本发明专利技术提供一种基于动态覆盖机制的检测器培育算法,本算法产生的检测器具有状态变化和生命值,入侵检测系统中的检测器集合将随时间而动态变化;通过异常检测情况来改变生命值,最终实现检测器的有效性筛选;在检测器培育阶段,由于检测器的最大最小亲和力值是通过同所有正常样本进行比较而设定的,检测器能自动适应正常样本的变化。采用本方法使入侵检测系统能自动适应网络系统特征和入侵行为的动态变化,检测器能实时更新,降低漏报率和误报率。
【技术实现步骤摘要】
本专利技术涉及网络
,尤其涉及网络安全,具体讲是ー种用于网络环境中对数据进行检测的基于动态覆盖机制的检测器培育算法。
技术介绍
由于因特网开放性、国际性和自由性的特点,网络的不断普及,新网络技术的应用使网络信息安全问题变得异常重要。目前,主流的商用入侵检测系统(IDS)都是采用基于特征匹配算法的误用检测技术,这种检测方法通过将入侵行为特征同已知样本特征库(即检测器集合)进行匹配来判断是否发生入侵,由于入侵手段的频繁更新,使系统样本特征库更新滞后,难于发现较新的入侵,导致了较高的漏报率;此外,各计算机网络系统平台的差异性和计算机网络系统特征的动态变化,如系统软件的频繁更新和用户活动的改变,都会引起部分样本特征失效,导致较高的误报率和漏报率。
技术实现思路
本专利技术解决的技术问题是,克服现有的技术缺陷,提供一种使入侵检测系统能自动适应网络系统特征和入侵行为的动态变化,检测器能实时更新,降低漏报率和误报率的基于动态覆盖机制的检测器培育算法。首先给出本专利技术中ー些概念定义及參数定义检测器包含实数向量、最大、最小正常距离、状态、生命值、异常距离值这几个属性。实数向量入侵检测系统对网络行为的表述方式,入侵检测系统通过对网络行为的采集编码生成该网络行为的实数向量。异常距离为检测器中的实数向量和网络采集到的网络实数向量之间的距离。覆盖距离为两个检测器中的实数向量间的距离。最大最小正常距离检测器中的实数向量和所有正常样本的实数向量之间的最大最小正常距离。状态对检测器性质的定义,分为临时和有效两种状态。生命值对检测器本身所能存在时间长度的定义,如果生命值为0,则该检测器会被移除消失。检测器集合分为两大类临时检测器集合和有效检测器集合。最大检测次数某一祥本如果检测次数超过该值还未被检测为异常,则认为是正常。生命值调整參数、重叠次数用于控制检测器数量。目标检测率用于估计检测器数量。本专利技术提供的技术方案是本专利技术提供一种基于动态覆盖机制的检测器培育算法,它包括以下步骤步骤(I)、參数初始化,设定算法參数包括最大检测次数,检测器生命值,生命值调整參数;步骤(2)、采用公开的网络正常样本产生第一临时检测器集合;步骤(3)、对待检测的网络数据进行采集编码得到向量V,采用有效检测器集合对该网络数据进行检测,如果有效检测器集合为空,则进入下一歩,如果其中某有效检测器检测到异常,则改变入侵检测频率值,并增加该有效检测器的生命值,増加值为异常数量*生命值调整參数,如果未检测到异常,则将该有效检测器的生命值减I,并进行下一歩,若某有效检测器的生命值为0,则将生命值为O的有效检测器从有效检测器集合中移除;步骤(4)、采用第一临时检测器集合进行检测,如果其中某临时检测器检测到异常,则改变入侵检测频率值,并将该临时检测器加入到有效检测器集合中,然后增加该检测器的生命值,増加值为异常数量*生命值调整參数*入侵检测频率值,如果未检测到异常,则进行下一歩; 步骤(5)、繁殖临时检测器集合以目前所有临时检测器集合以及有效检测器集合中异常距离最大的检测器为父代,通过亲和力繁殖产生第二临时检测器集合,繁殖的后代数量正比于(异常距离值+异常数量);步骤(6)、采用第二临时检测器集合进行检测,如果其中某临时检测器检测到异常,则改变入侵检测频率值,并将该临时检测器加入到有效检测器集合中,然后增加该检测器的生命值,増加值为异常数量*生命值调整參数*入侵检测频率值,如果未检测到异常,则进行下一歩;步骤(7)、随机产生第三临时检测器集合,并采用第三临时检测器集合进行检測,如果其中某临时检测器检测到异常,则改变入侵检测频率值,并将该临时检测器加入到有效检测器集合中,然后增加该检测器的生命值,増加值为异常数量*生命值调整參数*入侵检测频率值;步骤(8)、如果未检测到异常,则回到步骤(5),直到向量V的检测次数达到设定的最大检测次数吋,还未检测出异常,则认为该网络数据正常,并将向量V加入到正常样本库。