CN101299691A - 一种基于人工免疫的动态网格入侵检测方法 - Google Patents
一种基于人工免疫的动态网格入侵检测方法 Download PDFInfo
- Publication number
- CN101299691A CN101299691A CNA2008101241512A CN200810124151A CN101299691A CN 101299691 A CN101299691 A CN 101299691A CN A2008101241512 A CNA2008101241512 A CN A2008101241512A CN 200810124151 A CN200810124151 A CN 200810124151A CN 101299691 A CN101299691 A CN 101299691A
- Authority
- CN
- China
- Prior art keywords
- detector
- memory
- dynamic
- ripe
- gridding
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Landscapes
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Abstract
基于人工免疫的动态网格入侵检测方法是借鉴人工免疫技术,面向网格的入侵检测方法,它结合网格环境下入侵检测的动态和实时性的需求,以现有克隆选择算法为主体,通过否定选择、克隆选择、亲和力成熟过程、记忆检测器基因库方法的融合,动态处理网格环境中的入侵检测问题。该方法包括基于人工免疫的动态检测器演化过程和网格入侵检测过程,其特征在于借鉴人工免疫系统的防御机制,融合否定选择、克隆选择、亲和力成熟、记忆检测器基因库方法,首先得到演化成熟的检测器,然后在人工免疫机制的协调下,动态处理网格环境中的入侵检测问题,完成动态网格入侵检测的整个过程。
Description
技术领域
本发明是一种基于人工免疫的动态网格入侵检测方法,在现有克隆选择方法的基础上,将否定选择、克隆选择、记忆检测器基因库方法融合进来,提出嵌入否定算子的克隆选择方法,以解决网格入侵检测方法缺乏动态性,检测时间过长,效率不高的问题,来提高网格环境中入侵检测的准确性和检测的实时性,本技术属于网格安全技术领域。
背景技术
网格是将分布在不同地理位置上的异构资源通过高速网络互连起来以实现充分共享的资源集合,形成一台巨大的虚拟计算机,以提供高性能计算、管理及服务。网格具有以下与一般网络不同的特点:大量动态的用户群体;大量动态的资源;计算能力的动态增长和收缩;多种通信机制;不同的本地安全解决方案等。即网格具有大规模、开放、分布、异构、动态等特性。网格技术在提供了一种崭新的资源协作和共享方式的同时,由于其自身的这些特性,使得安全问题成为网格普及使用的一大阻碍。
网格中资源和服务是动态变化的,为保证网格域的安全性,入侵检测须保证是覆盖网格应用范围,而不能给非法用户留有攻击的空间,因此随着网格应用的动态变化,必然导致组成入侵检测系统的检测资源不断地变化。面对网格应用中使用的资源的变化,网格入侵检测技术必须具有很快的响应能力,才能将检测资源不断调整以覆盖整个网格应用范围而不浪费任何检测资源。
人工免疫系统所具有的分布式、自组织和轻量级的特性正好满足了网格入侵检测技术的需求,其中否定选择算法和克隆选择算法是人工免疫系统的主要支柱。基于人工免疫原理的入侵检测中最重要的组件是检测器,这些检测器是高特异性的,规模大。自从否定选择算法和克隆选择算法出现以来,人们提出了不少的检测器生成算法,如否定选择算法及其改进算法,基因库进化等,但都有一定的局限性。Hofmeyr和Forrest在检测过程中,由否定选择算法直接生成成熟的检测器;J.Kim和P.Bentley提出静态克隆选择算法和动态克隆选择算法,依据基因库中的自我信息,并采用一定的算法来模拟基因变异的过程,由伪随机序列产生器随机产生新的检测器。
由于网格环境的动态性和用户数量巨大的特性,单独使用否定选择算法在网格系统的入侵检测中,难以处理网格环境中繁重的任务,易造成系统可扩展性的瓶颈。就网格环境中的入侵检测而言,各种动态加入或离开的网格服务行为,经常会改变合法的自我行为模式定义,所以自我和非自我行为也会随之变化,纯克隆选择算法对新的自我和非自我表现出较差的识别能力,当监测到新增模式时产生了很高的误报率。
由于检测器集的好坏决定了入侵检测的性能,所以本发明结合网格环境下入侵检测的需求,深入研究了否定选择、克隆选择、亲和力成熟过程以及免疫记忆机制,以现有克隆选择方法为主体,将否定选择、克隆选择、记忆检测器基因库方法融合进来,提出了嵌入否定算子的克隆选择方法,产生更为有效的检测器,应用于网格环境中的入侵检测系统中,具有检测率高、自适应能力强等特点,为实现安全的网格提供了一种新的方法。这里的否定选择机制,仅作为了克隆选择执行过程中的一个操作因子,因此称为否定算子。本发明设计重点在于:在检测器演化过程中,嵌入否定选择算子;定义亲和度计算公式。
发明内容
技术问题:本发明的目的是提供一种基于人工免疫的动态入侵检测方法,针对网格环境来解决入侵检测的问题,与过去使用的基于规则的入侵检测技术不同,通过使用本发明提出的方法,可以达到保护网格域的目标。
技术方案:本发明结合网格环境下入侵检测的需求,通过借鉴否定选择、克隆选择、亲和力成熟过程以及免疫记忆机制,以现有的克隆选择为主体,提出嵌入否定选择算子的进化克隆选择算法。其目标是通过否定选择、克隆选择、记忆检测器基因库方法的融合来动态的处理网格环境中的入侵检测问题。
