曹耀彬，王亞剛

(西安郵電大學(xué) 計(jì)算機(jī)學(xué)院，陜西 西安 710121)

免疫算法優(yōu)化的RBF在入侵檢測中的應(yīng)用

曹耀彬，王亞剛

(西安郵電大學(xué) 計(jì)算機(jī)學(xué)院，陜西 西安 710121)

RBF(Radical Basis Function)神經(jīng)網(wǎng)絡(luò)是一種典型的三層前向神經(jīng)網(wǎng)絡(luò)。雖然RBF神經(jīng)網(wǎng)絡(luò)的非線性逼近能力、分類能力以及學(xué)習(xí)速度都要好于其他的神經(jīng)網(wǎng)絡(luò)，但是RBF神經(jīng)網(wǎng)絡(luò)在實(shí)際應(yīng)用中隱含層中心點(diǎn)難求，不能被廣泛地應(yīng)用于入侵檢測系統(tǒng)中。免疫算法是基于免疫系統(tǒng)的學(xué)習(xí)算法，免疫算法不僅對干擾具有較強(qiáng)維持系統(tǒng)平衡的能力，而且具有較強(qiáng)的模式分類能力。為了得到最優(yōu)的RBF神經(jīng)網(wǎng)絡(luò)并將其應(yīng)用到入侵檢測系統(tǒng)中，提出了一種免疫算法優(yōu)化的基于最小均方差的聯(lián)合RBF神經(jīng)網(wǎng)絡(luò)，即IA-LMS-RBF算法。仿真實(shí)驗(yàn)結(jié)果表明，與傳統(tǒng)的K-means和隨機(jī)法選取基函數(shù)中心點(diǎn)相比，基于免疫算法求取中心點(diǎn)的LMS-RBF神經(jīng)網(wǎng)絡(luò)，不僅能明顯地提高對已知攻擊的檢測能力，并且對于未知的攻擊行為也能很好地進(jìn)行識別。IA-LMS-RBF算法有效提高了入侵檢測系統(tǒng)的效率，保證了計(jì)算機(jī)系統(tǒng)的安全性。

入侵檢測；RBF神經(jīng)網(wǎng)絡(luò)；中心點(diǎn)；K-means；免疫算法；最小均方差

1 概 述

入侵檢測系統(tǒng)[1-2](Intrusion Detection System，IDS)指的是用來對各種入侵行為進(jìn)行檢測的系統(tǒng)，是網(wǎng)絡(luò)安全體系的重要組成部分，通過對網(wǎng)絡(luò)和計(jì)算機(jī)系統(tǒng)的運(yùn)行狀態(tài)進(jìn)行監(jiān)視，發(fā)現(xiàn)各種攻擊企圖，然后及時發(fā)出報警并做出相應(yīng)的反應(yīng)，以保證系統(tǒng)資源的機(jī)密性、完整性與可用性。

入侵檢測的分析方法主要包括誤用檢測和異常檢測。誤用檢測是根據(jù)已知的入侵模式來檢測系統(tǒng)中的入侵行為，誤用檢測會提取已知的各種攻擊的行為特征，然后編寫為入侵模式存儲到異常行為數(shù)據(jù)庫中，如果入侵者的行為正好與數(shù)據(jù)庫中的某個模式匹配就判斷為攻擊。誤用檢測具有較高的檢測率和較低的誤報率，其缺點(diǎn)是一般只能檢測到已知攻擊模型，而對未知的攻擊行為不敏感[3-4]。而異常檢測恰恰相反，異常檢測會提取已知的用戶的正常行為特征，并存儲到正常行為數(shù)據(jù)庫中，如果用戶的行為和正常行為數(shù)據(jù)庫中的模式偏差太大，就判別為攻擊，所以異常檢測的誤報率較高。

