君，已阅读到文档的结尾了呢~~
[Docin]基于半监督分类的入侵检测系统模型研究 ...
扫扫二维码，随身浏览文档
手机或平板扫扫即可继续访问
[Docin]基于半监督分类的入侵检测系统模型研究
举报该文档为侵权文档。
举报该文档含有违规或不良信息。
反馈该文档无法正常浏览。
举报该文档为重复文档。
推荐理由：
将文档分享至：
分享完整地址
文档地址：
粘贴到BBS或博客
flash地址：
支持嵌入FLASH地址的网站使用
html代码：
&embed src='/DocinViewer-4.swf' width='100%' height='600' type=application/x-shockwave-flash ALLOWFULLSCREEN='true' ALLOWSCRIPTACCESS='always'&&/embed&
450px*300px480px*400px650px*490px
支持嵌入HTML代码的网站使用
您的内容已经提交成功
您所提交的内容需要审核后才能发布，请您等待！
3秒自动关闭窗口您的位置： &
一种基于半监督学习的入侵检测算法
优质期刊推荐一种基于半监督GHSOM的入侵检测方法--《计算机研究与发展》2013年11期
一种基于半监督GHSOM的入侵检测方法
【摘要】：基于神经网络的入侵检测方法是入侵检测技术的一个重要发展方向.在已有无监督生长型分层自组织映射(growing hierarchical self-organizing maps,GHSOM)神经网络算法的基础上,提出了一种半监督GHSOM算法.该算法利用少量有标签的数据指导大规模无标签数据的聚类过程.一方面借鉴cop-kmeans半监督机制,解决了原始算法中返回空划分的问题,并将其应用到GHSOM算法中.另一方面提出了神经元信息熵的概念作为子网生长的判断条件,提高了GHSOM网络子网划分的精度.此外还利用有标签的数据自动确定聚类结果的入侵类型.对KDD Cup 1999数据集和LAN环境下模拟产生的数据集进行的入侵检测实验表明:相比于无监督的GHSOM算法,半监督的GHSOM算法对各种类型的攻击具有较高的检测率.
【作者单位】：
【关键词】：
【基金】：
【分类号】：TP393.08【正文快照】：
随着互联网技术的发展和应用的普及,网络安全问题成为人们关注的焦点.网络入侵检测系统(IDS)通过审计网络中的数据包,能够检测各种形式的入侵行为,是安全防御体系的一个重要组成部分.基于神经网络的入侵检测方法是入侵检测技术的一个重要发展方向.近年来,随着神经网络及入侵检
欢迎：、、)
支持CAJ、PDF文件格式，仅支持PDF格式
【引证文献】
中国期刊全文数据库
杨雅辉;黄海珍;沈晴霓;吴中海;张英;;[J];计算机学报;2014年05期
刘娜;;[J];计算机测量与控制;2014年11期
赵建华;;[J];西华大学学报(自然科学版);2015年01期
康松林;樊晓平;刘楚楚;李宏;安隆熙;;[J];中南大学学报(自然科学版);2014年12期
【参考文献】
中国期刊全文数据库
杨雅辉;姜电波;沈晴霓;夏敏;;[J];通信学报;2011年01期
【共引文献】
中国期刊全文数据库
刘明;高玉琢;;[J];广西大学学报(自然科学版);2011年S1期
赵建华;李伟华;;[J];计算机工程;2012年12期
李振美;;[J];科学技术与工程;2013年30期
刘明珍;;[J];计算机工程;2013年11期
杨雅辉;黄海珍;沈晴霓;吴中海;张英;;[J];计算机学报;2014年05期
张志华;;[J];激光杂志;2015年02期
王菲;;[J];计算机仿真;2015年01期
张永强;张墨华;;[J];计算机应用与软件;2015年04期
林楷;贾春福;石乐义;;[J];通信学报;2012年10期
