PNN网络在入侵检测中的应用研究

摘要：针对当前入侵检测技术存在检测率低、误报率高等问题，将PNN概率神经网络应用于入侵检测技术中，提出一种基于PNN的入侵检测技术。介绍了入侵检测的发展现状和概率神经网络的数学模型。实验结果证明，与BP网络相比，PNN网络能够准确实现样本分类，并能提高入侵检测性能。

关键词：入侵检测；PNN网络；网络安全；检测性能

DOIDOI：10.11907/rjdk.161890

中图分类号：TP309

文献标识码：A文章编号：16727800（2016）010015203

0引言

随着互联网的快速发展，网络安全越来越受到人们重视。2015 年，我国出台了“互联网+”行动计划，加快建设网络强国，并不断完善网络安全保障措施，进一步提升网络安全防护水平。然而，网络安全问题仍然层出不穷。入侵检测作为网络防御方法的重要组成部分，受到了各国政府和学者的重视。自20世纪80年代提出入侵检测技术以来[1]，经过多年发展，入侵检测技术已从理论研究进入了实际应用阶段，但仍存在一定问题，主要体现在误报率过高、警报数量过大等方面。文献[2]指出，在实际应用中，通常产生的警报中有90%以上是误报；文献[3]提出将神经网络应用于入侵检测是目前网络安全领域的研究热点。

因此，为了改善传统入侵检测技术的不足，提高入侵检测系统的检测效率具有重要意义。本文将概率神经网络引入到入侵检测技术中。PNN（Probablistic Neural Network）概率神经网络通过对学习样本的直接存储和处理，可以大大简化网络训练，在模式分类方面具有很大优势。实验结果表明，将PNN网络应用于入侵检测中，能够提高入侵检测性能。

1应用神经网络的入侵检测技术

人工神经网络简称神经网络，是一种模仿动物神经网络行为特征，进行分布式并行信息处理的算法数学模型[4]。它通过调整内部大量节点之间的相互连接关系，达到处理信息、解决问题的目的。将人工神经网络应用于入侵检测技术具有以下优势[5]：①高度的学习和自适应能力；②采用并行工作方式，大量神经元可以同时工作；③对信息采用分布式存储方式，并具有一定容错性，当其中的某一点或某几点被破坏时，信息仍然可以被存储，具有鲁棒性。

概率神经网络作为神经网络中的一种，主要用于模式分类问题。它结构简单、训练迅速，利用其强大的非线性分类能力，可以非常准确地完成入侵攻击分类[6]。

2数据源与评价指标

实验采用MATLAB R2013a软件及其神经网络工具箱。实验数据来自KDD 1999异常检测的标准数据集，该数据集包括Probe、Dos、R2L和R2R四种攻击方式下的正常数据和异常数据。在本实验中，针对Dos攻击数据集，选取Dos攻击中6类攻击模式下的数据和正常数据，分为正常和异常两大类。表1为实验样本集。

为了验证本文采用入侵检测方法的有效性和可行性，采用检测准确率、误报率和漏报率作为PNN概率神经网络的入侵检测实验评定指标。

检测率=被检测出来的入侵样本[]异常样本总数×100%

误报率=被误报为入侵的正常样本数[]正常样本总数×100%

漏报率=异常样本被识别为正常样本的数目[]异常样本总数×100%

3PNN神经网络仿真实验

3.1数据预处理

由于KDD1999数据集中的数据值跨度较大，如果不对数据进行归一化处理，收敛速度较慢，有时甚至不能收敛。如果对样本数据进行归一化处理，则会加快收敛速度。

数据归一化方法可以把所有数据都转化为[0，1]之间的数值，目的是取消各维数据间的数量级差别。归一化方法采用最大最小值法和平均数方差法。

图1为未对实验数据进行归一化处理的网络训练误差图，图2为使用最大最小法归一化后的网络训练误差图，图3为采用平均数方差法归一化后的训练误差图。实验中都采用41维特征数据作为神经网络输入数据，网络训练数据采用1 821个训练样本，测试数据采用400个测试样本，其它网络训练参数保持一致。将所有数据样本划分为正常和异常两类。

对比以上网络训练曲线图，可以看到未对数据进行归一化处理时[8]，训练数据到1 000步左右时几乎不再收敛，8 000步左右时几乎已停止收敛，没有达到精度要求；数据采用最大最小法归一化后，在200步左右已经收敛；数据采用平均数方差法进行归一化后，数据较为规整，与采用最大最小法相比，收敛时间更短。表2为实验结果。

