基于SOM入侵检测方法研究.docVIP

基于SOM入侵检测方法研究 　　摘要:针对现有入侵检测系统识别率低、误报率高的问题,将SOM神经网络应用到入侵检测系统。自组织特征映射神经网络SOM (Self Organizing Feature Maps)作为一种优良的聚类工具,具有无需监督,能自动对输入模式进行聚类的优点。为验证检测方法的有效性,采用 KDD Cup99的训练集与测试集进行实验。 　　关键词:自组织特征映射;聚类;入侵检测 　　中图分类号:TP393文献标识码:A文章编号:1009-3044(2010)21-5711-03 　　Research on SOM-based Intrusion Detection Method 　　CHEN Qian, GAO Mao-ting 　　(Information Engineering College, Shanghai Maritime University, Shanghai 200135, China) 　　Abstract: For the low identification rate and high false alarm rate of existing Intrusion Detection System, we applied the SOM neural network to the intrusion detection system. As a good clustering tool, SOM can automatically cluster input mode with no supervision. To verify the validity of testing,we use the training set and test set of KDD Cup99 to make experiments. 　　Key words: self organizing feature maps; clustering; intrusion detection 　　随着网络互连程度的日益扩大,计算机网络的安全问题也日益突出。静态安全技术对防止系统非法入侵起到了一定的作用,但在真正的网络攻击行为发生时,尤其是在遭受新型的网络攻击时,系统的防御能力将会遭受到不小的挑战。入侵检测是网络安全领域内的研究热点和难点,而入侵检测的核心是如何正确地对数据进行分类。按照分析数据的方法不同,IDS可分为误用检测和异常检测。误用检测技术的使用需要预先建立一个特征库,特征库里搜集的是各种已知的网络入侵特征模式和系统缺陷的详尽知识。误用检测技术就是将获取的原始数据经过处理后与特征库里的攻击模式相比较从而做出判断;异常检测能识别主机或网络中的异常或者不寻常行为,通过比较当前数据是否与正常行为特征模型切合来判定攻击是否发生,是一种无指导的入侵检测方法。基于异常的入侵检测具有发现未知入侵行为的特性,是当前入侵检测技术的研究重点。 　　1 SOM神经网络 　　1.1 算法思想 　　自组织映射神经网络是无监督竞争学习的神经网络。竞争学习规则意味着神经元通过竞争来响应相似输入向量(输入向量描述了一些网络连接的特征,比如目的端口和发生包数量等),权值向量与输入向量最接近的神经元获胜,成为最佳匹配神经元(Best Matching Unit,BMU)。竞争胜出的神经元赢得对输入向量的响应权,通过学习规则来调整其权值向量,以便更接近此类型的输入模式;同时获胜神经元周围的神经元在其影响下也将不同程度的调整权向量:以优胜神经元为中心设定一个领域半径,圈定的范围为优胜领域。优胜领域内的所有神经元均按其与最佳匹配神经元的距离远近不同程度地调整权值向量。 　　1.2 SOM网络的拓扑结构 　　SOM网有两层,输入层各神经元通过权值向量与输出层各个神经元相连,输出层神经元的排列有多种形式,如一维线阵、二维平面阵、三维栅格阵。其中,二维平面组织是SOM网最经典的组织方式,该组织结构中输出层的每个神经元同它周围的其他神经元侧向连接,排列成棋盘状平面。图1为SOM二维平面结构。 　　1.3 运行原理 　　SOM网的运行分训练和工作两个阶段。在训练阶段,对网络随机输入训练集中的样本。网络通过自组织、自学习方式,根据大量训练样本调整网络权值,最后使输出层各节点能对某特定模式类敏感。这样,当两个模式类的特征接近时,代表这两类的节点在位置上也接近。所以SOM可以把输入空间的多维映射到低维的(一维或二维)的离散网络上,并将保持相同性质的输入数据在映射到低维空间时的拓扑一致性。 　　训练结束后,输出层各节点与各输入模式类的特定联系就确定了。当输入一个向量时,网络输出层与该模式类匹配的特定神经元将产生最大响应,从而将该输入