梁潘;;[J];青岛科技大学学报(自然科学版);2014年04期
中国硕士学位论文全文数据库
李超群;[D];重庆大学;2012年
曹庆;[D];华东理工大学;2014年
【同被引文献】
中国期刊全文数据库
周皓;李少洪;;[J];北京航空航天大学学报;2009年11期
刘万里;刘三阳;王金艳;;[J];计算机科学;2009年03期
赵建华;李伟华;;[J];计算机工程;2012年12期
孔锐,张冰;[J];控制与决策;2005年10期
李昆仑;曹铮;曹丽苹;张超;刘明;;[J];模式识别与人工智能;2009年05期
唐明珠;阳春华;桂卫华;;[J];控制与决策;2012年10期
文志强;胡永祥;朱文球;;[J];计算机应用;2012年12期
周志华;;[J];自动化学报;2013年11期
倪志伟;肖宏旺;伍章俊;薛永坚;;[J];模式识别与人工智能;2013年12期
叶明江;崔勇;徐恪;吴建平;;[J];软件学报;2007年01期
【二级引证文献】
中国期刊全文数据库
屠雄刚;陈军;张长江;;[J];传感技术学报;2015年06期
余文利;余建军;方建文;;[J];计算机工程与应用;2015年11期
任军;贾克;;[J];河北工业科技;2015年04期
中国博士学位论文全文数据库
张建萍;[D];山东师范大学;2014年
王欣;[D];中国农业大学;2015年
解男男;[D];吉林大学;2015年
【二级参考文献】
中国期刊全文数据库
,刘雪飞;[J];通信学报;2004年07期
【相似文献】
中国期刊全文数据库
马锐,刘玉树,杜彦辉;[J];计算机工程与应用;2004年02期
卢辉斌;徐刚;;[J];微处理机;2006年04期
罗敏;阴晓光;张焕国;王丽娜;;[J];计算机工程与应用;2007年13期
曹玉林;海生元;;[J];青海师范大学学报(自然科学版);2008年04期
黄同心;臧洌;聂盼盼;;[J];科学技术与工程;2012年01期
孙立奎;王洪玉;吴力飞;王洁;;[J];传感技术学报;2012年11期
周晖;朱立庆;杨振;程亚乔;;[J];传感器与微系统;2014年05期
李林海;黄国策;路惠明;;[J];计算机安全;2002年10期
赵卫伟,李德毅;[J];计算机工程与应用;2003年26期
慕巍,宋华,戴一奇;[J];计算机工程;2005年09期
中国重要会议论文全文数据库
何一青;;[A];第27次全国计算机安全学术交流会论文集[C];2012年
令狐大智;李陶深;;[A];2007年全国开放式分布与并行计算机学术会议论文集(上册)[C];2007年
郎风华;鲜继清;唐贤伦;;[A];’2004计算机应用技术交流会议论文集[C];2004年
贾超;张胤;;[A];第二届全国信息检索与内容安全学术会议（NCIRCS-2005）论文集[C];2005年
张克农;陆佳华;高明;;[A];全国网络与信息安全技术研讨会'2005论文集（上册）[C];2005年
中国博士学位论文全文数据库
邬书跃;[D];中南大学;2012年
齐建东;[D];中国农业大学;2003年
尹清波;[D];哈尔滨工程大学;2007年
田新广;[D];国防科学技术大学;2005年
苏璞睿;[D];中国科学院研究生院（软件研究所）;2005年
中国硕士学位论文全文数据库
王莉;[D];天津理工大学;2013年
兰妥;[D];厦门大学;2009年
刘思佳;[D];西华大学;2009年
黄同心;[D];南京航空航天大学;2012年
刘燕;[D];西安电子科技大学;2007年
陈莉;[D];苏州大学;2009年
王宏;[D];四川大学;2006年
罗耀锋;[D];浙江大学;2013年
郭春阳;[D];哈尔滨工程大学;2007年
蔡文君;[D];中南大学;2008年
&快捷付款方式
&订购知网充值卡
400-819-9993
