一种基于生物免疫机制的主机入侵检测方法技术

一种基于生物免疫机制的主机入侵检测方法，首先将已有主机审计数据中的历史入侵实例进行属性约简和统一编码，确定每个属性的语言术语及隶属度函数；随机生成初始抗体种群，并从中选择一定比例亲和度最高的个体进行克隆和变异操作，然后更新抗体种群和记忆种群，最终得到建立的模糊关联规则库；最后使用所得到的模糊关联规则库对主机监测行为的实时数据进行入侵检测；如果在主机监测行为中出现新的攻击类型，则根据该攻击行为确定新的关联规则并加入到模糊关联规则库中。该检测方法具有自适应、自组织、高效率和可理解性强的特性，可自适应地确定模糊关联规则库，基于入侵行为的动态变化增加模糊关联规则库，达到保护宿主主机系统信息安全的目的。

【技术实现步骤摘要】

本专利技术涉及计算安全技术中的主机入侵检测方法，具体地说是一种借鉴生物免疫机制确定模糊关联规则库，基于模糊关联规则库通过模糊分类来对主机的监测行为实施入侵检测的方法。
技术介绍
随着计算机网络技术的发展，计算机系统安全问题越来越受到重视。基于主机的入侵检测技术通过对特定的宿主主机的审计数据进行检测和分析，发现针对主机的入侵和攻击行为，并作出及时和有效的相应保护措施。主机入侵检测技术是一种主动的系统安全策略和方案，它能够弥补传统的网络防火墙技术所暴露出的众多不足和弱点。由于主机的监测行为是动态变化的，为了保证宿主主机系统的安全，主机入侵检测系统必须能够随着主机监测行为的动态变化而自适应地变化，确保能迅速地发现系统中新出现的异常和入侵行为，并及时作出响应，保证系统的安全性要求。通常模糊关联规则挖掘方法中采用穷举式搜索策略，算法的运行时间长，效率低。
技术实现思路
本专利技术所要解决的技术问题是提供， 具有自适应和自组织确定模糊关联规则库的优势，可以达到有效保护宿主主机系统信息安全的目的。本专利技术为解决上述技术问题所采用的技术方案是，包括基于生物免疫机制确定模糊关联规则库的阶段和根据模糊关联规则库对主机监测行为的实时数据进行入侵检测的阶段；具体方法为(一)、确定模糊关联规则库的阶段(1)、将已有的主机审计数据中的历史入侵实例进行属性约简和统一编码，选择支持度高于设定阈值的属性作为约简后的属性集合；(2)、确定约简后的属性集合中每个属性所对应的语言术语以及相应的隶属度函数；对每个属性进行模糊化，并且统一采用一定数量语言术语进行描述，其对应的隶属度函数采用三角形隶属度函数；(3)、随机生成初始抗体种群，种群中每个个体的编码形式如下为( , ,-", ), CSfj € {O, I, 2,■■·,*}, =1,2,···, 其中m表示每个属性所对应的模糊集合数目或模糊术语数目，η表示所有的属性数目；(4)、基于个体的亲和度函数评价种群中每个个体的优劣，从中选择一定比例亲和度最高的个体进行后续的克隆和变异操作，其中个体的亲和度为其所对应的模糊关联规则的确信度；(5)、基于每个个体的亲和度值和密度确定选取的个体的克隆数目，克隆数目的计算公式为权利要求1.，其特征在于包括基于生物免疫机制确定模糊关联规则库的阶段和根据模糊关联规则库对主机监测行为的实时数据进行入侵检测的阶段；具体方法为(一)、确定模糊关联规则库的阶段(1)、将已有的主机审计数据中的历史入侵实例进行属性约简和统一编码，选择支持度高于设定阈值的属性作为约简后的属性集合；(2)、确定约简后的属性集合中每个属性所对应的语言术语以及相应的隶属度函数；对每个属性进行模糊化，并且统一采用一定数量的语言术语进行描述，其对应的隶属度函数采用三角形隶属度函数；(3)、随机生成初始抗体种群，种群中每个个体的编码形式如下为全文摘要，首先将已有主机审计数据中的历史入侵实例进行属性约简和统一编码，确定每个属性的语言术语及隶属度函数；随机生成初始抗体种群，并从中选择一定比例亲和度最高的个体进行克隆和变异操作，然后更新抗体种群和记忆种群，最终得到建立的模糊关联规则库；最后使用所得到的模糊关联规则库对主机监测行为的实时数据进行入侵检测；如果在主机监测行为中出现新的攻击类型，则根据该攻击行为确定新的关联规则并加入到模糊关联规则库中。该检测方法具有自适应、自组织、高效率和可理解性强的特性，可自适应地确定模糊关联规则库，基于入侵行为的动态变化增加模糊关联规则库，达到保护宿主主机系统信息安全的目的。文档编号G06N3/00GK102592093SQ201210011970公开日2012年7月18日 申请日期2012年1月16日 优先权日2012年1月16日专利技术者侯春杰, 姜继民, 孟令瑞, 张雷, 范波 申请人:河南科技大学本文档来自技高网...

【技术保护点】

【技术特征摘要】

【专利技术属性】
技术研发人员：张雷，姜继民，孟令瑞，侯春杰，范波，
申请(专利权)人：河南科技大学，
类型：发明
国别省市：