為了解決上述兩個問題，目前已有很多先進(jìn)技術(shù)應(yīng)用于IDS中。文獻(xiàn)[5]采用基于模糊C均值與決策樹C4.5的雙過濾機(jī)制，充分發(fā)揮模糊C均值對未知攻擊的檢測能力和C4.5的低誤報率。針對傳統(tǒng)BP神經(jīng)網(wǎng)絡(luò)存在容易陷入局部最優(yōu)、收斂速度慢等缺點(diǎn)，文獻(xiàn)[6]提出了人工蜂群優(yōu)化的BP神經(jīng)網(wǎng)絡(luò)在入侵檢測中的應(yīng)用，文獻(xiàn)[7]提出將粒子群優(yōu)化的BP神經(jīng)網(wǎng)絡(luò)應(yīng)用到入侵檢測中。針對支持向量機(jī)，文獻(xiàn)[8]提出了網(wǎng)格搜索優(yōu)化支持向量機(jī)參數(shù)的入侵檢測系統(tǒng)。

鑒于RBF神經(jīng)網(wǎng)絡(luò)的許多優(yōu)點(diǎn)，可以將其應(yīng)用到入侵檢測中，但是其隱含層基函數(shù)的參數(shù)(寬度、中心點(diǎn)與數(shù)量)對網(wǎng)絡(luò)的性能有很大影響。目前傳統(tǒng)的RBF神經(jīng)網(wǎng)絡(luò)采用聚類或者隨機(jī)的方法確定RBF神經(jīng)網(wǎng)絡(luò)的中心點(diǎn)，不過由于隱含層的基函數(shù)是非線性的，文獻(xiàn)[9]充分描述了采用這些方法確定徑向基神經(jīng)網(wǎng)絡(luò)中心點(diǎn)的位置與數(shù)量，不僅會造成局部極小值的出現(xiàn)，而且網(wǎng)絡(luò)的收斂速度也會放慢，造成網(wǎng)絡(luò)資源的浪費(fèi)，從而降低RBF神經(jīng)網(wǎng)路的性能。該文獻(xiàn)初步描述并證明了采用免疫類方法求取徑向基神經(jīng)網(wǎng)絡(luò)中心點(diǎn)位置與數(shù)量的可能性及其優(yōu)點(diǎn)。

針對這一問題，文中提出了一種基于免疫算法與最小均方差(Least Mean Square,LMS)算法[10]的混合訓(xùn)練算法。該算法使用免疫算法計(jì)算隱含層基函數(shù)的中心點(diǎn)，并利用LMS算法對連接權(quán)值做進(jìn)一步的學(xué)習(xí)，求解隱含層到輸出層的權(quán)值矩陣，這樣得到的RBF神經(jīng)網(wǎng)絡(luò)模型具有較高的泛化能力。

2 RBF神經(jīng)網(wǎng)絡(luò)

1985年，Powell M.J.D提出多變量插值的徑向基函數(shù),其方法在某種程度上利用了多維空間中傳統(tǒng)的嚴(yán)格插值法的研究成果。20世紀(jì)80年代末，J.Moody和C.Darken提出了RBF神經(jīng)網(wǎng)絡(luò)。RBF神經(jīng)網(wǎng)絡(luò)模擬了人腦中局部調(diào)整、相互覆蓋接受域的神經(jīng)網(wǎng)絡(luò)結(jié)構(gòu)，因此是一種局部逼近網(wǎng)絡(luò)，現(xiàn)已證明它能以任意的精度逼近任意連續(xù)函數(shù)。

RBF神經(jīng)網(wǎng)絡(luò)是一種三層前饋神經(jīng)網(wǎng)絡(luò)，其不同于多層感知器，不同層有著不同的功能，其結(jié)構(gòu)如圖1所示。

第一層為輸入層，由感知器組成，其作用主要是將網(wǎng)絡(luò)和外部的環(huán)境連接起來；第二層為非線性的隱含層，采用徑向基函數(shù)將輸入層的數(shù)據(jù)映射到更高維的隱含層，使原來線性不可分的問題變得線性可分；第三層為輸出層，負(fù)責(zé)將隱含層的數(shù)據(jù)組合輸出。

對于一個p維的輸入向量，RBF神經(jīng)網(wǎng)絡(luò)的輸入可用式(1)計(jì)算。

圖1 RBF神經(jīng)網(wǎng)絡(luò)結(jié)構(gòu)

(1)

