基于可變網(wǎng)絡(luò)結(jié)構(gòu)自組織映射的入侵檢測(cè)模型

吳德鵬，柳 毅

廣東工業(yè)大學(xué) 計(jì)算機(jī)學(xué)院，廣州510006

1 引言

隨著計(jì)算機(jī)網(wǎng)絡(luò)在社會(huì)各個(gè)角落的使用越來(lái)越多，人們認(rèn)識(shí)到使用互聯(lián)網(wǎng)所帶來(lái)的巨大經(jīng)濟(jì)效益，但是用戶在使用計(jì)算機(jī)時(shí)越來(lái)越容易受到入侵和惡意攻擊。因此，研究更可靠、更高效的網(wǎng)絡(luò)保護(hù)技術(shù)是十分必要的。針對(duì)普遍存在的分類(lèi)問(wèn)題，提出了基于數(shù)據(jù)挖掘的聚類(lèi)方法。聚類(lèi)是指以事物自身的某些屬性為依據(jù)，把具有相同特征的事物聚合成一類(lèi)。聚類(lèi)有學(xué)習(xí)的能力，無(wú)需人工干預(yù)就能夠?qū)](méi)有標(biāo)記的數(shù)據(jù)進(jìn)行訓(xùn)練。將聚類(lèi)算法應(yīng)用到入侵檢測(cè)對(duì)互聯(lián)網(wǎng)的數(shù)據(jù)進(jìn)行處理分析，通過(guò)提取屬性描述對(duì)正常數(shù)據(jù)和異常數(shù)據(jù)進(jìn)行分類(lèi)。聚類(lèi)算法有K-means、DBSCAN等，但這些算法存在應(yīng)用領(lǐng)域上的局限性。

針對(duì)高維數(shù)據(jù)，PCA降維尋找的是有效表示樣本特點(diǎn)的主軸方向，這對(duì)于表示同一類(lèi)數(shù)據(jù)樣本的共同特征是非常有效的，但PCA不適用于存在多類(lèi)的數(shù)據(jù)樣本。自組織映射神經(jīng)網(wǎng)絡(luò)（SOM）是對(duì)數(shù)據(jù)聚類(lèi)分析常用的工具，具有競(jìng)爭(zhēng)學(xué)習(xí)的特點(diǎn)。SOM將任意維度的輸入信號(hào)通過(guò)映射轉(zhuǎn)變?yōu)橐痪S或者二維的離散映射達(dá)到聚類(lèi)的目的，并且以自適應(yīng)的方式實(shí)現(xiàn)這個(gè)過(guò)程。但是，由于空間的沖突SOM神經(jīng)網(wǎng)絡(luò)訓(xùn)練過(guò)程中會(huì)產(chǎn)生畸形變化，使得輸出神經(jīng)元自身的聚類(lèi)結(jié)果難以識(shí)別。

本文將可改變網(wǎng)絡(luò)結(jié)構(gòu)的自組織映射[1]網(wǎng)絡(luò)應(yīng)用于入侵檢測(cè)領(lǐng)域，確定神經(jīng)元的最佳數(shù)量和結(jié)構(gòu)的框架，提高了整體檢測(cè)性能。使用對(duì)比主成分分析（contrastive Principal Component Analysis，cPCA）[2]，在降維過(guò)程中加入少數(shù)類(lèi)樣本作為背景數(shù)據(jù)集以提高對(duì)少數(shù)類(lèi)的檢測(cè)，解決了大部分算法對(duì)于少數(shù)類(lèi)檢測(cè)率低的缺陷。

2 相關(guān)工作

機(jī)器學(xué)習(xí)是入侵檢測(cè)的方法之一。最近幾年機(jī)器學(xué)習(xí)（Machine Learning）得到了越來(lái)越多的關(guān)注和研究，如文獻(xiàn)[3]研究分析了各類(lèi)入侵檢測(cè)算法并提出了目前存在的問(wèn)題以及未來(lái)發(fā)展趨勢(shì)，并對(duì)網(wǎng)絡(luò)入侵檢測(cè)新型應(yīng)用領(lǐng)域進(jìn)行概括總結(jié)。

