CN102510388A - 基于自体半径可变的否定选择入侵检测方法 - Google Patents

基于自体半径可变的否定选择入侵检测方法 Download PDF

Info

Publication number
CN102510388A
CN102510388A CN2012100003693A CN201210000369A CN102510388A CN 102510388 A CN102510388 A CN 102510388A CN 2012100003693 A CN2012100003693 A CN 2012100003693A CN 201210000369 A CN201210000369 A CN 201210000369A CN 102510388 A CN102510388 A CN 102510388A
Authority
CN
China
Prior art keywords
allosome
detector
collection
dis
radius
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN2012100003693A
Other languages
English (en)
Other versions
CN102510388B (zh
Inventor
公茂果
焦李成
王彦涛
马晶晶
马文萍
张建
段婷婷
王爽
尚荣华
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Xidian University
Original Assignee
Xidian University
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Xidian University filed Critical Xidian University
Priority to CN201210000369.3A priority Critical patent/CN102510388B/zh
Publication of CN102510388A publication Critical patent/CN102510388A/zh
Application granted granted Critical
Publication of CN102510388B publication Critical patent/CN102510388B/zh
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Alarm Systems (AREA)

Abstract

本发明公开了一种基于自体半径可变的否定选择入侵检测方法,主要解决现有否定选择方法设置固定的自体半径所形成的自体区域不能很好覆盖自体空间,从而导致检测效果较差的问题,其实现步骤是:(1)对KDD99数据集作预处理;(2)从数据集中选取部分正常数据作为自体,组成自体集S;(3)随机生成异体,利用自体与生成的异体之间的距离特征,给所有自体设置可变的自体半径;(4)训练检测器集D;(5)用检测器集D对测试数据进行检测,判断测试数据为正常或异常。本发明具有正检率高、误报率低的优点,可在自体数量较少的情况下有效改善否定选择入侵检测方法的效果,用于识别异常的网络数据,确保网络安全。

