專利名稱:基于免疫多目標約束的否定選擇入侵檢測方法
技術(shù)領(lǐng)域:
本發(fā)明屬于網(wǎng)絡技術(shù)領(lǐng)域�,涉及網(wǎng)絡安全,也是人工免疫系統(tǒng)在網(wǎng)絡安全領(lǐng)域中 的應用��,具體的說是一種基于免疫多目標約束的否定選擇入侵檢測方法��,可用于網(wǎng)絡環(huán)境 中對數(shù)據(jù)的檢測����。
背景技術(shù):
伴隨著信息時代的到來��,電子商務�,電子政務以及網(wǎng)絡廣泛應用于人們的日常生 活中���,人類進入了信息化社會��。然而在各領(lǐng)域得益于網(wǎng)絡間急劇膨脹的信息量����、開放的資 源�、共享的信息時����,系統(tǒng)數(shù)據(jù)的安全性也必然受到嚴重的威脅。如今我們常用的安全技術(shù) 主要有防火墻����、防病毒軟件、用戶認證��、加密技術(shù)以及入侵檢測系統(tǒng)���。其中����,入侵檢測系統(tǒng)是 一套實時監(jiān)控計算機系統(tǒng)中發(fā)生的事件,并能按照一定規(guī)則進行安全審計的軟件或硬件系 統(tǒng)�����。而這些事件主要包括內(nèi)部攻擊�����、外部攻擊和誤用操作����。根據(jù)檢測數(shù)據(jù),入侵檢測可以分成主機型和網(wǎng)絡型���。主機型的入侵檢測系統(tǒng)主要 是通過審計分析主機數(shù)據(jù)來檢測攻擊����,而網(wǎng)絡型入侵檢測系統(tǒng)則擔負著保護一個網(wǎng)段的任 務�����,其檢測數(shù)據(jù)來源于網(wǎng)絡上的原始數(shù)據(jù)包����。根據(jù)檢測技術(shù)�����,入侵檢測系統(tǒng)可以分為誤用檢 測和異常檢測����。其中��,誤用檢測是通過對已知的入侵行為的建模來檢測新的用戶行為�����。這 種方法產(chǎn)生的誤檢率很小���,但是需要不斷的更新攻擊特征庫,系統(tǒng)適應性較差����。而異常檢測 是對正常行為建模,所有不符合這個模型的行為都被懷疑為攻擊行為����。其操作方法是先在 一定時期內(nèi)收集計算機系統(tǒng)中的正常操作數(shù)據(jù)�����,建立正常行為的模型庫���。然后在收集實時 數(shù)據(jù),并通過一定的規(guī)則檢驗當前行為是否偏離了正常行為的模式����。這種方法的誤檢率較 高,但是可以在沒有特定先驗知識的情況下檢測出未知攻擊行為��,系統(tǒng)適應性較高�����。目前異 常檢測的方法主要有統(tǒng)計方法神經(jīng)網(wǎng)絡��、閾值檢測和人工免疫等���。隨著對入侵檢測技術(shù)研究的深入����,學者們發(fā)現(xiàn)生物免疫系統(tǒng)與入侵檢測系統(tǒng)具有 相似性免疫系統(tǒng)保護生物體免受外來病原體的侵害,正如入侵檢測系統(tǒng)保護計算機免受 外來入侵行為的侵害�;它們都需要在不斷變化的環(huán)境中維持系統(tǒng)的穩(wěn)定性。生物免疫系統(tǒng) 中分布的���、靈活的�����、自適應的和魯棒的解決方式正是計算機安全領(lǐng)域所期望得到的���。1994年,美國University of New Mexico的Forrest等人首次提出基于免疫耐受 機的模型��,即否定選擇算法�����,并首次應用于入侵檢測系統(tǒng)中��。否定選擇算法只需要用正常樣 本作為先驗知識����,類似于異常檢測的方法�����。否定選擇算法主要基于生物免疫系統(tǒng)中自己非 己的識別機制,根據(jù)免疫系統(tǒng)中胸腺T細胞成熟過程建模��。若任一胸腺T細胞檢測到自己 樣本�,則停止分化,失去最終成為成熟T細胞的資格�����。同樣���,在否定選擇算法中只有從未檢 測到正常樣本的檢測器才有可能發(fā)展成為一個成熟的檢測器�����,并用來檢測外來樣本�����。免疫 機制使未出現(xiàn)過的入侵行為仍然可以被檢測到����,且敏感性更高�,反應更快。