CN102647292A - 一种基于半监督神经网络模型的入侵检测方法 - Google Patents

Abstract

本发明公开了一种基于半监督神经网络模型的入侵检测方法，属于网络信息安全领域。本方法为：1)利用训练集A初始化GHSOM神经网络第0层神经元，并计算QE₀；2)从第0层神经元中拓展出一SOM，并将其层次标识Layer置为1；3)初始化第Layer层中拓展出的每一SOM，并对其进行训练，其中对获胜神经元及其邻域内神经元权值进行调整，更新获胜向量集合，计算获胜神经元的主标签、主标签比率和信息熵ety_i；4)计算该SOM中每个神经元的qe_i，子网MQE；如果MQE＞QE_f*μ₁则在该SOM中插入一行或者一列神经元，如果QE_i＞QE₀*μ₂或者ety_i＞ety_f*μ₃则从该神经元上长出一层新的子网，将其增加到Layer+1层的子网队列中。本方法提高了GHSOM算法检验准确性。

Description

一种基于半监督神经网络模型的入侵检测方法

技术领域

本发明应用于入侵检测系统，对基于生长型分级自组织映射(Growing HierarchicalSelf-organizing Maps，GHSOM)神经网络的入侵检测方法进行了改进，将半监督的方法引入到了GHSOM算法的训练过程中，提高了算法对入侵数据的检测准确度。属于计算机网络信息安全技术领域。

背景技术

随着计算机网络尤其是Internet技术的迅速发展，网络在我们日常的生活、学习和工作中发挥着越来越重要的作用，网络安全问题也越来越受到人们的关注。迅速、有效地发现各类新的入侵行为，对于保障网络系统安全十分重要。入侵检测技术是一种通过监视网络系统的运行状态，进而发现各种攻击企图、攻击行为或者攻击结果的信息安全技术。

入侵检测作为一种主动防御技术，弥补了传统安全技术的不足。入侵检测系统可以对计算机主机和网络进行实时监控，分析发现可疑事件。一旦入侵行为被检测出来，系统就会采取相应的措施(如通知管理员，切断网络连接等)，从而及时消除即将对系统安全产生的危害。入侵检测作为系统安全技术的重要组成部分，日益受到各国政府及学者的重视。美国国防部高级规划署(DARPA)和美国空军向麻省理工(MIT)等大学的研究机构提供资助，利用人工智能等相关技术对入侵检测的技术及评估系统进行研究。包括中国在内的很多国家都启动了信息安全的研究计划，来从事这方面的技术开发和研究。

神经网络是指为了模拟生物大脑的结构和功能而构成的一种信息处理系统或计算机。神经网络的每个神经元接受大量其它神经元的输入，通过非线性输入/输出关系产生输出，实现了从输入状态空间到输出状态空间的非线性映射。在训练的过程中，神经网络能够通过无监督学习对输入样本进行聚类分析，实现连接权值的自动调节，大部分用于入侵检测的神经网络都采用无监督学习的方式。其中又以SOM神经网络应用最为广泛。但是SOM网络结构是固定的，不能动态的改变。网络训练时某些神经元始终不能获胜，成为“死”神经元，导致基于SOM网络的入侵检测方法的检测率比较低，GHSOM神经网络试图克服这些缺陷。

传统的GHSOM算法是无监督的，即训练数据不带有任何的先验知识，在实际入侵检测应用中，由于各种现实条件的限制，得到大量有标签的训练数据很困难。但是我们往往会比较容易得到少量的先验知识，如数据类型的标签，数据与数据之间的约束关系等。尽管数量不是很大，但是这些数据会对训练聚类过程具有一定的指导意义。如何充分利用这些有用的先验知识，对GHSOM网络进行训练提高其准确度是GHSOM算法需要解决的问题。

发明内容

针对目前传统的GHSOM算法存在的问题，本发明的目的在于提供一种基于半监督神经网络模型的入侵检测方法，本发明充分利用训练数据，进一步提高GHSOM算法的检验准确性。在没有先验知识的训练数据中加入了有标签的数据来训练GHSOM网络。同时也对GHSOM算法做出了一些改进，使其能够支持半监督的训练方式。

