用人工智能的相關(guān)技術(shù)對入侵檢測的技術(shù)及評估系統(tǒng)進行研究���。包括中國在內(nèi)的很 多國家都啟動了信息安全的研究計劃,來從事這方面的技術(shù)開發(fā)和研究�����。入侵檢測方法一般可以分為兩類誤用檢測和異常檢測��。誤用檢測假定所有的入 侵行為都能夠表達為一種特定的模式或特征���,通過模式匹配方法發(fā)現(xiàn)已知的入侵行為����。異 常檢測基于統(tǒng)計方法��,假定所有的入侵行為都與正常行為不同����,如果當(dāng)前用戶行為與正常 行為達到一定程度偏差,就認為系統(tǒng)受到了攻擊。目前開展研究的異常檢測算法和模型主 要包括統(tǒng)計異常檢測���、基于神經(jīng)網(wǎng)絡(luò)的異常檢測以及基于數(shù)據(jù)挖掘的異常檢測�。神經(jīng)網(wǎng)絡(luò)是指為了模擬生物大腦的結(jié)構(gòu)和功能而構(gòu)成的一種信息處理系統(tǒng)或計 算機����。神經(jīng)網(wǎng)絡(luò)的每個神經(jīng)元接受大量其它神經(jīng)元的輸入,通過非線性輸入/輸出關(guān)系產(chǎn) 生輸出�����,實現(xiàn)了從輸入狀態(tài)空間到輸出狀態(tài)空間的非線性映射����。神經(jīng)網(wǎng)絡(luò)可以分為有監(jiān)督 學(xué)習(xí)神經(jīng)網(wǎng)絡(luò)和無監(jiān)督學(xué)習(xí)神經(jīng)網(wǎng)絡(luò),無監(jiān)督學(xué)習(xí)神經(jīng)網(wǎng)絡(luò)不要求預(yù)先給出網(wǎng)絡(luò)的目標(biāo)輸 出�,在訓(xùn)練的過程中,神經(jīng)網(wǎng)絡(luò)能夠通過無監(jiān)督學(xué)習(xí)對輸入樣本進行聚類分析�,實現(xiàn)連接權(quán) 值的自動調(diào)節(jié),大部分用于入侵檢測的神經(jīng)網(wǎng)絡(luò)都采用無監(jiān)督學(xué)習(xí)的方式����。其中又以SOM 神經(jīng)網(wǎng)絡(luò)應(yīng)用最為廣泛。但是SOM網(wǎng)絡(luò)結(jié)構(gòu)是固定的�,不能動態(tài)的改變�����。網(wǎng)絡(luò)訓(xùn)練時某些 神經(jīng)元始終不能獲勝�,成為“死”神經(jīng)元��,導(dǎo)致基于SOM網(wǎng)絡(luò)的入侵檢測方法的檢測率比較 低����,GHSOM神經(jīng)網(wǎng)絡(luò)試圖克服這些缺陷���。在入侵檢測中�,需要用一些字符特征(比如協(xié)議類型TCP���,UDP等)描述各種攻擊 行為����。無論是SOM神經(jīng)網(wǎng)絡(luò)還是GHSOM神經(jīng)網(wǎng)絡(luò)���,都只能處理數(shù)值類型的輸入模式向量����,對 于字符特征,需要把它們轉(zhuǎn)化成數(shù)值形式���。這種轉(zhuǎn)化帶有很大的隨意性�����,不能準確反映攻擊 行為的特點����。另外�����,GHSOM在每層中神經(jīng)元映射的增長依靠參數(shù)T1����,參數(shù)T1設(shè)置不當(dāng)往往 引起神經(jīng)元數(shù)目的龐大,增加了系統(tǒng)的開銷�����。
發(fā)明內(nèi)容
針對現(xiàn)有技術(shù)中存在的問題�����,本發(fā)明的目的在于提供一種入侵檢測方法,其通過 改進的生長型分級自組織映射(Growing Hierarchical Self-organizing Maps��,GHS0M)神 經(jīng)網(wǎng)絡(luò)訓(xùn)練方法對入侵檢測模型進行訓(xùn)練����,使用訓(xùn)練好的GHSOM神經(jīng)網(wǎng)絡(luò)模型對網(wǎng)絡(luò)入侵 行為進行檢測。傳統(tǒng)的SOM網(wǎng)絡(luò)結(jié)構(gòu)是固定的��,不能動態(tài)改變���。網(wǎng)絡(luò)訓(xùn)練時某些神經(jīng)元始終不能 獲勝,成為冗余神經(jīng)元���,GHSOM在一定程度上克服了這些缺點�����。GHSOM神經(jīng)網(wǎng)絡(luò)中神經(jīng)元的 數(shù)量���、映射和層次都是在無監(jiān)督的學(xué)習(xí)過程中動態(tài)確定的。但是GHSOM只能處理數(shù)值類型 的輸入模式向量�,對于含有字符類型成員的輸入模式向量,GHSOM顯得無能為力��。另外,對 控制神經(jīng)元增長的參數(shù)T1的設(shè)置也是一件比較麻煩的事情�,往往需要實驗多次才能找到 一個比較合適的數(shù)值。針對上述問題�����,對現(xiàn)有的GHSOM神經(jīng)網(wǎng)絡(luò)模型進行改進���。包括1)設(shè)計一種新的 混合向量結(jié)構(gòu)�,使得改進的GHSOM神經(jīng)網(wǎng)絡(luò)能夠處理含有數(shù)值類型成員和字符類型成員的 混合輸入模式向量�����。2)設(shè)計一種新的控制機制����,使得支持混合輸入模式的GHSOM神經(jīng)網(wǎng)絡(luò) 能夠自動控制神經(jīng)元數(shù)目的增長。把這種改進的神經(jīng)網(wǎng)絡(luò)用于入侵檢測技術(shù)中����,有利于檢 測率的提高。
本發(fā)明的技術(shù)方案為
一種基于生長型分級自組織映射神經(jīng)網(wǎng)絡(luò)的入侵檢測方法����,其步驟為
