[发明专利]一种基于生长型分级自组织映射神经网络的入侵检测方法

说明书

技术领域

本发明涉及一种入侵检测方法，具体涉及一种基于生长型分级自组织映射(GrowingHierarchical Self-organizing Maps，GHSOM)神经网络的入侵检测方法，属于计算机网络信息安全技术领域。

背景技术

随着计算机网络尤其是Internet技术的迅速发展，网络在我们日常的生活、学习和工作中发挥着越来越重要的作用，网络安全问题也越来越受到人们的关注。迅速、有效地发现各类新的入侵行为，对于保障网络系统安全十分重要。入侵检测技术是一种通过监视网络系统的运行状态，进而发现各种攻击企图、攻击行为或者攻击结果的信息安全技术。

入侵检测作为一种主动防御技术，弥补了传统安全技术的不足。入侵检测系统可以对计算机主机和网络进行实时监控，分析发现可疑事件。一旦入侵行为被检测出来，系统就会采取相应的措施(如通知管理员，切断网络连接等)，从而及时消除即将对系统安全产生的危害。入侵检测作为系统安全技术的重要组成部分，日益受到各国政府及学者的重视。美国国防部高级规划署(DARPA)和美国空军向麻省理工(MIT)等大学的研究机构提供资助，利用人工智能的相关技术对入侵检测的技术及评估系统进行研究。包括中国在内的很多国家都启动了信息安全的研究计划，来从事这方面的技术开发和研究。

入侵检测方法一般可以分为两类：误用检测和异常检测。误用检测假定所有的入侵行为都能够表达为一种特定的模式或特征，通过模式匹配方法发现已知的入侵行为。异常检测基于统计方法，假定所有的入侵行为都与正常行为不同，如果当前用户行为与正常行为达到一定程度偏差，就认为系统受到了攻击。目前开展研究的异常检测算法和模型主要包括：统计异常检测、基于神经网络的异常检测以及基于数据挖掘的异常检测。

神经网络是指为了模拟生物大脑的结构和功能而构成的一种信息处理系统或计算机。神经网络的每个神经元接受大量其它神经元的输入，通过非线性输入/输出关系产生输出，实现了从输入状态空间到输出状态空间的非线性映射。神经网络可以分为有监督学习神经网络和无监督学习神经网络，无监督学习神经网络不要求预先给出网络的目标输出，在训练的过程中，神经网络能够通过无监督学习对输入样本进行聚类分析，实现连接权值的自动调节，大部分用于入侵检测的神经网络都采用无监督学习的方式。其中又以SOM神经网络应用最为广泛。但是SOM网络结构是固定的，不能动态的改变。网络训练时某些神经元始终不能获胜，成为“死”神经元，导致基于SOM网络的入侵检测方法的检测率比较低，GHSOM神经网络试图克服这些缺陷。

在入侵检测中，需要用一些字符特征(比如协议类型TCP，UDP等)描述各种攻击行为。无论是SOM神经网络还是GHSOM神经网络，都只能处理数值类型的输入模式向量，对于字符特征，需要把它们转化成数值形式。这种转化带有很大的随意性，不能准确反映攻击行为的特点。另外，GHSOM在每层中神经元映射的增长依靠参数τ₁，参数τ₁设置不当往往引起神经元数目的庞大，增加了系统的开销。

发明内容

针对现有技术中存在的问题，本发明的目的在于提供一种入侵检测方法，其通过改进的生长型分级自组织映射(Growing Hierarchical Self-organizing Maps，GHSOM)神经网络训练方法对入侵检测模型进行训练，使用训练好的GHSOM神经网络模型对网络入侵行为进行检测。

传统的SOM网络结构是固定的，不能动态改变。网络训练时某些神经元始终不能获胜，成为冗余神经元，GHSOM在一定程度上克服了这些缺点。GHSOM神经网络中神经元的数量、映射和层次都是在无监督的学习过程中动态确定的。但是GHSOM只能处理数值类型的输入模式向量，对于含有字符类型成员的输入模式向量，GHSOM显得无能为力。另外，对控制神经元增长的参数τ₁的设置也是一件比较麻烦的事情，往往需要实验多次才能找到一个比较合适的数值。

针对上述问题，对现有的GHSOM神经网络模型进行改进。包括：1)设计一种新的混合向量结构，使得改进的GHSOM神经网络能够处理含有数值类型成员和字符类型成员的混合输入模式向量。2)设计一种新的控制机制，使得支持混合输入模式的GHSOM神经网络能够自动控制神经元数目的增长。把这种改进的神经网络用于入侵检测技术中，有利于检测率的提高。

本发明的技术方案为：

一种基于生长型分级自组织映射神经网络的入侵检测方法，其步骤为：

1)从网络中采集网络数据，并对其进行特征的提取，生成神经网络能够识别的输入模式；