下面给出发明中一些组件定义:
自我集合(self):初始自我集由原始数据集中的正常的网格服务访问连接记录组成,是从连接数据包中抽取我们感兴趣的字段,忽略传递参数等特性;考虑到数据包间的相关性,需要组合相邻数据包,即一次连接的特征,形成合成特征,作为self特征。
非自我集合(non_self):由原始数据集中的非正常网格服务连接记录组成。如非法网格用户行为、合法网格用户的越权行为、病毒和恶意代码视为non_self。
未成熟检测器集合(Antibody):初始伪随机序列生成未成熟检测器集合,并通过否定选择算子过滤,得到未成熟检测器的集合Antibody。
预检测器集合(Pre_detector):定义亲和度并基于亲和度函数度量确未成熟检测器集合Antibody中的n1个最佳个体BestAb(n1);对群体中的这n1个最佳个体进行克隆(复制),生成临时克隆群体Pre_Detector(预检测器)。
成熟检测器(Mature_detector):对克隆生成的群体施加交叉和变异操作,从而生成一个成熟的检测器群体Mature_Detector(成熟检测器),成熟检测器能够检测到入侵行为模式。
记忆检测器(Memory_detector):记忆检测器从成熟检测器中选取产生。当某个成熟检测器匹配到一个非自我模式a∈non_self时,即进入候选记忆检测器集合;如果几个成熟的检测器都匹配到同一个非自我模式串a∈non_self,其中与a最相似的检测器成为候选记忆检测器。在检测器的生命周期内,若候选记忆检测器再次被使用,那么它将加入记忆检测器集合中;否则将其从候选队列中删除。记忆检测器识别入侵行为模式,叫做二次免疫应答。
基于人工免疫的动态网格入侵检测方法包括基于人工免疫的动态检测器演化过程和网格入侵检测过程,它借鉴了人工免疫系统的防御机制,融合否定选择、克隆选择、亲和力成熟、记忆检测器基因库方法,,首先得到演化成熟的检测器,然后在人工免疫机制的协调下,动态处理网格环境中的入侵检测问题,完成动态网格入侵检测的整个过程。
a.基于人工免疫的检测器动态演化步骤如下:
步骤a1.初始化,定义算法中的运行参数:
种群大小:群体中所含个体的数量,取100~300;迭代代数:运算的终止进化代数,取500;检测器生命周期:10~20,
步骤a2.初始随机生成未成熟检测器集合,若不满足结束条件,则通过否定选择算子进行过滤;否则结束,
步骤a3.得到未成熟检测器集合,该集合为记忆检测器子集和剩余群体的总和,
步骤a4.定义亲和度函数并基于亲和度确定未成熟检测器集中的若干最佳个体,
步骤a5.对群体中的最佳个体进行克隆,生成临时克隆群体预检测器,克隆规模是抗原亲和度度量的单调递增函数,
步骤a6.对克隆生成的群体施加交叉和变异操作,生成成熟检测器集合,
步骤a7.从成熟检测器集合中重新选择改进个体组成记忆检测器集合,未成熟检测器集合的一些成员可以由成熟检测器集的其他改进成员加以替换,
步骤a8.用否定选择算子过滤掉成熟检测器集合中与自我集匹配的检测器,如果成熟检测器集合的规模大于上限,将其中15%亲和度最低替换掉,
结束条件:总的迭代代数大于设定的最大迭代代数;
b.基于人工免疫的动态网格入侵检测方法实现步骤如下:
步骤b1:每次从网上捕获1000个IP数据包,进行预处理,变换为检测系统处理的数据格式,
步骤b2:定义评估检测效率的标准,即检测率和误报率,
步骤b3:训练检测器,并生成自我集合与非自我集合,
步骤b4:通过步骤b3中生成的一定规模的自我与非自我检测器集合,对网格域内通信数据进行动态入侵检测,
步骤b5:检测到异常信息,立刻发出报警信息。
有益效果:
1.提高检测速度
生成初始检测器集合是算法中一个非常重要的问题,虽然采用随机函数生成未成熟检测器有助于保持种群的多样性,但是也将带来巨大的计算开销,检测速度太慢。因此在算法的该进化阶段嵌入否定选择算子,可以控制未成熟检测器质量,有助于产生更多、更有效的候选检测器,而不断变化的入侵模式,也要求不断地更新记忆检测器,加快识别异常的速度。因此在克隆选择算法中嵌入了否定选择算子过滤了未成熟检测器集合、动态更新了记忆检测器集合,减小记忆检测器的候选集合,去除即将执行检测功能的检测器中效率低下的部分成熟检测器和记忆检测器,有利于提高生成的检测器的质量,进而提高检测速度,增强入侵检测的实时性。
2.提高正确检测率TP
本发明在记忆检测器变异、克隆选择后,将选择最优的个体仍视为候选的检测器,历经否定算子监测,即在记忆库的更新阶段,嵌入否定选择算子。在不需要增加协同刺激数目的情况下,如此生成的检测器可以更好的覆盖non_self空间,得到更高的正确检测率(True Positive,TP)。
该阶段的否定算子又一次执行了过滤无效检测器的功能,减小记忆检测器的候选集合,同时也提高了对先前检测到的非自我模式的检测准确率。在下一次迭代的进化过程里,这有助于提高成熟检测器对不断出现的新的非自我(即未知攻击模式)的检测能力。相对于克隆选择算法,在对新的非自我误报率高的问题上,能有所改善,也更适用于网格动态变化的环境。
3.降低误报率FP
由于在记忆检测器更新阶段,嵌入否定选择算子,在该记忆检测器产生误报之前,就将其删除,被删除的记忆检测器添加到记忆检测器库,为基因库提供储备信息。否定算子避免了检测器的自我耐受现象,协助完成亲和力成熟过程,在不增加协同刺激数目情况下,检测器可以更好的覆盖“非自我”空间,降低误报率,提高了检测器的性能。
附图说明
