您好、欢迎来到现金彩票网!
当前位置:2019欢乐棋牌 > 自组织映射 >

自组织映射神经网络在入侵检测中的应用

发布时间:2019-06-15 22:39 来源:未知 编辑:admin

  自组织映射神经网络在入侵检测中的应用_IT/计算机_专业资料。自组织映射神经网络在入侵检测中的应用

  and Computer Engineering Applications计算机工程与应用 自组织映射神经网络在入侵检测中的应用 贾伟峰L2,张凤荔,,童 彬1,万明成- JIA Wei_fengl,2,ZHANG Feng-lP,TONG Binl,WAN Ming-chen91 1.电子科技大学计算机科学与工程学院,成都610054 2.安阳师范学院,河南安阳455000 1.School of Computer Science and Engineering,UESTC,Chengdu 610054,China 2.Anyang Normal University。Anyang,Henan 455000,China E-mail:weifeng.jia@gmail.corn JIA Wei-feng,ZHANG Fen种。TONG Bin,et aLApplication of serf-organization map neural network in intrusion detection. Computer Engineering and Applications.2009。45(23):115—117. Abstract:An intrusion detection method based work is trained on SOM is neurons pmtxBed.At training phase of the intrusion detection.SOM neural to net— witll labeled da切Lset and then label data is with‘normal’or‘attack’according is normal to or the training result.During the per_ procedure of detection,unknown formance determined whether it not according its’BMU’s label.For validate the proposed in this of this method,result of detection using SVM is compared shows t}lat SOM based method a paper稍tll KDD cup99 dataset, and the experiment intrusion detection method has detection;network better detection rate while consuming Iimit time. Vector Key words:Self-Organization Map(SOM);intrusion security;neural network;Support Machine(SVM) 摘要:提出了一种基于SOM神经网络的入侵检测方法。该方法采用有标签的数据训练SOM神经网络,然后根据训练的结果标 记正常数据和异常数据聚类的神经元。检测时则根据被检测数据的最佳匹配神经元的标签判断攻击是否发生。为验证检测的有效 性,采用KDD cup99的训练集与测试集,将基于s0M的检测方法与基于SVM的检测方法的检测效果做了对比。实验结果表明: 基于SOM的入侵检测方法具有检测率高、训练时间短扣通用性强等特点。 关键词:自组织映射;入侵检测;网络安全;神经网络;支持向量机 DOI:10.37780.issn.1002—8331.2009.23.032 文章编号:1002—833l(2009)23---01 15--03 文献标i只码:A 中图分类号:TP309 1引言 入侵检测是网络安全领域内的研究热点和难点,其本质是 cup99数据进行入侵检测,实验证明该方法优于wenke lee的 数据挖掘方法131,但仍然存在检测率较低的缺点;Mukkamalatq 采用了前馈后向(feed forward back 分类问题。