基于樣條權函數神經網絡的入侵檢測

（燕山大學 信息科學與工程學院， 河北 秦皇島 066004）



摘 要：通過分析當前運用較多的入侵檢測模型的缺陷，提出了一種基于樣條權函數神經網絡的新型入侵檢測系統模型。網絡拓撲結構簡單，網絡訓練所需要的神經元個數與樣本個數無關。訓練后的權函數由三次樣條函數構成，而不是傳統方法中的常數。該模型克服了傳統入侵檢測系統所存在的局部極小、收斂速度慢、初值敏感性等問題。

關鍵詞：樣條權函數;神經網絡;入侵檢測

中圖分類號：TP309.5 文獻標志碼：A

文章編號：10013695(2009)02044803



Intrusion detection system based on spline neural network



LU Huibin，WANG Qian

(College of Information Science Engineering， Yanshan University， Qinhuangdao Hebei 066004， China)

Abstract:Proposed a new model to adviod the flaw of popular intrusion detection system (IDS).The network’s topology is very simple and the number of neuron needed for solving the problem under investigation is independent of the number of patterns.The trained weights consist of cubic spline functions，in sfeed ofa constant like the popular learning algorithm such as backbpropagation (BP) or radial basis function network. The model overcomes some flaws of popular learning algorithm such as local minima， slow convergence and initialized values.

Key words:cubic spline functioficial； neural network; intrusion detection



隨著互聯網的普及以及網絡技術的飛速發展，網絡環境變得越來越復雜，網絡安全已經成為計算機科學與技術學科研究中非常重要的一個領域。入侵檢測是對計算機和網絡資源上的惡意行為進行識別和響應的處理過程，它應用了以攻為守的策略，在不影響網絡性能的情況下，能夠對網絡進行檢測，提供對內、外攻擊和無操作的實時監控。

這幾年隨著網絡安全技術的飛速發展，一些新的入侵檢測技術相繼出現，主要包括人工神經網絡、遺傳算法、模糊技術、數據挖掘等。其中基于人工神經網絡的入侵檢測技術的發展尤為突出。

1 入侵檢測系統概述

入侵檢測是指通過從計算機網絡或計算機系統中的若干關鍵點收集信息并對其進行分析，從中發現網絡或系統中威脅到系統安全的行為，同時對該行為作出響應，達到保證系統安全的目的。

從數據來源看，入侵檢測通常分為兩類，即基于主機的入侵檢測和基于網絡的入侵檢測[1]。基于主機的入侵檢測通常從主機的審計記錄和日志文件中所獲得所需的主要數據源，并輔之以主機上其他信息，如文件系統屬性、進程狀態等，在此基礎上完成檢測攻擊行為的任務。隨著網絡環境的普及，出現了大量基于網絡的入侵檢測系統?；诰W絡的入侵檢測通過監聽網絡中的數據包獲得必要的數據源，并通過協議分析、特征匹配、統計分析等手段發現當前發生的攻擊行為[2]。

入侵檢測從數據分析的角度可以分為異常檢測和誤用檢測。異常檢測是根據使用者的行為或資源使用狀況的正常程度來判斷是否入侵，而不依賴于具體行為是否出現來檢測。優點可以檢測到新的未知入侵，缺點是誤報率高。誤用檢測是根據已定義好的入侵模式。通過判斷這些入侵模式是否出現來檢測系統。優點是誤報率低，可以發現已知的攻擊行為，缺點是不能發現未知入侵。

2 神經網絡在入侵檢測中的應用

人工神經網絡（artificial neural networks，ANNs）也簡稱為神經網絡（NNs）或稱做連接模型（connectionist model） ，是對人腦或自然神經網絡（natural neural network）若干基本特性的抽象和模擬[3]。人工神經網絡是以對大腦的生理研究成果為基礎的，其目的在于模擬大腦的某些機理與機制，實現某個方面的功能。國際著名的神經網絡研究專家，第一家神經計算機公司的創立者與領導人HechtNielsen給人工神經網絡下的定義就是：“人工神經網絡是由人工建立的以有向圖為拓撲結構的動態系統，它通過對連續或斷續的輸入作狀態相應而進行信息處理。”人工神經網絡的研究，可以追溯到 1957年Rosenblatt提出的感知器模型 。它幾乎與人工智能——AI（artificial intelligence）同時起步，但三十余年來卻并未取得人工智能那樣巨大的成功，中間經歷了一段長時間的蕭條。直到20世紀80年代，獲得了關于人工神經網絡切實可行的算法，以及以Von Neumann體系為依托的傳統算法在知識處理方面日益顯露出其力不從心后，人們才重新對人工神經網絡發生了興趣，導致神經網絡的復興。 目前在神經網絡研究方法上已形成多個流派，最富有成果的研究工作包括多層網絡 BP算法、Hopfield網絡模型、自適應共振理論，自組織特征映射理論等。人工神經網絡是在現代神經科學的基礎上提出來的。它雖然反映了人腦功能的基本特征，但遠不是自然神經網絡的逼真描寫，而只是它的某種簡化抽象和模擬[4]。