(1)引入Cop-kmeans半监督机制并解决返回空划分问题

Cop-kmeans算法是基于约束的半监督聚类算法，其输入是大量无标签的数据和一些数据的约束关系。在半监督的GHSOM算法中，输入是大量无标签的数据和少量有标签的数据。为了体现数据之间的约束关系，我们规定相同标签的数据之间是Must-Link关系，不同标签的数据之间是Cannot-Link关系。

在半监督的GHSOM神经网络训练中，输入训练样本采用了少量的有标签数据和大量无标签数据，我们希望借鉴Cop-kmeans的半监督机制来利用少量有标签的数据，使得它们在训练过程中能够起到引导聚类的作用。但是这种算法有一个缺陷，返回空划分结果即某条数据可能找不到符合满足条件的聚类。假设聚类数为2，并且(x_i，x_k)∈Cannot-Link，(x_j，x_k)∈Cannot-Link。由于x_i和x_j在分配x_k之前已经确定了他们的类标签，且x_i和x_j此时已被指派到了C_a和C_b。上述不合适的分配顺序让x_i和x_j被划分到不同的类中，导致了x_k找不到合适的类，无法分配。此时无论x_k选择C_a还是C_b都会和Cannot-Link约束违反。

造成这种现象的原因是有如下几种：

第一、约束关系不够完备，上例没有说明x_i和x_j的关系，如果事先说明它们之间有Must-Link关系，那么他们就不能被划分到两个不同聚类中去。

第二、聚类数小于标签种类数，这就会导致必定有两个不同标签的数据被划分到同一聚类中，但是根据规则不同标签的数据属于Cannot-Link关系。

如果完全借鉴Cop-Kmeans算法的半监督模式，则在GHSOM的训练的过程中，对于有标签的数据，遍历子网的每个神经元，如果发现落在某个神经元上的所有有标签数据和待测试数据属于must-link关系则判断该神经元为获胜神经元，如果有属于connot-link关系的数据则放弃该神经元。对于无标签的神经元则通过距离来选择获胜神经元。

由于神经元的个数有限，通常会存在不同标签的数据落在同一神经元上，如果完全按照COP-kmeans的思想，带有标签的待训练数据一旦碰到神经元上有其它标签数据就放弃该神经元，则往往会找不到符合要求的神经元，导致无法充分利用标签指导训练过程。

针对这个问题，我们做出了如下改进：

在神经元获胜的所有有标签的样本数据中，n_i表示标签i的样本个数，m为有标签样本总数。该神经元上的主标签定义为：n_i值最大的标签k为该神经元的主标签，即主标签k应满足：

该神经元上的主标签样本比例为：r＝n_k/m。在训练过程中，对于子网中的每一个神经元都能确定当前状态下的主标签以及其比例r。对于有标签的样本，选择主标签与当前样本标签相同且主标签r值最大的神经元作为获胜神经元。对于无标签的样本选择与样本的欧几里得距离最近的神经元作为获胜神经元。

采用上述改进后，在聚类过程中就能确保每一个有标签的样本都能找到获胜神经元。同时选择的是主标签与样本标签相同且r值在子网中最大的神经元作为获胜神经元，从而让样本根据其标签选择了和它最相近的神经元。获胜神经元会朝样本的权值的方向修改自己的权值，从而让标签指导了神经元权值的改变，起到了半监督的作用。

(2)引入神经元信息熵提高子网划分精度

在GHSOM网络的训练过程中，我们希望落在单一神经元上的数据种类越少越好。用pe表示落在某个神经元上有标签的数据种类数，理想的情况是神经元上pe值为1。GHSOM的层拓展是通过父神经元的QE值来控制的，当QE值超过某一阈值时就会从父神经元上产生一个新的2*2规模的子网，该子网的训练数据继承于落在父神经元上的数据向量。但是这种控制模式存在一个局限性，即只能通过神经元QE值来衡量落在父神经元上向量数据的种类纯度。

在实际聚类过程中存在这样的情况，有些数据尽管在数值上的差异较低(欧几里得距离小)但是它们却属于不同种类的数据，QE值如公式(1)所示，其中W_i为神经元i的权值向量，C_i为映射到神经元i的所有输入向量构成的集合。它只反映落在某个神经元上所有样本向量方差大小。所以尽管某个神经元的QE虽然很低，并不能说明落在它上面的样本种类一定少。

