您的位置:360文档中心› 基于增量式GHSOM神经网络模型的入侵检测研究_杨雅辉_黄海珍_沈晴霓_吴中海_

基于增量式GHSOM神经网络模型的入侵检测研究_杨雅辉_黄海珍_沈晴霓_吴中海_

合集下载
相关主题
  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
收稿日期:2013-11-19;最终修改稿收到日期:2014-02-11.本课题 得 到 国 家 自 然 科 学 基 金 (61070237,61232005,61073156)资 助.杨 雅 辉, 女,1966年生,博士,教授,中国计算机学 会 (CCF)会 员,主 要 研 究 领 域 为 网 络 安 全 管 理 、云 安 全、网 络 性 能 优 化.E-mail:yhyang@ss. pku.edu.cn.黄 海 珍 ,女 ,1984 年 生 ,硕 士 ,主 要 研 究 方 向 为 网 络 安 全 .沈 晴 霓 ,女 ,1970 年 生 ,博 士 ,副 教 授 ,中 国 计 算 机 学 会 (CCF)会 员 ,主 要 研究方向为操作系统安全、可信计算、云安全.吴中海,男,1969年生,博 士,教 授,中 国 计 算 机 学 会(CCF)会 员,主 要 研 究 领 域 为 情 境 感 知 服 务 、云 安 全 与 隐 私 保 护 、嵌 入 式 智 能 、大 数 据 与 信 息 融 合 .张 英 ,女 ,1951 年 生 ,教 授 ,主 要 研 究 领 域 为 计 算 机 网 络 、网 络 性 能 评 估 与 优 化 .
YANG Ya-Hui HUANG Hai-Zhen SHEN Qing-Ni WU Zhong-Hai ZHANG Ying
(School of Software and Microelectronics,Peking University,Beijing 102600)
Abstract Traditional network intrusion detection models are usually trained in off-line way by using available types of intrusion samples.Although those well-known types of intrusions can be detected with higher detection rate,it is very difficult to detect those upcoming unknown types of network intrusions through the existing traditional network intrusion detection models.These intrusion detection systems have some defects:the systems are usually established in lower speed and the models are updated in higher cost.Besides,facing the increasing network scale and growing types of attacks,the existing intrusion detection systems are lack of adaptability and scalability. This paper expands the GHSOM (Growing Hierarchical Self-organizing Maps)neural network model and presents a network intrusion detection method based on dynamic incremental GHSOM neural network model.The improved GHSOM model can be updated in a dynamic and incremental way by using those online-collected new types of intrusion data during online intrusion detection. This incremental model can be online implemented to detect the new-emerging types of network intrusions without destroying the existing knowledge in the GHSOM model.We developed an intrusion detection prototype system based on the incremental GHSOM algorithm,and the online intrusion detection experiments are carried out under the experimental LAN environment.The experiment results show that the intrusion detection method based on the incremental GHSOM algorithm presented in this paper is dynamic and self-adaptive.The dynamic update of the
Keywords incremental learning;growing hierarchical SOM;intrusion detection;neural network; information security;network security
1 引 言
随着网络技术的发展和网络规模的不断扩大, 计算机网络已成为 人 们 生 活 中 不 可 缺 少 的 部 分.如 何保护信息网络免于或者少受来自互联网和组织内 部 的 攻 击 ,成 为 业 界 密 切 关 注 的 重 要 课 题 .
第 37 卷 第 5 期 2014 年 5 月
计 算 机 学 报 CHINESE JOURNAL OF COMPUTERS
Vol.37 No.5 May 2014
基于增量式 GHSOM 神经网络模型的入侵检测研究
杨雅辉 黄海珍 沈晴霓 吴中海 张 英
(北 京 大 学 软 件 与 微 电 子 学 院 北 京 102600)
同角度研究并改进 GHSOM 模型,改善入 侵 检 测 系 统的适应性和检测率 . [2-4]
尽管 传 统 GHSOM 的 入 侵 检 测 方 法 在 检 测 攻 击的变种方面具 有 一 定 的 适 应 性.但 传 统 GHSOM 网络学习算法采用 批 量 学 习,即 假 设 一 次 可 以 得 到 所 有 训 练 样 本 ,学 习 过 程 终 止 后 就 不 再 学 习 新 知 识 . 显然传统 GHSOM 网 络 模 型 无 法 检 测 出 网 络 中 新 出现的攻击,在入侵 检 测 的 动 态 适 应 性 和 扩 展 性源自文库方 面存在局限性.