就其發(fā)展而言, 否定選擇算法從二進制表現(xiàn)型發(fā)展到實數(shù)表現(xiàn)型�����,匹配準則也相應的從rcb匹配準則發(fā)展 到歐氏距離匹配準則����,檢測器的表示形式也從固定大小模式發(fā)展到可變大小的模式。在工程應用中�����,為了更有效的檢測異常行為��,對否定選擇算法的期望主要有1��、生成的檢測器集合能夠盡可能多的覆蓋異常區(qū)域���,以便提高檢測的準確性�;2����、盡可能減少所 需要的檢測器個數(shù),減少資源的消耗��。然而這兩個期望是相互矛盾的���,增加異常區(qū)域的覆蓋 率必然引起檢測器個數(shù)的增加�����。在2003年�,F(xiàn)abia Gonzalez用單目標優(yōu)化模擬退火的方 法實現(xiàn)了固定大小檢測器的分布優(yōu)化�����,可使固定數(shù)目的檢測器獲得較優(yōu)的分布�,盡可能的 滿足工程應用中的期望,提高了算法效率���。然而對于可變大小的檢測器���,每一個檢測都由中 心和半徑兩個要素組成,且每個要素都影響著檢測器的分布情況��,因此單目標優(yōu)化算法已 經(jīng)難以滿足優(yōu)化分布的需要����,造成可變大小檢測器在數(shù)目一定的情況下分布不均����,覆蓋不 全面���,繼而造成檢測率無法有效的提高����。
發(fā)明內(nèi)容
本發(fā)明的目的在于克服上述已有技術(shù)的不足�����,提出一種基于免疫多目標約束的否 定選擇入侵檢測方法���,以實現(xiàn)在保證檢測數(shù)目一定的前提下�,優(yōu)化檢測器分布情況����,使其均 勻分布,滿足工程應用中的期望�����,從而提高檢測率�。實現(xiàn)本發(fā)明目的的技術(shù)思路是提取計算機主機或網(wǎng)絡系統(tǒng)中的正常操作進程數(shù) 據(jù)作為訓練樣本�,建立正常樣本模型庫并以此來生成初始檢測器集合����,通過多目標約束優(yōu) 化的方法��,合理規(guī)劃檢測器的分布狀況�����,提高檢測效率��。其技術(shù)方案包括以下步驟(1)用原始實值否定選擇方法產(chǎn)生初始檢測器集合����,作為父代檢測器集合,并設置 運行參數(shù)以及終止條件�,其中運行參數(shù)主要包括正常樣本的半徑& G
、最高迭代
tiftip
次數(shù)time G
���、控制基因評《6 6 0,—和期望覆蓋率cQ ^ 90% �����;(2)對父代檢測器集合進行克隆繁殖操作�;(3)對克隆繁殖后的檢測器集合進行克隆變異操作,形成子代檢測器集合�����;(4)對父代檢測器集合和子代檢測器集合進行合并���;(5)計算合并后檢測器集合中所有個體檢測器d的覆蓋率々(d) = Cov(d)�����;(6)計算合并后檢測器集合中所有個體檢測器d與檢測器集合中其它個體檢測器 的最大交疊區(qū)域f2 = O-Lap(d)�����,其中①為一個極大值�����;(7)在合并后的檢測器集合中尋找個體檢測器中心向量未被其它任一檢測器所覆 蓋的個體檢測器��,稱為精英檢測器3��,并保留�����;(8)根據(jù)pareto支配關(guān)系判斷檢測器集合中除精英檢測器J以外的個體檢測器之 間的支配關(guān)系����,找出所有pareto支配關(guān)系中非支配的個體檢測器組成非支配檢測器集合, 更新檢測器集合��;(9)根據(jù)初始化中設定的控制基因?qū)z測器集合進行修剪操作�����,當?shù)螖?shù)小于 控制基因時��,修剪掉擁有最大交疊程度的個體檢測器���;當?shù)螖?shù)大于控制基因時,修剪掉 擁有最小體積的個體檢測��,當檢測器種群的規(guī)模滿足規(guī)定大小n時停止修剪���,得到新一輪 的父代檢測器集合����;(10)根據(jù)初始化中設定的終止條件判斷當前檢測器集合是否滿足終止條件�,若滿 足則停止迭代循環(huán)執(zhí)行步驟(11)��,否則返回步驟(2)���,直到滿足終止條件為止;(11)利用已生成的檢測器集合測試輸入的待測數(shù)據(jù)���,根據(jù)歐式距離匹配準則判斷 輸入數(shù)據(jù)是否異常����,并統(tǒng)計檢測率和虛警率�����。