目前国内外大多数文献将入侵检测分为误用检测和 异常检测两种类型M1;误用检测要求检测前建立有标定的正常 数据和攻击数据特征库,检测时通过匹配被检测数据的特征与 propagation)传播神经网络 基于KDD cup99数据集的41个特征进行入侵检测,具有较高 的检测精度(99.25%),但这种方法由于没有进行特征选择,因 此具有较高的计算量。SOM神经网络在入侵检测中亦早已应 标定数据的符合程度判定入侵是否发生,这是一种有指导的入 侵检测方法。异常检测则不同,其检测思想是:首先建立正常数 用,Ramadasf嵌_出了一种基于SOM的异常检测方法,该方法利 用SOM聚类的原理,将输入空问的六维特征向量基于SOM做 聚类。由于大部分正常数据聚集在SOM神经元周围的一定范 据的特征模型,检测时根据当前数据是否与该模型有效拟合来 判定攻击是否发生,是一种无指导的入侵检测方法。提出的基 于自组织映射(Self—Organization Map,SOM)神经网络的入侵 检测方法是一种有指导的检测方法,相对于其他方法,该文提 出的方法具有训练时间短、检测效率高等特点。 围之内,检测时,若输入的数据在最佳匹配神经元附近的距离 超出这个范围,则认为该数据所代表的网络状态为异常。这是 一种无指导的嘲络异常检测方法,实验证明具有较好的检测效 果,但该方法仅用于特定服务类型的入侵检测(比如DNS Ex- ploit),而不是一种通用的入侵检测方法。Gao嘴SOM神经网络 2相关研究工作 国内外关于有指导的入侵检测方法有很多:李辉闭采用支 持向量机(Support Vector 用于有指导的网络入侵检测,取得了较好的检测效果,但是该 模型只针对KDD cup99数据集中具有明显区分效果的特定攻 击(ipsweep等)类型构建,通用性亦有待验证。 Project of China under Grant No.2006C27)。 Machine,SVM)的方法,基于KDD National 基食项目:国家242信息安全计划项I写(the Information Security 242 作者简介:贾伟峰(1982一),男,硕士研究生,主研领域为机器学习、网络入侵检测;张凤荔,女.教授.博士生导师,主研领域为GIS系统、信息安全; 童彬(1982一),男,博士研究生,主研领域为机器学习、网络安全;万明成(1985一),男,硕士研究生,主研领域为网络安全。 收稿日期:2008-05-06 修【ql H期:2008-09-08 万 方数据 Computer Engineering and Applications诗黧撬王程与痉耀 3 SoM入较捡楚模型藤理 …………………………一?………………一--SOM参数 SOM神经躅络蓑草交Kohone一提感,势将之痤瘸予芬兰 语的诺窘识别。SOM学习枕制类似于入脑,怒竞争健的学习枧 制。入的大脑皮层分布着数量巨大的脑神经冗,不同的区域负 责对不问输入倍息的反映,SOM神经刚络根据人JI随的这一特 点避衙分类:针对某一问题,漫定具有一定数爨神经元(M×Ⅳ) 的SOM神缀眦络,每个神经元对应一个用☆维特征向量描述 圈1安验方案数姑漉网 的权健向璧。通过对该SOM的讲I练。使褥谶练聪的神经嘲络能 够将不鞫类瓣数据分舅《蘩类在尽阋翡神经元,从瓣这羽分类瓣 效聚。 3.1 做了详细说明。从kddcup.data 10_percent corrected i¨I练壤中, 越枫抽散了溅常数摧数据4 864条,标记隽“N”;攻毒数据 So酝襁美橇念 (1)避健疆配捧羟元(Best Matching 6134条,蕻审DoS玫隶3915条,Probe攻拳2Q辩条,R2L攻 蠢||3条辩U2R攻隶52条,荠赣鲍4释攻击数据统—标记蓥 “轰”,然爵将漤辩数羟穰攻击数器淹会鳃蓑潮练繁。扶correct 数据集巾挡致了3 030条正常数据稻6 908簸竣老数据《DoS Unit,BMU≥ 4对予每—个输入商量(蠢维)矿,通过计算SOM率每个神经 髭的校德向薰与y之问的欧氏距离.得到一组距离序列s,S 中的避小德对应的神经元称为y在SOM中的BMU。 (2)邻近神经元(Neighborhood Units) 通常指输入向量y在SOM中的BMU附近的午申经元,可 由不阏的方法族褥,如Ramad勰l建是至q的两种方法:Bubble borhood Function翻Gaussian Neighborhood Function。 