CN104168152A - 一种基于多层免疫的网络入侵检测方法 - Google Patents

Abstract

本发明提供一种基于多层免疫的网络入侵检测方法，该方法包括固有免疫层通过对网络正常数据包进行自体聚类生成模式检测器集以实现对已知攻击的快速响应；自适应免疫层通过二次否定选择生成用于网络数据包异常检测的成熟检测器集以对固有免疫层未能清除的网络攻击和入侵进行清除；检测响应层利用固有免疫层生成的模式检测器集和自适应免疫层生成的成熟检测器集对待检测网络数据进行并行和动态的检测，并根据检测结果向固有免疫层和自适应免疫层做出反馈以提高系统检测效率和质量。

Description

一种基于多层免疫的网络入侵检测方法

技术领域

本发明属于信息安全技术领域，尤其涉及一种基于多层免疫的网络入侵检测方法。

背景技术

随着网络技术的不断发展，互联网已成为人们学习、工作和生活中不可或缺的重要工具之一；但另一方面，开放的互联网也导致了病毒入侵和网络攻击成为互联网的灾难。病毒入侵和网络攻击从诸多方面影响着网络的安全使用，主要危害包括：对计算机软硬件资源和网络设施的危害，对正常网络服务和信息的危害，对政治、经济、社会和文化等诸多方面的危害。当前，我国网络基础设施相对较为落后，网络入侵防护措施相对不足，网络安全的需求非常严峻和迫切，应对病毒入侵和黑客攻击等网络入侵的安全防线极为脆弱。在此需求背景下，急需一种能够有效检测网络入侵攻击行为的工具，维护网络使用环境的安全。

网络入侵检测是一种重要的网络安全技术，通过对网络数据包进行采集分析和监控以发现网络入侵数据并产生报警及响应措施的网络安全技术手段。网络入侵检测首先需要根据正常网络数据包进行训练以建立系统的正常模式轮廓，当对网络数据包进行监控发现其超过了所建立模式轮廓的正常阈值范围，则说明检测到了网络入侵攻击。现有的基于人工免疫的网络入侵检测方法(或者是病毒检测，网络攻击检测)中，如专利公开号CN1567810、CN1848765、CN101478534等，利用否定选择算法训练抗原数据生成检测器，检测器的生成采用一次否定选择算法产生，生成的检测器直接用于网络入侵检测过程。上述方法用于网络入侵检测存在以下的不足：

1、检测器数量过多。检测器采用一次否定选择产生导致大量候选检测器对非自体(异常网络数据包)空间的重复覆盖，从而导致达到对非自体空间(网络入侵数据包)的相同期望覆盖率所需的检测器数量过于庞大。

2、检测器的生成效率较低。采用一次否定选择产生检测器集导致了大量候选检测器对非自体空间的重复覆盖，大量无效候选检测器均经历了耗时的自体耐受过程(生成不识别正常网络数据包的检测器集的过程)，从而导致了检测器生成效率低下，检测器集对非自体空间覆盖效果不佳。

3、检测误报率较高。利用检测器对网络数据包检测时因其缺乏自学习和自适应能力，导致其检测误报率较高。

发明内容

本发明的目的在于解决现有基于人工免疫的网络入侵检测方法中检测器生成过多、检测器生成效率过低及检测误报率过高的缺点，提供一种能够有效减少生成的成熟检测器数量，提高成熟检测器的生成效率，并在保持检测率稳定的同时，进一步降低检测误报率的基于多层免疫的网络入侵检测方法。

一种基于多层免疫的网络入侵检测方法，包括以下步骤：

(1)采集正常网络数据包作为自体集；

(2)对网络数据包进行数值化和归一化预处理；

(3)固有免疫层进行自体聚类生成模式检测器集，使用K-Means聚类方法对自体集进行数据聚类；

(4)自适应免疫层进行二次否定选择生成成熟检测器集，第一次否定选择对候选检测器进行成熟检测器集耐受生成半成熟检测器；第二次否定选择对半成熟检测器进行自体训练集耐受生成成熟检测器；

(5)检测响应层利用模式检测器集和成熟检测器集对待检测网络数据包进行检测和反馈记忆。

进一步地，如上所述的基于多层免疫的网络入侵检测方法，所述采集正常网络数据包作为自体集包括：通过网络侦听工具软件采集网络数据包，并选择出其中正常的网络数据包。

进一步地，如上所述的基于多层免疫的网络入侵检测方法，所述对网络数据包进行数值化和归一化预处理包括：

1)网络数据包数值化处理：对数据集中文本特征的数据维，按其类型分别赋以不同的整数值，将其转化为数值特征；

2)网络数据包归一化处理：对数值化后的网络数据包逐维进行归一化处理；

$y_k=\frac{x_k-x_{\min }}{x_{\max }-x_{\min }},k=\mathrm{1,2},...,N---\left(1\right)$

其中x_k和y_k分别表示归一化前后每一维第k条数据的数值，x_min和x_max分别表示相应维数据的最小值和最大值，N表示网络数据包记录数。

进一步地，如上所述的基于多层免疫的网络入侵检测方法，所述固有免疫层进行自体聚类生成模式检测器集，使用K-Means聚类方法对自体集进行数据聚类包括：

1)利用基于划分聚类方法对自体集进行聚类，包括以下步骤：

A、选择聚类方法：根据自体集规模等基本信息，选择合适的基于划分的聚类方法；

B、设置聚类参数：根据所选择的聚类方法，设置该聚类方法相应的聚类参数；

C、对自体集进行聚类：利用所选择的聚类方法和所设置的聚类参数对自体集进行聚类，聚类中心描述了相应划分聚类的性质，聚类中心如公式(2)所描述；

$v_i=\frac{\underset{k=1}{\overset{N_i}{\mathrm{\Σ}}}{x}_k}{N_i},x_k\∈A_i---\left(2\right)$