因?yàn)镽BF神經(jīng)網(wǎng)絡(luò)的輸出為線性神經(jīng)元，因此只要確定了隱含層基函數(shù)的三個參數(shù),就能通過線性優(yōu)化方法構(gòu)造出隱含層到輸出的權(quán)值矩陣。因此RBF學(xué)習(xí)算法的主要任務(wù)是確定隱含層的這三個參數(shù)，其中傳統(tǒng)的隱含層中心點(diǎn)的確定方法有無監(jiān)督的聚類算法(如K-means[11])與隨機(jī)選取法，但是這兩種方法都需要事先人為指定中心點(diǎn)，很難得到全局最優(yōu)值。

3 免疫算法

免疫算法(Immune Algorithm,IA)是一種基于生物免疫系統(tǒng)的進(jìn)化算法，它模擬了免疫系統(tǒng)獨(dú)有的學(xué)習(xí)、記憶、識別等功能,主要借鑒免疫學(xué)中的克隆選擇學(xué)說[12]和免疫網(wǎng)絡(luò)理論[13]。其中克隆選擇學(xué)說解釋了免疫系統(tǒng)是如何響應(yīng)抗原入侵的，免疫網(wǎng)絡(luò)理論說明了抗原、抗體與記憶細(xì)胞(抗原的映射)之間的相互作用關(guān)系。

3.1 免疫原理

在免疫系統(tǒng)中，抗原-抗體相互作用的強(qiáng)度用它們的親和力表示。設(shè)第i個輸入數(shù)據(jù)xi與第j個數(shù)據(jù)中心cj之間的親和力為aij，即

(2)

其中，‖xi-cj‖為xi與cj之間的歐氏距離。當(dāng)xi=cj時，aij=1為最大。

而抗體與抗體之間的相互作用由它們的相似度來描述：設(shè)第i個數(shù)據(jù)中心ci與第j個數(shù)據(jù)中心cj之間的相似度為sij，即

(3)

其中，‖ci-cj‖為ci與cj之間的歐氏距離。當(dāng)ci=cj時，sij=1為最大。

假設(shè)n個輸入數(shù)據(jù)x=[x1,x2,…,xn]，每個輸入xi=[xi1,xi2,…,xiI]，i=1,2,…,n。確定RBF的數(shù)據(jù)中心就是要尋找一個新的數(shù)據(jù)集c=[c1,c2,…,cj]，其中cj=[cj1,cj2,…,cjI]，j=1,2,…,m,m

3.2 算法步驟

基于IA的RBF神經(jīng)網(wǎng)絡(luò)隱含層基函數(shù)的中心點(diǎn)確定主要分為三個步驟：隨機(jī)選擇一個中心點(diǎn)集合，中心點(diǎn)的個數(shù)與位置無關(guān)緊要；應(yīng)用克隆選擇理論控制數(shù)據(jù)中心點(diǎn)的選擇與更新；采用免疫網(wǎng)絡(luò)理論確認(rèn)并消除那些自我識別的中心點(diǎn)，控制中心點(diǎn)的數(shù)量。算法的具體步驟如下：

(1)對于每一個輸入數(shù)據(jù)xi，隨機(jī)初始化C中心點(diǎn)數(shù)據(jù)集合，包含所有可選的中心點(diǎn)。

(2)計(jì)算C中所有可選的中心點(diǎn)與xi的親和力aij，選擇n個親和力最大的中心點(diǎn)并進(jìn)行復(fù)制，aij越大，復(fù)制得越多，此時產(chǎn)生一個中心點(diǎn)數(shù)量為m的復(fù)制集合L。

(3)應(yīng)用式(4)對這m個相同的中心點(diǎn)進(jìn)行變異處理，形成變異集合D，βk為變異率。這一過程實(shí)際上是在有最大親和力的中心點(diǎn)附近搜索更具親和力的數(shù)據(jù)中心。

ck=ck-βk(ck-xi)

(4)

(4)重新計(jì)算xi與D中每個中心點(diǎn)之間的親和力，并選擇出%ξ(為成熟抗體細(xì)胞，即中心點(diǎn)數(shù)量的選擇比例)親和力最大的中心點(diǎn)，創(chuàng)建記憶細(xì)胞的集合Mi。

