基于SOM神经网络模型的网络入侵检测方法研究

基于神经网络的入侵检测系统有着很多传统的入侵检测技术所无法比拟的优越性，深入研究适合于网络入侵检测的神经网络模型是一具有研究意义和广阔应用前景的课题。本项目在分析无监督SOM神经网络的特点及其应用于网络入侵检测的优势的基础上，针对现有基于SOM神经网络的入侵检测研究中存在的检测率低、系统整体稳定性和适应性差等问题，通过改进SOM神经网络模型并将其应用于网络入侵检测系统中，研究和探讨基于SOM神经网络模型的入侵检测新方法，以增强入侵检测系统的检测率、稳定性、适应性、高效性，提高入侵检测系统的智能性；通过对网络流早期特征的研究，提出支持早期入侵检测的新方法，改善基于神经网络模型的入侵检测系统的实时性。在对以上关键技术进行研究并得出若干有效的入侵检测模型和方法的基础上，本项目还在实验网络环境中设计并实现入侵检测原型系统。本项目的研究成果将对推动网络入侵检测技术的发展和应用具有重要意义。

入侵检测系统是信息安全综合防御系统的重要组成部分。基于神经网络的入侵检测系统有着很多传统的入侵检测技术无法比拟的优越性，深入研究适合于网络入侵检测的神经网络模型是一具有研究意义和广阔应用前景的课题。本项目针对网络入侵检测应用，对SOM神经网络模型进行了深入研究。从不同角度，系统化地改进SOM神经模型，研究基于SOM神经网络模型的智能化入侵检测新方法及其应用技术。在构建自学习、高检测率、动态自适应、实时性入侵检测模型和方法等关键技术上有所突破，提出了若干具有自主知识产权的入侵检测新方法，获得一批具有国内领先、国际先进水平的创新研究成果，共发表（包括已录用）学术论文15篇，其中SCI/EI共11篇（包括Grid and Utility Computing国际期刊1篇，计算机学报、通信学报、计算机研究与发展等国内一级期刊6篇，IFIP NPC 2011和IEEE WAINA 2012等重要国际会议4篇）；申请国家发明专利5项，其中3项专利已得到授权；培养6名硕士研究生，形成相关的学位论文共6篇。重要研究成果包括：1）对SOM神经网络模型和GHSOM神经网络模型进行了研究，提出了改进的SOM和GHSOM神经网络模型，将其应用到网络入侵检测方法中，可以自动学习各种入侵模式。相比同类检测模型，具有较高的稳定性和检测率；2）研究半监督学习机制，提出了一种基于GHSOM的办监督学习方法，能自动识别入侵类型并能够提高模型的检测能力，提高了神经网络学习算法的智能性；3）对GHSOM神经网络模型的动态性进行了研究，扩展了GHSOM模型的动态更新能力，提出了基于GHSOM的增量式学习方法，设计了GHSOM神经网络模型的在线动态更新算法，在入侵检测系统的适应性和扩展性方面，形成了创新的解决方案；4）对网络入侵早期特征进行了研究，提出了基于应用层交互行为和流量统计确定早期特征两种思路，提取了39个网络入侵早期特征，并设计了早期特征在线提取算法。相比非早期入侵检测，优化了在线检测实时性，并提高了检测率；5）网络入侵的早期特征是影响网络入侵早期检测效果的关键。针对网络入侵早期特征选择问题，提出一种结合频率筛选的遗传算法对早期特征进行优化选择, 将39维早期特征优化至29维。不仅有效缩减了入侵检测建模时间，而且使入侵检测系统获得更高的检测率。