周丽娟

(山西财经大学实验教学中心,山西太原030006)

网络的飞速发展给社会带来了很大的进步，但同时也带来了很多的安全问题，出现了各类安全事件。因此，如何保证网络的安全，以及避免各类网络入侵事件的发生，是人类社会关注的焦点。由防护、检测、反应和恢复4个部分构成了防御体系的第一道防线，而入侵检测则是作为对第一道防线进行补充的第二道防线，是网络安全防护体系的重要方法和技术[1-4]。

现有的入侵检测方法主要有：基于特征选择的入侵检测方法，基于AdaBoost的入侵检测方法、基于聚类的入侵检测方法和基于全局优化算法的入侵检测方法。文献[5]提出了一种基于特征选择的入侵检测方法，利用不同的离散化和特征选择算法构成具有差异性的特征子集，并对特征子集进行归一化处理，然后分类算法对特征进行建模。文献[6]提出了一种结合主动学习和半监督学习的入侵检测方法。采用有标记的样本来训练2分类器，采用与2分类不一致的样本和半监督学习算法来学习分类器，直到所有样本完毕。文献[7]提出了一种改进人工蜂群算法的异常入侵检测方法，在蜜源阶段采用不同编码方式来编码参数和特征值，通过两种搜索策略来搜索，通过在适应值函数中加入误报率影响因子。文献[8]提出了一种对监控系统传回的视频图像进行目标识别的入侵方法，提出了一种基于改进卷积神经网络的行人检测算法，通过将浅层特征融入深层特征，最后再利用Softmax来分类。

神经网络是一种利用生物进化思想进行模拟的反馈机制，具有分布式信息存储、并行计算、自适应学习等能力，适合被应用于入侵检测。但其也存在着一些问题，如收敛速度慢和陷入局部最优，这增加了网络的训练时间。针对以上问题，提出了一种基于小生境和Elman网络安全入侵检测方法，最后再将所提方法在KDD99数据集上进行验证。

1 基于ELMAN网络的入侵检测器

1.1 ELMAN网络

ELMAN是1990年提出的一种神经网络算法，该算法在传统的3层的神经网络的基础上加入了一个承接层，即增加了延时，使得系统具有记忆能力，能够被应用于具有复杂动态性的系统中,见图1。

图1 ELMAN神经网络结构

从图1中可以看出，ELMAN网络主要包含四个层次：输入层、隐藏层、承接层、输出层。在EL⁃MAN网络中，承接层存储并延迟隐藏层的输出结果，能建立隐藏层的输入之间的自动关联，使得整个网络对历史数据均具有较高的敏感性，实现网络的入侵检测。

1.2 改进的ELMAN网络

ELMAN网络具有较强的记忆能力，但其非线性逼近能力和泛化能力均不强。径向基函数神经网络具有很强的非线性映射能力，且不容易陷入局部最优，能对网络输出的实时数据进行分类，进而判断其对应的攻击入侵事件。因此，提出一种改进的RBF-ELMAN网络。该改进的RBF网络的输出端的数量对应着入侵检测的类型数量，每个输出连接一个ELMAN网络，不仅可以有效地存储每个时间段发生的异常行为，提供网络的泛化能力，也可以提高系统的检测能力。该RBF-ELMAN的网络结构如图2所示：

图2 RBF-ELMAN神经网络

采用RBF-ELMAN网络来实现网络入侵检测的流程可以分为下面几个步骤：

(1)确定网络结构：建立如图2所示的网络结构，在RBF输出端端根据网络入侵检测的类型来确定ELMAN网络的数量，采用(0,1)之间的随机数来初始化RBF-ELMAN网络的各权重和阈值；

(2)在任意一个时间步，将输入向量输入RBFELMAN，在RBF网络的输出部分可以得到输出向量，通过设置阈值K，将大于K的值保留，然后将低于K的值设置为零；

(4)计算每个ELMAN的输出，并将其与阈值向量进行比较，当输出向量高于阈值向量时，说明发生了入侵事件；

(5)调整RBF-ELMAN网络的结构，从输出端不断调整网络的结构，直到样本数据的输出入侵类型和真实的入侵检测类型相同；

(6)循环执行步骤(2)～(5)，直到所有样本的检测误差均小于一定的阈值。

2 小生境遗传算法的RBF-ELMAN网络

2.1 小生境遗传算法

遗传算法(Standard Gene algorithm,SGA)是1975年由Michigan大学提出的模拟生物进化算法，目前已经应用于进行全局寻优。但是其在问题域和目标复杂时，容易陷入局部最优。小生境来源于自然界中相同物种共同生活繁衍后代的需求。小生境中的排挤技术则是提高整个种群整体个体适应度的需要，通过设置小生境的半径，且将个体之间的欧式距离小于小生境半径时，则对其进行惩罚，加快种群更快的进化。任何两个个体之间的欧式距离