所述步骤(2)中采用公开的网络正常样本产生第一临时检测器集合以及步骤(7)中随机产生第三临时检测器集合均采用以下步骤a、随机产生一个实数编码的向量;b、向量和正常样本库中的每个正常样本进行距离计算得到最大正常距离和最小正常距离,得到临时检测器;C、如果临时检测器和现有的临时检测器集合中的任ー个检测器距离小于最小正常距离,则重叠次数加1,否则把临时检测器加入临时检测器集合,并回到步骤a ;d、直到重叠次数大于I/ (I-目标检测率),则停止,所述目标检测率为设定參数。采用上述方法后,本专利技术具有以下优点在入侵检测中存在两种报错,误报和漏报。引起误报的原因是由于正常网络行为动态变化,如用户行为或软件更新,导致新的正常行为被误报为异常。引起漏报主要是因为新的入侵行为没有被现有有效检测器覆盖到。总之正常网络行为动态变化和新入侵行为的出现导致了现有系统的误报率和漏报率。由于本专利技术提出的算法产生的检测器具有状态变化和生命值,入侵检测系统中的检测器集合将随时间而动态变化;通过异常检测情况来改变生命值,最終实现检测器的有效性筛选。在检测器培育阶段,由于检测器的最大最小亲和カ值是通过同所有正常样本进行比较而设定的,检测器能自动适应正常样本的变化;当有新的入侵发生时,采用本算法能通过亲和力繁殖培育迅速识别,产生新的检测器,实现检测器自动适应入侵行为的改变;通过检测器亲和カ繁殖培育和随机培育两种机制实现了通用和专业检测器、异常和误用检测器的结合。使检测器能够实时更新,降低了入侵检测中的漏报率和误报率,检测准确性较闻。附图说明附图I为本专利技术中正常样本库及最大正常距离、最小正常距离的说明示意图; 附图2为本专利技术的检测流程示意具体实施例方式下面结合附图和具体实施例对本专利技术做详细说明如图I所示环形内的为正常样本库,环形外的为异常,则检测器距离环形内圈的距离为最小正常距离,检测器距离环形外圈的距离为最大正常距离。图2为本专利技术的检测流程示意图;本专利技术提供一种基于动态覆盖机制的检测器培育算法,它包括以下步骤步骤(I)、參数初始化,设定算法參数包括最大检测次数,检测器生命值,生命值调整參数;步骤(2)、采用公开的网络正常样本产生第一临时检测器集合;步骤如下a、随机产生一个实数编码的向量e;b、向量e和正常样本库中的每个正常样本进行距离计算得到最大正常距离和最小正常距离,得到临时检测器d0 ;检测器d0中包含实数向量、最大正常距离、最小正常距离,状态、生命值、异常距离这几个属性。C、如果临时检测器d0和现有的临时检测器集合中的任一个检测器的距离小于最小正常距离,则重叠次数加1,否则把临时检测器d0加入临时检测器集合,并回到步骤a ;d、直到重叠次数大于I/ (I-目标检测率),则停止,所述目标检测率为设定參数。步骤(3)、对待检测的网络数据进行采集编码得到向量V,采用有效检测器集合对该网络数据进行检测,如果有效检测器集合为空,则进入下一歩,如果不为空,则取有效检测器集合中的一个检测器,计算该检测器和向量V的异常距离,如果异常距离大于该检测器的最大正常距离,或者小于该检测器的最小正常距离,则判定为异常,否则,为正常,如果其中某有效检测器检测到异常,则改变入侵检测频率值,并增加该有效检测器的生命值,増加值为异常数量*本文档来自技高网...
