CN101478534A - 一种基于人工免疫原理的网络异常检测方法 - Google Patents

Abstract

本发明提出了一种基于人工免疫原理的网络异常检测方法，属于信息安全领域。本发明通过模拟生物免疫系统对外界抗原的响应，通过训练抗原数据收集，人工免疫系统学习，以及网络异常检测三个模块实现了一种检测准确率高、并且能够快速检测的网络异常检测方法。本发明具有生物免疫系统的非线性，以及克隆选择、免疫网络和免疫记忆等优良特征，解决了目前网络异常检测中存在的检测速度慢，检测准确率低的问题。本发明亦可广泛应用于模式识别、机器学习等领域，具有广阔的应用前景。

Description

一种基于人工免疫原理的网络异常检测方法

技术领域

本发明属于一种基于人工免疫原理的网络异常检测方法。

背景技术

随着Intemet的不断发展，网络安全已经逐渐成为人们越来越关心的问题，而入侵检测技术是继防火墙之后逐渐兴起的检测手段之一，也越来越受到广大学者和工程人员的重视。传统的入侵检测方法分为两种：误用检测方法和异常检测方法。其中误用检测通过对已知攻击形成攻击特征数据，除非攻击特征数据库更新到最新，不然无法检测到相关的攻击；而异常检测方法对正常的用户行为和被保护的系统进行建模，在检测到新的数据与正常模型相违背的时候，就认为是异常。由于异常检测方法不需要相关的网络攻击知识来训练检测模型，因此异常检测模型可以用来检测未知攻击，可以弥补误用检测的不足，并具有良好的可扩展性。

中国专利公开号CN101026510中所述的通过数据包类型以及协议会话状态进行度量，并根据度量的结果，利用数据挖掘判断该会话或伪会话是否为异常，该方法检测速度较慢，并难以判断伪造的数据包。公开号CN101051953公中所述的基于模糊神经网络的异常检测方法，因为需要预先对神经网络进行训练，训练速度较慢。公开号CN101060444所述的基于贝叶斯统计模型的网络异常的检测方法，该方法对未知攻击缺乏有效检测。

发明内容

本发明的目的是提供一种基于人工免疫原理的网络异常检测方法，该方法原理基于生物免疫系统对外界抗原的响应，生物免疫系统通过抗体细胞对外界入侵抗原进行响应和特征提呈，抗体细胞在克隆后，通过变异形成对抗原具有高亲和力的抗体细胞，大多数抗体细胞只具有一个很短的生命周期，但有一小部分进化成具有较长生命周期的记忆细胞，当免疫系统受到相同抗原的再次刺激后，记忆细胞能够很快产生二次应答。在本发明中，训练数据相当于人工免疫系统中的抗原，抗体细胞和抗原亲和力越高，抗体细胞得到刺激越大，克隆数目就越多，亲和力低的抗体细胞则死亡，而与抗原最相似的抗体细胞则成为较长生命周期的记忆细胞。网络异常检测时，人工免疫系统通过记忆细胞能够进行快速的网络异常检测。本方法具有生物免疫系统的非线性，以及克隆选择、免疫网络和免疫记忆等优良特征，解决了目前网络异常检测中存在的检测速度慢，检测准确率低的问题。

一种基于人工免疫原理的网络异常检测方法，其特征是首先进行训练抗原数据收集，即通过收集正异常网络环境下描述网络事务的特征数据，在对特征数据进行标准化和正异常类别标识处理后，作为训练人工免疫系统的训练抗原；然后是人工免疫系统学习的步骤，人工免疫系统通过每一个训练抗原的学习，进行抗体细胞进化，在抗体细胞收敛后，优选出最佳的抗体细胞对记忆细胞进行更新；最后是网络异常检测步骤，通过已训练人工免疫系统中的记忆细胞对网络进行异常检测。

