基於SOM神經網路模型的網路入侵檢測方法研究

基於神經網路的入侵檢測系統有著很多傳統的入侵檢測技術所無法比擬的優越性，深入研究適合於網路入侵檢測的神經網路模型是一具有研究意義和廣闊套用前景的課題。本項目在分析無監督SOM神經網路的特點及其套用於網路入侵檢測的優勢的基礎上，針對現有基於SOM神經網路的入侵檢測研究中存在的檢測率低、系統整體穩定性和適應性差等問題，通過改進SOM神經網路模型並將其套用於網路入侵檢測系統中，研究和探討基於SOM神經網路模型的入侵檢測新方法，以增強入侵檢測系統的檢測率、穩定性、適應性、高效性，提高入侵檢測系統的智慧型性；通過對網路流早期特徵的研究，提出支持早期入侵檢測的新方法，改善基於神經網路模型的入侵檢測系統的實時性。在對以上關鍵技術進行研究並得出若干有效的入侵檢測模型和方法的基礎上，本項目還在實驗網路環境中設計並實現入侵檢測原型系統。本項目的研究成果將對推動網路入侵檢測技術的發展和套用具有重要意義。

入侵檢測系統是信息安全綜合防禦系統的重要組成部分。基於神經網路的入侵檢測系統有著很多傳統的入侵檢測技術無法比擬的優越性，深入研究適合於網路入侵檢測的神經網路模型是一具有研究意義和廣闊套用前景的課題。本項目針對網路入侵檢測套用，對SOM神經網路模型進行了深入研究。從不同角度，系統化地改進SOM神經模型，研究基於SOM神經網路模型的智慧型化入侵檢測新方法及其套用技術。在構建自學習、高檢測率、動態自適應、實時性入侵檢測模型和方法等關鍵技術上有所突破，提出了若干具有自主智慧財產權的入侵檢測新方法，獲得一批具有國內領先、國際先進水平的創新研究成果，共發表（包括已錄用）學術論文15篇，其中SCI/EI共11篇（包括Grid and Utility Computing國際期刊1篇，計算機學報、通信學報、計算機研究與發展等國內一級期刊6篇，IFIP NPC 2011和IEEE WAINA 2012等重要國際會議4篇）；申請國家發明專利5項，其中3項專利已得到授權；培養6名碩士研究生，形成相關的學位論文共6篇。重要研究成果包括：（1）對SOM神經網路模型和GHSOM神經網路模型進行了研究，提出了改進的SOM和GHSOM神經網路模型，將其套用到網路入侵檢測方法中，可以自動學習各種入侵模式。相比同類檢測模型，具有較高的穩定性和檢測率；（2）研究半監督學習機制，提出了一種基於GHSOM的辦監督學習方法，能自動識別入侵類型並能夠提高模型的檢測能力，提高了神經網路學習算法的智慧型性；（3）對GHSOM神經網路模型的動態性進行了研究，擴展了GHSOM模型的動態更新能力，提出了基於GHSOM的增量式學習方法，設計了GHSOM神經網路模型的線上動態更新算法，在入侵檢測系統的適應性和擴展性方面，形成了創新的解決方案；（4）對網路入侵早期特徵進行了研究，提出了基於套用層互動行為和流量統計確定早期特徵兩種思路，提取了39個網路入侵早期特徵，並設計了早期特徵線上提取算法。相比非早期入侵檢測，最佳化了線上檢測實時性，並提高了檢測率；（5）網路入侵的早期特徵是影響網路入侵早期檢測效果的關鍵。針對網路入侵早期特徵選擇問題，提出一種結合頻率篩選的遺傳算法對早期特徵進行最佳化選擇, 將39維早期特徵最佳化至29維。不僅有效縮減了入侵檢測建模時間，而且使入侵檢測系統獲得更高的檢測率。