一种基于人工免疫原理的网络异常检测方法技术

本发明专利技术提出了一种基于人工免疫原理的网络异常检测方法，属于信息安全领域。本发明专利技术通过模拟生物免疫系统对外界抗原的响应，通过训练抗原数据收集，人工免疫系统学习，以及网络异常检测三个模块实现了一种检测准确率高、并且能够快速检测的网络异常检测方法。本发明专利技术具有生物免疫系统的非线性，以及克隆选择、免疫网络和免疫记忆等优良特征，解决了目前网络异常检测中存在的检测速度慢，检测准确率低的问题。本发明专利技术亦可广泛应用于模式识别、机器学习等领域，具有广阔的应用前景。

【技术实现步骤摘要】

本专利技术属于。
技术介绍
随着Intemet的不断发展，网络安全己经逐渐成为人们越来越关心的问题， 而入侵检测技术是继防火墙之后逐渐兴起的检测手段之一，也越来越受到广 大学者和工程人员的重视。传统的入侵检测方法分为两种误用检测方法和异常检测方法。其中误用检测通过对己知攻击形成攻击特征数据，除非攻击 特征数据库更新到最新，不然无法检测到相关的攻击；而异常检测方法对正 常的用户行为和被保护的系统进行建模，在检测到新的数据与正常模型相违 背的时候，就认为是异常。由于异常检测方法不需要相关的网络攻击知识来 训练检测模型，因此异常检测模型可以用来检测未知攻击，可以弥补误用检 测的不足，并具有良好的可扩展性。中国专利公开号CN101026510中所述的通过数据包类型以及协议会话状 态进行度量，并根据度量的结果，利用数据挖掘判断该会话或伪会话是否为 异常，该方法检测速度较慢，并难以判断伪造的数据包。公开号CN101051953 公中所述的基于模糊神经网络的异常检测方法，因为需要预先对神经网络进 行训练，训练速度较慢。公开号CN101060444所述的基于贝叶斯统计模型的 网络异常的检测方法，该方法对未知攻击缺乏有效检测。
技术实现思路
本专利技术的目的是提供，该方法 原理基于生物免疫系统对外界抗原的响应，生物免疫系统通过抗体细胞对外6界入侵抗原进行响应和特征提呈，抗体细胞在克隆后，通过变异形成对抗原 具有高亲和力的抗体细胞，大多数抗体细胞只具有一个很短的生命周期，但 有一小部分进化成具有较长生命周期的记忆细胞，当免疫系统受到相同抗原 的再次刺激后，记忆细胞能够很快产生二次应答。在本专利技术中，训练数据相 当于人工免疫系统中的抗原，抗体细胞和抗原亲和力越高，抗体细胞得到刺 激越大，克隆数目就越多，亲和力低的抗体细胞则死亡，而与抗原最相似的 抗体细胞则成为较长生命周期的记忆细胞。网络异常检测时，人工免疫系统 通过记忆细胞能够进行快速的网络异常检测。本方法具有生物免疫系统的非 线性，以及克隆选择、免疫网络和免疫记忆等优良特征，解决了目前网络异 常检测中存在的检测速度慢，检测准确率低的问题。，其特征是首先进行训练抗 原数据收集，即通过收集正异常网络环境下描述网络事务的特征数据，在对 特征数据进行标准化和正异常类别标识处理后，作为训练人工免疫系统的训 练抗原；然后是人工免疫系统学习的步骤，人工免疫系统通过每一个训练抗 原的学习，进行抗体细胞进化，在抗体细胞收敛后，优选出最佳的抗体细胞 对记忆细胞进行更新；最后是网络异常检测步骤，通过己训练人工免疫系统 中的记忆细胞对网络进行异常检测。上述的，其特征是训练抗原 数据收集步骤包括以下步骤(1) 收集网络流量特征数据的步骤，即以旁路侦听方式获取正异常网络 环境下单位时间流入字节数、流出字节数、TCP连接数、ICMP数据包数、紧 急数据包数等描述网络事务的特征数据，作为训练抗原特征向量的特征值；(2) 训练抗原特征向量标准化的步骤，将训练抗原的特征向量各个特征 值标准化为[O, l]间的实数；(3) 训练抗原的抗原类别标识的步骤，将训练抗原类别根据网络正异常 情况标识为0或1，即正常或异常；(4)计算训练抗原间的平均距离的步骤，即计算训练抗原间的平均距离。