1)從網(wǎng)絡(luò)中采集網(wǎng)絡(luò)數(shù)據(jù)�����,并對其進行特征的提取�,生成神經(jīng)網(wǎng)絡(luò)能夠識別的輸
2)將步驟1)處理后的數(shù)據(jù)輸入給已加載訓(xùn)練好的神經(jīng)網(wǎng)絡(luò)模型的入侵檢測模
入模式
塊��,進行入侵檢測���,其中神經(jīng)網(wǎng)絡(luò)模型的訓(xùn)練方法為 a)將訓(xùn)練樣本數(shù)據(jù)集中的混合輸入模式向量采用Xi =
形式表示��,其中表
示第j個混合輸入模式向量&的數(shù)值類型分向量��、X〗表示Xj的字符類型分向量;b)利用輸入模式向量初始化神經(jīng)網(wǎng)絡(luò)第0層中唯一神經(jīng)元的權(quán)值�,并計算其量化 誤差Qetl ;其中�����,神經(jīng)元權(quán)值包括數(shù)值型權(quán)值分量�、字符型權(quán)值分量;c)從第0層的神經(jīng)元中拓展一 nXm結(jié)構(gòu)S0M�����,并將其層次標(biāo)識Layer置為1 ;其 中n��、m為大于1的自然數(shù)��;d)對于第Layer層中拓展出的每一 ηXm結(jié)構(gòu)S0M����,從映射到其父神經(jīng)元的混合輸 入模式向量構(gòu)成的集合中挑選一混合輸入模式向量X,并計算該SOM中每個神經(jīng)元與X的距 罔����;e)選取該SOM中與X距離最小的神經(jīng)元c,并對神經(jīng)元c及其鄰域內(nèi)神經(jīng)元的權(quán) 值進行調(diào)整���;如果未達到預(yù)定訓(xùn)練次數(shù)����,則轉(zhuǎn)入步驟d)��;f)計算經(jīng)e)調(diào)整后的該SOM中每個神經(jīng)元的量化誤差�����;g)根據(jù)SOM中神經(jīng)元的量化誤差和第0層神經(jīng)元的量化誤差qeQ����,控制拓展出的 SOM中神經(jīng)元數(shù)目的增加和神經(jīng)網(wǎng)絡(luò)層次的拓展��;
h)對第Layer層中增加了新神經(jīng)元的SOM和新拓展出的Layer+Ι層的所有nXm
結(jié)構(gòu)S0M����,采用步驟d)_
_少
驟f)所示方法對其重新進行訓(xùn)練��,直至神經(jīng)網(wǎng)絡(luò)不再產(chǎn)生新
的神經(jīng)元和新的分層�����,整個訓(xùn)練結(jié)束���;3)檢測結(jié)果處理模塊根據(jù)入侵檢測模塊輸出結(jié)果判斷當(dāng)前是否發(fā)生入侵�����,如果發(fā) 生入侵,則入侵處理模塊遍歷攻擊類型標(biāo)識庫�,檢驗是否有匹配的攻擊,如果有則確定攻擊 的類型并發(fā)出告警信息���;如果沒有匹配的攻擊���,則判斷是否為新的攻擊類型��,如果是新的攻 擊類型����,則把這種攻擊類型加入到攻擊類型標(biāo)識庫并發(fā)出告警信息��。進一步的�,第0層中神經(jīng)元的數(shù)值型權(quán)值分量W^1為所有混合輸入模式向量的數(shù) 值類型分向量的平均值,第0層中神經(jīng)元的字符類型權(quán)值分向量W�。s*所有混合輸入模式向 量的字符類型分向量的眾數(shù)向量;所述眾數(shù)向量為對于一個形如[S1, S2,…�����,Sn]的字符 類型向量構(gòu)成的集合S��,其眾數(shù)向量mode (S)為[mode (S1), mode (s2),…�����,mode (sn)]��,其中 mode (Si)表示所有向量的第i項構(gòu)成的集合中出現(xiàn)次數(shù)最多的字符值。進一步的���,所述ηXm結(jié)構(gòu)SOM為2X2結(jié)構(gòu)S0M�。進一步的�����,采用張力映射率方法控制SOM中神經(jīng)元的增加�,其方法為(1)在神經(jīng)元i與神經(jīng)元j之間插入一虛神經(jīng)元Vij,虛神經(jīng)元Vij的權(quán)值Wij通過 公式
‘、'(Win+W;)/2 �����、 modeiiC^Uiq})^(2)計算每個虛神經(jīng)元的映射率����;(3)計算所有虛神經(jīng)元映射率之和SMR ;如果映射的拓撲結(jié)構(gòu)規(guī)格大于2X2并且 SMR值大于之前映射的SMR值�����,則映射停止增長���,否則,神經(jīng)網(wǎng)絡(luò)繼續(xù)擴展出新的神經(jīng)元;(4)計算SOM中插入的每一行或每一列虛神經(jīng)元的張力���;(5)將每一行或每一列虛神經(jīng)元的張力與其對應(yīng)的平均映射率相乘�����,選擇出具有 最大值的行或者列并在其對應(yīng)位置插入神經(jīng)元�����。進一步的���,計算SOM中每個神經(jīng)元與X的距離的方法為通過計算SOM中神經(jīng)元i 的權(quán)值向量Wi與混合輸入模式向量X的相似度,得到神經(jīng)元i與混合輸入模式向量X的距罔���。
ι ν^-V^ IiY
�����、電S���,心
V2分別為相似度函數(shù)的輸入向量,V����;1為向量V1中數(shù)值類型成員值��,V丨為向量�、中字符類型成 員值���,如果V1與V2相對應(yīng)的字符類型成員值相同����,則函數(shù)s ( ·)取值為0���,否則取值為0. 5���。
進一步的,對神經(jīng)元c及其鄰域內(nèi)神經(jīng)元的權(quán)值采用公式 Wij =
W:‘W,.