(5)在Mi中刪除那些相似度大于閾值σ1(表示免疫細(xì)胞自然死亡閾值)的中心點(diǎn)，獲得一個壓縮的Ms。

(6)計(jì)算Ms中各記憶細(xì)胞之間的相似度sij,除去那些相似度小于閾值σ2(表示抑制閾值)的網(wǎng)絡(luò)中心點(diǎn)，這一過程體現(xiàn)了免疫系統(tǒng)中的克隆抑制，然后將Ms合并到M。

(7)所有的輸入xi處理完后，計(jì)算M中各中心點(diǎn)的相似度sij，刪除掉相似度小于σ2的中心點(diǎn)，這一步體現(xiàn)了遺傳算法中的網(wǎng)絡(luò)抑制。

(8)用新的中心點(diǎn)替換C中親和力較低的數(shù)據(jù)中心，這些新增加的數(shù)據(jù)中心可以隨機(jī)選取，這一過程體現(xiàn)了免疫系統(tǒng)的自組織性。

(9)判斷C中心點(diǎn)集合是否不再變化，若成立則整個確定中心的遞推過程結(jié)束，C即為所求的RBF中心點(diǎn)集合。

(10)否則判斷遞推步數(shù)是否達(dá)到預(yù)定步數(shù)，若達(dá)到則整個遞推過程結(jié)束，C即為所求的RBF中心點(diǎn)集合，若沒有則轉(zhuǎn)向步驟(2)。

4 LMS算法

對于RBF神經(jīng)網(wǎng)絡(luò)，采用固定徑向基函數(shù)作為隱含層的訓(xùn)練函數(shù)，采用標(biāo)準(zhǔn)差固定的高斯函數(shù)作為隱含層的基函數(shù)：

(5)

(6)

其中，j=1,2,…,m1，為隱含層中心點(diǎn)的個數(shù)；dmax為中心點(diǎn)之間的最大距離；xi為輸入數(shù)據(jù)；cj為第j個中心點(diǎn)；σj的選擇必須保證徑向基函數(shù)不能太尖或太平。

通過IA求得隱含層基函數(shù)的中心點(diǎn)以及標(biāo)準(zhǔn)差后，學(xué)習(xí)過程的下一步就是采用LMS算法來訓(xùn)練RBF神經(jīng)網(wǎng)絡(luò)，其中網(wǎng)絡(luò)的目標(biāo)函數(shù)為：

(7)

(8)

式(9)為LMS算法的權(quán)值矩陣修正公式。

(9)

式(10)為LMS算法的隱含層中心點(diǎn)修正公式。

(10)

式(11)為LMS算法的標(biāo)準(zhǔn)差修正公式。

(11)

其中，cj(n)為徑向基函數(shù)在第n次迭代時的第j個中心點(diǎn)；xj為第j個訓(xùn)練樣本；dj為第j個訓(xùn)練樣本的期望輸出；η為學(xué)習(xí)率。

5 IA-LMS-RBF算法

如圖2所示，基于IA-LMS-RBF算法的入侵檢測系統(tǒng)主要分為兩個部分。第一部分(虛線箭頭)利用從KDD CUP數(shù)據(jù)集中選取的訓(xùn)練數(shù)據(jù)對基于IA求取中心點(diǎn)的RBF神經(jīng)網(wǎng)絡(luò)采用LMS算法進(jìn)行訓(xùn)練,求取全局最優(yōu)參數(shù)。第二部分(實(shí)線箭頭)利用從KDD CUP數(shù)據(jù)集中選取的測試數(shù)據(jù)，對參數(shù)確定的RBF神經(jīng)網(wǎng)絡(luò)模型進(jìn)行測試，判斷測試的數(shù)據(jù)是否為入侵行為，其主要步驟如下：

(1)將隨機(jī)初始化的中心點(diǎn)送入IA算法中，即采用3.2節(jié)的算法步驟求取全局最優(yōu)的中心點(diǎn)集合。

(2)應(yīng)用式(6)計(jì)算RBF標(biāo)準(zhǔn)差。

(3)用小的隨機(jī)數(shù)初始化權(quán)值矩陣。

(4)對于每一個訓(xùn)練數(shù)據(jù)xi，應(yīng)用式(1)計(jì)算RBF神經(jīng)網(wǎng)絡(luò)的相應(yīng)輸出yo。

