基于模糊免疫理論的網絡入侵檢測方法

基于模糊免疫理論的網絡入侵檢測方法
【技術領域】
[0001] 本發明設及一種基于模糊免疫理論的網絡入侵檢測方法，屬于網絡信息安全技術 領域。
【背景技術】
[0002] 入侵檢測是指檢測對計算機或網絡進行非授權使用或入侵的過程。入侵檢測系統 (IntrusionDetectionSystem,簡稱ID巧是一種實現監測功能的軟件或硬件系統。IDS可 W檢測出任何破壞計算機或網絡的完整性、機密性和可用性的行為。該些攻擊行為既可能 來自網絡上的黑客，也有可能來自系統內部非法使用特權的授權用戶或試圖獲得特權的非 授權用戶。
[0003] 生命科學與計算機科學的相互交叉、滲透和促進是上個世紀W來科學技術發展的 一個顯著特點。人工免疫系統（ArtificialImmuneSystem,簡稱AI巧是繼人工神經網絡、 進化計算之后的智能計算研究新方向。免疫系統是一種具有很強自我保護功能的系統，其 基本功能就是識別自我和非我的入侵信息，并將非我的分類清除。由此可見，入侵檢測系統 與生物免疫系統存在許多相似之處。生物免疫系統是為了保護自身不受敵意微生物的侵 害，而入侵檢測是為了保護一臺或一組計算機不受入侵者的入侵。研究表明將人工免疫原 理應用于入侵檢測中具有W下優勢：利用免疫算法生成的檢測器提高了入侵檢測系統的檢 測效率；不依賴入侵知識并且能夠檢測到未知入侵；增強了系統的自學習能力等。同時我 們也發現，經過近幾年的研究發展，基于人工免疫原理的入侵檢測系統并不完善，檢測率的 問題已經成為IDS的瓶頸。因此，如何將生物免疫系統的各種機制開發應用于入侵檢測系 統中，如何全面發揮免疫算法的性能，有待進一步發掘。
[0004] 目前在基于免疫算法入侵檢測過程中，由于忽略了正常和異常模式之間的模糊界 限而導致了檢測準確率不高，而Bezdek提出的模糊集理論為解決該一問題提供了有力的 分析工具，用模糊理論的方法來處理聚類問題能夠比較客觀地反映現實世界。在眾多的模 糊聚類算法中，應用最廣泛而且較成功的是1974年由Dunn提出并由Bezdek加W推廣的模 糊C-均值（化zzyC-means,簡稱FCM)算法。而本發明將模糊集理論融入基于免疫算法的 入侵檢測中，能夠很好地解決因忽略正常和異常模式之間的模糊界限而導致系統檢測準確 率不高的問題。