图1是各个检测器执行检测的过程图。
图2是检测器生存周期图。表示了检测器有限的生存周期及再生、耐受过程。
图3是基于人工免疫的动态入侵检测方法的实现流程图。
具体实施方式
一检测器的生命周期和工作过程
训练阶段,检测器只进行网络活动数据的收集,而不进行检测。主要是生成自我集合self与非自我集合non_self。通常依据基因库中的自我信息,并采用一定的算法来模拟基因变异的过程,由伪随机序列产生器随机产生新的检测器。但由于随机性较大,很可能包含“自我”信息,需要进行否定选择的检查过程。在否定选择中,“未成熟”的检测器与“自我”集合信息进行比较,如果检测器包含有“自我”信息,则被抛弃,反之成为成熟的检测器。这就是检测器的“否定选择”过程。动态随机产生的是没有检测非自我模式能力的未成熟的检测器,所以在被检测模块用来执行检测任务前,须经过否定选择算子,转化为预检测器(pre_detector),才有机会进行克隆选择过程,获得检测“非自我”的能力。
因此,在检测器集合中存在的未成熟检测器的比例越大,就意味着系统存在的漏洞被发现并反复利用可能性越大。若动态产生的新检测器太少,攻击者可利用系统弱点入侵系统的几率也很大。网络行为的模式字符串被提取出后由检测器发往否定选择算子模块。否定选择算子模块在接到模式字符串后,将它与已放入self中的字符串进行全长度的匹配,目的是检查self中是否存在相同的字符串。如果存在就将这字符串丢弃,否则将它放到self中。实际的self,仅是正常行为的一个近似值,而不等于正常行为集合。不过一般正常的网络通信模式只是微小地偏离self的特征,而异常通信模式则与self有显著不同。因此,需要测量所有通信模式的偏离程度。
检测器(记忆或成熟检测器)对测试数据实施检测的过程时,一旦检测到为非自我,则该数据为入侵,立即发出报警。检测器识别入侵行为模式可以通过计算二者的亲和力函数来实现。检测器(包括记忆检测器和成熟检测器)完成的检测过程如图1所示。与传统入侵检测方法的检测器相比较,通过嵌入否定算子的克隆选择算法执行过程中,检测器将经历状态:未成熟检测器、预检测器、成熟检测器和记忆检测器。各种检测器的生存周期有限,如图2所示。检测器的有限生存周期、检测器再生、耐受,形成了检测器集对自我集的滚动覆盖,使得检测器的检测能力可变而不可预测,也更容易适应动态改变的self集合。
下面我们对检测器的检测流程进行描述,如图3:
检测过程中,检测器将新收到的数据与self进行比较,没有在self中出现的模式就是异常的。实际网格服务运行中,大部分网格服务行为是正常的。即使在没有入侵的情况下,由于self覆盖的不完整,也会出现异常通信模式,这和现实情况是一致的。
检测阶段系统随机生成字符串并通过否定选择生成检测字符串集,将其发送到各个检测器。开始检测工作。首先记忆检测器对测试数据集进行匹配,将检测出的non_self数据删除,并且删除检测出匹配self的记忆检测器,即记忆检测器本身的死亡。记忆检测器检测完毕,将处理后的数据提交给成熟检测器进行检测,成熟检测器检测删除non_self数据;那些未激活的年龄过大的成熟检测器将被删除,即成熟检测器的死亡;匹配次数达到一定阈值的成熟检测器激活为记忆检测器。为了保证检测器的数量,随机生成一定数目的未成熟检测器,耐受成功后成为成熟检测细胞,参与到检测执行过程中。
记忆检测器更新过程中,最差15%检测器来自记忆检测器中最好的85%检测器。此处的否定算子,确保了更新的记忆检测器的具有合法性。双亲记忆检测器由最好的85%检测器按规则随机选择,经交叉、变异产生子孙记忆检测器,并与给定的自我抗原相比较。当子孙记忆检测器与任一self集合中元素匹配时,这个记忆检测器就被淘汰。当一个无效记忆检测器产生时,检测算法就用同一对双亲检测器基因算子产生一个新的记忆检测器。当产生有效记忆检测器失败次数超过规定阀值时,检测算法就选择一对新的双亲检测器产生新的子孙检测器。在最差的15%双亲检测器被淘汰之后,子孙记忆检测器由随机序列经否定算子过滤继续产生,直到填满检测器群的空间。
二关键技术
[未成熟检测器的否定选择算子]:由伪随机序列产生器随机产生新的未成熟检测器,由于随机性较大,很可能包含“自我”信息,因此需要进行否定选择的检查过程。在否定选择中,“未成熟”的检测器与“自我”集合信息进行比较,如果检测器包含有“自我”信息,则被抛弃,反之成为成熟的检测器。这就是检测器的“否定选择”过程。Hofmeyr和Forrest在检测过程中,由否定选择算法直接生成成熟的检测器;本发明的否定选择机制,与其它方法不同的是,仅作为克隆选择算法的一个操作因子,因此称为否定选择算子。
生成初始检测器集合是算法中一个非常重要的问题,因此在算法的该进化阶段嵌入否定选择算子,可以控制未成熟检测器质量,有助于产生更多、更有效的候选检测器,维护系统的安全。实现过程在算法1中描述。
[亲和力成熟过程及亲和力函数的定义]:因为每个检测器的亲和力是,随机生成的初始检测器集合中各个检测器与自我模式匹配判断的标准,也是算法搜索的依据。因此,亲和力函数的选取非常重要,它直接影响到算法的收敛速度以及能否找到最优检测器。亲和力函数是个体空间S到正实数空间的映射,即亲和力函数F为:F:S→ R+。
克隆选择对应着一个亲合度成熟(affinity maturation)的过程,即对抗原亲合度较低的个体在克隆选择机制的作用下,经历增殖复制和变异操作后,其亲合度逐步提高而“成熟”的过程。克隆选择原理通过采用交叉、变异等遗传算子和相应的群体控制机制实现。交叉和变异操作主要是根据亲合力大小产生一个变异群体,删除亲合力最小的检测器,来更新检测器集合,实现信息交换和传递,保持群体多样性。与检测器亲和力成正比的概率决定当前种群里的每个检测器被克隆到下一代群体中的机会多少。亲和力越高的检测器被选择的概率也就越大,亲和力越低的检测器被选择的概率则越小。一般要求所有检测器的亲和力必须为非负。