(5)應(yīng)用LMS算法對訓(xùn)練樣本進(jìn)行訓(xùn)練，即按式(9)～(11)調(diào)整權(quán)值矩陣、中心點(diǎn)位置與標(biāo)準(zhǔn)差。如果網(wǎng)絡(luò)收斂則停止迭代，否則轉(zhuǎn)向步驟(4)繼續(xù)迭代，如果迭代次數(shù)超過預(yù)定值大小，則停止。

(6)對于每一個測試數(shù)據(jù)xj，應(yīng)用式(1)計(jì)算輸出，判斷測試結(jié)果。

圖2 IA-LMS-RBF入侵檢測流程圖

6 實(shí) 驗(yàn)

6.1 數(shù)據(jù)預(yù)處理

實(shí)驗(yàn)數(shù)據(jù)采用KDD CUP 99數(shù)據(jù)集[14](是由美國麻省理工學(xué)院林肯實(shí)驗(yàn)室提供)，通常采用該數(shù)據(jù)集對設(shè)計(jì)的IDS模型進(jìn)行各種性能測試。其中所有數(shù)據(jù)都是在實(shí)際運(yùn)行的互聯(lián)網(wǎng)環(huán)境下模擬真實(shí)攻擊的情景得到的，該數(shù)據(jù)集大約有500萬條數(shù)據(jù)，39種攻擊類型，每一條數(shù)據(jù)由42個屬性值組成，前41個屬性表示其特征，唯一標(biāo)識一條數(shù)據(jù)，第42個屬性標(biāo)識該數(shù)據(jù)是正常行為產(chǎn)生的，還是入侵行為產(chǎn)生的，數(shù)據(jù)樣例如下：

0,tcp,http,SF,241,1857,0,0,0,0,0,1,0,0,0,0,0,0,0,0,0,0,13,13,0.00,0.00,0.00,0.00,1.00,0.00,0.00,255,255,1.00,0.00,0.00,0.00,0.00,0.00,0.00,0.00,normal

0,udp,private,SF,105,147,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,2,2,0.00,0.00,0.00,0.00,1.00,0.00,0.00,255,254,1.00,0.01,0.00,0.00,0.00,0.00,0.00,0.00,normal

該數(shù)據(jù)集的42個屬性值中有數(shù)值型屬性，也有非數(shù)值型屬性，因?yàn)镽BF算法不能處理文字，所以這里需要對數(shù)據(jù)進(jìn)行歸一化處理，即用數(shù)值型的數(shù)據(jù)代替基于符號串的數(shù)據(jù)，其中需要修改的有數(shù)據(jù)的第2、3、4和42維共四種：

協(xié)議類型(protocol_type)編碼：tcp編碼1，udp編碼2，icmp編碼3。

目標(biāo)主機(jī)的網(wǎng)絡(luò)服務(wù)(service)類型：因?yàn)榫W(wǎng)絡(luò)服務(wù)類型一共有70種，所以這里使用數(shù)字1～70分別對其進(jìn)行編碼。

連接正?；蝈e誤的狀態(tài)(flag)，離散類型，共11種：OTH REJ RSTO RSTOS0 RSTR S0 S1 S2 S3 SF SH，用數(shù)字1～11對其進(jìn)行編碼。

KDD CUP 99數(shù)據(jù)集中每條連接記錄的第42個屬性標(biāo)識了這條數(shù)據(jù)攻擊類型，具體可以分為五大類：Normal DOS Probing R2L U2R，分別用數(shù)字1～5對其進(jìn)行標(biāo)識。

6.2 實(shí)驗(yàn)設(shè)計(jì)

為了評價入侵檢測算法的性能，選取了入侵檢測性能好壞的兩個標(biāo)準(zhǔn)：檢測率和誤報率。

檢測率=(檢測出的入侵樣本數(shù)/入侵樣本總數(shù))* 100%

誤報率=(被誤報為入侵行為的正常樣本數(shù)/正常樣本總數(shù))*100%

實(shí)驗(yàn)選用10%KDD CUP 99數(shù)據(jù)集，其中包含494 021條數(shù)據(jù)。不過其中normal與DOS類型的數(shù)據(jù)太多，大約占了數(shù)據(jù)總數(shù)的99%左右，如果將該數(shù)據(jù)集作為訓(xùn)練樣本，重復(fù)太多，浪費(fèi)了訓(xùn)練時間，所以在這里對這兩種數(shù)據(jù)按比例刪減，使數(shù)據(jù)分布更加合理。表1為原始數(shù)據(jù)與刪減后數(shù)據(jù)的數(shù)量對比。