上述的一种基于人工免疫原理的网络异常检测方法，其特征是训练抗原数据收集步骤包括以下步骤：

(1)收集网络流量特征数据的步骤，即以旁路侦听方式获取正异常网络环境下单位时间流入字节数、流出字节数、TCP连接数、ICMP数据包数、紧急数据包数等描述网络事务的特征数据，作为训练抗原特征向量的特征值；

(2)训练抗原特征向量标准化的步骤，将训练抗原的特征向量各个特征值标准化为[0，1]间的实数；

(3)训练抗原的抗原类别标识的步骤，将训练抗原类别根据网络正异常情况标识为0或1，即正常或异常；

(4)计算训练抗原间的平均距离的步骤，即计算训练抗原间的平均距离。

上述的一种基于人工免疫原理的网络异常检测方法，其特征是人工免疫系统学习步骤包括以下步骤：

初始化抗体集和记忆细胞集、抗体细胞克隆和变异、抗体细胞资源竞争、记忆细胞集更新和控制、判断是否继续进行学习等五个步骤。

上述的一种基于人工免疫原理的网络异常检测方法，其特征是初始化抗体集和记忆细胞集，即随机从训练抗原中挑选出一些抗原加入抗体集合和记忆细胞集合，构成最初的抗体集合和记忆细胞集合。

上述的一种基于人工免疫原理的网络异常检测方法，其特征是抗体细胞克隆和变异的步骤包括：

(1)读入一个训练抗原的步骤，读入一个没有学习过的训练抗原；

(2)寻找匹配记忆细胞的步骤，从记忆细胞集中寻找与正学习抗原同类且刺激最大的记忆细胞作为匹配记忆细胞，如没有同类记忆细胞，则将训练抗原作为匹配记忆细胞并加入记忆细胞集；

(3)对匹配记忆细胞进行克隆的步骤，对匹配记忆细胞进行复制；

(4)对克隆抗体细胞进行变异的步骤，对克隆抗体细胞的特征向量各特征值和抗原类别按匹配记忆细胞和训练抗原间的亲和力值为变异概率进行变异；

(5)抗体集合更新的步骤，将克隆抗体细胞中变异的抗体细胞加入抗体细胞集合中。

上述的一种基于人工免疫原理的网络异常检测方法，其特征是抗体细胞资源竞争的步骤包括：

(1)计算抗体细胞刺激值的步骤，计算抗体集合中每个与训练抗原同类的抗体细胞的刺激值；

(2)正规化刺激值的步骤，将刺激值标准化为[0，1]间的实数；

(3)根据刺激值分配资源的步骤，根据刺激值计算分配给抗体细胞的资源；

(4)统计资源总数的步骤，统计分配给抗体细胞的资源总数；

(5)对抗体细胞进行死亡的步骤，资源总数如大于给定的资源总数，则依次将分配资源小抗体细胞进行死亡，即删除该抗体细胞；

(6)随机生成抗体细胞并加入抗体集的步骤，从抗体集中随机地选择一些生存下来的抗体细胞，并进行克隆和变异后并加入抗体集合中；

(7)计算抗体细胞平均刺激值的步骤，计算与抗原同类抗体细胞的平均刺激值；

(8)判断是否继续资源竞争的步骤，如平均刺激值不大于给定的停止资源竞争的刺激阈值，即如果没有收敛，则重新开始资源竞争，否则转到记忆细胞集更新和控制步骤。

上述的一种基于人工免疫原理的网络异常检测方法，其特征是记忆细胞集更新和控制的步骤包括：

(1)挑选候选记忆细胞的步骤，从抗体细胞集中与挑选出与正学习抗原同类且最大刺激值的抗体细胞作为候选记忆细胞；

(2)计算刺激值的步骤，分别计算候选记忆细胞和匹配记忆细胞与训练抗原之间的刺激值，分别为CandStim和MatchStim；

(3)判断是否加入候选记忆细胞的步骤，如果CandStim小于MatchStim，则结束记忆细胞集更新和控制步骤，否则进行下一个步骤；

(4)更新记忆细胞集的步骤，将候选记忆细胞加入记忆细胞集；

(5)记忆细胞集控制的步骤，计算匹配记忆细胞与其它任一记忆细胞间亲和力，如小于训练抗原间的平均距离与距离阈值比例的乘积，则从记忆细胞集中删除匹配记忆细胞。

上述的一种基于人工免疫原理的网络异常检测方法，其特征是判断是否继续学习的步骤，即如果训练集还有抗原没有学习，人工免疫系统则对其进行学习，否则结束人工免疫系统的学习过程。

