本发明专利技术公开了基于模糊免疫理论的网络入侵检测方法,针对原有免疫入侵检测模型的不足,根据生物免疫原理,提出一个模糊聚类和免疫理论相结合的入侵检测新模型。该模型通过模糊聚类技术将待检测数据进行预处理,然后再经过免疫算法进化的模糊检测器进行检测,降低了检测误差。在过滤掉大量的正常数据的基础上,使后期的匹配检测过程得以大大地简化,减小了计算复杂度。将检测器用模糊规则表示时,可以达到用较少的规则覆盖更多的异体空间的目的。将含异常的数据通过免疫模糊检测器进行处理,整体检测效率得到了提高。
【技术实现步骤摘要】
本专利技术设及一种,属于网络信息安全技术 领域。
技术介绍
入侵检测是指检测对计算机或网络进行非授权使用或入侵的过程。入侵检测系统 (IntrusionDetectionSystem,简称ID巧是一种实现监测功能的软件或硬件系统。IDS可 W检测出任何破坏计算机或网络的完整性、机密性和可用性的行为。该些攻击行为既可能 来自网络上的黑客,也有可能来自系统内部非法使用特权的授权用户或试图获得特权的非 授权用户。 生命科学与计算机科学的相互交叉、渗透和促进是上个世纪W来科学技术发展的 一个显著特点。人工免疫系统(ArtificialImmuneSystem,简称AI巧是继人工神经网络、 进化计算之后的智能计算研究新方向。免疫系统是一种具有很强自我保护功能的系统,其 基本功能就是识别自我和非我的入侵信息,并将非我的分类清除。由此可见,入侵检测系统 与生物免疫系统存在许多相似之处。生物免疫系统是为了保护自身不受敌意微生物的侵 害,而入侵检测是为了保护一台或一组计算机不受入侵者的入侵。研究表明将人工免疫原 理应用于入侵检测中具有W下优势:利用免疫算法生成的检测器提高了入侵检测系统的检 测效率;不依赖入侵知识并且能够检测到未知入侵;增强了系统的自学习能力等。同时我 们也发现,经过近几年的研究发展,基于人工免疫原理的入侵检测系统并不完善,检测率的 问题已经成为IDS的瓶颈。因此,如何将生物免疫系统的各种机制开发应用于入侵检测系 统中,如何全面发挥免疫算法的性能,有待进一步发掘。 目前在基于免疫算法入侵检测过程中,由于忽略了正常和异常模式之间的模糊界 限而导致了检测准确率不高,而Bezdek提出的模糊集理论为解决该一问题提供了有力的 分析工具,用模糊理论的方法来处理聚类问题能够比较客观地反映现实世界。在众多的模 糊聚类算法中,应用最广泛而且较成功的是1974年由Dunn提出并由Bezdek加W推广的模 糊C-均值(化zzyC-means,简称FCM)算法。而本专利技术将模糊集理论融入基于免疫算法的 入侵检测中,能够很好地解决因忽略正常和异常模式之间的模糊界限而导致系统检测准确 率不高的问题。
技术实现思路
本专利技术目的在于提供了一种,该方法通过 对免疫模型中的关键技术与机制的分析,将免疫算法和模糊理论相结合应用于网络入侵检 测系统,W克服目前入侵检测系统存在的不足,建立了一种高效、稳定、自适应的网络入侵 检测系统。在目前基于免疫理论的安全体系中,由于传统否定选择算法忽略了正常和异常 模式之间的模糊界限而导致了检测效率低下,而且生成的检测器数量冗繁,导致用在非我 模式识别时计算复杂度相当高。针对该些缺陷,本专利技术将模糊分析方法应用于安全检测系 统中。其特点是对正常模式的构建并不需要那么精确,可w很好地解决"尖锐边界"的问题, 并且将待检模式进入检测器前过滤掉一些正常匹配模式,从而大大减少系统的整体匹配比 较次数。本专利技术模糊技术的应用主要体现在两个方面;一是免疫入侵检测前,利用模糊聚类 进行数据的预处理;二是定义免疫检测器的模糊检测规则。 本专利技术解决其技术问题所采用的技术方案是;一种基于人工免疫算法和模糊理论 的网络入侵检测方法,该方法是一种策略性的方法,通过模糊理论的软划分策略提高了传 统免疫算法对入侵检测的准确率。 方法流程:[000引步骤1 ;构造一定数目的训练样本集,本专利技术从邸D99数据集中,随机选取包含正 常数据和各种攻击数据的1万条记录用来构造训练样本集; 步骤2 ;对数据进行标准化处理,包括: 1)由于不同的属性值有不同的度量标准,如果度量单位较小,则变量的数值就较 大,对聚类的结果影响自然就越大,因此会出现大数淹没小数的问题。