一种基于三重实值否定选择的入侵检测方法
【技术领域】
[0001] 本发明属于网络信息安全领域,具体设及一种基于=重实值否定选择的入侵检测 方法。
【背景技术】
[0002] 计算机网络的广泛应用为人类的生产、生活带来了极大的便利,然而日益严峻的 网络安全现状也时刻敲响警钟,业已成为我们无法忽视的现实问题。目前,针对网络入侵检 测方法的研究已经引起国内外相关领域内学者的广泛关注,其中具有深刻生物免疫学背景 的入侵检测否定选择算法更是成为研究热点。
[0003] 生物免疫学中,机体内的免疫细胞可W对异体进行有效检测和攻击,类似地,计算 机网络中的访问行为也可W划分为两大类,其中获得许可或通过正常途径访问的行为称为 正常访问行为;而通过非法入侵行为或目前尚未被认可的方式加W访问的行为称为异常访 问行为。基于否定选择算法的入侵检测方法会生成能够对异常访问行为进行检测的成熟检 测器集合,基于经典否定选择算法的入侵检测方法流程图如图1所示,该方法可W在很大 程度上对新近出现的网络攻击模式进行检测,具有较好的检测性能。
[0004] 目前出现的一系列基于否定选择算法的入侵检测方法陷入了两种极端;(1)经典 否定选择算法认为;只要不位于自体集半径范围内的候选检测器便可作为成熟检测器集合 中的元素。该类算法容易导致成熟检测器集合中元素过滥、检测器之间覆盖范围过分重复, 从而降低了检测效率;(2)新近出现的改进型否定选择算法片面强调候选检测器与现有成 熟检测器集合中元素的绝对相异性,但对相互间存在一定覆盖率的成熟检测器集合元素的 优化问题却鲜有设及。因此,该类算法在一定程度上仍然存在检测结果中黑洞数量过多、成 熟检测器集合规模过大W及检测效率偏低的问题。
【发明内容】
[0005] 本发明针对上述问题,提出了一种基于=重实值否定选择的入侵检测方法。
[0006] 本发明采用的技术方案是;一种基于=重实值否定选择的入侵检测方法,包括如 下步骤:
[0007]S1,候选检测器与成熟检测器集合中的个体进行匹配;
[000引 S2,训练自体集针对入围检测器进行检测;
[0009]S3,成熟检测器集合的整合与优化。
[0010] 进一步地,所述步骤S1具体为:
[0011] S11,随机生成一个候选检测器Xi;
[0012] S12,计算Xi中屯、与成熟检测器中每个检测器间的距离;
[0013]S13,判断距离值是否大于成熟检测器中每一个检测器的半径;在距离值大于成熟 检测器中每一个检测器的半径的情况下,该候选检测器将成为入围检测器;否则将该候选 检测器删除。
[0014] 更进一步地,所述步骤S2具体为:
[0015]S21,训练一组自体集self;
[0016] S22,计算入围检测器Xi中屯、与自体集self中每一个自体的距离;
[0017] S23,判断距离值是否大于自体集self中每一个自体的半径;在距离值是否大于 自体集self中每一个自体的半径的情况下,入围检测器成为成熟检测器集合中的元素;否 则将该入围检测器删除。
[0018] 更进一步地,所述步骤S3具体为:
[0019] S31,选取成熟检测器集合中的某一个检测器作为基准;
[0020] S32,比较其它检测器与基准检测器中屯、之间的距离,并根据不同的距离值对成熟 检测器集合进行整合和优化;
[0021] S33,判断成熟检测器集合中的所有检测器是否均被讨论;在成熟检测器集合中的 所有检测器均被讨论的情况下,结束优化;否则循环执行步骤S32。
[0022] 本发明采用上述技术方案,具有W下优点:
[0023] (1)能够利用数量较少的成熟检测器,尽可能地覆盖较大的非自体集空间,有利于 检测效率的提升;
[0024] (2)成熟检测器集合的结构和规模得到了整合和优化,检测结果中的黑洞数量显 著下降;
