劉博文

摘 要：隨著傳統(tǒng)的入侵檢測方法不斷暴露出誤報、漏報率較高，對未知攻擊檢測力低等缺點，人工神經(jīng)網(wǎng)絡(luò)技術(shù)開始運用到了入侵檢測領(lǐng)域，為入侵檢測技術(shù)開辟了新的研究途徑。在標(biāo)準(zhǔn)BP神經(jīng)網(wǎng)絡(luò)的基礎(chǔ)上，提出了一種新的改進(jìn)方法，引入了帶有可調(diào)因子的轉(zhuǎn)移函數(shù)，克服BP網(wǎng)絡(luò)在誤差平坦區(qū)收斂速度慢的缺點，以提高BP網(wǎng)絡(luò)在入侵檢測中的檢測速度。最后采用KDDCUP99入侵檢測數(shù)據(jù)集在MATLAB 8.0下進(jìn)行了仿真實驗。實驗結(jié)果表明，該算法在一定程度上提高了入侵識別速度和檢測效率。

關(guān)鍵詞：BP神經(jīng)網(wǎng)絡(luò)；算法改進(jìn)；入侵檢測；Matlab仿真

中圖分類號：TP18 文獻(xiàn)標(biāo)識碼：A 文章編號：1009-3044（2016）12-0188-03

隨著網(wǎng)絡(luò)攻擊手段的日趨復(fù)雜和多樣化，傳統(tǒng)的入侵檢測方法暴露出了檢測速度慢、虛警率高、不能實時檢測出攻擊行為等缺陷。為了構(gòu)造具有自適應(yīng)和自學(xué)習(xí)能力的入侵檢測系統(tǒng)，人們開始嘗試將智能化的學(xué)習(xí)方法引入到入侵檢測領(lǐng)域。目前，神經(jīng)網(wǎng)絡(luò)、模糊技術(shù)、智能免疫原理等方法都是常用的智能化方法，特別是神經(jīng)網(wǎng)絡(luò)技術(shù)的發(fā)展空間很大。

BP神經(jīng)網(wǎng)絡(luò)（Back Propagation Neural Network）作為一種最具代表性的前向型神經(jīng)網(wǎng)絡(luò)模型，應(yīng)用十分廣泛，并成為了最流行的神經(jīng)網(wǎng)絡(luò)模型之一[1]。由于其具有良好的自適應(yīng)、自學(xué)習(xí)能力和較強的非線性映射及容錯能力，即使是背景知識不清楚、環(huán)境復(fù)雜、甚至樣本缺損較嚴(yán)重的問題，也能成為其處理對象，因此在入侵檢測中可以達(dá)到較好的檢測效果。盡管BP網(wǎng)絡(luò)有很多顯著的優(yōu)點，但也存在著一定的局限性，會影響入侵檢測的效率。一般學(xué)者從啟發(fā)式和數(shù)值優(yōu)化兩種方式[2]不斷對BP算法進(jìn)行了改進(jìn)。對入侵檢測來說，精準(zhǔn)率及實時響應(yīng)時間十分重要，因此針對BP算法收斂速度慢的缺點，提出了一種新的改進(jìn)方法。

1 BP神經(jīng)網(wǎng)絡(luò)

1.1 BP神經(jīng)網(wǎng)絡(luò)模型

BP神經(jīng)網(wǎng)絡(luò)結(jié)構(gòu)可被劃分為輸入層（Input Layer）、隱含層（Hide Layer）和輸出層（Output Layer）。網(wǎng)絡(luò)中每層都由多個能執(zhí)行并行計算的神經(jīng)節(jié)點構(gòu)成，隱含層可以是一層或者多層。信號被輸入后經(jīng)隱含層各層的處理后最后得到輸出信息[3]，通過持續(xù)更新連接權(quán)值，使輸出不斷接近網(wǎng)絡(luò)的期望輸出[4]。