Description

基于自体半径可变的否定选择入侵检测方法
技术领域
本发明属于网络技术领域,涉及网络安全,也是人工免疫系统在网络安全领域中的应用,具体的说是一种基于自体半径可变的否定选择的入侵检测方法,可用于网络数据分析,及时识别网络通信状态是否异常。
背景技术
伴随着信息时代的到来,电子商务,电子政务以及网络广泛应用于人们的日常生活中,人类进入了信息化社会。然而在各领域得益于网络间急剧膨胀的信息量、开放的资源、共享的信息时,系统数据的安全性也必然受到严重的威胁。如今我们常用的安全技术主要有防火墙、防病毒软件、用户认证、加密技术以及入侵检测系统。其中,入侵检测系统是一套实时监控计算机系统中发生的事件,并能按照一定规则进行安全审计的软件或硬件系统。而这些事件主要包括内部攻击、外部攻击和误用操作。
根据检测数据,入侵检测可以分成主机型和网络型。主机型的入侵检测系统主要是通过审计分析主机数据来检测攻击,而网络型入侵检测系统则担负着保护一个网段的任务,其检测数据来源于网络上的原始数据包。根据检测技术,入侵检测系统可以分为误用检测和异常检测。其中,误用检测是通过对已知的入侵行为的建模来检测新的用户行为。这种方法产生的误检率很小,但是需要不断的更新攻击特征库,系统适应性较差。而异常检测是对正常行为建模,所有不符合这个模型的行为都被怀疑为攻击行为。其操作方法是先在一定时期内收集计算机系统中的正常操作数据,建立正常行为的模型库。然后在收集实时数据,并通过一定的规则检验当前行为是否偏离了正常行为的模式。这种方法的误检率较高,但是可以在没有特定先验知识的情况下检测出未知攻击行为,系统适应性较高。
随着对入侵检测技术研究的深入,学者们发现生物免疫系统与入侵检测系统具有相似性:免疫系统保护生物体免受外来病原体的侵害,正如入侵检测系统保护计算机免受外来入侵行为的侵害;它们都需要在不断变化的环境中维持系统的稳定性。生物免疫系统中分布的、灵活的、自适应的和鲁棒的解决方式正是计算机安全领域所期望得到的。
否定选择算法NSA作为一种基于人体免疫系统的仿生学算法,被广泛的应用于异常数据检测领域,它是从人体对抗外界病毒时,免疫系统的工作机理中受到启发,形成了NSA的基本框架,其应用于异常网络数据检测的基本原理可被描述如下:
将已知的正常网络行为作为自体集合,在训练阶段,让随机产生的检测器经历一个类似于自我耐受过程的否定选择过程,即让产生的检测器也称为候选检测器与自体集合的所有模式按照一定的匹配规则进行匹配试验,丢弃与自体集合匹配的候选检测器,而那些不与自体集合匹配的候选检测器则作为有效检测器。因此,有效检测器就是一个非自体模式,由这些有效检测器构成的集合称为检测系统的检测器。在测试阶段,使用检测器来检测所有的模式,这些模式是从流经网络的数据分组中抽象提取出来的。一旦检测器中的某个检测器与待检模式发生匹配,就表明检测到某个非自体模式,就会向系统发出警报。
在工程应用中,为了更有效的检测异常行为,对否定选择算法的期望主要是让在自体区域之外生成的检测器集能够尽可能多的覆盖异体空间,以便提高检测的准确性,然而固定半径的自体集所覆盖的自体区域,并不能很好的表述自体空间,这样就使NSA生成的检测器集不能很好的覆盖异体空间,造成了NSA用于网络入侵检测时,检测效果较差,即正检率较低,误报率较高的问题。
发明内容
本发明的目的在于克服上述已有技术的不足,提出一种基于自体半径可变的否定选择入侵检测方法,以实现用少量的训练数据,对网络入侵行为进行检测,提高正检率,降低误报率。
本发明的技术方案是:通过对自体设置可变的半径,使自体区域能够更好的表述自体空间,从而使在自体区域外生成的检测器集能够更好的覆盖异体空间,提高检测效果。具体实现步骤如下:
(1)对作为入侵检测的KDD99数据集作如下预处理:
1a)对于每一维文本特征,将其包含的各种取值类型依次赋整数值转化为数值特征;
1b)对所有的数值特征利用如下公式进行归一化:
y ( m , n ) = x ( m , n ) - Min ( n ) Max ( n ) - Min ( n )
其中x(m,n)表示归一化前第m条数据的第n维特征,y(m,n)表示归一化后第m条数据的第n维特征,Min(n)和Max(n)表示第n维特征的取值下限和上限;
(2)将预处理后的KDD99数据集中部分正常数据作为自体,组成自体集S,设置运行参数:初始的固定自体半径rs、异体半径调节系数pa、期望覆盖率c0
