人工神经网络改进及其在入侵检测中应用.docVIP

人工神经网络的改进及其在入侵检测中的应用 　　摘 要：随着传统的入侵检测方法不断暴露出误报、漏报率较高，对未知攻击检测力低等缺点，人工神经网络技术开始运用到了入侵检测领域，为入侵检测技术开辟了新的研究途径。在标准BP神经网络的基础上，提出了一种新的改进方法，引入了带有可调因子的转移函数，克服BP网络在误差平坦区收敛速度慢的缺点，以提高BP网络在入侵检测中的检测速度。最后采用KDDCUP99入侵检测数据集在MATLAB 8.0下进行了仿真实验。实验结果表明，该算法在一定程度上提高了入侵识别速度和检测效率。 　　关键词：BP神经网络；算法改进；入侵检测；Matlab仿真 　　中图分类号：TP18 文献标识码：A 文章编号：1009-3044（2016）12-0188-03 　　随着网络攻击手段的日趋复杂和多样化，传统的入侵检测方法暴露出了检测速度慢、虚警率高、不能实时检测出攻击行为等缺陷。为了构造具有自适应和自学习能力的入侵检测系统，人们开始尝试将智能化的学习方法引入到入侵检测领域。目前，神经网络、模糊技术、智能免疫原理等方法都是常用的智能化方法，特别是神经网络技术的发展空间很大。 　　BP神经网络（Back Propagation Neural Network）作为一种最具代表性的前向型神经网络模型，应用十分广泛，并成为了最流行的神经网络模型之一[1]。由于其具有良好的自适应、自学习能力和较强的非线性映射及容错能力，即使是背景知识不清楚、环境复杂、甚至样本缺损较严重的问题，也能成为其处理对象，因此在入侵检测中可以达到较好的检测效果。尽管BP网络有很多显著的优点，但也存在着一定的局限性，会影响入侵检测的效率。一般学者从启发式和数值优化两种方式[2]不断对BP算法进行了改进。对入侵检测来说，精准率及实时响应时间十分重要，因此针对BP算法收敛速度慢的缺点，提出了一种新的改进方法。 　　1 BP神经网络 　　1.1 BP神经网络模型 　　BP神经网络结构可被划分为输入层（Input Layer）、隐含层（Hide Layer）和输出层（Output Layer）。网络中每层都由多个能执行并行计算的神经节点构成，隐含层可以是一层或者多层。信号被输入后经隐含层各层的处理后最后得到输出信息[3]，通过持续更新连接权值，使输出不断接近网络的期望输出[4]。 　　1.2 BP算法的优、缺点 　　BP神经网络具有良好的自适应、自学习和非线性映射等能力，并且采用分布式结构，具有较强的容错性和泛化能力，能够通过非线性方式对数据进行分析，其输入至输出的传播过程即为一个数学非线性映射的问题[5][6]。同时BP网络也存在一些不足，主要体现在以下几个方面： 　　1）收敛速度慢。由于转移函数存在过饱和区间，并且学习速率难以确定，这将增加迭代次数，降低算法的速度，这时只可能以增加训练次数来慢慢退出该区域。 　　2）梯度下降法易使得函数陷入局部极小点。当网络训练陷入了局部极小点，网络训练无法收敛于给定的误差。 　　3）网络隐含层数及隐含层节点数的确定缺乏理论指导。 　　2 对BP神经网络的改进 　　标准的BP网络常以log-sigmoid型函数作为转移函数，而log-sigmoid型函数的误差曲面较为复杂，既有较平坦的区域，也有曲率较大的区域，当进入较为平坦的区域时导数值会趋近于0，则权、阈值的修改量很小，网络会长时间处于一个几乎停滞的状态，如图1所示，此时只能通过以牺牲时间为代价慢慢退出平坦区域。因此为了避免网络长时间处于平坦区域，提高网络收敛速度，对转移函数提出了改进。 　　其中，k就是可调因子，0k1，具体值一般根据具体实验而定，[τ]为容忍值，代表一个很小的数可取值为0.0001。当相邻两次误差变化很小时，则使用带可调因子的转移函数，缓解了学习率在转移函数趋于饱和区间时的调节效果不佳的问题，避免误差函数长时间处于平坦区的现象，确保了BP网络的收敛速度。 　　3 实验及分析 　　3.1 实验环境及实验目的 　　进行仿真实验的电脑环境为：Windows 7 64位操作系统，处理器为Intel（R） Core（TM）2，内存为8GB，开发及仿真平台为MATLAB 8.0，实验数据为KDDCUP99数据集，辅助工具为Excel 2013。 　　实验目的：在MATLAB 8.0平台下，通过使用KDDCUP99数据集对改进后的BP算法和标准的BP算法分别进行训练，使其获得一定的入侵识别能力。在检测阶段计算出检测率、漏报率、误报率和所用时间。通过对结果的分析来证明该改进算法是否具有较高的入侵检测效率。 　　3.2 实验样本的选取 　　实验选取美国麻省理工学院林肯实验室发布的离线测试评估数据集KDDCUP99[7]，它是目前公