本發(fā)明與現(xiàn)有技術(shù)相比具有如下優(yōu)點(1)檢測器覆蓋率更高交疊區(qū)域更小���,其分布更能滿足工程應用的期望���。在否定選擇入侵檢測中,每一個檢測器都有兩個元素構(gòu)成中心和半徑�。這兩個元 素共同影響著檢測器的分布情況,從而也權(quán)衡著入侵檢測的檢測率和效率之間的關(guān)系?,F(xiàn) 有原始實值否定選擇入侵檢測方法中,檢測率越高對應著檢測器數(shù)目的增加,導致效率低 下���。本發(fā)明將檢測器集合的覆蓋率和檢測器之間的交疊區(qū)域看做兩個目標函數(shù)����,它們分別 影響著入侵檢測的檢測率和效率�,并通過約束多目標的方法對其進行優(yōu)化組合,從而可以 在兩個矛盾的目標函數(shù)中選擇一個平衡點����,即覆蓋率更高且交疊區(qū)域更小的檢測器集合。 因此當檢測器數(shù)目固定在一個較小的值時���,本發(fā)明同樣可以通過約束多目標優(yōu)化的思想找 到一個合理的分布使檢測器集合的覆蓋率近似最大化,以此提高入侵檢測的檢測率�����,從而 滿足檢測率和效率之間的不平衡關(guān)系�����。(2)對實際高維數(shù)據(jù)集在大幅度減少檢測器資源的耗費的同時�����,也能使檢測率穩(wěn)
定提尚。由于實際高維數(shù)據(jù)的復雜性����,現(xiàn)有原始實值否定選擇入侵檢測方法為了提高對實 際高維數(shù)據(jù)的檢測率,只能通過增加檢測器數(shù)目這一種途徑�����,這樣就導致了對于高維復雜 數(shù)據(jù)���,為了達到期望的覆蓋率��,檢測器數(shù)目將會急劇增多�����,資源耗費急劇增大�。然而��,此時大 部分檢測器只提供了很少的一部分有效的覆蓋面積���,即檢測器的大部分區(qū)域與已有檢測器 交疊���,因此嚴重降低了入侵檢測方法的效率�,浪費了系統(tǒng)資源����。本發(fā)明通過對有限個數(shù)檢測器位置及大小的優(yōu)化,得到期望的覆蓋率��,而非單純 的增加檢測器個數(shù)����。根據(jù)多目標優(yōu)化的方法,檢測器之間的交疊程度明顯減少���,每一個檢測 器的有效覆蓋區(qū)域可以近似最大化����。因此不論是高維實際數(shù)據(jù)還是低維人工數(shù)據(jù)�����,本發(fā)明 在可以在有效的節(jié)省資源消耗的情況下�����,穩(wěn)定提高入侵檢測的檢測率���。
圖1是本發(fā)明的流程圖�;圖2是本發(fā)明關(guān)于二維五角星數(shù)據(jù)集的檢測器優(yōu)化前后分布對比圖���;圖3是本發(fā)明關(guān)于二維梳型數(shù)據(jù)集的檢測器優(yōu)化前后分布對比圖�;圖4是本發(fā)明關(guān)于二維五角星數(shù)據(jù)的檢測率統(tǒng)計圖�;圖5是本發(fā)明關(guān)于二維梳型數(shù)據(jù)的檢測率統(tǒng)計圖;圖6是本發(fā)明關(guān)于KDD數(shù)據(jù)30組測試數(shù)據(jù)的檢測率統(tǒng)計對比圖�。
具體實施例方式參照圖1,本發(fā)明針對實際應用中的網(wǎng)絡數(shù)據(jù)����,在一定的時間內(nèi)統(tǒng)計網(wǎng)絡中的正常 行為數(shù)據(jù)。每一個正常的行為都由一組特征向量表示��,并且組成距常樣本的中心向量cs����,正 常樣本的半徑rs則根據(jù)正常樣本復雜度和操作者的經(jīng)驗來人為確定,且始終保持恒定�,與 正常樣本類似,每一個檢測器d都由一個中心向量c和半徑r表示�。其具體檢測步驟包括 如下步驟1���、設置檢測終止條件和運行參數(shù),產(chǎn)生初始檢測器集合��。首先��,采用限定迭代次數(shù)和規(guī)定檢測器集合的期望覆蓋率二者的混合形式作為終止條件���;接著�,設定檢測運行參數(shù)���,主要包括正常樣本的半徑rs G
��、最高迭代次數(shù)
tiftip.
