邵伯樂
(亳州職業技術學院網絡中心,安徽亳州 236800)
一種基于禁忌神經網絡的網絡入侵檢測模型
邵伯樂
(亳州職業技術學院網絡中心,安徽亳州 236800)
隨著互聯網的發展和普及,傳統網絡入侵防范方法如防火墻、數據加密等已經很難保證系統和網絡資源的安全。為此,本文設計了基于改進禁忌算法和神經網絡的網絡入侵檢測方法。首先建立三層的BP神經網絡模型用于實現入侵檢測。然后通過BP反向傳播算法獲取網絡的權值和閥值等參數,并設計了一種基于雙禁忌表的改進禁忌優化算法,采用此改進的禁忌優化算法對BP算法優化得到的權值和閥值進行進一步尋優。最后,將禁忌算法優化后的神經網絡用于網絡入侵檢測。仿真實驗表明,此方法能夠有效地實現網絡入侵檢測,具有較快的收斂速度和較高的檢測率,是一種適合網絡入侵檢測的可行方法。
網絡入侵檢測;神經網絡;禁忌算法;優化
隨著互聯網的飛速發展和普及,計算機病毒和黑客攻擊等網絡安全問題日益嚴重,據不完全統計,每年全球因計算機安全問題而導致的系統破壞造成的損失就高達百億美元,因此,網絡安全問題已經引起政府、工業和科學界的高度關注[1-2]。入侵檢測(Intrusion Detection)是一種解決網絡安全問題的重要手段,能實現網絡攻擊的全面檢測[3],入侵檢測方法一般可以分為兩類:誤用檢測和異常檢測。誤用檢測方法是在首先獲得了各類攻擊行為組成的攻擊特征數據庫的基礎上,將樣本與特征數據庫進行匹配以確定攻擊事件;異常檢測方法則與誤用檢測方法相反,是通過建立正常行為對應的正常特征數據庫,然后將用戶行為與數據庫中的特征匹配以檢測是否發生攻擊。

圖1 三層BP神經網絡模型
目前,異常檢測技術由于具有匹配數據量較小和實現簡單的優點,因此已經成為網絡安全領域的研究熱點,目前已出現的方法主要是基于專家系統[4]、支持向量機[5]和神經網絡[6]的方法。基于神經網絡的網絡入侵檢測方法可以在大量樣本對網絡進行訓練的基礎上實現網絡模型的泛化,使得入侵檢測系統具有很好的攻擊預測能力。但是經典的BP反向傳播算法對網絡進行訓練時,往往采用梯度下降算法,具有學習速度慢和容易陷入局部最優解的缺點。因此,文中提出了一種基于禁忌算法優化神經網絡的網絡入侵檢測方法,能有效克服BP反向傳播算法的不足,并通過實驗證明了該方法的有效性。
BP神經網絡是由Rumelhart和McCelland為首的科學家小組在1986年提出的一種根據誤差反向傳播(Back Propogation,BP)算法進行訓練的前饋型網絡,是目前應用最廣泛的神經網絡模型之一。BP網絡能通過樣本訓練學習和存儲大量輸入-輸出模式映射關系,通過梯度下降算法來不斷調整網絡權值和閥值,使得樣本經過網絡輸出后與真實的輸出之間的誤差平方和最小。
三層的BP神經網絡是一個包含一個輸入層(Input Layer)、隱含層(Hide Layer)和輸出層(Output Layer)的BP神經網絡,一個三層的BP神經網絡如圖1所示。
輸入層輸入的樣本數據可以表示為X={x1,x2,…,xn},輸入層與隱藏層之間的權值為uij=(i=1,2,…,n;j=1,2,…,m),其中m為隱藏層神經元個數,nij=(i=1,2,…,m;j=1,2,…,q),q為隱藏層神經元個數,bj為閥值,f(·)為激勵函數,第j個神經元yj(j=1,2,…,q)的輸出可以表示為:
(1)
其中,si為隱藏層神經元的輸出。
2.1 入侵檢測原理
當神經網絡通過樣本數據訓練完畢后,就可以將新的樣本數據輸入網絡來判斷是否發生了攻擊以及對應的攻擊類型,因此,首先對神經網絡的權值采用BP算法進行初始值求解,然后通過改進的禁忌算法對其進行優化,最后將測試樣本數據輸入網絡判斷攻擊類別。
2.2 神經網絡參數的初始訓練
假設存在N個訓練樣本對BP神經網絡進行訓練,誤差平方和如公式(2)所示:

