admin 管理员组文章数量: 1086019
2024年4月27日发(作者:lhsnorm函数matlab)
第28卷第12期 计算机仿真 2011年12月
文章编号:1006—9348(2011)12—0103—04
网络入侵检测的建模与仿真研究
刘金生
(河北师范大学数学与信息科学学院,河北石家庄050016)
摘要:研究网络安全问题,由于网络攻击有从病毒到传播网络等多种方式,且网络入侵具有高维性、多样性和复杂性,传统检
测方法难以正确识别网络人侵各种特性,导致网络人侵检测正确率低,误报率和漏报率高的难题。为了提高网络安全,提出
一
种基于主成分分析的改进神经网络网络人侵检测模型。模型首先采用主成分分析对网络原始数据进行预处理,降低数据
的维数,消除无关的信息,简单检测模型结构,然后采用粒子群算法对RBF神经网络参数进行优化,将最优模型用于网络入
侵检测。仿真结果表明,提高了网络入侵检测的正确率,加快了检测速度,证明是一种有效和实时的识别网络入侵检测的准
确方法。
关键词:主成分分析;粒子群算法;神经网络;网络入侵
中图分类号:TP393 文献标识码:A
Simulation and Modeling of Network Intrusion Detection
LIU Jin—sheng
(Mathematics and Information College,Hebei Norma University,Sh ̄iazhuang Hebei 050016,China)
ABSTRACT:Study the problem of network security.Network intrusion is of high—dimension,diversity and com—
plexity,and it is dififcult for the traditional detection methods to identify network intrusion characteristics,which
leads to the low accuracy of network intursion detection,and high rate of false.In order to improve the network secu—
rity,a network intrusion detection model was proposed based on principal component analysis and improved neural
network.The model used the principal components analysis to preprocess the network data,reduce the data dimen-
sions,eliminate the irrelevant information,and simplify the network structure.Then the parameters of RBF neural
network were optimized by particle swami algorithm.Finally,the optimal model is applied to the network intrusion
detection.The simulation results show that,compared with other network intrusion detection model,the proposed
model improves the network intursion detection accuracy and speeds up the detection speed,and it is an effective and
real—time network intrusion detection mode1.
KEY WORDS:PCA;PS0;Neural network;Network intursion
手段,受到越来越多的关注 。
1 引言
传统网络入侵检测研究主要集中在异常检测和特征检
近年来,伴随着Internet的迅速发展,网络资源的开放
测两个方向,取得了不错的结果。但是网络检测的入侵行为
性、共享性程度越来越高,各种针对网络系统的攻击变得越
还有待于进一步明确和研究 。近年来,有些学者应用人工
来越普遍,其攻击方式从早期的本地病毒攻击方式演化成如
免疫理论进行网络入侵研究,但是其检测的正确率还有待于
今的分布式、高速传播的网络攻击行为。由于因特网具有跨
进一步提高M ;还有学者将人工神经网络用于网络入侵检测
国界性、无主管性、缺少法律约束性等特点,使得网络安全已
研究,但是由于网络入侵检测数据具有高维特征,从而导致
成为了一个全球性的重要问题…。快速、有效地对网络入侵
其训练时间过长 j。主成分分析(PCA)是一种常用的数据
行为进行检测和阻止,对维护网络资源安全具有十分重要意
降维方法,通过计算样本协方差矩阵的本征向量,线性地将