time G
����、初始檢測器集合規(guī)模11�、控制基因容6 6 6 0,^-和期望覆蓋率C(l彡90% ;然后���,根據(jù)實值否定選擇算法中歐氏距離匹配規(guī)則,產(chǎn)生初始的檢測器集合��,作為 父代檢測器集合,其產(chǎn)生方法是隨機生成一個檢測器的中心向量c�,根據(jù)歐氏距離匹配規(guī) 則來判斷是否被正常樣本所覆蓋,即判斷檢測器中心向量C到任一正常樣本中心向量Cs的 距離是否小于該正常樣本的半徑rs��,若小于則判斷為覆蓋��,否則判斷為未覆蓋����;若被覆蓋則 舍棄該檢測器,并重新生成新的檢測器中心向量��,否則計算該檢測器中心向量到離其最近 的一個正常樣本中心向量的歐氏距離dis����,則該檢測器的半徑可定義為r = dis-rs,直到 候選檢測器數(shù)目達到初始檢測器集合規(guī)模n�,初始化過程結(jié)束,此時父代檢測器集合可表示 為Dt(c, r) = {d^c, r), d2(c, r), ...���,dn(c����,r)}�����,t = 0,其中n為檢測器集合規(guī)模�,dk為第k個檢測器。步驟2�、對父代檢測器集合進行克隆繁殖操作。在父代檢測器集合Dt(c����,r)的基礎上,對其中的每一個檢測器進行等比例的克隆 繁殖操作���,定義克隆檢測器集合規(guī)模為n���。,則每一個檢測器的復制個數(shù)為n����。/n,此時克隆檢 測器集合可以表示為 Dl(c,r) = {dn(c,r),dL1 (c,r),---,dLn (c,r)},其中&代表Djc�����,r)中第k個檢測器�。步驟3、對克隆繁殖后的檢測器集合進行克隆變異操作�,形成子代檢測器集合。由于在檢測器分布優(yōu)化的問題中����,檢測器之間的交疊要盡可能的小,所以克隆變 異操作是增加這種可能性的有效方法之一�����,針對問題的特殊性��,對克隆繁殖后檢測器集合 DL(c,r)的所有個體檢測器的中心或半徑在0 1范圍內(nèi)進行高斯擾動使其變異�����,該變異概 率為100%�,最終形成子代檢測器集合,表示為其中代表餌(c���,r)中第k個檢測器���。步驟4、合并父代檢測器集合和子代檢測器集合����。為了保留父代檢測集合的競爭力�,將父代檢測器集合與克隆變異后子代檢測器集 合進行合并�����,組成新的檢測器集合���,其規(guī)模為N = n+n�����。�����,合并后的檢測器集合可以表示為Dt(c,r) = {dx(c,r),d2(c,r),…,dN{c,r)} = Dt(c,r)^JD*L{c,r)��。步驟5����、計算合并后檢測器集合所有個體檢測器d的覆蓋率�����。根據(jù)工程應用的需要和檢測器分布優(yōu)化問題的具體特性,本步驟將個體檢測器d 的覆蓋率定義為第一個目標函數(shù)々(d) = Cov(d)��,其中是一個最大化問題�,即希望得到 最大的個體檢測器覆蓋率�����;由于檢測器生成的不確定性以及數(shù)據(jù)的復雜性��,很難精確計算出檢測器集合的覆 蓋面積�,因此只能用統(tǒng)計采樣的方法來估計,具體步驟為5a)根據(jù)假設檢驗的原理����,假設初始檢測器個數(shù)的上限為dnuffl,得到檢測器集合所
7能達到的理論最大覆蓋率P_ = l"5/dnmi �;5b)在規(guī)定區(qū)域內(nèi)進行隨機采樣,并記錄隨機采樣被已有檢測器所覆蓋的次數(shù)���,采 樣次數(shù)m可由m= {5/P��,5/(l-p)}來確定;5c)在進行m次采樣試驗中�����,若有y 二如p艦(1 - p職)^ + S^Z次采樣被已
����、 V PmdiK )
有檢測器集合連續(xù)覆蓋,則判定其滿足期望覆蓋率�,其中a為置信區(qū)間,za可由正態(tài)分布 表查得����;5d)若在當前采樣試驗中,僅有]���;次采樣被連續(xù)覆蓋����,則當前的覆蓋率為 步驟6�����、計算合并后檢測器集合中所有個體檢測器d與檢測器集合中其它個體檢 測器的最大交疊區(qū)域�����。根據(jù)工程應用的需要和檢測器分布優(yōu)化問題的具體特性,本步驟將個體檢測 器d與檢測器集合中其它個體檢測器的最大交疊區(qū)域定義為第二個目標函數(shù)f2(d)= O-Lap(d)�����,其中①為一個極大值��,Lap(d)是一個最小化問題��,即希望檢測器之間的交疊區(qū) 域最小�,則此時f2被轉(zhuǎn)化成為一個最大化問題��;由于檢測器生成的不確定性以及數(shù)據(jù)的復雜性����,很難精確計算出檢測器間的交疊 區(qū)域,因此本發(fā)明用下述公式來近似第i個檢測器和第j個檢測器之間的交疊程度
r' +rJ