(2)
其中,yij為第i個樣本的第個輸出值,^yij為第i個樣本的真實值。
從輸出層開始向輸入層反向進行傳播,對各神經元連接的權值和閥值進行調整,如公式(3)所示。
(3)
其中,η為學習率,t表示訓練過程中的當前迭代次數,r表示當前層。采用式(3)對神經網絡的權值和閥值等參數進行不斷訓練,直到網絡的輸出誤差滿足誤差閥值。
2.3 禁忌算法
禁忌算法[7](Tabu Search,TS)是由Glover于1986年提出的一種智能優化算法,是一種擴展的局部鄰域搜索算法。TS算法采用線性表來存儲禁忌對象,即已經獲取的最優解,并通過禁忌準則來避免迂回搜索,采用藐視準則來赦免一些被禁忌的最優解,可以增加算法尋優過程中獲取最優解的能力,最終可以保證算法具有較強的全局搜索能力,經典禁忌優化的流程如圖2所示。
2.4 改進的禁忌算法
為了對經典的禁忌算法進行改進,進一步加快收斂速度和獲取全局最優解,對禁忌表進行改進,引入雙禁忌表,即對于不同對象設置不同的禁忌范圍,先以解向量的分量即權值閥值向量的分量作為禁忌對象,當搜索過程結束后,再以當前求取的最優解為初始解進行禁忌搜索,直到滿足算法結束條件,如圖3所示。其中,Flag為True表示網絡預測誤差小于指定閥值。
采用MATLAB工具對文中方法進行驗證,從KDD99 CUP入侵檢測數據庫中提取數據作為訓練樣本和測試樣本,KDD99 CUP入侵檢測數據庫是DARPA入侵檢測項目數據庫的子集,共包含4類攻擊共22種,分別為拒絕服務攻擊(DOS)、遠程用戶未授權訪問攻擊(R2L)、本地用戶權限提升攻擊(U2R)和探測攻擊(Probe),這些攻擊樣本數據共41個特征,第42~46分別表示正常、DOS攻擊、R2L攻擊、U2R攻擊和Probe攻擊,神經網絡的輸入層神經元個數為41,輸出層神經元個數為5,隱藏層神經元個數選取為10個,從KDD99 CUP中選取1500組,其中900組為訓練樣本數據,600組為測試樣本數據,目標誤差為0.0001,在迭代次數達到400次以上,文中方法的檢測誤差如圖4所示。

圖2 禁忌算法流程

圖3 改進的禁忌算法

圖4 檢測結果
從圖4中可以看出,在迭代500次后,檢測結果的平均誤差降到了0.0001,BP神經網絡的輸出誤差仍為0.08,且在迭代次數為400時就陷入早熟收斂。為了驗證本文方法的優越性,將該方法與文獻[8]以及經典的BP神經網絡從迭代次數、訓練時間、檢測率和誤檢率等4個方面進行比較,檢測率可以定義為:

(4)
誤檢率FPR可以通過下式進行計算:
FPR=KR+MR.
(5)
其中,KR為虛警率,MR為漏警率,KR通過下式計算:

(6)
MR通過下式計算:
(7)
3種方法對應的迭代次數、訓練時間、檢測率DR和FPR誤檢率結果如表1所示:

表1 各類方法比較結果
表1中可以看出,文中方法對應的迭代次數、訓練時間、檢測率和誤檢率遠遠優于經典的BP神經網絡方法和文獻[8]所示方法。
為了實現對網絡進行有效檢測,本文設計了一種基于禁忌神經網絡的網絡入侵檢測方法。在通過BP算法對網絡進行初始訓練的基礎上,采用禁忌算法對其進行進一步優化,然后再將攻擊樣本數據庫的測試樣本數據用于網絡入侵檢測。實驗結果表明了本文方法能有效地進行網絡檢測,且具有訓練時間少、檢測效率高和檢測精度高的優點。
[1]De P,Liu Yong-he.Das S K.Deploymen-aware modeling of node compromise spread in wireless sensor networks using epidemic theory[J].ACM Transactions on Sensor Networks,2009,5(3):413-425.
[2]楊照峰,樊愛京,樊愛宛.基于自適應蟻群聚類的入侵檢測[J].計算機工程與應用,2011,47(12):90-96.
[3]Fulp E W.Parallel firewall designs for high—speed networks[C]//25th IEEE International Conference on Computer Communications,Barcelona.Spain,2006:1-4.
[4]何波,程勇軍,涂飛,等.自適應入侵檢測專家系統模型[J].計算機工程,2007,33(10):158-160.
[5]黃艷秋.IA-SVM算法在網絡入侵檢測中的研究[J].計算機仿真,2011,1(28):182-185.
[6]汪潔.基于神經網絡的入侵檢測系統的設計與實現[J].計算機應用與軟件,2013,5(30):320-322.
[7]Palubeckis G.Multistart tabu search strategies for the unconstrained binary quadratic optimization problem[J].Annals of Operations Research,2004,131(1-4):259-282.
[8]袁浩.基于量子粒子群的BP網絡用于入侵檢測[J].傳感器與微系統,2010,2(29):108-111.
A Network Intrusion Detection Model Based on Tabu Neural Network
SHAO Bo-le
(Bozhou Vocational and Technical College, Bozhou Anhui 236800, China)
With the further development of the Internet and the popularization of network, the traditional network detection methods such as firewall and data encryption cannot guarantee the security of system and network resource. Therefore, the network intrusion method based on the improved tabu algorithm and neural network is proposed in this paper. Firstly, the three-layer BP model for network intrusion detection is set up, then the BP back propagation algorithm is used to obtain the parameters such as weight and threshold, and an improved tabu algorithm based on double tabu table is designed and used to optimize the parameters such as weight and threshold. Finally, the tabu algorism optimizing neural network is put forward to detect network intrusion. The simulation experiments show that this method can effectively realize the network intrusion detection. The method has faster convergence speed and higher detection rate, so it is suitable for a feasible way to detect network intrusion.
network intrusion detection; neural network; tabu algorithm; optimization
2014-02-06
邵伯樂(1976- ),男,安徽亳州人,亳州職業技術學院網絡中心助教,碩士,從事網絡應用與信息安全研究。
TP393
A
2095-7602(2014)04-0047-04