一种基于人工免疫的动态网格入侵检测方法技术

基于人工免疫的动态网格入侵检测方法是借鉴人工免疫技术，面向网格的入侵检测方法，它结合网格环境下入侵检测的动态和实时性的需求，以现有克隆选择算法为主体，通过否定选择、克隆选择、亲和力成熟过程、记忆检测器基因库方法的融合，动态处理网格环境中的入侵检测问题。该方法包括基于人工免疫的动态检测器演化过程和网格入侵检测过程，其特征在于借鉴人工免疫系统的防御机制，融合否定选择、克隆选择、亲和力成熟、记忆检测器基因库方法，首先得到演化成熟的检测器，然后在人工免疫机制的协调下，动态处理网格环境中的入侵检测问题，完成动态网格入侵检测的整个过程。

【技术实现步骤摘要】

本专利技术是，在现有克隆选择方法的基础上，将否定选择、克隆选择、记忆检测器基因库方法融合进来，提出嵌入否定算子的克隆选择方法，以解决网格入侵检测方法缺乏动态性，检测时间过长，效率不高的问题，来提高网格环境中入侵检测的准确性和检测的实时性，本技术属于网格安全

技术介绍
网格是将分布在不同地理位置上的异构资源通过高速网络互连起来以实现充分共享的资源集合，形成一台巨大的虚拟计算机，以提供高性能计算、管理及服务。网格具有以下与一般网络不同的特点大量动态的用户群体；大量动态的资源；计算能力的动态增长和收缩；多种通信机制；不同的本地安全解决方案等。即网格具有大规模、开放、分布、异构、动态等特性。网格技术在提供了一种崭新的资源协作和共享方式的同时，由于其自身的这些特性，使得安全问题成为网格普及使用的一大阻碍。 网格中资源和服务是动态变化的，为保证网格域的安全性，入侵检测须保证是覆盖网格应用范围，而不能给非法用户留有攻击的空间，因此随着网格应用的动态变化，必然导致组成入侵检测系统的检测资源不断地变化。面对网格应用中使用的资源的变化，网格入侵检测技术必须具有很快的响应能力，才能将检测资源不断调整以覆盖整个网格应用范围而不浪费任何检测资源。 人工免疫系统所具有的分布式、自组织和轻量级的特性正好满足了网格入侵检测技术的需求，其中否定选择算法和克隆选择算法是人工免疫系统的主要支柱。基于人工免疫原理的入侵检测中最重要的组件是检测器，这些检测器是高特异性的，规模大。自从否定选择算法和克隆选择算法出现以来，人们提出了不少的检测器生成算法，如否定选择算法及其改进算法，基因库进化等，但都有一定的局限性。Hofmeyr和Forrest在检测过程中，由否定选择算法直接生成成熟的检测器；J.Kim和P.Bentley提出静态克隆选择算法和动态克隆选择算法，依据基因库中的自我信息，并采用一定的算法来模拟基因变异的过程，由伪随机序列产生器随机产生新的检测器。 由于网格环境的动态性和用户数量巨大的特性，单独使用否定选择算法在网格系统的入侵检测中，难以处理网格环境中繁重的任务，易造成系统可扩展性的瓶颈。就网格环境中的入侵检测而言，各种动态加入或离开的网格服务行为，经常会改变合法的自我行为模式定义，所以自我和非自我行为也会随之变化，纯克隆选择算法对新的自我和非自我表现出较差的识别能力，当监测到新增模式时产生了很高的误报率。 由于检测器集的好坏决定了入侵检测的性能，所以本专利技术结合网格环境下入侵检测的需求，深入研究了否定选择、克隆选择、亲和力成熟过程以及免疫记忆机制，以现有克隆选择方法为主体，将否定选择、克隆选择、记忆检测器基因库方法融合进来，提出了嵌入否定算子的克隆选择方法，产生更为有效的检测器，应用于网格环境中的入侵检测系统中，具有检测率高、自适应能力强等特点，为实现安全的网格提供了一种新的方法。这里的否定选择机制，仅作为了克隆选择执行过程中的一个操作因子，因此称为否定算子。本专利技术设计重点在于在检测器演化过程中，嵌入否定选择算子；定义亲和度计算公式。
技术实现思路
技术问题本专利技术的目的是提供一种基于人工免疫的动态入侵检测方法，针对网格环境来解决入侵检测的问题，与过去使用的基于规则的入侵检测技术不同，通过使用本专利技术提出的方法，可以达到保护网格域的目标。 技术方案本专利技术结合网格环境下入侵检测的需求，通过借鉴否定选择、克隆选择、亲和力成熟过程以及免疫记忆机制，以现有的克隆选择为主体，提出嵌入否定选择算子的进化克隆选择算法。其目标是通过否定选择、克隆选择、记忆检测器基因库方法的融合来动态的处理网格环境中的入侵检测问题。 下面给出专利技术中一些组件定义 自我集合(self)初始自我集由原始数据集中的正常的网格服务访问连接记录组成，是从连接数据包中抽取我们感兴趣的字段，忽略传递参数等特性；考虑到数据包间的相关性，需要组合相邻数据包，即一次连接的特征，形成合成特征，作为self特征。 非自我集合(non_self)由原始数据集中的非正常网格服务连接记录组成。如非法网格用户行为、合法网格用户的越权行为、病毒和恶意代码视为non_self。 未成熟检测器集合(Antibody)初始伪随机序列生成未成熟检测器集合，并通过否定选择算子过滤，得到未成熟检测器的集合Antibody。 预检测器集合(Pre_detector)定义亲和度并基于亲和度函数度量确未成熟检测器集合Antibody中的n1个最佳个体BestAb(n1)；对群体中的这n1个最佳个体进行克隆(复制)，生成临时克隆群体Pre_Detector(预检测器)。 成熟检测器(Mature_detector)对克隆生成的群体施加交叉和变异操作，从而生成一个成熟的检测器群体Mature_Detector(成熟检测器)，成熟检测器能够检测到入侵行为模式。 记忆检测器(Memory_detector)记忆检测器从成熟检测器中选取产生。当某个成熟检测器匹配到一个非自我模式a∈non_self时，即进入候选记忆检测器集合；如果几个成熟的检测器都匹配到同一个非自我模式串a∈non_self，其中与a最相似的检测器成为候选记忆检测器。在检测器的生命周期内，若候选记忆检测器再次被使用，那么它将加入记忆检测器集合中；否则将其从候选队列中删除。记忆检测器识别入侵行为模式，叫做二次免疫应答。 基于人工免疫的动态网格入侵检测方法包括基于人工免疫的动态检测器演化过程和网格入侵检测过程，它借鉴了人工免疫系统的防御机制，融合否定选择、克隆选择、亲和力成熟、记忆检测器基因库方法，，首先得到演化成熟的检测器，然后在人工免疫机制的协调下，动态处理网格环境中的入侵检测问题，完成动态网格入侵检测的整个过程。 a.基于人工免疫的检测器动态演化步骤如下 步骤a1.初始化，定义算法中的运行参数 种群大小群体中所含个体的数量，取100～300；迭代代数运算的终止进化代数，取500；检测器生命周期10～20， 步骤a2.初始随机生成未成熟检测器集合，若不满足结束条件，则通过否定选择算子进行过滤；否则结束， 步骤a3.得到未成熟检测器集合，该集合为记忆检测器子集和剩余群体的总和， 步骤a4.定义亲和度函数并基于亲和度确定未成熟检测器集中的若干最佳个体， 步骤a5.对群体中的最佳个体进行克隆，生成临时克隆群体预检测器，克隆规模是抗原亲和度度量的单调递增函数， 步骤a6.对克隆生成的群体施加交叉和变异操作，生成成熟检测器集合， 步骤a7.从成熟检测器集合中重新选择改进个体组成记忆检测器集合，未成熟检测器集合的一些成员可以由成熟检测器集的其他改进成员加以替换， 步骤a8.用否定选择算子过滤掉成熟检测器集合中与自我集匹配的检测器，如果成熟检测器集合的规模大于上限，将其中15％亲和度最低替换掉， 结束条件总的迭代代数大于设定的最大迭代代数； b.基于人工免疫的动态网格入侵检测方法实现步骤如下 步骤b1每次从网上捕获1000个IP数据包，进行预处理，变换为检测系统处理的数据格式， 步骤b2定义评估检测效率的标准，即检测率和误报率， 步骤b3训练检测器，并生成自我集合与非自我集合， 步骤本文档来自技高网...