Neigh— 攻击4598祭,Probe攻击2083条,R2L攻击170条和U2R攻 击57条),按照相同的方法标记测试数据,组成测试粲。采用 80m toolbox for matlab 6.1【l砚作为训练和测试SOM的工具,具 体的实验过糕如下: (1)特征选取 (3)学习满数《Learning Function) BMU及其邻近祷经元投羹岛璧髓薰时{琏l变纯辐薄于=埝灭 囊豢澍溺整静函数,莓薅公式(1)表示。 cup99游数糕其有4l令特征,为了掇燕SOM棒经 霹络翡莓《练效率,选敢标号为l菇戆6个特缎,分涮钱表魏含 义舞:连接辩阉、诱淡类壁、骚务类型、源翘缝发送字繁数、譬戆 KDD 逾涟接收字节数帮连接凝态。 《l》 麟。(抻1)堋。(£)+麓,《t)[x(t)-m:《o)】 (2,鹣一纯 为了消除不同数据类型之间的差异对梭测结黎造成的影 响,对选般的数据采用以下策略归一化特征向潋: 连续型特链归一化: 件l翔t分别袭示丽个相邻的时刻。Ini表泳笫i个神经元的权值 向墩,掌代表输入向量。h。如)为t时刻获取邻近神经元的方法。 3.2 SOM训练 针对姗练集中的每—个输入向量V。徽如下撵你: (t)选淑y在s0捷申的BMU; 侧一2瓦露 蠢;。为该类数据孛熬最大蹙蠢襞枣夔; …,一"出I,m (2) (2)掇撼学嚣医数,更錾BMU及其每个邋鄂襻缝元豹毅篷 宠爱,旋其分瓣褥鸯奖奁翻蠡裁; 公式(2)串,s屯为箍一曩的数据,够《必麓粼始蕊,F一、 离散鍪特筵妇一亿:按爨每—令蘩鎏在该类数据孛凄蠛翡 频率进行蛰换。 (3)SOM襁始他 采用sore toolbox中的som_lininit函数,檄据训练集进行 SOM网络神鼎j琶的个数及其权值的初始化。 (4)SOM¨lI练 采用sonl (3》反复进行主嚣酶攥终,壹爨}达巅籁避镇{练次数袁每次 学习串极壤改变萋夺子某一阚值。 3.3 SOM入侵检测原理 经过洲练,SOM中各个神经元的权憾I句量能够将相似的 输入样举聚类在某些神经元附近,从而达刹对不同数据分类的 目的。,iiii网络入侵检测本质上是一种分类问题,如粜采用足够 多的H谶常数据鞫异常数据充分训练SOM网络,则洲练后的 SOM瓣终露以裔效区分正常数据和攻击数糖。 toolbox中的som_seqtrain函数进行网络的切陈, 谤l练分为濒阶段: 第一陵没,举游速率0.6,半径嚣阚f15一琢避锑爨数gaus- 4梭溅效累分挢 遴过有拣定鹃数据对SOM耱经辩终徽充分魏谤l练,势掇 据溯练鹣缭桨标记不簿数据褰类魏棒缝既,剐调练后豹SOM 网络鄙W厢予网络入侵检测。本章据此掇擞了—种耐络入侵检 测方案,并通过仿真试验验证了该方法的有效性。 sain。浚除殴—般禳鸯SOM鳇初始谤l练除羧,熙-p韧爹臻定各 种经元投德鲍大拳医阖分毒,该骑段耗费时秘较短,在实验孛, 莛费时阙4秒; 第二除段:学习速率0.02,半径区间f3一l{,避邻酾数gaus- sain。该阶段称为SOM的最终训练阶段,该阶段耗赞时间较长, 用于确定梅神经元对应权值向量的最终结果,张突骏中税费时 间16秒。 4.1实骏方案 炎验方法分为两个阶段,训练阶段和测{式阶段,具体的数 据流细图1所示。 训练结策詹,读取洲练数据及其标签,对其所映射到的神 经翮络的神缀惩避符标记,标记的结果如图2(馥)所承。图2(b) 聚燃美濒浏防部鑫级}}戈g研究局(DARPA)爝予入经检测 系统弹线数据霎笋,该数攥纂分为谤l练纂鞫灞凌 集掰大帮分,每耱数捶囊墨毽含Normal、DoS、Probe、R2L、U2R 牵表示谢练榉本鹩蓑类裂SOM神经元酶分韶愤凝。麸爨2 ≤器》、饔2强)中霹浚毳窭,歪掌数据囊攻击数黎分嬲聚类程苓 簿5类数据。关予该数据纂碡|各静数措斡分布毙捌,铎舞l嘲诧 万 方数据 阚瓣静经觉,函戴特黯诩练集来说,SOM襻缀阚络其有良好鹩 贾转蜂,张凤嚣,塞彩,莓:舞缀象映象禧经瓣络淼入侵梭溅中懿爱惩 2009,45(23) 117 分樊髓熊。耀i歪凌留《练后酶专睾经麓络铃瓣溯试褰来说簿撵舞 有较好酶效果,将在4。2蒂采冀i测试数据鬟溅泼本节所溯练趣 SOM,势将其灏斌终聚与鏊蓊公议萁奢较好二分类效慕瞧 SVM分类器在相同训练集和测试集上的测试结果相比较,以 滏1 SOM,SVM(C=32 768,G=256)瓣缎 捡潮率TPI(%,溪摄率疆,(%》 SVM SO掸l 92.S3 93.0l O。