【發明內容】

[0005] 本發明目的在于提供了一種基于模糊免疫理論的網絡入侵檢測方法，該方法通過 對免疫模型中的關鍵技術與機制的分析，將免疫算法和模糊理論相結合應用于網絡入侵檢 測系統，W克服目前入侵檢測系統存在的不足，建立了一種高效、穩定、自適應的網絡入侵 檢測系統。在目前基于免疫理論的安全體系中，由于傳統否定選擇算法忽略了正常和異常 模式之間的模糊界限而導致了檢測效率低下，而且生成的檢測器數量冗繁，導致用在非我 模式識別時計算復雜度相當高。針對該些缺陷，本發明將模糊分析方法應用于安全檢測系 統中。其特點是對正常模式的構建并不需要那么精確，可w很好地解決"尖銳邊界"的問題， 并且將待檢模式進入檢測器前過濾掉一些正常匹配模式，從而大大減少系統的整體匹配比 較次數。本發明模糊技術的應用主要體現在兩個方面；一是免疫入侵檢測前，利用模糊聚類 進行數據的預處理；二是定義免疫檢測器的模糊檢測規則。
[0006] 本發明解決其技術問題所采用的技術方案是；一種基于人工免疫算法和模糊理論 的網絡入侵檢測方法，該方法是一種策略性的方法，通過模糊理論的軟劃分策略提高了傳 統免疫算法對入侵檢測的準確率。
[0007] 方法流程：
[000引步驟1 ;構造一定數目的訓練樣本集，本發明從邸D99數據集中，隨機選取包含正 常數據和各種攻擊數據的1萬條記錄用來構造訓練樣本集；
[0009] 步驟2 ;對數據進行標準化處理，包括：
[0010] 1)由于不同的屬性值有不同的度量標準，如果度量單位較小，則變量的數值就較 大，對聚類的結果影響自然就越大，因此會出現大數淹沒小數的問題。為避免出現此問題， 對數值型字段的特征屬性采用公式
【主權項】
1. 一種基于模糊免疫理論的網絡入侵檢測方法，其特征在于，所述方法包含如下步 驟： 步驟1 :構造一定數目的訓練樣本集； 步驟2 :對數據進行標準化處理； 步驟3 :利用模糊C-均值方法對處理過的訓練數據進行聚類分析； 步驟4 :生成檢測入侵行為的檢測器，再由免疫進化算法生成成熟的檢測器； 步驟5 :利用成熟的檢測器對網絡訪問數據進行檢測； 步驟6 :若檢測數據為正常模式則允許訪問，否則拒絕其訪問； 步驟7 :動態更新檢測庫，即將與抗原親和度高的抗體加入成熟檢測器的記憶庫中。
2. 根據權利要求1所述的一種基于模糊免疫理論的網絡入侵檢測方法，其特征在于， 所述步驟1從KDD99數據集中，隨機選取包含正常數據和各種攻擊數據的1萬條記錄用來 構造訓練樣本集。
3. 根據權利要求1所述的一種基于模糊免疫理論的網絡入侵檢測方法，其特征在于， 所述步驟2對實驗數據進行標準化處理，包括： Xif - min(xir) D對數值型字段的特征屬性采用公式~'=max(^j_min(;%y進行標準化處理，其中X if 為樣本Xi的f維屬性值，min (X if)為訓練樣本集所有樣本的第f維屬性的最小值，max (Xif) 為訓練樣本集所有樣本的第f維屬性的最大值，經過該處理后，屬性值均在[〇, 1]之間； 2)對非數值型字段的特征屬性標準化處理方法是按照一定順序給每個不同取值賦予 一個正整數值；KDDCUP99數據集中有protocol_type、service和flag三個屬性值是文 本的符號性屬性，標準化方法是用數字值來替換文本屬性值，若在協議類型屬性中出現了 1^^、耶?、101^，則分別替換為0、1、2;將數據集中的1到10維屬性作為聚類特征屬性，第11 維標識性屬性，用于聚類結果的評判分析。
4. 根據權利要求1所述的一種基于模糊免疫理論的網絡入侵檢測方法，其特征在于， 所述步驟4生成檢測器，包括： 一個抗原對應的檢測規則集合R(x，F)定義為： R1Jf condition ^ δ Then nonself R2Jf condition 2多 δ Then nonself R1Jf condition ^ δ Then nonself 其中：δ 為閥值，Conditioni= min{ μ (x # F1), μ (x2e F2)... μ (xne Fn)}，生成檢 測規則時Fi由抗原屬性x i的取值決定，例如x i= 0. 3,則F [0, 0. 4]或（0. 2, 0. 6]，因 此，一個抗原可生成多條檢測規則；檢測一個行為X時，μ Ui e F J代表行為X的特征屬性 Xi對集合F 隸屬度，它的大小反映了模糊變量X 屬于模糊集合F 程度； μ (Xie Fi)計算規則包括：當模糊變量Xi屬于[0, 0.2]時，其對于值域"低"的隸屬 度為1 ;當Xi屬于（0.2,0.4]時，其對值域"低"的隸屬度為（0.4-XiV(0. 4-0. 2)，而對值 域"中"的隸屬度則為Ui-O. 2)八0. 4-0. 2);當Xi屬于（0.4,0.6]時，其對值域"中"的隸 屬度為（〇. 6-Xi)八0. 6-0. 4)，而對值域"高"的隸屬度則為（Xi-0. 4)八0. 6-0. 4);當Xi屬于 (0. 6,0. 8]時，其對值域"高"的隸屬度為（0. 8-Xi)八0. 8-0. 6)，而對值域"很高"的隸屬度 則為Ui-O. 6)八0. 8-0. 6);當Xi屬于（0. 8,1]時，其對值域"很高"的隸屬度為I ; 給定一組規則IR1，…，Rj，行為樣本X的異常度定義為： MnomeIfix) = max {Condition ^x)] ' i=\,..m 所述的Conditioni (X)表示按檢測規則Ri中的Condition i計算得到的模糊值； μ _self (X)表示對非自體集的隸屬程度；一個靠近" 〇 "的值意味著X是正常的，越接近" 1 " 的值說明X的異常度越高。
【專利摘要】本發明公開了基于模糊免疫理論的網絡入侵檢測方法，針對原有免疫入侵檢測模型的不足，根據生物免疫原理，提出一個模糊聚類和免疫理論相結合的入侵檢測新模型。該模型通過模糊聚類技術將待檢測數據進行預處理，然后再經過免疫算法進化的模糊檢測器進行檢測，降低了檢測誤差。在過濾掉大量的正常數據的基礎上，使后期的匹配檢測過程得以大大地簡化，減小了計算復雜度。將檢測器用模糊規則表示時，可以達到用較少的規則覆蓋更多的異體空間的目的。將含異常的數據通過免疫模糊檢測器進行處理，整體檢測效率得到了提高。
【IPC分類】H04L29-06
【公開號】CN104836805
【申請號】CN201510221155
【發明人】成衛青, 仲偉偉
【申請人】南京郵電大學
【公開日】2015年8月12日
【申請日】2015年5月4日