1.2 BP算法的優(yōu)、缺點

BP神經(jīng)網(wǎng)絡(luò)具有良好的自適應(yīng)、自學(xué)習(xí)和非線性映射等能力，并且采用分布式結(jié)構(gòu)，具有較強的容錯性和泛化能力，能夠通過非線性方式對數(shù)據(jù)進(jìn)行分析，其輸入至輸出的傳播過程即為一個數(shù)學(xué)非線性映射的問題[5][6]。同時BP網(wǎng)絡(luò)也存在一些不足，主要體現(xiàn)在以下幾個方面：

1）收斂速度慢。由于轉(zhuǎn)移函數(shù)存在過飽和區(qū)間，并且學(xué)習(xí)速率難以確定，這將增加迭代次數(shù)，降低算法的速度，這時只可能以增加訓(xùn)練次數(shù)來慢慢退出該區(qū)域。

2）梯度下降法易使得函數(shù)陷入局部極小點。當(dāng)網(wǎng)絡(luò)訓(xùn)練陷入了局部極小點，網(wǎng)絡(luò)訓(xùn)練無法收斂于給定的誤差。

3）網(wǎng)絡(luò)隱含層數(shù)及隱含層節(jié)點數(shù)的確定缺乏理論指導(dǎo)。

2 對BP神經(jīng)網(wǎng)絡(luò)的改進(jìn)

標(biāo)準(zhǔn)的BP網(wǎng)絡(luò)常以log-sigmoid型函數(shù)作為轉(zhuǎn)移函數(shù)，而log-sigmoid型函數(shù)的誤差曲面較為復(fù)雜，既有較平坦的區(qū)域，也有曲率較大的區(qū)域，當(dāng)進(jìn)入較為平坦的區(qū)域時導(dǎo)數(shù)值會趨近于0，則權(quán)、閾值的修改量很小，網(wǎng)絡(luò)會長時間處于一個幾乎停滯的狀態(tài)，如圖1所示，此時只能通過以犧牲時間為代價慢慢退出平坦區(qū)域。因此為了避免網(wǎng)絡(luò)長時間處于平坦區(qū)域，提高網(wǎng)絡(luò)收斂速度，對轉(zhuǎn)移函數(shù)提出了改進(jìn)。

其中，k就是可調(diào)因子，0

3 實驗及分析

3.1 實驗環(huán)境及實驗?zāi)康?/p>

進(jìn)行仿真實驗的電腦環(huán)境為：Windows 7 64位操作系統(tǒng)，處理器為Intel（R） Core（TM）2，內(nèi)存為8GB，開發(fā)及仿真平臺為MATLAB 8.0，實驗數(shù)據(jù)為KDDCUP99數(shù)據(jù)集，輔助工具為Excel 2013。

實驗?zāi)康模涸贛ATLAB 8.0平臺下，通過使用KDDCUP99數(shù)據(jù)集對改進(jìn)后的BP算法和標(biāo)準(zhǔn)的BP算法分別進(jìn)行訓(xùn)練，使其獲得一定的入侵識別能力。在檢測階段計算出檢測率、漏報率、誤報率和所用時間。通過對結(jié)果的分析來證明該改進(jìn)算法是否具有較高的入侵檢測效率。

3.2 實驗樣本的選取

實驗選取美國麻省理工學(xué)院林肯實驗室發(fā)布的離線測試評估數(shù)據(jù)集KDDCUP99[7]，它是目前公認(rèn)的、性能優(yōu)良的網(wǎng)絡(luò)安全審計數(shù)據(jù)集，實驗采用其中的10%數(shù)據(jù)集，其由訓(xùn)練數(shù)據(jù)集、測試數(shù)據(jù)集組成。數(shù)據(jù)集包含了目前最常見的4類攻擊手段[8]：User to Root（U2R）、Denial-Of-Service（DOS）、Remote to Local（R2L）、Surveillance or probe（Probe）。為保證比較符合實際分布情況，實驗從10%數(shù)據(jù)集中選取了8020條記錄作為訓(xùn)練樣本，并另選取了5000條記錄作為測試樣本，其中包括3500條正常記錄和1500條攻擊記錄。

