打開(kāi)文本圖片集
Application of HG AR-PNN Classifier in Network Intrusion Detection
摘要:人工神經(jīng)網(wǎng)絡(luò )(ANN)大大提高了入侵檢測系統的檢測性能����,但對于出現次數較少的攻擊���,ANN并不能提供令人滿(mǎn)意的穩定性和檢測率�����。提出了一種基于超圖Helly性質(zhì)和算術(shù)取余概率神經(jīng)網(wǎng)絡(luò )(HG AR-PNN)的入侵檢測新方法����。該方法利用超圖的Helly性質(zhì)選取最優(yōu)特征子集�,再對最優(yōu)特征子集進(jìn)行歸一化算術(shù)取余���,然后實(shí)現概率神經(jīng)網(wǎng)絡(luò )對數據集的訓練��。最后���,使用KDDCUP’99數據集進(jìn)行實(shí)驗��,并對HG AR-PNN算法的性能進(jìn)行評價(jià)�。實(shí)驗結果表明�����,對于不常出現的攻擊����,HG AR-PNN分類(lèi)器同樣有著(zhù)較好的穩定性和較高的分類(lèi)精度���。
Abstract: The learning model which is based on artificial neural network (ANN) can greatly improve the performance of intrusion detection system�, but to the less frequent attacks���, the ANN can not provide stability and satisfactory detection rate. A new intrusion detection method based on hypergraph Helly property and arithmetic residue probability neural network (HG AR-PNN) is proposed. This method uses hypergraph Helly property to select the best feature subset����, and then normalize the optimal feature subset with arithmetic residue�, after that�����, uses the PNN for training the data set. Finally���, experiments are carried out using KDDCUP "99 data set�����, and the performance of HG AR-PNN algorithm is evaluated. The experimental results show that HG AR-PNN classifier has better stability and higher classification accuracy for less frequent attacks.
關(guān)鍵詞:入侵檢測��;分類(lèi)器�����;概率神經(jīng)網(wǎng)絡(luò )���;超圖
Key words: intrusion detection�����;classifier�����;PNN�;hypergraph
中圖分類(lèi)號:TN915.08 文獻標識碼:A 文章編號:1006-4311(2018)15-0248-05
0 引言
隨著(zhù)計算機網(wǎng)絡(luò )應用技術(shù)的不斷發(fā)展��,網(wǎng)絡(luò )安全漏洞也發(fā)生著(zhù)巨大的變化����。由于新漏洞的復雜性����,傳統的安全機制(如用戶(hù)身份驗證�、加密等)已經(jīng)無(wú)法阻止惡意用戶(hù)對網(wǎng)絡(luò )系統的入侵���。在這種情況下�����,入侵檢測系統就成為了網(wǎng)絡(luò )安全系統中抵御入侵攻擊和異?���;顒?dòng)的第二道防線(xiàn)���。入侵就是試圖破壞計算機網(wǎng)絡(luò )系統的保密性���、完整性和可用性的行為�,而入侵檢測就是監測計算機系統或網(wǎng)絡(luò )中發(fā)生的事件�,分析它們是否有入侵的跡象���。一般來(lái)說(shuō)�,IDS可分為誤用入侵檢測和異常入侵檢測兩種�,誤用入侵檢測的性能取決于新的入侵模式的不斷更新��,而異常入侵檢測取決于決策[1]��。