上述的一种基于人工免疫原理的网络异常检测方法，其特征是网络异常检测的步骤包括以下步骤：

(1)将待检抗原输入的步骤，以旁路侦听方式获取网络单位时间流入字节数、流出字节数、TCP连接数、ICMP数据包数、紧急数据包数等描述网络事务的特征数据，作为待检抗原的特征向量，输入已经完成训练的人工免疫系统；

(2)计算记忆细胞和待检抗原之间亲和力的步骤，计算人工免疫系统所有记忆细胞与待检抗原之间的亲和力；

(3)按亲和力从小到大进行排序的步骤，将亲和力从小到大进行排序；

(4)记忆细胞投票决定待检抗原类别的步骤，由k个亲和力最小的记忆细胞根据自己的正异常类别进行投票，而待检测抗原的类别取决于记忆细胞投票数目多的类别；

(5)判断是否继续检测的步骤，判断是否还有未检测的抗原，如果有则继续检测，否则终止检测过程。

本发明具有如下特点：

模拟人工免疫原理进行检测，检测准确率高；检测速度快；具有生物免疫系统的非线性以及克隆选择、免疫网络和免疫记忆等优良特征。本发明可支持用户在Internet构建自己的网络入侵检测系统，有效提高检测率和检测速度，具有广泛的应用前景。

附图说明

图1是本发明的工作流程图；

图2是训练抗原数据收集的步骤；

图3是人工免疫系统学习的步骤；

图4是网络异常检测的步骤。

具体实施方式

在详细说明之前，首先定义发明中使用的一些名词、符号以及一些公式：

(1)定义M表示记忆细胞集合，m表示一个记忆细胞，并且m∈M。定义B为人工抗体集合，b表示一个抗体细胞并且b∈B；定义G表示抗原集合，g表示一个抗原，并且g∈G；定义C表示抗原集合，c表示一个记忆细胞、抗体或抗原类别，并且c∈C。

(2)定义记忆细胞m、抗体细胞b，抗原g由类别以及特征向量组成，即<c，f>，其中m.c表示记忆细胞mc的类别，并且m.c∈C＝{0，1}，b.c和g.c分别表示抗体和抗原类别，并且b.c∈C＝{0，1}，g.c∈C＝{0，1}，其中，0表示网络行为正常，而1则表示网络行为异常。g.f，m.f，b.f分别表示g，m，b的特征向量，特征向量由描述网络事务的特征数据组成，其中g.f_i，m.f_i，b.f_i分别表示g.f，m.f，b.f的第i个特征值，g.f_i∈R，m.f_i∈R，b.f_i∈R，R为实数(下同)。

(3)公式(1)和(2)分别定义抗原、抗体或者是记忆细胞两两之间的亲和力及刺激值，具体地，n表示特征向量的维数，当公式(1)和公式(2)中的参数x和y为m和g时，则分别表示m和g间亲和力和刺激值；当参数为b和g时，则分别表示b和g间亲和力和刺激值；而当参数均为m时，则表示二个m间的亲和力。

$\mathrm{Appetency}(x,y)=\sqrt{\underset{i=1}{\overset{n}{\mathrm{\&Sigma;}}}|x\&CenterDot;f_i-y\&CenterDot;f_i|/n}---\left(1\right)$

Stim(x，y)＝1-Appetency(x，y)                      (2)