將機(jī)器學(xué)習(xí)的方法應(yīng)用于入侵檢測(cè)已經(jīng)成為入侵檢測(cè)領(lǐng)域的研究熱點(diǎn)之一。文獻(xiàn)[4]提出了基于K-means和自適應(yīng)投影共振理論的混合方法，以減少模型訓(xùn)練時(shí)間，并在二分類(lèi)上保持了檢測(cè)的準(zhǔn)確性。但是，該方法對(duì)噪音和異常點(diǎn)敏感，不能很好解決數(shù)據(jù)不均衡這個(gè)問(wèn)題。文獻(xiàn)[5]基于核函數(shù)的模糊粗糙特征選擇方法選擇入侵檢測(cè)的特征子集，雖然實(shí)驗(yàn)結(jié)果表明方法具有良好的分類(lèi)效率，但是對(duì)相異度較大的數(shù)據(jù)樣本會(huì)導(dǎo)致一定的數(shù)據(jù)信息丟失。文獻(xiàn)[6]提出了將聚類(lèi)和元啟發(fā)式算法作為IDS的分類(lèi)算法，提高模型對(duì)異常行為的檢測(cè)率，減少了分類(lèi)的時(shí)間，同時(shí)能夠識(shí)別網(wǎng)絡(luò)中未知的新攻擊。然而對(duì)正常的數(shù)據(jù)容易產(chǎn)生誤報(bào)，不利于實(shí)際應(yīng)用。文獻(xiàn)[7]基于K-means和決策樹(shù)分類(lèi)的框架，使用遺傳算法優(yōu)化參數(shù)，提高了檢測(cè)率，降低了誤報(bào)率，但是該方法容易發(fā)生過(guò)擬合，無(wú)法應(yīng)付大規(guī)模且種類(lèi)繁多的入侵?jǐn)?shù)據(jù)。文獻(xiàn)[8]提出了基于快速增量支持向量機(jī)的B-ISVM方法，能夠?qū)崿F(xiàn)較高的檢測(cè)率和快速的檢測(cè)速度。然而，該方法沒(méi)考慮到數(shù)據(jù)非均衡的問(wèn)題，對(duì)大規(guī)模的數(shù)據(jù)樣本也難以實(shí)施。文獻(xiàn)[9]提出了基于IPMeans-KELM的入侵檢測(cè)算法。首先利用優(yōu)化后的K-means算法（IPMeans）算法對(duì)數(shù)據(jù)進(jìn)行聚類(lèi)，把通過(guò)測(cè)試數(shù)據(jù)訓(xùn)練好的KELM分類(lèi)器進(jìn)行分類(lèi)，提高檢測(cè)率的同時(shí)降低了誤報(bào)率，但是在檢測(cè)數(shù)據(jù)量較少的攻擊類(lèi)型時(shí)精確度還有待提高。文獻(xiàn)[10]利用卷積神經(jīng)網(wǎng)絡(luò)長(zhǎng)短期記憶神經(jīng)網(wǎng)設(shè)計(jì)了一種偽裝入侵檢測(cè)的模型。該模型有較強(qiáng)的學(xué)習(xí)能力，能自動(dòng)學(xué)習(xí)數(shù)據(jù)的表征而無(wú)需人工提取復(fù)雜特征，在面對(duì)復(fù)雜高維的海量數(shù)據(jù)時(shí)具有較強(qiáng)的潛力，但是面對(duì)小、中型數(shù)據(jù)集和對(duì)負(fù)樣本稀少的數(shù)據(jù)集可進(jìn)一步改善。文獻(xiàn)[11]使用變分自動(dòng)編碼器生成模型，把數(shù)據(jù)的標(biāo)簽做附加輸入，生成與原數(shù)據(jù)有相同概率結(jié)構(gòu)的數(shù)據(jù)，以解決數(shù)據(jù)不均衡的問(wèn)題，提高常見(jiàn)分類(lèi)器的性能。然而合成的數(shù)據(jù)反復(fù)出現(xiàn)一些相同的樣本，訓(xùn)練出來(lái)的模型容易表現(xiàn)出過(guò)擬合現(xiàn)象。