为避免出现此问题, 对数值型字段的特征属性采用公式【主权项】1. 一种,其特征在于,所述方法包含如下步 骤: 步骤1 :构造一定数目的训练样本集; 步骤2 :对数据进行标准化处理; 步骤3 :利用模糊C-均值方法对处理过的训练数据进行聚类分析; 步骤4 :生成检测入侵行为的检测器,再由免疫进化算法生成成熟的检测器; 步骤5 :利用成熟的检测器对网络访问数据进行检测; 步骤6 :若检测数据为正常模式则允许访问,否则拒绝其访问; 步骤7 :动态更新检测库,即将与抗原亲和度高的抗体加入成熟检测器的记忆库中。2. 根据权利要求1所述的一种,其特征在于, 所述步骤1从KDD99数据集中,随机选取包含正常数据和各种攻击数据的1万条记录用来 构造训练样本集。3. 根据权利要求1所述的一种,其特征在于, 所述步骤2对实验数据进行标准化处理,包括: Xif - min(xir) D对数值型字段的特征属性采用公式~'=max(^j_min(;%y进行标准化处理,其中X if 为样本Xi的f维属性值,min (X if)为训练样本集所有样本的第f维属性的最小值,max (Xif) 为训练样本集所有样本的第f维属性的最大值,经过该处理后,属性值均在之间; 2)对非数值型字段的特征属性标准化处理方法是按照一定顺序给每个不同取值赋予 一个正整数值;KDDCUP99数据集中有protocol_type、service和flag三个属性值是文 本的符号性属性,标准化方法是用数字值来替换文本属性值,若在协议类型属性中出现了 1^^、耶?、101^,则分别替换为0、1、2;将数据集中的1到10维属性作为聚类特征属性,第11 维标识性属性,用于聚类结果的评判分析。4. 根据权利要求1所述的一种,其特征在于, 所述步骤4生成检测器,包括: 一个抗原对应的检测规则集合R(x,F)定义为: R1Jf condition ^ δ Then nonself R2Jf condition 2多 δ Then nonself R1Jf condition ^ δ Then nonself 其中:δ 为阀值,Conditioni= min{ μ (x # F1), μ (x2e F2)... μ (xne Fn)},生成检 测规则时Fi由抗原属性x i的取值决定,例如x i= 0. 3,则F 或(0. 2, 0. 6],因 此,一个抗原可生成多条检测规则;检测一个行为X时,μ Ui e F J代表行为X的特征属性 Xi对集合F 隶属度,它的大小反映了模糊变量X 属于模糊集合F 程度; μ (Xie Fi)计算规则包括:当模糊变量Xi属于时,其对于值域"低"的隶属 度为1 ;当Xi属于(0.2,0.4]时,其对值域"低"的隶属度为(0.4-XiV(0. 4-0. 2),而对值 域"中"的隶属度则为Ui-O. 2)八0. 4-0. 2);当Xi属于(0.4,0.6]时,其对值域"中"的隶 属度为(〇. 6-Xi)八0. 6-0. 4),而对值域"高"的隶属度则为(Xi-0. 4)八0. 6-0. 4);当Xi属于 (0. 6,0. 8]时,其对值域"高"的隶属度为(0. 8-Xi)八0. 8-0. 6),而对值域"很高"的隶属度 则为Ui-O. 6)八0. 8-0. 6);当Xi属于(0. 8,1]时,其对值域"很高"的隶属度为I ; 给定一组规则IR1,…,Rj,行为样本X的异常度定义为: 本文档来自技高网...
【技术保护点】
一种基于模糊免疫理论的网络入侵检测方法,其特征在于,所述方法包含如下步骤:步骤1:构造一定数目的训练样本集;步骤2:对数据进行标准化处理;步骤3:利用模糊c‑均值方法对处理过的训练数据进行聚类分析;步骤4:生成检测入侵行为的检测器,再由免疫进化算法生成成熟的检测器;步骤5:利用成熟的检测器对网络访问数据进行检测;步骤6:若检测数据为正常模式则允许访问,否则拒绝其访问;步骤7:动态更新检测库,即将与抗原亲和度高的抗体加入成熟检测器的记忆库中。
【技术特征摘要】
【专利技术属性】
技术研发人员:成卫青,仲伟伟,
申请(专利权)人:南京邮电大学,
类型:发明
国别省市:江苏;32
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。