得到 進一步的�,采用相似度函數(shù)為J(V15V2) =
計算所述相似度;其中�,V1,
聊+1)=
對(t+1)、
W(t+1)
行調(diào)整���,其中���,n (t)為t時刻的學(xué)
^mode(Q)
習(xí)速率���,K(c, i���,t)為鄰域函數(shù)��,C丨表示映射到神經(jīng)元i的混合輸入模式向量的字符類型分 向量構(gòu)成的集合��,mode (C丨)為集臺C〗的眾數(shù)向量�����。 進一步的�����,該SOM中每個神經(jīng)元的量化誤差的計算方法為神經(jīng)元i的量化誤差為
6
����,和分別表示神經(jīng)元i的數(shù)值類型誤差和 e" ef
字符類型誤差���,W/1表示神經(jīng)元i的數(shù)值類型權(quán)值分向量�����,Ci為映射到神經(jīng)元i的混合輸入 模式向量構(gòu)成的集合����,a為一常數(shù),ρ ( ·)為Ci中元素的概率函數(shù)���。與現(xiàn)有技術(shù)相比�����,本發(fā)明的積極效果為本方法能夠處理含有數(shù)值類型成員和字符類型成員的混合輸入模式向量��,進一步 地�,針對這種混合輸入模式向量��,本方法還能夠自動控制神經(jīng)元數(shù)目的增長��,提高了檢測的 效率�。
圖1為神經(jīng)網(wǎng)絡(luò)訓(xùn)練過程圖;圖2為GHSOM神經(jīng)網(wǎng)絡(luò)訓(xùn)練算法流程圖�����;圖3為插入神經(jīng)元示意圖�;圖4為每個神經(jīng)元周圍的虛神經(jīng)元分布圖��;圖5為GHSOM網(wǎng)絡(luò)拓撲結(jié)構(gòu)圖���;圖6為入侵檢測過程流程圖。
具體實施例方式下面結(jié)合附圖對本發(fā)明進行進一步詳細描述本發(fā)明的入侵檢測系統(tǒng)由兩部分組成神經(jīng)網(wǎng)絡(luò)模型的離線訓(xùn)練和基于神經(jīng)網(wǎng)絡(luò) 模型的在線檢測���。系統(tǒng)從網(wǎng)絡(luò)中采集樣本數(shù)據(jù)作為訓(xùn)練樣本數(shù)據(jù)集進行離線訓(xùn)練,得到入 侵檢測模型后再用于在線檢測�����。離線訓(xùn)練過程應(yīng)用神經(jīng)網(wǎng)絡(luò)訓(xùn)練算法�����,基于訓(xùn)練數(shù)據(jù)集對 神經(jīng)網(wǎng)絡(luò)模型進行訓(xùn)練��。訓(xùn)練好的神經(jīng)網(wǎng)絡(luò)模型便可應(yīng)用于在線網(wǎng)絡(luò)入侵檢測����。顯然,神 經(jīng)網(wǎng)絡(luò)訓(xùn)練算法是基于神經(jīng)網(wǎng)絡(luò)的入侵檢測系統(tǒng)的核心技術(shù)�。以下我們將重點結(jié)合訓(xùn)練流程闡述如何改進GHSOM訓(xùn)練方法。之后簡單介紹入侵 檢測的流程和方法�。改進的GHSOM神經(jīng)網(wǎng)絡(luò)模型的訓(xùn)練方法神經(jīng)網(wǎng)絡(luò)訓(xùn)練過程如圖1所示��。訓(xùn)練樣本對檢測模型的精準至關(guān)重要����,可以通過 采集實際運行的網(wǎng)絡(luò)的數(shù)據(jù)或在實驗環(huán)境生成訓(xùn)練樣本數(shù)據(jù)集�����。訓(xùn)練樣本由多個維度的流 量特征組成����。神經(jīng)網(wǎng)絡(luò)訓(xùn)練算法是基于神經(jīng)網(wǎng)絡(luò)的入侵檢測系統(tǒng)的核心技術(shù),本發(fā)明重點 提出一種改進的GHSOM神經(jīng)網(wǎng)絡(luò)訓(xùn)練方法���。本發(fā)明的GHSOM神經(jīng)網(wǎng)絡(luò)訓(xùn)練算法流程如圖2所示1.輸入模式向量��。在入侵檢測中����,需要用一些字符特征(比如協(xié)議類型TCP��,UDP等)描述各種攻擊 行為���。而傳統(tǒng)的GHSOM算法�����,只能處理數(shù)值類型的輸入模式向量��,對于字符特征值��,需要把 它們轉(zhuǎn)化成數(shù)值形式�。這種轉(zhuǎn)化帶有很大的隨意性,不能準確反映攻擊行為的特點�����。表1 中簡單描述了用數(shù)值特征與字符特征來表示攻擊的情形��。表1用數(shù)值特征與字符特征來表示攻擊 對于攻擊1的協(xié)議類型特征“TCP”與服務(wù)類型特征“HTTP”����,傳統(tǒng)的GHSOM算法需 要把它們轉(zhuǎn)化成數(shù)值形式(一種可能的方案是按照TCP協(xié)議為6�,UDP協(xié)議為17,HTTP端口 為80�,DNS端口為53來進行轉(zhuǎn)換)。改進的GHSOM算法不需要把字符特征值轉(zhuǎn)換成數(shù)值形 式�����,該算法能夠直接處理含有數(shù)值類型成員和字符類型成員的混合輸入模式向量。
^χηΛ
‘表示第j (j具有任意性)個混合輸入模式向量�,其中 (η表 本發(fā)明用
示數(shù)值型特征)和X丨(S表示字符型特征)分別表示數(shù)值類型分向量和字符類型分向量。相 對應(yīng)地��,改進的GHSOM中每個神經(jīng)元的權(quán)值向量的表示形式與混合輸入模式向量相同�����,即
表示神經(jīng)元i的權(quán)值向量�����,其中 (η表示數(shù)值型)和 (s表示字符型)分
別表示數(shù)值類型權(quán)值分向量和字符類型權(quán)值分向量�。Wi"與X〗具有相同的維度,并且每一維 表示的數(shù)值特征屬性相同�。Wis與X〗也具有相同的維度,每一維表示的字符特征屬性相同��。
對于表1中的攻擊1可以表示成 X1 =
,1 ���、 2 3
"TCP" "HTTP"
其中
χ,η =
,1�、 2
Xis =
'"TCP" Λ "HTTP"