(3)置异体集A为空,随机生成候选异体加入异体集A中,根据异体集A中的异体与自体集S中的自体之间的距离特征,重新设置每个自体的半径:
3a)随机生成候选异体a,计算该候选异体与所有自体之间的欧氏距离Dis(a,si):
Dis ( a , s i ) = ( Σ j = 1 L ( a j - s i , j ) 2 ) 1 / 2 , i = 1 , . . . , N s , j = 1 , . . . L ,
其中,aj表示候选异体a的第j维的值,si,j表示第i个自体的第j维的值,L表示候选异体a和自体si在计算中所用的维数,Ns表示自体集S内自体的个数;将候选异体a与自体si之间的欧氏距离Dis(a,si)与初始的固定自体半径rs进行比较,如果自体集S中存在自体si使得Dis(a,si)<rs,则将候选异体a抛弃,反之,令候选异体a的半径 r a = min { Dis ( a , s 1 ) , . . . , Dis ( a , s N s ) } - r s * p a , 并将该候选异体加入异体集A中;
3b)重复步骤3a),直到被抛弃的候选异体数达到自体数Ns时停止;
3c)重新设置所有自体的半径,根据自体si与异体集A中所有异体之间的欧氏距离,将自体si的半径
Figure BDA0000128455640000033
设置为
min { Dis ( a 1 , s i ) - r a 1 , . . . , Dis ( a N a , s i ) - r a N a } ,
其中,a1为异体集A中第1个异体,为异体a1的半径,为异体集A中第Na个异体,
Figure BDA0000128455640000037
为异体
Figure BDA0000128455640000038
的半径,Dis(a1,si)为异体a1与自体si之间的欧氏距离,为异体
Figure BDA00001284556400000310
与自体si之间的欧氏距离,Na为异体集A内异体的个数;
(4)置检测器集D为空,随机生成候选检测器加入检测器集D中,直到达到终止条件时停止;
(5)利用检测器集D检测预处理后KDD99数据集中测试数据t,如果该测试数据被检测器集D中的某个检测器d覆盖,即Dis(t,d)<rd,将该测试数据判为异常数据,反之,将该测试数据判为正常数据,其中Dis(t,d)表示该测试数据t与检测器d之间的欧氏距离,rd为检测器d的半径。
本发明与现有技术相比具有如下优点:
1)检测效果好
NSA的检测效果主要取决于在自体区域外生成的检测器对异体空间的覆盖效果,而固定半径的自体集所形成的自体区域,很多情况下并不能很好的表述自体空间,这样在自体区域外生成的检测器集就不能很好的覆盖异体空间,造成了NSA用于网络入侵检测时,检测效果较差,正检率低,误报率过高的问题。本发明通过给自体集中的每一个自体设置合适的半径,形成能够更好的表述自体空间的自体区域,这样在自体区域外生成的检测器集就能够更好的覆盖异体空间。
2)需要的训练数据少
用固定半径的自体集来表述自体空间时,在自体半径设置得合适的情况下,自体数量越多,分布越有代表性,对自体空间的表述就越精确,这样想要更精确的表述自体空间就需要更多的自体数量。本发明通过给自体集中的每一个自体设置合适的半径,即给自体空间中心处的自体设置较大的半径,给自体空间边缘处的自体设置较小的半径,达到用较少的训练数据能够较好的表述自体空间的目的。
附图说明
图1是本发明的主流程图;
图2是本发明中设置可变自体半径的子流程图;
图3是本发明中训练检测器的子流程图;
图4是本发明中检测测试数据的子流程图。
具体实施方式
参照图1,本发明的具体实现步骤如下:
步骤1,对作为入侵检测基准问题的KDD99数据集作预处理。
KDD99数据集即KDD CUP 1999数据集,是网络入侵检测领域的基准数据,它为入侵检测领域的研究者提供了唯一可以公开使用的带标签的数据集,为基于计算智能的网络入侵检测研究奠定了基础。KDD99数据集总共由500万条记录构成,每条数据包含41维特征,它还提供一个10%的子集,该子集共有494021条数据,其中有396743条为异常数据,97278条为正常数据。本发明首先要对KDD数据集作预处理,把每一维的值都转化为[0,1]上的值,本步骤的具体实现如下:
