王雪麗

(宿州學院 信息工程學院,安徽 宿州,234000)

一種基于Elman改進的網(wǎng)絡入侵檢測算法

王雪麗

(宿州學院 信息工程學院,安徽 宿州,234000)

為了解決Elman神經(jīng)網(wǎng)絡預測入侵信息存在局部反饋、學習能力弱等問題,研究利用改進的Elman算法提高網(wǎng)絡入侵檢測的準確度。實驗結果顯示,與Elman算法和BP神經(jīng)網(wǎng)絡算法相比,改進的Elman算法預測準確度能提高5%。

神經(jīng)網(wǎng)絡;入侵檢測;RBF網(wǎng)絡;Elman

隨著“互聯(lián)網(wǎng)+”時代的到來,網(wǎng)絡應用面臨的安全威脅也越來越多。入侵檢測技術可以實時地采集、分析網(wǎng)絡中的流量信息,從中發(fā)現(xiàn)病毒、木馬和黑客攻擊的特征,及時啟動防御系統(tǒng)[1–3]。入侵檢測作為一個主動防御技術,將其部署于網(wǎng)絡安全防御系統(tǒng)的第1層,可以積極地對系統(tǒng)進行防御。但是,當前網(wǎng)絡安全防御面臨著數(shù)據(jù)流量大、攻擊力度強、傳播范圍廣等問題,因此亟需改進防御模式,提高數(shù)據(jù)處理速度。屈洪春[4]提出了一種先進的數(shù)據(jù)挖掘算法,該算法提供了一個良好的安全防御操作平臺;岳頎等[5]基于改進PSO算法的Elman網(wǎng)絡辨識系統(tǒng),能夠提高網(wǎng)絡安全的防御操作性能。RBF網(wǎng)絡是一種采用徑向基函數(shù)的神經(jīng)網(wǎng)絡,徑向基函數(shù)可以作為隱藏層單元存在,對輸入矢量進行一次變換,實現(xiàn)低維數(shù)據(jù)轉換為高維數(shù)據(jù)[6]。RBF網(wǎng)絡[7–8]能夠逼近任意的非線性函數(shù),處理系統(tǒng)內難以解析的規(guī)律性內容,同時也具有良好的泛化能力,學習收斂速度非?？?已經(jīng)在信息處理、圖像處理、故障診斷、數(shù)據(jù)分類等領域得到廣泛應用。Elman網(wǎng)絡是一個具有局部記憶單元和局部反饋連接的遞歸神經(jīng)網(wǎng)絡,擁有多層前向網(wǎng)絡,主要結構包括輸入層、隱含層、輸出層,連接權可以通過學習進行修正。反饋連接可以由一組結構單元構成,可以記憶前一時刻的輸出值,由于連接權值是固定的,因此關聯(lián)層可以作為一個特別的隱含層存在,接收反饋信號[9]。本文利用改進的Elman算法提高網(wǎng)絡入侵檢測的準確度。

1 改進的Elman神經(jīng)網(wǎng)絡算法設計

由于Elman神經(jīng)網(wǎng)絡學習能力較弱,局部網(wǎng)絡具有反饋特性,本文引入RBF網(wǎng)絡和ART技術(自適應共振理論),將Elman神經(jīng)網(wǎng)絡劃分為2個關鍵的子系統(tǒng),即注意子系統(tǒng)和調整子系統(tǒng)。算法可通過2