(1)2.神經(jīng)網(wǎng)絡(luò)初始化出第0層�,第0層只含有一個神經(jīng)元,置層次標(biāo)識參數(shù)Layer = O0傳統(tǒng)GHSOM初始的第0層中只有一個自組織映射神經(jīng)網(wǎng)絡(luò)(Self-Organizing Mappings,以下簡稱為S0M)���,這個SOM僅含有一個神經(jīng)元�����,神經(jīng)元的權(quán)值向量為所有輸入模 式向量的平均值����。改進的GHSOM的第0層中也僅含一個神經(jīng)元����,這個神經(jīng)元的數(shù)值類型權(quán)值分向量 W; (η表示數(shù)值型權(quán)值����,0表示初始的第0個神經(jīng)元)為所有混合輸入模式向量的數(shù)值類型 分向量的平均值��。字符類型權(quán)值分向量WQS (s表示字符型權(quán)值)為所有混合輸入模式向量 的字符類型分向量的眾數(shù)向量�。在這里我們引入眾數(shù)向量的概念。對于一個形如[Sl��,S2�,…, sn]的字符類型向量構(gòu)成的集合S,它的眾數(shù)向量mode(S)為[mode (S1)�����,mode (s2)�,…, mode(sn)]�����,其中Hiode(Si)表示所有向量的第i項構(gòu)成的集合中出現(xiàn)次數(shù)最多的字符值���。3.神經(jīng)網(wǎng)絡(luò)從第0層的神經(jīng)元拓展出一個2X2結(jié)構(gòu)的S0M�����,置層次標(biāo)識參數(shù)
8Layer = 1���。傳統(tǒng)的GHSOM和改進的GHSOM神經(jīng)網(wǎng)絡(luò)首先都從第0層的神經(jīng)元拓展出一個2 X 2 結(jié)構(gòu)的SOM神經(jīng)網(wǎng)絡(luò)。這個新拓展出的SOM處于第1層��,第0層的神經(jīng)元為新拓展出的SOM 的父親神經(jīng)元����。一般地���,如果從處于第Layer層的神經(jīng)元i (i具有任意性)拓展出一個2 X 2 結(jié)構(gòu)的S0M,這個新拓展出的SOM則處于第Layer+Ι層��,并稱第Layer層的神經(jīng)元i為新拓 展出的SOM的父神經(jīng)元���。相對應(yīng)的���,改進的GHSOM神經(jīng)網(wǎng)絡(luò)拓展出的SOM能處理含有數(shù)值 類型成員和字符類型成員的混合輸入模式向量。4.隨機選擇輸入模式向量��,對第Layer層中神經(jīng)元進行訓(xùn)練��。對于第Layer層中新拓展出的S0M��,從映射到其父神經(jīng)元的混合輸入模式向量構(gòu) 成的集合中隨機挑選一個混合輸入模式向量X�,計算新拓展出的SOM中每個神經(jīng)元與X的距 離。由于混合輸入模式向量中含有字符類型成員��,所以計算距離時不能采用傳統(tǒng)的歐幾里 德距離公式��。對于任意的兩個混合輸入模式向量V1和V2�����,它們的相似度函數(shù)δ (Vl, ν2)計 算如下 如果V1與V2相對應(yīng)的字符類型成員值相同�����,則函數(shù)s( ·)取值為0�����,否則取值為 0. 5��。比如對于表1中的攻擊1與攻擊2�����,如果用V1表示攻擊1��,V2表示攻擊2�����,它們的相似 度函數(shù)計算過程如下 SOM中神經(jīng)元i的權(quán)值向量Wi與混合輸入模式向量X的表示形式相同(參見本節(jié) 1中的內(nèi)容)��,則神經(jīng)元i與X距離Cli為
選擇和X距離最小的神經(jīng)元c為獲勝神經(jīng)元�����,即 5.第Layer層中神經(jīng)元的權(quán)值進行調(diào)整。在選擇出獲勝神經(jīng)元以后��,傳統(tǒng)GHSOM和改進的GHSOM都需要對神經(jīng)元進行權(quán)值 調(diào)整�����。由于改進的GHSOM的權(quán)值中含有字符值����,調(diào)整字符類型權(quán)值時只能從已有的字符類 型值中選擇,不能引入新的字符類型值�����,因此不能使用數(shù)值類型的調(diào)整公式����。獲勝神經(jīng)元c 及其鄰域內(nèi)神經(jīng)元的權(quán)值調(diào)整如下所示
其中Il (t)(預(yù)先定義好)為t時刻的學(xué)習(xí)速率,K(c���,i�,t)(預(yù)先定義好)為鄰域函 數(shù)����,C丨表示映射到神經(jīng)元i的混合輸入模式向量的字符類型分向量構(gòu)成的集合。mode (C) 為集合C丨的眾數(shù)向量(眾數(shù)向量的概念參見本節(jié)2中的內(nèi)容)�����。6.計算第Layer層中神經(jīng)元的量化誤差�����。對第Layer層每個SOM中神經(jīng)元達到了預(yù)定的學(xué)習(xí)次數(shù)(預(yù)定學(xué)習(xí)次數(shù)需要預(yù)先 設(shè)定)以后����,傳統(tǒng)GHSOM和改進的GHSOM都需要計算每個神經(jīng)元的量化誤差。傳統(tǒng)GHSOM 計算第Layer層中神經(jīng)元i的量化誤差公式如下 Ai表示映射到神經(jīng)元i的輸入模式向量構(gòu)成的集合����,Wi為神經(jīng)元i的權(quán)值向量。 其中具有最大量化誤差值的神經(jīng)元稱為誤差神經(jīng)元(error unit)���。進一步地��,GHSOM計算 誤差神經(jīng)元鄰域內(nèi)神經(jīng)元到誤差神經(jīng)元的距離�,其中具有最大距離的神經(jīng)元為誤差神經(jīng)元 的最遠鄰近神經(jīng)元(most dissimilar neighbor)�。誤差神經(jīng)元e及其最遠鄰近神經(jīng)元d計 算如下
(10)其中W6為誤差神經(jīng)元e的權(quán)值向量,N6為誤差神經(jīng)元e鄰域內(nèi)神經(jīng)元權(quán)值向量構(gòu) 成的集合�����。改進的GHSOM因為其神經(jīng)元的權(quán)值向量和混合輸入模式向量中含有字符值,對第 Layer層中神經(jīng)元i計算量化誤差時應(yīng)該分開處理�����。一般地���,改進的GHSOM對第Layer層中 神經(jīng)元i誤差ei計算如下
