基于多层自组织映射和主成分分析的入侵检测方法摘要：首先改进了自组织映射学习和分类算法，通过引入自定义变量匹配度、约简率和约简样本量化误差，提出了一种新的基于多层自组织映射和主成分分析入侵检测模型与算法。模型运用主成分分析算法对输入样本进行特征约简，运用分层思想对分类精度低的聚类进行逐层细分，解决了单层自组织映射分类不精确的问题。实验结果表明该模型用于入侵检测的效果良好，能准确区分攻击与否且能进一步指出攻击的具体类型。关键词：多层自组织映射；主成分分析；入侵检测中图法分类号：TP393．08文献标识码：A：1001－3695(2007)01-0148－041引言??Internet的复杂性、可访问性和开放性使信息安全成为全球关注的重要问题。随着网络的深入应用，特别是政府信息和军事数据在网络上的传播，给网络信息安全提出了更高的要求。随着信息安全研究的不断深入，入侵检测系统作为一种主动防御工具，逐渐成为研究的热点。??现有的入侵检测系统对于KDDCUP’99中的特征选择主要有两种方式，即选取全部41种的特征[7,8]或选取9种基本连接特征中的部分或全部[3,9]。前者确保检测率和误检率两个指标得到了较好的结果,但却增大系统开销；后者虽降低了系统开销,但在检测率和误检率上却不如前者。无论是基于主机还是基于网络的入侵检测系统，无论是采用数据挖掘还是神经网络或者其他方法，入侵检测系统都必须处理大量的数据，故增大了系统开销，因此有必要在注重检测率和误报率的同时考虑系统开销。??基于上述考虑，从检测速度、检测率和误报率三个重要指标出发，本文提出了一种新的基于多层自组织映射和主成分分析入侵检测模型，为实现异常检测分类器提供了一种准确高效的途径。为便于描述,本文通过实验分析了将传统SOM直接应用到入侵检测中存在的分类不精确的问题，并针对此问题提出了一种改进SOM(ModifiedSelfOrganizingMap,MSOM)算法。该算法改变了传统SOM对输出层获胜神经元的标类方式，并且采用多层MSOM算法对分类精度低的神经元（即一个神经元内存在了两种及两种以上类型）逐层细分，并依据自定义的变量、匹配度、约简率和约简样本量化误差，提出了一种新的基于多层PCA和MSOM（MultilayerPrincipalComponentAnalysisandMSOM,MPCAMSOM）入侵检测模型与算法。此模型通过主成分分析算法对输入样本进行特征约简，有效地减少了训练时间，降低了计算复杂性，同时利用分层的思想对分类精度低的聚类进行逐层细分，从而解决了单层自组织映射分类不精确的问题。??2基于MPCAMSOM的入侵检测模型与算法??2．1MPCAMSOM入侵检测模型??针对单层SOM存在的分类不精确的问题，本文提出了一种新的基于MPCAMSOM入侵检测模型，如图1所示。在MSOM模块中引入邻居函数改变了传统SOM只对输出层获胜神经元进行标类的方式，同时考虑到对其周围神经元不同程度的影响。PCA模块负责输入数据的降维处理，以便于有效降低计算复杂度，减少模型训练时间。分层思想的引入可以将当前层内分类精度高的神经元所对应的输入样本剔出，只对精度低的神经元逐层细分。??图1MPCAMSOM入侵检测模型下面具体介绍MPCAMSOM模型数据流程。在训练阶段，训练数据首先进行标准化，然后经PCA输入到每层MSOM，如图1所示。每层MSOM有三个输出：输出至PCA模型的特征向量（用粗线表示），输出至测试模型的权值向量和匹配度以及输出至下一层约简后训练数据。直至当前层的约简样本量化误差满足一定约束条件分层结束，完整的MPCAMSOM测试模型形成。在测试阶段，测试数据经过标准化和PCA模型后，仅需与测试模型中的每一层输出拓扑图的获胜神经元的匹配度进行比较，即可辨别出测试数据正常与否，并可准确指出具体是那类攻击告警。此外，从模型中每层输入数据的数量来看,当前层的数据数量肯定不大于上一层的数据数量,这就确保了MPCAMSOM模型的收敛性。??2．2MSOM算法与分析??传统的SOM聚类过程是一个输入样本仅对获胜神经元署以标签的过程，我们认为这种方式是不全面的。因为在SOM的训练过程中,一个样本不仅仅影响一个最佳匹配神经元的权值向量，还不同程度地影响了邻居神经元的权值向量，故我们认为SOM的聚类过程应该打破仅给一个神经元...