神经网络集成分布式入侵检测方法.docVIP

神经网络集成分布式入侵检测方法 　　摘要：分布式入侵检测系统需具有分布式检测功能及部件增量更新能力。文中提出了一种基于神经网络集成的分布式入侵检测方法，采用单个Agent检测与多个Agent协同检测的两级集成算法实现分布式入侵检测；在发现新的入侵时，Agent上的神经网络集成采用基于资源分配网的增量学习算法进行更新。实验结果表明，该算法能有效检测各种攻击，并且具有对未知攻击的增量学习能力。 　　关键词：分布式入侵检测；神经网络集成；增量学习；攻击 　　中图分类号：TP393 　　文献标识码：A 　　文章编号：1005-2615(2007)02-0231-05 　　 　　引　言 　　 　　网络技术和网络规模的不断发展使得网络安全成为全球性的重要问题之一。迅速、有效地发现各类新的入侵行为，对于保证网络系统安全十分重要。入侵检测是一种通过监视网络系统的运行状态，进而发现各种攻击行为的信息安全技术。 　　入侵检测技术的研究主要集中在两个方面：(1)入侵检测系统的体系结构研究；(2)入侵检测算法的研究。目前，分布式入侵检测系统[1]是体系结构研究的热点，而入侵检测算法研究的趋势则是把机器学习、数据挖掘等人工智能方法应用到入侵检测中来。Bonifacio等[2]提出了用神经网络模型替代统计模型，将采集到的信息经过数据处理后作为网络的输入，将网络的输出作为异常值；田大新等[3]设计了基于自适应谐振理论的网络入侵检测系统，采用了改进的自适应谐振理论算法和类似Hamming距离的检测算法，一定程度上降低了误报率和丢包率；Lee等[4]则将数据挖掘的关联分析和序列分析技术应用到入侵检测问题中。以上这些算法的研究均基于集中式的系统结构，但目前分布式入侵检测系统已成为研究的热点，为适应这种体系结构必须采用分布式的检测算法，才能充分发挥系统内检测部件分布式处理、协同检测的功能。文献[5]提出一种采用聚类技术的分布式入侵检测算法，在各个Agent上先做聚类获得初步结果，然后在中心站点做聚类判断真正的入侵。该算法真正的检测仍然集中在中心站点，各Agent只起到数据预处理的作用。 　　本文针对分布式入侵检测问题，提出了一种基于神经网络集成的分布式入侵检测方法。首先，每个独立的检测Agent收集数据训练两个RBF神经网络构成一个集成。然后，在系统运行过程中采用一个两级集成算法进行分布式检测，即单个Agent用集成对可疑数据包进行分类，若不能判断则联合其他Agent进行第2次集成分类。为适应不断出现的新入侵，本文对各Agent上的神经网络集成采用基于资源分配网的增量学习算法进行更新。实验结果表明，本文算法能有效检测各种攻击并且具有对未知攻击的增量学习能力。 　　 　　1　神经网络集成 　　 　　神经网络集成[6]是近几年兴起的一门具有广阔发展前景的机器学习技术，已被应用到很多领域中，如人脸识别、语音识别、地震波分类等，其原因是该技术可以显著地提高神经网络系统的泛化能力。显然，在入侵检测方面也有很好的应用前景。 　　神经网络集成是指用多个神经网络对同一个问题进行学习，集成系统的输出由构成集成的各子网在该示例下的输出共同决定。神经网络集成已被认为是最有效的工程化神经网络设计方法之一。常用的神经网络集成方法为Boosting和Bagging[6]。 　　Boosting主要思想是给定一弱学习算法和一训练集(x1，y1)，…，(xn，yn)，初始化时对每一个训练例赋相等的权重1/n，然后用该学习算法对训练集训练m轮，每次训练后，对训练失败的训练例赋以较大的权重，使得学习算法在后续的学习中集中对比较难的训练例进行学习，从而得到一个预测函数序列h1，…，hm其中hj(j＝1，2，…，m)也赋一定的权重，预测效果好的预测函数权重较大，反之较小。最终的预测函数H对分类问题采用有权重的投票方式，对回归问题采用加权平均的方法对新示例进行判别。 　　Bagging是Breiman提出的与Boosting相似的技术。Bagging技术的主要思想是：给定一弱学习算法和一训练集(x1，y1)，…，(xn，yn)，让该学习算法训练多轮，每轮的训练集由从初始的训练集中随机取出的n个训练例组成，初始训练例在某轮训练集中可以出现多次或根本不出现。训练之后可得到一个预测函数序列h1，…，hm，最终的预测函数H对分类问题采用投票方式，对回归问题采用简单平均方法对新示例进行判别。 　　Bagging与Boosting的区别在于Bagging的训练集选择是随机的，各轮训练集之间相互独立，而Boosting的训练集选择不是独立的，各轮训练集选择与前面各轮的学习结果有关；Bagging的各个预测函数没有权重，而Boosting是有权重的；Bagging的各个预测函数可以