CN101079740A - 一种基于独特型网络的入侵检测系统 - Google Patents

Abstract

一种建立人工独特型网络的方法，包括：步骤1：初始化网络；步骤2：建立网络中所有抗体之间的连接关系；步骤3：加入抗原，即训练数据，对每一抗原：①计算网络中每个抗体受到的激励水平；②选择受到激励作用最大的抗体进行克隆和变异；③将新生成的抗体加入网络；④重新计算网络中所有抗体之间的连接关系；步骤4：测试训练是否完成，完成则输出网络；否则返回步骤3。

Description

一种基于独特型网络的入侵检测系统

技术领域：

本发明涉及一种建立人工独特型网络的方法，以及一种计算机网络的自适应入侵检测系统，特别涉及一种利用生物免疫系统的免疫网络理论的入侵检测系统。

背景技术：

利用模式识别技术进行入侵检测，即将所有行为分为正常和攻击两类，通过对正常和攻击行为的学习，利用模式匹配将待测试行为的类别属性确定出来。这种检测方法结合了异常检测和误用检测两种方法，有助于改善系统的检测性能。

人工独特型网络由大量高性能单元组成，如容噪、泛化能力、学习能力和记忆能力，以及通过竞争实现的并行分布处理能力。另外，人工独特型网络具有动态调整能力，使其在用于入侵检测时，可以通过实时调整网络来不断学习新的攻击行为或病毒的特征，从而使得基于该网络的入侵检测系统不再需要定期更新攻击类型库或者病毒库。

现有技术采用下列方法构建人工独特型网络模型，步骤如下：

①初始化网络；

②加入训练数据；

③融合新的克隆；

④重新计算抗体刺激；

⑤移除最弱的连接和种群中5％的抗体；

⑥测试训练是否结束，结束则输出网络，否则返回步骤②。

传统的网络模型方法存在下列缺陷：1)随着网络中抗体个数的增多，抗体间的相互作用会远大于抗原对抗体的激励作用，使得能够识别抗原的抗体不能进行克隆扩增，因而网络不能得到正确调整；2)不能保留新出现的特征；3)不容易识别与现有抗原相似的其他抗原。

发明内容：

本发明提供一种建立人工独特型网络的方法，包括初始化网络；建立网络中所有抗体之间的连接关系；加入抗原，对每一抗原计算网络中每个抗体受到的激励水平；选择受到激励作用最大的抗体进行克隆和变异；将新生成的抗体加入网络；重新计算网络中所有抗体之间的连接关系。

本发明还提供一种自适应入侵检测方法，建立并训练检测器；将待测试数据特征向量作为抗原加入检测器，计算检测器中各抗体与抗原间的亲和力；如果有抗体的亲和力大于匹配阈值且浓度大于选择阈值，则根据抗体的类别给出检测结果，如果是攻击，则报警，否则直接检测下一个数据；计算检测器中各个抗体的激励水平；选择其中受激励作用最大的抗体进行克隆和变异；将新生成的抗体加入检测器，对检测器进行调整；根据受激励作用最大的抗体，给出初步检测结果，同时给出提示信息：出现未知模式；如果对此次数据能够确认其真正的类别，则为新产生的抗体添加相应的类别标签。

本发明提供人工独特型网络适用于对较高维数的数据进行分类；调整网络时能够保证变异朝抗原的方向进行，使新生成的抗体不但与抗原越来越相似，而且含有多种模式，能够迅速识别与现有抗原相似的其他抗原，从而可用较少的数据训练网络，还可减少训练次数。

本发明提供的自适应入侵检测方法，结合了异常检测和误用检测两种方法的优点，具有良好的检测性能，误报率和漏报率低，且能够识别未知攻击；可实时学习新的行为特征，能够实时更新，避免了定期更新，具有自适应性，可用于变化的工作环境。

附图说明：

图1为本发明的独特型网络示意图

图2为本发明的自适应检测器的检测方法示意图

图3为本发明自适应入侵检测器检测方法的流程图。

具体实施方式

有关本发明的详细说明及技术内容，现结合附图说明如下。

现参考图1，说明本发明独特型网络的建立方法。

抗体Ab₁由于与抗原Ag相匹配而识别抗原Ag，受到激励作用(ps)。Ab₁与另一个抗体Ab₄相匹配，因此受到激励作用(ns)和抑制作用(nn)。抗体Ab₄称为抗原Ag在网络中的内影像，因为它能被识别抗原Ag的同一抗体Ab₁所识别。通常内影像不止一个，一般是一个集合，因为可识别抗原的抗体也不止一个，如图1中Ab₂和Ab₃。另外，抗体Ab₂和Ab₃又可以与其他抗体相匹配，它们之间也存在刺激和抑制作用，从而建立了一种网络结构形式。抗体不仅受到抗原的刺激，也受到周围有连接关系的抗体的刺激。在免疫响应过程中，外来抗原的刺激与互相联系抗体间的相互作用导致抗体群的产生，形成对抗原的记忆。抗原的加入会不断刺激新抗体的产生，而未受刺激抗体逐渐死亡，使网络不断更新，产生新的结构。

