專利名稱:一種基于獨特型網(wǎng)絡的入侵檢測系統(tǒng)的制作方法
技術領域:
本發(fā)明涉及一種建立人工獨特型網(wǎng)絡的方法�����,以及一種計算機網(wǎng)絡的自適應入侵檢測系統(tǒng)����,特別涉及一種利用生物免疫系統(tǒng)的免疫網(wǎng)絡理論的入侵檢測系統(tǒng)。
背景技術:
利用模式識別技術進行入侵檢測���,即將所有行為分為正常和攻擊兩類�����,通過對正常和攻擊行為的學習����,利用模式匹配將待測試行為的類別屬性確定出來����。這種檢測方法結合了異常檢測和誤用檢測兩種方法,有助于改善系統(tǒng)的檢測性能���。
人工獨特型網(wǎng)絡由大量高性能單元組成��,如容噪���、泛化能力��、學習能力和記憶能力�,以及通過競爭實現(xiàn)的并行分布處理能力�����。另外�,人工獨特型網(wǎng)絡具有動態(tài)調(diào)整能力�,使其在用于入侵檢測時,可以通過實時調(diào)整網(wǎng)絡來不斷學習新的攻擊行為或病毒的特征��,從而使得基于該網(wǎng)絡的入侵檢測系統(tǒng)不再需要定期更新攻擊類型庫或者病毒庫�����。
現(xiàn)有技術采用下列方法構建人工獨特型網(wǎng)絡模型��,步驟如下①初始化網(wǎng)絡����;②加入訓練數(shù)據(jù)�;③融合新的克?����?����;④重新計算抗體刺激�;⑤移除最弱的連接和種群中5%的抗體;⑥測試訓練是否結束�,結束則輸出網(wǎng)絡,否則返回步驟②�����。
傳統(tǒng)的網(wǎng)絡模型方法存在下列缺陷1)隨著網(wǎng)絡中抗體個數(shù)的增多���,抗體間的相互作用會遠大于抗原對抗體的激勵作用�,使得能夠識別抗原的抗體不能進行克隆擴增��,因而網(wǎng)絡不能得到正確調(diào)整����;2)不能保留新出現(xiàn)的特征��;3)不容易識別與現(xiàn)有抗原相似的其他抗原���。
發(fā)明內(nèi)容
本發(fā)明提供一種建立人工獨特型網(wǎng)絡的方法,包括初始化網(wǎng)絡�����;建立網(wǎng)絡中所有抗體之間的連接關系�;加入抗原��,對每一抗原計算網(wǎng)絡中每個抗體受到的激勵水平���;選擇受到激勵作用最大的抗體進行克隆和變異��;將新生成的抗體加入網(wǎng)絡����;重新計算網(wǎng)絡中所有抗體之間的連接關系��。
本發(fā)明還提供一種自適應入侵檢測方法�����,建立并訓練檢測器;將待測試數(shù)據(jù)特征向量作為抗原加入檢測器�,計算檢測器中各抗體與抗原間的親和力;如果有抗體的親和力大于匹配閾值且濃度大于選擇閾值����,則根據(jù)抗體的類別給出檢測結果,如果是攻擊�����,則報警���,否則直接檢測下一個數(shù)據(jù)��;計算檢測器中各個抗體的激勵水平����;選擇其中受激勵作用最大的抗體進行克隆和變異�;將新生成的抗體加入檢測器,對檢測器進行調(diào)整����;根據(jù)受激勵作用最大的抗體,給出初步檢測結果�,同時給出提示信息出現(xiàn)未知模式��;如果對此次數(shù)據(jù)能夠確認其真正的類別�,則為新產(chǎn)生的抗體添加相應的類別標簽�。
本發(fā)明提供人工獨特型網(wǎng)絡適用于對較高維數(shù)的數(shù)據(jù)進行分類;調(diào)整網(wǎng)絡時能夠保證變異朝抗原的方向進行���,使新生成的抗體不但與抗原越來越相似�,而且含有多種模式��,能夠迅速識別與現(xiàn)有抗原相似的其他抗原�����,從而可用較少的數(shù)據(jù)訓練網(wǎng)絡����,還可減少訓練次數(shù)����。
本發(fā)明提供的自適應入侵檢測方法,結合了異常檢測和誤用檢測兩種方法的優(yōu)點�����,具有良好的檢測性能,誤報率和漏報率低�����,且能夠識別未知攻擊����;可實時學習新的行為特征,能夠?qū)崟r更新�,避免了定期更新,具有自適應性����,可用于變化的工作環(huán)境。
