CN102833128B - 基于动态覆盖机制的检测器培育方法 - Google Patents
基于动态覆盖机制的检测器培育方法 Download PDFInfo
- Publication number
- CN102833128B CN102833128B CN201210221942.3A CN201210221942A CN102833128B CN 102833128 B CN102833128 B CN 102833128B CN 201210221942 A CN201210221942 A CN 201210221942A CN 102833128 B CN102833128 B CN 102833128B
- Authority
- CN
- China
- Prior art keywords
- detector
- detecting device
- distance
- temporary detecting
- abnormal
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Landscapes
- Alarm Systems (AREA)
- Burglar Alarm Systems (AREA)
Abstract
本发明提供一种基于动态覆盖机制的检测器培育算法,本算法产生的检测器具有状态变化和生命值,入侵检测系统中的检测器集合将随时间而动态变化;通过异常检测情况来改变生命值,最终实现检测器的有效性筛选;在检测器培育阶段,由于检测器的最大最小亲和力值是通过同所有正常样本进行比较而设定的,检测器能自动适应正常样本的变化。采用本方法使入侵检测系统能自动适应网络系统特征和入侵行为的动态变化,检测器能实时更新,降低漏报率和误报率。
Description
技术领域:
本发明涉及网络技术领域,尤其涉及网络安全,具体讲是一种用于网络环境中对数据进行检测的基于动态覆盖机制的检测器培育算法。
背景技术:
由于因特网开放性、国际性和自由性的特点,网络的不断普及,新网络技术的应用使网络信息安全问题变得异常重要。目前,主流的商用入侵检测系统(IDS)都是采用基于特征匹配算法的误用检测技术,这种检测方法通过将入侵行为特征同已知样本特征库(即检测器集合)进行匹配来判断是否发生入侵,由于入侵手段的频繁更新,使系统样本特征库更新滞后,难于发现较新的入侵,导致了较高的漏报率;此外,各计算机网络系统平台的差异性和计算机网络系统特征的动态变化,如系统软件的频繁更新和用户活动的改变,都会引起部分样本特征失效,导致较高的误报率和漏报率。
发明内容:
本发明解决的技术问题是,克服现有的技术缺陷,提供一种使入侵检测系统能自动适应网络系统特征和入侵行为的动态变化,检测器能实时更新,降低漏报率和误报率的基于动态覆盖机制的检测器培育算法。
首先给出本发明中一些概念定义及参数定义:
检测器:包含实数向量、最大、最小正常距离、状态、生命值、异常距离值这几个属性。
实数向量:入侵检测系统对网络行为的表述方式,入侵检测系统通过对网络行为的采集编码生成该网络行为的实数向量。
异常距离:为检测器中的实数向量和网络采集到的网络实数向量之间的距离。
覆盖距离:为两个检测器中的实数向量间的距离。
最大最小正常距离:检测器中的实数向量和所有正常样本的实数向量之间的最大最小正常距离。
状态:对检测器性质的定义,分为临时和有效两种状态。
生命值:对检测器本身所能存在时间长度的定义,如果生命值为0,则该检测器会被移除消失。
检测器集合分为两大类:临时检测器集合和有效检测器集合。
最大检测次数:某一样本如果检测次数超过该值还未被检测为异常,则认为是正常。
生命值调整参数、重叠次数:用于控制检测器数量。
目标检测率:用于估计检测器数量。
本发明提供的技术方案是:本发明提供一种基于动态覆盖机制的检测器培育算法,它包括以下步骤:
步骤(1)、参数初始化,设定算法参数:包括最大检测次数,检测器生命值,生命值调整参数;
步骤(2)、采用公开的网络正常样本产生第一临时检测器集合;
步骤(3)、对待检测的网络数据进行采集编码得到向量v,采用有效检测器集合对该网络数据进行检测,如果有效检测器集合为空,则进入下一步,如果其中某有效检测器检测到异常,则改变入侵检测频率值,并增加该有效检测器的生命值,增加值为异常数量*生命值调整参数,如果未检测到异常,则将该有效检测器的生命值减1,并进行下一步,若某有效检测器的生命值为0,则将生命值为0的有效检测器从有效检测器集合中移除;
步骤(4)、采用第一临时检测器集合进行检测,如果其中某临时检测器检测到异常,则改变入侵检测频率值,并将该临时检测器加入到有效检测器集合中,然后增加该检测器的生命值,增加值为异常数量*生命值调整参数*入侵检测频率值,如果未检测到异常,则进行下一步;
步骤(5)、繁殖临时检测器集合:以目前所有临时检测器集合以及有效检测器集合中异常距离最大的检测器为父代,通过亲和力繁殖产生第二临时检测器集合,繁殖的后代数量正比于(异常距离值+异常数量);