1a)每条数据有41维特征,其中3维是文本特征,对于这些文本特征,将其包含的各种类型依次赋整数值,就将其转化为数值特征,以protocol_type这一维为例,它有TCP、UDP、ICMP三种不同的类型,对这三种类型依次赋值0、1、2,实现文本特征到数值特征的转化,其余文本特征均按此方法转化;
1b)对所有的数值特征利用如下公式进行归一化:
y ( m , n ) = x ( m , n ) - Min ( n ) Max ( n ) - Min ( n ) ,
其中,x(m,n)表示归一化前第m条数据的第n维特征,y(m,n)表示归一化后第m条数据的第n维特征,Min(n)和Max(n)表示第n维特征的取值下限和上限。
步骤2,将预处理后的KDD99数据集中部分正常数据作为自体,组成自体集S,设置运行参数:初始的固定自体半径rs、异体半径调节系数pa、期望覆盖率c0
步骤3,置异体集A为空,随机生成候选异体加入异体集A中,根据异体集A中的异体与自体集S中的自体之间的距离特征,重新设置每个自体的半径。
参照图2,本步骤的具体实现如下:
(3a)随机生成候选异体a,计算该候选异体与所有自体之间的欧氏距离Dis(a,si):
Dis ( a , s i ) = ( Σ j = 1 L ( a j - s i , j ) 2 ) 1 / 2 , i = 1 , . . . , N s , j = 1 , . . . L ,
其中,aj表示候选异体a的第j维的值,si,j表示第i个自体的第j维的值,L表示候选异体a和自体si在计算中所用的维数,Ns表示自体集S内自体的个数;将候选异体a与自体si之间的欧氏距离Dis(a,si)与初始的固定自体半径rs进行比较,如果自体集S中存在自体si使得Dis(a,si)<rs,则将候选异体a抛弃,反之,令候选异体a的半径 r a = min { Dis ( a , s 1 ) , . . . , Dis ( a , s N s ) } - r s * p a , 并将该候选异体加入异体集A中;
(3b)重复步骤(3a),直到被抛弃的候选异体数达到自体数Ns时停止;
(3c)重新设置所有自体的半径,根据自体si与异体集A中所有异体之间的欧氏距离,将自体si的半径
Figure BDA0000128455640000054
设置为
min { Dis ( a 1 , s i ) - r a 1 , . . . , Dis ( a N a , s i ) - r a N a } ,
其中,a1为异体集A中第1个异体,
Figure BDA0000128455640000056
为异体a1的半径,
Figure BDA0000128455640000057
为异体集A中第Na个异体,
Figure BDA0000128455640000058
为异体
Figure BDA0000128455640000059
的半径,Dis(a1,si)为异体a1与自体si之间的欧氏距离,
Figure BDA00001284556400000510
为异体
Figure BDA00001284556400000511
与自体si之间的欧氏距离,Na为异体集A内异体的个数。
步骤4,置检测器集D为空,随机生成候选检测器加入检测器集D中,直到达到终止条件时停止。
参照图3,本步骤的具体实现如下:
(4a)置覆盖次数M=0;
(4b)随机生成候选检测器d,计算该候选检测器与所有自体之间的欧氏距离Dis(d,si):
Dis ( d , s i ) = ( Σ j = 1 L ( d j - s i , j ) 2 ) 1 / 2 , i = 1 , . . . , N s , j = 1 , . . . L ,
其中,dj表示候选检测器d的第j维特征,si,j表示第i个自体的第j维的值,L表示候选检测器d和自体si在计算中所用的维数,Ns表示自体集S内自体的个数;
(4c)将候选检测器d与自体si之间的欧氏距离Dis(d,si)与自体si的半径
Figure BDA0000128455640000062
进行比较,如果自体集S中存在自体si使得
Figure BDA0000128455640000063
则将d抛弃;反之,将候选检测器d的半径rd设置为 min { Dis ( d , s 1 ) - r s 1 , . . . , Dis ( d , s N s ) - r s N s } ;