圖1為本發(fā)明的獨特型網(wǎng)絡示意2為本發(fā)明的自適應檢測器的檢測方法示意3為本發(fā)明自適應入侵檢測器檢測方法的流程圖�����。
具體實施例方式
有關本發(fā)明的詳細說明及技術內(nèi)容���,現(xiàn)結合
如下���。
現(xiàn)參考圖1,說明本發(fā)明獨特型網(wǎng)絡的建立方法。
抗體Ab1由于與抗原Ag相匹配而識別抗原Ag���,受到激勵作用(ps)��。Ab1與另一個抗體Ab4相匹配����,因此受到激勵作用(ns)和抑制作用(nn)�。抗體Ab4稱為抗原Ag在網(wǎng)絡中的內(nèi)影像��,因為它能被識別抗原Ag的同一抗體Ab1所識別����。通常內(nèi)影像不止一個,一般是一個集合�����,因為可識別抗原的抗體也不止一個��,如圖1中Ab2和Ab3��。另外����,抗體Ab2和Ab3又可以與其他抗體相匹配,它們之間也存在刺激和抑制作用�,從而建立了一種網(wǎng)絡結構形式?��?贵w不僅受到抗原的刺激����,也受到周圍有連接關系的抗體的刺激��。在免疫響應過程中���,外來抗原的刺激與互相聯(lián)系抗體間的相互作用導致抗體群的產(chǎn)生��,形成對抗原的記憶�??乖募尤霑粩啻碳ば驴贵w的產(chǎn)生,而未受刺激抗體逐漸死亡��,使網(wǎng)絡不斷更新��,產(chǎn)生新的結構��。
本發(fā)明獨特型網(wǎng)絡中的抗體和抗原均由多維向量表示;且抗原對抗體的激勵作用StAg按照抗體與抗原間的親和力來定義����,由表示抗原和抗體間結合強度的歐幾里德距離Ed來衡量,計算公式如下StAg=1-Ed (3.3)抗體間的激勵和抑制作用�,由抗體間的結合強度來衡量,計算公式如下StAb=1nΣi=1n(1-Edi)---(3.4)]]>SuAb=1nΣi=1nEdi---(3.5)]]>式中StAb和SuAb分別表示激勵和抑制作用�����,n是連接的個數(shù)�����,當抗體間的親和力大于設定的閾值時����,會在二者間建立一條連接。
網(wǎng)絡中各個抗體受到的總激勵水平S=StAg+StAb+SuAb(3.6)選擇受到激勵作用最大的抗體進行復制和變異���。
本發(fā)明提供一種變異率變化的方法���,能夠使抗體朝著新加入網(wǎng)絡的抗原方向進行變異。計算公式如下CN=CO-αn(CO-CAg) (3.7)αn=αn-1+αk(3.8)式中CN為新生成的抗體�����;CO為網(wǎng)絡中原有的抗體���;CAg為新加入的抗原�;αn為學習率或變異率���;αk為學習率的變化系數(shù)���。當αn的初值選為零時,能夠得到原有抗體的復制�����。隨著αn不斷增大�����,新生成的抗體不但與抗原越來越相似��,而且含有多種模式���,能夠識別與現(xiàn)有抗原相似的其他抗原���,從而可用較少的數(shù)據(jù)訓練網(wǎng)絡���,還可減少訓練次數(shù)。
新生成抗體的個數(shù)N=kS (3.9)式中k為規(guī)模常數(shù)����,根據(jù)激勵水平的大小和希望生成的抗體個數(shù)確定。
網(wǎng)絡調(diào)整方法步驟1初始化網(wǎng)絡�;步驟2建立網(wǎng)絡中所有抗體之間的連接關系;步驟3加入抗原���,即訓練數(shù)據(jù)�,對每一抗原3.1計算網(wǎng)絡中每個抗體受到的激勵水平����;3.2選擇受到激勵作用最大的抗體進行克隆和變異;3.3將新生成的抗體加入網(wǎng)絡�;3.4重新計算網(wǎng)絡中所有抗體之間的連接關系;步驟4測試訓練是否完成��,完成則輸出網(wǎng)絡�;否則返回步驟3。
本發(fā)明利用獨特型網(wǎng)絡實現(xiàn)自適應檢測器的方法表1歸納了本發(fā)明自適應檢測器與獨特型網(wǎng)絡模型間的映射關系�����,以便于通過對照來說明組成網(wǎng)絡的元素、網(wǎng)絡的作用原理在用作自適應檢測器時所對應的概念以及所起的作用���。
表1 本發(fā)明的自適應檢測器與獨特型網(wǎng)絡模型間的映射關系表