义。网络入侵安全检测作为维护网络安全的一种重要技术
输入空间映射到低维的特征空问,并且获得的新的低维向量
互不相关。径向基函数神经网络(RBFNN)具有较好的非线
基金项目:河北师范大学青年基金资助项目(L2009Q02)
性、自学习能力、收敛速度快等优点。粒子群算法(PSO)采
收稿日期:2011—01—20
用速度——位移搜索模型,通过群体中粒子间竞争与合作来
一
103—
搜寻全局最优解。利用PSO算法来训练RBF神经网络的参
数,对网络结构进行优化,可以充分发挥PSO算法良好的局
部收敛能力和全局的寻优能力的优势,从而有效地提高了
RBF神经网络的学习能力与泛化能力。
的P个特征值A ,A ,…,A 和P个P维特征向量E=(e ,e ,
…
,
e )。此处,E表示P XP维单位化正效特征向量矩阵A。
≥A …≥A。,e 表示其对应的特征向量。若存在一个新网
络入侵样本y,可用式(3)表示它的P个主成分分量。
本文结合PCA及RBF神经网络理论进行网络入侵检
测,利用PCA对原始数据样本进行降维处理,然后输入到
多=Ery
3.2粒子群RBF神经网络算法
(3)
RBF神经网络进行入侵安全检测,利用PSO算法对RBF神
经网络参数进行优化,获得最优的RBF神经网络模型。仿
真结果表明,利用主成分分析的粒子群RBF神经网络进行
网络入侵安全检测,较各参比模型,其检测性能及效率都有
了较大幅度的提高。
2网络入侵安全检测原理
入侵安全检测是网络安全体系框架中的一个重要组成
部分,其目的是检测出系统中一些未经授权的使用、滥用计
算机资源的行为,对资源的完整性、机密性和可用性进行有
效地保护,是一个自动的过程。现有的网络入侵检测技术还
存在一些缺点:如检测速度慢、时效性低、误警率高以及与其
他一些信息安全技术交互性不强等 。利用主成分分析的
粒子群RBF神经网络进行网络入侵安全检测,可以充分利
用PCA对入侵数据进行降维处理,剔除出噪音数据,有效地
减少RBF神经网络的输入维数,优化了网络的结构。粒子
群RBF神经网络有着良好的非线性映射能力,利用网络输
入与输出之间关系,有效地检测出网络人侵行为和入侵种
类。其检测过程见图1。
图1 网络入侵安全检测图
3 PCA—PSORBF神经网络网络安全检测算法
3.1主成分分析
在网络入侵安全检测中,系统要处理的数据基本都是高
维数据,因此,利用PCA方法对高维数据进行降维处理,利
用获得的新变量来描述原始数据,从而达到降维的目的。设
原始数据集 有m个数据变量,每个数据具有P个特征属
性 即X=(X1,X2,…, ),Xi=( ,…, ) ,(i=1,
2,…,m)。设 的协方差矩阵为C,A ,A:,…,A。表示协方
差矩阵c的P个特征根,即:
c=∑( 一u)( 一 ) (1)
u= ∑ ,n (2)
式中, 表示 的均值向量,本文利用特征值分析法求出c
一
104一
3.2.1 RBF神经网络
RBF神经网络是由输入层、隐含层和输出层构成的三层
前馈型神经网络,隐含层采用基函数作为激励函数,本研究
利用高斯径向基函数作为隐含层基函数。RBF神经网络结
构简单,训练简单,学习收敛速度很快,有逼近任意非线性函
数的能力。
设RBF神经网络输入层有Ⅳ个神经元,输入向量为X∈
,
X=( ., ,…, ) ,输出层有 个神经元,输出变量为
YE R ,Y=(Y。,Y:,…,Y ) ,隐含层有 个神经元,隐含层输
出变量为Z∈R ,Z=( ,” ,…, ) ,则隐含层神经元节点输
出按下式计算:
Z = I _cf II=exp[_ ](4)
式中,c 和 分别表示网络隐含层单元基函数的中心和宽
度, 表示当输入第P个样本时隐节点i的输出。此时,RBF
神经网络的输出见下式:
f
Y =∑wq ( 一Ci II) (5)
式中,,, 表示当输入第P个样本时第i个节点的输出, 表示
第 个径向基函数连接到第i个输出节点的权值。
3.2.2粒子群算法
PSO算法是在1995年由Eberhart等开发的一种演化计
算方法。在PSO算法中,将每个个体看作D维搜索空间中
的一个粒子,这些粒子在搜索空间中以一定的速度飞行,粒
子们根据其本身的飞行经验以及同伴的飞行经验动态调整
其飞行速度,所有的粒子都有一个被目标函数决定的适应
值。粒子们追随当前的最优粒子在解空间中搜索路径,并通
过迭代找到其最优解。每一次迭代中,粒子通过跟踪个体极
值P 和全局极值g 来不断地更新自己,在搜索这两个极
值过程中,粒子们根据下式来对自身的速度和位置进行
更新:
(i+1)=60× fd(i)+cl×rand()×(P l一 (i)+c2
×rand()X(g 一 (i)) (6)
fd
(i+1)= fd(i)+ (i+1) (7)
∞:
二【 争 1V(8)
m
式中,Ⅳ、Ⅳm 分别表示当前进化代数和最大进化代数;
(i)、 (i+1)分别表示当前粒子速度和更新后的速度;
(i)、 (i+1)分别表示当前粒子的位置和更新后的位置;tO
表示惯性权重,用于平衡全局搜索和局部搜索;rand()表示
介于(0,1)的随机数,c ,c 表示学习因子,通常选择c。=c
=
2o
8)利用获得的最优RBF神经网络模型,对网络安全入