個子系統(tǒng)和控制機制之間的交互作用處理事件。算法模型如圖1所示。

圖1 基于自我學習機制的Elman神經(jīng)網(wǎng)絡算法

圖1中,F1為神經(jīng)網(wǎng)絡的隱含層,F2為神經(jīng)網(wǎng)絡的輸出層。調整子系統(tǒng)由A和STM重置波通道組成,STM為神經(jīng)元的激活值,即由S函數(shù)經(jīng)過處理的輸出值,LTM為指權系數(shù)。神經(jīng)網(wǎng)絡引入自我學習機制,具有自歸一能力,能夠在不穩(wěn)定的網(wǎng)絡環(huán)境下實時學習,識別學習對象,構建一個新的輸出方式。改進的Elman神經(jīng)網(wǎng)絡采用競爭機制在F2中構建一個編碼,這個編碼與輸入模式一一對應,利用編碼實現(xiàn)輸入模式學習,獲取一個最佳權系數(shù)。神經(jīng)網(wǎng)絡算法包括從F1到F2,和從F2到F1的2個權系數(shù)的學習過程。本文為了驗證算法的有效性,采用自下而上的權系數(shù)學習算法。F1到F2的學習方向又被稱為自下而上權系數(shù)學習模式。F1網(wǎng)絡中的神經(jīng)元可以使用Ni描述,F2網(wǎng)絡中的神經(jīng)元可以使用Nj描述,F1中的神經(jīng)元Ni到F2的神經(jīng)元Nj的權系數(shù)用Wij描述,并且在學習時,權系數(shù)Wij可以使用下式描述:

式(1)中:f(xj)描述神經(jīng)元Nj到F1的輸出信號;h(xj)描述神經(jīng)元Ni到F2的輸出信號;Eij和ki表示相關的參數(shù),且

將式(2)代入式(1),則權系數(shù)Wij的微分方程為

2 實驗結果分析

2.1 實驗數(shù)據(jù)

為了能夠驗證改進的Elman算法運行效果,本文采用VisualStudio集成開發(fā)環(huán)境實現(xiàn)算法,并與BP神經(jīng)網(wǎng)絡算法、支持向量機(SVM)算法進行對比。同時從360網(wǎng)絡安全公司發(fā)布的網(wǎng)絡入侵攻擊數(shù)據(jù)集中提出了5個類型的數(shù)據(jù),這些數(shù)據(jù)分別是Glacier、NetSpy、KeyboardGhost、ExeBind和BO2000。BO2000是一種能夠利用多個網(wǎng)絡協(xié)議進行入侵攻擊的木馬病毒,其可以定期搜集信息,重新設置機器;KeyboardGhost是一個鍵盤幽靈,其可以記錄鍵盤輸入的郵箱賬號、用戶密碼、銀行賬戶等信息,將這些信息發(fā)送至服務器,并在系統(tǒng)根目錄下生成一文件名為KG.DAT的隱含文件;NetSpy可以通過沒有權限控制的FTP服務器下載、上傳病毒,執(zhí)行入侵破壞操作;Glacier可以自動地跟蹤計算機賬戶登錄的用戶名和密碼,獲取計算機的操作權限;ExeBind是一個捆綁入侵攻擊木馬,能夠分割服務器中保存的文件。從每種入侵攻擊中選擇2 000條攻擊數(shù)據(jù),每次測試使用5 000條,以便能夠更好擬合Elman網(wǎng)絡。

2.2 評價指標

網(wǎng)絡入侵檢測算法常用的評價指標很多,比如漏檢率、誤報率、準確度等,本文重點從準確度和誤報率2個方面評價算法是否具有較好的檢測效果。入侵檢測的準確度可以定義為:如果入侵攻擊的樣本總數(shù)為M條,檢測到的入侵攻擊樣本數(shù)為N條,則準確度用N/M計算。誤報率是指將正常的數(shù)據(jù)劃分到了入侵攻擊樣本中,如果正常的網(wǎng)絡信息流是P,將Q條信息劃分為入侵攻擊樣本,此時算法的誤報率就是Q/P。

