基于徑向基函數(shù)神經(jīng)網(wǎng)絡的入侵檢測系統(tǒng)設計與研究

摘要：本研究設計并實現(xiàn)了一個基于徑向基函數(shù)神經(jīng)網(wǎng)絡的計算機網(wǎng)絡入侵檢測系統(tǒng)。通過提取網(wǎng)絡流量特征并利用徑向基函數(shù)（RBF）神經(jīng)網(wǎng)絡的非線性映射與自適應學習能力，系統(tǒng)能夠高效檢測已知與未知入侵行為。實驗結果表明，該系統(tǒng)在不同網(wǎng)絡負載下表現(xiàn)穩(wěn)定，檢測準確率較高，尤其在自適應學習后的性能顯著提升。

關鍵詞：入侵檢測系統(tǒng)；徑向基函數(shù)；神經(jīng)網(wǎng)絡

引言

隨著互聯(lián)網(wǎng)的快速發(fā)展，網(wǎng)絡安全問題日益嚴峻。計算機網(wǎng)絡面臨各種入侵威脅，傳統(tǒng)的入侵檢測方法已難以應對日新月異的攻擊手段。在此背景下，本文提出一種基于徑向基函數(shù)（RBF）神經(jīng)網(wǎng)絡的計算機網(wǎng)絡入侵檢測系統(tǒng)，為構建安全可靠的網(wǎng)絡空間提供新思路[1]。

1. 徑向基函數(shù)神經(jīng)網(wǎng)絡理論基礎

徑向基函數(shù)（RBF）神經(jīng)網(wǎng)絡是一種強大的前饋型人工神經(jīng)網(wǎng)絡，由輸入層、隱含層和輸出層構成，其中隱含層由若干徑向基函數(shù)構成。RBF神經(jīng)網(wǎng)絡利用徑向基函數(shù)作為激活函數(shù)，通過非線性變換將輸入空間映射到高維特征空間。典型的徑向基函數(shù)有高斯函數(shù)、多二次函數(shù)等[2]。RBF神經(jīng)網(wǎng)絡通過調整隱含層神經(jīng)元的中心、寬度和輸出層權重，可以逼近任意連續(xù)函數(shù)。這種網(wǎng)絡結構簡單，訓練速度快，且具有良好的局部近似能力和分類性能。例如，在模式分類任務中，RBF神經(jīng)網(wǎng)絡可以通過設置合適的隱含層神經(jīng)元數(shù)量和寬度參數(shù)，實現(xiàn)對高維非線性可分數(shù)據(jù)的有效分類。

2. 基于徑向基函數(shù)神經(jīng)網(wǎng)絡的計算機網(wǎng)絡入侵檢測系統(tǒng)設計

2.1 系統(tǒng)架構與工作流程

系統(tǒng)采取模塊化架構，如圖1所示，首先從網(wǎng)絡流量中提取關鍵特征，如連接持續(xù)時間、協(xié)議類型、傳輸字節(jié)數(shù)等。然后，這些特征被輸入預先訓練好的RBF神經(jīng)網(wǎng)絡中。RBF神經(jīng)網(wǎng)絡利用其非線性映射能力，將輸入特征映射到高維空間，并計算它們與存儲的模式之間的相似度。網(wǎng)絡的輸出表示檢測到入侵的概率。如果這個概率超過預設閾值，系統(tǒng)就會觸發(fā)警報，標記該網(wǎng)絡活動為潛在入侵。同時，系統(tǒng)會持續(xù)學習新的攻擊模式，通過定期用最新的正常和異常網(wǎng)絡行為數(shù)據(jù)更新RBF神經(jīng)網(wǎng)絡的權重和中心矢量，來適應不斷演化的網(wǎng)絡威脅。

2.2 系統(tǒng)功能模塊設計

2.2.1 網(wǎng)絡流量特征提取模塊

本系統(tǒng)的網(wǎng)絡流量特征提取模塊采用高性能網(wǎng)絡分組捕獲引擎，配合基于FPGA的硬件加速單元，實現(xiàn)了對網(wǎng)絡流量的實時處理與特征提取。模塊中的數(shù)據(jù)包解析器支持多達128種網(wǎng)絡協(xié)議，覆蓋了當前主流網(wǎng)絡環(huán)境下的通信標準。同時，該模塊還集成了基于熵的異常檢測算法，通過計算網(wǎng)絡流量的信息熵變化，快速識別潛在的入侵行為[3-4]。