由于網(wǎng)絡(luò )數據流量的龐大����,現有的入侵檢測系統都以基于統計規則的專(zhuān)家系統和機器學(xué)習等為發(fā)展方向��。在各種機器學(xué)習方法中��,人工神經(jīng)網(wǎng)絡(luò )(ANN)能夠成功地應用于IDS��,并且能夠獲得較好的分類(lèi)效果[2]�����。
現有基于人工神經(jīng)網(wǎng)絡(luò )的入侵檢測系統的缺點(diǎn)主要有:①由于數據集的不平衡性����,系統對不頻繁發(fā)生的入侵行為檢測率低����。②神經(jīng)網(wǎng)絡(luò )在高維數據集中會(huì )產(chǎn)生局部極小值��。為了克服這些問(wèn)題��,本文提出了基于超圖和算術(shù)取余概率神經(jīng)網(wǎng)絡(luò )(HG AR-PNN)的新方法����,該方法在增強了結構穩定性的同時(shí)��,也提高了IDS的檢測率�����。
1 相關(guān)工作
1.1 概率神經(jīng)網(wǎng)絡(luò )
概率神經(jīng)網(wǎng)絡(luò )(Probabilistic Neural Networks���,PNN)是由D. F. Specht在1990年提出的���。主要思想是用貝葉斯決策規則���,即錯誤分類(lèi)的期望風(fēng)險最小�,在多維輸入空間內分離決策空間���。它是一種基于統計原理的人工神經(jīng)網(wǎng)絡(luò )����,它是以Parzen窗口函數為激活函數的一種前饋網(wǎng)絡(luò )模型[3]���。PNN吸收了徑向基神經(jīng)網(wǎng)絡(luò )與經(jīng)典的概率密度估計原理的優(yōu)點(diǎn)��,與傳統的前饋神經(jīng)網(wǎng)絡(luò )相比�,在模式分類(lèi)方面尤其具有較為顯著(zhù)的優(yōu)勢���。
由貝葉斯決策理論:
其中���,xT是訓練輸入樣本�,x是未知分類(lèi)的樣本��,σ是平滑因子����。
③求和層�。
每個(gè)節點(diǎn)用(4)式計算樣本層輸入的總和值
其中C是類(lèi)的總數��。
④輸出層����。
輸出層中的節點(diǎn)通過(guò)貝葉斯策略決定每個(gè)輸入樣本x的類(lèi)��,訓練中需要選擇的主要因素是平滑因子σ�。
1.3 超圖
超圖是傳統圖形理論的推廣����,通過(guò)超圖可以將真實(shí)世界的實(shí)體之間的高階關(guān)系用直觀(guān)的方式表達出來(lái)��。從數學(xué)上講�����,超圖可以定義為H={X�����,E}���,其中�����,X={x1���,x2�����,…����,xn}為非空有限的頂點(diǎn)集合�����,E={E1�,E2�,…����,En}為X的非空子集�,稱(chēng)為超邊[4]���。下面給出了有關(guān)超圖和Helly性質(zhì)的基本定理���。
定理1 對于一個(gè)給定的超圖H={X�,E}�,超邊集合E����?哿X�,它是H的相交子集���,其中E不為空且E中的超邊兩兩相交����。
定理2 (Helly性質(zhì))給定一個(gè)超圖H�����,它的超邊為E1����,E2�,…���,En�,兩兩相交的超邊可以分為以下兩個(gè)情況:
①兩兩相交的超邊�,有共有的相交點(diǎn)����,如圖2所示�。兩兩相交的超邊{E1���,E2���,E3}����,頂點(diǎn)x3為共有相交點(diǎn)�,即E1∩E2∩E3=x3�����,則H具備Helly性質(zhì)�。
②兩兩相交的超邊����,沒(méi)有共有的相交點(diǎn)�,如圖3所示���。因為在兩兩相交的超邊{E1���,E2�,E3}中沒(méi)有共有的相交點(diǎn)��,即E1∩E2∩E3=����?準���,則H不具備Helly性質(zhì)�����。