lv v))其中dim為中心向量的維數(shù)�����,f2中的Lap(d)則表示檢測器d與其余檢測器交疊的 最大值為Lap(d) = may\Lap{d, d1} Lap(d, d2\---, Lap{d, ddmm )}���。步驟7���、尋找并保留精英檢測器。為了防止檢測器集合退化,則需要在每一次進化迭代中保留一部分“精英”檢測 器��,所謂“精英”檢測器是指擁有最大體積和最小交疊部分的檢測器�����,但在每一代進化中嚴 格符合這一要求的檢測器只有一個�����,因此為了使精英保留策略更加合理��,判斷精英的限制 條件被放寬�����,定義為當檢測器中心c未被其他任意檢測器所覆蓋時��,則稱該檢測器為精英 檢測器����,獲得保留資格。步驟8�����、找出所有pareto支配關(guān)系中非支配的個體檢測器組成非支配檢測器集
1=1 o根據(jù)Dt(c,r)中個體檢測器的目標函數(shù)值�,pareto支配關(guān)系可以定義為當且僅 當dA和dB滿足
8
時,稱dA支配dB�,記為dA > dB,若不存在其他d > d*���,則d*即為非支配個體檢測 器�����;對于pareto支配關(guān)系的判斷獨立存在于每一父代檢測器及與其對應的克隆后子 代檢測器所組成的檢測器集合中���,這樣的集合被稱為當前檢測器集合的一個子集�����,子集的 個數(shù)與父代檢測器集合中檢測器的個數(shù)相等����;在每一個上述的子集中分別找到對應的非支配個體檢測器,并最終將所有子集中 的非支配個體檢測器記錄保存��,得到非支配檢測器集合 其中���,N*表示當前檢測器集合的規(guī)模�,且滿足關(guān)系m彡彡N,其中dNk代表Dn(C���, r)中第k個檢測器����。步驟9��、對檢測器集合進行修剪操作��。非支配檢測器集合DN(c�,r)的規(guī)模在通常情況下大于初始檢測器種群的規(guī)模n,因 此為了保持種群規(guī)模的不變性���,需要修剪該非支配檢測器集合����;本方法中主要采用兩個修 剪策略����,并根據(jù)控制基因的大小,在進化過程中選擇不同的修剪策略��,兩種修剪策略的主要 目的均是刪除效用最小的檢測器,即提供有效覆蓋面積最小的檢測器�,控制基因為一個經(jīng)
驗值,通常為評nee 0,子���,決定了對修剪策略的選擇�����;第一個修剪策略是刪除擁有最大交疊程度的檢測器��,檢測器的交疊程度可以通 過目標函數(shù)值中計算交疊的公式得到�,當?shù)螖?shù)小于控制基因時�����,則利用此修剪策略對 檢測器集合進行修剪����,減少檢測器集合中檢測器的個數(shù)�����,通過此修剪策略�,可以加快整個檢 測優(yōu)化過程的收斂速度��,但同樣容易使檢測器分布陷入局部最優(yōu)����;第二個修檢策略是刪除擁有最小體積的檢測器�,當?shù)螖?shù)大于控制基因時,則 利用此修剪策略對檢測器集合進行修剪�,減少檢測器集合中檢測器的個數(shù),通過此修剪策 略�����,檢測器分布將會得到一個局部的擾動�,增加了集合的多樣性,可以防止檢測器分布陷入 局部最優(yōu)����,但同樣也給整個檢測器優(yōu)化過程的收斂增加了難度;因此為了平衡兩種修剪策略的優(yōu)勢和劣勢�����,控制基因起到關(guān)鍵作用����,通常在檢測 器種群進化初期采用第一個修剪策略�����,加速種群收斂���;在進化后期采用第二種修剪策略,給 種群一個擾動��,防止種群陷入局部最優(yōu)����,直到檢測器種群的規(guī)模滿足規(guī)定大小n時,修剪停 止��,修剪后的檢測器集合可記為 此時檢測器集合Dt+1(c��,r)為新一輪迭代的父代檢測器集合�����,其中d(t+1)k代表 Dt+1(c,r)中第k個檢測器�。步驟10����、判斷當前檢測器集合是否滿足終止條件��。根據(jù)步驟1中所描述的終止條件對當前檢測器集合進行判斷�,若滿足則停止迭代 循環(huán)執(zhí)行步驟11����,否則重復步驟2到步驟9,直到滿足終止條件為止��。步驟11����、用最終生成的檢測器集合測試輸入的待測數(shù)據(jù),并統(tǒng)計本發(fā)明的檢測率