3 cPCA

3.1 cPCA的優(yōu)勢(shì)

cPCA的主要用途與PCA相同：有效地減少維度以實(shí)現(xiàn)可視化和探索性數(shù)據(jù)分析。cPCA適用于各種無(wú)監(jiān)督學(xué)習(xí)應(yīng)用，這將cPCA與一大類(lèi)監(jiān)督學(xué)習(xí)方法分開(kāi)，其主要目標(biāo)是對(duì)各種數(shù)據(jù)集進(jìn)行區(qū)分。用白鼠蛋白質(zhì)數(shù)據(jù)[12]的例子說(shuō)明，如圖1所示，使用PCA將有和沒(méi)有唐氏綜合癥的白鼠蛋白質(zhì)數(shù)據(jù)集投影到其前兩個(gè)主要成分方向中，前者和后者的數(shù)據(jù)在該子空間上的分布類(lèi)似。然后使用cPCA將數(shù)據(jù)集投影到其前兩個(gè)主要成分方向，明顯觀察出有和沒(méi)有唐氏綜合癥的白鼠聚類(lèi)。

圖1 PCA與cPCA降維效果對(duì)比

主成分分析算法（Principcal Component Analysis，PCA）的基本思想是：當(dāng)涉及多維屬性信息，且屬性之間存在相關(guān)性時(shí)，使用主成分分析將屬性重新組合成無(wú)相關(guān)性的低維屬性，用于表示原有信息。一個(gè)入侵檢測(cè)的數(shù)據(jù)集{xi}中，除了正常的數(shù)據(jù)和常見(jiàn)攻擊的數(shù)據(jù)之外，還包含這一些數(shù)量少而卻難以檢測(cè)到的入侵攻擊。如果把直接將PCA應(yīng)用于{xi}，則最重要的主成分可能只識(shí)別正常與常見(jiàn)攻擊的特征，而不是少數(shù)攻擊的特征，因?yàn)榍罢叩臄?shù)量大于后者。cPCA算法通過(guò)設(shè)置兩組數(shù)據(jù)，把數(shù)量少的入侵攻擊{yi}當(dāng)作對(duì)照，發(fā)現(xiàn)這些攻擊的趨勢(shì)和變化。

3.2 cPCA描述

cPCA需要兩個(gè)數(shù)據(jù)集，目標(biāo)數(shù)據(jù)集和背景數(shù)據(jù)集。PCA根據(jù)關(guān)聯(lián)方差對(duì)主成分進(jìn)行排序，生成投影數(shù)據(jù)集方差最大的特征空間，但它不能保證具有較高方法的特征向量具有相應(yīng)判別力。如圖2所示，cPCA選擇的是目標(biāo)數(shù)據(jù)集相對(duì)于背景數(shù)據(jù)集方差更大的投影方向，由此發(fā)現(xiàn)數(shù)據(jù)集獨(dú)有的低維結(jié)構(gòu)。通過(guò)cPCA降低目標(biāo)數(shù)據(jù)的維數(shù)，將會(huì)發(fā)現(xiàn)不同的集群[13]。

圖2 PCA和cPCA選擇生成的投影方向

過(guò)程：目標(biāo)數(shù)據(jù)集為{xi∈Rd},背景數(shù)據(jù)集為{yi∈Rd},CX和CY為它們協(xié)方差矩陣。為單位向量的集合。對(duì)于任何方向v∈，目標(biāo)數(shù)據(jù)和背景數(shù)據(jù)在該方向上的方差如下。

目標(biāo)數(shù)據(jù)：

背景數(shù)據(jù)：

給定一個(gè)對(duì)比參數(shù)α＞0給定一個(gè)對(duì)比參數(shù)，用于量化目標(biāo)數(shù)據(jù)方差高而背景數(shù)據(jù)方差低的程度[14]，cPCA計(jì)算所需的特征空間：

