邵伯樂

(亳州職業(yè)技術(shù)學院網(wǎng)絡(luò)中心，安徽亳州 236800)

一種基于禁忌神經(jīng)網(wǎng)絡(luò)的網(wǎng)絡(luò)入侵檢測模型

邵伯樂

(亳州職業(yè)技術(shù)學院網(wǎng)絡(luò)中心，安徽亳州 236800)

隨著互聯(lián)網(wǎng)的發(fā)展和普及，傳統(tǒng)網(wǎng)絡(luò)入侵防范方法如防火墻、數(shù)據(jù)加密等已經(jīng)很難保證系統(tǒng)和網(wǎng)絡(luò)資源的安全。為此，本文設(shè)計了基于改進禁忌算法和神經(jīng)網(wǎng)絡(luò)的網(wǎng)絡(luò)入侵檢測方法。首先建立三層的BP神經(jīng)網(wǎng)絡(luò)模型用于實現(xiàn)入侵檢測。然后通過BP反向傳播算法獲取網(wǎng)絡(luò)的權(quán)值和閥值等參數(shù)，并設(shè)計了一種基于雙禁忌表的改進禁忌優(yōu)化算法，采用此改進的禁忌優(yōu)化算法對BP算法優(yōu)化得到的權(quán)值和閥值進行進一步尋優(yōu)。最后，將禁忌算法優(yōu)化后的神經(jīng)網(wǎng)絡(luò)用于網(wǎng)絡(luò)入侵檢測。仿真實驗表明，此方法能夠有效地實現(xiàn)網(wǎng)絡(luò)入侵檢測，具有較快的收斂速度和較高的檢測率，是一種適合網(wǎng)絡(luò)入侵檢測的可行方法。

網(wǎng)絡(luò)入侵檢測；神經(jīng)網(wǎng)絡(luò)；禁忌算法；優(yōu)化

隨著互聯(lián)網(wǎng)的飛速發(fā)展和普及，計算機病毒和黑客攻擊等網(wǎng)絡(luò)安全問題日益嚴重，據(jù)不完全統(tǒng)計，每年全球因計算機安全問題而導(dǎo)致的系統(tǒng)破壞造成的損失就高達百億美元，因此，網(wǎng)絡(luò)安全問題已經(jīng)引起政府、工業(yè)和科學界的高度關(guān)注[1-2]。入侵檢測(Intrusion Detection)是一種解決網(wǎng)絡(luò)安全問題的重要手段，能實現(xiàn)網(wǎng)絡(luò)攻擊的全面檢測[3]，入侵檢測方法一般可以分為兩類：誤用檢測和異常檢測。誤用檢測方法是在首先獲得了各類攻擊行為組成的攻擊特征數(shù)據(jù)庫的基礎(chǔ)上，將樣本與特征數(shù)據(jù)庫進行匹配以確定攻擊事件；異常檢測方法則與誤用檢測方法相反，是通過建立正常行為對應(yīng)的正常特征數(shù)據(jù)庫，然后將用戶行為與數(shù)據(jù)庫中的特征匹配以檢測是否發(fā)生攻擊。

圖1 三層BP神經(jīng)網(wǎng)絡(luò)模型

目前，異常檢測技術(shù)由于具有匹配數(shù)據(jù)量較小和實現(xiàn)簡單的優(yōu)點，因此已經(jīng)成為網(wǎng)絡(luò)安全領(lǐng)域的研究熱點，目前已出現(xiàn)的方法主要是基于專家系統(tǒng)[4]、支持向量機[5]和神經(jīng)網(wǎng)絡(luò)[6]的方法?；谏窠?jīng)網(wǎng)絡(luò)的網(wǎng)絡(luò)入侵檢測方法可以在大量樣本對網(wǎng)絡(luò)進行訓(xùn)練的基礎(chǔ)上實現(xiàn)網(wǎng)絡(luò)模型的泛化，使得入侵檢測系統(tǒng)具有很好的攻擊預(yù)測能力。但是經(jīng)典的BP反向傳播算法對網(wǎng)絡(luò)進行訓(xùn)練時，往往采用梯度下降算法，具有學習速度慢和容易陷入局部最優(yōu)解的缺點。因此，文中提出了一種基于禁忌算法優(yōu)化神經(jīng)網(wǎng)絡(luò)的網(wǎng)絡(luò)入侵檢測方法，能有效克服BP反向傳播算法的不足，并通過實驗證明了該方法的有效性。

1 BP神經(jīng)網(wǎng)絡(luò)

BP神經(jīng)網(wǎng)絡(luò)是由Rumelhart和McCelland為首的科學家小組在1986年提出的一種根據(jù)誤差反向傳播(Back Propogation，BP)算法進行訓(xùn)練的前饋型網(wǎng)絡(luò)，是目前應(yīng)用最廣泛的神經(jīng)網(wǎng)絡(luò)模型之一。BP網(wǎng)絡(luò)能通過樣本訓(xùn)練學習和存儲大量輸入-輸出模式映射關(guān)系，通過梯度下降算法來不斷調(diào)整網(wǎng)絡(luò)權(quán)值和閥值，使得樣本經(jīng)過網(wǎng)絡(luò)輸出后與真實的輸出之間的誤差平方和最小。

