[发明专利]基于增量式GHSOM神经网络的入侵检测方法

摘要

本发明公开了一种基于增量式GHSOM神经网络的入侵检测方法，属于网络信息安全技术领域。本方法为：1)在线采集网络数据输入给入侵检测模块；2)入侵检测模块计算可检测当前向量x的获胜神经元t；3)如果t是覆盖神经元，且x与t同类，则利用t检测x；否则为x打上未知攻击类型的标签，把x加入增量训练集；4)当t满足拓展条件时，从t下方拓展出一虚神经元t′再从t′拓展出一新SOM，利用t对应的增量训练集合It进行训练；5)查找新拓展SOM子网的成熟父神经元，如果其超过删除不成熟子网的条件，则对动态拓展出的不成熟神经网络部分重新训练；6)根据入侵检测模块输出的检测结果判断是否发生入侵。本发明能及时检测出各种入侵行为，尤其是新出现的入侵行为。

主权项

一种基于增量式GHSOM神经网络的入侵检测方法，其步骤为：1)从网络中在线采集网络数据，并生成神经网络能够识别的检测模式向量，输入给入侵检测&动态增量式学习模块；其中，所述入侵检测&动态增量式学习模块包括一离线训练好的GHSOM神经网络模型；2)所述入侵检测&动态增量式学习模块将当前检测模式向量赋值给x，采用自顶向下的方式按照GHSOM神经网络模型的层拓展关系，计算并找出可用于检测向量x的获胜神经元t；3)如果获胜神经元t是覆盖神经元，且向量x与获胜神经元t是同类，则利用该神经元t检测输出该检测向量x的检测结果；否则为向量x打上未知攻击类型的标签并输出检测结果，如果获胜神经元t是非覆盖神经元且增量训练集为空，则需要把获胜神经元t的映射向量集和向量x都添加入增量训练集中，否则只需把向量x添加入获胜神经元t的增量训练集中；4)当获胜叶子神经元t满足设定拓展条件时，从获胜叶子神经元t下方拓展出一个虚神经元t′再从虚神经元t′拓展出一个新的2×2结构SOM，利用获胜叶子神经元t对应的增量训练集合It进行训练；所述虚神经元不具备检测攻击类型的功能，其权值不能改变且等于父神经元增量训练集中向量的均值，它的映射向量集等于父神经元的增量训练集；5)查找新拓展SOM子网的成熟父神经元，判断该成熟神经元是否满足删除不成熟子网条件，如果满足删除不成熟子网条件，则对从该成熟神经元动态拓展出的不成熟神经网络部分删除并重新进行训练；6)入侵分析与处理模块根据入侵检测模块输出的检测结果判断当前是否发生入侵；其中，所述覆盖神经元为：如果神经元上的映射向量到该神经元权值的欧氏距离都小于某一个期望值，那么该神经元称为覆盖神经元；GHSOM神经网络模型离线训练过程中落在神经元上的获胜向量称为映射向量；如果神经元所在子网中的全部神经元及其上层网络的全部神经元均为覆盖神经元，则该神经元为成熟神经元，由所述成熟神经元构成的网络为所述成熟神经网络；包含不成熟神经元的网络为不成熟子网。