獨特型網(wǎng)絡中的抗體和抗原都是表示行為特征的多維向量,利用網(wǎng)絡中的初次免疫響應(primary immune response)��,自適應檢測器可實現(xiàn)對行為特征的學習和記憶�����,包括對未知行為特征的實時學習�����。利用網(wǎng)絡中的二次免疫響應(secondary immune response)��,自適應檢測器可以完成對行為的識別任務����,從而實現(xiàn)對行為的檢測。
在自適應檢測器的訓練階段����,訓練用的已知行為特征向量被作為抗原加入網(wǎng)絡���,網(wǎng)絡會經(jīng)歷初次免疫響應產(chǎn)生相應抗體。訓練完成后����,網(wǎng)絡達到穩(wěn)定狀態(tài),相當于抗體的已知行為特征向量被保留下來�。這個過程意味著自適應檢測器實現(xiàn)對已知行為特征的學習,并以網(wǎng)絡當前的結構形式將學習到的模式保留下來��,以便用于今后的檢測����。
檢測時,待檢測的行為特征向量被作為抗原加入到自適應檢測器中��。由于網(wǎng)絡中已有相應抗體����,會對抗原進行識別,因此產(chǎn)生二次免疫響應����。利用該原理,自適應檢測器可以從已有模式中將待測模式的類別辨識出來��,從而實現(xiàn)對待測行為的檢測。
每一個新抗原的加入�,都可以導致初次免疫響應,刺激產(chǎn)生相應抗體����,引起網(wǎng)絡動態(tài)調(diào)整。對于自適應檢測器�����,新數(shù)據(jù)特征導致新向量的產(chǎn)生�,檢測器實現(xiàn)對新數(shù)據(jù)特征的融合��,完成一次更新��。用這種方法��,檢測器可在檢測的過程中��,同時實現(xiàn)對新攻擊特征的學習��。
現(xiàn)參考圖2和圖3說明本發(fā)明自適應入侵檢測器的檢測方法����。
利用初次免疫響應����,在訓練過程中�,自適應檢測器可學習正常和攻擊活動的特征,也就是說產(chǎn)生了對應這些行為模式的抗體��,檢測器會為每個抗體添加類別標簽�。在檢測過程中,自適應檢測器會隨時學習新行為的特征�����,即代表該行為的抗原刺激產(chǎn)生了相應抗體��,從而將該行為模式的特征保留在檢測器中�����。利用二次免疫響應���,自適應檢測器可以對行為進行檢測���,即將的抗體與代表該行為特征的抗原進行匹配,根據(jù)能夠識別該抗原的抗體的類別標簽來確定此次行為是正常還是攻擊。
該檢測方法的特點在于不僅在訓練過程要利用初次響應學習正常和攻擊行為的特征���,還要在檢測過程中利用初次響應隨時將新行為的特征保留下來�����。利用這種檢測方法��,訓練好的檢測器可根據(jù)變化的行為模式進行調(diào)整�����,并能實現(xiàn)對新攻擊特征的學習,因此能夠避免需要定期更新的問題��,有利于降低誤報��,也有利于改善檢測未知攻擊的能力����。
檢測方法的流程,可劃分為兩個階段���。第一階段主要完成檢測器的訓練����。即用已知數(shù)據(jù)建立一個獨特型網(wǎng)絡,使之學習現(xiàn)有正常和攻擊行為的特征����,具備對這兩種行為的識別能力。第二階段主要用于檢測�����,不同的行為模式將進入不同的響應過程�����。例如���,當已知攻擊來臨時��,由于其特征已知����,因此能夠被檢測器中的抗體識別進入二次響應過程���,產(chǎn)生報警����。再比如,出現(xiàn)未知攻擊時�,由于含有部分未見過的特征,檢測器中的抗體與它的匹配程度不高而進入初次響應過程����,抗體通過克隆與變異,生成與該次攻擊特征更相似的抗體�����,檢測器獲得調(diào)整���,完成對新特征的學習����。
由于大多數(shù)新攻擊是對現(xiàn)有攻擊的改進��,因此具有攻擊特征的抗體與該未知攻擊匹配的程度較高��,會將新生成的抗體歸入攻擊類別�,檢測器也會據(jù)此發(fā)出警告信息�,提示可能有新攻擊出現(xiàn)。一旦這次攻擊被確認,會為所有新產(chǎn)生的抗體添加“攻擊”類別標簽����,這樣未知攻擊就變?yōu)橐阎簦斚乱淮卧摴粼俅纬霈F(xiàn)時就可以快速報警�。即使不能及時得到確認,也會隨著可識別抗體的匹配強度和濃度的增加而進入二次響應過程�,產(chǎn)生報警。