三層的BP神經(jīng)網(wǎng)絡(luò)是一個包含一個輸入層(Input Layer)、隱含層(Hide Layer)和輸出層(Output Layer)的BP神經(jīng)網(wǎng)絡(luò)，一個三層的BP神經(jīng)網(wǎng)絡(luò)如圖1所示。

輸入層輸入的樣本數(shù)據(jù)可以表示為X={x1,x2,…,xn}，輸入層與隱藏層之間的權(quán)值為uij=(i=1,2,…,n;j=1,2,…,m)，其中m為隱藏層神經(jīng)元個數(shù)，nij=(i=1,2,…,m;j=1,2,…,q)，q為隱藏層神經(jīng)元個數(shù)，bj為閥值，f(·)為激勵函數(shù)，第j個神經(jīng)元yj(j=1,2,…,q)的輸出可以表示為：

(1)

其中，si為隱藏層神經(jīng)元的輸出。

2 基于禁忌優(yōu)化的神經(jīng)網(wǎng)絡(luò)入侵檢測

2.1 入侵檢測原理

當神經(jīng)網(wǎng)絡(luò)通過樣本數(shù)據(jù)訓(xùn)練完畢后，就可以將新的樣本數(shù)據(jù)輸入網(wǎng)絡(luò)來判斷是否發(fā)生了攻擊以及對應(yīng)的攻擊類型，因此，首先對神經(jīng)網(wǎng)絡(luò)的權(quán)值采用BP算法進行初始值求解，然后通過改進的禁忌算法對其進行優(yōu)化，最后將測試樣本數(shù)據(jù)輸入網(wǎng)絡(luò)判斷攻擊類別。

2.2 神經(jīng)網(wǎng)絡(luò)參數(shù)的初始訓(xùn)練

假設(shè)存在N個訓(xùn)練樣本對BP神經(jīng)網(wǎng)絡(luò)進行訓(xùn)練，誤差平方和如公式(2)所示：

(2)

其中，yij為第i個樣本的第個輸出值，^yij為第i個樣本的真實值。

從輸出層開始向輸入層反向進行傳播，對各神經(jīng)元連接的權(quán)值和閥值進行調(diào)整，如公式(3)所示。

(3)

其中，η為學習率，t表示訓(xùn)練過程中的當前迭代次數(shù),r表示當前層。采用式(3)對神經(jīng)網(wǎng)絡(luò)的權(quán)值和閥值等參數(shù)進行不斷訓(xùn)練，直到網(wǎng)絡(luò)的輸出誤差滿足誤差閥值。

2.3 禁忌算法

禁忌算法[7](Tabu Search，TS)是由Glover于1986年提出的一種智能優(yōu)化算法，是一種擴展的局部鄰域搜索算法。TS算法采用線性表來存儲禁忌對象，即已經(jīng)獲取的最優(yōu)解，并通過禁忌準則來避免迂回搜索，采用藐視準則來赦免一些被禁忌的最優(yōu)解，可以增加算法尋優(yōu)過程中獲取最優(yōu)解的能力，最終可以保證算法具有較強的全局搜索能力，經(jīng)典禁忌優(yōu)化的流程如圖2所示。

2.4 改進的禁忌算法

為了對經(jīng)典的禁忌算法進行改進，進一步加快收斂速度和獲取全局最優(yōu)解，對禁忌表進行改進，引入雙禁忌表，即對于不同對象設(shè)置不同的禁忌范圍，先以解向量的分量即權(quán)值閥值向量的分量作為禁忌對象，當搜索過程結(jié)束后，再以當前求取的最優(yōu)解為初始解進行禁忌搜索，直到滿足算法結(jié)束條件，如圖3所示。其中，F(xiàn)lag為True表示網(wǎng)絡(luò)預(yù)測誤差小于指定閥值。

3 仿真實驗

采用MATLAB工具對文中方法進行驗證，從KDD99 CUP入侵檢測數(shù)據(jù)庫中提取數(shù)據(jù)作為訓(xùn)練樣本和測試樣本，KDD99 CUP入侵檢測數(shù)據(jù)庫是DARPA入侵檢測項目數(shù)據(jù)庫的子集，共包含4類攻擊共22種，分別為拒絕服務(wù)攻擊(DOS)、遠程用戶未授權(quán)訪問攻擊(R2L)、本地用戶權(quán)限提升攻擊(U2R)和探測攻擊(Probe)，這些攻擊樣本數(shù)據(jù)共41個特征，第42～46分別表示正常、DOS攻擊、R2L攻擊、U2R攻擊和Probe攻擊，神經(jīng)網(wǎng)絡(luò)的輸入層神經(jīng)元個數(shù)為41，輸出層神經(jīng)元個數(shù)為5，隱藏層神經(jīng)元個數(shù)選取為10個，從KDD99 CUP中選取1500組，其中900組為訓(xùn)練樣本數(shù)據(jù)，600組為測試樣本數(shù)據(jù)，目標誤差為0.0001，在迭代次數(shù)達到400次以上，文中方法的檢測誤差如圖4所示。