在入侵检测的人工免疫记忆中,当某个成熟检测器被激活,并且通过协同刺激后被证实是检测到真正的入侵,该成熟检测器应该演化成记忆检测器,但演化过程不能是直接将原来的成熟检测器标识为记忆检测器,而是应该参照人体免疫系统中的“体细胞高突变”在突变后的检测器中选择“亲和力”最高的检测器作为记忆检测器,这个过程就是亲和力成熟的过程。对编码后的检测数据,本发明中的亲和力函数采用了按位异或(XOR)求距离评分的方法,即计算n个样本检测器与挑选出来的预检测器之间的相似程度,该相似程度作为样本检测器的得分,计算方法定义为:
Score=XOR(预检测器,检测器)
选择得分最大的检测器;若得分相同则从其中随机选择,得到成熟检测器。删除成熟检测器中重复的检测器,选择85%的成熟检测器置入候选记忆检测器库,用于生成记忆检测器。
[记忆检测器的更新机制]:记忆检测器,是由成熟检测器经过克隆变异后,择优形成的。已经出现过的“非自我”模式,再次出现时,由记忆检测器直接清除。所以记忆检测器加快了对已知异常的检测,对应于免疫反应的二次应答。原来克隆选择算法,对被删除的记忆检测器实施变异操作来克隆记忆检测器,根据亲和度,选择最优的个体加入,更新记忆库。但是记忆库更新后,新加入的检测器未必是有效的。
记忆机制是人体免疫系统对外来入侵快速应答的重要机制,已经出现过的non_self模式,再次出现时,由记忆检测器直接清除。所以,记忆检测器加快了对已知异常的检测,对应于免疫反应的二次应答。许多的研究表明,记忆细胞的稳定是由于现存的记忆细胞的恒定死亡、新的记忆细胞的补充与增生实现的,也就是说记忆细胞的粗略恒定的数目不是保持记忆免疫细胞的静态平衡,而是通过记忆免疫细胞持续的死亡与新生实现动态的平衡。记忆检测器的生存周期是有限的,为了实现记忆检测器群体数目的动态平衡,当有新的记忆检测器生成而记忆检测器群体数目又达到极限时,必须采用一定的淘汰策略将原来的某记忆检测器淘汰,进行动态更新。
本发明中完成记忆检测器更新过程的具体方法是,为记忆检测器设置一个生命周期参数L来重新启动否定选择算子Neg_Select。初始化时记忆检测器集合中检测器个数上限值设为15,L为0,Neg_Select=0,然后累计每次迭代次数,从集合中淘汰部分“最差”记忆检测器,即淘汰最久未被使用的记忆检测器,以实现该集合的更新。当某记忆检测器的L达到限值时,则对它进行否定选择,令Neg_Select=1。将它与self集合的合法模式进行匹配,若有匹配则被否定选择算子删除。可见在该记忆检测器产生误报之前,就将其删除,有效控制了误报率的产生,减少了协同刺激的次数,提高了系统的性能。被删除的记忆检测器添加到记忆检测器库,为基因库提供储备信息。由算法2实现。
本发明采用对记忆检测器进行“否定选择”以适应变化环境的方法,减少了人工干预次数(协同刺激)次数,甚至可以去掉协同刺激使系统得到更快的反应速度,以提高系统性能、降低误报率。对记忆检测器执行的否定选择算子如算法2描述。
在算法3中描述基于人工免疫的动态网格入侵检测方法的检测过程。
具体实施分成两部分完成,一部分是基于人工免疫的检测器生成方法的实现,另一部分是基于该方法实现的网格环境中入侵检测。
一.基于人工免疫的检测器生成方法的实现
算法1否定选择算子过滤未成熟检测器算法
process Neg_Select Operator()
{调用随机生成函数rand(),适当添加未成熟检测器到未成熟检测器群中
for i=1 to T do in parallel //T耐受周期
调用immature(i);
}
process immature(i)
{ //开始
for j=(i-1)*(N/T)+1 to i*(N/T) do
for k=1 to length(self[k]) do
if(comp(T[j],self[k])=1) //检测与self集中匹配的
元素
T[j]从T中删除;
else
{T[j].age++;
if(T[j].age++>=T //T为耐受周期值
将T[j]变成成熟检测器;
}
}
算法2记忆检测器的否定选择算子
对所有的记忆检测器执行:
if(记忆检测器的Neg_Select=1)
{记忆检测器与self集中的所有模式进行比较;
if 模式匹配
{ 该记忆检测器删除;
放入记忆检测器库中;
}
else初始化该记忆检测器的否定选择标志;
}
二基于人工免疫的动态网格入侵检测方法检测过程
算法3检测过程
初始化:定义检测方法中的运行参数:
种群大小(population):群体中所含个体的数量,范围[100,300];
迭代代数(generations):运算的终止进化代数,Max generations=500;
检测器生命周期(lifespan):10~20;
generations=0;
do {
if(generations=M)then选择一个新的测试数据G;
从G中选择80%的测试数据;
参数: generations++; 记忆检测器的age++;
成熟检测器的age++;未成熟检测器的age++;
// 监视过程:
{// 用记忆检测器监视测试数据:
记忆检测器是检测到一个non_self还是self?
删除检测到self的记忆检测器;
// 用成熟检测器监视抗原