即：

當(dāng)α=0，只選擇目標(biāo)數(shù)據(jù)方差最大的特征空間，即為PCA，而隨著α增大轉(zhuǎn)向背景數(shù)據(jù)方差較小的特征空間。在實(shí)際使用cPCA時(shí)，不是選擇α的單個(gè)值，而是自動(dòng)選擇一系列不同的值，使得對(duì)應(yīng)于每個(gè)α的子空間盡量不同，自動(dòng)選擇α值的過(guò)程是基于關(guān)聯(lián)矩陣的譜聚類(lèi)。

3.3 背景數(shù)據(jù)的選擇

在入侵檢測(cè)易出現(xiàn)不均衡數(shù)據(jù)分類(lèi)問(wèn)題。不均衡數(shù)據(jù)是指數(shù)據(jù)集中某些攻擊類(lèi)樣本的數(shù)量遠(yuǎn)小于其他類(lèi)，數(shù)據(jù)中各類(lèi)樣本所占的比例相差很大，分布較多的樣本被稱為多數(shù)類(lèi)，較少的樣本被稱為少數(shù)類(lèi)。而少數(shù)類(lèi)樣本往往會(huì)攜帶重要的信息，對(duì)模型訓(xùn)練非常重要，但由于其出現(xiàn)次數(shù)不多，導(dǎo)致測(cè)試樣本中少數(shù)類(lèi)被錯(cuò)誤歸類(lèi)，產(chǎn)生較大的誤報(bào)率。

為解決入侵檢測(cè)的不均衡數(shù)據(jù)分類(lèi)問(wèn)題，避免少數(shù)類(lèi)被檢測(cè)為其他類(lèi)，提高對(duì)少數(shù)類(lèi)攻擊的檢測(cè)效果，選擇少數(shù)類(lèi)（R2L和U2R）作為背景數(shù)據(jù)，cPCA增大類(lèi)之間的差異程度，以降低誤報(bào)率和漏報(bào)率，并且不影響目標(biāo)數(shù)據(jù)（Normal、Dos、Probe、R2L、U2R）中其他子類(lèi)的分布結(jié)構(gòu)。

4 SOM及其改進(jìn)

SOM算法[15]是無(wú)監(jiān)督的學(xué)習(xí)模式，是聚類(lèi)算法的一種。SOM算法模仿人腦神經(jīng)元的相關(guān)特性，其訓(xùn)練過(guò)程實(shí)際上也是學(xué)習(xí)新知識(shí)存儲(chǔ)新知識(shí)的過(guò)程，將學(xué)習(xí)到的新知識(shí)以權(quán)值的形式存儲(chǔ)到神經(jīng)元中[13]，通過(guò)自身的訓(xùn)練完成對(duì)輸入數(shù)據(jù)的自動(dòng)聚類(lèi)。SOM結(jié)構(gòu)包括輸入層和輸出層兩層拓?fù)浣Y(jié)構(gòu)，輸出層也叫做競(jìng)爭(zhēng)層，輸入層節(jié)點(diǎn)數(shù)目同輸入向量的維數(shù)相同，輸出層的每個(gè)節(jié)點(diǎn)都是一個(gè)含有同輸入層節(jié)點(diǎn)個(gè)數(shù)相同位數(shù)的向量，SOM網(wǎng)絡(luò)結(jié)構(gòu)中是全面連接的每個(gè)輸入層的節(jié)點(diǎn)都和輸入層的節(jié)點(diǎn)相連，構(gòu)成錯(cuò)綜復(fù)雜的網(wǎng)絡(luò)結(jié)構(gòu)。SOM把高維空間的輸入節(jié)點(diǎn)映射到低維的神經(jīng)元網(wǎng)格上，并且保持原來(lái)的拓?fù)浯涡颉?/p>