挚9 l。55 验谶SOM方法的有效性。 通常情况下,考虑到分类器的推广性,SVM用平分类的惩 罚因子,即参数C不宜太大。因此,从搜索的缭聚中选取了较 夺g但其农较好鞠l练效果),茭猃测结泉鲤袭2耩窳。 豢2 SOM,SVM(C=64,貉5i2)嚣缘 妇,挺涎鲍绫聚 转,麓徽驹聚粪鬻s。涎 {串经元鹘静祈情凝 献袭|秘襞2鳐结条慕器,SOM薛戆溅帛崮予SVM,误掇 率稍商予SVM,但仍然在可按受豹范围之内。蹦此将SOM用 于网络入侵梭测的方法是可行的。考虑到SVM分类器的最佳 豳2标记后昀SOM与训练数据鬻獭分帮情况图 (5)SOM检测效粜测试方法 参数搜索栩搬耗赞时I'日】,而SOM的洲练阶段~般较短,所以提 出的基予SOM舱入侵检测方法在实际的工程藏煺审受勰易手 将测躐集中的数据,输入上一阶段鞠l练产生黪学替滁l蠢鹩 SOM耪经瓣络,浆据英BMU酶据签,翔凝囊蔫赣入数禚掰属 静粪别,舆侮穷法翔节: 蘧着隧络浚惑的銮凭彝溺熬。 5结论 将SOM静缓醚络瘦耀糕翁指导酶潮绪入嫒稔溯模型孛, 遥过与SVM分类器在露一个数据集上的实验缝粜瓣魄,表明 钳霹每条溅试记象ri,(避其对应类粼为魏,笼∈{N,矗;,N、 矗分菇《代袭菠常、舞露瓣秘黼终状态)徽翔下撵终: 获淑浚测试;云慕豹蔽令BMU,迓BMU瓣纛翡标签为疋, 乏,,薅lN,A,NULL},j《ll,2,…,国,然纛按F镑{弋褥瀛翟捡测: For批1¨?C DO 了莲予SOM戮络久缦检测方法英有渔溅率赢、臻}练时蠲短藕 通用性强等特点。 在以膳的研究工作中,拟将SOM神经网络成用于无监督 Ifl。。瓤, 梭测正确; Break; Else 的网络异常檄测中,并进一步提高其检测性能。 参考文靛: }1】Baee R G。Intrusion detection[M],is.1,]:Macmillan Technical Pub- lishing,2000. if毛#NULL 捡溅镶瀑; Break; 嚣娃d if End for 隧李舞,磐曦臻,耱鑫,等。基于突黪凑量瓤懿霆络入缎糗溅溪。铮辫£ 赣究与发鼹,2003。 实验孛敬(7--3,嚣#镑对每—令符稔测撵零,羧最篷篷篷摔 经就(BMU),以及第二、第三匹配神经元避符比较。翔果连续三 个神缀张都没有标记,则记该样本为不确怒榉本。实验表明,不 睽Lee on Wen-ke,Stolfo S j,Mok K W.A data mining fratrayaork for building intrusion detection models[C]/tThe 1999[EEE Symposium Security and Privacy,Oakland,CA,1999. S。Janoski G,suIlg A.Intrusion detection support vector [41 Mukkamala networks ings using neural 确定榉举的个数是极少的,所取数据集中,缀过该方法检测后 的不确宠榉本个数为2,因此这种情况可以慧赂不计。 4。2 and machines,neural networks[CF/PrDc**a- of the 2002 International Joint Conference,HCNN’02,2002= SOM,SVM硷溅效繁对进 率繁缀握4.1繁枣挺劐懿测试方鬟,攥测试数据囊骏诞 1702-1707。 翔Ramadas posium on M,Ostemmma S,Tjaden B.Detecting锹qoRlalous n麟弹。文 mapeICYWroc of 6th International Sym— 4.1繁谤l练薅瘦的SOM耱经阚终的检测橼黥。游徐糠准采燃潺 际上滋粥懿捡溯率《True Positive rate,静)鞠漠攘率(False Positive traffic with self-organizing RAID’03,2003:36-54。 rate,FP),其定义如公式(3)、(4): [61 Gao Jian-hong,Xu Li-xin,Dai Ya-pin92tn intrusion tern nrMlel based on detection娜一 捌攀t辩糍舞奏鬈萨 韵酌靛攀(舻)=披誉裂馨票嚣慧蠢墼 self-organizing intelligent nmp[C]//Prececdings of the 5th and Automation,2004, ∽ (4) World Congress 011 Control Haogzhou,China. f7】Kohonen T+Self-oiganizing maps[M].is.1.]:Springer Verlag,1995. 