${\mathrm{QE}}_i=\underset{X_j\∈C_i}{\mathrm{\Σ}}\left\{\right||W_i-X_j|\left|\right\}---\left(1\right)$

这里我们引入了神经元的标签数据信息熵的概念，用来表示神经元有标签数据的纯度。神经元信息熵ety的计算公式如公式(2)所示其中n_i表示落在该神经元上标签为i的这一类数据的个数，m表示落在该神经元上有标签数据的总数，T表示落在神经元上的样本标签种类集合。

$\mathrm{ety}=\underset{i\∈T}{\mathrm{\Σ}}(-\log \frac{n_i}{m})*\frac{n_i}{m}---\left(2\right)$

ety用来衡量落在某个神经元上数据的纯度，该值越低表示数据越纯。当pe为1时ety取得最小值0表示此时神经元上有标签的数据中只有一种数据，纯度最高。种类数pe越高，ety就越大。当种类数一定的时候，主标签比例越高ety越小，数据越纯。

如果子网里的某个神经元的ety＞ety_f*μ₃则认为落在该神经元上数据的多样性程度太高，需要对该神经元继续训练，则从该神经元上长出一个子网。ety_f表示神经元所在子网的父神经元的熵，μ₃为子网扩展控制系数。改进后只要满足ety＞ety_f*μ₃和QE＞QE₀*μ₂这两个条件其中之一，就能进行层拓展其中QE₀表示根节点的量化误差，μ₂为量化误差层拓展控制系数。QE₀是第0层子网神经元的量化误差，μ₂和μ₃属于控制系数，由经验值确定。

采用这种改进后，当遇到向量值很接近的不同种类的数据落到同一个神经元上的时候，此时虽然该神经元的QE值很低，神经元依然能通过ety值来决定划分出一个子网，对这些数据进行再训练。从而使得子网划分更加精确，提高了数据聚类的精度。

(3)提高神经元类型确定的自动化程度

在训练数据中加入了有标签的数据以后，随着训练过程的进行这些数据会落到神经元上面。为了让大部分神经元上都会落上这些有标签的数据，我们需要对训练数据进行设计，让带标签的数据需要涵盖所有训练数据的种类。前面提到神经元主标签的概念，可以利用神经元主标签标记神经元代表的数据类型。这样一来就减少了人工标记的工作量，提高了效率。

本发明的技术方案为：

一种基于半监督神经网络模型的入侵检测方法，其步骤为：

1)人工构造训练数据集，数据集包含少量有标签数据和大量无标签数据。用以训练改进后的半监督GHSOM网络

2)将步骤1)中的训练数据集输入训练GHSOM网络，GHSOM神经网络模型的训练方法为：

输入：含有少量有标签的数据和大量无标签的训练数据集A

输出：训练好的GHSOM网络，能够识别训练数据集中的数据

半监督GHSOM算法描述中引入如下符号：

T：SOM子网的训练数据集

C_i：神经元i获胜的输入向量集合

X：从A中随机挑选的输入向量

r_i：神经元i的主标签比率

qe_i：神经元i的量化误差

ety_i：神经元i的信息熵

μ₁：层内扩展控制系数

μ₂：量化误差层拓展控制系数

μ₃：信息熵层拓展控制系数

半监督GHSOM算法如下：

步骤1)利用输入模式向量的平均值初始化神经网络第0层中唯一神经元的权值，并计算其量化误差qe_i

步骤2)按照原始GHSOM算法从第0层的神经元中拓展出一个2×2结构SOM，并将其层次标识Layer置为1；

步骤3)对于第Layer层中拓展出的每一2×2结构SOM子网，初始化这4个神经元的权值。将每个神经元的C_i置为空，主标签置为NULL，r_i置为0。新的SOM的训练数据T继承于其父神经元的获胜输入向量集合。