4.1 AMSOM初始化

4.1.1 網(wǎng)格結(jié)構(gòu)與大小

AMSOM算法的第一步是設(shè)定初始網(wǎng)格結(jié)構(gòu)大小。根據(jù)文獻(xiàn)[16]，神經(jīng)元的數(shù)量為效果最佳，其中N是數(shù)據(jù)集的大小。不需要精確地確定神經(jīng)元的數(shù)量，神經(jīng)元的數(shù)量將會(huì)在訓(xùn)練過(guò)程中調(diào)整。根據(jù)預(yù)設(shè)的拓?fù)浣Y(jié)構(gòu)（矩形或者六邊形），神經(jīng)元之間有相應(yīng)的連接。

4.1.2 向量、矩陣和參數(shù)的初始化

（1）權(quán)重向量：和SOM同樣的隨機(jī)初始化。

（2）神經(jīng)元位置（位置向量ri）：根據(jù)輸出層的結(jié)構(gòu)（大部分是二維），它表示的是神經(jīng)元位置的向量。初始位置向量等于網(wǎng)格中神經(jīng)元的位置。

（3）在初始化之后的網(wǎng)格中連接的神經(jīng)元會(huì)在一段時(shí)間后刪除（增加），需要跟蹤每個(gè)神經(jīng)元的鄰域神經(jīng)元。為了跟蹤這些變化，創(chuàng)建矩陣E(edge)和矩陣A(age)（兩者大小都為M×M，表示神經(jīng)元連接情況（1代表連接，0代表沒(méi)有連接）和神經(jīng)元p和q連接的邊當(dāng)前已經(jīng)存在的迭代數(shù)。當(dāng)為0時(shí)，意味著神經(jīng)元和在當(dāng)前迭代中建立連接，是當(dāng)前最優(yōu)的結(jié)構(gòu)。

4.2 AMSOM的訓(xùn)練

4.2.1 權(quán)值向量和位置的更新

在t+1次迭代后神經(jīng)元更新后的權(quán)重向量用wi(t+1)表示，如下式所示：

其中，nj(t)表示的是神經(jīng)元j的連接的數(shù)量；hij(t)表示鄰域函數(shù)；表示分配給神經(jīng)元j的所有x的特征向量的平均值；ri、rj是神經(jīng)元i和j的位置向量；σ(t)是適應(yīng)系數(shù)，隨著訓(xùn)練時(shí)間減小。

在此基礎(chǔ)上，每一次迭代，神經(jīng)元的權(quán)值向量更新后，需要計(jì)算神經(jīng)元向量之間的距離，可以作為更新神經(jīng)元位置的度量。通過(guò)以下公式計(jì)算：

其中，α(t)表示在迭代數(shù)為t時(shí)的學(xué)習(xí)速率和神經(jīng)元的位置的移動(dòng)速度；δij(t)為鄰域函數(shù)，表示了神經(jīng)元i和神經(jīng)元j的距離；γ是一個(gè)控制鄰域收縮的參數(shù)。

需要注意的是δij和hij兩者都是鄰域函數(shù)，計(jì)算兩個(gè)神經(jīng)元的距離，不過(guò)前者計(jì)算的是輸入層的距離，而后者計(jì)算的是輸出層的距離。

4.2.2 增加和刪除神經(jīng)元

傳統(tǒng)的SOM網(wǎng)絡(luò)結(jié)構(gòu)是固定的，不能動(dòng)態(tài)改變，在學(xué)習(xí)過(guò)程中把高維數(shù)據(jù)映射至低維空間有時(shí)候會(huì)產(chǎn)生畸形變化，使得輸出結(jié)果聚類(lèi)分布過(guò)于分散或密集，導(dǎo)致SOM神經(jīng)網(wǎng)絡(luò)的輸出結(jié)果難以識(shí)別，改變網(wǎng)絡(luò)結(jié)構(gòu)的自組織映射網(wǎng)絡(luò)在訓(xùn)練過(guò)程中動(dòng)態(tài)改變網(wǎng)絡(luò)結(jié)構(gòu)以緩解畸形變化。