(U) 其中ef和e丨分別表示神經(jīng)元i的數(shù)值類型誤差和字符類型誤差��,Wi11表示神經(jīng)元i 的數(shù)值類型權(quán)值分向量�����。Ci為映射到神經(jīng)元i的混合輸入模式向量構(gòu)成的集合�����,a為一常 數(shù)��,P( ·)為Ci中元素的概率函數(shù)��。神經(jīng)元i的量化誤差Qei計算如下 改進的GHSOM初始的第0層中只有一個神經(jīng)元(其權(quán)值的初始化見本節(jié)2)���,其誤
差e0為
en =
2�����、
veo y
=Σ
Xj el
Il W;-χ; II l/(l + eap(X|S|))
(13)其中e〖和e〖分別表示第0層惟一神經(jīng)元的數(shù)值類型誤差和字符類型誤差�����,WQn表示 第0層惟一神經(jīng)元的數(shù)值類型權(quán)值分向量��,I為所有混合輸入模式向量構(gòu)成的集合����。相對應(yīng)地,改進的GHSOM中具有最大量化誤差值的神經(jīng)元也被稱為誤差神經(jīng)元(errorunit)�����。由于改進的GHSOM中神經(jīng)元的權(quán)值向量含有字符值����,因此在計算誤差神經(jīng)元 e的最遠鄰近神經(jīng)元d時,應(yīng)采用如下的方式進行計算d = argmax{| ^(Wi5We)D WiGNe(14)其中We為誤差神經(jīng)元e的權(quán)值向量�,Ne為偏差值最大神經(jīng)元e鄰域內(nèi)神經(jīng)元權(quán) 值向量構(gòu)成的集合。傳統(tǒng)的GHSOM和改進的GHSOM都利用第0層中神經(jīng)元的量化誤差Qetl來控制神經(jīng) 網(wǎng)絡(luò)層次的拓展。7.是否在第Layer層中插入新神經(jīng)元�?對第Layer層每個SOM中神經(jīng)元計算出量化誤差后,需要進一步判斷是否需要在 第Layer層中插入新神經(jīng)元��。傳統(tǒng)GHSOM判斷第Layer層中每個神經(jīng)元i的量化誤差Qei 是否滿足下式Qei < τ i · qeu(15)τ工為控制神經(jīng)網(wǎng)絡(luò)中神經(jīng)元增加的參數(shù)����,qeu為神經(jīng)元i的父神經(jīng)元U的量化誤 差。如果不滿足(14)式��,則需要在誤差神經(jīng)元e及其最遠鄰近神經(jīng)元d (誤差神經(jīng)元和最 遠鄰近神經(jīng)元的定義參見本節(jié)6中的內(nèi)容)之間插入一行或一列神經(jīng)元�����。插入神經(jīng)元的過 程如圖3所示���。在圖3的左邊是一個2X2結(jié)構(gòu)的S0M��,e為誤差神經(jīng)元�����,d為誤差神經(jīng)元e的最遠 鄰近神經(jīng)元��,在神經(jīng)元e和d之間插入一列新的神經(jīng)元(神經(jīng)元f和c)�,新的神經(jīng)元權(quán)值向 量的初始值為鄰近神經(jīng)元權(quán)值向量的平均值。即神經(jīng)元f權(quán)值向量的初始值為神經(jīng)元e和 d權(quán)值向量的平均值�����,神經(jīng)元c權(quán)值向量的初始值為神經(jīng)元a和b權(quán)值向量的平均值��。當(dāng)對第Layer層每個SOM中神經(jīng)元達到了預(yù)定的學(xué)習(xí)次數(shù)(預(yù)定學(xué)習(xí)次數(shù)需要預(yù) 先設(shè)定)以后�����,傳統(tǒng)的GHSOM算法計算出每個神經(jīng)元的量化誤差�。為了判斷神經(jīng)網(wǎng)絡(luò)是否 應(yīng)該在第Layer層中增加新的神經(jīng)元����,算法首先計算出參數(shù)τ工與qeu的乘積,其中qeu為 當(dāng)前SOM父神經(jīng)元的量化誤差��,如果當(dāng)前SOM中存在某個神經(jīng)元的量化誤差大于參數(shù)τ工與 qeu的乘積���,則在誤差神經(jīng)元和它的最遠鄰近神經(jīng)元之間插入一行或者一列神經(jīng)元��。如果將 參數(shù)T1設(shè)置太低����,則會使網(wǎng)絡(luò)層次很深,每一層的映射規(guī)模很小���。如果將參數(shù)T1設(shè)置太 高則會使網(wǎng)絡(luò)層次較淺���,每一層映射橫向擴展龐大。通常情況下研究者對參數(shù)T1設(shè)置多 個不同的值進行實驗�����,然后找出最合適的一個值���。Pampalk等人提出一種張力映射率(Tension and Mapping Ration)的策略使得 GHSOM網(wǎng)絡(luò)能夠自動做出決策是否應(yīng)該增加新的神經(jīng)元����,但他們的研究僅適合于數(shù)值類型 的輸入模式向量����。在他們研究的基礎(chǔ)上,我們將這種張力映射率的策略引進到改進的GHSOM 中�����,使得對于含有數(shù)值類型成員和字符類型成員的混合輸入模式向量��,改進的GHSOM神經(jīng) 網(wǎng)絡(luò)能夠自動控制神經(jīng)元數(shù)目的增長。使用張力映射率有兩個原則一是必須保證神經(jīng)元i與神經(jīng)元j之間映射的穩(wěn)定 性��。這種穩(wěn)定性的度量則是在神經(jīng)元i與神經(jīng)元j之間插入一個虛神經(jīng)元Vij,虛神經(jīng)元Vij 的權(quán)值Wij通過以下計算得到
Γ W" f(Win+W1n)/2Wii = J =J(16)
J⑷—
11U = (OJ)Ivlj
ADz=-I- Xl^(Wi5Wj)I
I U I (iJ)eU
0117 W1 =
W���;