步骤4)从训练数据集T中挑选一个输入向量X。

如果X为不带标签的数据，计算它与每个神经元的欧几里得距离，选择距离最短的神经元W作为获胜神经元。

如果X为带标签的数据，选择主标签与X的标签相同且r_i值最大的神经元作为获胜神经元，更新该获胜神经元主标签。

如果找不到主标签与X的标签相同的神经元，则找到与X距离最近的神经元i作为获胜神经元。

步骤5)对获胜神经元及其邻域内神经元的权值进行调整，更新获胜向量集合W_i＝W_i∪X，计算获胜神经元的主标签、主标签比率r_i和信息熵ety_i。如果未达到预定训练次数，则转步骤4。

步骤6)计算经调整后的该SOM中每个神经元的量化误差qe_i，子网的平均量化误差MQE。

如果MQE＞QE_f*μ₁则在该SOM中插入一行或者一列神经元，转步骤4。

如果QE_i＞QE₀*μ₂或者ety_i＞ety_f*μ₃则从该神经元上长出一层新的子网。将新长出的子网增加到Layer+1层的子网队列中。

如果SOM中没有插入新的神经元也没有长出新的子网说明子网训练完成。对于新拓展出的Layer+1层的所有2×2结构SOM，采用步骤3-步骤5所示方法对其进行训练，直至神经网络不再产生新的神经元和新的分层，整个训练结束。

与现有技术相比，本发明的积极效果为：

试验结果表明对于相同的训练数据，加入少量有标签的数据的半监督GHSOM算法整体聚类准确度较无标签的传统GHSOM算法的整体聚类准确度有一定的提升。同时利用有标签的数据还能够判断神经元类型，对神经元起到自动标识的作用。

附图说明

图1为神经网络训练过程图；

图2为GHSOM神经网络训练算法流程图；

图3为插入神经元的过程图；

图4为训练完成后的GHSOM拓扑结构示意图；

图5为入侵检测系统的设计图。

具体实施方式

下面结合附图对本发明进行进一步详细描述：

如图5所示，本发明的入侵检测系统由两部分组成：神经网络模型的离线训练和基于神经网络模型的在线检测。系统从网络中采集样本数据作为训练样本数据集进行离线训练，得到入侵检测模型后再用于在线检测。离线训练过程应用神经网络训练算法，基于训练数据集对神经网络模型进行训练。训练好的神经网络模型便可应用于在线网络入侵检测。

改进的GHSOM神经网络模型的训练方法

神经网络训练过程如图1所示。训练样本对检测模型的精准至关重要，可以通过采集实际运行的网络的数据或在实验环境生成训练样本数据集。训练样本由多个维度的流量构成，同时里面包含少量有标签数据和大量无标签数据。

本发明的GHSOM神经网络训练算法流程如图2所示：

1.训练数据。

传统的GHSOM算法采用的是无监督的训练方式，训练数据中不带有任何的先验信息指导训练过程。在实际过程中，少量先验信息往往较容易获得。传统GHSOM算法不能利用这些信息，导致算法的检测率不能够进一步提高。

本算法处理传统的数据向量模式，在无标签的训练数据中加入少量有标签的数据。利用这些先验知识来指导训练过程，进一步调高算法的检测准确度。

本发明用表示输入向量。其中表示数值类型分向量，

表示向量标记位。无标签数据的标记位为NULL，有标签数据的标记位为攻击类型用字符串表示。训练数据如表1所示

表1训练数据

	数值特征1	数值特征2	数值特征3	标记位
					训练数据1	1	2	3	dos
训练数据2	4	5	6	ipsweep
					训练数据3	7	8	9	null

训练数据1可表示为 $X_1=\left(\begin{array}{c}1\\ 2\\ 3\\ \mathrm{dos}_{\′\′}^{\′\′}\end{array}\right)$ 其中 $X_1^n=\left(\begin{array}{c}1\\ 2\\ 3\end{array}\right),$ $X_1^m=\left(\mathrm{dos}_{\′\′}^{\′\′}\right)$

2.神经网络初始化出第0层，第0层只含有一个神经元，置层次标识参数Layer＝0。

GHSOM初始的第0层中只有一个自组织映射神经网络(Self-Organizing Mappings，以下简称为SOM)，这个SOM仅含有一个神经元，神经元的权值向量初始化所有输入向量的平均值，神经元获胜向量集合初始化为所有的训练数据集合。