(4)定义b.stim表示一抗原对抗体细胞的刺激值。b.resource表示b拥有的资源数目，TotalResource表示抗体B细胞集允许拥有的资源总数，其中TotalResource∈R，定义δ为B细胞停止资源竞争的刺激阈值，δ∈R。

(5)训练抗原间的平均距离(Distance Threshold，DT)，通过公式(3)计算训练抗原之间亲和力得到，其中p表示用于训练的抗原总数，且p，i，j均为正整数，距离阈值比例(Distance Threshold Scalar，DTS)为正实数，由用户进行设置，DT和DTS用于控制人工免疫系统中的相似记忆细胞以减少记忆细胞的数目。

$\mathrm{DT}=\frac{\underset{i=1}{\overset{p-1}{\mathrm{\&Sigma;}}}\underset{j=i+1}{\overset{p}{\mathrm{\&Sigma;}}}\mathrm{Appetency}(g_i,g_j)}{\frac{p(p-1)}{2}}---\left(3\right)$

本发明原理主要通过以下技术方案来达到的，具体包括：训练抗原数据收集，人工免疫系统学习以及网络异常检测。

训练抗原数据收集，该模块首先收集网络流量特征数据，作为训练抗原特征向量的特征值，再将特征值进行标准化，然后将抗原类别标识为正常或异常，作为人工免疫系统的训练抗原，最后根据公式(3)计算训练抗原间的平均距离。

人工免疫系统学习，即人工免疫系统对训练抗原数据的学习，具体包括：初始化抗体集合和记忆细胞集合，抗体细胞克隆和变异，抗体细胞资源竞争，记忆细胞集控制和更新，以及判断是否继续学习等五个步骤。初始化抗体集合和记忆细胞集合，该过程从训练抗原中随机选出一些抗原生成最初的抗体集B和记忆细胞集M；在初始化完成后，人工免疫系统开始对每一个训练抗原g的学习，首先进行的是抗体细胞克隆和变异，在该过程中，首先从记忆细胞集合中寻找与g同类且最大刺激的记忆细胞作为匹配记忆细胞，然后对匹配记忆细胞进行克隆(即复制)以生成克隆抗体细胞，再对所有克隆抗体细胞特征向量的各个特征值及类别进行变异，其变异概率按照匹配记忆细胞与g之间的亲和力，最后将其中变异的克隆抗体细胞加入抗体细胞集合B中；抗体细胞资源竞争的过程，首先计算B细胞集中所有与g同类的抗体细胞b与g间的刺激值，再将刺激值标准化为0和1之间的实数，然后根据刺激值对B细胞分配资源，如果分配B细胞的资源超过TotalResource，则依次删除分配资源少的B细胞，直到分配的资源数不超过TotalResource，最后统计与g同类的B细胞平均刺激值δ，如果超过B细胞停止资源竞争的刺激阈值，即收敛后，则停止资源竞争，否则重新开始进行资源竞争的过程；记忆细胞集控制和更新的过程则在资源竞争停止后，从抗体细胞集B中挑选出与当前正在学习的g同类且刺激最大的抗体细胞b作为候选记忆细胞，分别计算候选记忆细胞和匹配记忆细胞与g之间的刺激值，如候选记忆细胞与g之间的刺激值大于匹配记忆细胞与g之间的刺激值，则将候选记忆细胞加入记忆细胞集，并计算匹配记忆细胞与其它任一记忆细胞间亲和力，如小于DT和DTS乘积，则从记忆细胞集合M中删除匹配记忆细胞；在完成一个训练抗原的学习后，判断是否还有没有学习的抗原，如果有就继续学习，否则终止人工免疫系统的学习过程。

网络异常检测在人工免疫系统完成对每个训练抗原的学习后，该模块首先输入待检抗原到人工免疫系统，然后计算记忆细胞集合M中所有记忆细胞与待检抗原之间的亲和力，并按亲和力从小到大进行排序，然后由其中k个亲和力最小的记忆细胞根据自己的正异常类别进行投票，而待检测抗原的类别取决于二类记忆细胞投票数目多的类别。在进行网络异常检测的过程中，由于该方法只需要计算待检抗原与已有记忆细胞的亲和力，因此本发明具有检测速度快的优点。