在權(quán)值向量更新過(guò)程中，對(duì)于輸出向量每次迭代后的最優(yōu)匹配N(xiāo)a和次優(yōu)匹配N(xiāo)b已經(jīng)計(jì)算得到。如果Na和Nb互相連接，它們邊的已存在迭代數(shù)A(p,q)就會(huì)被重置為零（為當(dāng)前最優(yōu)結(jié)構(gòu)）。每一次迭代結(jié)束時(shí)，如果神經(jīng)元i和神經(jīng)元j的邊的已存在迭代數(shù)A(p,q)＞agemax，這條邊E(p,q)就會(huì)被移除，其過(guò)程如圖3所示。當(dāng)agemax設(shè)置為30時(shí)，神經(jīng)元4與神經(jīng)元3斷開(kāi)，神經(jīng)元1與神經(jīng)元2斷開(kāi)（矩陣A和E相應(yīng)更新）。神經(jīng)元4沒(méi)有連接，從網(wǎng)絡(luò)上移除。agemax可以設(shè)置得很大（以避免過(guò)多的邊斷開(kāi)），也可以設(shè)置很小（避免形成完全連接的網(wǎng)格）。如果神經(jīng)元和網(wǎng)絡(luò)斷開(kāi)，則把該點(diǎn)從網(wǎng)絡(luò)刪除，目的是移除不再有用的邊，被訓(xùn)練過(guò)程中更年輕的邊所取代。這有兩個(gè)優(yōu)點(diǎn)：（1）自組織化和競(jìng)爭(zhēng)學(xué)習(xí)一段時(shí)間后將除去冗余的神經(jīng)元，緩解網(wǎng)絡(luò)的畸形問(wèn)題；（2）調(diào)整神經(jīng)元之間的聯(lián)系，從而增強(qiáng)數(shù)據(jù)集的拓?fù)湫浴?/p>

圖3 AMSOM移除神經(jīng)元的過(guò)程

訓(xùn)練到一定程度之后，需要增加新的神經(jīng)元以調(diào)整神經(jīng)元網(wǎng)結(jié)構(gòu)。計(jì)算出誤差最大的神經(jīng)元，如果一個(gè)神經(jīng)元的誤差大于增長(zhǎng)閾值（Growing Threshold，GT）[17]，它將添加一個(gè)新的神經(jīng)元。其中GT=-ln(d)×ln(SF)。將量化誤差最大的神經(jīng)元分裂成兩個(gè)新的神經(jīng)元。兩個(gè)新神經(jīng)元都與原神經(jīng)元保持連接（它們之間也相互連接），這樣可以保持父神經(jīng)元與子神經(jīng)元之間的聯(lián)系。神經(jīng)元中誤差最大的神經(jīng)元為Nu，其鄰域神經(jīng)元為Nv。Nu分裂得到的兩個(gè)新神經(jīng)元N1和N2，其中一個(gè)神經(jīng)元保持Nu的位置，另一個(gè)神經(jīng)元的位置為Nu和Nv的中間，過(guò)程如圖4所示。

圖4 AMSOM增加神經(jīng)元的過(guò)程

4.2.3 結(jié)束訓(xùn)練

AMSOM網(wǎng)絡(luò)增長(zhǎng)的控制是基于平均量化誤差(mqe)，定義如下：

如果兩個(gè)連續(xù)時(shí)間之間的平均量化誤差mqe(t)-mqe(t-1)＜ε1，則訓(xùn)練提前終止。其中ε1（如1E-06是一個(gè)很小的值。AMSOM的訓(xùn)練過(guò)程如圖5所示。

5 實(shí)驗(yàn)與分析

5.1 實(shí)驗(yàn)數(shù)據(jù)

NSL-KDD包含42個(gè)字段，其中41個(gè)是網(wǎng)絡(luò)數(shù)據(jù)包特征屬性字段，最后一個(gè)是數(shù)據(jù)的標(biāo)簽。為了避免字符數(shù)據(jù)不能直接計(jì)算距離以及過(guò)大過(guò)小數(shù)據(jù)直接應(yīng)用，影響平均值計(jì)算和距離計(jì)算效果等問(wèn)題，采用one hot編碼映射的方法，如數(shù)據(jù)的第二個(gè)特征是協(xié)議類(lèi)型protocol_type有三種取值：tcp、udp、icmp，用計(jì)算機(jī)能識(shí)別的二進(jìn)制編碼進(jìn)行表示，其中tcp為[1，0，0]，udp為[0，1，0]，icmp為[0，0，1]。同理屬性特征service的70種符號(hào)取值和flag的11種符號(hào)取值可建立符號(hào)值與相應(yīng)數(shù)值的映射關(guān)系。經(jīng)過(guò)數(shù)值化原來(lái)的41個(gè)特征變成了122個(gè)特征。