(17)在插入虛神經(jīng)元之后���,如果原本映射到神經(jīng)元i和神經(jīng)元j的輸入模式向量大部 分都映射到了虛神經(jīng)元 (即映射到虛神經(jīng)元 的輸入模式向量超過設(shè)定比例),則認為 網(wǎng)絡(luò)結(jié)構(gòu)是不穩(wěn)定的���;相似地���,如果原本映射到神經(jīng)元i和神經(jīng)元j的輸入模式向量只有很 少一部分用虛神經(jīng)元來代表更合適����,則認為網(wǎng)絡(luò)結(jié)構(gòu)是穩(wěn)定的。這種表示方式叫做映射 率(MR)���。另一個原則必須保證網(wǎng)絡(luò)的鄰居拓撲結(jié)構(gòu)是穩(wěn)定的���,這種穩(wěn)定度用張力來衡量。 如果所有鄰近神經(jīng)元之間的張力都差不多(鄰近神經(jīng)元之間的張力差值均小于設(shè)定值)����, 則認為網(wǎng)絡(luò)結(jié)構(gòu)是穩(wěn)定的��。對于一個訓(xùn)練好的網(wǎng)絡(luò)映射m����,下述算法描述了改進的GHSOM神 經(jīng)網(wǎng)絡(luò)自動控制神經(jīng)元增長的過程��。Stepl 對每一個神經(jīng)元i定義4個虛神經(jīng)元���,對于邊界的神經(jīng)元也采取類似的方 法�����。圖4用圖形描敘了這種方法��。在圖4中有6個用實線圓代表的神經(jīng)元�,在每個神經(jīng)元周圍有4個用虛線圓代表 的虛神經(jīng)元���。神經(jīng)元I是一個邊界上的虛神經(jīng)元����,它的權(quán)值W1可通過以下公式計算得到
廣(wa + w;)"��、 mode({q}U{q})y對于其它邊界上的神經(jīng)元,可以用類似的計算方式得到相應(yīng)的權(quán)值���。St印2 計算每個虛神經(jīng)元的映射率�����。對于映射到神經(jīng)元i的所有輸入模式X構(gòu)成 的集合(X e Ci)��,在神經(jīng)元i周圍插入虛神經(jīng)元后����,把映射到神經(jīng)元i的輸入模式的個數(shù)記 作Nji�,映射到虛神經(jīng)元、的輸入模式的個數(shù)記作N”類似地�,對于映射到神經(jīng)元j的所有 輸入模式X構(gòu)成的集合(X e Cj),在神經(jīng)元j周圍插入虛神經(jīng)元后,把映射到神經(jīng)元j的輸 入模式的個數(shù)記作Nf�����,映射到虛神經(jīng)元 的輸入模式的個數(shù)記作 ��。則每個虛神經(jīng)元Vij
的映射率MRij可以通過以下計算得到 N. NiMRlj=詩+ #(18)對于邊界上的虛神經(jīng)元k���,它的映射率MRik可以通過以下計算得到
Nj
N�����;'其中神經(jīng)元i為邊界神經(jīng)元�。Step3 根據(jù)所有虛神經(jīng)元映射率的和判斷神經(jīng)網(wǎng)絡(luò)的映射是否繼續(xù)增長��。計算所 有映射率MRu的和SMR�����。如果映射的拓撲結(jié)構(gòu)規(guī)格大于2X2并且SMR的值比之前映射的 SMR值要大���,則映射停止增長����,否則�����,神經(jīng)網(wǎng)絡(luò)將繼續(xù)擴展出新的神經(jīng)元����。對于每一行或每一 列虛神經(jīng)元z,通過式(19)計算出相應(yīng)行或者列的平均映射率AMRZ���。AMRz =^- ^MRij U = {(i,j) | Vij e ζ}(20)
I U I (i,j)eUSt印4:計算張力����。首先計算每一行或每一列虛神經(jīng)元的平均距離ADZ。每一行虛 神經(jīng)元的平均距離是指這一行兩兩虛神經(jīng)元距離和的平均值�����,通過類似方法可以計算出每 一列虛神經(jīng)元的平均距離����。具體如式(20)所示 MRik =^(19)
(21)
ez}
12
進一步的,計算出所有行ADz的平均距離AD,和所有列ADz的平均距離AD���。�,其中下 標(biāo)r代表所有行的虛神經(jīng)元���,下標(biāo)c代表所有列的虛神經(jīng)元�。對于每一行虛神經(jīng)元的張力 Tz����,可以通過計算式Tz = ADZ/AD����。得到���,每一列虛神經(jīng)元的張力Tz,則可以通過計算式Tz = ADZ/AA得到�。對于超出邊界的列或者行的虛神經(jīng)元,他們的行或列的張力則和最靠近它們 的行或者列的張力相等�����。St印5 對每一行或者每一列虛神經(jīng)元的張力和對應(yīng)的平均映射率相乘�,選擇出具 有最大值的行或者列,在對應(yīng)位置插入一行或者一列神經(jīng)元���。8.對第Layer層中插入了新神經(jīng)元的SOM重新進行訓(xùn)練���。對第Layer層中插入了新神經(jīng)元的S0M,傳統(tǒng)的GHSOM和改進的GHSOM都需要按照 本節(jié)4和5中介紹的方式對其重新進行訓(xùn)練����。9.是否從第Layer層中的神經(jīng)元擴展出新的分層?傳統(tǒng)GHSOM和改進的GHSOM都需要判斷第Layer層中的每個神經(jīng)元i (i表示第 Layer層中的任意神經(jīng)元)的量化誤差Qei是否滿足下式Qei < τ2 · qe0(22)其中τ 2為控制神經(jīng)網(wǎng)絡(luò)中層次拓展的參數(shù)�。對于不滿足上式的神經(jīng)元,在此神 經(jīng)元的下層拓展出一個新的2 X 2結(jié)構(gòu)的S0M,這個神經(jīng)元稱為新拓展出的SOM的父神經(jīng)元����。 神經(jīng)網(wǎng)絡(luò)繼續(xù)對Layer+Ι層的神經(jīng)元進行訓(xùn)練,直到不再產(chǎn)生新的神經(jīng)元與分層���?�?偟膩?說����,傳統(tǒng)的GHSOM和改進的GHSOM最后都會形成類似于圖5所示的拓撲結(jié)構(gòu)�����。圖5所示的GHSOM有4層�,初始的第0層只有一個神經(jīng)元,從第0層的神經(jīng)元拓展 出一個2X2結(jié)構(gòu)的S0M����。新的SOM在訓(xùn)練的過程中增加了一列神經(jīng)元,變成了 2X3結(jié)構(gòu)的 S0M����,2X3結(jié)構(gòu)的SOM中的兩個神經(jīng)元又進一步拓展出兩個2X2結(jié)構(gòu)的S0M��。重復(fù)上述過 程,直到GHSOM結(jié)構(gòu)穩(wěn)定����,不再產(chǎn)生新的神經(jīng)元和分層。