以下结合附图详细说明本发明的具体方法。

如图1所示，本发明由训练抗原数据收集、人工免疫系统学习以及网络异常检测三个模块组成。

具体地，本发明提出的基于人工免疫原理的网络异常检测方法包括以下步骤：

1)训练抗原数据收集的步骤；

2)人工免疫系统学习的步骤；

3)网络异常检测的步骤。

如图2所示，训练抗原数据收集的步骤包括四个步骤：首先收集网络流量特征数据，作为训练抗原特征向量的特征值，再将训练抗原特征向量的特征值进行标准化，然后将训练抗原的抗原类别标识为正常和异常，将这些数据作为人工免疫系统的训练抗原数据，最后是计算训练抗原间的平均距离，具体的步骤过程如下：

1.收集网络流量特征数据的步骤：以旁路侦听方式获取正异常网络环境下单位时间流入字节数、流出字节数、TCP连接数、ICMP数据包数、紧急数据包数等描述网络事务的特征数据，作为训练抗原特征向量的特征值。

2.训练抗原特征向量标准化的步骤：将所有训练抗原特征向量的各个特征值标准化为0和1之间的实数，本方法采用公式(4)对所有抗原进行标准化。

$g\&CenterDot;f_i=\frac{g\&CenterDot;f_i-\min (g\&CenterDot;f_i)}{\max (g\&CenterDot;f_i)-\min (g\&CenterDot;f_i)}---\left(4\right)$

3.训练抗原的抗原类别标识的步骤：根据网络运行实际状况，分别将这些训练抗原的抗原类别标识0或1，即正常或异常。抗原经过上述步骤处理后，将作为训练人工免疫系统的训练抗原。

4.计算训练抗原间的平均距离的步骤：通过公式(3)计算所有训练抗原间的平均距离DT。

如图3所示，人工免疫系统对每一个训练抗原的学习包括：初始化抗体集合和记忆细胞集合，抗体细胞的克隆和变异，抗体细胞资源竞争，记忆细胞集更新和控制，判断是否继续进行学习等五个步骤，具体步骤如下：

1.初始化抗体集合和记忆细胞集合的步骤：随机从训练抗原集G中选择t(t为正整数，t≤p)个抗原分别加入抗体集合B和记忆细胞集合M中，构成最初的抗体集合B和记忆细胞集合M。

2.抗体细胞克隆和变异的步骤，具体包括，读入一个训练抗原，寻找匹配记忆细胞，对匹配记忆细胞进行克隆，产生克隆抗体细胞，对克隆抗体细胞进行变异，最后将变异的克隆抗体细胞及匹配记忆细胞加入抗体集合中等五个步骤，具体步骤如下：

a)读入一个训练抗原的步骤：读入一个还没有进行学习的训练抗原，开始人工免疫系统的学习过程。

b)寻找匹配记忆细胞的步骤：在对抗原进行学习过程中，按公式(5)从记忆细胞集合M中找出与当前抗原g同类且刺激最大的m作为匹配记忆细胞m_match，如找不到，则将g作为m_match并将其加入记忆细胞集合M中。

c)对匹配记忆细胞进行克隆的步骤：对m_match进行克隆(即复制)，以产生新的克隆抗体细胞b，其具体克隆数量为NumClones＝clonalRate*Stim(m_match，g)，其中clonalRate是用户设定的正整数，clonalRate决定克隆多少b，典型值为l0。