【技术保护点】
一种基于人工免疫的动态网格入侵检测方法，该方法包括基于人工免疫的动态检测器演化过程和网格入侵检测过程，其特征在于借鉴人工免疫系统的防御机制，融合否定选择、克隆选择、亲和力成熟、记忆检测器基因库方法，首先得到演化成熟的检测器，然后在人工免疫机制的协调下，动态处理网格环境中的入侵检测问题，完成动态网格入侵检测的整个过程。ａ．基于人工免疫的检测器动态演化步骤如下：步骤ａ１．初始化，定义算法中的运行参数：种群大小：群体中所含个体的数量，取１００～３００；迭代代数：运算的终止进化代数，取５００；检测器生命周期：１０～２０，步骤ａ２．初始随机生成未成熟检测器集合，若不满足结束条件，则通过否定选择算子进行过滤；否则结束，步骤ａ３．得到未成熟检测器集合，该集合为记忆检测器子集和剩余群体的总和，步骤ａ４．定义亲和度函数并基于亲和度确定未成熟检测器集中的若干最佳个体，步骤ａ５．对群体中的最佳个体进行克隆，生成临时克隆群体预检测器，克隆规模是抗原亲和度度量的单调递增函数，步骤ａ６．对克隆生成的群体施加交叉和变异操作，生成成熟检测器集合，步骤ａ７．从成熟检测器集合中重新选择改进个体组成记忆检测器集合，未成熟检测器集合的一些成员可以由成熟检测器集的其他改进成员加以替换，步骤ａ８．用否定选择算子过滤掉成熟检测器集合中与自我集匹配的检测器，如果成熟检测器集合的规模大于上限，将其中１５％亲和度最低替换掉，结束条件：总的迭代代数大于设定的最大迭代代数；ｂ．基于人工免疫的动态网格入侵检测方法实现步骤如下：步骤ｂ１：每次从网上捕获１０００个ＩＰ数据包，进行预处理，变换为检测系统处理的数据格式，步骤ｂ２：定义评估检测效率的标准，即检测率和误报率，步骤ｂ３：训练检测器，并生成自我集合与非自我集合，步骤ｂ４：通过步骤ｂ３中生成的一定规模的自我和非自我检测器集合，对网格域内通信数据进行动态入侵检测，步骤ｂ５：检测到异常信息，立刻发出报警信息。...

【技术特征摘要】

【专利技术属性】
技术研发人员：王汝传，杨明慧，季一木，任勋益，易侃，邓松，蒋凌云，付雄，张琳，
申请(专利权)人：南京邮电大学，
类型：发明
国别省市：84[中国|南京]