[0025] (3)成熟检测器检测半径的自适应优化使得该方法拥有更好的鲁椿性。
[0026] 除了上面所描述的目的、特征和优点之外,本发明还有其它的目的、特征和优点。 下面将参照图,对本发明作进一步详细的说明。
【附图说明】
[0027] 构成本申请的一部分的附图用来提供对本发明的进一步理解,本发明的示意性实 施例及其说明用于解释本发明,并不构成对本发明的不当限定。
[0028] 图1为基于经典否定选择算法的入侵检测方法流程图;
[0029] 图2为实值否定选择算法中的固定半径和可变半径检测器生成模式;
[0030] 图3为本发明实施例的方法流程图;
[0031] 图4为本发明实施例的候选检测器与成熟检测器匹配的流程图;
[0032] 图5为本发明实施例的训练自体集针对入围检测器进行检测的流程图;
[0033]图6为本发明实施例的成熟检测器集合中检测器间可能存在的覆盖情况;
[0034] 图7为本发明实施例的成熟检测器集合整合与优化的流程图;
[0035]图8为本发明实施例的检测器间存在"包含"情况的示意图;
[0036] 图9为本发明实施例的检测器间存在"分离"情况的示意图;
[0037]图10为本发明实施例的检测器间存在"重叠"情况的示意图;
[0038] 图11为本发明实施例的=种方法在不同异体覆盖率下的检测器数目对比仿真 图;
[0039] 图12为本发明实施例的S种方法在不同异体覆盖率下的检测效率对比仿真图。
【具体实施方式】
[0040] 为了使本发明的目的、技术方案及优点更加清楚明白,W下结合附图及实施例,对 本发明进行进一步详细说明。应当理解,此处所描述的具体实施例仅用W解释本发明,并不 用于限定本发明。
[0041]WIris数据集中Setosa的25个实例作为自体训练集为例,图3为本发明实施例 的方法流程图,步骤具体包括:
[0042] (1)候选检测器与成熟检测器集合中的个体进行匹配,图4为本发明实施例的候 选检测器与成熟检测器匹配的流程图:
[0043] (11)随机生成一个候选检测器Xi;
[0044] (12)计算Xi中屯、与成熟检测器中每个检测器间的距离dis(dXi,化);
[004引其中,n=l,2,...,Nd.Nd表示成熟检测器集合中检测器的个数,dXi与化分别表 示候选检测器与成熟检测器集合中第n个检测器的中屯、位置。
[0046] (1如判断距离值dis是否大于成熟检测器中每一个检测器的半径;若 dis(dXi,化)〉r化,则该候选检测器将成为入围检测器;否则将该候选检测器删除;
[0047] 似训练自体集针对入围检测器进行检测,图5为本发明实施例的训练自体集针 对入围检测器进行检测的流程图:
[004引 (21)训练一组自体集self;
[0049] (22)计算入围检测器Xi中屯、与自体集self中每一个自体的距离 dis(dXi,ds[j]);
[0050] 其中,s[j]表示自体集self中的个体,j= 1, 2,Ns.Ns表示自体集self中的 个体个数,dXi与ds[j]分别表示候选检测器与自体集self中第s[j]个自体的中屯、位置。
[0051] (23)判断距离值dis是否大于self中每一个自体的半径;若 dis(dXi,ds[j])〉rs[j],则入围检测器成为成熟检测器集合中的元素;否则将该入围检测 器删除。
[0052] (3)成熟检测器集合的整合与优化,图6为成熟检测器集合中检测器间可能存在 的覆盖情况,图7为本发明实施例的成熟检测器集合整合与优化的流程图:
[0053] (31)选取成熟检测器集合中的检测器Di作为基准检测器;
[0054] (32)计算检测器Di与成熟检测器集合中其它检测器Dj(j声i)间的距离 dis值i,Dj);