d)对克隆抗体细胞进行变异的步骤：克隆抗体细胞的各个特征值和类别按式(1)计算的m_match和g的亲和力值为变异概率进行变异。

e)抗体集合更新的步骤：将所有克隆生成的细胞中发生变异的细胞和m_match都加入到抗体集合B中。

3.抗体细胞资源竞争的步骤：抗体细胞B分配的资源总数有恒定值TotalResource，在完成克隆选择过程后，对与抗原同类的每个b进行资源分配，分配的原则是和当前g有较高刺激值的B细胞分配有较多的资源，同时分配的资源总和要小于TotalResource。如果超过TotalResource，则产生B细胞对资源的竞争，占有资源少的B细胞死亡，只有占有资源多，即受抗原刺激大的细胞才能生存，从而达到控制B细胞数量的目的，具体按以下步骤进行：

a)计算抗体细胞刺激值的步骤：按公式(2)计算抗体集合中每个与g同类的b的刺激b.stim。

b)正规化刺激值的步骤：找出a)步骤中最大刺激值maxstim和最小刺激值minstim，并按公式(6)正规化刺激值。

$b.\mathrm{stim}=\frac{b.\mathrm{stim}-\min \mathrm{stim}}{\max \mathrm{stim}-\min \mathrm{stim}}\mathrm{iffb}.c=g.c---\left(6\right)$

c)根据刺激值分配资源的步骤：根据b和g的正规化后的刺激值，按式(7)计算分配给b的资源。

b.resources＝b.stim*clonalRate iffb.c＝g.c            (7)

d)统计资源总数的步骤：统计B细胞在本过程c)步骤分配的资源总数。

e)对抗体细胞进行死亡的步骤：资源总数如大于给定的资源总数TotalResource，则依次将分配资源小抗体细胞集合中的b死亡，即删除该抗体细胞。

f)随机生成抗体细胞并加入抗体集的步骤：从抗体集中随机地选择一些生存下来的抗体细胞，并进行克隆和变异后并加入抗体集合B中，该过程与本模块步骤3的b)、c)、d)步骤类似。

g)计算抗体细胞平均刺激值的步骤：按式(8)计算与抗原同类B的平均刺激值s。

$s=\frac{\underset{j=1}{\overset{\left|B_i\right|}{\mathrm{\&Sigma;}}}{b}_j.\mathrm{stim}}{\left|B_i\right|}\mathrm{iff}{b}_j\&Element;B_i\mathrm{andb}.c=g.c---\left(8\right)$

h)判断是否继续资源竞争的步骤：如s不大于给定的平均刺激阈值δ，既抗体细胞没有收敛，则转到本过程的a)，否则转到本模块的步骤4。

4.记忆细胞集更新和控制的步骤：首先从抗体集合B中挑选出候选记忆细胞，然后将候选记忆细胞加入记忆细胞集，并进行记忆细胞集控制，具体步骤如下：

a)挑选候选记忆细胞的步骤：按式(9)从B中挑选出与g同类的细胞且刺激最大的b作为候选记忆细胞m_cand。

$m_{\mathrm{cand}}=\arg \underset{b\&Element;B_{g.c}}{\max }\mathrm{Stim}(g,b)\mathrm{iffb}.c=g.c---\left(9\right)$

b)计算刺激值的步骤：按式(2)分别计算m_cand和m_match对当前学习抗原g的刺激值，分别为CandStim和MatchStim。

c)判断是否加入候选记忆细胞的步骤：如果CandStim小于MatchStim，则转到本过程的步骤5，否则进行下一个步骤d)。

d)更新记忆细胞集的步骤：则将m_cand加入记忆细胞集合M中，即M_g.c＝M_g.c∪{m_cand}。

e)记忆细胞集控制的步骤：按式(1)计算m_match与其它任一记忆细胞间亲和力，如小于DT与DTS乘积(DTS为正实数，可取1)，则从记忆细胞集合M中删除m_match。

5.判断是否继续学习的步骤：如果训练集还有抗原没有进行学习，转到本模块的步骤2，重复进行人工免疫系统学习过程，否则结束人工免疫系统的学习过程。

如图4所示，网络异常检测过程由人工免疫系统中的记忆细胞集合M与检测抗原g最小亲和力的k个记忆细胞(k nearest neighbor，kNN)进行投票决定，具体步骤以下：