(4d)根据检测器集D是否为空,决定是将候选检测器d加入检测器集D中,还是进一步进行计算:如果检测器集D为空,则将候选检测器d加入检测器集D中,返回步骤(4b);如果检测器集D不为空,则计算该候选检测器d与检测器集D中所有检测器之间的欧氏距离Dis(d,dl):
Dis ( a , d l ) = ( Σ j = 1 L ( d j - d l , j ) 2 ) 1 / 2 , l = 1 , . . . , N d , j = 1 , . . . , L ,
其中,dj表示候选检测器d的第j维特征,dl,j表示检测器集D中第l个检测器第j维的值,L表示候选检测器d和检测器dl在计算中所用的维数,Nd表示检测器集D内检测器的个数;
(4e)将候选检测器d与检测器dl之间的欧氏距离Dis(d,dl)与检测器dl的半径
Figure BDA0000128455640000066
进行比较,如果检测器集D中存在检测器dl使得
Figure BDA0000128455640000067
则将d抛弃,反之,将d加入检测器集D中,返回步骤(4a);
(4f)令M=M+1,若M>=1/(1-c0),停止候选检测器的生成,否则返回步骤(4b)。
步骤5,利用步骤4中生成的检测器集D,对预处理后的KDD99数据集中的测试数据进行检测。
参照图4,本步骤的具体实现如下:
(5a)利用检测器集D检测测试数据t,计算该测试数据与检测器集D中所有检测器的欧氏距离Dis(t,dl):
Dis ( t , d l ) = ( Σ j = 1 L ( t j - d l , j ) 2 ) 1 / 2 , l = 1 , . . . , N d ,
其中,tj表示测试数据t的第j维的值,dl,j表示检测器集D中第l个检测器第j维的值,Nd表示检测器集D内检测器的个数;
(5b)将测试数据t与检测器dl之间的欧氏距离Dis(t,dl)与检测器dl的半径
Figure BDA0000128455640000072
进行比较,如果检测器集D中存在检测器dl使得
Figure BDA0000128455640000073
将该测试数据判为异常数据,反之,将该测试数据判为正常数据。
本发明的效果可用如下的仿真实验进行说明:
1、实验数据
从预处理后的KDD99数据集10%的子集中分别取出2500条和500条正常数据作为两个自体集做实验,测试数据集为KDD99数据集10%的子集。
2、实验内容与结果
分别用本发明和现有NSA方法用上述两个自体集训练检测器集对测试数据集作100次检测,实验中仅用41维中的count和srv_count这两维用于计算,检测结果的平均值如表1所示。其中:
DR=TP/(TP+FN)表示正检率,FA=FP/(TN+FP)表示误报率,
TP表示被正确检测出的异常数据的个数,TN表示被正确检测出的正常数据的个数,FP表示正常数据被检测成异常数据的个数,FN表示异常数据被检测成正常数据的个数,rs为固定的自体半径,pa为异体半径调节系数,c0为期望覆盖率。
表1仿真实验结果
  自体数   rs   pa   c0   TP   FN   TN   FP   DR(%)   FA(%)  DR-FA(%)
  NSA   2500   0.01   -   0.99   386927.7   9815.3   97070.2   207.8   0.97526   0.00214  0.97312
  本发明   2500   0.04   0.1   0.99   388933.9   7809.1   97203.5   74.5   0.98032   0.00077  0.97955
  NSA   500   0.02   -   0.99   383855.3   12887.7   93918.6   3359.4   0.96752   0.03453  0.93299
  本发明   500   0.06   0.1   0.99   388976.4   7766.6   95371.8   1906.2   0.98042   0.0196  0.96083
从表1可以看出,本发明比NSA检测效果更好,本发明的正检测率和误报率都优于NSA,尤其在训练数据较少的情况下,本发明的优势更大,并且在训练数据减少后,本发明检测效果下降幅度比NSA检测效果的下降幅度要小得多。

