CN101079740A - 一种基于独特型网络的入侵检测系统 - Google Patents

一种基于独特型网络的入侵检测系统 Download PDF

Info

Publication number
CN101079740A
CN101079740A CN 200710117674 CN200710117674A CN101079740A CN 101079740 A CN101079740 A CN 101079740A CN 200710117674 CN200710117674 CN 200710117674 CN 200710117674 A CN200710117674 A CN 200710117674A CN 101079740 A CN101079740 A CN 101079740A
Authority
CN
China
Prior art keywords
antibody
network
antigen
detector
training
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN 200710117674
Other languages
English (en)
Other versions
CN100574218C (zh
Inventor
赵林惠
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Beijing Union University
Original Assignee
Beijing Union University
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Beijing Union University filed Critical Beijing Union University
Priority to CNB200710117674XA priority Critical patent/CN100574218C/zh
Publication of CN101079740A publication Critical patent/CN101079740A/zh
Application granted granted Critical
Publication of CN100574218C publication Critical patent/CN100574218C/zh
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)
  • Computer And Data Communications (AREA)

Abstract

一种建立人工独特型网络的方法,包括:步骤1:初始化网络;步骤2:建立网络中所有抗体之间的连接关系;步骤3:加入抗原,即训练数据,对每一抗原:①计算网络中每个抗体受到的激励水平;②选择受到激励作用最大的抗体进行克隆和变异;③将新生成的抗体加入网络;④重新计算网络中所有抗体之间的连接关系;步骤4:测试训练是否完成,完成则输出网络;否则返回步骤3。