是否有一个成熟检测器检测到non_self数据?
建立记忆检测器;
生存期到的成熟检测器死亡;
// 用测试数据“耐受”未成熟检测器
是否有未成熟检测器匹配某self元素;
成功经过否定选择算子的未成熟检测器生成成熟检测器;
}
if(Num_未成熟检测器+Num_成熟检测器<Num_非记忆检测器){
do{
if(删除的检测器数目>0&&变异率不为0)
{选择一个被删除的记忆检测器;
对其施加变异操作,产生它的变异体;
将变异体添加到未成熟检测器群;}
else {
随机生成一个检测器,送入否定选择算子过滤;
成功经过算子的,添加到未成熟检测器群;
}
}until(Num_未成熟检测器+Num_成熟检测器=Num_非记忆检测器);
}
} until(generations≤Max Generations)。
Claims (1)
1.一种基于人工免疫的动态网格入侵检测方法,该方法包括基于人工免疫的动态检测器演化过程和网格入侵检测过程,其特征在于借鉴人工免疫系统的防御机制,融合否定选择、克隆选择、亲和力成熟、记忆检测器基因库方法,首先得到演化成熟的检测器,然后在人工免疫机制的协调下,动态处理网格环境中的入侵检测问题,完成动态网格入侵检测的整个过程。
a.基于人工免疫的检测器动态演化步骤如下:
步骤a1.初始化,定义算法中的运行参数:
种群大小:群体中所含个体的数量,取100~300;迭代代数:运算的终止进化代数,取500;检测器生命周期:10~20,
步骤a2.初始随机生成未成熟检测器集合,若不满足结束条件,则通过否定选择算子进行过滤;否则结束,
步骤a3.得到未成熟检测器集合,该集合为记忆检测器子集和剩余群体的总和,
步骤a4.定义亲和度函数并基于亲和度确定未成熟检测器集中的若干最佳个体,
步骤a5.对群体中的最佳个体进行克隆,生成临时克隆群体预检测器,克隆规模是抗原亲和度度量的单调递增函数,
步骤a6.对克隆生成的群体施加交叉和变异操作,生成成熟检测器集合,
步骤a7.从成熟检测器集合中重新选择改进个体组成记忆检测器集合,未成熟检测器集合的一些成员可以由成熟检测器集的其他改进成员加以替换,
步骤a8.用否定选择算子过滤掉成熟检测器集合中与自我集匹配的检测器,如果成熟检测器集合的规模大于上限,将其中15%亲和度最低替换掉,
结束条件:总的迭代代数大于设定的最大迭代代数;
b.基于人工免疫的动态网格入侵检测方法实现步骤如下:
步骤b1:每次从网上捕获1000个IP数据包,进行预处理,变换为检测系统处理的数据格式,
步骤b2:定义评估检测效率的标准,即检测率和误报率,
步骤b3:训练检测器,并生成自我集合与非自我集合,
步骤b4:通过步骤b3中生成的一定规模的自我和非自我检测器集合,对网格域内通信数据进行动态入侵检测,
步骤b5:检测到异常信息,立刻发出报警信息。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2008101241512A CN101299691B (zh) | 2008-06-13 | 2008-06-13 | 一种基于人工免疫的动态网格入侵检测方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2008101241512A CN101299691B (zh) | 2008-06-13 | 2008-06-13 | 一种基于人工免疫的动态网格入侵检测方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN101299691A true CN101299691A (zh) | 2008-11-05 |
| CN101299691B CN101299691B (zh) | 2011-02-16 |
Family
ID=40079388
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN2008101241512A Expired - Fee Related CN101299691B (zh) | 2008-06-13 | 2008-06-13 | 一种基于人工免疫的动态网格入侵检测方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN101299691B (zh) |
Cited By (23)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101866402A (zh) * | 2010-05-31 | 2010-10-20 | 西安电子科技大学 | 基于免疫多目标约束的否定选择入侵检测方法 |
| CN101887498A (zh) * | 2010-06-30 | 2010-11-17 | 南京邮电大学 | 混合式对等网络中基于免疫算法的病毒检测方法 |
| CN102082700A (zh) * | 2009-11-27 | 2011-06-01 | 上海电机学院 | 一种网络入侵的检测方法 |
| CN102467670A (zh) * | 2010-11-08 | 2012-05-23 | 清华大学 | 基于免疫的异常检测方法 |
| CN102750490A (zh) * | 2012-03-23 | 2012-10-24 | 南京邮电大学 | 一种基于协作免疫网络进化算法的病毒检测方法 |
| CN102833228A (zh) * | 2012-07-27 | 2012-12-19 | 江苏亿通高科技股份有限公司 | 一种云计算环境下免疫网络的病毒检测系统及方法 |