《中国学术期刊（光盘版）》电子杂志社有限公司
同方知网数字出版技术股份有限公司
地址：北京清华大学 84-48信箱 大众知识服务
出版物经营许可证 新出发京批字第直0595号
订购热线：400-819-82499
服务热线：010--
在线咨询：
传真：010-
京公网安备75号一种基于半监督神经网络模型的入侵检测方法
专利名称一种基于半监督神经网络模型的入侵检测方法
技术领域本发明应用于入侵检测系统，对基于生长型分级自组织映射(GrowingHierarchical Self-organizing Maps,GHS0M)神经网络的入侵检测方法进行了改进，将半监督的方法引入到了 GHSOM算法的训练过程中，提高了算法对入侵数据的检测准确度。属于计算机网络信息安全技术领域。
背景技术随着计算机网络尤其是Internet技术的迅速发展，网络在我们日常的生活、学习和工作中发挥着越来越重要的作用，网络安全问题也越来越受到人们的关注。迅速、有效地发现各类新的入侵行为，对于保障网络系统安全十分重要。入侵检测技术是一种通过监视网络系统的运行状态，进而发现各种攻击企图、攻击行为或者攻击结果的信息安全技术。入侵检测作为一种主动防御技术，弥补了传统安全技术的不足。入侵检测系统可以对计算机主机和网络进行实时监控，分析发现可疑事件。一旦入侵行为被检测出来，系统就会采取相应的措施(如通知管理员，切断网络连接等)，从而及时消除即将对系统安全产生的危害。入侵检测作为系统安全技术的重要组成部分，日益受到各国政府及学者的重视。美国国防部高级规划署(DARPA)和美国空军向麻省理工(MIT)等大学的研究机构提供资助，利用人工智能等相关技术对入侵检测的技术及评估系统进行研究。包括中国在内的很多国家都启动了信息安全的研究计划，来从事这方面的技术开发和研究。神经网络是指为了模拟生物大脑的结构和功能而构成的一种信息处理系统或计算机。神经网络的每个神经元接受大量其它神经元的输入，通过非线性输入/输出关系产生输出，实现了从输入状态空间到输出状态空间的非线性映射。在训练的过程中，神经网络能够通过无监督学习对输入样本进行聚类分析，实现连接权值的自动调节，大部分用于入侵检测的神经网络都采用无监督学习的方式。其中又以SOM神经网络应用最为广泛。但是SOM网络结构是固定的，不能动态的改变。网络训练时某些神经元始终不能获胜，成为“死”神经元，导致基于SOM网络的入侵检测方法的检测率比较低，GHSOM神经网络试图克服这些缺陷。传统的GHSOM算法是无监督的，即训练数据不带有任何的先验知识，在实际入侵检测应用中，由于各种现实条件的限制，得到大量有标签的训练数据很困难。但是我们往往会比较容易得到少量的先验知识，如数据类型的标签，数据与数据之间的约束关系等。尽管数量不是很大，但是这些数据会对训练聚类过程具有一定的指导意义。如何充分利用这些有用的先验知识，对GHSOM网络进行训练提高其准确度是GHSOM算法需要解决的问题。
针对目前传统的GHSOM算法存在的问题，本发明的目的在于提供一种基于半监督神经网络模型的入侵检测方法，本发明充分利用训练数据，进一步提高GHSOM算法的检验准确性。在没有先验知识的训练数据中加入了有标签的数据来训练GHSOM网络。同时也对GHSOM算法做出了ー些改进，使其能够支持半监瞀的训练方式。(I)引入Cop-kmeans半监瞀机制并解决返回空划分问题Cop-kmeans算法是基于约束的半监瞀聚类算法，其输入是大量无标签的数据和ー些数据的约束关系。在半监瞀的GHSOM算法中，输入是大量无标签的数据和少量有标签的数据。为了体现数据之间的约束关系，我们规定相同标签的数据之间是Must-Link关系，不同标签的数据之间是Cannot-Link关系。