Intrusion Detection Method Based on Improved Growing Hierarchical Self-Organizing Map

Considering that growing hierarchical self-organizing map(GHSOM) ignores the influence of individual component in sample vector analysis, and its accurate rate in detecting unknown network attacks is relatively lower, an improved GHSOM method combined with mutual information is proposed. After theoretical analysis, experiments are conducted to illustrate the effectiveness of the proposed method by accurately clustering the input data. Based on different clusters, the complex relationship within the data can be revealed effectively.

一种基于半监督GHSOM的入侵检测方法

基于神经网络的入侵检测方法是入侵检测技术的一个重要发展方向.在已有无监督生长型分层自组织映射(growing hierarchical self-organizing maps,GHSOM)神经网络算法的基础上,提出了一种半监督GHSOM算法.该算法利用少量有标签的数据指导大规模无标签数据的聚类过程.一方面借鉴cop-kmeans半监督机制,解决了原始算法中返回空划分的问题,并将其应用到GHSOM算法中.另一方面提出了神经元信息熵的概念作为子网生长的判断条件,提高了GHSOM网络子网划分的精度.此外还利用有标签的数据自动确定聚类结果的入侵类型.对KDD Cup 1999数据集和LAN环境下模拟产生的数据集进行的入侵检测实验表明:相比于无监督的GHSOM算法,半监督的GHSOM算法对各种类型的攻击具有较高的检测率.

基于GHSOM网络的故障识别

提出了一种基于生长型分级自组织映射(GHSOM)网络的故障识别方法,给出了方法的基本原理,并将该方法应用于汽轮机组与齿轮的故障数据分析.研究结果表明,GHSOM能根据数据特征无监督地对故障进行正确聚类和识别,并且具有动态增长及分层特性,能解析出数据内在的层次结构,实现由粗到精的聚类识别,该方法可以扩展应用于机械故障的诊断与识别.

一种增量式GHSOM算法在DDoS攻击检测中的应用

分布式拒绝服务(distributed denial of service,DDoS)攻击自出现以来一直是全球互联网网络安全的重要威胁之一。目前很多DDoS攻击检测方法虽然对已知类型攻击具有较高的检测率,但是不能有效识别新的攻击类型,无法应对DDoS攻击形式变化多和快的特点。为了准确检测出DDoS攻击,同时使检测模型具有良好的自适应性、扩展性和较低的更新代价,以应对层出不穷的DDoS攻击,提出了一种综合考虑网络流量双向特征、固定特征和统计特征,采用增量式GHSOM(Growing Hierarchical Self-Organizing Maps)神经网络算法的DDoS攻击检测方法。首先,根据DDoS攻击流量的特点提取流量特征,组成流量八元组联合特征,然后利用增量式GHSOM神经网络算法进行异常流量分析,最后,通过实验验证检测方法的有效性。实验结果表明,提出的DDoS攻击检测方法不仅能够有效检测出已知类型的DDoS攻击,而且能够实现对检测模型的在线动态更新,对于新出现的DDoS攻击类型,具有相同的检测率。