表1 數(shù)據(jù)集的刪減

將刪減后數(shù)據(jù)集中的每種攻擊類型的數(shù)據(jù)按1∶2∶3∶1的比例分成四組，其中前三組數(shù)據(jù)作為訓(xùn)練數(shù)據(jù)，第四組數(shù)據(jù)作為測試樣本，然后再從corrected數(shù)據(jù)集[14]中選取1 000條未知類型的攻擊行為作為第五組數(shù)據(jù)，用于測試模型對于未知類型攻擊的敏感程度。

6.3 實(shí)驗(yàn)仿真

分別采用隨機(jī)法、基于K-means和基于免疫算法選取中心點(diǎn)的RBF神經(jīng)網(wǎng)絡(luò)的入侵檢測系統(tǒng)模型進(jìn)行仿真實(shí)驗(yàn)，主要測試了系統(tǒng)對于正常數(shù)據(jù)的誤報率、對已知類型的攻擊行為的檢測率和對未知類型的攻擊行為的敏感程度。使用三組訓(xùn)練樣本分別訓(xùn)練模型后，對兩組測試樣本的測試結(jié)果見表2～4。

表2 隨機(jī)選取法的測試結(jié)果 %

表3 基于K-means算法的測試結(jié)果 %

表4 基于免疫算法的測試結(jié)果 %

從表中可以明顯看出，隨著訓(xùn)練樣本數(shù)的提高，準(zhǔn)確率也相應(yīng)提高。隨機(jī)選取法和K-means對未知類型攻擊的檢測率要比已知類型攻擊的檢測率平均低20%左右，而基于IA選取中心點(diǎn)的RBF對未知類型的攻擊與已知類型的攻擊的檢測率基本一致，所以和傳統(tǒng)的中心點(diǎn)確定方法相比，基于免疫算法的RBF神經(jīng)網(wǎng)絡(luò)入侵檢測模型不論是整體檢測能力，還是對未知攻擊類型的泛化能力都要好于其他兩種，由此可見IA能夠選取最優(yōu)中心點(diǎn)優(yōu)化RBF神經(jīng)網(wǎng)絡(luò)。

7 結(jié)束語

針對RBF神經(jīng)網(wǎng)絡(luò)中基函數(shù)的中心點(diǎn)及其數(shù)量很難確定這一問題，探討了傳統(tǒng)的K-means和隨機(jī)法選取RBF神經(jīng)網(wǎng)絡(luò)基函數(shù)中心點(diǎn)的不足，提出了基于免疫算法優(yōu)化的采用最小均方差訓(xùn)練的RBF神經(jīng)網(wǎng)絡(luò)并將其應(yīng)用到入侵檢測系統(tǒng)中。仿真實(shí)驗(yàn)結(jié)果表明，啟發(fā)式的免疫算法求取RBF神經(jīng)網(wǎng)絡(luò)隱含層基函數(shù)的中心點(diǎn)即IA-LMS-RBF算法，與原有算法相比，提高了入侵檢測系統(tǒng)的檢測率，降低了誤檢率，使入侵檢測系統(tǒng)對于未知攻擊類型的入侵行為更加敏感，更加優(yōu)化了入侵檢測系統(tǒng)的性能。

[1] Stalling W,Brown L.Computer security principles and practice[M].2nd ed.America:Pearson Education,Inc.,2012.

[2] 李文明,陳 哲,李緒蓉.緩存區(qū)溢出研究與發(fā)展[J].計(jì)算機(jī)應(yīng)用研究,2014,31(9):2651-2566.

[3] Kim G,Lee S,Kim S.A novel hybrid intrusion detection method integrating anomaly detection with misuse detection[J].Expert Systems with Applications,2014,41(4):1690-1700.