在半监瞀的GHSOM神经网络训练中，输入训练样本采用了少量的有标签数据和大 量无标签数据，我们希望借鉴Cop-kmeans的半监瞀机制来利用少量有标签的数据，使得它们在训练过程中能够起到引导聚类的作用。但是这种算法有一个缺陷，返回空划分结果即某条数据可能找不到符合满足条件的聚类。假设聚类数为2，并且(Xi，Xk) e Cannot-Link,(Xj, xk) e Cannot-Link。由于Xi和Xj在分配Xk之前已经确定了他们的类标签，且Xi和Xj此时已被指派到了 Ca和Cb。上述不合适的分配顺序让Xi和被划分到不同的类中，导致了 Xk找不到合适的类，无法分配。此时无论Xk选择Ca还是Cb都会和Cannot-Link约束违汉。造成这种现象的原因是有如下几种第一、约束关系不够完备，上例没有说明Xi和的关系，如果事先说明它们之间有Must-Link关系，那么他们就不能被划分到两个不同聚类中去。第二、聚类数小于标签种类数，这就会导致必定有两个不同标签的数据被划分到同一聚类中，但是根据规则不同标签的数据属于Cannot-Link关系。如果完全借鉴Cop-Kmeans算法的半监瞀模式,则在GHSOM的训练的过程中,对于有标签的数据，遍历子网的每个神经元，如果发现落在某个神经元上的所有有标签数据和待测试数据属于must-link关系则判断该神经元为获胜神经元,如果有属于connot_link关系的数据则放弃该神经元。对于无标签的神经元则通过距离来选择获胜神经元。由于神经元的个数有限，通常会存在不同标签的数据落在同一神经元上，如果完全按照COP-kmeans的思想，带有标签的待训练数据一旦碰到神经元上有其它标签数据就放弃该神经元，则往往会找不到符合要求的神经元，导致无法充分利用标签指导训练过程。针对这个问题，我们做出了如下改进在神经元获胜的所有有标签的样本数据中,Iii表示标签i的样本个数,m为有标签样本总数。该神经元上的主标签定义为叫值最大的标签k为该神经元的主标签，即主标签k应满足该神经元上的主标签样本比例为r = nk/m。在训练过程中，对于子网中的每ー个神经元都能确定当前状态下的主标签以及其比例r。对于有标签的样本，选择主标签与当前样本标签相同且主标签r值最大的神经元作为获胜神经元。对于无标签的样本选择与样本的欧几里得距离最近的神经元作为获胜神经元。采用上述改进后，在聚类过程中就能确保每一个有标签的样本都能找到获胜神经元。同时选择的是主标签与样本标签相同且r值在子网中最大的神经元作为获胜神经元，从而让样本根据其标签选择了和它最相近的神经元。获胜神经元会朝样本的权值的方向修改自己的权值，从而让标签指导了神经元权值的改变，起到了半监瞀的作用。(2)引入神经元信息熵提高子网划分精度在GHSOM网络的训练过程中，我们希望落在单ー神经元上的数据种类越少越好。用Pe表示落在某个神经元上有标签的数据种类数，理想的情况是神经元上pe值为I。GHSOM的层拓展是通过父神经元的QE值来控制的，当QE值超过某一阈值时就会从父神经元上产生一个新的2*2规模的子网，该子网的训练数据继承于落在父神经元上的数据向量。但是这种控制模式存在ー个局限性，即只能通过神经元QE值来衡量落在父神经元上向量数据的种类纯度。在实际聚类过程中存在这样的情况，有些数据尽管在数值上的差异较低(欧几里得距离小)但是它们却属于不同种类的数据，QE值如公式(I)所示，其中Wi为神经元i的权值向量，Ci为映射到神经元i的所有输入向量构成的集合。它只反映落在某个神经元上所有样本向量方差大小。所以尽管某个神经元的QE虽然很低，并不能说明落在它上面的样本种类一定少。
1.一种基于半监督神经网络模型的入侵检测方法，其步骤为
1)利用输入训练数据集合A初始化GHSOM神经网络第0层神经元的权值，并计算其量化误差QE所述集合A中包含部分有标签的训练数据；
2)从第0层的神经元中拓展出一个2X2结构S0M，并将其层次标识Layer置为I;