由表2可以看出，对数据进行归一化处理，可以明显提高收敛速度，且检测率与未归一化相比略有提高。对比最大最小法和平均数方差法两种归一化方法可以得出，采用平均数方差法对实验数据进行归一化处理，检测率与最大最小法基本一致，但它可以使数据更规整，且收敛速度更快。因此，在后续研究工作中，输入数据都采用平均数方差法进行归一化处理。

3.2PNN神经网络设计

BP神经网络是目前采用最多也是最成熟的训练算法之一，但其存在收敛速度慢、易陷入局部极小状态等问题。PNN网络主要应用于解决分类问题，因此本节基于PNN网络进行实验。

本文将PNN网络应用于入侵检测技术中，实现对入侵攻击的正确分类。PNN网络有3层，除输入层外，隐层为径向基神经元层，输出层为竞争层。本实验输入数据采用1 821个KDD1999数据集中的样本作为神经网络的输入向量，经过网络径向基层，将低维非线性问题映射到高维空间中，使之成为一个线性可分问题，再经过竞争层，通过竞争（Compet）传递函数的取舍，计算网络输出为表示概率的向量。概率最大的一类置为1，其它类别置为0。

应用Matlab中的newpnn（）函数设计PNN网络。其中p为输入向量，t为期望目标向量。其它参数采用默认值。

net=newpnn（p，t）

径向基层传递函数一般使用高斯函数radbas（）。该函数的调用格式如下：

A1=radbas（||iw-p||b）

iw为径向基层输入权值矩阵，p为输入向量矩阵，A1为函数返回矩阵，b为神经元阈值。

竞争层采用竞争传递函数compet。该函数调用格式如下：

A2=compet（lw-A1）

lw为竞争层权值矩阵，A2为函数返回矩阵。

3.3PNN网络测试与实验结果分析

测试时，输入层把入侵数据的测试集送至所有的模式层单元。每个模式层单元计算测试入侵数据样本和该单元训练向量之间的距离等，输出层从求和层中求得输入测试数据相对于各类别号的分布密度最大值，并将其对应的类别号1、2和各类数据个数作为PNN的输出。本实验测试集共400个样本，输入向量采用18维特征向量，并成功将测试样本分为正常和异常两类，如图4所示。

4结语

针对入侵检测技术检测率低、误报率高的问题，提出了基于PNN网络的入侵检测技术。实验结果表明，与传统入侵检测方法相比，使用PNN网络的入侵检测方法能够有效识别出入侵数据的正常与异常，分类结果稳定，并且克服了BP神经网络收敛速度慢等问题，具有重要的理论研究价值。但PNN网络必须经过训练才能达到要求，而且需要收集完备的训练样本。因此，将PNN神经网络应用于入侵检测技术中，还需进一步研究。

参考文献参考文献：

[1]ANDERSON J puter security threat monitoring and surveillance[R].1980.

[2]JULISCH K. Mining alarm clusters to improve alarm handing efficiency[C].Proceedings 17th Annual Computer Security Applications Conference， 2001.

[3]马丽芳，史宇浩.神经网络在入侵检测中的应用[J].计算机安全， 2012（11）：2022.

[4]刘冰，郭海霞.MATLAB神经网络超级学习手册[M].北京：人民邮电出版社，2014：210260.

[5]程曦. 基于概率神经网络的入侵检测技术[J]. 计算机辅助工程，2005，14（4）：129.

[6]徐桂敏，杨正祥.概率神经网络在油浸式变压器故障诊断中的应用[J].动力与电气工程，2011（9）：143.

[7]宋海波，陆正福，刘仕云.基于改进人工免疫算法的入侵检测算法研究[J]. 软件导刊，2015， 14（12）：6768.

[8]马正华，王腾，周炯如. 基于BP神经网络的太湖富营养化时空变化预测[J].常州大学学报：自然科学版，2013，25（3）：6364.

[9]HUANG GB， ZHOU HM，DING X J，et al. Extreme learning machine for regression and multiclass classification[J]. IEEE Transactions on Systems Man and Cybernetics Part BCybernetics， 2012， 42（2）：513529.

[10]GARCIA S， FERNANDEZ A， LUENGO J，et al. A study of statistical techniques and performance measures for geneticsbased machine learning： accuracy and interpretability[J].Soft Computing，2009，13（10）：959977.