和虛警率����。通過步驟1到步驟10對檢測器分布的優(yōu)化,可得到成熟的檢測器集合Dtime(C�����,r)�����,其中time為最高迭代次數(shù),此時根據(jù)步驟1中所用到的歐氏距離匹配規(guī)則對新輸入的測 樣本進匹配判斷�����,若測試樣本被任意檢測器所覆蓋����,則認為其為“危險”樣本,對應的行為則 為疑似入侵行為��,否則認為安全���;通過對一組測試樣本的匹配判斷�,可以得到檢測率和虛警率�����,對每一個測試樣本將會有4種不同的檢測結(jié)果1)�����、樣本是異常的���,檢測的結(jié)果也是異常的�����,稱為正確肯定 (tp) ����;2)����、樣本是異常的,檢測器卻未能檢測出該樣本����,稱為漏檢(fh) ;3)��、樣本是正常的���, 檢測器也沒有檢測到該樣本����,稱為正確否定(tn) �;4)、樣本是正常的���,但卻被檢測為異常����, 稱為虛檢(fp),通過對這4種情況的統(tǒng)計可以得到本發(fā)明對此次入侵檢測的檢測率和虛警 率 表不為 本發(fā)明的效果可以通過以下仿真實驗說明在本部分實驗中分別采用了人造二維數(shù)據(jù)以及來自KDD CUP 1999中的實際網(wǎng)絡數(shù)據(jù)��。仿真一對人造二維數(shù)據(jù)進行仿真試驗���,分別選取較簡單的二維五角星數(shù)據(jù)集和 較復雜的二維梳型數(shù)據(jù)集為例���。仿真試驗中具體的運行參數(shù)為正常樣本半徑rs = 0. 04, 最高迭代次數(shù)time = 20�����,期望檢測器集合覆蓋率C(1 = 0. 99����,控制基因gene = time/2 = 10,覆蓋率估計的置信區(qū)間a =0.1�����。圖2和圖3分別展示了上述兩個數(shù)據(jù)集的檢測器集合分布優(yōu)化前后的對比結(jié)果�����, 其中點域代表了正常樣本,圓圈代表了檢測器�。從圖2和圖3可看出,本發(fā)明可以有效改善 檢測器集合分布情況���,圓圈區(qū)域所展示的檢測器通過優(yōu)化其分布明顯能夠覆蓋更大范圍的 正常樣本以外的區(qū)域,且檢測器交疊區(qū)域明顯減少��。圖4和圖5則展示了本發(fā)明的方法(CMIA)與現(xiàn)有原始實值否定選擇入侵檢測方 法(V-Detector)在同一檢測器數(shù)目時�,檢測率隨正常樣本半徑rs變化的情況,檢測器數(shù)目 分別固定為20和70��。從圖4和圖5統(tǒng)計情況可以看出本發(fā)明在最終的檢測率上能取得穩(wěn) 定的提高���。實驗二 KDD CUP 1999中的數(shù)據(jù)包含有大量的網(wǎng)絡入侵數(shù)據(jù)和正常的網(wǎng)絡通信數(shù) 據(jù)�。這些數(shù)據(jù)是由基于連接的網(wǎng)絡通信數(shù)據(jù)構(gòu)成的���,每個記錄都對應著一種網(wǎng)絡連接����。KDD 數(shù)據(jù)包含有3935650個異常的鏈接向量�,約占總數(shù)據(jù)的80. 14% ���;以及972780個正常的鏈 接向量,約占總數(shù)據(jù)的19. 86%��。KDD數(shù)據(jù)中主要包含了 4類異常數(shù)據(jù)a)DOS 服務終止��,例如syn flood�。約占異常連接的98. 92%。b)R2L:遠程機器未經(jīng)授權(quán)的訪問�����,例如guessing password.約占異常連接的
0. 0286% oc)U2R 未經(jīng)授權(quán)的本地高級用戶訪問特權(quán)�����,例如緩沖期溢出攻擊�。約占異常連接 的 0. 0013%。d)Probing:監(jiān)視和其它窺視���,例如端口掃描���。約占異常連接的1. 05%。具體仿真步驟如下(1)���、KDD數(shù)據(jù)的預處理�。
每個網(wǎng)絡連接向量都是兩個IP地址在某個時段網(wǎng)絡信息包傳遞的一個序列。一 個完整的記錄包括38個連續(xù)的數(shù)字���、3個符號和一個結(jié)束標記����。結(jié)束標記記錄了該行為屬 于攻擊類型還是正常行為�。例a) 102��,tcp��,http�,SF,181,5450���,0�,0��,0����,0���,0,1�,0,0����,0,0����,0,0��,0����,0,0�����,0�,8,8,0���,0���,0, 0,1,0,0,9,9,1,0,0. 11,0,0,0,0,0, normal表示一個HTTP服務的正常訪問的鏈接向量�。b)0, icmp, ecr_i, SF,1032,0��,0�����,0���,0,0�,0,0�,0,0�����,0,0��,0�����,0����,0,0���,0����,0��,511���,511��,0��,0����, 0,0,1,0,0,255,255,1,0,1,0,0,0,0,0, smurf表示一個服務終止攻擊的鏈接向量。為了使這些連接向量可以適用于本方法���,必須預處理這些數(shù)據(jù)��。首先��,將可識別的 符號字符映射稱為對應的自然數(shù)���,例如icmp — 0、tcp — 1��、udp — 2����、SF — 7、http — 19 等���。