步骤(6)、采用第二临时检测器集合进行检测,如果其中某临时检测器检测到异常,则改变入侵检测频率值,并将该临时检测器加入到有效检测器集合中,然后增加该检测器的生命值,增加值为异常数量*生命值调整参数*入侵检测频率值,如果未检测到异常,则进行下一步;
步骤(7)、随机产生第三临时检测器集合,并采用第三临时检测器集合进行检测,如果其中某临时检测器检测到异常,则改变入侵检测频率值,并将该临时检测器加入到有效检测器集合中,然后增加该检测器的生命值,增加值为异常数量*生命值调整参数*入侵检测频率值;
步骤(8)、如果未检测到异常,则回到步骤(5),直到向量v的检测次数达到设定的最大检测次数时,还未检测出异常,则认为该网络数据正常,并将向量v加入到正常样本库。
所述步骤(2)中采用公开的网络正常样本产生第一临时检测器集合以及步骤(7)中随机产生第三临时检测器集合均采用以下步骤:
a、随机产生一个实数编码的向量;
b、向量和正常样本库中的每个正常样本进行距离计算得到最大正常距离和最小正常距离,得到临时检测器;
c、如果临时检测器和现有的临时检测器集合中的任一个检测器距离小于最小正常距离,则重叠次数加1,否则把临时检测器加入临时检测器集合,并回到步骤a;
d、直到重叠次数大于1/(1-目标检测率),则停止,所述目标检测率为设定参数。
采用上述方法后,本发明具有以下优点:
在入侵检测中存在两种报错,误报和漏报。引起误报的原因是由于正常网络行为动态变化,如用户行为或软件更新,导致新的正常行为被误报为异常。引起漏报主要是因为新的入侵行为没有被现有有效检测器覆盖到。总之正常网络行为动态变化和新入侵行为的出现导致了现有系统的误报率和漏报率。
由于本发明提出的算法产生的检测器具有状态变化和生命值,入侵检测系统中的检测器集合将随时间而动态变化;通过异常检测情况来改变生命值,最终实现检测器的有效性筛选。在检测器培育阶段,由于检测器的最大最小亲和力值是通过同所有正常样本进行比较而设定的,检测器能自动适应正常样本的变化;当有新的入侵发生时,采用本算法能通过亲和力繁殖培育迅速识别,产生新的检测器,实现检测器自动适应入侵行为的改变;通过检测器亲和力繁殖培育和随机培育两种机制实现了通用和专业检测器、异常和误用检测器的结合。使检测器能够实时更新,降低了入侵检测中的漏报率和误报率,检测准确性较高。
附图说明:
附图1为本发明中正常样本库及最大正常距离、最小正常距离的说明示意图;
附图2为本发明的检测流程示意图;
具体实施方式:
下面结合附图和具体实施例对本发明做详细说明:
如图1所示:环形内的为正常样本库,环形外的为异常,则检测器距离环形内圈的距离为最小正常距离,检测器距离环形外圈的距离为最大正常距离。
图2为本发明的检测流程示意图;本发明提供一种基于动态覆盖机制的检测器培育算法,它包括以下步骤:
步骤(1)、参数初始化,设定算法参数:包括最大检测次数,检测器生命值,生命值调整参数;
步骤(2)、采用公开的网络正常样本产生第一临时检测器集合;步骤如下:
a、随机产生一个实数编码的向量e;
b、向量e和正常样本库中的每个正常样本进行距离计算得到最大正常距离和最小正常距离,得到临时检测器d0;检测器d0中包含实数向量、最大正常距离、最小正常距离,状态、生命值、异常距离这几个属性。
c、如果临时检测器d0和现有的临时检测器集合中的任一个检测器的距离小于最小正常距离,则重叠次数加1,否则把临时检测器d0加入临时检测器集合,并回到步骤a;
d、直到重叠次数大于1/(1-目标检测率),则停止,所述目标检测率为设定参数。
步骤(3)、对待检测的网络数据进行采集编码得到向量v,采用有效检测器集合对该网络数据进行检测,如果有效检测器集合为空,则进入下一步,如果不为空,则取有效检测器集合中的一个检测器,计算该检测器和向量v的异常距离,如果异常距离大于该检测器的最大正常距离,或者小于该检测器的最小正常距离,则判定为异常,否则,为正常,如果其中某有效检测器检测到异常,则改变入侵检测频率值,并增加该有效检测器的生命值,增加值为异常数量*生命值调整参数,如果未检测到异常,则将该有效检测器的生命值减1,并进行下一步,若某有效检测器的生命值为0,则将生命值为0的有效检测器从有效检测器集合中移除;
步骤(4)、采用第一临时检测器集合进行检测,取第一临时检测器集合中的一个检测器,计算该检测器和向量v的异常距离,如果异常距离大于该检测器的最大正常距离,或者小于该检测器的最小正常距离,则判定为异常,否则,为正常,如果其中某临时检测器检测到异常,则改变入侵检测频率值,并将该临时检测器加入到有效检测器集合中,然后增加该检测器的生命值,增加值为异常数量*生命值调整参数*入侵检测频率值,如果未检测到异常,则进行下一步;
步骤(5)、繁殖临时检测器集合:以目前所有临时检测器集合以及有效检测器集合中异常距离最大的检测器为父代,通过亲和力繁殖产生第二临时检测器集合,繁殖的后代数量正比于(异常距离值+异常数量),取正常样本库,把后代和正常样本进行距离计算,得到最大正常距离和最小正常距离,得到第二临时检测器集合;