本发明独特型网络中的抗体和抗原均由多维向量表示；且抗原对抗体的激励作用St_Ag按照抗体与抗原间的亲和力来定义，由表示抗原和抗体间结合强度的欧几里德距离Ed来衡量，计算公式如下：

St_Ag＝1-Ed         (3.3)

抗体间的激励和抑制作用，由抗体间的结合强度来衡量，计算公式如下：

${\mathrm{St}}_{\mathrm{Ab}}=\frac{1}{n}\underset{i=1}{\overset{n}{\mathrm{\Σ}}}(1-{\mathrm{Ed}}_i)---\left(3.4\right)$

${\mathrm{Su}}_{\mathrm{Ab}}=\frac{1}{n}\underset{i=1}{\overset{n}{\mathrm{\Σ}}}{\mathrm{Ed}}_i---\left(3.5\right)$

式中：St_Ab和Su_Ab分别表示激励和抑制作用，n是连接的个数，当抗体间的亲和力大于设定的阈值时，会在二者间建立一条连接。

网络中各个抗体受到的总激励水平

S＝St_Ag+St_Ab+Su_Ab          (3.6)

选择受到激励作用最大的抗体进行复制和变异。

本发明提供一种变异率变化的方法，能够使抗体朝着新加入网络的抗原方向进行变异。计算公式如下：

C_N＝C_O-α_n(C_O-C_Ag)          (3.7)

α_n＝α_n-1+α_k              (3.8)

式中：C_N为新生成的抗体；C_O为网络中原有的抗体；C_Ag为新加入的抗原；α_n为学习率或变异率；α_k为学习率的变化系数。当α_n的初值选为零时，能够得到原有抗体的复制。随着α_n不断增大，新生成的抗体不但与抗原越来越相似，而且含有多种模式，能够识别与现有抗原相似的其他抗原，从而可用较少的数据训练网络，还可减少训练次数。

新生成抗体的个数

N＝kS                       (3.9)

式中：k为规模常数，根据激励水平的大小和希望生成的抗体个数确定。

网络调整方法

步骤1：初始化网络；

步骤2：建立网络中所有抗体之间的连接关系；

步骤3：加入抗原，即训练数据，对每一抗原：

3.1计算网络中每个抗体受到的激励水平；

3.2选择受到激励作用最大的抗体进行克隆和变异；

3.3将新生成的抗体加入网络；

3.4重新计算网络中所有抗体之间的连接关系；

步骤4：测试训练是否完成，完成则输出网络；否则返回步骤3。

本发明利用独特型网络实现自适应检测器的方法

表1归纳了本发明自适应检测器与独特型网络模型间的映射关系，以便于通过对照来说明组成网络的元素、网络的作用原理在用作自适应检测器时所对应的概念以及所起的作用。

表1  本发明的自适应检测器与独特型网络模型间的映射关系表

本发明的自适应检测器	独特型网络模型
		检测器	整个网络
训练向量或待检测向量	抗原
		用于执行检测的向量	抗体
对待测行为模式的识别	抗体对抗原的识别
		对行为模式的学习和记忆	网络中的动态结构
检测器的训练或更新	初次免疫响应
		进行检测	二次免疫响应
检测器的更新	网络的调整

独特型网络中的抗体和抗原都是表示行为特征的多维向量，利用网络中的初次免疫响应(primary immune response)，自适应检测器可实现对行为特征的学习和记忆，包括对未知行为特征的实时学习。利用网络中的二次免疫响应(secondary immune response)，自适应检测器可以完成对行为的识别任务，从而实现对行为的检测。

在自适应检测器的训练阶段，训练用的已知行为特征向量被作为抗原加入网络，网络会经历初次免疫响应产生相应抗体。训练完成后，网络达到稳定状态，相当于抗体的已知行为特征向量被保留下来。这个过程意味着自适应检测器实现对已知行为特征的学习，并以网络当前的结构形式将学习到的模式保留下来，以便用于今后的检测。

检测时，待检测的行为特征向量被作为抗原加入到自适应检测器中。由于网络中已有相应抗体，会对抗原进行识别，因此产生二次免疫响应。利用该原理，自适应检测器可以从已有模式中将待测模式的类别辨识出来，从而实现对待测行为的检测。

每一个新抗原的加入，都可以导致初次免疫响应，刺激产生相应抗体，引起网络动态调整。对于自适应检测器，新数据特征导致新向量的产生，检测器实现对新数据特征的融合，完成一次更新。用这种方法，检测器可在检测的过程中，同时实现对新攻击特征的学习。

