[发明专利]一种多神经网络融合的入侵检测方法

摘要

一种多神经网络融合的入侵检测方法，包括以下步骤：对来自外网的数据进行抓包和分析处理；将上述处理后的网络数据同时传输到分析数据库和SGNG异常检测分类器，使用封闭网络采集的正常类型数据离线训练SGNG异常检测分类器；所述SGNG异常检测分类器将检测出的异常数据标记后进行系统报警并将其存入分析数据库；将分析数据库中标记异常的数据集提供给PCSOM异常聚类分析器进行异常数据聚类分析；经过SGNG异常检测分类器检测出的异常数据按照类型分别输入到若干个并行的PCANN误用检测器，PCANN误用检测器将检测出的异常数据进行具体入侵类型报警，同时对所有PCANN误用检测器过滤的异常数据进行标记并存入分析数据库。

主权项

1、一种多神经网络融合的入侵检测方法，其特征在于，包括以下步骤：①对来自外网的数据进行抓包和分析处理；②将上述处理后的网络数据同时传输到分析数据库和SGNG异常检测分类器，使用封闭网络采集的正常类型数据离线训练SGNG异常检测分类器；③所述SGNG异常检测分类器将检测出的异常数据标记后进行系统报警并将其存入分析数据库；④将分析数据库中标记异常的数据集提供给PCSOM异常聚类分析器进行异常数据聚类分析；⑤经过SGNG异常检测分类器检测出的异常数据按照类型分别输入到若干个并行的PCANN误用检测器，PCANN误用检测器将检测出的异常数据进行具体入侵类型报警，同时对所有PCANN误用检测器过滤的异常数据进行标记并存入分析数据库；其中：SGNG异常检测分类器：一种自增长的神经网络模型，将输入的外网数据划分为正常数据和异常数据两大类，并将闭合网络的数据采集作为训练数据，训练过程为监督过程，对实时采集的外网数据进行实时检测，具体包括以下步骤：A、输入单类别模式训练数据，在此系统中此训练数据为闭合网络采集的正常类型网络连接数据；B、神经元自分裂过程：根据输入数据在高维空间中的分布，网络自动增长从而适应和模拟训练数据的分布情况，初始网络的神经元数目为1，在神经元竞争过程中，当获胜神经元权值和输入之间的距离大于某事先设定的分裂半径时，自动添加一个神经元并设定其权值为当前输入向量；C、神经元竞争和合作过程：分裂后的SGNG网络在后续的输入迭代过程中进行权值调整，直至满足设定的收敛条件；D、神经元删除过程：在网络收敛后，各神经元的获胜次数如果小于预先设定的删除阈值，则此神经元被认为处于“欠训练”或“死”的状态，在网络中删除此类神经元；E、组合网络中所有活动的神经元构成单模式有监督训练的精确分类器；PCSOM异常聚类分析器：它结合自组织网络SOM以及主成分分析方法PCA对分析数据库中的异常数据进行聚类分析，从而为确定某类具体攻击类型特征的建立提供训练数据基础，此训练过程为无监督训练，具体工作步骤如下：A、随机初始化PCSOM网络神经元权值；指定神经元数目；B、从分析数据库中输入无具体攻击类别标记的异常数据向量；C、分别计算输入在每个神经元所代表的类别子空间中的投影误差；D、根据SOM规则对相关神经元权值进行更新；E、返回步骤B迭代，直至满足预定的网络收敛条件；PCANN误用检测器：PCANN误用检测器为针对确定的已知攻击类型数据而建立，主要检测某异常数据是否为某类型攻击，其训练为有监督训练，训练数据来源于PCSOM异常聚类分析器所标记的具体入侵类别数据，训练过程中，根据检测率和误报率的平衡确定一个PCANN误用检测器的检测阈值参数ε，其工作步骤如下：A、训练阶段：给定精度，网络自动迭代收敛至要求精度，此时，网络中神经元的数目m等同于训练数据的实质维度，即将输入的n维数据自动压缩到m维的特征子空间中；B、确定分类器检测阈值参数ε：计算输入在m维特征子空间中的投影误差，根据误报率和检测率指标的平衡确定ε；C、实时误用检测：来自SGNG异常检测分类器过滤的异常数据输入PCANN误用检测器，当异常数据的投影误差小于ε时，确定此异常数据为此PCANN误用检测器刻画的具体入侵类型，否则不予处理。