步骤(6)、采用第二临时检测器集合进行检测,取第二临时检测器集合中的一个检测器,计算该检测器和向量v的异常距离,如果异常距离大于该检测器的最大正常距离,或者小于该检测器的最小正常距离,则判定为异常,否则,为正常,如果其中某临时检测器检测到异常,则改变入侵检测频率值,并将该临时检测器加入到有效检测器集合中,然后增加该检测器的生命值,增加值为异常数量*生命值调整参数*入侵检测频率值,如果未检测到异常,则进行下一步;
步骤(7)、随机产生第三临时检测器集合,步骤如下:
a、随机产生一个实数编码的向量f;
b、该向量f和正常样本库中的每个正常样本进行距离计算得到最大正常距离和最小正常距离,得到临时检测器d1;检测器中包含实数向量、最大正常距离、最小正常距离,状态、生命值、异常距离这几个属性。
c、如果上述临时检测器d1和现有的临时检测器集合中的任一个检测器的距离小于最小正常距离,则重叠次数加1,否则把该临时检测器d1加入临时检测器集合,并回到步骤a;
d、直到重叠次数大于1/(1-目标检测率),则停止,所述目标检测率为设定参数。
并采用第三临时检测器集合进行检测,取第三临时检测器集合中的一个检测器,计算该检测器和向量v的异常距离,如果异常距离大于该检测器的最大正常距离,或者小于该检测器的最小正常距离,则判定为异常,否则,为正常,如果其中某临时检测器检测到异常,则改变入侵检测频率值,并将该临时检测器加入到有效检测器集合中,然后增加该检测器的生命值,增加值为异常数量*生命值调整参数*入侵检测频率值;
步骤(8)、如果未检测到异常,则回到步骤(5),直到向量v的检测次数达到设定的最大检测次数时,还未检测出异常,则认为该网络数据正常,并将向量v加入到正常样本库。在本实施例中,步骤(8)中未检测到异常时,将检测次数n加1,然后判断检测次数n是否达到最大检测次数n1,如果达到最大检测次数n1,则认为该网络数据正常,如果未达到最大检测次数n1,则跳到步骤(5)。
本发明主要分两个阶段进行:
一、训练阶段
该阶段不进行异常检测。通过公开的网络正常样本进行训练,主要目的是生成初始检测器集,所有检测器状态为临时,即为临时检测器。通过随机产生检测器实数向量,而后进行设定最大最小正常距离,检测器不会把正常样本检测为异常。
二、检测阶段
检测原理:如果某网络行为向量同检测器的距离大于最大正常距离或小于最小正常距离,则该网络行为被检测为异常。
如图2为检测步骤,下一个检测步骤执行均在上一个检测后未发现异常的情况下,在亲和力繁殖步骤,系统通过选择同当前网络行为距离最大的检测器作为父代,并产生正比于(距离值+异常数量),通过该步骤,系统会产生大量同当前网络行为距离较大的检测器,直至产生大于该检测器最大正常距离的有效检测器,因此,该步骤实现了系统快速检测。但是该步骤产生检测器具有针对性,检测范围较小。随机产生步骤可以避免系统检测器陷入趋同化,并产生检测范围较大的通用检测器。在整个检测阶段,系统通过实时调整检测器的生命值,实现检测器动态变化。由于生命值调整决定于所检测到的异常数量和入侵频率,系统检测器数量能实时适应网络入侵行为的变化。
Claims (1)
1.一种基于动态覆盖机制的检测器培育方法,其特征在于:它包括以下步骤:
步骤(1)、参数初始化,设定参数:包括最大检测次数,检测器生命值,生命值调整参数;
步骤(2)、采用公开的网络正常样本产生第一临时检测器集合,步骤如下:
a、随机产生一个实数编码的向量e;
b、向量e和正常样本库中的每个正常样本进行距离计算得到最大正常距离和最小正常距离,得到临时检测器d0;检测器d0中包含实数向量、最大正常距离、最小正常距离、状态、生命值、异常距离这几个属性;
c、如果临时检测器d0和现有的临时检测器集合中的任一个检测器的距离小于最小正常距离,则重叠次数加1,否则把临时检测器d0加入临时检测器集合,并回到步骤a;
d、直到重叠次数大于1/(1-目标检测率),则停止,所述目标检测率为设定参数;
步骤(3)、对待检测的网络行为进行采集编码得到向量v,采用有效检测器集合对该网络行为进行检测,如果有效检测器集合为空,则进入下一步,如果其中某有效检测器检测到异常,则改变入侵检测频率值,并增加该有效检测器的生命值,增加值为异常数量*生命值调整参数,如果未检测到异常,则将该有效检测器的生命值减1,并进行下一步,若某有效检测器的生命值为0,则将生命值为0的有效检测器从有效检测器集合中移除;
步骤(4)、采用第一临时检测器集合进行检测,如果其中某临时检测器检测到异常,则改变入侵检测频率值,并将该临时检测器加入到有效检测器集合中,然后增加该检测器的生命值,增加值为异常数量*生命值调整参数*入侵检测频率值,如果未检测到异常,则进行下一步;
步骤(5)、繁殖临时检测器集合:以目前所有临时检测器集合以及有效检测器集合中异常距离最大的检测器为父代,通过亲和力繁殖产生第二临时检测器集合,繁殖的后代数量正比于(异常距离值+异常数量);
步骤(6)、采用第二临时检测器集合进行检测,如果其中某临时检测器检测到异常,则改变入侵检测频率值,并将该临时检测器加入到有效检测器集合中,然后增加该检测器的生命值,增加值为异常数量*生命值调整参数*入侵检测频率值,如果未检测到异常,则进行下一步;