上述的，其特征是人工免疫 系统学习步骤包括以下步骤初始化抗体集和记忆细胞集、抗体细胞克隆和变异、抗体细胞资源竞争、 记忆细胞集更新和控制、判断是否继续进行学习等五个步骤。上述的，其特征是初始化抗 体集和记忆细胞集，即随机从训练抗原中挑选出一些抗原加入抗体集合和记 忆细胞集合，构成最初的抗体集合和记忆细胞集合。上述的，其特征是抗体细胞 克隆和变异的步骤包括(1) 读入一个训练抗原的步骤，读入一个没有学习过的训练抗原；(2) 寻找匹配记忆细胞的步骤，从记忆细胞集中寻找与正学习抗原同类 且刺激最大的记忆细胞作为匹配记忆细胞，如没有同类记忆细胞，则将训练 抗原作为匹配记忆细胞并加入记忆细胞集；(3) 对匹配记忆细胞进行克隆的步骤，对匹配记忆细胞进行复制；(4) 对克隆抗体细胞进行变异的步骤，对克隆抗体细胞的特征向量各特 征值和抗原类别按匹配记忆细胞和训练抗原间的亲和力值为变异概率进行变 异；(5) 抗体集合更新的步骤，将克隆抗体细胞中变异的抗体细胞加入抗体 细胞集合中。上述的，其特征是抗体细胞 资源竞争的步骤包括(1)计算抗体细胞刺激值的步骤，计算抗体集合中每个与训练抗原同类的抗体细胞的剌激值；(2) 正规化刺激值的步骤，将刺激值标准化为[O, l]间的实数；(3) 根据刺激值分配资源的步骤，根据刺激值计算分配给抗体细胞的资源；(4) 统计资源总数的步骤，统计分配给抗体细胞的资源总数；(5) 对抗体细胞进行死亡的步骤，资源总数如大于给定的资源总数，则 依次将分配资源小抗体细胞进行死亡，即删除该抗体细胞；(6) 随机生成抗体细胞并加入抗体集的步骤，从抗体集中随机地选择一 胖生存下来的抗体细胞，并进行克隆和变异后并加入抗体集合中；(7) 计算抗体细胞平均刺激值的步骤，计算与抗原同类抗体细胞的平均 刺激值；(8) 判断是否继续资源竞争的步骤，如平均刺激值不大于给定的停止资 源竞争的刺激阈值，即如果没有收敛，则重新开始资源竞争，否则转到记忆细胞集更新和控制步骤。上述的，其特征是记忆细胞 集更新和控制的步骤包括(1) 挑选候选记忆细胞的步骤，从抗体细胞集中与挑选出与正学习抗原 同类且最大剌激值的抗体细胞作为候选记忆细胞；(2) 计算剌激值的步骤，分别计算候选记忆细胞和匹配记忆细胞与训练 抗原之间的刺激值，分别为07d&/m和Mafc/7幼'附；(3) 判断是否加入候选记忆细胞的步骤，如果CamiSWm小于MafcA甜m， 则结束记忆细胞集更新和控制步骤，否则进行下一个步骤；(4) 更新记忆细胞集的步骤，将候选记忆细胞加入记忆细胞集；(5) 记忆细胞集控制的步骤，计算匹配记忆细胞与其它任一记忆细胞间 亲和力，如小于训练抗原间的平均距离与距离阈值比例的乘积，则从记忆细 胞集中删除匹配记忆细胞。上述的，其特征是判断是否 继续学习的步骤，即如果训练集还有抗原没有学习，人工免疫系统则对其进 行学习，否则结束人工免疫系统的学习过程。上述的，其特征是网络异常 检测的步骤包括以下步骤(1) 将待检抗原输入的步骤，以旁路侦听方式获取网络单位时间流入字 节数、流出字节数、TCP连接数、ICMP数据包数、紧急数据包数等描述网络 事务的特征数据，作为待检抗原的特征向量，输入己经完成训练的人工免疫 系统；(2) 计算记忆细胞和待检抗原之间亲和力的步骤，计算人工免疫系统所 有记忆细胞与待检抗原之间的亲和力；(3) 按亲和力从小到大进行排序的步骤，将亲和力从小到大进行排序；(4) 记忆细胞投票决定待检抗原类别的步骤，由A个亲和力最小的记忆细胞根据自己的正异常类别进行投票，而待检测抗原的类别取决于记忆细胞投票数目多的类别；(5) 判断是否继续检测的步骤，判断是否还有未检测的抗原，如果有则 继续检测，否则终止检测过程。本专利技术具有如下特点 模拟人工免疫原理进行检测，检测准确率高；检测速度快；具有生物免疫系统的非线性以及克隆选择、免疫网络和免疫记忆等优良特征。本专利技术可支持用户本文档来自技高网...