人工神經網絡的以下幾個突出的優點使其在近年來引起人們的極大關注： 

a)可以充分逼近任意復雜的非線性關系； 

b)所有定量或定性的信息均等勢分布儲存于網絡內的各神經元，故有很強的魯棒性和容錯性； 

c)采用并行分布處理方法，使得快速進行大量運算成為可能； 

d)可學習和自適應不知道或不確定的系統； 

e)能夠同時處理定量、定性知識。 

人工神經網絡以自適應、自學習、自組織、聯想記憶等優點受到矚目，在入侵檢測領域發揮了重要作用。其中BP網絡應用最多，但BP網絡容易陷入局部極小點，并且訓練速度慢，效率低。樣條權函數神經網絡就克服了這些問題，它具有訓練權個數少、速度快、拓撲結構簡單等性能。因此將樣條權函數神經網絡應用于入侵檢測系統，將是比較理想的選擇。

3 樣條權函數神經網絡原理

樣條權函數神經網絡[5]是經樣條權函數學習算法訓練后的神經網絡，權值是輸入樣本的函數，由三次樣條函數構成。樣條權函數神經網絡分為第一類樣條權函數神經網絡和第二類樣條權函數神經網絡，拓撲結構如圖1所示。

樣條權函數神經網絡拓撲結構簡單，只有兩層，其中輸入層的權與神經元全互連，輸出層沒有權。由于樣條權神經網絡的拓撲結構簡單，該算法所需神經元個數與樣本個數無關，等于m*n，即僅僅取決于輸入/輸出節點的個數（即輸入樣本向量的維數m和目標樣本向量的維數n）。

對于傳統的前饋網絡，在訓練后神經網絡的權值是常數，而該神經網絡權值是輸入樣本的函數，可以很好地反映樣本的信息特征。對于圖2所示神經網絡，需要訓練的權值僅僅有一層，即與輸入層相連的權值。

圖2中圓圈表示加法器，輸入變量xi（i=1，2，…，m）經過權函數wi(xi)變換后的輸出變量就是zi（i=1，2，…，m）。zi就成為加法器add的輸入量，即

z=mi=1zi(1)

zi=wi(xi)(2)

若圖2中的zi與z的關系通過如下加權系數聯系起來，即

zi=ηiz(3)

又由式（3）中加權系數滿足mi=1ηi=1，0≤ηi≤1，則由式（2）（3）得到

z=（1/ηi）wi(xi)(4)

對于圖2，假設每一個輸入是由m維向量構成，輸出樣本由一維向量構成，共有N+2個需要訓練的樣本，wi(xi)表示神經元與第i（=1，2，…，m）個輸入節點相連的理論權函數，xi表示m維輸入向量的第i個分量。由于有N+2個需要訓練的樣本，節點xi將有N+2個輸入量。將該N+2個輸入量按照輸入樣本的順序組成一個N+2維向量，記為

xi=(xi0xi1…xi(N+1))（5）

同樣，也將該N+2個輸入量所對應的目標向量組成一個N+2維向量，記為

z=(z0z1…zN+1)（6）

為了求得權函數，除了已知自變量的取值以外，還要知道函數值zi，根據式（3）（5）有

zi=(wi(xi0)wi(xi1)…wi(xi(N+1))）=(ηiz0ηiz1…ηizN+1）（7）

又由zi=ηiz對目標樣本的分配方法，權函數wi(xi)的輸入量由式（5）決定，輸出量由式（7）決定，所以對應的插值點為

Ipi={(xi0，ηiz0)，(xi1，ηiz1)，…，(xi(N+1)，ηizN+1)}（8）

則可以根據插值理論確定近似權函數si(xi)，該近似權函數與理論權函數wi(xi)在式（8）確定的插值點處有相同的數值，其數值可以由式（7）決定。

對于一般來說，只有離散的有限樣本點是已知的，按照目前的理論水平，一般來說是不可能做到的。但是可以根據有限個樣本點通過插值的方法求得近似的權函數， 從而可以更好地反映樣本的信息特征。