Description

一种基于独特型网络的入侵检测系统
技术领域:
本发明涉及一种建立人工独特型网络的方法,以及一种计算机网络的自适应入侵检测系统,特别涉及一种利用生物免疫系统的免疫网络理论的入侵检测系统。
背景技术:
利用模式识别技术进行入侵检测,即将所有行为分为正常和攻击两类,通过对正常和攻击行为的学习,利用模式匹配将待测试行为的类别属性确定出来。这种检测方法结合了异常检测和误用检测两种方法,有助于改善系统的检测性能。
人工独特型网络由大量高性能单元组成,如容噪、泛化能力、学习能力和记忆能力,以及通过竞争实现的并行分布处理能力。另外,人工独特型网络具有动态调整能力,使其在用于入侵检测时,可以通过实时调整网络来不断学习新的攻击行为或病毒的特征,从而使得基于该网络的入侵检测系统不再需要定期更新攻击类型库或者病毒库。
现有技术采用下列方法构建人工独特型网络模型,步骤如下:
①初始化网络;
②加入训练数据;
③融合新的克隆;
④重新计算抗体刺激;
⑤移除最弱的连接和种群中5%的抗体;
⑥测试训练是否结束,结束则输出网络,否则返回步骤②。
传统的网络模型方法存在下列缺陷:1)随着网络中抗体个数的增多,抗体间的相互作用会远大于抗原对抗体的激励作用,使得能够识别抗原的抗体不能进行克隆扩增,因而网络不能得到正确调整;2)不能保留新出现的特征;3)不容易识别与现有抗原相似的其他抗原。
发明内容:
本发明提供一种建立人工独特型网络的方法,包括初始化网络;建立网络中所有抗体之间的连接关系;加入抗原,对每一抗原计算网络中每个抗体受到的激励水平;选择受到激励作用最大的抗体进行克隆和变异;将新生成的抗体加入网络;重新计算网络中所有抗体之间的连接关系。
本发明还提供一种自适应入侵检测方法,建立并训练检测器;将待测试数据特征向量作为抗原加入检测器,计算检测器中各抗体与抗原间的亲和力;如果有抗体的亲和力大于匹配阈值且浓度大于选择阈值,则根据抗体的类别给出检测结果,如果是攻击,则报警,否则直接检测下一个数据;计算检测器中各个抗体的激励水平;选择其中受激励作用最大的抗体进行克隆和变异;将新生成的抗体加入检测器,对检测器进行调整;根据受激励作用最大的抗体,给出初步检测结果,同时给出提示信息:出现未知模式;如果对此次数据能够确认其真正的类别,则为新产生的抗体添加相应的类别标签。
本发明提供人工独特型网络适用于对较高维数的数据进行分类;调整网络时能够保证变异朝抗原的方向进行,使新生成的抗体不但与抗原越来越相似,而且含有多种模式,能够迅速识别与现有抗原相似的其他抗原,从而可用较少的数据训练网络,还可减少训练次数。
本发明提供的自适应入侵检测方法,结合了异常检测和误用检测两种方法的优点,具有良好的检测性能,误报率和漏报率低,且能够识别未知攻击;可实时学习新的行为特征,能够实时更新,避免了定期更新,具有自适应性,可用于变化的工作环境。
附图说明:
图1为本发明的独特型网络示意图
图2为本发明的自适应检测器的检测方法示意图
图3为本发明自适应入侵检测器检测方法的流程图。
具体实施方式
有关本发明的详细说明及技术内容,现结合附图说明如下。
现参考图1,说明本发明独特型网络的建立方法。
抗体Ab1由于与抗原Ag相匹配而识别抗原Ag,受到激励作用(ps)。Ab1与另一个抗体Ab4相匹配,因此受到激励作用(ns)和抑制作用(nn)。抗体Ab4称为抗原Ag在网络中的内影像,因为它能被识别抗原Ag的同一抗体Ab1所识别。通常内影像不止一个,一般是一个集合,因为可识别抗原的抗体也不止一个,如图1中Ab2和Ab3。另外,抗体Ab2和Ab3又可以与其他抗体相匹配,它们之间也存在刺激和抑制作用,从而建立了一种网络结构形式。抗体不仅受到抗原的刺激,也受到周围有连接关系的抗体的刺激。在免疫响应过程中,外来抗原的刺激与互相联系抗体间的相互作用导致抗体群的产生,形成对抗原的记忆。抗原的加入会不断刺激新抗体的产生,而未受刺激抗体逐渐死亡,使网络不断更新,产生新的结构。
本发明独特型网络中的抗体和抗原均由多维向量表示;且抗原对抗体的激励作用StAg按照抗体与抗原间的亲和力来定义,由表示抗原和抗体间结合强度的欧几里德距离Ed来衡量,计算公式如下:
StAg=1-Ed         (3.3)
抗体间的激励和抑制作用,由抗体间的结合强度来衡量,计算公式如下:
St Ab = 1 n Σ i = 1 n ( 1 - Ed i ) - - - ( 3.4 )
Su Ab = 1 n Σ i = 1 n Ed i - - - ( 3.5 )
式中:StAb和SuAb分别表示激励和抑制作用,n是连接的个数,当抗体间的亲和力大于设定的阈值时,会在二者间建立一条连接。
网络中各个抗体受到的总激励水平
S=StAg+StAb+SuAb          (3.6)
选择受到激励作用最大的抗体进行复制和变异。
本发明提供一种变异率变化的方法,能够使抗体朝着新加入网络的抗原方向进行变异。计算公式如下:
CN=COn(CO-CAg)          (3.7)
αn=αn-1k              (3.8)
式中:CN为新生成的抗体;CO为网络中原有的抗体;CAg为新加入的抗原;αn为学习率或变异率;αk为学习率的变化系数。当αn的初值选为零时,能够得到原有抗体的复制。随着αn不断增大,新生成的抗体不但与抗原越来越相似,而且含有多种模式,能够识别与现有抗原相似的其他抗原,从而可用较少的数据训练网络,还可减少训练次数。
新生成抗体的个数