圖5 AMSOM算法框架

對(duì)上一步得到的數(shù)據(jù)進(jìn)行標(biāo)準(zhǔn)化和歸一化處理。原始數(shù)據(jù)的取值范圍可能差距過(guò)大，導(dǎo)致的“大數(shù)吃小數(shù)”或者數(shù)據(jù)處理溢出以及權(quán)重不一致等問(wèn)題。歸一化處理消除度量單位對(duì)模型訓(xùn)練的影響，使訓(xùn)練結(jié)果更依賴于數(shù)據(jù)本身特征，從而提高聚類(lèi)模型參數(shù)優(yōu)化與分類(lèi)預(yù)測(cè)的準(zhǔn)確性。

NSL-KDD包含125 973訓(xùn)練樣本和22 544測(cè)試樣本，數(shù)據(jù)集包含正常和異常兩大類(lèi)數(shù)據(jù)。根據(jù)攻擊方式的不同將數(shù)據(jù)細(xì)分為23類(lèi)，這23類(lèi)又可以進(jìn)一步歸納為5類(lèi)，其比例如表1所示，讀取記錄的類(lèi)標(biāo)識(shí)0表示Normal（正常的、沒(méi)有攻擊性）、1表示Dos（拒絕服務(wù)攻擊）、2表示Probe（端口被監(jiān)視或掃描攻擊）、3表示R2L（來(lái)自遠(yuǎn)程主機(jī)的未授權(quán)訪問(wèn)）、4表示U2R（未授權(quán)的本地超級(jí)用戶特權(quán)訪問(wèn)）。

表1 實(shí)驗(yàn)數(shù)據(jù)的類(lèi)別、數(shù)量

5.2 評(píng)估指標(biāo)

實(shí)驗(yàn)采用精確率和召回率作為評(píng)估指標(biāo)，計(jì)算公式如下：

表示被預(yù)測(cè)為正例的示例中實(shí)際為正例的比例。

表示覆蓋面的度量，度量有多少個(gè)正例被分為正例。

表示精確率和召回率的調(diào)和均值。

其中，TP（True Positive，真正）：將正類(lèi)預(yù)測(cè)為正類(lèi)數(shù)，TN（True Negative，真負(fù)）：將負(fù)類(lèi)預(yù)測(cè)為負(fù)類(lèi)數(shù)，F(xiàn)P（False Positive，假正）：將負(fù)類(lèi)預(yù)測(cè)為正類(lèi)數(shù)，F(xiàn)N（False Negative，假負(fù)）：將正類(lèi)預(yù)測(cè)為負(fù)類(lèi)。