3.神经网络从第0层的神经元拓展出一个2×2结构的SOM，置层次标识参数Layer＝1。

传统的GHSOM和改进的GHSOM神经网络首先都从第0层的神经元拓展出一个2×2结构的SOM神经网络。这个新拓展出的SOM处于第1层，第0层的神经元为新拓展出的SOM的父亲神经元。一般地，如果从处于第Layer层的神经元i(i具有任意性)拓展出一个2×2结构的SOM，这个新拓展出的SOM则处于第Layer+1层，并称第Layer层的神经元i为新拓展出的SOM的父神经元。在新拓展出来的SOM中每一个神经元能够记录接下来的训练过程中落在它上面的输入向量。

4.随机选择输入模式向量，对第Layer层中神经元进行训练。

对于第Layer层中新拓展出的SOM，从映射到其父神经元的输入模式向量构成的集合中随机挑选一个输入向量X，检测输入向量的标记位如果不为NULL，则说明该数据是带有标签的数据。对于带有标签的数据，采用找到主标签和向量标签一致的神经元作为获胜神经元。对于标记位为NULL的向量，则根据欧几里得距离选择和输入向量距离最小的神经元作为获胜神经元。

5.第Layer层中神经元的权值进行调整以及更新获胜神经元数据。

在选择出获胜神经元以后，GHSOM需要对神经元进行权值调整。获胜神经元c及其邻域内神经元的权值调整如下所示：

$\left(W_i^n(t+1)\right)=(W_i^n\left(t\right)+\mathrm{\η}\left(t\right)K(c,i,t)\{X^n-W_i^n\left(t\right)\left\}\right)---\left(3\right)$

其中η(t)(预先定义好)为t时刻的学习速率，K(c，i，t)(预先定义好)为邻域函数。

获胜神经元的获胜输入向量集合也要进行相应更新，将神经元新获胜的输入向量加入到获胜集合中。重新统计集合中带标签数据的种类数量，选出数量最多的标签作为神经元的主标签。计算主标签比例

r＝n_k/m           (4)

其中n_k是主标签的数量，m是所有有标签数据的数量。

6.计算第Layer层中神经元的量化误差和神经元信息熵。

对第Layer层每个SOM中神经元达到了预定的学习次数(预定学习次数需要预先设定)以后，传统GHSOM和改进的GHSOM都需要计算每个神经元的量化误差。计算第Layer层中神经元i的量化误差公式如公式1所示。具有最大量化误差值的神经元称为误差神经元(errorunit)。

进一步地，GHSOM计算误差神经元邻域内神经元到误差神经元的距离，其中具有最大距离的神经元为误差神经元的最远邻近神经元(most dissimilar neighbor)。误差神经元e及其最远邻近神经元d计算如下：

$e=\arg \underset{i}{\max }\left(\underset{X_j\∈C_i}{\mathrm{\Σ}}\right\{\left|\right|W_i-X_j\left|\right|\left\}\right)---\left(5\right)$

$d=\arg \underset{i}{\max }\left\{\right||W_e-W_i|\left|\right\}$ W_i∈N_e        (6)

其中W_e为误差神经元e的权值向量，N_e为误差神经元e邻域内神经元权值向量构成的集合。接着计算神经元信息熵，计算公式如公式2所示。

7.是否在第Layer层中插入新神经元

对第Layer层每个SOM中神经元计算出量化误差后，需要进一步判断是否需要在第Layer层中插入新神经元。传统GHSOM判断第Layer层中每个神经元i的量化误差QE_i是否满足下式：

QE_i＜μ₁·QE_f        (7)

μ₁为控制神经网络中神经元增加的参数，QE_f为神经元i的父神经元f的量化误差。如果不满足(7)式，则需要在误差神经元e及其最远邻近神经元d(误差神经元和最远邻近神经元的定义参见本节6中的内容)之间插入一行或一列神经元。插入神经元的过程如图3所示。

在图3的左边是一个2×2结构的SOM，e为误差神经元，d为误差神经元e的最远邻近神经元，在神经元e和d之间插入一列新的神经元(神经元f和c)，新的神经元权值向量的初始值为邻近神经元权值向量的平均值。即神经元f权值向量的初始值为神经元e和d权值向量的平均值，神经元c权值向量的初始值为神经元a和b权值向量的平均值。