本發(fā)明的自適應入侵檢測方法包括如下步驟步驟1建立并訓練檢測器�����;步驟2將待測試數(shù)據(jù)特征向量作為抗原加入檢測器��,按照式(3.3)計算檢測器中各抗體與抗原間的親和力����;步驟3如果有抗體的親和力大于匹配閾值Mt且濃度大于選擇閾值St,則根據(jù)抗體的類別給出檢測結果�����,如果是攻擊����,則報警然后轉(zhuǎn)到步驟2�����,否則直接轉(zhuǎn)向步驟2�,檢測下一個數(shù)據(jù);步驟4按照式(3.3)~(3.6)計算檢測器中各個抗體的激勵水平;步驟5選擇其中受激勵作用最大的抗體��,按照式(3.7)~(3.9)進行克隆和變異,步驟6將新生成的抗體加入檢測器��,對檢測器進行調(diào)整����;步驟7根據(jù)受激勵作用最大的抗體,給出初步檢測結果����,同時給出提示信息出現(xiàn)未知模式;步驟8如果對此次數(shù)據(jù)能夠確認其真正的類別�����,則為新產(chǎn)生的抗體添加相應的類別標簽�;步驟9檢測下一個數(shù)據(jù)�����,返回步驟2。
權利要求
1.一種建立人工獨特型網(wǎng)絡的方法����,包括步驟1初始化網(wǎng)絡;步驟2建立網(wǎng)絡中所有抗體之間的連接關系����;步驟3加入抗原,即訓練數(shù)據(jù)�����,對每一抗原①計算網(wǎng)絡中每個抗體受到的激勵水平�����;②選擇受到激勵作用最大的抗體進行克隆和變異��;③將新生成的抗體加入網(wǎng)絡�;④重新計算網(wǎng)絡中所有抗體之間的連接關系;步驟4測試訓練是否完成����,完成則輸出網(wǎng)絡�����;否則返回步驟3�。
2.如權利要求1所述的建立人工獨特型網(wǎng)絡的方法��,其中步驟3包括按照式(3.4)和式(3.5)計算抗體間的激勵和抑制作用�。
3.如權利要求1所述的建立人工獨特型網(wǎng)絡的方法,其中步驟3包括一種變異率變化的方法���,由式(3.7)和(3.8)給出���,使抗體在變異時不但能夠朝新出現(xiàn)抗原的方向進行,且新產(chǎn)生的抗體包含與抗原相似的多種模式����。
4.一種自適應入侵檢測的方法,包括步驟1建立并訓練檢測器�����;步驟2將待測試數(shù)據(jù)特征向量作為抗原加入檢測器���,計算檢測器中各抗體與抗原間的親和力���;步驟3如果有抗體的親和力大于匹配閾值且濃度大于選擇閾值,則根據(jù)抗體的類別給出檢測結果����,如果是攻擊,則報警然后轉(zhuǎn)到步驟2����,否則直接轉(zhuǎn)向步驟2,檢測下一個數(shù)據(jù)�;步驟4計算檢測器中各個抗體的激勵水平;步驟5選擇其中受激勵作用最大的抗體進行克隆和變異���;步驟6將新生成的抗體加入檢測器��,對檢測器進行調(diào)整�����;步驟7根據(jù)受激勵作用最大的抗體���,給出初步檢測結果,同時給出提示信息出現(xiàn)未知模式��;步驟8如果對此次數(shù)據(jù)能夠確認其真正的類別,則為新產(chǎn)生的抗體添加相應的類別標簽�����;步驟9檢測下一個數(shù)據(jù)��,返回步驟2��。
全文摘要
一種建立人工獨特型網(wǎng)絡的方法�����,包括步驟1初始化網(wǎng)絡�����;步驟2建立網(wǎng)絡中所有抗體之間的連接關系��;步驟3加入抗原��,即訓練數(shù)據(jù)���,對每一抗原①計算網(wǎng)絡中每個抗體受到的激勵水平���;②選擇受到激勵作用最大的抗體進行克隆和變異���;③將新生成的抗體加入網(wǎng)絡;④重新計算網(wǎng)絡中所有抗體之間的連接關系���;步驟4測試訓練是否完成,完成則輸出網(wǎng)絡����;否則返回步驟3。
文檔編號H04L12/24GK101079740SQ20071011767
公開日2007年11月28日 申請日期2007年6月21日 優(yōu)先權日2007年6月21日
發(fā)明者趙林惠 申請人:北京聯(lián)合大學