[发明专利]采用改进型自组织特征神经网络聚类算法的入侵检测方法

说明书

本发明提供一种采用改进型自组织特征神经网络聚类算法的入侵检测方法，对云存储系统环境下日志文件数据进行数据清洗，利用基于双层聚类算法的一种自组织特征映射神经网络聚类方法对清洗后的日志数据进行训练，产生数据分类的结果，基于PCA算法进行异常分析从而达到入侵检测的目的。

技术领域

本发明属于机器学习和入侵检测领域，尤其涉及一种采用自组织特征映射神经网络聚类算法实现云存储环境下的入侵检测方法。

背景技术

信息时代的迅速发展，各产业界正在往互联网+方向转型，随着网络化服务趋于大众化，网络安全问题成为众人关注的焦点。因此，入侵检测系统也进入人们的视野，它可以通过实时分析获取计算机系统、网络和用户的行为信息，以此来评估计算机系统和网络的安全性。另外，随着各产业界的数据量以爆炸式方式增长，云存储成为各界的翘楚，云存储作为新的存储模式，改变了传统计算机存储方式，但是其虚拟化、分布式、以及透过任何可连网的装置连接到云上方便地存取数据的特点给计算机系统，网络以及用户带来巨大的安全挑战。为了能有效的应对这些新的挑战，研究云存储环境下的入侵检测具有非常重要的意义。

自组织特征映射神经网络方法具有自组织的，无导师学习特性，同时还具有类似人类大脑思考问题的方式的特点，在很多领域都取得显著的效果，尤其是在异常检测方面，因此，将自组织特征神经网络算法(SOFM)应用于入侵检测领域已经引起了国内外相关学者的高度关注。但是针对目前SOFM算法的研究还不是很充足，传统SOFM算法初始阶段神经元的个数以及对应的权向量的确定影响算法执行过程中的准确率。另外，在训练阶段，神经元之间的邻域关系被不断地固化，已有的拓扑保持映射限制了训练过程中网络结构的生长，这在很大程度上取决于神经元的初始权向量随机产生以及待训练数据的输入顺序，若输入的权值向量太远以至于从未从竞争中获胜，因而也从未得到学习，容易形成“死神经元”。为了解决这个问题，学者们先后提出了一些自动创建更新的神经元模型：1)自创建组织神经网络(BCL)：采用基于几何测量方式的一种特殊节点分裂准则决定是否新生长新节点2)增长式自组织神经网络(GSOM)基于启发式边界值设置决定是否要生长新的节点。这些聚类技术结合先验知识动态调整簇结构，以达到最佳。通过局部最优调节或增加神经元，可改善上述提到的部分问题，但从现有神经元生长出新神经元会导致当前神经元存在位置偏离的可能性，同时“新神经元”与已存在神经元之间的耦合性也是需要考虑的地方。因此，需要研究一种新颖的SOFM算法来避免在神经元个数以及权向量选择上的盲目性，削减在训练样本数据集中容易“死神经元”的产生的可能。通过克服目前SOFM算法存在的不足以此对于提高该算法在云存储系统环境下的入侵检测具有非常重要的应用意义。

发明内容

本发明要解决的技术问题是，提供一种采用基于双层聚类的自组织特征映射神经网络聚类算法的云存储系统环境下的入侵检测方法。

为实现上述目的，本发明采用如下的技术方案：

一种采用改进型自组织特征神经网络聚类算法的入侵检测方法包括以下步骤：

步骤1、对云存储系统下的日志文件数据进行基于正则规则下的日志清洗工作得到样本训练集；

步骤2、基于双层聚类的自组织特征神经网络聚类算法对所述样本训练集进行数据分类，

步骤3、对每个分类数据集采用主成分分析算法(PCA)进行异常检测分析，实现入侵检测的目的。

作为优选，步骤1具体为：对云存储系统环境下的日志文件，采用基于时间序列下对日志文件进行基于正则表达式的特征属性提取工作，然后把这个时间序列下的特征属性对应的值构成一个特征向量存储到临时存储区，完成对数据的清洗工作。