当对第Layer层每个SOM中神经元达到了预定的学习次数(预定学习次数需要预先设定)以后，GHSOM算法计算出每个神经元的量化误差。为了判断神经网络是否应该在第Layer层中增加新的神经元，算法首先计算出参数μ₁与QE_f的乘积，其中QE_f为当前SOM父神经元的量化误差，如果当前SOM中存在某个神经元的量化误差大于参数μ₁与QE_f的乘积，则在误差神经元和它的最远邻近神经元之间插入一行或者一列神经元。

8.对第Layer层中插入了新神经元的SOM重新进行训练。

对第Layer层中插入了新神经元的SOM，传统的GHSOM和改进的GHSOM都需要按照本节4和5中介绍的方式对其重新进行训练。

9.是否从第Layer层中的神经元扩展出新的分层

传统GHSOM和改进的GHSOM都需要判断第Layer层中的每个神经元i(i表示第Layer层中的任意神经元)的量化误差QE_i是否满足下式：

QE_i＞QE₀*μ₂        (8)

其中μ₂为控制神经网络中层次拓展的参数。对于满足上式的神经元，在此神经元的下层拓展出一个新的2×2结构的SOM，QE_i只反映落在某个神经元上所有样本向量方差大小。所以尽管某个神经元的QE虽然很低，并不能说明落在它上面的样本种类少。所以我们需要考察其神经元信息熵，看是否满足下式：

ety＞ety_f*μ₃      (9)

μ₃为子网扩展控制系数。改进后只要满足ety＞ety_f*μ₃和QE＞QE₀*μ₂这两个条件其中之一，就能进行层拓展。

训练完成后的GHSOM拓扑结构示意图如图4所示。

入侵检测过程

基于神经网络的网络入侵检测过程见图5。在线检测时，首先由数据采集与预处理模块从网络中采集原始网络数据；然后经过特征提取模块进行特征的提取，生成神经网络能够识别的输入模式；最后将输入模式交给入侵检测模块进行检测。入侵检测模块中的核心部件是训练好的基于改进的GHSOM神经网络模型。入侵检测模块如果对当前网络行为判别为攻击行为，则需要入侵分析与处理模块对其进一步分析处理。

包括以下步骤：

(1)数据采集模块

数据采集模块中使用winpcap来抓包。winpcap是libpcap在Windows下的移植版本，而libpcap是目前最强大的网络抓包库。Winpcap可监听和采集整个网络段中的数据包。得到数据包头的信息后，进一步的，对IP包进行格式检查，若有分片则进行重组。接着，判别它是TCP包，UDP包或者是ICMP包，根据数据包的不同协议类型，进行不同的语义分析，将符合要求的数据包中的信息，传递给数据处理模块。

(2)数据处理

数据处理模块从采集的协议流数据中提出能够比较精确表达数据信息的特征，转化成入侵检测模块能够识别的格式，送给入侵检测模块进行处理。在对数据包进行特征提取上，采用快速的IP数据包重组算法，TCP会话重组算法，并采用Hash表示法进行统计，对每个会话流提炼出了如表2所示的25个特征。之后采用规一化方法对特征向量进行规一化处理。规一化处理的原则是找出每一维特征的最大值，然后将每个特征向量的对应值除以这个最大值；如果最大值为0，则对每个特征向量相对应的值不做改变。对整个特征向量集进行规一化等处理后，就可以作为入侵检测模块的输入数据了。

表2提取的25维特征

(3)入侵检测

入侵检测模块是入侵检测系统的核心模块。入侵检测模块基于改进的GHSOM神经网络进行构建，在对模型训练好的基础上，对数据处理模块提供的输入数据进行检测，并把检测的结果交给入侵处理模块进行进一步处理。

(4)入侵分析与处理模块

如果入侵检测模块判断当前发生了入侵，入侵分析与处理模块则遍历攻击类型标识库，检验是否有匹配的攻击，如果有则可以确定攻击的类型。如果没有匹配的攻击，则进一步判断是否为新的攻击类型，如果是新的攻击类型，则把这种攻击类型加入到攻击类型标识库。