3.3 在MATLAB下進(jìn)行實驗

首先，確定BP神經(jīng)網(wǎng)絡(luò)的層數(shù)，Robert Hecht-Nielson已證明了只含一個隱含層的三層BP網(wǎng)絡(luò)足能夠勝任任何m至n維的非線性映射。因此，基于對效率和復(fù)雜度的考慮，本文采用三層的BP神經(jīng)網(wǎng)絡(luò)，最大迭代次數(shù)為3000，然后通過多次訓(xùn)練對比發(fā)現(xiàn)，隱含層節(jié)點數(shù)為7誤差精度為0.001時網(wǎng)絡(luò)收斂效果較好。對改進(jìn)算法和標(biāo)準(zhǔn)BP算法訓(xùn)練結(jié)束后開始進(jìn)入檢測階段。

3.4 實驗結(jié)果分析

由實驗結(jié)果可以證明，改進(jìn)后的BP算法在一定程度上提高了收斂速度和入侵識別的檢測率，入侵識別能力得到了提高。

4 結(jié)束語

首先分析了標(biāo)準(zhǔn)BP算法的優(yōu)缺點，針對其可能會長時間工作在轉(zhuǎn)移函數(shù)飽和區(qū)、收斂速度慢的缺點，提出了一種新的BP改進(jìn)算法。網(wǎng)絡(luò)的輸出層采用了帶有可調(diào)整因子的轉(zhuǎn)移函數(shù)，可使轉(zhuǎn)移函數(shù)圖形更為陡峭，即梯度的變化量增大，緩解了學(xué)習(xí)率在轉(zhuǎn)移函數(shù)趨于飽和區(qū)間時調(diào)節(jié)效果不佳的問題，可使誤差函數(shù)及早擺脫平坦區(qū)，提高BP網(wǎng)絡(luò)收斂速度。最后，采用KDDCUP99數(shù)據(jù)集在MATLAB 8.0平臺上進(jìn)行仿真實驗，通過實驗證明了改進(jìn)后的算法在一定程度上提高了入侵識別速度和檢測效率，侵識別能力得到了一定提高。下一步，在規(guī)范BP神經(jīng)網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)、克服網(wǎng)絡(luò)已陷入局部極小值等方面仍然需要進(jìn)一步深入研究，提高改進(jìn)后算法的實際應(yīng)用能力。

參考文獻(xiàn)：

[1] 李明，程顯毅.基于改進(jìn)BP神經(jīng)網(wǎng)絡(luò)的智能Agent分布式入侵檢測系統(tǒng)[J].計算機應(yīng)用與軟件，2009，26（1）：105-107

[2] 周國雄，廖迎新，沈?qū)W杰.基于神經(jīng)網(wǎng)絡(luò)的孵化過程組合預(yù)測方法[J].系統(tǒng)仿真學(xué)報， 2014，26（4）：892-896.

[3] XU SEN，HUANG C T.Security issues in privacy and key management protocols of IEEE 802.16[C]//Proceedings of the 44th Annual Southeast Regional Conference.New York：ACM Press，2006：113-118

[4] 劉延濤.基于混合神經(jīng)網(wǎng)絡(luò)技術(shù)的入侵檢測模型[D].長春： 東北師范大學(xué)，2010： 20-30.

[5] Zhiguo Zhang.Learning algorithm of wavelet network based on sampling theory[J]. Neurocomputing.2007（71）：244-269

[6] Zhihong Yao，Minrui Fei，Kang Li.Recognition of blue-green algae in lakes using distributive genetic algorithm-based neural networks[J].Neurocomputing.2007，70：641-647

[7] DAVID NEWMAN.The University of California Irvine KDD Archive. [EB/OL].（2007-06-26） [2012-12-15].http：//kdd.ics.uci.edu/databases/kddcup99/kddcup99.html.

[8] 張新有，曾華燊，賈磊.入侵檢測數(shù)據(jù)集KDD CUP99研究[J].Computer Engineering and Design.2010，31（22）：4810.