在特征提取過程中，該模塊采用了改進的完全公平調度（correlation-based feature selection，CFS）算法。設特征集合為F={f1，f2，...，fn}，類別標簽為C。CFS算法旨在尋找一個特征子集，使得S中特征與類別標簽的平均相關性最大化，而特征之間的平均相關性最小化。數(shù)學上，CFS算法的評估函數(shù)可表示為

其中，k為特征子集S的大小，為S中特征與類別標簽的平均相關性，為S中特征之間的平均相關性。通過最大化Merits，可以選出最具代表性且冗余度最低的特征子集。在實際應用中，該算法能夠從海量網(wǎng)絡流量中快速提取出對入侵檢測最有價值的特征，如連接持續(xù)時間、平均包長度、協(xié)議類型分布等，為后續(xù)的RBF神經(jīng)網(wǎng)絡檢測奠定基礎[5]。提取出的特征數(shù)據(jù)通過高速內存總線傳輸至特征輸入與預處理模塊，進行標準化處理與格式轉換，最終輸入到RBF神經(jīng)網(wǎng)絡中進行入侵判別。

2.2.2 特征輸入與預處理模塊

特征輸入與預處理模塊接收來自網(wǎng)絡流量特征提取模塊的原始特征數(shù)據(jù)，并對其進行標準化處理與格式轉換，為后續(xù)的RBF神經(jīng)網(wǎng)絡檢測做好準備。該模塊采用高性能實時數(shù)據(jù)庫Redis作為特征數(shù)據(jù)的緩存，利用其高速讀寫能力實現(xiàn)特征數(shù)據(jù)的快速存取。同時，模塊中還集成了基于CUDA的GPU并行計算單元，用于加速特征數(shù)據(jù)的標準化處理[6-7]。

在預處理階段，該模塊首先對原始特征數(shù)據(jù)進行歸一化處理，將不同量綱的特征映射到統(tǒng)一的尺度空間。設第i個特征的原始值為xi，歸一化后的值為x'i，則歸一化公式為

其中，min（xi）和max（xi）分別表示第i個特征的最小值和最大值。歸一化處理可以消除特征量綱差異對后續(xù)檢測性能的影響。接下來，模塊采用One-Hot編碼技術對離散型特征（如協(xié)議類型）進行編碼，將其轉換為RBF神經(jīng)網(wǎng)絡易于處理的數(shù)值型特征。例如，對于協(xié)議類型特征，TCP編碼為[1，0，0]，UDP編碼為[0，1，0]，ICMP編碼為[0，0，1]。最后，預處理后的特征數(shù)據(jù)按照預定義的格式打包，通過高速傳輸通道（如InfiniBand）發(fā)送至RBF神經(jīng)網(wǎng)絡檢測模塊，實現(xiàn)了特征數(shù)據(jù)從提取到檢測的無縫銜接[8-9]。

2.2.3 RBF神經(jīng)網(wǎng)絡檢測模塊

RBF神經(jīng)網(wǎng)絡檢測模塊負責對輸入特征進行分析，實現(xiàn)對網(wǎng)絡入侵行為的實時識別與告警。該模塊基于高性能計算集群搭建，采用主從架構，由1個主節(jié)點和多個從節(jié)點組成。每個節(jié)點配備2路Intel Xeon Platinum 8180處理器（28核，2.5GHz）和4塊NVIDIA Tesla V100顯卡，提供了很強的并行計算能力。節(jié)點之間通過萬兆以太網(wǎng)互聯(lián)，保證了數(shù)據(jù)傳輸?shù)牡蜁r延與高帶寬。

本模塊采用改進的RBF神經(jīng)網(wǎng)絡算法進行入侵檢測。傳統(tǒng)RBF網(wǎng)絡的輸出為

其中，φ為徑向基函數(shù)，wi為第i個隱含層神經(jīng)元的權重，ci為第i個隱含層神經(jīng)元的中心矢量，h為隱含層神經(jīng)元數(shù)。為了提高檢測精度，本文引入正則化項，構建出如下目標函數(shù)，即

其中，為訓練樣本，λ為正則化系數(shù)。通過最小化E（W），可以得到最優(yōu)權重矩陣W。在確定網(wǎng)絡結構后（如隱含層神經(jīng)元數(shù)h=100），采用梯度下降法對權重矩陣W進行迭代優(yōu)化，每次迭代的權重更新量為

