[发明专利]基于增量式GHSOM神经网络的入侵检测方法

说明书

技术领域

本发明涉及一种入侵检测方法，具体涉及一种基于增量式生长型分级自组织映射(Incremental Growing Hierarchical Self-organizing Maps，IGHSOM)神经网络的入侵检测方法，属于计算机网络信息安全技术领域。

背景技术

随着计算机网络规模的不断扩大以及网络技术的高速发展，计算机网络与人们的日常生活紧密的联系在一起，网络安全问题也随之受到人们的关注。特别是近年来黑客攻击的频度、传播速度、受害面和破坏程度都在不断加大，如何保证个人信息不被盗取，以及如何抵御网络外部和系统内部的攻击行为或企图，成为网络安全业界密切关注的重要课题。

围绕网络安全问题人们提出了很多种解决的方法，如人们熟知的防火墙。防火墙能够通过过滤和访问控制阻止一些对系统的非法访问，但是缺乏对网络环境下日新月异的攻击行为的主动响应，不能提供足够的安全保护。入侵检测作为一种主动防御技术，是对传统安全机制的补充，它能够通过监控网络的使用状态、用户的操作行为以及系统的异常情况，亦或通过对网络数据包进行分析和处理，来检测网络系统用户和系统外部的入侵者的入侵行为或企图，并做出实时响应，它的引入进一步地提高网络系统的安全性。

入侵检测方法分为异常检测和误用检测。异常检测是通过对比与正常模式的偏离度来预测用户的行为是否为异常，包括基于特征选择、贝叶斯网络、机器学习、数据挖掘、神经网络的异常检测方法等；误用检测是通过模式匹配当前活动与预先定义好的入侵模式或入侵规则，包括基于条件概率、状态迁移分析、键盘监控、专家系统、模型误用推理及Petri网状态转换的误用入侵检测方法。

神经网络算法具有自适应、自学习、自组织、较好的容错性和鲁棒性、以及能够进行大规模并行计算和非线性映射等优点，非常适用于变化多端的入侵检测环境。自组织映射(self-organizing maps，SOM)是神经网络方法中一种典型的方法。但由于传统的SOM神经网络模型结构是固定的，不能改变，所以选择不同的初始神经元个数会直接导致最终神经网络模型的结构与检测精度。而生长型分层自组织映射(Growing Hierarchical Self-organizing maps，GHSOM)是SOM模型的一种变体，不仅可以自适应地调整子网和拓展子网，而且可以更好的体现数据中可能存在的复杂阶层关系，较好地解决了SOM神经网络模型不能动态更新的缺点。

GHSOM神经网络算法是基于批量学习，即假设一次可以得到所有训练样本，对这些样本进行学习，达到预定学习次数后学习过程终止，不再学习新知识。然而在现实入侵检测网络应用中，攻击类型是层出不穷的，所以包含所有攻击类型的训练样本通常是随着时间逐步得到的，并且训练样本反映的内在信息可能随着时间的变化而变化。如果算法每次得到新样本后都要对全部数据重新训练，势必会提高算法的时间复杂度和空间复杂度，不能及时发现新的入侵行为。

发明内容

针对现有技术中存在的问题，本发明的目的在于提供一种增量式入侵检测方法，其是在一个稳定的入侵检测模型基础上以在线方式边检测边进行增量学习，实现在检测过程中对入侵检测模型进行动态更新，从而能够更及时的检测出各种入侵行为，尤其是新出现的入侵行为。

传统的SOM神经网络结构是固定的，不能动态改变，训练时某些神经元始终不能获胜，成为冗余神经元，GHSOM在一定程度上克服了这些缺点。但是GHSOM神经网络算法是基于批量学习，达到预定学习次数后学习过程终止，不能再学习新知识，对于攻击类型层出不穷的实际入侵检测检测网络显得无能为力，如果频繁地对全部数据重新训练，全部数据重新训练，势必会提高算法的时间复杂度和空间复杂度。

针对如上问题，本发明提出基于增量式生长型分级自组织映射(Incremental Growing Hierarchical Self-organizing Maps，IGHSOM)神经网络的入侵检测方法，提高入侵检测模型的智能性。主要工作包括：1)在检测过程中增加相似度判断，用于判断检测向量是否与获胜神经元同类型。2)在检测过程中动态构造新拓展层的训练数据集。3)提出增量式GHSOM神经网络的动态层拓展方案。4)设计增量式GHSOM神经网络规模的控制机制。

为了便于后续内容的讨论，先给出如下定义：

定义1：映射向量。训练过程中落在神经元上的获胜向量称为映射向量。

定义2：获胜向量。检测过程中落在神经元上的获胜向量称为获胜向量。