在公式(1)中，d表示小生境的半径，h为个体的编码对应的维度。

2.2 目标函数选择

目标函数是降低RBF-ELMAN网络的误差，而小生境遗传算法的目标是极可能地提高适应度，因此其目标函数为：

其中，样本数为n，样本输出的检测类型为m。

2.3 基于小生境遗传算法的网络入侵检测

算法2小生境自适应遗传算法

输入：规模种群N，初始个体数k，α，β，小生境半径d，迭代次数最大值tmax；

输出：RBF-ELMAN网络的最优参数；

步骤1：将RBF-ELMAN训练过程得到的参数作为初始解，然后在初始解周围随机生成出200个解得到初始种群；

步骤2：计算初始种群中所有个体的适应度：

其中，γ为子种群的规模；

步骤4：在步骤3产生的种群的基础上，根据公式(4)和公式(5)来选择个体进行交叉和变异，构成新的种群。

其中，fmax表示种群的最优适应度；favg表示种群的平均适应度；fc表示交叉个体的适应度；fm表示变异个体的适应度；

步骤5：采用小生境排挤技术生成新一代的初始种群；

步骤6：判断当前迭代次数t是否已经达到最大迭代次数tmax，则算法结束；否则当前迭代次数t=t+1，并转向步骤。

3 实验

3.1 数据集介绍

采用KDD99数据集作为仿真数据，KDD99是由训练集和测试集组成的，训练集包含4900000条记录，测试集包含311026条记录。KDDCUP99的每条记录都包含41个属性，每条记录都有一个标记，即为正常类型或特定的攻击类型，攻击类型可以分为：

(1)Dos攻击：这类攻击是通过向计算机或者网络发送大量消息，使得计算机或者网络无法正常提供服务，甚至导致网络发生崩溃；

(2)Probing攻击：这类攻击是通过对扫描端口进行攻击；

(3)R2L攻击：这类攻击是通过利用漏洞来进行远程攻击，并利用攻击来做一些违规操作；

本设计单片机模块是由AT89S52单片机，晶振电路，复位电路组成的单片机最小系统。本设计的控制模块原理如图3所示。

(4)U2R攻击：这类攻击是通过漏洞来获得用户系统的访问权限，对系统进行访问。

这4个攻击分类加上正常类型，共5个大类。KDDCUP99每个大攻击类型可以分为多个分类见表1。

表1 入侵种类的具体标识

3.2 评价指标

将检测率、误报率、漏报率作为入侵检测技术的评价指标，如公式(6)～(8)所示：

3.3 检测结果与比较

ELMAN网络的RBF网络的输入端共有41个神经元，输出端的神经元个数为5，在RBF输出端再连接ELMAN网络。将测试集中随机分为两组，即测试集1和测试集2，对本文所提的方法进行验证，并与文献[6]、文献[7]和文献[8]方法进行比较，得到的方法检测率如表2和表3所示：

三种方法在这两个测试集上的结果如表2和表3所示：

表2 测试集1入侵检测结果

表3 测试集2入侵检测结果

从表2和表3中可以看出，在测试集1和测试集2上，本文方法均具有较高的检测率。在测试集1上，文献[8]方法具有较高的检测率；在测试集2上，文献[7]方法具有较高的检测率。

将4种方法的检测率，漏报率、误报率和检测时间进行比较，得到的结果如表4所示：

表4 各种方法的指标评价比较

从表4可以看出，本文方法不仅具有较高的检测率和较低的漏检率和误检率，同时具有较少的检测时间，相比其它方法具有较高的优越性。

4 结语

入侵检测则是作为对第一道防线进行补充的第二道防线，是网络安全防护体系的重要方法和技术。为了提高网络入侵检测的检测率以及降低相应的误报率和漏报率，同时尽可能地减少检测时间，提出另一种基于小生境和ELMAN神经网络的入侵检测模型。首先结合RBF神经网络和ELMAN网络各自的优点，建立RBF-ELMAN网络模型，然后给出了RBF-ELMAN网络模型的训练方法。为了防止算法陷入局部最优，提出了一种基于小生境算法对网络结构进一步优化的算法。为了验证本文方法的有效性，将本文方法与文献[6]方法、文献[7]方法和文献[8]方法进行比较，本文方法具有较高的检测率和较低的漏报率和误检率，同时具有较高的检测效率。