步骤(7)、随机产生第三临时检测器集合,并采用第三临时检测器集合进行检测,如果其中某临时检测器检测到异常,则改变入侵检测频率值,并将该临时检测器加入到有效检测器集合中,然后增加该检测器的生命值,增加值为异常数量*生命值调整参数*入侵检测频率值,所述随机产生第三临时检测器集合的步骤如下:
a、随机产生一个实数编码的向量f;
b、该向量f和正常样本库中的每个正常样本进行距离计算得到最大正常距离和最小正常距离,得到临时检测器d1;检测器中包含实数向量、最大正常距离、最小正常距离、状态、生命值、异常距离这几个属性;
c、如果上述临时检测器d1和现有的临时检测器集合中的任一个检测器的距离小于最小正常距离,则重叠次数加1,否则把该临时检测器d1加入临时检测器集合,并回到步骤a;
d、直到重叠次数大于1/(1-目标检测率),则停止,所述目标检测率为设定参数;
步骤(8)、如果未检测到异常,则回到步骤(5),直到向量v的检测次数达到设定的最大检测次数时,还未检测出异常,则认为该网络行为正常,并将向量v加入到正常样本库;
其中,所述异常距离为检测器中的实数向量和网络采集到的网络实数向量之间的距离,所述最大最小正常距离为检测器中的实数向量和所有正常样本的实数向量之间的最大最小正常距离;
其中所述检测到异常是指,取有效检测器集合中的一个检测器,计算该检测器和向量v的异常距离,如果异常距离大于该检测器的最大正常距离,或者小于该检测器的最小正常距离,则判定为异常。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201210221942.3A CN102833128B (zh) | 2012-06-29 | 2012-06-29 | 基于动态覆盖机制的检测器培育方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201210221942.3A CN102833128B (zh) | 2012-06-29 | 2012-06-29 | 基于动态覆盖机制的检测器培育方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN102833128A CN102833128A (zh) | 2012-12-19 |
| CN102833128B true CN102833128B (zh) | 2015-03-04 |
Family
ID=47336104
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201210221942.3A Expired - Fee Related CN102833128B (zh) | 2012-06-29 | 2012-06-29 | 基于动态覆盖机制的检测器培育方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN102833128B (zh) |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103150501A (zh) * | 2013-03-07 | 2013-06-12 | 东南大学 | 一种基于改进否定选择的入侵检测方法 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| TW200924426A (en) * | 2007-11-26 | 2009-06-01 | Chunghwa Telecom Co Ltd | Intrusion detection method using multi-layer artificial neural network |
| CN101866402A (zh) * | 2010-05-31 | 2010-10-20 | 西安电子科技大学 | 基于免疫多目标约束的否定选择入侵检测方法 |
| CN102164140A (zh) * | 2011-04-22 | 2011-08-24 | 西安电子科技大学 | 基于否定选择和信息增益的入侵检测方法 |
| CN102510388A (zh) * | 2012-01-02 | 2012-06-20 | 西安电子科技大学 | 基于自体半径可变的否定选择入侵检测方法 |
-
2012
- 2012-06-29 CN CN201210221942.3A patent/CN102833128B/zh not_active Expired - Fee Related
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| TW200924426A (en) * | 2007-11-26 | 2009-06-01 | Chunghwa Telecom Co Ltd | Intrusion detection method using multi-layer artificial neural network |
