王雪丽
(宿州学院 信息工程学院,安徽 宿州,234000)
一种基于Elman改进的网络入侵检测算法
王雪丽
(宿州学院 信息工程学院,安徽 宿州,234000)
为了解决Elman神经网络预测入侵信息存在局部反馈、学习能力弱等问题,研究利用改进的Elman算法提高网络入侵检测的准确度。实验结果显示,与Elman算法和BP神经网络算法相比,改进的Elman算法预测准确度能提高5%。
神经网络;入侵检测;RBF网络;Elman
随着“互联网+”时代的到来,网络应用面临的安全威胁也越来越多。入侵检测技术可以实时地采集、分析网络中的流量信息,从中发现病毒、木马和黑客攻击的特征,及时启动防御系统[1–3]。入侵检测作为一个主动防御技术,将其部署于网络安全防御系统的第1层,可以积极地对系统进行防御。但是,当前网络安全防御面临着数据流量大、攻击力度强、传播范围广等问题,因此亟需改进防御模式,提高数据处理速度。屈洪春[4]提出了一种先进的数据挖掘算法,该算法提供了一个良好的安全防御操作平台;岳颀等[5]基于改进PSO算法的Elman网络辨识系统,能够提高网络安全的防御操作性能。RBF网络是一种采用径向基函数的神经网络,径向基函数可以作为隐藏层单元存在,对输入矢量进行一次变换,实现低维数据转换为高维数据[6]。RBF网络[7–8]能够逼近任意的非线性函数,处理系统内难以解析的规律性内容,同时也具有良好的泛化能力,学习收敛速度非常快,已经在信息处理、图像处理、故障诊断、数据分类等领域得到广泛应用。Elman网络是一个具有局部记忆单元和局部反馈连接的递归神经网络,拥有多层前向网络,主要结构包括输入层、隐含层、输出层,连接权可以通过学习进行修正。反馈连接可以由一组结构单元构成,可以记忆前一时刻的输出值,由于连接权值是固定的,因此关联层可以作为一个特别的隐含层存在,接收反馈信号[9]。本文利用改进的Elman算法提高网络入侵检测的准确度。
由于Elman神经网络学习能力较弱,局部网络具有反馈特性,本文引入RBF网络和ART技术(自适应共振理论),将Elman神经网络划分为2个关键的子系统,即注意子系统和调整子系统。算法可通过2
个子系统和控制机制之间的交互作用处理事件。算法模型如图1所示。
图1 基于自我学习机制的Elman神经网络算法
图1中,F1为神经网络的隐含层,F2为神经网络的输出层。调整子系统由A和STM重置波通道组成,STM为神经元的激活值,即由S函数经过处理的输出值,LTM为指权系数。神经网络引入自我学习机制,具有自归一能力,能够在不稳定的网络环境下实时学习,识别学习对象,构建一个新的输出方式。改进的Elman神经网络采用竞争机制在F2中构建一个编码,这个编码与输入模式一一对应,利用编码实现输入模式学习,获取一个最佳权系数。神经网络算法包括从F1到F2,和从F2到F1的2个权系数的学习过程。本文为了验证算法的有效性,采用自下而上的权系数学习算法。F1到F2的学习方向又被称为自下而上权系数学习模式。F1网络中的神经元可以使用Ni描述,F2网络中的神经元可以使用Nj描述,F1中的神经元Ni到F2的神经元Nj的权系数用Wij描述,并且在学习时,权系数Wij可以使用下式描述:
式(1)中:f(xj)描述神经元Nj到F1的输出信号;h(xj)描述神经元Ni到F2的输出信号;Eij和ki表示相关的参数,且
将式(2)代入式(1),则权系数Wij的微分方程为
为了能够验证改进的Elman算法运行效果,本文采用VisualStudio集成开发环境实现算法,并与BP神经网络算法、支持向量机(SVM)算法进行对比。同时从360网络安全公司发布的网络入侵攻击数据集中提出了5个类型的数据,这些数据分别是Glacier、NetSpy、KeyboardGhost、ExeBind和BO2000。BO2000是一种能够利用多个网络协议进行入侵攻击的木马病毒,其可以定期搜集信息,重新设置机器;KeyboardGhost是一个键盘幽灵,其可以记录键盘输入的邮箱账号、用户密码、银行账户等信息,将这些信息发送至服务器,并在系统根目录下生成一文件名为KG.DAT的隐含文件;NetSpy可以通过没有权限控制的FTP服务器下载、上传病毒,执行入侵破坏操作;Glacier可以自动地跟踪计算机账户登录的用户名和密码,获取计算机的操作权限;ExeBind是一个捆绑入侵攻击木马,能够分割服务器中保存的文件。从每种入侵攻击中选择2 000条攻击数据,每次测试使用5 000条,以便能够更好拟合Elman网络。