其中，η為學習率。訓練完成后，RBF神經(jīng)網(wǎng)絡能夠對輸入特征進行快速判別，輸出表示入侵概率的警報指標。當警報指標超過預設閾值時，系統(tǒng)立即觸發(fā)告警，并將相關數(shù)據(jù)打包發(fā)送至安全管理中心，以便管理員及時采取應對措施。

2.2.4 自適應學習模塊

自適應學習模塊通過持續(xù)監(jiān)控網(wǎng)絡行為，動態(tài)更新RBF神經(jīng)網(wǎng)絡的參數(shù)，使系統(tǒng)能夠適應不斷變化的威脅環(huán)境。該模塊采用分布式部署方式，在多個網(wǎng)絡節(jié)點上收集實時流量數(shù)據(jù)，并定期將數(shù)據(jù)匯總到中央服務器進行分析。中央服務器采用Dell PowerEdge R940架構，配備4路Intel Xeon Gold 6148處理器（20核，2.4GHz）和2TB內存，為大規(guī)模數(shù)據(jù)處理提供了充足的計算資源[10]。

本模塊采用改進的AdaBoost算法實現(xiàn)自適應學習。與傳統(tǒng)AdaBoost算法不同，本文將RBF神經(jīng)網(wǎng)絡作為弱分類器，并引入遺忘因子來適應概念漂移，即網(wǎng)絡行為的動態(tài)變化。在每輪迭代后，通過加權平均更新RBF神經(jīng)網(wǎng)絡的參數(shù)，即

其中，θ't為本輪訓練得到的參數(shù)，參數(shù)λ控制舊知識的保留程度。通過自適應學習，本模塊能夠從海量網(wǎng)絡流量中持續(xù)挖掘出新的入侵模式，并實時調整RBF神經(jīng)網(wǎng)絡的決策邊界，從而準確識別出未知的入侵行為。學習過程產(chǎn)生的模型更新數(shù)據(jù)通過加密通道傳輸?shù)絉BF神經(jīng)網(wǎng)絡檢測模塊，指導下一階段的入侵檢測任務，構成了一個完整的閉環(huán)反饋系統(tǒng)。

3. 系統(tǒng)應用案例分析

3.1 實驗方案

為驗證基于RBF神經(jīng)網(wǎng)絡的計算機網(wǎng)絡入侵檢測系統(tǒng)的實際應用效果，本研究在西安市長安區(qū)教育考試院內網(wǎng)環(huán)境中進行了為期30天的實驗。實驗采用Dell PowerEdge R740服務器（配置：2×Intel Xeon Gold 6248R CPU，384GB RAM，4×NVIDIA Tesla T4 GPU）作為系統(tǒng)主機，使用Wireshark v3.4.3進行網(wǎng)絡流量捕獲，每秒采樣率為1萬個數(shù)據(jù)包。實驗數(shù)據(jù)集包含正常流量和模擬攻擊流量，其中，模擬攻擊涵蓋DDoS、SQL注入、跨站腳本（XSS）等多種類型，攻擊流量占比為5%。RBF神經(jīng)網(wǎng)絡采用高斯核函數(shù)，隱層節(jié)點數(shù)設置為150，學習率η初始值為0.01，采用Adam優(yōu)化器進行參數(shù)更新。系統(tǒng)性能評價指標包括檢測準確率（accuracy）、誤報率（1 positive rate， FPR）、漏報率（1 negative rate， FNR）和F1分數(shù)。此外，還測試了系統(tǒng)在不同網(wǎng)絡負載（50Mbps～1Gbps）下的平均響應時間和CPU利用率。實驗過程中，每7天對RBF神經(jīng)網(wǎng)絡進行一次自適應學習，遺忘因子λ設為0.85。通過對比分析不同參數(shù)配置下的系統(tǒng)性能，評估該入侵檢測系統(tǒng)的實用性和可擴展性。