2.3 實驗結果分析

算法實驗在Windows主機上進行,CPU主頻為2.8 GHz,內存為4 GB。Elman神經(jīng)網(wǎng)絡的參數(shù)為3層,權系數(shù)設置為0.23。3種入侵檢測算法檢測率結果見表1。由表1可知,與BP神經(jīng)網(wǎng)絡算法[10]、支持向量機(SVM)算法相比,本文算法在5種入侵攻擊數(shù)據(jù)集上均具有較好的檢測效果,尤其是在NetSpy入侵攻擊檢測中,能夠成功檢測出99.2%的攻擊行為。檢測率高于BP神經(jīng)網(wǎng)絡算法4.5%,高于Elman神經(jīng)網(wǎng)絡算法2.9%。在5種網(wǎng)絡入侵攻擊數(shù)據(jù)實驗結果中,支持向量機算法的誤報率(表2)最高,其次是BP神經(jīng)網(wǎng)絡,本文算法的誤報率最低。表2數(shù)據(jù)顯示,改進的Elman算法的誤報率遠低于BP神經(jīng)網(wǎng)絡算法和支持向量機算法。

表1 3種入侵檢測算法檢測率結果 /%

表2 3種入侵檢測算法誤報率結果 /%

3 小結

通過對網(wǎng)絡入侵檢測的準確度和誤報率進行分析,改進的Elman入侵檢測算法與BP神經(jīng)網(wǎng)絡算法、支持向量機(SVM)算法相比,能夠快速、準確地從大量的網(wǎng)絡數(shù)據(jù)中發(fā)現(xiàn)攻擊行為。

[1] 董超,周剛,劉玉嬌,等. 基于改進的Adaboost算法在網(wǎng)絡入侵檢測中的應用[J]. 四川大學學報(自然科學版),2015,52(6):1 225–1 229.

[2] 劉緒崇,陸紹飛,趙薇,等. 基于改進模糊C均值聚類算法的云計算入侵檢測方法[J]. 中南大學學報(自然科學版),2016,47(7):2 320–2 325.

[3] 張永良,張智勤,吳鴻韜,等. 基于改進卷積神經(jīng)網(wǎng)絡的周界入侵檢測方法[J]. 計算機科學,2017,44(3):182–186.

[4] 屈洪春,王帥. 一種基于進化神經(jīng)網(wǎng)絡的混合入侵檢測模型[J]. 計算機科學,2016,43(z1):335–338.

[5] 岳頎. 基于改進PSO算法的Elman網(wǎng)絡系統(tǒng)辨識[J]. 自動化與儀器儀表,2015(8):201–203.

[6] 李成,于永斌,王舜燕,等. 基于BP和WTA神經(jīng)網(wǎng)絡的滾動軸承故障診斷方法研究[J]. 計算機與數(shù)字工程,2017,45(2):291–298.

[7] 陳旻,王開云,賈學明,等. Context模型奇異測度及其在量化中的應用[J]. 昆明學院學報,2015,37(3):105–109.

[8] 肖林,嚴慧玲,周文輝. 求解二次規(guī)劃問題的快速收斂梯度神經(jīng)網(wǎng)絡模型設計及仿真[J]. 湖南文理學院學報(自然科學版),2016,28(1):51–54,59.

[9] 申浩如,王付艷,邱莎. 網(wǎng)絡協(xié)議嗅探資源庫的建構初探[J]. 昆明學院學報,2010,32(3):79–81.

[10] 李龍,魏靖,黎燦兵,等. 基于人工神經(jīng)網(wǎng)絡的負荷模型預測[J]. 電工技術學報,2015,30(8):225–230.

Research on network intrusion detection algorithm based on improved Elman

Wang Xueli
(School of Information Engineering,Suzhou University,Suzhou 234000,China)

To overcome the questions such as partial feedback and weak study ability,RBF neural network and ART adaptive resonance theory are used to improve the accuracy of network intrusion detection. The experimental results show that compared with Elman neural network and BP neural network,the improved Elman network prediction accuracy can be improved by 5%.

neural network;intrusion detection;RBF network;Elman

TP 393

A

1672–6146(2017)04–0031–03

10.3969/j.issn.1672–6146.2017.04.008

王雪麗,1519595707@qq.com。

2017–06–08

宿州學院產(chǎn)學研項目(2015HX023);安徽省大學生創(chuàng)新創(chuàng)業(yè)訓練計劃(201510379131)。

(責任編校:劉剛毅)