【技术保护点】
一种基于动态覆盖机制的检测器培育算法,其特征在于:它包括以下步骤:步骤(1)、参数初始化,设定算法参数:包括最大检测次数,检测器生命值,生命值调整参数;步骤(2)、采用公开的网络正常样本产生第一临时检测器集合;步骤(3)、对待检测的网络行为进行采集编码得到向量v,采用有效检测器集合对该网络行为进行检测,如果有效检测器集合为空,则进入下一步,如果其中某有效检测器检测到异常,则改变入侵检测频率值,并增加该有效检测器的生命值,增加值为异常数量*生命值调整参数,如果未检测到异常,则将该有效检测器的生命值减1,并进行下一步,若某有效检测器的生命值为0,则将生命值为0的有效检测器从有效检测器集合中移除;步骤(4)、采用第一临时检测器集合进行检测,如果其中某临时检测器检测到异常,则改变入侵检测频率值,并将该临时检测器加入到有效检测器集合中,然后增加该检测器的生命值,增加值为异常数量*生命值调整参数*入侵检测频率值,如果未检测到异常,则进行下一步;步骤(5)、繁殖临时检测器集合:以目前所有临时检测器集合以及有效检测器集合中异常距离最大的检测器为父代,通过亲和力繁殖产生第二临时检测器集合,繁殖的后代数量正比于(异常距离值+异常数量);步骤(6)、采用第二临时检测器集合进行检测,如果其中某临时检测器检测到异常,则改变入侵检测频率值,并将该临时检测器加入到有效检测器集合中,然后增加该检测器的生命值,增加值为异常数量*生命值调整参数*入侵检测频率值,如果未检测到异常,则进行下一步;步骤(7)、随机产生第三临时检测器集合,并采用第三临时检测器集合进行检测,如果其中某临时检测器检测到异常,则改变入侵检测频率值,并将该临时检测器加入到有效检测器集合中,然后增加该检测器的生命值,增加值为异常数量*生命值调整参数*入侵检测频率值;步骤(8)、如果未检测到异常,则回到步骤(5),直到向量v的检测次数达到设定的最大检测次数时,还未检测出异常,则认为该网络行为正常,并将向量v加入到正常样本库。...
【技术特征摘要】
1.一种基于动态覆盖机制的检测器培育算法,其特征在于它包括以下步骤步骤(I)、參数初始化,设定算法參数包括最大检测次数,检测器生命值,生命值调整參数;步骤(2)、采用公开的网络正常样本产生第一临时检测器集合;步骤(3)、对待检测的网络行为进行采集编码得到向量V,采用有效检测器集合对该网络行为进行检测,如果有效检测器集合为空,则进入下一歩,如果其中某有效检测器检测到异常,则改变入侵检测频率值,并增加该有效检测器的生命值,増加值为异常数量*生命值调整參数,如果未检测到异常,则将该有效检测器的生命值减I,并进行下一歩,若某有效检测器的生命值为O,则将生命值为O的有效检测器从有效检测器集合中移除;步骤(4)、采用第一临时检测器集合进行检测,如果其中某临时检测器检测到异常,则改变入侵检测频率值,并将该临时检测器加入到有效检测器集合中,然后增加该检测器的生命值,増加值为异常数量*生命值调整參数*入侵检测频率值,如果未检测到异常,则进行下一歩;步骤(5)、繁殖临时检测器集合以目前所有临时检测器集合以及有效检测器集合中异常距离最大的检测器为父代,通过亲和力繁殖产生第二临时检测器集合,繁殖的后代数量正比于(异常距离值+异常数量);步骤(6)、采用第二临时检测器集合进行检测,如果其中某临时检测器检测到异常...
【专利技术属性】
技术研发人员:陈军敢,
申请(专利权)人:浙江万里学院,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。