其次用最小最大化的方法將數(shù)據(jù)集進行歸一化,規(guī)范到超立方體W����,l]41中。因此上述 a)、b)可轉(zhuǎn)化為a)0. 001748701�����,0. 5,0. 275362319,0. 7,2. 61042E_07����,4. 1605E-06,0�����,0�,0,0�,0, 1����,0,0�����,0��,0,0�����,0����,0,0�,0,0����,0.015655577,0.015655577,0��,0�����,0���,0����,1,0,0,0. 035294118,0, 0.035294118��,1,0,0. 11����,0,0��,0�,0,0���,0��。b)0����,0��,0. 144927536,0. 7�����,1. 48837E—06�,0���,0,0�,0,0���,0��,0��,0����,0�,0,0����,0,0�,0,0��,0�����,0�, 1,1,0,0,0,0,1,0,0,1,1,1,0,1,0,0,0,0,0,1。(2)����、試驗參數(shù)設置及試驗結(jié)果。將預處理后的KDD向量數(shù)據(jù)任取10000組正常數(shù)據(jù)做訓練數(shù)據(jù)���,完成檢測器的生 成優(yōu)化過程���。然后將KDD數(shù)據(jù)隨機分成30組測試數(shù)據(jù),每一組測試數(shù)據(jù)中含有39256個異 常數(shù)據(jù)�����,9727個正常數(shù)據(jù)��。最后對30組測試數(shù)據(jù)分別進行檢測����,得出檢測率和虛警率。運行參數(shù)設置為檢測器最大規(guī)模n = 50 ����;期望檢測器集合覆蓋率C(l = 0. 99 ����;正 常樣本半徑rs = 0. 05 �;覆蓋率估計的置信區(qū)間a = 0. 1 ;最大進化代數(shù)為time = 50 ���;控 制基因為 gene = time/3 = 10�。下面以第4組�����、第14組和第24組測試數(shù)據(jù)為代表�,表1展示了第4組測試數(shù)據(jù)的 檢測率、虛警率和檢測器個數(shù)�,表2展示了第14組測試數(shù)據(jù)的檢測率、虛警率和檢測器個 數(shù)����,表3展示了第24組測試數(shù)據(jù)的檢測率、虛警率和檢測器個數(shù)�����。表中CMIA為本發(fā)明的方 法,V-Detector為現(xiàn)有原始實值否定選擇入侵檢測的方法����。為了保證對比測試條件公平, 在這里固定檢測器個數(shù)為50���。表1 第4組測試數(shù)據(jù)KDDtest_4 表2 第14組測試數(shù)據(jù)KDDtest_14 表3 第24組測試數(shù)據(jù)KDDtest_24 對于全部30組測試數(shù)據(jù)運行50次后的平均檢測率如圖5所示,圖中兩條曲線分 別代表了本發(fā)明的方法CMIA和現(xiàn)有原始實值否定選擇入侵檢測方法V-Detector的檢測率 統(tǒng)計曲線�����。(3)試驗仿真結(jié)果分析�����。根據(jù)表1��、表2和表3可以看出�,本發(fā)明可以對測試數(shù)據(jù)的檢測率取得穩(wěn)定的提高, 但在虛警率方面沒有現(xiàn)有原始實值否定選擇入侵檢測的方法優(yōu)秀��。然而在實際應用中���,網(wǎng) 絡里高的安全系數(shù)是更為被關(guān)注的����,是否能檢測到異常行為是入侵檢測的根本,因此檢測 率的提高更被看重���。從圖5可見�,本發(fā)明對30組測試數(shù)據(jù)的檢測率均能有較穩(wěn)定的提高����,但同時可見, 不同的測試數(shù)據(jù)之間檢測率仍有較大的差異�。原因是在訓練過程中僅利用972780組正常 數(shù)據(jù)中的10000組數(shù)據(jù)進行訓練,所以當測試數(shù)據(jù)與訓練數(shù)據(jù)特性偏離較大時很難得到最 滿意的檢測率�����。在實際應用中通過對訓練數(shù)據(jù)的增加��,將會有效改善測試效果�����。
權(quán)利要求
一種基于免疫多目標約束的否定選擇入侵檢測方法���,包括如下步驟(1)用原始實值否定選擇方法產(chǎn)生初始檢測器集合���,作為父代檢測器集合����,并設置運行參數(shù)以及終止條件��,其中運行參數(shù)主要包括正常樣本的半徑rs∈
�、最高迭代次數(shù)time∈