[005引 桃)若dis值i,W)《I畑i-畑jI,则检测器间存在"包含"情况,图8为本发明实 施例的检测器间存在"包含"情况的示意图,从成熟检测器集合中删除半径较小的检测器个 体;否则,转向步骤(34);
[0056] 其中,RDi与RDj分别表示基准检测器Di与其它检测器Dj的半径。
[0057] (34)若dis值i,Dj)〉畑i+畑j,则检测器间存在"分离"情况,图9为本发明实施例 的检测器间存在"分离"情况的示意图,并W基准检测器Di与其它检测器Dj中屯、位置连线 的中点作为圆屯、,Wdis值i,Dj)-(RDi+RDj)作为半径构建新检测器D(new)k,并删除检测 器Dj;特殊地,若dis值i,Dj)-(畑i+畑j)<rs[j],则不构建新检测器D(new)k,并保持检测 器Di,Dj不变;否则,转向步骤(35);
[005引 做)若I畑i-畑jI《dis值i,W)《畑i+畑j,则检测器间存在"重叠"情况,图10 为本发明实施例的检测器间存在"重叠"情况的示意图;
[0059]定义参数0,丫分别为图10中畑i与dis值i,Dj)、畑j与dis值i,Dj)间的夹角, 即:
【主权项】
1. 一种基于三重实值否定选择的入侵检测方法,其特征在于,包括如下步骤: Sl,候选检测器与成熟检测器集合中的个体进行匹配; 52, 训练自体集针对入围检测器进行检测; 53, 成熟检测器集合的整合与优化。
2. 如权利要求1所述的基于三重实值否定选择的入侵检测方法,其特征在于:所述步 骤Sl具体为: S11,随机生成一个候选检测器Xi ; 512, 计算Xi中心与成熟检测器中每个检测器间的距离; 513, 判断距离值是否大于成熟检测器中每一个检测器的半径; 在距离值大于成熟检测器中每一个检测器的半径的情况下,该候选检测器将成为入围 检测器;否则将该候选检测器删除。
3. 如权利要求1所述的基于三重实值否定选择的入侵检测方法,其特征在于:所述步 骤S2具体为: S21,训练一组自体集self; 522, 计算入围检测器Xi中心与自体集self中每一个自体的距离; 523, 判断距离值是否大于自体集self?中每一个自体的半径;在距离值是否大于自体 集self中每一个自体的半径的情况下,入围检测器成为成熟检测器集合中的元素;否则将 该入围检测器删除。
4. 如权利要求1所述的基于三重实值否定选择的入侵检测方法,其特征在于:所述步 骤S3具体为: S31,选取成熟检测器集合中的某一个检测器作为基准; 532, 比较其它检测器与基准检测器中心之间的距离,并根据不同的距离值对成熟检测 器集合进行整合和优化; 533, 判断成熟检测器集合中的所有检测器是否均被讨论;在成熟检测器集合中的所有 检测器均被讨论的情况下,结束优化;否则循环执行步骤S32。
【专利摘要】发明公开了一种基于三重实值否定选择的入侵检测方法,属于网络信息安全领域。本发明模拟生物体内的免疫机制,将自身正常行为数据作为自体集,首先将候选检测器与成熟检测器集合中的个体进行匹配,若匹配失败,候选检测器将成为入围检测器;然后,再使用训练后的自体集对入围检测器进行检测,其中与训练自体集无交集的入围检测器将成为成熟检测器集合中的元素;最后,将对成熟检测器集合中的元素进行整合和优化。本发明解决了目前入侵检测过程中黑洞数量过多、成熟检测器集合规模过大以及检测效率偏低的问题,能够在提高检测能力的同时压缩了成熟检测器集合规模,有助于推动入侵检测理论的发展,具有很好的应用价值。
【IPC分类】H04L29-06
【公开号】CN104753948
【申请号】CN201510157841
【发明人】孔韦韦, 雷阳, 马婧
【申请人】中国人民武装警察部队工程大学
【公开日】2015年7月1日
【申请日】2015年4月3日