[发明专利]一种基于半监督神经网络模型的入侵检测方法

说明书

技术领域

本发明应用于入侵检测系统，对基于生长型分级自组织映射(Growing Hierarchical Self-organizing Maps，GHSOM)神经网络的入侵检测方法进行了改进，将半监督的方法引入到了GHSOM算法的训练过程中，提高了算法对入侵数据的检测准确度。属于计算机网络信息安全技术领域。

背景技术

随着计算机网络尤其是Internet技术的迅速发展，网络在我们日常的生活、学习和工作中发挥着越来越重要的作用，网络安全问题也越来越受到人们的关注。迅速、有效地发现各类新的入侵行为，对于保障网络系统安全十分重要。入侵检测技术是一种通过监视网络系统的运行状态，进而发现各种攻击企图、攻击行为或者攻击结果的信息安全技术。

入侵检测作为一种主动防御技术，弥补了传统安全技术的不足。入侵检测系统可以对计算机主机和网络进行实时监控，分析发现可疑事件。一旦入侵行为被检测出来，系统就会采取相应的措施(如通知管理员，切断网络连接等)，从而及时消除即将对系统安全产生的危害。入侵检测作为系统安全技术的重要组成部分，日益受到各国政府及学者的重视。美国国防部高级规划署(DARPA)和美国空军向麻省理工(MIT)等大学的研究机构提供资助，利用人工智能等相关技术对入侵检测的技术及评估系统进行研究。包括中国在内的很多国家都启动了信息安全的研究计划，来从事这方面的技术开发和研究。

神经网络是指为了模拟生物大脑的结构和功能而构成的一种信息处理系统或计算机。神经网络的每个神经元接受大量其它神经元的输入，通过非线性输入/输出关系产生输出，实现了从输入状态空间到输出状态空间的非线性映射。在训练的过程中，神经网络能够通过无监督学习对输入样本进行聚类分析，实现连接权值的自动调节，大部分用于入侵检测的神经网络都采用无监督学习的方式。其中又以SOM神经网络应用最为广泛。但是SOM网络结构是固定的，不能动态的改变。网络训练时某些神经元始终不能获胜，成为“死”神经元，导致基于SOM网络的入侵检测方法的检测率比较低，GHSOM神经网络试图克服这些缺陷。

传统的GHSOM算法是无监督的，即训练数据不带有任何的先验知识，在实际入侵检测应用中，由于各种现实条件的限制，得到大量有标签的训练数据很困难。但是我们往往会比较容易得到少量的先验知识，如数据类型的标签，数据与数据之间的约束关系等。尽管数量不是很大，但是这些数据会对训练聚类过程具有一定的指导意义。如何充分利用这些有用的先验知识，对GHSOM网络进行训练提高其准确度是GHSOM算法需要解决的问题。

发明内容

针对目前传统的GHSOM算法存在的问题，本发明的目的在于提供一种基于半监督神经网络模型的入侵检测方法，本发明充分利用训练数据，进一步提高GHSOM算法的检验准确性。在没有先验知识的训练数据中加入了有标签的数据来训练GHSOM网络。同时也对GHSOM算法做出了一些改进，使其能够支持半监督的训练方式。

(1)引入Cop-kmeans半监督机制并解决返回空划分问题

Cop-kmeans算法是基于约束的半监督聚类算法，其输入是大量无标签的数据和一些数据的约束关系。在半监督的GHSOM算法中，输入是大量无标签的数据和少量有标签的数据。为了体现数据之间的约束关系，我们规定相同标签的数据之间是Must-Link关系，不同标签的数据之间是Cannot-Link关系。

在半监督的GHSOM神经网络训练中，输入训练样本采用了少量的有标签数据和大量无标签数据，我们希望借鉴Cop-kmeans的半监督机制来利用少量有标签的数据，使得它们在训练过程中能够起到引导聚类的作用。但是这种算法有一个缺陷，返回空划分结果即某条数据可能找不到符合满足条件的聚类。假设聚类数为2，并且(x_i，x_k)∈Cannot-Link，(x_j，x_k)∈Cannot-Link。由于x_i和x_j在分配x_k之前已经确定了他们的类标签，且x_i和x_j此时已被指派到了C_a和C_b。上述不合适的分配顺序让x_i和x_j被划分到不同的类中，导致了x_k找不到合适的类，无法分配。此时无论x_k选择C_a还是C_b都会和Cannot-Link约束违反。

造成这种现象的原因是有如下几种：