1.将待检抗原输入的步骤：以旁路侦听方式获取网络单位时间流入字节数、流出字节数、TCP连接数、ICMP数据包数、紧急数据包数等描述网络事务的特征数据，作为待检抗原g的特征向量，输入已经完成训练的人工免疫系统。

2.计算记忆细胞和检测抗原之间亲和力的步骤：计算出人工免疫系统中所有记忆细胞与检测抗原g之间的亲和力。

3.按亲和力从小到大进行排序的步骤：按本过程步骤1计算出的亲和力进行排序，其中k个亲和力最小的记忆细胞构成集合M_k，由于整个数据集只包含正常和异常二个状态，因此，k的具体数值为奇数。

4.记忆细胞投票决定检测抗原类别的步骤：由Mk中的记忆细胞根据自己的正异常类别进行投票，而待检测抗原的类别取决于二类记忆细胞投票数目多的类别，其中card函数表示集合元素的个数，具体如(10)方式所示。

$g.c=\left\{\begin{array}{cc}0& \mathrm{iffcard}\left(\left\{m\right|m\&Element;M_k,m.c=0\}\right)>\mathrm{card}\left(\left\{m\right|m\&Element;M_k,m.c=1\}\right)\\ 1& \mathrm{otherwise}\end{array}\right.---\left(10\right)$

5.判断是否继续检测的步骤：如果存在未检抗原，转入本模块的步骤1，否则结束异常检测的过程。

Claims (9)

1、一种基于人工免疫原理的网络异常检测方法，其特征是首先进行训练抗原数据收集，即通过收集正异常网络环境下描述网络事务的特征数据，在对特征数据进行标准化和正异常类别标识处理后，作为训练人工免疫系统的训练抗原；然后是人工免疫系统学习的步骤，人工免疫系统通过每一个训练抗原的学习，进行抗体细胞进化，在抗体细胞收敛后，优选出最佳的抗体细胞对记忆细胞进行更新；最后是网络异常检测步骤，通过已训练人工免疫系统中的记忆细胞对网络进行异常检测。

2、据权利要求1所述的一种基于人工免疫原理的网络异常检测方法，其特征是训练抗原数据收集步骤包括以下步骤：

(1)收集网络流量特征数据的步骤，即以旁路侦听方式获取正异常网络环境下单位时间流入字节数、流出字节数、TCP连接数、ICMP数据包数、紧急数据包数等描述网络事务的特征数据，作为训练抗原特征向量的特征值；

(2)训练抗原特征向量标准化的步骤，将训练抗原的特征向量各个特征值标准化为[0，1]间的实数；

(3)训练抗原的抗原类别标识的步骤，将训练抗原类别根据网络正异常情况标识为0或1，即正常或异常；

(4)计算训练抗原间的平均距离的步骤，即计算训练抗原间的平均距离。

3、据权利要求1所述的一种基于人工免疫原理的网络异常检测方法，其特征是人工免疫系统学习步骤包括以下步骤：

初始化抗体集和记忆细胞集、抗体细胞克隆和变异、抗体细胞资源竞争、记忆细胞集更新和控制、判断是否继续进行学习等五个步骤。

4、据权利要求3所述的一种基于人工免疫原理的网络异常检测方法，其特征是初始化抗体集和记忆细胞集，即随机从训练抗原中挑选出一些抗原加入抗体集合和记忆细胞集合，构成最初的抗体集合和记忆细胞集合。

5、据权利要求3所述的一种基于人工免疫原理的网络异常检测方法，其特征是抗体细胞克隆和变异的步骤包括：

(1)读入一个训练抗原的步骤，读入一个没有学习过的训练抗原；

(2)寻找匹配记忆细胞的步骤，从记忆细胞集中寻找与正学习抗原同类且刺激最大的记忆细胞作为匹配记忆细胞，如没有同类记忆细胞，则将训练抗原作为匹配记忆细胞并加入记忆细胞集；