神经网络算 法 具 有 自 适 应、自 学 习、自 组 织、较 好的容错性以及能够进行大规模并行计算和非线性 映 射 等 优 点 ,非 常 适 用 于 变 化 多 端 的 入 侵 检 测 环 境 . 自 组 织 映 射 (Self-Organizing Maps,SOM)是 神 经 网 络方法中一 种 典 型 的 方 法.然 而 传 统 的 SOM 神 经 网络算法具 有 一 定 的 局 限 性,主 要 表 现 在 SOM 网 络的神经元个数必须在聚类之前确定,这对于大量的 复 杂 数 据 而 言 是 很 难 实 现 的,而 生 长 型 分 层 自 组 织 映射(Growing Hierarchical Self-Organizing Maps, GHSOM)神经网络在一定程度上解决了这 些 问 题. GHSOM 是 一 种 具 有 分 层 结 构 的 SOM 神 经 网 络, 不仅可以自适应地 调 整 子 网 和 拓 展 子 网,而 且 可 以 更好地体现数据中 可 能 存 在 的 复 杂 层 次 关 系,较 好 地解决了 SOM 神 经 网 络 模 型 结 构 固 定 的 缺 点.近 年来研究人员结合 网 络 入 侵 检 测 的 应 用 背 景,从 不
入侵检测系统是信息安全综合防御系统的重要 组 成 部 分 .网 络 入 侵 检 测 系 统 位 于 第 二 安 全 防 线 ,通 过分析在网络中若干关键点采集的流量数据来发现 是否有网络入侵的 行 为 或 迹 象,识 别 出 正 在 发 生 的 入侵企图或已经发生的入侵活动.
传统的入侵检测系统大多基于模式匹配方法构 建 入 侵 检 测 模 型[1],以 离 线 的 方 式 通 过 对 已 知 攻 击 样本的学习训练入侵检测模型并应用于网络入侵检 测 ,检 测 已 知 类 型 的 攻 击 .这 样 的 入 侵 检 测 系 统 存 在 着 建 立 系 统 的 速 度 慢 、模 型 更 新 代 价 高 等 不 足 ,难 以 检测出网络上新出 现 的 攻 击 类 型.面 对 规 模 日 益 扩 大的网络和层出不 穷 的 攻 击,目 前 的 入 侵 检 测 方 法 大多缺乏自适应性 和 扩 展 性,因 此 需 要 研 究 更 加 自 动 化 、智 能 化 的 方 法 来 构 造 自 适 应 的 、动 态 可 扩 展 的 入侵检测模型.
关 键 词 增 量 式 学 习 ;生 长 型 分 层 自 组 织 映 射 ;入 侵 检 测 ;神 经 网 络 ;信 息 安 全 ;网 络 安 全 中图法分类号 TP393 DOI号 10.3724/SP.J.1016.2014.01216
Research on Intrusion Detection Based on Incremental GHSOM
摘 要 传统的网络入侵检测方法利用已知类型的攻击样本以离线的方式训练入 侵 检 测 模 型 ,虽 然 对 已 知 攻 击 类 型具有较高的检测率,但是不能识别网络上新出现的攻击类型.这样的入侵检测 系 统 存 在 着 建 立 系 统 的 速 度 慢 、模 型更新代价高等不足,面对规模日益扩大的网络和层出不穷的攻击,缺乏自适应 性 和 扩 展 性,难 以 检 测 出 网 络 上 新 出现的攻击类型.文中对 GHSOM(Growing Hierarchical Self-Organizing Maps)神 经 网 络 模 型 进 行 了 扩 展,提 出 了 一种基于增量式 GHSOM 神经网络模型的网络入侵检测方 法,在 不 破 坏 已 学 习 过 的 知 识 的 同 时 ,对 在 线 检 测 过 程 中新出现的攻击类型进行增量式学习,实现对入侵检 测 模 型 的 动 态 扩 展 .作 者 开 发 了 一 个 基 于 增 量 式 GHSOM 神 经网络模型的在线 网 络 入 侵 检 测 原 型 系 统 ,在 局 域 网 环 境 下 开 展 了 在 线 入 侵 检 测 实 验 .实 验 结 果 表 明 增 量 式 GHSOM 入侵检测方法具有动态自适应性,能够实现在线 检 测 过 程 中 对 GHSOM 模 型 的 动 态 更 新,而 且 对 于 网 络 上新出现的攻击类型,增量式 GHSOM 算法与传统 GHSOM 算法的检测率相当.
5期
杨雅辉等:基于增量式 GHSOM 神经网络模型的入侵检测研究
1217
GHSOM model has been verified through the experiment.Besides,the detection rate of our incremental GHSOM algorithm is similar with that of the traditional GHSOM algorithm through the comparative experiment for those new-emerging types of network intrusions.
相关文档
最新文档