圖2 禁忌算法流程

圖3 改進的禁忌算法

圖4 檢測結(jié)果

從圖4中可以看出，在迭代500次后，檢測結(jié)果的平均誤差降到了0.0001，BP神經(jīng)網(wǎng)絡(luò)的輸出誤差仍為0.08，且在迭代次數(shù)為400時就陷入早熟收斂。為了驗證本文方法的優(yōu)越性，將該方法與文獻[8]以及經(jīng)典的BP神經(jīng)網(wǎng)絡(luò)從迭代次數(shù)、訓(xùn)練時間、檢測率和誤檢率等4個方面進行比較，檢測率可以定義為：

(4)

誤檢率FPR可以通過下式進行計算：

FPR=KR+MR.

(5)

其中，KR為虛警率，MR為漏警率，KR通過下式計算：

(6)

MR通過下式計算：

(7)

3種方法對應(yīng)的迭代次數(shù)、訓(xùn)練時間、檢測率DR和FPR誤檢率結(jié)果如表1所示：

表1 各類方法比較結(jié)果

表1中可以看出，文中方法對應(yīng)的迭代次數(shù)、訓(xùn)練時間、檢測率和誤檢率遠遠優(yōu)于經(jīng)典的BP神經(jīng)網(wǎng)絡(luò)方法和文獻[8]所示方法。

4 結(jié)語

為了實現(xiàn)對網(wǎng)絡(luò)進行有效檢測，本文設(shè)計了一種基于禁忌神經(jīng)網(wǎng)絡(luò)的網(wǎng)絡(luò)入侵檢測方法。在通過BP算法對網(wǎng)絡(luò)進行初始訓(xùn)練的基礎(chǔ)上，采用禁忌算法對其進行進一步優(yōu)化，然后再將攻擊樣本數(shù)據(jù)庫的測試樣本數(shù)據(jù)用于網(wǎng)絡(luò)入侵檢測。實驗結(jié)果表明了本文方法能有效地進行網(wǎng)絡(luò)檢測，且具有訓(xùn)練時間少、檢測效率高和檢測精度高的優(yōu)點。

[1]De P,Liu Yong-he.Das S K.Deploymen-aware modeling of node compromise spread in wireless sensor networks using epidemic theory[J].ACM Transactions on Sensor Networks,2009,5(3):413-425.

[2]楊照峰,樊愛京,樊愛宛.基于自適應(yīng)蟻群聚類的入侵檢測[J].計算機工程與應(yīng)用,2011,47(12):90-96.

[3]Fulp E W.Parallel firewall designs for high—speed networks[C]//25th IEEE International Conference on Computer Communications,Barcelona.Spain,2006:1-4.

[4]何波,程勇軍,涂飛,等.自適應(yīng)入侵檢測專家系統(tǒng)模型[J].計算機工程,2007,33(10):158-160.

[5]黃艷秋.IA-SVM算法在網(wǎng)絡(luò)入侵檢測中的研究[J].計算機仿真,2011,1(28):182-185.

[6]汪潔.基于神經(jīng)網(wǎng)絡(luò)的入侵檢測系統(tǒng)的設(shè)計與實現(xiàn)[J].計算機應(yīng)用與軟件,2013,5(30):320-322.

[7]Palubeckis G.Multistart tabu search strategies for the unconstrained binary quadratic optimization problem[J].Annals of Operations Research,2004,131(1-4):259-282.

[8]袁浩.基于量子粒子群的BP網(wǎng)絡(luò)用于入侵檢測[J].傳感器與微系統(tǒng),2010,2(29):108-111.

A Network Intrusion Detection Model Based on Tabu Neural Network

SHAO Bo-le

(Bozhou Vocational and Technical College, Bozhou Anhui 236800, China)

With the further development of the Internet and the popularization of network, the traditional network detection methods such as firewall and data encryption cannot guarantee the security of system and network resource. Therefore, the network intrusion method based on the improved tabu algorithm and neural network is proposed in this paper. Firstly, the three-layer BP model for network intrusion detection is set up, then the BP back propagation algorithm is used to obtain the parameters such as weight and threshold, and an improved tabu algorithm based on double tabu table is designed and used to optimize the parameters such as weight and threshold. Finally, the tabu algorism optimizing neural network is put forward to detect network intrusion. The simulation experiments show that this method can effectively realize the network intrusion detection. The method has faster convergence speed and higher detection rate, so it is suitable for a feasible way to detect network intrusion.

network intrusion detection; neural network; tabu algorithm; optimization

2014-02-06

邵伯樂(1976- )，男，安徽亳州人，亳州職業(yè)技術(shù)學院網(wǎng)絡(luò)中心助教，碩士，從事網(wǎng)絡(luò)應(yīng)用與信息安全研究。

TP393

A

2095-7602(2014)04-0047-04