2 基于超圖和算數取余的概率神經(jīng)網(wǎng)絡(luò )分類(lèi)器
本節討論基于超圖和算術(shù)取余的PNN算法在入侵檢測中的應用���。圖4描述了HG AR-PNN分類(lèi)器的工作流程���。
2.1 基于超圖的特征選擇技術(shù)
特征選擇技術(shù)的主要目標是減少特征的數量�,在去除數據冗余的同時(shí)����,提高分類(lèi)精度��。許多模式識別問(wèn)題使用文本�、光譜��、拓撲��、幾何和統計特征來(lái)訓練學(xué)習模型[5]��。在數據集數據不平衡的情況下���,冗余數據特征的存在����,增加了學(xué)習模型的泛化錯誤�。為了克服這個(gè)困難����,本文使用超圖來(lái)識別最小時(shí)間復雜度下的最優(yōu)特征子集�。本文提出的基于超圖的特征選擇算法分為兩個(gè)部分:①超圖的表示�;②Helly性質(zhì)的應用���。
算法1:基于超圖Helly性質(zhì)的特征選擇算法���。
輸入:
f={f1�����,f2�,…����,fm}//所給數據集的m個(gè)特征
s={s1����,s2���,…�����,sn}//所給數據集的n個(gè)樣本
c={c1����,c2�����,…����,ck}//所給數據集的k個(gè)類(lèi)
輸出:
fs最優(yōu)特征子集
算法:HG(f��,s��,c�����,fs)://利用歐式空間構建超邊
//利用Helly性質(zhì)選取最優(yōu)特征子集
在初始階段��,通過(guò)對各樣本的拓撲和幾何關(guān)系得到超圖的邊����,超圖中的超邊和頂點(diǎn)����,分別對應數據集中的樣本和特征���。本文用基于歐氏空間度量的最小距離算法來(lái)構建每個(gè)類(lèi)的邊�。
接下來(lái)����,以遞歸的方式將超圖的Helly性質(zhì)應用于相交的邊��,而不相交的邊所包含的特征將被忽視掉��。由于超圖Helly性質(zhì)的應用�����,最優(yōu)特征子集所產(chǎn)生的時(shí)間復雜度是最小的�。
2.2 基于算術(shù)取余概率神經(jīng)網(wǎng)絡(luò )的分類(lèi)器
一般來(lái)說(shuō)��,學(xué)習模型的工作效率取決于它能否對未知行為進(jìn)行高精度的分類(lèi)���。人工神經(jīng)網(wǎng)絡(luò )作為一種學(xué)習模型�����,它在許多數據分析應用中發(fā)揮著(zhù)重要作用���。人工神經(jīng)網(wǎng)絡(luò )在不斷改進(jìn)中得到進(jìn)化��,如前饋神經(jīng)網(wǎng)絡(luò )���、徑向基神經(jīng)網(wǎng)絡(luò )�、遞歸神經(jīng)網(wǎng)絡(luò )等�,它們在提高了檢測效率的同時(shí)也減少了訓練時(shí)間��,其中概率神經(jīng)網(wǎng)絡(luò )PNN將基于核的計算和RBF網(wǎng)絡(luò )集成到統一的框架中�����,由于沒(méi)有數據的交互��,它能夠快速的訓練學(xué)習�。在分類(lèi)過(guò)程中����,PNN將概率密度函數值和貝葉斯策略下最小期望風(fēng)險值疊加��。PNN在訓練數據集上對已標記數據的概率值進(jìn)行訓練操作�����,而在測試數據集上基于未知樣本對每個(gè)類(lèi)的最高估計概率對其進(jìn)行分類(lèi)操作��,然而對已標記數據的核函數計算是高度計算密集型的�。
對于現有的神經(jīng)網(wǎng)絡(luò )分類(lèi)器的不足�,本文提出了一種基于算術(shù)取余的PNN分類(lèi)器�����,算術(shù)取余的思想來(lái)源于群論中關(guān)于乘法模和加法模的兩個(gè)基本定理����,即n個(gè)數1�����,2����,…�,n的模相加或是相乘���,而這些在除法中得到的余數顯示了數字的物理特征����。據觀(guān)察�,利用算術(shù)取余進(jìn)行樣本訓練�����,明顯改善了PNN的分類(lèi)性能���。因此為更大程度地加強PNN性能����,首先利用基于超圖的特征選擇技術(shù)獲得最優(yōu)特征子集�����,再運用算術(shù)取余PNN訓練數據集��。