N=kS                       (3.9)
式中:k为规模常数,根据激励水平的大小和希望生成的抗体个数确定。
网络调整方法
步骤1:初始化网络;
步骤2:建立网络中所有抗体之间的连接关系;
步骤3:加入抗原,即训练数据,对每一抗原:
3.1计算网络中每个抗体受到的激励水平;
3.2选择受到激励作用最大的抗体进行克隆和变异;
3.3将新生成的抗体加入网络;
3.4重新计算网络中所有抗体之间的连接关系;
步骤4:测试训练是否完成,完成则输出网络;否则返回步骤3。
本发明利用独特型网络实现自适应检测器的方法
表1归纳了本发明自适应检测器与独特型网络模型间的映射关系,以便于通过对照来说明组成网络的元素、网络的作用原理在用作自适应检测器时所对应的概念以及所起的作用。
表1  本发明的自适应检测器与独特型网络模型间的映射关系表
  本发明的自适应检测器   独特型网络模型
  检测器   整个网络
  训练向量或待检测向量   抗原
  用于执行检测的向量   抗体
  对待测行为模式的识别   抗体对抗原的识别
  对行为模式的学习和记忆   网络中的动态结构
  检测器的训练或更新   初次免疫响应
  进行检测   二次免疫响应
  检测器的更新   网络的调整
独特型网络中的抗体和抗原都是表示行为特征的多维向量,利用网络中的初次免疫响应(primary immune response),自适应检测器可实现对行为特征的学习和记忆,包括对未知行为特征的实时学习。利用网络中的二次免疫响应(secondary immune response),自适应检测器可以完成对行为的识别任务,从而实现对行为的检测。
在自适应检测器的训练阶段,训练用的已知行为特征向量被作为抗原加入网络,网络会经历初次免疫响应产生相应抗体。训练完成后,网络达到稳定状态,相当于抗体的已知行为特征向量被保留下来。这个过程意味着自适应检测器实现对已知行为特征的学习,并以网络当前的结构形式将学习到的模式保留下来,以便用于今后的检测。
检测时,待检测的行为特征向量被作为抗原加入到自适应检测器中。由于网络中已有相应抗体,会对抗原进行识别,因此产生二次免疫响应。利用该原理,自适应检测器可以从已有模式中将待测模式的类别辨识出来,从而实现对待测行为的检测。
每一个新抗原的加入,都可以导致初次免疫响应,刺激产生相应抗体,引起网络动态调整。对于自适应检测器,新数据特征导致新向量的产生,检测器实现对新数据特征的融合,完成一次更新。用这种方法,检测器可在检测的过程中,同时实现对新攻击特征的学习。
现参考图2和图3说明本发明自适应入侵检测器的检测方法。
利用初次免疫响应,在训练过程中,自适应检测器可学习正常和攻击活动的特征,也就是说产生了对应这些行为模式的抗体,检测器会为每个抗体添加类别标签。在检测过程中,自适应检测器会随时学习新行为的特征,即代表该行为的抗原刺激产生了相应抗体,从而将该行为模式的特征保留在检测器中。利用二次免疫响应,自适应检测器可以对行为进行检测,即将的抗体与代表该行为特征的抗原进行匹配,根据能够识别该抗原的抗体的类别标签来确定此次行为是正常还是攻击。
该检测方法的特点在于:不仅在训练过程要利用初次响应学习正常和攻击行为的特征,还要在检测过程中利用初次响应随时将新行为的特征保留下来。利用这种检测方法,训练好的检测器可根据变化的行为模式进行调整,并能实现对新攻击特征的学习,因此能够避免需要定期更新的问题,有利于降低误报,也有利于改善检测未知攻击的能力。
检测方法的流程,可划分为两个阶段。第一阶段主要完成检测器的训练。即用已知数据建立一个独特型网络,使之学习现有正常和攻击行为的特征,具备对这两种行为的识别能力。第二阶段主要用于检测,不同的行为模式将进入不同的响应过程。例如,当已知攻击来临时,由于其特征已知,因此能够被检测器中的抗体识别进入二次响应过程,产生报警。再比如,出现未知攻击时,由于含有部分未见过的特征,检测器中的抗体与它的匹配程度不高而进入初次响应过程,抗体通过克隆与变异,生成与该次攻击特征更相似的抗体,检测器获得调整,完成对新特征的学习。
由于大多数新攻击是对现有攻击的改进,因此具有攻击特征的抗体与该未知攻击匹配的程度较高,会将新生成的抗体归入攻击类别,检测器也会据此发出警告信息,提示可能有新攻击出现。一旦这次攻击被确认,会为所有新产生的抗体添加“攻击”类别标签,这样未知攻击就变为已知攻击,当下一次该攻击再次出现时就可以快速报警。即使不能及时得到确认,也会随着可识别抗体的匹配强度和浓度的增加而进入二次响应过程,产生报警。
本发明的自适应入侵检测方法包括如下步骤:
步骤1:建立并训练检测器;
步骤2:将待测试数据特征向量作为抗原加入检测器,按照式(3.3)计算检测器中各抗体与抗原间的亲和力;
步骤3:如果有抗体的亲和力大于匹配阈值Mt且浓度大于选择阈值St,则根据抗体的类别给出检测结果,如果是攻击,则报警然后转到步骤2,否则直接转向步骤2,检测下一个数据;
步骤4:按照式(3.3)~(3.6)计算检测器中各个抗体的激励水平;
步骤5:选择其中受激励作用最大的抗体,按照式(3.7)~(3.9)进行克隆和变异,
步骤6:将新生成的抗体加入检测器,对检测器进行调整;
步骤7:根据受激励作用最大的抗体,给出初步检测结果,同时给出提示信息:出现未知模式;
步骤8:如果对此次数据能够确认其真正的类别,则为新产生的抗体添加相应的类别标签;
步骤9:检测下一个数据,返回步骤2。