Claims (3)

1.一种基于自体半径可变的否定选择入侵检测方法,包括如下步骤:
(1)对作为入侵检测的KDD99数据集作如下预处理:
1a)对于每一维文本特征,将其包含的各种取值类型依次赋整数值转化为数值特征;
1b)对所有的数值特征利用如下公式进行归一化:
y ( m , n ) = x ( m , n ) - Min ( n ) Max ( n ) - Min ( n )
其中x(m,n)表示归一化前第m条数据的第n维特征,y(m,n)表示归一化后第m条数据的第n维特征,Min(n)和Max(n)表示第n维特征的取值下限和上限;
(2)将预处理后的KDD99数据集中部分正常数据作为自体,组成自体集S,设置运行参数:初始的固定自体半径rs、异体半径调节系数pa、期望覆盖率c0
(3)置异体集A为空,随机生成候选异体加入异体集A中,根据异体集A中的异体与自体集S中的自体之间的距离特征,重新设置每个自体的半径:
3a)随机生成候选异体a,计算该候选异体与所有自体之间的欧氏距离Dis(a,si):
Dis ( a , s i ) = ( Σ j = 1 L ( a j - s i , j ) 2 ) 1 / 2 , i = 1 , . . . , N s , j = 1 , . . . L ,
其中,aj表示候选异体a的第j维的值,si,j表示第i个自体的第j维的值,L表示候选异体a和自体si在计算中所用的维数,Ns表示自体集S内自体的个数;将候选异体a与自体si之间的欧氏距离Dis(a,si)与初始的固定自体半径rs进行比较,如果自体集S中存在自体si使得Dis(a,si)<rs,则将候选异体a抛弃,反之,令候选异体a的半径 r a = min { Dis ( a , s 1 ) , . . . , Dis ( a , s N s ) } - r s * p a , 并将该候选异体加入异体集A中;
3b)重复步骤3a),直到被抛弃的候选异体数达到自体数Ns时停止;
3c)重新设置所有自体的半径,根据自体si与异体集A中所有异体之间的欧氏距离,将自体si的半径
Figure FDA0000128455630000014
设置为
min { Dis ( a 1 , s i ) - r a 1 , . . . , Dis ( a N a , s i ) - r a N a } ,
其中,a1为异体集A中第1个异体,
Figure FDA0000128455630000021
为异体a1的半径,为异体集A中第Na个异体,
Figure FDA0000128455630000023
为异体
Figure FDA0000128455630000024
的半径,Dis(a1,si)为异体a1与自体si之间的欧氏距离,
Figure FDA0000128455630000025
为异体
Figure FDA0000128455630000026
与自体si之间的欧氏距离,Na为异体集A内异体的个数;
(4)置检测器集D为空,随机生成候选检测器加入检测器集D中,直到达到终止条件时停止;
(5)利用检测器集D检测预处理后KDD99数据集中测试数据t,如果该测试数据被检测器集D中的某个检测器d覆盖,即Dis(t,d)<rd,将该测试数据判为异常数据,反之,将该测试数据判为正常数据,其中Dis(t,d)表示该测试数据t与检测器d之间的欧氏距离,rd为检测器d的半径。
2.根据权利要求1所述的入侵检测方法,其中步骤1a)所述的对于每一维文本特征,将其包含的各种取值类型依次赋整数值转化为数值特征,是把KDD99数据集中的所有文本特征转化为数值特征,以protocol_type这一维为例,该维有TCP、UDP、ICMP三种不同的类型,对这三种类型依次赋值0、1、2,实现文本特征到数值特征的转化。
3.根据权利要求1所述的入侵检测方法,其特征在于步骤(4)中所述的随机生成候选检测器加入检测器集D中,按如下步骤进行:
(3a)置覆盖次数M=0;
(3b)随机生成候选检测器d,计算该候选检测器与所有自体之间的欧氏距离Dis(d,si):
Dis ( d , s i ) = ( Σ j = 1 L ( d j - s i , j ) 2 ) 1 / 2 , i = 1 , . . . , N s , j = 1 , . . . , L ,
其中,dj表示候选检测器d的第j维特征,si,j表示第i个自体的第j维的值,L表示候选检测器d和自体si在计算中所用的维数,Ns表示自体集S内自体的个数;
(3c)将候选检测器d与自体si之间的欧氏距离Dis(d,si)与自体si的半径
Figure FDA0000128455630000028
进行比较,如果自体集S中存在自体si使得
Figure FDA0000128455630000029
则将d抛弃;反之,将候选检测器d的半径rd设置为 min { Dis ( d , s 1 ) - r s 1 , . . . , Dis ( d , s N s ) - r s N s } ;
(3d)根据检测器集D是否为空,决定是将候选检测器d加入检测器集D中,还是进一步进行计算:如果检测器集D为空,则将候选检测器d加入检测器集D中,返回步骤(3b);如果检测器集D不为空,则计算该候选检测器d与检测器集D中所有检测器之间的欧氏距离Dis(d,dl):
Dis ( d , d l ) = ( Σ j = 1 L ( d j - d l , j ) 2 ) 1 / 2 , l = 1 , . . . , N d , j = 1 , . . . , L ,
其中,dj表示候选检测器d的第j维特征,dl,j表示检测器集D中第l个检测器第j维的值,L表示候选检测器d和检测器dl在计算中所用的维数,Nd表示检测器集D内检测器的个数;
(3e)将候选检测器d与检测器dl之间的欧氏距离Dis(d,dl)与检测器dl的半径
Figure FDA0000128455630000032
进行比较,如果检测器集D中存在检测器dl使得
Figure FDA0000128455630000033
则将d抛弃,反之,将d加入检测器集D中,返回步骤(3a);
(3f)令M=M+1,若M>=1/(1-c0),停止候选检测器的生成,否则返回步骤(3b)。
CN201210000369.3A 2012-01-02 2012-01-02 基于自体半径可变的否定选择入侵检测方法 Expired - Fee Related CN102510388B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201210000369.3A CN102510388B (zh) 2012-01-02 2012-01-02 基于自体半径可变的否定选择入侵检测方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201210000369.3A CN102510388B (zh) 2012-01-02 2012-01-02 基于自体半径可变的否定选择入侵检测方法