| CN101866402A (zh) * | 2010-05-31 | 2010-10-20 | 西安电子科技大学 | 基于免疫多目标约束的否定选择入侵检测方法 |
| CN102164140A (zh) * | 2011-04-22 | 2011-08-24 | 西安电子科技大学 | 基于否定选择和信息增益的入侵检测方法 |
| CN102510388A (zh) * | 2012-01-02 | 2012-06-20 | 西安电子科技大学 | 基于自体半径可变的否定选择入侵检测方法 |
Non-Patent Citations (1)
| Title |
|---|
| 一种自适应动态阴性选择入侵检测算法研究;郑月锋等;《计算机应用与软件》;20090930;第26卷(第9期);全文 * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN102833128A (zh) | 2012-12-19 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US20190318089A1 (en) | System security method and apparatus | |
| CN106068640B (zh) | 选择性地向可穿戴计算设备重定向通知 | |
| US9773112B1 (en) | Exploit detection of malware and malware families | |
| US20190098035A1 (en) | Systems, methods and computer program products for anomaly detection | |
| US10944586B2 (en) | Systems and methods for home automation monitoring | |
| US20080232688A1 (en) | Event detection in visual surveillance systems | |
| WO2018122345A1 (en) | System and method for detecting malicious device by using a behavior analysis | |
| CN107209829B (zh) | 数据判定装置及数据判定方法 | |
| CN103164654B (zh) | 一种在弹窗上进行信息提示的方法及用户界面显示装置 | |
| US20150082225A1 (en) | Systems and methods for home automation scene control | |
| WO2019018033A3 (en) | METHODS, SYSTEMS AND MEDIA FOR TESTING INTERNAL THREAT DETECTION SYSTEMS | |
| KR20160084585A (ko) | 센서 정보 처리 방법 및 장치 | |
| CN107480533A (zh) | 一种漏洞修复的方法、装置及装置 | |
| CN103699405B (zh) | 智能终端快捷升级应用程序的方法及装置 | |
| CN102724362B (zh) | 移动终端闹钟控制系统及方法 | |
| Banerjee et al. | Fault tolerant multiple event detection in a wireless sensor network | |
| AU2016204194A1 (en) | A system, method and computer program for preparing data for analysis | |
| CN109492391A (zh) | 一种应用程序的防御方法、装置和可读介质 | |
| KR20130032822A (ko) | 동적 콘텐츠 재생 제어를 위한 시스템 및 장치 | |
| CN108509792A (zh) | 一种注入漏洞检测方法及装置 | |
| CN106512405B (zh) | 一种虚拟对象的外挂资源获取的方法及装置 | |
| CN102833128B (zh) | 基于动态覆盖机制的检测器培育方法 | |
| CN106557250A (zh) | 一种在移动设备中的黑屏处理方法和装置 | |
| CN109766027A (zh) | 一种点击事件触发方法、系统及触摸一体机和存储介质 | |
| CN106200976A (zh) | 一种运动激励方法及终端 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20150304 Termination date: 20180629 |
|
| CF01 | Termination of patent right due to non-payment of annual fee |