算法2:基于超圖和算數取余的概率神經(jīng)網(wǎng)絡(luò )算法�。
輸入:
類(lèi)的總數Tclass
訓練集樣本數Strain
特征向量fs
平滑因子σ
輸出:
測試樣本分類(lèi)結果Classify
HG AR-PNN分類(lèi)器算法過(guò)程如下:①初始化L�����,Sum��,Classify和ε�����。②在原始數據集中����,隨機選擇若干樣本作為訓練樣本集和測試樣本集����,并根據算法1���,在訓練樣本集中得到最優(yōu)特征子集���。③接下來(lái)�,測試數據集中樣本特征向量與訓練數據集中每個(gè)類(lèi)的樣本特征向量的乘積為P�,再對P應用平滑因子σ和指數因子exp進(jìn)行計算�����,然后再將P值求和���。④最后����,在決策層�����,P值最大者即為該測試樣本的分類(lèi)結果���。
3 實(shí)驗結果及討論
3.1 基準數據集
KDDCUP’99數據集是一個(gè)被用來(lái)作為實(shí)驗驗證的標準的不均衡網(wǎng)絡(luò )入侵數據集����。它由500萬(wàn)個(gè)網(wǎng)絡(luò )連接記錄組成����,每個(gè)記錄都有42個(gè)屬性���,其中41個(gè)屬性為基礎屬性����,如表1所示�,剩下的一個(gè)屬性為決策屬性����,即標記該條記錄是正?���;蚴枪纛?lèi)型����。除了正常數據外���,KDDCUP’99數據集共有22種類(lèi)型的攻擊�,它們分為四大類(lèi):DOS��,U2R�,R2L���,Probe��,如表2所示�����。KDDCUP’99數據集的各類(lèi)樣本分布是不均衡的�,如DOS攻擊是大量的�,而U2R�,R2L�����,Probe則相對較少[6][7]�。正是該數據集的不均衡性���,使它更適于本文所討論的問(wèn)題���。
3.2 實(shí)驗過(guò)程
本文在i5處理器����,Windows 7操作系統下���,運行MATLAB6.5實(shí)施算法HG AR-PNN�。實(shí)驗分為三個(gè)階段:①數據預處理����;②訓練樣本集和測試樣本集的準備�����;③結果評價(jià)�����。
在初始階段���,由于KDDCUP’99數據集是十分龐大的��,因此���,我們隨機從中選取訓練樣本和測試樣本�����。本文選取的訓練樣本數和測試樣本數如表3所示���。
在接下來(lái)的階段���,我們先對樣本中的字符型屬性轉化為整數型屬性�����,再將每個(gè)樣本的41條基礎屬性做歸一化處理�,即���。最后��,將HG AR-PNN的分類(lèi)性能與已有的分類(lèi)器(如隨機森林���、貝葉斯���、MLPNN���、BPNN等)進(jìn)行比較����,評價(jià)標準如下:
TP:表示實(shí)際上是攻擊����,且被分類(lèi)器正確識別為攻擊的樣本數����。
TN:表示實(shí)際上是正常��,且被分類(lèi)器正確識別為正常的樣本數���。
FP:表示實(shí)際上是攻擊�,而被分類(lèi)器錯誤識別為正常的樣本數���。
FN:表示實(shí)際上是正常���,而被分類(lèi)器錯誤識別為攻擊的樣本數���。
檢測率:
誤警率:
準確率:
除了這些評價(jià)標準外�,穩定性也被認為是評價(jià)IDS性能的重要標準之一[8]����,HG AR-PNN分類(lèi)器的穩定性是通過(guò)訓練成功的樣本比例決定的�����。
穩定性=
3.3 實(shí)驗結果及討論
本文對基于超圖的特征選擇技術(shù)得到的特征向量歸一化算數取余處理�����,并用處理后的特征向量訓練PNN分類(lèi)器�����,最后��,將HG AR-PNN與現有分類(lèi)器的分類(lèi)性能進(jìn)行了比較��,如表4所示����。