Publications (2)

Publication Number Publication Date
CN102510388A true CN102510388A (zh) 2012-06-20
CN102510388B CN102510388B (zh) 2014-04-16

Family

ID=46222441

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201210000369.3A Expired - Fee Related CN102510388B (zh) 2012-01-02 2012-01-02 基于自体半径可变的否定选择入侵检测方法

Country Status (1)

Country Link
CN (1) CN102510388B (zh)

Cited By (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102833128A (zh) * 2012-06-29 2012-12-19 浙江万里学院 基于动态覆盖机制的检测器培育算法
CN103150501A (zh) * 2013-03-07 2013-06-12 东南大学 一种基于改进否定选择的入侵检测方法
CN103604591A (zh) * 2013-11-14 2014-02-26 沈阳工业大学 一种轮式移动机器人故障检测方法
CN104504332A (zh) * 2014-12-29 2015-04-08 南京大学 一种基于二次移动点策略的否定选择入侵检测方法
CN107172062A (zh) * 2017-06-07 2017-09-15 郑州轻工业学院 一种基于生物免疫t细胞受体机制的入侵检测方法
CN111027593A (zh) * 2019-11-15 2020-04-17 广东工业大学 基于模拟退火改进克隆选择算法的能耗异常检测方法

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6282546B1 (en) * 1998-06-30 2001-08-28 Cisco Technology, Inc. System and method for real-time insertion of data into a multi-dimensional database for network intrusion detection and vulnerability assessment
CN101001242A (zh) * 2006-01-10 2007-07-18 中兴通讯股份有限公司 网络设备入侵检测的方法

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6282546B1 (en) * 1998-06-30 2001-08-28 Cisco Technology, Inc. System and method for real-time insertion of data into a multi-dimensional database for network intrusion detection and vulnerability assessment
CN101001242A (zh) * 2006-01-10 2007-07-18 中兴通讯股份有限公司 网络设备入侵检测的方法