入侵檢測過程基于神經(jīng)網(wǎng)絡(luò)的網(wǎng)絡(luò)入侵檢測過程見圖6���。在線檢測時�����,首先由數(shù)據(jù)采集與預(yù)處理 模塊從網(wǎng)絡(luò)中采集原始網(wǎng)絡(luò)數(shù)據(jù)�;然后經(jīng)過特征提取模塊進行特征的提取����,生成神經(jīng)網(wǎng)絡(luò) 能夠識別的輸入模式;最后將輸入模式交給入侵檢測模塊進行檢測�����。入侵檢測模塊中的核 心部件是訓(xùn)練好的基于改進的GHSOM神經(jīng)網(wǎng)絡(luò)模型����。入侵檢測模塊如果對當(dāng)前網(wǎng)絡(luò)行為判 別為攻擊行為���,則需要入侵分析與處理模塊對其進一步分析處理。包括以下步驟(1)數(shù)據(jù)采集模塊數(shù)據(jù)采集模塊中使用winpcap來抓包�����。winpcap是Iibpcap在Windows下的移植 版本����,而Iibpcap是目前最強大的網(wǎng)絡(luò)抓包庫。Winpcap可監(jiān)聽和采集整個網(wǎng)絡(luò)段中的數(shù) 據(jù)包����。得到數(shù)據(jù)包頭的信息后,進一步的�,對IP包進行格式檢查,若有分片則進行重組��。接 著���,判別它是TCP包�����,UDP包或者是ICMP包�,根據(jù)數(shù)據(jù)包的不同協(xié)議類型,進行不同的語義 分析����,將符合要求的數(shù)據(jù)包中的信息,傳遞給數(shù)據(jù)處理模塊���。(2)數(shù)據(jù)處理數(shù)據(jù)處理模塊從采集的協(xié)議流數(shù)據(jù)中提出能夠比較精確表達數(shù)據(jù)信息的特征,轉(zhuǎn) 化成入侵檢測模塊能夠識別的格式����,送給入侵檢測模塊進行處理。在對數(shù)據(jù)包進行特征提 取上����,采用快速的IP數(shù)據(jù)包重組算法,TCP會話重組算法�,并采用Hash表示法進行統(tǒng)計,對每個會話流提煉出了如表2所示的25個特征���。之后采用規(guī)一化方法對特征向量進行規(guī)一 化處理���。規(guī)一化處理的原則是找出每一維特征的最大值,然后將每個特征向量的對應(yīng)值除 以這個最大值��;如果最大值為0,則對每個特征向量相對應(yīng)的值不做改變�����。對整個特征向量 集進行規(guī)一化等處理后��,就可以作為入侵檢測模塊的輸入數(shù)據(jù)了����。
表2提取的25維特征 (3)入侵檢測入侵檢測模塊是入侵檢測系統(tǒng)的核心模塊。入侵檢測模塊基于改進的GHSOM神經(jīng) 網(wǎng)絡(luò)進行構(gòu)建����,在對模型訓(xùn)練好的基礎(chǔ)上,對數(shù)據(jù)處理模塊提供的輸入數(shù)據(jù)進行檢測�����,并把 檢測的結(jié)果交給入侵處理模塊進行進一步處理�����。(4)入侵分析與處理模塊如果入侵檢測模塊判斷當(dāng)前發(fā)生了入侵�����,入侵分析與處理模塊則遍歷攻擊類型標(biāo) 識庫,檢驗是否有匹配的攻擊�,如果有則可以確定攻擊的類型。如果沒有匹配的攻擊��,則進 一步判斷是否為新的攻擊類型�,如果是新的攻擊類型,則把這種攻擊類型加入到攻擊類型 標(biāo)識庫�����。(5)告警處理模塊如果系統(tǒng)檢驗到當(dāng)前網(wǎng)絡(luò)行為是入侵行為���,需要告警處理模塊和入侵響應(yīng)模塊進 一步處理。告警處理模塊對入侵行為做出處理����,對入侵行為發(fā)出警報,并對其進行定位(如告警事件涉及的源地址和端口號)�����,把這些信息顯示在人機交互界面上�����,根據(jù)用戶的指令執(zhí) 行相應(yīng)的操作。(6)輸入/輸出處理引擎輸入/輸出處理引擎模塊是人機交互界面與入侵檢測原型系統(tǒng)之間的連接模塊�����。 用戶通過人機界面發(fā)出的各種操作命令都是通過該模塊進行解釋處理�,系統(tǒng)產(chǎn)生的報警信 息也由該模塊處理之后在人機交互界面上顯示。
權(quán)利要求
一種基于生長型分級自組織映射神經(jīng)網(wǎng)絡(luò)的入侵檢測方法�,其步驟為1)從網(wǎng)絡(luò)中采集網(wǎng)絡(luò)數(shù)據(jù),并對其進行特征的提取��,生成神經(jīng)網(wǎng)絡(luò)能夠識別的輸入模式���;2)將步驟1)處理后的數(shù)據(jù)輸入給已加載訓(xùn)練好的神經(jīng)網(wǎng)絡(luò)模型的入侵檢測模塊�����,進行入侵檢測��,其中神經(jīng)網(wǎng)絡(luò)模型的訓(xùn)練方法為a)將訓(xùn)練樣本數(shù)據(jù)集中的混合輸入模式向量采用形式表示��,其中表示第j個混合輸入模式向量Xj的數(shù)值類型分向量�、表示Xj的字符類型分向量�;b)利用輸入模式向量初始化神經(jīng)網(wǎng)絡(luò)第0層中唯一神經(jīng)元的權(quán)值,并計算其量化誤差qe0;其中��,神經(jīng)元權(quán)值包括數(shù)值型權(quán)值分量����、字符型權(quán)值分量;c)從第0層的神經(jīng)元中拓展一n×m結(jié)構(gòu)SOM�,并將其層次標(biāo)識Layer置為1;其中n����、m為大于1的自然數(shù);d)對于第Layer層中拓展出的每一n×m結(jié)構(gòu)SOM�����,從映射到其父神經(jīng)元的混合輸入模式向量構(gòu)成的集合中挑選一混合輸入模式向量X�,并計算該SOM中每個神經(jīng)元與X的距離����;e)選取該SOM中與X距離最小的神經(jīng)元c,并對神經(jīng)元c及其鄰域內(nèi)神經(jīng)元的權(quán)值進行調(diào)整����;如果未達到預(yù)定訓(xùn)練次數(shù),則轉(zhuǎn)入步驟d)����;f)計算經(jīng)e)調(diào)整后的該SOM中每個神經(jīng)元的量化誤差�;g)根據(jù)SOM中神經(jīng)元的量化誤差