[4] Park N H,Oh S H,Lee W S.Anomaly intrusion detection by clustering transactional audit streams in a host computer[J].Information Sciences,2010,180(12):2375-2389.

[5] 滕少華,嚴(yán)遠(yuǎn)馳,劉冬寧,等.基于FCM-C4.5的雙過濾入侵檢測機(jī)制[J].計(jì)算機(jī)應(yīng)用與軟件,2016,33(1):307-311.

[6] 沈夏炯,王 龍,韓道軍.人工蜂群優(yōu)化的BP神經(jīng)網(wǎng)絡(luò)在入侵檢測中的應(yīng)用[J].計(jì)算機(jī)工程,2016,42(2):190-194.

[7] 傅德勝,張 媛.PSO優(yōu)化BP神經(jīng)網(wǎng)絡(luò)入侵檢測模型[J].通信技術(shù),2010,43(1):81-83.

[8] 張公讓,萬 飛.基于網(wǎng)格搜索的SVM在入侵檢測中的應(yīng)用[J].計(jì)算機(jī)技術(shù)與發(fā)展,2016,26(1):97-100.

[9] Nunes L,Zuben F J V.An immunological approach to initialize centers of radical basis function neural networks[C]//Proceedings of V Brazilian conference on neural network.[s.l.]:[s.n.],2001.

[10] 林嘉宇,劉 熒.RBF神經(jīng)網(wǎng)絡(luò)的梯度下降訓(xùn)練方法中的學(xué)習(xí)步長優(yōu)化[J].信號處理,2002,18(1):43-48.

[11] 劉華春,候向?qū)?楊 忠.基于改進(jìn)K均值算法的入侵檢測系統(tǒng)設(shè)計(jì)[J].計(jì)算機(jī)技術(shù)與發(fā)展,2016,26(1):101-105.

[12] Brownlee J.A review of the clonal selection theory of acquired immunity[R].[s.l.]:[s.n.],2007.

[13] Brownlee J.Antigen-antibody interaction[R].Melbourne,Australia:Swinburne University of Technology,2007.

[14] University of California,Irvine.The KDD cup 1999 data[EB/OL].1999-10-28.http://kdd.ics.uci.edu/databases/kddcup99/kddcup99.html.

Application of RBF Neural Network Optimized by Immune Algorithm in Intrusion Detection

CAO Yao-bin，WANG Ya-gang

(College of Computer Science,Xi’an University of Posts and Telecommunications,Xi’an 710121,China)

RBF neural network is a typical three-layer feed forward neural network.Although approximation capacity,classification and learning speed of RBF neural network is superior to others,it is difficult to find the optimal value of the center point which is not used widely in intrusion detection system.Immune algorithm is a learning algorithm based on the immune system.It not only owns a strong ability to maintain system balance,but also has strong pattern classification.In order to get the optimal RBF neural network and apply it to the intrusion detection system,an immune algorithm has been proposed to optimize the LMS-RBF neural network,which is based on the minimum mean square,called as associated IA-LMS-RBF algorithm.Simulation results shows that compared with the traditionalK-means and randomly to select the basis function center,the immune algorithm to strike the center of the LMS-RBF neural network not only significantly improves the ability to detect the known attacks,but also has a good recognition to the unknown attacks,IA-LMS-RBF algorithm can effectively improve the efficiency of intrusion detection system and make sure computer system is becoming more secure.

intrusion detection;RBF neural network;center point;K-means;immune algorithm;LMS

2016-06-12

2016-09-22 網(wǎng)絡(luò)出版時間：2017-03-13

國家自然科學(xué)基金資助項(xiàng)目(61136002);陜西省教育科研計(jì)劃項(xiàng)目(14JK1674)

曹耀彬(1990-),男,碩士生，研究方向?yàn)榫W(wǎng)絡(luò)安全；王亞剛,博士,副教授,CCF會員,研究方向?yàn)榍度胧较到y(tǒng)、編譯器與并行計(jì)算。

http://kns.cnki.net/kcms/detail/61.1450.TP.20170313.1547.092.html

TP301.6

A

1673-629X(2017)06-0114-05

10.3969/j.issn.1673-629X.2017.06.024