(3)对匹配记忆细胞进行克隆的步骤，对匹配记忆细胞进行复制；

(4)对克隆抗体细胞进行变异的步骤，对克隆抗体细胞的特征向量各特征值和抗原类别按匹配记忆细胞和训练抗原间的亲和力值为变异概率进行变异；

(5)抗体集合更新的步骤，将克隆抗体细胞中变异的抗体细胞加入抗体细胞集合中。

6、据权利要求3所述的一种基于人工免疫原理的网络异常检测方法，其特征是抗体细胞资源竞争的步骤包括：

(1)计算抗体细胞刺激值的步骤，计算抗体集合中每个与训练抗原同类的抗体细胞的刺激值；

(2)正规化刺激值的步骤，将刺激值标准化为[0，1]间的实数；

(3)根据刺激值分配资源的步骤，根据刺激值计算分配给抗体细胞的资源；

(4)统计资源总数的步骤，统计分配给抗体细胞的资源总数；

(5)对抗体细胞进行死亡的步骤，资源总数如大于给定的资源总数，则依次将分配资源小抗体细胞进行死亡，即删除该抗体细胞；

(6)随机生成抗体细胞并加入抗体集的步骤，从抗体集中随机地选择一些生存下来的抗体细胞，并进行克隆和变异后并加入抗体集合中；

(7)计算抗体细胞平均刺激值的步骤，计算与抗原同类抗体细胞的平均刺激值；

(8)判断是否继续资源竞争的步骤，如平均刺激值不大于给定的停止资源竞争的刺激阈值，即如果没有收敛，则重新开始资源竞争，否则转到记忆细胞集更新和控制步骤。

7、据权利要求3所述的一种基于人工免疫原理的网络异常检测方法，其特征是记忆细胞集更新和控制的步骤包括：

(1)挑选候选记忆细胞的步骤，从抗体细胞集中与挑选出与正学习抗原同类且最大刺激值的抗体细胞作为候选记忆细胞；

(2)计算刺激值的步骤，分别计算候选记忆细胞和匹配记忆细胞与训练抗原之间的刺激值，分别为CandStim和MatchStim；

(3)判断是否加入候选记忆细胞的步骤，如果CandStim小于MatchStim，则结束记忆细胞集更新和控制步骤，否则进行下一个步骤；

(4)更新记忆细胞集的步骤，将候选记忆细胞加入记忆细胞集；

(5)记忆细胞集控制的步骤，计算匹配记忆细胞与其它任一记忆细胞间亲和力，如小于训练抗原间的平均距离与距离阈值比例的乘积，则从记忆细胞集中删除匹配记忆细胞。

8、据权利要求3所述的一种基于人工免疫原理的网络异常检测方法，其特征是判断是否继续学习的步骤，即如果训练集还有抗原没有学习，人工免疫系统则对其进行学习，否则结束人工免疫系统的学习过程。

9、据权利要求1所述的一种基于人工免疫原理的网络异常检测方法，其特征是网络异常检测的步骤包括以下步骤：

(1)将待检抗原输入的步骤，以旁路侦听方式获取网络单位时间流入字节数、流出字节数、TCP连接数、ICMP数据包数、紧急数据包数等描述网络事务的特征数据，作为待检抗原的特征向量，输入已经完成训练的人工免疫系统；

(2)计算记忆细胞和待检抗原之间亲和力的步骤，计算人工免疫系统所有记忆细胞与待检抗原之间的亲和力；

(3)按亲和力从小到大进行排序的步骤，将亲和力从小到大进行排序；

(4)记忆细胞投票决定待检抗原类别的步骤，由k个亲和力最小的记忆细胞根据自己的正异常类别进行投票，而待检测抗原的类别取决于记忆细胞投票数目多的类别；

(5)判断是否继续检测的步骤，判断是否还有未检测的抗原，如果有则继续检测，否则终止检测过程。

Images