(5)告警处理模块

如果系统检验到当前网络行为是入侵行为，需要告警处理模块和入侵响应模块进一步处理。告警处理模块对入侵行为做出处理，对入侵行为发出警报，并对其进行定位(如告警事件涉及的源地址和端口号)，把这些信息显示在人机交互界面上，根据用户的指令执行相应的操作。

(6)输入/输出处理引擎

输入/输出处理引擎模块是人机交互界面与入侵检测原型系统之间的连接模块。用户通过人机界面发出的各种操作命令都是通过该模块进行解释处理，系统产生的报警信息也由该模块处理之后在人机交互界面上显示。

Claims (7)

1.一种基于半监督神经网络模型的入侵检测方法，其步骤为：

1)利用输入训练数据集合A初始化GHSOM神经网络第0层神经元的权值，并计算其量化误差QE₀；所述集合A中包含部分有标签的训练数据；

2)从第0层的神经元中拓展出一个2×2结构SOM，并将其层次标识Layer置为1；

3)对于第Layer层中拓展出的每一2×2结构SOM：

a)初始化其中4个神经元的权值，同时将神经元i获胜的输入向量集合C_i置为空、主标签置为NULL、主标签比率r_i置为0；

b)SOM的训练数据T继承于其父神经元的获胜输入向量集合；从训练数据集T中挑选输入向量进行训练，直到达到预定训练次数：如果当前所选输入向量X为不带标签的数据，则计算它与每个神经元的欧几里得距离，选择距离最短的神经元W作为获胜神经元；如果X为带标签的数据，则选择主标签与X标签相同且r_i值最大的神经元作为获胜神经元，更新该获胜神经元主标签；如果找不到主标签与X标签相同的神经元，则将与X欧几里得距离最近的神经元i作为X的获胜神经元；对获胜神经元及其邻域内神经元的权值进行调整，更新获胜向量集合W_i＝W_i∪X，计算获胜神经元的主标签、主标签比率r_i和神经元信息熵ety_i；

4)计算SOM中每个神经元的量化误差QE_i，SOM的平均量化误差MQE；如果MQE＞QE_f*μ₁，则在该SOM中插入一行或者一列神经元，采用步骤b)方法进行训练；如果QE_i＞QE₀*μ₂或者ety_i＞ety_f*μ₃，则从神经元i上长出一层新的SOM子网，将新长出的SOM增加到第Layer+1层的子网队列中；

5)对于新拓展出的Layer+1层的SOM，采用步骤3)、4)方法对其进行训练，直至神经网络不再产生新的神经元和新的分层，得到神经网络检测模型；

6)采用得到的神经网络检测模型，对采集的协议流数据进行检测；

其中，所述主标签为在神经元获胜的所有有标签的样本数据中包含标签样本最多的标签，所述主标签比率r_i＝n_k/m，n_k为神经元的主标签、m为神经元有标签样本总数；QE_f为父神经元的量化误差、μ₁为层内扩展控制系数、μ₂为量化误差层拓展控制系数、μ₃为信息熵层拓展控制系数、ety_f为父神经元信息熵。

2.如权利要求1所述的方法，其特征在于利用输入模式向量集合A的平均值初始化神经网络第0层中唯一神经元的权值，并计算其量化误差QE₀。

3.如权利要求1所述的方法，其特征在于采用公式

计算神经元的信息熵；其中，n_i表示落在神经元上标签为i的这一类训练数据的个数。

4.如权利要求1所述的方法，其特征在于如果当前SOM中存在某个神经元的量化误差MQE＞QE_f*μ₁，则在误差神经元和它的最远邻近神经元之间插入一行或者一列神经元。

5.如权利要求1或4所述的方法，其特征在于所插入的新神经元的权值向量初始值为邻近神经元权值向量的平均值。

6.如权利要求1所述的方法，其特征在于如果所述神经网络检测模型判断当前发生了入侵，则遍历攻击类型标识库，如果有匹配的攻击，则确定当前攻击的类型为匹配攻击的攻击类型；如果没有匹配的攻击，则进一步判断是否为新的攻击类型，如果是新的攻击类型，则把当前攻击类型加入到所述攻击类型标识库。

7.如权利要求1或6所述的方法，其特征在于所述神经网络检测模型对入侵行为发出警报，并对其进行定位，将定位些信息显示在人机交互界面上。

Images