【技术保护点】
一种基于人工免疫原理的网络异常检测方法，其特征是首先进行训练抗原数据收集，即通过收集正异常网络环境下描述网络事务的特征数据，在对特征数据进行标准化和正异常类别标识处理后，作为训练人工免疫系统的训练抗原；然后是人工免疫系统学习的步骤，人工免疫系统通过每一个训练抗原的学习，进行抗体细胞进化，在抗体细胞收敛后，优选出最佳的抗体细胞对记忆细胞进行更新；最后是网络异常检测步骤，通过已训练人工免疫系统中的记忆细胞对网络进行异常检测。

【技术特征摘要】
1、一种基于人工免疫原理的网络异常检测方法，其特征是首先进行训练抗原数据收集，即通过收集正异常网络环境下描述网络事务的特征数据，在对特征数据进行标准化和正异常类别标识处理后，作为训练人工免疫系统的训练抗原；然后是人工免疫系统学习的步骤，人工免疫系统通过每一个训练抗原的学习，进行抗体细胞进化，在抗体细胞收敛后，优选出最佳的抗体细胞对记忆细胞进行更新；最后是网络异常检测步骤，通过已训练人工免疫系统中的记忆细胞对网络进行异常检测。2、 据权利要求1所述的一种基于人工免疫原理的网络异常检测方法，其 特征是训练抗原数据收集步骤包括以下步骤(1) 收集网络流量特征数据的步骤，即以旁路侦听方式获取正异常网络 环境下单位时间流入字节数、流出字节数、TCP连接数、ICMP数据包数、紧 急数据包数等描述网络事务的特征数据，作为训练抗原特征向量的特征值；(2) 训练抗原特征向量标准化的步骤，将训练抗原的特征向量各个特征 值标准化为[O， l]间的实数；(3) 训练抗原的抗原类别标识的步骤，将训练抗原类别根据网络正异常 情况标识为0或1，即正常或异常；(4) 计算训练抗原间的平均距离的步骤，即计算训练抗原间的平均距离。3、 据权利要求l所述的一种基于人工免疫原理的网络异常检测方法，其特征是人工免疫系统学习步骤包括以下步骤初始化抗体集和记忆细胞集、抗体细胞克隆和变异、抗体细胞资源竞争、 记忆细胞集更新和控制、判断是否继续进行学习等五个步骤。4、 据权利要求3所述的一种基于人工免疫原理的网络异常检测方法，其 特征是初始化抗体集和记忆细胞集，即随机从训练抗原中挑选出一些抗原加 入抗体集合和记忆细胞集合，构成最初的抗体集合和记忆细胞集合。5、 据权利要求3所述的一种基于人工免疫原理的网络异常检测方法，其特征是抗体细胞克隆和变异的步骤包括(1) 读入一个训练抗原的步骤，读入一个没有学习过的训练抗原；(2) 寻找匹配记忆细胞的步骤，从记忆细胞集中寻找与正学习抗原同类 K刺激最大的记忆细胞作为匹配记忆细胞，如没有同类记忆细胞，则将训练 抗原作为匹配记忆细胞并加入记忆细胞集；(3) 对匹配记忆细胞进行克隆的步骤，对匹配记忆细胞进行复制；(4) 对克隆抗体细胞进行变异的步骤，对克隆抗体细胞的特征向量各特 征值和抗原类别按匹配记忆细胞和训练抗原间的亲和力值为变异概率进行变(5) 抗体集合更新的步骤，将克隆抗体细胞中变异的抗体细胞加入抗体细胞集合中。6、 据权利要求3所述的一种基于人工免疫原理的网络异常检测方法，其 特征是抗体细胞资源竞争的步骤包括(1) 计算抗体细胞刺激值的步骤，计算抗体集合中每个与训练抗原同类的抗体细胞的刺激值；(2) 正规化刺激值的步骤，将刺激值...

【专利技术属性】
技术研发人员：陈月峰，范锐，梁春林，刘双印，彭凌西，沈玉利，徐龙琴，张健，朱旭东，
申请(专利权)人：广东海洋大学，
类型：发明
国别省市：44[中国|广东]