现参考图2和图3说明本发明自适应入侵检测器的检测方法。

利用初次免疫响应，在训练过程中，自适应检测器可学习正常和攻击活动的特征，也就是说产生了对应这些行为模式的抗体，检测器会为每个抗体添加类别标签。在检测过程中，自适应检测器会随时学习新行为的特征，即代表该行为的抗原刺激产生了相应抗体，从而将该行为模式的特征保留在检测器中。利用二次免疫响应，自适应检测器可以对行为进行检测，即将的抗体与代表该行为特征的抗原进行匹配，根据能够识别该抗原的抗体的类别标签来确定此次行为是正常还是攻击。

该检测方法的特点在于：不仅在训练过程要利用初次响应学习正常和攻击行为的特征，还要在检测过程中利用初次响应随时将新行为的特征保留下来。利用这种检测方法，训练好的检测器可根据变化的行为模式进行调整，并能实现对新攻击特征的学习，因此能够避免需要定期更新的问题，有利于降低误报，也有利于改善检测未知攻击的能力。

检测方法的流程，可划分为两个阶段。第一阶段主要完成检测器的训练。即用已知数据建立一个独特型网络，使之学习现有正常和攻击行为的特征，具备对这两种行为的识别能力。第二阶段主要用于检测，不同的行为模式将进入不同的响应过程。例如，当已知攻击来临时，由于其特征已知，因此能够被检测器中的抗体识别进入二次响应过程，产生报警。再比如，出现未知攻击时，由于含有部分未见过的特征，检测器中的抗体与它的匹配程度不高而进入初次响应过程，抗体通过克隆与变异，生成与该次攻击特征更相似的抗体，检测器获得调整，完成对新特征的学习。

由于大多数新攻击是对现有攻击的改进，因此具有攻击特征的抗体与该未知攻击匹配的程度较高，会将新生成的抗体归入攻击类别，检测器也会据此发出警告信息，提示可能有新攻击出现。一旦这次攻击被确认，会为所有新产生的抗体添加“攻击”类别标签，这样未知攻击就变为已知攻击，当下一次该攻击再次出现时就可以快速报警。即使不能及时得到确认，也会随着可识别抗体的匹配强度和浓度的增加而进入二次响应过程，产生报警。

本发明的自适应入侵检测方法包括如下步骤：

步骤1：建立并训练检测器；

步骤2：将待测试数据特征向量作为抗原加入检测器，按照式(3.3)计算检测器中各抗体与抗原间的亲和力；

步骤3：如果有抗体的亲和力大于匹配阈值Mt且浓度大于选择阈值St，则根据抗体的类别给出检测结果，如果是攻击，则报警然后转到步骤2，否则直接转向步骤2，检测下一个数据；

步骤4：按照式(3.3)～(3.6)计算检测器中各个抗体的激励水平；

步骤5：选择其中受激励作用最大的抗体，按照式(3.7)～(3.9)进行克隆和变异，

步骤6：将新生成的抗体加入检测器，对检测器进行调整；

步骤7：根据受激励作用最大的抗体，给出初步检测结果，同时给出提示信息：出现未知模式；

步骤8：如果对此次数据能够确认其真正的类别，则为新产生的抗体添加相应的类别标签；

步骤9：检测下一个数据，返回步骤2。

Claims (4)

1.一种建立人工独特型网络的方法，包括：

步骤1：初始化网络；

步骤2：建立网络中所有抗体之间的连接关系；

步骤3：加入抗原，即训练数据，对每一抗原：

①计算网络中每个抗体受到的激励水平；

②选择受到激励作用最大的抗体进行克隆和变异；

③将新生成的抗体加入网络；

④重新计算网络中所有抗体之间的连接关系；

步骤4：测试训练是否完成，完成则输出网络；否则返回步骤3。

2.如权利要求1所述的建立人工独特型网络的方法，其中步骤3包括：

按照式(3.4)和式(3.5)计算抗体间的激励和抑制作用。

3.如权利要求1所述的建立人工独特型网络的方法，其中步骤3包括：

一种变异率变化的方法，由式(3.7)和(3.8)给出，使抗体在变异时不但能够朝新出现抗原的方向进行，且新产生的抗体包含与抗原相似的多种模式。

4.一种自适应入侵检测的方法，包括：

步骤1：建立并训练检测器；

步骤2：将待测试数据特征向量作为抗原加入检测器，计算检测器中各抗体与抗原间的亲和力；

步骤3：如果有抗体的亲和力大于匹配阈值且浓度大于选择阈值，则根据抗体的类别给出检测结果，如果是攻击，则报警然后转到步骤2，否则直接转向步骤2，检测下一个数据；

步骤4：计算检测器中各个抗体的激励水平；

步骤5：选择其中受激励作用最大的抗体进行克隆和变异；

步骤6：将新生成的抗体加入检测器，对检测器进行调整；

步骤7：根据受激励作用最大的抗体，给出初步检测结果，同时给出提示信息：出现未知模式；

步骤8：如果对此次数据能够确认其真正的类别，则为新产生的抗体添加相应的类别标签；

步骤9：检测下一个数据，返回步骤2。

Images