| CN103036998A (zh) * | 2012-12-21 | 2013-04-10 | 北京邮电大学 | 云计算中一种基于免疫原理的入侵检测系统 |
| CN103036745A (zh) * | 2012-12-21 | 2013-04-10 | 北京邮电大学 | 云计算中一种基于神经网络的异常检测系统 |
| CN103546444A (zh) * | 2012-07-16 | 2014-01-29 | 清华大学 | 层次化加密代理通道检测方法 |
| CN103604591A (zh) * | 2013-11-14 | 2014-02-26 | 沈阳工业大学 | 一种轮式移动机器人故障检测方法 |
| CN103957203A (zh) * | 2014-04-19 | 2014-07-30 | 盐城工学院 | 一种网络安全防御系统 |
| CN104168152A (zh) * | 2014-09-19 | 2014-11-26 | 西南大学 | 一种基于多层免疫的网络入侵检测方法 |
| CN107172062A (zh) * | 2017-06-07 | 2017-09-15 | 郑州轻工业学院 | 一种基于生物免疫t细胞受体机制的入侵检测方法 |
| CN107567005A (zh) * | 2017-06-12 | 2018-01-09 | 华东师范大学 | 基于人工免疫系统的车联网车辆异常行为检测方法及系统 |
| CN109918307A (zh) * | 2019-03-14 | 2019-06-21 | 牡丹江师范学院 | 基于否定选择遗传算法的路径覆盖测试数据生成方法 |
| CN112052450A (zh) * | 2020-07-27 | 2020-12-08 | 湖北大学 | 一种基于否定选择算法的入侵检测方法及装置 |
| CN112910911A (zh) * | 2021-02-10 | 2021-06-04 | 中国工商银行股份有限公司 | 一种网络入侵检测方法及装置 |
| CN112996037A (zh) * | 2021-03-02 | 2021-06-18 | 哈尔滨理工大学 | 基于改进的否定选择算法的无线传感器网络故障诊断方法 |
| CN113222048A (zh) * | 2021-05-26 | 2021-08-06 | 郑州轻工业大学 | 一种基于人工免疫的疫苗接种与疫苗数据融合方法 |
| CN113409548A (zh) * | 2021-06-19 | 2021-09-17 | 厦门大学嘉庚学院 | 一种基于人工免疫算法的防溺水警报器系统 |
| CN114065933A (zh) * | 2021-11-26 | 2022-02-18 | 北京邮电大学 | 一种基于人工免疫思想的未知威胁检测方法 |
| CN114117420A (zh) * | 2021-11-25 | 2022-03-01 | 北京邮电大学 | 一种基于人工免疫学的分布式多主机网络的入侵检测系统 |
| CN114065933B (zh) * | 2021-11-26 | 2024-07-12 | 北京邮电大学 | 一种基于人工免疫思想的未知威胁检测方法 |
-
2008
- 2008-06-13 CN CN2008101241512A patent/CN101299691B/zh not_active Expired - Fee Related
Cited By (35)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102082700B (zh) * | 2009-11-27 | 2013-10-30 | 上海电机学院 | 一种网络入侵的检测方法 |
| CN102082700A (zh) * | 2009-11-27 | 2011-06-01 | 上海电机学院 | 一种网络入侵的检测方法 |
| CN101866402A (zh) * | 2010-05-31 | 2010-10-20 | 西安电子科技大学 | 基于免疫多目标约束的否定选择入侵检测方法 |
| CN101887498A (zh) * | 2010-06-30 | 2010-11-17 | 南京邮电大学 | 混合式对等网络中基于免疫算法的病毒检测方法 |
| CN101887498B (zh) * | 2010-06-30 | 2012-09-26 | 南京邮电大学 | 混合式对等网络中基于免疫算法的病毒检测方法 |
| CN102467670B (zh) * | 2010-11-08 | 2014-07-02 | 清华大学 | 基于免疫的异常检测方法 |
| CN102467670A (zh) * | 2010-11-08 | 2012-05-23 | 清华大学 | 基于免疫的异常检测方法 |
| CN102750490A (zh) * | 2012-03-23 | 2012-10-24 | 南京邮电大学 | 一种基于协作免疫网络进化算法的病毒检测方法 |
| CN102750490B (zh) * | 2012-03-23 | 2014-10-22 | 南京邮电大学 | 一种基于协作免疫网络进化算法的病毒检测方法 |
| CN103546444A (zh) * | 2012-07-16 | 2014-01-29 | 清华大学 | 层次化加密代理通道检测方法 |