從實(shí)驗結果分析����,對于常見(jiàn)樣本來(lái)說(shuō)����,HG AR-PNN的性能與現有的其他分類(lèi)器是類(lèi)似的�����,如正常樣本���、DOS�����、Probe等�。而對于出現不頻繁的攻擊���,如U2R�����、R2L等��,HG AR-PNN的檢測率和準確率都高于其他分類(lèi)器��,而誤警率也明顯偏低�����。HG AR-PNN不僅能夠更好地辨別特征之間的差異����,還能為小樣本數據提供良好的分類(lèi)性能����。綜上所述����,超圖的Helly性質(zhì)和對最優(yōu)特征子集進(jìn)行算數取余能夠提高PNN的分類(lèi)性能���,且對高維不平衡數據集依然有著(zhù)良好的分類(lèi)效果�����。
另外���,HG AR-PNN在訓練時(shí)間和穩定性方面也優(yōu)于其他分類(lèi)器�����,從表可知���,HG AR-PNN的穩定性高于現有的神經(jīng)網(wǎng)絡(luò )分類(lèi)器����,雖然HG AR-PNN的訓練時(shí)間比一些分類(lèi)器的訓練時(shí)間要長(cháng)����,但在現有的神經(jīng)網(wǎng)絡(luò )分類(lèi)器中卻是訓練時(shí)間最少的�����。因此����,本文提出的HG AR-PNN分類(lèi)器在保證良好的分類(lèi)精度的前提下����,有效地降低了時(shí)間復雜度和空間復雜度�����。
4 結論
隨著(zhù)網(wǎng)絡(luò )技術(shù)的迅速發(fā)展��,網(wǎng)絡(luò )信息安全成為一個(gè)極具挑戰性的研究領(lǐng)域����。IDS作為網(wǎng)絡(luò )防御的一個(gè)重要角色���,它對網(wǎng)絡(luò )中流量進(jìn)行實(shí)時(shí)監視�����,以識別各種網(wǎng)絡(luò )安全漏洞���。隨著(zhù)機器學(xué)習技術(shù)的出現�,智能化和魯棒性IDS的研究不斷發(fā)展��,而學(xué)習模型的性能取決于數據集的性質(zhì)和學(xué)習體系結構的穩定性��。本文提出了基于超圖Helly性質(zhì)和算數取余概率神經(jīng)網(wǎng)絡(luò )的入侵檢測分類(lèi)器模型�。實(shí)驗表明����,HG AR-PNN相比現有分類(lèi)器的優(yōu)勢在于它擁有較高的穩定性�����,且對小樣本攻擊數據依然有較高的檢測率���、準確率和較低的誤警率���。
參考文獻:
[1]曹元大.入侵檢測技術(shù)[M].北京:人民郵電出版社�,2007.
[2]郭春.基于數據挖掘的網(wǎng)絡(luò )入侵檢測關(guān)鍵技術(shù)研究[D].北京:北京郵電大學(xué)�,2014.
[3]沈夏炯��,王龍���,韓道軍.人工蜂群優(yōu)化的BP神經(jīng)網(wǎng)絡(luò )在入侵檢測中的應用[J].計算機工程��,2016(02).
[4]王超杰.超圖理論算法研究及其在圖像分類(lèi)中的應用[D].廈門(mén):廈門(mén)大學(xué)��,2014.
[5]SH Kang�����,KJ Kim.A feature selection approach to find optimal feature subsets for the network intrusion detection system[J].Cluster Computing�����,2016�,19(1):1-9.
[6]呂銀均.基于數據挖掘的入侵檢測系統研究與實(shí)現[D].杭州:浙江工業(yè)大學(xué)���,2014.
[7]王翔����,胡學(xué)鋼.高維小樣本分類(lèi)問(wèn)題中特征選擇研究綜述[J].計算機應用��,2017(09).
[8]MAM Hasan��,M Nasser��,B Pal����,S Ahmad.Support Vector Machine and Random Forest Modeling for Intrusion Detection System (IDS)[J].Journal of Intelligent Learning Systems & Applications���,2014����,6(1):45-52.