、控制基因和期望覆蓋率c0≥90%�;(2)對父代檢測器集合進行克隆繁殖操作;(3)對克隆繁殖后的檢測器集合進行克隆變異操作�,形成子代檢測器集合��;(4)對父代檢測器集合和子代檢測器集合進行合并����;(5)計算合并后檢測器集合中所有個體檢測器d的覆蓋率f1(d)=Cov(d);(6)計算合并后檢測器集合中所有個體檢測器d與檢測器集合中其它個體檢測器的最大交疊區(qū)域f2=Φ-Lap(d)���,其中Φ為一個極大值�����;(7)在合并后的檢測器集合中尋找個體檢測器中心向量未被其它任一檢測器所覆蓋的個體檢測器����,稱為精英檢測器并保留;(8)根據(jù)pareto支配關(guān)系判斷檢測器集合中除精英檢測器以外的個體檢測器之間的支配關(guān)系��,找出所有pareto支配關(guān)系中非支配的個體檢測器組成非支配檢測器集合���,更新檢測器集合�����;(9)根據(jù)初始化中設定的控制基因?qū)z測器集合進行修剪操作����,當?shù)螖?shù)小于控制基因時���,修剪掉擁有最大交疊程度的個體檢測器�����;當?shù)螖?shù)大于控制基因時��,修剪掉擁有最小體積的個體檢測�����,當檢測器種群的規(guī)模滿足規(guī)定大小n時停止修剪��,得到新一輪的父代檢測器集合��;(10)根據(jù)步驟(1)中設定的終止條件判斷當前檢測器集合是否滿足終止條件��,若滿足則停止迭代循環(huán)執(zhí)行步驟(11)����,否則步驟(2),直到滿足終止條件為止��;(11)利用已生成的檢測器集合測試輸入的待測數(shù)據(jù)���,根據(jù)歐式距離匹配規(guī)則判斷輸入數(shù)據(jù)是否異常,并統(tǒng)計檢測率和虛警率�����。FSA00000149515000011.tif,FSA00000149515000012.tif,FSA00000149515000013.tif
2.根據(jù)權(quán)利要求1所述的入侵檢測方法�����,其中步驟(1)所說的用原始實值否定選擇方 法產(chǎn)生初始檢測器集合,主要是指利用原始實值否定選擇算法中歐氏距離匹配規(guī)則來檢測 隨機生成的檢測器中心是否被正常樣本覆蓋�����,若被覆蓋則刪除該檢測器重新隨機生成檢測 器中心�����,否則將其添加到初始檢測器集合中���,直到滿足初始檢測器集合規(guī)模η��,得到初始檢 測器集合為Dt (c, r) = ((I1 (c, r), d2 (c, r),…���,dn(c, r)}, t = 0,其中η為檢測器種群規(guī)模,dk代表第k個檢測器�,任一檢測器都由檢測器中心c和檢測 器半徑r構(gòu)成。
3.根據(jù)權(quán)利要求1所述的入侵檢測方法�,其中步驟(1)所說的終止條件,采用限定迭代 次數(shù)�,規(guī)定檢測器集合的期望覆蓋率,或者二者的混合形式�。
4.根據(jù)權(quán)利要求1所述的入侵檢測方法,其中步驟(2)中所說的克隆繁殖操作��,是將檢 測器集合Dt(c,r)中的每一個檢測器進行等比例的復制克隆�����,直到達到克隆檢測器集合的 規(guī)模n���。��,每一個檢測器的復制個數(shù)為n���。/n,最終得到的克隆后檢測器集合為DL{c,r) = {dLl(c,r),dL2(c,r),· · ·,dLric (c,r)}�����,其中屯代表DL(c���,r)中第k個檢測器���。
5.根據(jù)權(quán)利要求1所述的入侵檢測方法���,其中步驟(3)中所說的克隆變異操作��,是對克 隆繁殖后種群隊(c��,r)的所有個體檢測器的中心或半徑在0 1范圍內(nèi)進行高斯擾動使其 變異��,該變異概率為100%����。
全文摘要
本發(fā)明公開了一種基于免疫多目標約束的否定選擇入侵檢測方法,主要用于解決現(xiàn)有技術(shù)中檢測器耗費大和分布不合理的問題�。其實現(xiàn)步驟為(1)產(chǎn)生初始檢測器集合,設置運行參數(shù)和終止條件�;(2)對檢測器集合進行克隆繁殖操作;(3)對檢測器集合進行克隆變異操作����;(4)合并父代和子代檢測器集合;(5)計算個體檢測器覆蓋率�;(6)計算個體檢測器交疊區(qū)域;(7)保留精英檢測器��;(8)構(gòu)造非支配檢測器集合��;(9)對檢測器集合進行修剪操作����;(10)判斷終止條件�����;(11)測試待測數(shù)據(jù)�,統(tǒng)計檢測率和虛警率�����。本發(fā)明能夠用更少的檢測器覆蓋更大面積的異常區(qū)域��,有效提高了入侵檢測檢測率�����,可用于網(wǎng)絡環(huán)境中對數(shù)據(jù)的檢測�����。
文檔編號H04L12/24GK101866402SQ20101018808
公開日2010年10月20日 申請日期2010年5月31日 優(yōu)先權(quán)日2010年5月31日
發(fā)明者公茂果, 劉芳, 劉若辰, 張偉, 李陽陽, 焦李成, 王爽, 馬文萍 申請人:西安電子科技大學