Cited By (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102833128A (zh) * 2012-06-29 2012-12-19 浙江万里学院 基于动态覆盖机制的检测器培育算法
CN102833128B (zh) * 2012-06-29 2015-03-04 浙江万里学院 基于动态覆盖机制的检测器培育方法
CN103150501A (zh) * 2013-03-07 2013-06-12 东南大学 一种基于改进否定选择的入侵检测方法
CN103604591A (zh) * 2013-11-14 2014-02-26 沈阳工业大学 一种轮式移动机器人故障检测方法
CN103604591B (zh) * 2013-11-14 2018-11-20 沈阳工业大学 一种轮式移动机器人故障检测方法
CN104504332A (zh) * 2014-12-29 2015-04-08 南京大学 一种基于二次移动点策略的否定选择入侵检测方法
CN104504332B (zh) * 2014-12-29 2017-12-15 南京大学 一种基于二次移动点策略的否定选择入侵检测方法
CN107172062A (zh) * 2017-06-07 2017-09-15 郑州轻工业学院 一种基于生物免疫t细胞受体机制的入侵检测方法
CN111027593A (zh) * 2019-11-15 2020-04-17 广东工业大学 基于模拟退火改进克隆选择算法的能耗异常检测方法
CN111027593B (zh) * 2019-11-15 2022-06-14 广东工业大学 基于模拟退火改进克隆选择算法的能耗异常检测方法

Also Published As

Publication number Publication date
CN102510388B (zh) 2014-04-16

Similar Documents

Publication Publication Date Title
Gao et al. A distributed network intrusion detection system for distributed denial of service attacks in vehicular ad hoc network
Shitharth An enhanced optimization based algorithm for intrusion detection in SCADA network
CN102510388B (zh) 基于自体半径可变的否定选择入侵检测方法
CN102271091B (zh) 一种网络异常事件分类方法
Sala et al. Measurement-calibrated graph models for social network experiments
Kumarage et al. Distributed anomaly detection for industrial wireless sensor networks based on fuzzy data modelling
Dong et al. An Intrusion Detection Model for Wireless Sensor Network Based on Information Gain Ratio and Bagging Algorithm.
CN110401649A (zh) 基于态势感知学习的信息安全风险评估方法和系统
Mohammed et al. Intrusion detection system based on SVM for WLAN
CN105704103A (zh) 基于OCSVM双轮廓模型的Modbus TCP通信行为异常检测方法
Otoum et al. A comparative study of ai-based intrusion detection techniques in critical infrastructures
CN107517216A (zh) 一种网络安全事件关联方法
CN105959316A (zh) 网络安全性验证系统
Lan et al. Traffic data classification to detect man-in-the-middle attacks in industrial control system
Babun et al. A system-level behavioral detection framework for compromised CPS devices: Smart-grid case
Haider et al. Detecting anomalous behavior in cloud servers by nested-arc hidden semi-Markov model with state summarization
Shakya et al. Feature selection based intrusion detection system using the combination of DBSCAN, K-Mean++ and SMO algorithms
Lin et al. Timing patterns and correlations in spontaneous {SCADA} traffic for anomaly detection
CN109861825B (zh) Cps系统中基于加权规则与一致度的内部攻击检测方法
Rufai et al. Improving bee algorithm based feature selection in intrusion detection system using membrane computing
CN104113544A (zh) 基于模糊隐条件随机场模型的网络入侵检测方法及系统
El Mrabet et al. A performance comparison of data mining algorithms based intrusion detection system for smart grid
Elbez et al. Detection of DoS attacks using ARFIMA modeling of GOOSE communication in IEC 61850 substations
Mboweni et al. A machine learning approach to intrusion detection in water distribution systems–A review
CN103501302A (zh) 一种蠕虫特征自动提取的方法及系统

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
C14 Grant of patent or utility model
GR01 Patent grant
CF01 Termination of patent right due to non-payment of annual fee

Granted publication date: 20140416

Termination date: 20200102

CF01 Termination of patent right due to non-payment of annual fee