| CN103546444B (zh) * | 2012-07-16 | 2016-12-21 | 清华大学 | 层次化加密代理通道检测方法 |
| CN102833228A (zh) * | 2012-07-27 | 2012-12-19 | 江苏亿通高科技股份有限公司 | 一种云计算环境下免疫网络的病毒检测系统及方法 |
| CN103036998A (zh) * | 2012-12-21 | 2013-04-10 | 北京邮电大学 | 云计算中一种基于免疫原理的入侵检测系统 |
| CN103036745A (zh) * | 2012-12-21 | 2013-04-10 | 北京邮电大学 | 云计算中一种基于神经网络的异常检测系统 |
| CN103604591A (zh) * | 2013-11-14 | 2014-02-26 | 沈阳工业大学 | 一种轮式移动机器人故障检测方法 |
| CN103604591B (zh) * | 2013-11-14 | 2018-11-20 | 沈阳工业大学 | 一种轮式移动机器人故障检测方法 |
| CN103957203B (zh) * | 2014-04-19 | 2015-10-21 | 盐城工学院 | 一种网络安全防御系统 |
| CN103957203A (zh) * | 2014-04-19 | 2014-07-30 | 盐城工学院 | 一种网络安全防御系统 |
| CN104168152A (zh) * | 2014-09-19 | 2014-11-26 | 西南大学 | 一种基于多层免疫的网络入侵检测方法 |
| CN107172062A (zh) * | 2017-06-07 | 2017-09-15 | 郑州轻工业学院 | 一种基于生物免疫t细胞受体机制的入侵检测方法 |
| CN107567005A (zh) * | 2017-06-12 | 2018-01-09 | 华东师范大学 | 基于人工免疫系统的车联网车辆异常行为检测方法及系统 |
| CN109918307B (zh) * | 2019-03-14 | 2022-04-19 | 牡丹江师范学院 | 基于否定选择遗传算法的路径覆盖测试数据生成方法 |
| CN109918307A (zh) * | 2019-03-14 | 2019-06-21 | 牡丹江师范学院 | 基于否定选择遗传算法的路径覆盖测试数据生成方法 |
| CN112052450B (zh) * | 2020-07-27 | 2024-02-02 | 湖北大学 | 一种基于否定选择算法的入侵检测方法及装置 |
| CN112052450A (zh) * | 2020-07-27 | 2020-12-08 | 湖北大学 | 一种基于否定选择算法的入侵检测方法及装置 |
| CN112910911A (zh) * | 2021-02-10 | 2021-06-04 | 中国工商银行股份有限公司 | 一种网络入侵检测方法及装置 |
| CN112996037A (zh) * | 2021-03-02 | 2021-06-18 | 哈尔滨理工大学 | 基于改进的否定选择算法的无线传感器网络故障诊断方法 |
| CN113222048B (zh) * | 2021-05-26 | 2023-02-17 | 郑州轻工业大学 | 一种基于人工免疫的疫苗接种与疫苗数据融合方法 |
| CN113222048A (zh) * | 2021-05-26 | 2021-08-06 | 郑州轻工业大学 | 一种基于人工免疫的疫苗接种与疫苗数据融合方法 |
| CN113409548B (zh) * | 2021-06-19 | 2022-08-12 | 厦门大学嘉庚学院 | 一种基于人工免疫算法的防溺水警报器系统 |
| CN113409548A (zh) * | 2021-06-19 | 2021-09-17 | 厦门大学嘉庚学院 | 一种基于人工免疫算法的防溺水警报器系统 |
| CN114117420A (zh) * | 2021-11-25 | 2022-03-01 | 北京邮电大学 | 一种基于人工免疫学的分布式多主机网络的入侵检测系统 |
| CN114117420B (zh) * | 2021-11-25 | 2024-05-03 | 北京邮电大学 | 一种基于人工免疫学的分布式多主机网络的入侵检测系统 |
| CN114065933A (zh) * | 2021-11-26 | 2022-02-18 | 北京邮电大学 | 一种基于人工免疫思想的未知威胁检测方法 |
| CN114065933B (zh) * | 2021-11-26 | 2024-07-12 | 北京邮电大学 | 一种基于人工免疫思想的未知威胁检测方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN101299691B (zh) | 2011-02-16 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101299691B (zh) | 一种基于人工免疫的动态网格入侵检测方法 | |
| CN112348204B (zh) | 一种基于联邦学习和区块链技术的边缘计算框架下海洋物联网数据安全共享方法 | |
| CN109889538B (zh) | 用户异常行为检测方法及系统 | |
| CN109784015B (zh) | 一种身份鉴别方法及装置 | |