侵测试集数据进行测试,用以验证模型检测的精度。具体流
程见图2。
3.2.3 PSO算法优化RBF神经网络
利用PSO算法对RBF神经网络进行优化的学习过程分
为2个阶段:第一阶段是预设定RBF神经网络的径向基函数
参数,利用减聚类算法确定基函数的中心数目n;第二阶段是
利用PSO算法对样本进行训练,搜索隐含层各节点的中心值
c 、宽度 ,以及网络隐含层与输出层之间的连接权值 。
具体操作步骤如下:
1)确定粒子的速度变量 和位置变量 的上、下限,
并初始化局部最优P 和全局最优g ;
2)将粒子群中的每一个粒子的参数映射为RBF神经网
络的参数,对每一个RBF神经网络的训练样本进行训练,并
计算其均方误差;
3)对每一个粒子的搜索位置进行评价,对当前每个粒子
的个体最优值和全体最优值进行评价;
4)根据式(6)、(7)和(8)对每个粒子的速度、位置和连
接权值进行更新;
5)判断是否达到最大迭代次数或均方误差小于最初设
定值,如果达到了则粒子搜索结束,输出最优粒子位置,否则
转到步聚3)继续执行,将得到的一组最优粒子参数值作为
PSO算法的优化结果。
3.3 PCA—PSoI iN网络入侵安全检测过程
通过上述对RBF神经网络原理分析可知,搜索隐含层
各节点的中心值c 宽度 ,以及网络隐含层与输出层之间
的连接权值埘 选择结果的好坏直接影响着RBF神经网络的
性能。为了对RBF神经网络进行优化,本文利用具有很强
的全局搜索能力的PSO算法对RBF神经网络参数进行优
化。利用主成分分析的粒子群RBF神经网络网络入侵安全
检测过程如下:
1)收集网络入侵的数据集,由于网络入侵数据集属于高
维数据且存在着噪音信息,本文利用主成分分进行降维,在
降维的同时有效地去除数据集中的噪音信息;
2)将RBF神经网络的隐含层各节点的中心值c 宽度
以及连接权值 三个参数组合成一个粒子个体;
3)设置粒子群个数,初始化每个粒子的速度和方向,确
定出粒子个体最优值P 和全局最优值g ;
4)将粒子群中每一个体进行反编码成RBF神经网络参
数;利用经过PCA处理的网络入侵数据集对每个参数进行
训练,得到每一组参数的均方误差;
5)计算每一个粒子的适应度函数值,并将所得的适应度
值与当前粒子群中个体最优值P 和全局最优值g 进行比
较,如果大于P 和g ,则对个体最优值和全局最优值进行
更新操作,否则,保留原最优值。
6)根据式(6)和(7)调整每个粒子的搜索速度和位置;
7)对当前RBF神经网络最优参数进行判断,如果是全
局最优参数或者达到最大迭代次数,则结束粒子搜索,否则
转到步骤4)继续进行参数寻优操作;
图2 PEA—PSORBFNN网络入侵检测流程
4仿真研究
4.1数据源
为检测出本文提出的网络入侵安全检测算法的性能,采
用MIT林肯实验室提供的DARPA入侵检测数据库中的数据
作为实验数据,数据经过处理后形成的KDD CUP 99数据集
进行仿真实验。数据集中每条数据有42个属性特征,最后
一
个为攻击的类型特征,也就是分类标签。数据集中的攻击
类型分为5大类,正常、DOS攻击、PRB攻击、U2R攻击和
U2L攻击。由于数据集有500万个样本,过于庞大,本文选
择其中有代表性的5%数据集作为仿真实验数据集,并将选
择的数据分成训练样本和测试样本。
4.2数据预处理
KDD CUP 99数据集的41个特征属性是以连续的、离散
的和字符串的形式进行表示,但神经网络模型只能处理数值
型的数据,在RBF神经网络识别之前把这些离散型的数据
进行连续化处理,将字符型数据除以符号型特征取值个数变
换到[0,1]之间的连续数值数据。同时为防止不同的度量标
准对识别结果造成不利影响,本文利用式(9)进行标准化
处理:
f
【o
着 ≠U
扩 :0
.(9)
式中, =∑ 是属性,上取值的平方和。
---——
105---——
4.3主成分分析
入侵检测模型,提高了检测性能,是一种有效、实时性好的网
络入侵检测模型。 入侵检测数据集的特征维数为41,属于典型的高维数据
集,包含了大量的无关属性,为了有效地消除无关属性和降
低特征维数,从而提高网络安全入侵检测的准确率和速度,
本文采用PCA对原始数据进行特征提取,在不损失数据集
所包含的信息量的前提下获取新的特征集。经过主成分分
析后,发现前11个最大特征值的累计贡献就达到了
92.37%,因此,本文提取前11个特征向量作为RBF神经网
络的输入。
4.4 RBF神经网络的参数优化
5结束语
随着计算机技术和网络技术的发展,网络的应用范围更
深广,网络安全问题的越来越严重,入侵的手段多样化。针
对传统网络入侵检测方法存在检测正确率低,误报率、漏报
率高的难题,本文提出改进的RBF神经网络网络入侵检测
模型。模型首先利用主成分析对网络入侵数据进行处理,消
除无关的信息,选择重要的信息,优化RBF神经网络结构,
然后采用粒子群算法对RBF神经网络数进行优化,提高网
络入侵检测正确率。仿真对比结果表明,相对于其它网络入
侵检测模型,本文模型提高了网络入侵的检测正确率,在网
络入侵检测中有着广泛的应用前景。
参考文献:
[1]张然,等.入侵检测技术研究综述[J].小型微型计算机系统,
2003,24(7):l113—1118.