Claims (4)

1.一种建立人工独特型网络的方法,包括:
步骤1:初始化网络;
步骤2:建立网络中所有抗体之间的连接关系;
步骤3:加入抗原,即训练数据,对每一抗原:
①计算网络中每个抗体受到的激励水平;
②选择受到激励作用最大的抗体进行克隆和变异;
③将新生成的抗体加入网络;
④重新计算网络中所有抗体之间的连接关系;
步骤4:测试训练是否完成,完成则输出网络;否则返回步骤3。
2.如权利要求1所述的建立人工独特型网络的方法,其中步骤3包括:
按照式(3.4)和式(3.5)计算抗体间的激励和抑制作用。
3.如权利要求1所述的建立人工独特型网络的方法,其中步骤3包括:
一种变异率变化的方法,由式(3.7)和(3.8)给出,使抗体在变异时不但能够朝新出现抗原的方向进行,且新产生的抗体包含与抗原相似的多种模式。
4.一种自适应入侵检测的方法,包括:
步骤1:建立并训练检测器;
步骤2:将待测试数据特征向量作为抗原加入检测器,计算检测器中各抗体与抗原间的亲和力;
步骤3:如果有抗体的亲和力大于匹配阈值且浓度大于选择阈值,则根据抗体的类别给出检测结果,如果是攻击,则报警然后转到步骤2,否则直接转向步骤2,检测下一个数据;
步骤4:计算检测器中各个抗体的激励水平;
步骤5:选择其中受激励作用最大的抗体进行克隆和变异;
步骤6:将新生成的抗体加入检测器,对检测器进行调整;
步骤7:根据受激励作用最大的抗体,给出初步检测结果,同时给出提示信息:出现未知模式;
步骤8:如果对此次数据能够确认其真正的类别,则为新产生的抗体添加相应的类别标签;
步骤9:检测下一个数据,返回步骤2。
CNB200710117674XA 2007-06-21 2007-06-21 一种建立人工独特型网络的方法 Expired - Fee Related CN100574218C (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CNB200710117674XA CN100574218C (zh) 2007-06-21 2007-06-21 一种建立人工独特型网络的方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CNB200710117674XA CN100574218C (zh) 2007-06-21 2007-06-21 一种建立人工独特型网络的方法