3)对于第Layer层中拓展出的每一2X2结构SOM
a)初始化其中4个神经元的权值，同时将神经元i获胜的输入向量集合Ci置为空、主标签置为NULL、主标签比率A置为0 ;
b)S0M的训练数据T继承于其父神经元的获胜输入向量集合；从训练数据集T中挑选输入向量进行训练，直到达到预定训练次数如果当前所选输入向量X为不带标签的数据，则计算它与每个神经元的欧几里得距离，选择距离最短的神经元W作为获胜神经元；如果X为带标签的数据，则选择主标签与X标签相同且Ti值最大的神经元作为获胜神经元，更新该获胜神经元主标签；如果找不到主标签与X标签相同的神经元，则将与X欧几里得距离最近的神经元i作为X的获胜神经元；对获胜神经元及其邻域内神经元的权值进行调整，更新获胜向量集合Wi = Wi U X,计算获胜神经元的主标签、主标签比率A和神经元信息熵etyi ；
4)计算SOM中每个神经元的量化误差QEi,SOM的平均量化误差MQE ;如果MQE &QEfM工，则在该SOM中插入一行或者一列神经元，采用步骤b)方法进行训练；如果QEi &QE0* U 2或者etyi & etyf* U 3，则从神经元i上长出一层新的SOM子网，将新长出的SOM增加到第Layer+1层的子网队列中；
5)对于新拓展出的Layer+1层的S0M，采用步骤3)、4)方法对其进行训练，直至神经网络不再产生新的神经元和新的分层，得到神经网络检测模型；
6)采用得到的神经网络检测模型，对采集的协议流数据进行检测；
其中，所述主标签为在神经元获胜的所有有标签的样本数据中包含标签样本最多的标签，所述主标签比率A = nk/m,nk为神经元的主标签、m为神经元有标签样本总数；QEf为父神经元的量化误差、“为层内扩展控制系数、U 2为量化误差层拓展控制系数、U3为信息熵层拓展控制系数、etyf为父神经元信息熵。
2.如权利要求I所述的方法，其特征在于利用输入模式向量集合A的平均值初始化神经网络第0层中唯一神经元的权值，并计算其量化误差QEtlt5
3.如权利要求I所述的方法，其特征在于采用公式6
4.如权利要求I所述的方法，其特征在于如果当前SOM中存在某个神经元的量化误差MQE & QEf* y i，则在误差神经元和它的最远邻近神经元之间插入一行或者一列神经元。
5.如权利要求I或4所述的方法，其特征在于所插入的新神经元的权值向量初始值为邻近神经元权值向量的平均值。
6.如权利要求I所述的方法，其特征在于如果所述神经网络检测模型判断当前发生了入侵，则遍历攻击类型标识库，如果有匹配的攻击，则确定当前攻击的类型为匹配攻击的攻击类型；如果没有匹配的攻击，则进一步判断是否为新的攻击类型，如果是新的攻击类型，则把当前攻击类型加入到所述攻击类型标识库。
7.如权利要求I或6所述的方法，其特征在于所述神经网络检测模型对入侵行为发出警报，并对其进行定位，将定位些信息显示在人机交互界面上
本发明公开了一种基于半监督神经网络模型的入侵检测方法，属于网络信息安全领域。本方法为1)利用训练集A初始化GHSOM神经网络第0层神经元，并计算QE0；2)从第0层神经元中拓展出一SOM，并将其层次标识Layer置为1；3)初始化第Layer层中拓展出的每一SOM，并对其进行训练，其中对获胜神经元及其邻域内神经元权值进行调整，更新获胜向量集合，计算获胜神经元的主标签、主标签比率和信息熵etyi；4)计算该SOM中每个神经元的qei，子网MQE；如果MQE＞QEf*μ1则在该SOM中插入一行或者一列神经元，如果QEi＞QE0*μ2或者etyi＞etyf*μ3则从该神经元上长出一层新的子网，将其增加到Layer+1层的子网队列中。本方法提高了GHSOM算法检验准确性。
文档编号G06N3/02GKSQ
公开日日 申请日期日 优先权日日
发明者夏敏, 杨雅辉, 沈晴霓, 阳时来, 黄海珍 申请人:北京大学}