5.3 實(shí)驗(yàn)結(jié)果和分析

實(shí)驗(yàn)分別采用SOM及其改進(jìn)的算法共做了兩組實(shí)驗(yàn)。cPCA的對(duì)比參數(shù)不是選擇單個(gè)值，而是自動(dòng)選擇一系列不同的值，使得對(duì)應(yīng)于α的每個(gè)值的子空間彼此遠(yuǎn)離，自動(dòng)選出選擇效果最好的α值，對(duì)比參數(shù)為1.5。對(duì)于控制生長(zhǎng)閾值(GT)的擴(kuò)展系數(shù)(SF)，最初應(yīng)使用低數(shù)值（在0～0.3之間），這將生成一個(gè)突顯重要聚類(lèi)的映射網(wǎng)絡(luò)，在初始聚類(lèi)中根據(jù)需要分析的集群以決定是否有必要對(duì)研究數(shù)據(jù)進(jìn)一步擴(kuò)大，針對(duì)非均衡的數(shù)據(jù)，實(shí)驗(yàn)選擇的數(shù)值為0.5。系數(shù)γ在位置向量更新期間有效地控制鄰域擴(kuò)散和收縮，并且通過(guò)這種方式創(chuàng)建更加獨(dú)立或有更多連接的集群。小數(shù)值的γ（1～10）在NSL-KDD數(shù)據(jù)集的實(shí)驗(yàn)結(jié)果較好。系數(shù)γ越大越容易維護(hù)原數(shù)據(jù)的拓?fù)浣Y(jié)構(gòu)，但是高數(shù)值的γ會(huì)增加無(wú)法成為最優(yōu)匹配的神經(jīng)元數(shù)量，產(chǎn)生更大的量化誤差。agemax參數(shù)設(shè)置為30，因?yàn)?0個(gè)周期足夠來(lái)觀察當(dāng)前結(jié)構(gòu)是否良好，是否需要調(diào)整（添加/刪除神經(jīng)元）。

表2和表3展示了SOM、AMSOM、PCA-AMSOM和cPCA-AMSOM在NSL-KDD數(shù)據(jù)集上的性能表現(xiàn)。F1值是精確率和召回率的調(diào)和均值，現(xiàn)在主要針對(duì)F1值對(duì)實(shí)驗(yàn)結(jié)果進(jìn)行分析。從表2來(lái)看，AMSOM相對(duì)于SOM來(lái)說(shuō)，各方面的檢測(cè)性能都有不小的提升，其中的少數(shù)類(lèi)R2L和U2R分別提高了32%和25%，在表3中，cPCA-AMSOM的檢測(cè)效果明顯好于PCA-AMSOM，從這里看出對(duì)比主成分分析法優(yōu)于傳統(tǒng)的主成分分析法。值得注意的是，表2的AMSOM和表3的PCA-AMSOM的實(shí)驗(yàn)結(jié)果，使用傳統(tǒng)的主成分分析過(guò)程中丟失不少重要的信息，導(dǎo)致各類(lèi)的檢測(cè)性能下降，特別是對(duì)于少數(shù)類(lèi)。

表2 SOM和AMSOM的實(shí)驗(yàn)結(jié)果 %

表3 PCA-AMSOM和cPCA-AMSOM的實(shí)驗(yàn)結(jié)果%

表4展示了文獻(xiàn)[18]、文獻(xiàn)[19]提出的模型與cPCAAMSOM的比較，使用的都是NSL-KDD數(shù)據(jù)集并經(jīng)過(guò)相同數(shù)據(jù)預(yù)處理步驟。從對(duì)比結(jié)果看出，cPCA-AMSOM的性能要優(yōu)于其他兩種使用機(jī)器學(xué)習(xí)的模型。并且根據(jù)F1值的結(jié)果，cPCA-AMSOM在處理非均衡的數(shù)據(jù)的能力優(yōu)于其他兩者。

表4 與常用機(jī)器學(xué)習(xí)方法結(jié)果對(duì)比 %

6 結(jié)束語(yǔ)

在分析入侵檢測(cè)分類(lèi)模型研究基礎(chǔ)上，設(shè)計(jì)了對(duì)比主成分分析結(jié)合可改變網(wǎng)絡(luò)結(jié)構(gòu)的自組織映射的分類(lèi)模型，cPCA通過(guò)設(shè)置多組數(shù)據(jù)組提高少數(shù)類(lèi)攻擊相對(duì)于多數(shù)類(lèi)攻擊的差異，AMSOM算法在提高整體分類(lèi)的性能。實(shí)驗(yàn)結(jié)果表明，在訓(xùn)練樣本分布均衡的情況下，改進(jìn)的自組織映射算法比其他分類(lèi)模型的精確率、召回率等高。結(jié)合cPCA和AMSOM算法實(shí)現(xiàn)了高分類(lèi)準(zhǔn)確率，適用于正常型數(shù)據(jù)和攻擊型數(shù)據(jù)分布不均勻的入侵檢測(cè)。