Publications (2)

Publication Number Publication Date
CN101079740A true CN101079740A (zh) 2007-11-28
CN100574218C CN100574218C (zh) 2009-12-23

Family

ID=38906985

Family Applications (1)

Application Number Title Priority Date Filing Date
CNB200710117674XA Expired - Fee Related CN100574218C (zh) 2007-06-21 2007-06-21 一种建立人工独特型网络的方法

Country Status (1)

Country Link
CN (1) CN100574218C (zh)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101321164B (zh) * 2008-07-18 2011-12-21 电子科技大学 一种网络免疫系统及其工作机制
CN102750490A (zh) * 2012-03-23 2012-10-24 南京邮电大学 一种基于协作免疫网络进化算法的病毒检测方法
CN109782156A (zh) * 2019-01-08 2019-05-21 中国人民解放军海军工程大学 基于人工免疫诊断网络的模拟电路故障诊断方法

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101321164B (zh) * 2008-07-18 2011-12-21 电子科技大学 一种网络免疫系统及其工作机制
CN102750490A (zh) * 2012-03-23 2012-10-24 南京邮电大学 一种基于协作免疫网络进化算法的病毒检测方法
CN102750490B (zh) * 2012-03-23 2014-10-22 南京邮电大学 一种基于协作免疫网络进化算法的病毒检测方法
CN109782156A (zh) * 2019-01-08 2019-05-21 中国人民解放军海军工程大学 基于人工免疫诊断网络的模拟电路故障诊断方法

Also Published As

Publication number Publication date
CN100574218C (zh) 2009-12-23

Similar Documents

Publication Publication Date Title
EP2879078A2 (en) Method and apparatus for generating strong classifier for face detection
CN104198999B (zh) 一种基于同构序列的脉冲分选方法
CN104809069A (zh) 一种基于集成神经网络的源代码漏洞检测方法
CN110751121B (zh) 基于聚类与sofm的无监督雷达信号分选方法
CN105989288A (zh) 一种基于深度学习的恶意代码样本分类方法及系统
CN109472817B (zh) 一种基于循环生成对抗网络的多序列磁共振图像配准方法
JP2015095212A (ja) 識別器、識別プログラム、及び識別方法
CN105528638A (zh) 灰色关联分析法确定卷积神经网络隐层特征图个数的方法
CN110798227B (zh) 模型预测优化方法、装置、设备及可读存储介质
CN110363230A (zh) 基于加权基分类器的stacking集成污水处理故障诊断方法
CN111814626A (zh) 一种基于自注意力机制的动态手势识别方法和系统
WO2020168796A1 (zh) 一种基于高维空间采样的数据增强方法
CN110493262A (zh) 一种改进分类的网络攻击检测方法及系统
CN112884059A (zh) 一种融合先验知识的小样本雷达工作模式分类方法
CN111967573A (zh) 数据处理方法、装置、设备及计算机可读存储介质
CN110245602A (zh) 一种基于深度卷积特征的水下静目标识别方法
CN101079740A (zh) 一种基于独特型网络的入侵检测系统
CN116363423A (zh) 面向小样本学习的知识蒸馏方法、装置及存储介质
CN113282926B (zh) 一种基于三通道图像的恶意软件分类方法
CN105119876A (zh) 一种自动生成的域名的检测方法及系统
CN112231775A (zh) 一种基于Adaboost算法的硬件木马检测方法
CN104794499A (zh) 一种基于自适应熵权的区间灰色关联分类器设计方法
CN110007341B (zh) 一种基于IfnoGAN和SSD模型的微地震有效信号的识别方法及系统
Kwak et al. Quantization aware training with order strategy for CNN
Gajowniczek et al. Q-entropy approach to selecting high income households

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
C14 Grant of patent or utility model
GR01 Patent grant
C17 Cessation of patent right
CF01 Termination of patent right due to non-payment of annual fee

Granted publication date: 20091223

Termination date: 20110621