| CN108667834A (zh) | 基于人工免疫和灰色关联度分析的网络安全态势感知方法 | |
| CN101458751B (zh) | 一种基于人工免疫的存储异常检测方法 | |
| CN114448660B (zh) | 一种物联网数据接入方法 | |
| CN112767226A (zh) | 基于gan网络结构自动学习失真的图像隐写方法和系统 | |
| CN116405187A (zh) | 基于区块链的分布式节点入侵态势感知方法 | |
| Benaddi et al. | Adversarial attacks against iot networks using conditional gan based learning | |
| CN115208604B (zh) | 一种ami网络入侵检测的方法、装置及介质 | |
| CN112910873B (zh) | 用于区块链事务异常检测的有用工作量证明方法及系统 | |
| CN114205816A (zh) | 一种电力移动物联网信息安全架构及其使用方法 | |
| Ravi et al. | Wangiri fraud: Pattern analysis and machine-learning-based detection | |
| Paul et al. | An efficient method to detect sybil attack using trust based model | |
| CN114298862A (zh) | 一种基于区块链的智能电网隐私保护及窃电检测方法 | |
| CN107196809A (zh) | 基于脑电特征的身份认证方法及认证系统 | |
| CN114143059B (zh) | 基于大数据信息安全的安全防护指标优化方法及人工智能系统 | |
| CN115544557A (zh) | 一种基于联邦学习的区块链人脸识别系统 | |
| CN115941225A (zh) | 一种结果数据计算、基于对等计算体系的非介质存储方法 | |
| CN111865947B (zh) | 一种基于迁移学习的电力终端异常数据生成方法 | |
| Li et al. | Remote audit scheme of embedded device software based on TPM | |
| Yang et al. | Defending against social network sybils with interaction graph embedding | |
| Zhu et al. | A Blockchain-Based Federated Learning for Smart Homes | |
| ZHOU | Security fusion method of physical fitness training data based on the Internet of Things |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| EE01 | Entry into force of recordation of patent licensing contract |
Application publication date: 20081105 Assignee: Jiangsu Nanyou IOT Technology Park Ltd. Assignor: Nanjing Post & Telecommunication Univ. Contract record no.: 2016320000217 Denomination of invention: Method for detecting dynamic gridding instruction based on artificial immunity Granted publication date: 20110216 License type: Common License Record date: 20161118 |
|
| LICC | Enforcement, change and cancellation of record of contracts on the licence for exploitation of a patent or utility model | ||
| EC01 | Cancellation of recordation of patent licensing contract | ||
| EC01 | Cancellation of recordation of patent licensing contract |
Assignee: Jiangsu Nanyou IOT Technology Park Ltd. Assignor: Nanjing Post & Telecommunication Univ. Contract record no.: 2016320000217 Date of cancellation: 20180116 |
|
| CF01 | Termination of patent right due to non-payment of annual fee | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20110216 Termination date: 20180613 |