【81 KDD Cup 1999 Data[EB/OL]。(1999-10-28).http://kdd.ies.uei。ed“ databases/kddcup99&ddeup99+html. 为了验证该文方案的实验结果的有效性,针对同样的数据 集,慕鲻变{|毒融璧礁(辆羚哦Vector Machine,SVM)敲实验。鞫 懿,SVM被浚凳是英翕较鳋二分类效巢酶分蒸方法,通过岛之 魏芬锈。基等SVM翁入缦浚测系统耢黎毯毒£寨:趣窳粼避穴学,2007. flo]SOM toolbox for Matigb lEB/OL].(2008).http:ltwww.eis.hut.filtn-o- jeets/瓣mtoolbox. II l】Chang C e,Lin C J.LIBSVM-a library for support 对找霹黻夔好说馥该文方法魏有效缝。遮爝l溆耐H谗为SVM 分类王熬,势逶过隧格涤攘索SVM酶最睡参数:核丞数RBF, C=32 768。G=256。袭l是采雳SVM稳SOM稔渊效果的对魄。 VectOr龇 ehines[EB/OL].(2008-04).http:llwww.esiemtu.edu.twl.-ejlin/libsvm. 万 方数据 自组织映射神经网络在入侵检测中的应用 作者: 作者单位: 贾伟峰, 张凤荔, 童彬, 万明成, JIA Wei-feng, ZHANG Feng-li, TONG Bin, WAN Ming-cheng 贾伟峰,JIA Wei-feng(电子科技大学,计算机科学与工程学院,成都,610054;安阳师范学院 ,河南,安阳,455000), 张凤荔,童彬,万明成,ZHANG Feng-li,TONG Bin,WAN Ming-cheng(电 子科技大学,计算机科学与工程学院,成都,610054) 计算机工程与应用 COMPUTER ENGINEERING AND APPLICATIONS 2009,45(23) 刊名: 英文刊名: 年,卷(期): 参考文献(11条) 1.Mukkamala S;Janoski G;Sung A Intrusion detection using nearal networks and support vector machines,neural networks 2002 2.Lee Wen-ke;Stolfo S J;Mok K W A data mining framework for building intrusion detection models 1999 3.李辉;管晓宏;昝鑫 基于支持向量机的网络入侵检测[期刊论文]-计算机研究与发展 2003(6) 4.Chang C C;Lin C J LIBSVM-a library for support vector machines 2008 5.SOM toolbox for Maflab 2008 6.孙钢 基于SVM的入侵检测系统研究 2007 7.KDD Cup 1999 Data 1999 8.Kohonen T Self-organizing maps 1995 9.Gao Jian-hong;Xu Li-xin;Dai Ya-ping An intrusion detection system model based on serf-organizing map 2004 10.Ramadas M;Ostermann S;Tjaden B Detecting anomalous network traffic with self-organizing maps 2003 11.Bace R G Intrusion detection 2000 本文链接:

http://donatewale.com/zizuzhiyingshe/28.html
锟斤拷锟斤拷锟斤拷QQ微锟斤拷锟斤拷锟斤拷锟斤拷锟斤拷锟斤拷微锟斤拷
关于我们|联系我们|版权声明|网站地图|
Copyright © 2002-2019 现金彩票 版权所有