和第0層神經(jīng)元的量化誤差qe0����,控制拓展出的SOM中神經(jīng)元數(shù)目的增加和神經(jīng)網(wǎng)絡(luò)層次的拓展;h)對第Layer層中增加了新神經(jīng)元的SOM和新拓展出的Layer+1層的所有n×m結(jié)構(gòu)SOM����,采用步驟d)~f)對其重新進行訓(xùn)練,直至神經(jīng)網(wǎng)絡(luò)不再產(chǎn)生新的神經(jīng)元和新的分層��,整個訓(xùn)練結(jié)束���;3)檢測結(jié)果處理模塊根據(jù)入侵檢測模塊輸出結(jié)果判斷當(dāng)前是否發(fā)生入侵����,如果發(fā)生入侵���,則入侵處理模塊遍歷攻擊類型標(biāo)識庫���,檢驗是否有匹配的攻擊,如果有則確定攻擊的類型并發(fā)出告警信息;如果沒有匹配的攻擊�,則判斷是否為新的攻擊類型,如果是新的攻擊類型����,則把這種攻擊類型加入到攻擊類型標(biāo)識庫并發(fā)出告警信息。FSA00000193803700011.tif,FSA00000193803700012.tif,FSA00000193803700013.tif
2.如權(quán)利要求1所述的方法�,其特征在于第0層中神經(jīng)元的數(shù)值型權(quán)值分量Wlj"為所 有混合輸入模式向量的數(shù)值類型分向量的平均值,第0層中神經(jīng)元的字符類型權(quán)值分向 量WQS為所有混合輸入模式向量的字符類型分向量的眾數(shù)向量���;所述眾數(shù)向量為對于一 個形如[Sl���,s2,…,sn]的字符類型向量構(gòu)成的集合S�����,其眾數(shù)向量mode⑶為[Hiode(S1), mode(s2),…�,mode (sn)]�,其中mode (Si)表示所有向量的第i項構(gòu)成的集合中出現(xiàn)次數(shù)最 多的字符值。
3.如權(quán)利要求1或2所述的方法��,其特征在于所述ηXm結(jié)構(gòu)SOM為2X2結(jié)構(gòu)S0M��。
4.如權(quán)利要求3所述的方法,其特征在于采用張力映射率方法控制SOM中神經(jīng)元的增 加�����,其方法為1)在神經(jīng)元i與神經(jīng)元j之間插入一虛神經(jīng)元Vij,虛神經(jīng)元Vij的權(quán)值Wij通過公式 得到2)計算每個虛神經(jīng)元的映射率��;3)計算所有虛神經(jīng)元映射率之和SMR�;如果映射的拓撲結(jié)構(gòu)規(guī)格大于2X2并且SMR值 大于之前映射的SMR值,則映射停止增長����,否則,神經(jīng)網(wǎng)絡(luò)繼續(xù)擴展出新的神經(jīng)元�����;4)計算SOM中插入的每一行或每一列虛神經(jīng)元的張力�����;5)將每一行或每一列虛神經(jīng)元的張力與其對應(yīng)的平均映射率相乘����,選擇出具有最大值 的行或者列并在其對應(yīng)位置插入神經(jīng)元。
5.如權(quán)利要求1或2所述的方法��,其特征在于計算SOM中每個神經(jīng)元與X的距離的方 法為通過計算SOM中神經(jīng)元i的權(quán)值向量Wi與混合輸入模式向量X的相似度,得到神經(jīng)元 i與混合輸入模式向量X的距離�。
6.如權(quán)利要求5所述的方法,其特征在于采用相似度函數(shù)為 計算所述相似度�;其中,Vl��、V2分別為相似度函數(shù)的輸入向量����,v〖為向量V1中數(shù)值類型成員 值,V丨為向量�����、中字符類型成員值����,如果、與V2相對應(yīng)的字符類型成員值相同����,則函數(shù)s(·) 取值為0,否則取值為0.5���。
7.如權(quán)利要求1或2所述的方法��,其特征在于對神經(jīng)元c及其鄰域內(nèi)神經(jīng)元的權(quán)值采 用 進行調(diào)整��,其中����,n(t)為t時刻的學(xué)習(xí)速率�,K(c, i,t)為鄰域函數(shù)��,C丨表示映射到神經(jīng)元i的混合輸入模式向量的字符 類型分向量構(gòu)成的集合�����,mode (C丨)為集合C丨的眾數(shù)向量����。
8.如權(quán)利要求1或2所述的方法,其特征在于該SOM中每個神經(jīng)元的量化誤差的計算方法為神經(jīng)元i的量化誤差為Qei= IeiI其中 表示神經(jīng)元i的數(shù)值類型誤差和字符類型誤差�,Wi11表示神經(jīng)元i的數(shù)值類型權(quán)值分向量, Ci為映射到神經(jīng)元i的混合輸入模式向量構(gòu)成的集合�����,a為一常數(shù)����,p( ·)為Ci中元素的概 率函數(shù)���。
全文摘要
本發(fā)明公開了一種基于生長型分級自組織映射(Growing Hierarchical Self-organizing Maps,GHSOM)神經(jīng)網(wǎng)絡(luò)的入侵檢測方法���,屬于網(wǎng)絡(luò)信息安全技術(shù)領(lǐng)域����。本方法中GHSOM入侵檢測模型的訓(xùn)練方法的關(guān)鍵點為1)設(shè)計一種新的混合向量結(jié)構(gòu)����,使得改進的GHSOM神經(jīng)網(wǎng)絡(luò)能夠處理含有數(shù)值類型成員和字符類型成員的混合輸入模式向量;2)設(shè)計一種新的控制機制�����,該機制使用張力映射率(Tension and Mapping Ratio(TMR)來替代參數(shù)τ1�����,使得支持混合輸入模式向量的GHSOM神經(jīng)網(wǎng)絡(luò)自動控制神經(jīng)元的增長����。把這種改進的神經(jīng)網(wǎng)絡(luò)用于入侵檢測技術(shù)中�����,有利于檢測率的提高。
文檔編號G06F21/00GK101901317SQ201010228750
公開日2010年12月1日 申請日期2010年7月9日 優(yōu)先權(quán)日2010年7月9日
發(fā)明者何家勝, 夏敏, 姜電波, 張英, 楊雅輝, 沈晴霓 申請人:北京大學(xué)