4 基于樣條權神經網絡的入侵檢測系統模型

入侵檢測系統模型如圖3所示[6]。

1）數據預處理模塊 該模塊負責收集網絡數據包，通過格式轉換，最終存入數據庫。

2）異常檢測模塊 由于樣條權神經網絡有較好的模式識別與分類能力，將它應用于異常檢測模塊來分離正常數據包和異常數據包。實現過程是首先采集一定量網絡數據包樣本提供異常檢測模塊學習、訓練的權函數，近而建立典型的正常數據包活動輪廓，然后把輸入的網絡數據包與這一輪廓作比較，提取與入侵檢測相關的特征值，正常數據包將直接通過，不作任何處理，異常數據包將被送入誤用檢測模塊，作為誤用檢測模塊的輸入[7]。

3）誤用檢測模塊 該模塊主要負責將異常檢測模塊分離出來的異常數據包進行分類，判斷出入侵行為的不同類型。

4）報警模塊 該模塊主要負責向系統管理報告分析結果，并按結果的輕重緩急采取相應的安全措施。

5 實驗仿真及結論

為了證明樣條權神經網絡監測入侵的能力，使數據更具有普遍性，從“KDD Cup 1999 Data”[8]的訓練和測試數據集中，抽取的訓練數據和測試數據覆蓋四種主要的入侵類型，即DoS、R2L、U2R和PROBE 。分別采用樣條、BP、RBE算法，以作比較。其中BP、RBE算法訓練次數為10 000次，其隱層神經元個數是15，網絡是三層結構[9]。

圖4給出了訓練樣本在5~50之間樣條算法與傳統算法(BP，RBE)的誤差比。

圖5 比較了訓練樣本個數不同時，樣條算法與傳統算法的訓練時間。

6 結束語

本文提出的樣條權函數神經網絡拓撲結構簡單，只有兩層。只有輸入層與神經元全互連，輸出層沒有權。對于文中的入侵檢測系統，在網絡訓練之前就可以確定網絡的拓撲結構，簡單的拓撲結構有利于硬件的實現。

樣條權函數神經網絡所需神經元個數與樣本個數無關，等于m*n，即僅僅取決于輸入、輸出節點的個數。

該入侵檢測模型不僅能識別已知的入侵類型，還能識別新的入侵，而且克服了傳統網絡模型中局部極小、收斂速度慢等問題，是一個較為理想的模型。

基于樣條權函數神經網絡的諸多優點，其在入侵檢測方面的應用有待于進一步的提高與發展。

參考文獻：

[1]FESSI B A，HAMDI M，BENADALLAH S.A decisional framework system for computer network intrusion detection[J].European Journal of Operational Research，2007，177:18241838.

[2]ZHANG Chunlin，JIANG Ju，KAMEL M.Intrusion detection using hierarchical neural network[J]. Pattern Recognition Letters，2005，26（6）：779791.

[3]AMINI M，JALILI R，SHAHRIARI H R.A practical solution to realtime networkbased intrusion detection using unsupervised neural networks [J].Computer Security，2006，20：459468.

[4]DEPREN O，TOPALLAR M.An intelligent intrusion detection system for anomaly and misuse detection in computer networks[J].Expert Systems with Applications，2005，29：713722.

［5］張代遠.神經網絡新理論與方法[M].北京：清華大學出版社，2006.

[6]LIU Guisong，ZHANG Yi.A hierarchical intrusion detection model based on the PCA neural network[J].Neurocomputing，2007，70:15611568.

[7]ZHANG Yaxiong.Artifical neural network based on principal component analysis input selection for clinical pattern recognition analysis[J].Talanta，2007，73:6875.

[8]KDD99，cupdataset.[EB/OL].(1999).http://kdd.ics.uci.edu/databases/kddcup99/kddcup1999.html.

[9]周開利，康耀紅.神經網絡模型及其仿真程序設計[M].北京：清華大學出版社，2005.

[10]SHON T，MOON J.A hybrid machine learning approach to network anomaly detection[J].Information Sciences，2007，177：37993821.