基于ART2网络入侵检测及其改进方法.docVIP

基于ART2网络入侵检测及其改进方法 　　摘要 本文通过对采用传统ART-2的入侵检测模型及采用朴素贝叶斯的入侵检测模型的进行对比,发现改进后的ART-2神经网络打破了传统ART-2对渐变过程不敏感的局限性,使得新模型能够分辨渐变过程,提高了预分类的能力。 　　关键词 网络安全;入侵检测;ART-2;神经网络 　　中图法分类号 TP393.08文献标识码 A文章编号 1674-6708(2010)16-0128-02 　　 　　0 引言 　　当前,网络安全是互联网技术快速发展起来后网络安全最突出的问题之一。入侵检测技术面临的问题是在对以前已经观察到的用户行为进行归纳总结时,当有渐变差异的行为时候能够正确分类。据此提出了下面ART-2神经网络的入侵检测改进方法。 　　1 基于改进的ART-2的网络入侵检测 　　1.1 基本原理 　　ART-2神经网络是为了能够分类任意次序的模拟输入模式而设计的,它可以按任何精度对输入的模拟观察矢量进行分类。当提供的数据包是一个已记忆的模式、或与已记忆的模式相似时,ART-2网络会将该模式回想出来,提出正确的分类。如果提供给ART-2网络的是一个记忆中不存在的模式,ART-2网络将在不影响已有记忆的前提下,将这一模式记忆下来,并分配一个新的分类单元作为这一记忆模式的分类标志。如果一个新输入的模式与某一个已知类别的模式近似匹配,则在把它归入该类的同时,还要对那个已知类别的模式向量进行调整,以使它与新模式更相似。应用ART-2神经网络的这一特点,可以实现对入侵的实时检测并识别出未曾见过的入侵。 　　1.2 存在问题 　　ART-2神经网络如果抓取到的数据包每次只有很小的改变,则ART-2神经网络将一直把它归为同类,这样记忆矢量也随之微调,以致后来输入的模式与初始模式迥然不同时,仍被归为同一类,这就是传统ART-2神经网络用于分类识别的一种局限性。 　　1.3 解决办法 　　模仿人脑记忆第一印象的机制,在ART-2神经网络中设计记忆初始模式的神经单元[1]。 　　ART-2有3大模块:比较层F1、识别层F2层及一个重置模块。将记忆初始模式的神经元放在F2层即伴随神经元,新的网络模型与传统的ART-2神经网络的F1层是一样的,F2层多了伴随神经元,另外整个网络多出一个重置系统B,如图1所示[1],只画出了第j个处理单元的结构。 　　 　　图1改进的ART-2神经网络模型 　　2 ART-2神经网络结构及其训练 　　ART-2的比较层层每个处理单元都分为上中下3层,下层与中层、中层与上层分别构成闭合的正反馈回路。作用是抑制噪声并增强有用信号,使得该模型可以在复杂的噪声环境下实现自稳定。 　　图1中的空心圆和实心圆都表示神经元,每个空心圆神经元旁边带下标字母表示该神经元及其输出。空心箭头表示指向目标节点的特定模式输入,实心箭头表示表示非特定的增益控制输入。实心圆神经元的功能是其输入矢量之模。 　　F1层的中层vi与ui节点的运算中,a、b为正反馈系数,反映F1层内部反馈大小,它们影响F1层的中层模式向输入模式I靠近的速度,e为一个很小的常数。 　　F1层的上层Pi与Si节点的运算中:Zji为ART-2网络自顶向下的LTM系数;yj为F2层中的j个节点的STM变量, 　　 F2层的关键作用是提高F1→F2滤波输入模式的对比度和发出重置波,对比度增强是通过竞争实现的。F1层向F2层传送信号,其中送往F2层中第K个节点的输入Zij为ART-2神经网络自底向上的LTM系数。 　　设定警戒参数ρ(0ρ,则重置系统A不发出重置波,重置系统B开始工作,B有可能发出重置波使F2层新建一个输出端,也可能不发出重置波,此后与传统的ART-2神经网络一样,LTM系数进入学习阶段。若|R|ρ,则B不发出重置波,同意重置系统A的判断;若||ρ,则B发出重置波,认为新输入的模式与该类的初始模式(第一印象)相比已有很大的差别,不能归为一类,应在F2层新建一个输出端存放该模式。 　　基于ART-2神经网络的入侵检测方法遵循ART-2神经网络的基本结构,其中,比较层F1的输入模式向量I与预处理后的入侵特征数据向量一一对应,识别层F2的输出反映了分类情况,F2层的节点与分类类别一一对应。由于ART-2神经网络具有自学习能力,因此F2层中的已分配节点数是动态增加的,随着入侵检测训练的不断进行,入侵检测算法不断总结归纳,识别出各种已知的入侵行为。 　　3 仿真实验 　　在MATLAB7.0环境下对基于传统的ART-2入侵检测模型和基于改进的ART-2入侵检测模型进行了仿真实验,实验数据采用DARPA(defense advanced research project agency),从数据集中抽