3.2 結果分析

實驗結果如表1和表2所示。表1展示了系統(tǒng)在不同網(wǎng)絡負載下的性能指標，表2顯示了自適應學習對系統(tǒng)性能的影響。

從表1可以看出，隨著網(wǎng)絡負載的增加，系統(tǒng)的檢測準確率略有下降，但在1Gbps的高負載下仍能保持96.5%的準確率，表現(xiàn)出良好的穩(wěn)定性。值得注意的是，當網(wǎng)絡負載從500Mbps增加到1Gbps時，平均響應時間從12.3ms上升到24.7ms，增幅達101%，而CPU利用率則從62%躍升至88%，這表明系統(tǒng)在處理高流量時可能面臨性能瓶頸。

表2數(shù)據(jù)顯示，通過自適應學習，系統(tǒng)性能得到顯著提升。在28天的實驗周期內，檢測準確率從初始的95.3%提高到99.3%，誤報率和漏報率分別從2.1%和2.6%降低到0.4%和0.3%。特別是在前14天，性能提升最為明顯，這說明系統(tǒng)能夠快速適應新的網(wǎng)絡行為模式。F1分數(shù)的持續(xù)上升（從0.953到0.993）進一步證實了系統(tǒng)在平衡精確度和召回率方面的優(yōu)越性。

總體而言，實驗結果表明該基于RBF神經(jīng)網(wǎng)絡的入侵檢測系統(tǒng)具有較高的檢測準確性和良好的自適應能力，能夠有效應對復雜多變的網(wǎng)絡環(huán)境。

結語

本文通過設計基于RBF神經(jīng)網(wǎng)絡的計算機網(wǎng)絡入侵檢測系統(tǒng)，實現(xiàn)了對網(wǎng)絡入侵行為的高效識別與自適應學習。實驗表明，該系統(tǒng)在準確性和實時性方面具有較好的表現(xiàn)，特別是在自適應學習機制的幫助下，能夠有效應對動態(tài)變化的網(wǎng)絡威脅。未來工作可以專注于系統(tǒng)在高網(wǎng)絡負載下的性能優(yōu)化，并探索更多的特征提取方法，以進一步提高系統(tǒng)的檢測精度和處理效率。

參考文獻：

[1]竇真蘭，張春雁，許一洲，等.基于多變量相空間重構和徑向基函數(shù)神經(jīng)網(wǎng)絡的綜合能源系統(tǒng)電冷熱超短期負荷預測[J].電網(wǎng)技術，2024，48（1）：121-128.

[2]張凱緣，李思睿.基于改進徑向基函數(shù)神經(jīng)網(wǎng)絡的圖像識別系統(tǒng)設計研究[J].信息記錄材料，2024，25（10）：79-81.

[3]劉泓杉，劉慧博.基于徑向基函數(shù)神經(jīng)網(wǎng)絡的永磁同步電機轉速自適應控制策略[J].電子器件，2023，46（6）：1552-1560.

[4]王昭昳，張濤，楊濱，等.基于徑向基函數(shù)神經(jīng)網(wǎng)絡的腦損傷電阻抗成像仿真研究[J].中國醫(yī)學裝備，2023，20（3）：1-5.

[5]白世展，李文勝，林海軍，等.基于徑向基函數(shù)神經(jīng)網(wǎng)絡的肺部加權頻差電阻抗成像方法[J].生物化學與生物物理進展，2023，50（7）：1755-1766.

[6]姚宇，方忠強，張坤，等.基于優(yōu)化RBF神經(jīng)網(wǎng)絡在電能質量擾動分類中的應用[J].現(xiàn)代建筑電氣，2024，15（4）：28-35.

[7]張鑫，李婉婷，陳巖，等.基于遞歸神經(jīng)網(wǎng)絡的人體下肢運動意圖識別方法[J].機器人外科學雜志（中英文），2024，5（2）：121-129，110.

[8]孫非，曹宇赫，崔特，等.基于權重自適應更新徑向基函數(shù)神經(jīng)網(wǎng)絡的水下游動機械臂鎮(zhèn)定控制[J].電子測量與儀器學報，2024，38（4）：1-8.

[9]張帥軍，劉衛(wèi)東，李樂，等.基于RBF神經(jīng)網(wǎng)絡補償?shù)腞OV運動控制算法[J].水下無人系統(tǒng)學報，2024，32（2）：311-319.

[10]歐陽晨，李璟璟.基于神經(jīng)網(wǎng)絡的自主水下航行器滑?？刂品椒╗J].科學技術創(chuàng)新，2024（7）：96-99.

作者簡介：李琦靜，碩士研究生，助教，wonderli6317@163.com，研究方向：計算機網(wǎng)絡安全。