网络入侵检测算法常用的评价指标很多,比如漏检率、误报率、准确度等,本文重点从准确度和误报率2个方面评价算法是否具有较好的检测效果。入侵检测的准确度可以定义为:如果入侵攻击的样本总数为M条,检测到的入侵攻击样本数为N条,则准确度用N/M计算。误报率是指将正常的数据划分到了入侵攻击样本中,如果正常的网络信息流是P,将Q条信息划分为入侵攻击样本,此时算法的误报率就是Q/P。
算法实验在Windows主机上进行,CPU主频为2.8 GHz,内存为4 GB。Elman神经网络的参数为3层,权系数设置为0.23。3种入侵检测算法检测率结果见表1。由表1可知,与BP神经网络算法[10]、支持向量机(SVM)算法相比,本文算法在5种入侵攻击数据集上均具有较好的检测效果,尤其是在NetSpy入侵攻击检测中,能够成功检测出99.2%的攻击行为。检测率高于BP神经网络算法4.5%,高于Elman神经网络算法2.9%。在5种网络入侵攻击数据实验结果中,支持向量机算法的误报率(表2)最高,其次是BP神经网络,本文算法的误报率最低。表2数据显示,改进的Elman算法的误报率远低于BP神经网络算法和支持向量机算法。
表1 3种入侵检测算法检测率结果 /%
表2 3种入侵检测算法误报率结果 /%
通过对网络入侵检测的准确度和误报率进行分析,改进的Elman入侵检测算法与BP神经网络算法、支持向量机(SVM)算法相比,能够快速、准确地从大量的网络数据中发现攻击行为。
[1] 董超,周刚,刘玉娇,等. 基于改进的Adaboost算法在网络入侵检测中的应用[J]. 四川大学学报(自然科学版),2015,52(6):1 225–1 229.
[2] 刘绪崇,陆绍飞,赵薇,等. 基于改进模糊C均值聚类算法的云计算入侵检测方法[J]. 中南大学学报(自然科学版),2016,47(7):2 320–2 325.
[3] 张永良,张智勤,吴鸿韬,等. 基于改进卷积神经网络的周界入侵检测方法[J]. 计算机科学,2017,44(3):182–186.
[4] 屈洪春,王帅. 一种基于进化神经网络的混合入侵检测模型[J]. 计算机科学,2016,43(z1):335–338.
[5] 岳颀. 基于改进PSO算法的Elman网络系统辨识[J]. 自动化与仪器仪表,2015(8):201–203.
[6] 李成,于永斌,王舜燕,等. 基于BP和WTA神经网络的滚动轴承故障诊断方法研究[J]. 计算机与数字工程,2017,45(2):291–298.
[7] 陈旻,王开云,贾学明,等. Context模型奇异测度及其在量化中的应用[J]. 昆明学院学报,2015,37(3):105–109.
[8] 肖林,严慧玲,周文辉. 求解二次规划问题的快速收敛梯度神经网络模型设计及仿真[J]. 湖南文理学院学报(自然科学版),2016,28(1):51–54,59.
[9] 申浩如,王付艳,邱莎. 网络协议嗅探资源库的建构初探[J]. 昆明学院学报,2010,32(3):79–81.
[10] 李龙,魏靖,黎灿兵,等. 基于人工神经网络的负荷模型预测[J]. 电工技术学报,2015,30(8):225–230.
Research on network intrusion detection algorithm based on improved Elman
Wang Xueli
(School of Information Engineering,Suzhou University,Suzhou 234000,China)
To overcome the questions such as partial feedback and weak study ability,RBF neural network and ART adaptive resonance theory are used to improve the accuracy of network intrusion detection. The experimental results show that compared with Elman neural network and BP neural network,the improved Elman network prediction accuracy can be improved by 5%.
neural network;intrusion detection;RBF network;Elman
TP 393
A
1672–6146(2017)04–0031–03
10.3969/j.issn.1672–6146.2017.04.008
王雪丽,1519595707@qq.com。
2017–06–08
宿州学院产学研项目(2015HX023);安徽省大学生创新创业训练计划(201510379131)。
(责任编校:刘刚毅)