经过主成分分析后得到的数据集的特征维数为11,因
此,RBF神经网络的输入的节点数为11,输出层节点数为1,
表示输出的结果,正常或入侵,经过反复试凑,当隐含层的节
点为14时网络精度最高并且收敛速度最快。设置粒子群的
种群规模m=50,学习因子c =c =2,初始惯性权值W =
0.8,连接权值在区间[一10,l0]之间变化,最大迭代次数T
=
1000,目标误差为0.0001。
4.5结果与分析
4.5.1 采用遗传算法前后的模型性能比较
为了便于比较,利用传统的RBF神经网络和BP神经网
络作为对比模型,其中,BP神经网络的输入层与隐含层之间
利用Logsig()作为传递函数,隐含层与输入层之间利用
Purelin()作为传递传递函数。采用相同的测试数据,各模型
的收敛次数、收敛速度及平均检测效果比较结果见表1
所示。
表1几种模型仿真结果
[2]卿斯汉,等.入侵检测技术研究综述[J].通信学报,2004,25
(7):l9—21.
[3] 赵广社,张希仁.基于主成分分析的支持向量机分类方法研究
[J].计算机工程与应用,2004,3:37—39.
[4]郭亚周,高德远.模糊聚类分析在入侵检测系统中的应用研究
[J].沈阳理工大学学报,2005,24(4):26—28.
[5]汪兴东,等.基于BP神经网络的智能人侵检测系统[J].成都
信息工程学院学报,2005,20(1):1—4.
[6] 常卫东,王正华.基于集成神经网络入侵检测系统的研究与实
现[J].计算机仿真,2007,24(3):134—138.
[7] 肖海军,洪帆,张昭理,廖俊国.基于融合分类和支持向量机的
入侵检测研究[J].计算机仿真,2008,25(4):130—132.
模型 收敛速度误报率/%检测率/%漏报率/%
[作者简介]
从表1可知,未经粒子群优化的BP神经网络和RBF神
刘金生(1973一),男(汉族),河北省唐山人,硕士
研究生,讲师,主要研究方向计算机网络安全。
经网络模型的收敛速度较慢,找到最优解的成功率较低,而
经过粒子群优化的RBF神经网络,其收敛速度快,提高了平
均检测率,有效地降低了误报率。仿真结果表明粒子群优化
了RBF神经网络的参数,获得了更优的RBF神经网络网络
(上接第87页)
网络流量预测研究[J].计算机仿真,27(6):187—193.
[7] 陈振伟,郭拯危.小波神经网络预测模型的仿真实现[J].计算
机仿真,2008,25(6):147—150.
[8]程光,龚俭.大规模网络流量宏观行为周期性分析研究[J].
小型微型计算机系统,2003,24(6):992—994.
[作者简介]
朱斌(1983一),男(汉族),安徽省芜湖市人,硕
士,研究方向:网络流量、网络安全。
乐红兵(1967一),男(汉族),江苏无锡人,工程师,
硕士,研究方向:网络流量、网络安全。
[9]薛可,等.基于ARIMA模型的网络流量预测[J].微电子学与
计算机,2004,(7):84—87.
一
l06一
版权声明:本文标题:网络入侵检测的建模与仿真研究 内容由网友自发贡献,该文观点仅代表作者本人, 转载请联系作者并注明出处:http://roclinux.cn/b/1714232958a670925.html, 本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌抄袭侵权/违法违规的内容,一经查实,本站将立刻删除。
发表评论