其中A_i表示第i个划分聚类，v_i表示聚类A_i的聚类中心，N_i表示聚类A_i中自体元素的个数；

2)利用聚类结果生成模式检测器：利用欧几里德距离计算出每个聚类中心与聚类中所有自体的最远距离dis_max(v_i,s_j)，以其作为检测器半径，聚类中心v_i作为检测器中心点，生成模式检测器；

3)判断模式检测器是否足够：通过调整模式检测器集的协同刺激因子ε来控制模式检测器集的大小，其中加大模式检测器半径则增加聚类数量，反之则减少聚类数量，以保证聚类粒度的合适性。

进一步地，如上所述的基于多层免疫的网络入侵检测方法，所述自适应免疫层进行二次否定选择生成成熟检测器集包括：

1)随机产生候选检测器：利用随机函数产生候选检测器d_new，其中心点采用实值空间表示X(x₁,x₂,…,x_n)；

2)第一次否定选择，对随机生成的候选检测器耐受成熟检测器集生成半成熟检测器的过程，包括以下步骤：

①计算候选检测器与成熟检测器亲和力：求得候选检测器d_new检测中心X与已有成熟检测器集D中每个成熟检测器d_i的欧几里德距离dis(d_new,d_i)表达其与成熟检测器的亲和力，欧几里德距离如公式(3)所示：

$\mathrm{dis}(x,y)=\sqrt{\underset{i=1}{\overset{n}{\mathrm{\Σ}}}{(x_i-y_i)}^2}---\left(3\right)$

②判定候选检测器是否被当前成熟检测器识别：根据公式(4)判定该候选检测器d_new是否识别成熟检测器d_i，如果该候选检测器被任意成熟检测器识别则清除并重新随机生成新的候选检测器d_new；

$\mathrm{dis}(d_{\mathrm{new}},d_i)\≤r_{d_i},i=\mathrm{1,2},\·\·\·,N_d---\left(4\right)$

③判定是否完全耐受成熟检测集：如果d_new与所有成熟检测器d_i均不满足公式(4)，则该候选检测器通过成熟检测器集的耐受而成为半成熟检测器d_semi，并进入第二次否定选择进行自体训练集的耐受以产生成熟检测器d_mat；

其中d_new、d_semi和d_mat分别表示候选检测器、半成熟检测器和成熟检测器，表示成熟检测器d_i的检测器半径，N_d表示成熟检测器数量；

3)第二次否定选择，对第一次否定选择过程生成的半成熟检测器耐受自体集生成成熟检测器的过程，包括以下步骤：

①计算半成熟检测器与训练集中所有自体的最近距离：通过第一次否定选择的半成熟检测器d_semi与自体训练集中每个自体进行耐受，根据欧几里德距离求得d_semi中心点Y(y₁,y₂,…,y_n)与所有自体的最短距离dis_min(d_semi,s_j)；

②判定半成熟检测器是否被训练集识别：如果公式(5)成立，该半成熟检测器d_semi被自体集的自体所识别，清除d_semi并随机产生新的候选检测器d_new并重新开始第一次否定选择过程；

dis_min(d_semi,s_j)≤r_s,j＝1,2,…,N_s    ⑸

③生成成熟检测器并计算出成熟检测器半径：如果半成熟检测器d_semi与自体集中所有自体均满足公式(6)，则该半成熟检测器d_semi通过自体训练集的自体耐受而成为成熟检测器d_mat，其检测器半径为r_d＝dis_min(d_semi,s_j)-r_s；

dis_min(d_semi,s_j)＞r_s,j＝1,2,…,N_s    ⑹

④成熟检测器加入检测器集：将该d_mat加入成熟检测器集D中，D←d_mat；

4)根据期望覆盖率终止检测器生成：当估计覆盖率达到期望覆盖率时，终止检测器的生成；否则继续二次否定选择过程以产生新的检测器；估计覆盖率表示一个采样周期中落在成熟检测器集D中的次数占采样点的比例，按公式(7)计算：

$C=\frac{{\mathrm{Num}}_{\mathrm{covered}}}{\mathrm{Num}}---\left(7\right)$

其中C表示估计覆盖率，Num表示采样点数，Num_covered表示一个采样周期中落在成熟检测器集D中的次数。

进一步地，如上所述的基于多层免疫的网络入侵检测方法，所述检测响应层利用模式检测器集和成熟检测器集对待检测网络数据包进行检测和反馈记忆包括：

1)待检测网络数据包数值化处理：对待检测网络数据包中的文本特征的数据维，按其类型分别赋以不同的整数值，将其转化为数值特征；

2)待检测网络数据包归一化处理：对数值化后的网络数据包逐维进行归一化处理，归一化按公式(1)进行；

3)利用协同刺激因子ε和模式检测器d_pat对成熟检测器集D进行分类：如果dis(d_pat,d_mat)≥ε(其中d_pat为模式检测器，d_mat为成熟检测器，)则将相应成熟检测器d_mat置入阙外检测器集D_out中，反之如果dis(d_pat,d_mat)＜ε则将相应成熟检测器d_mat置入阙内检测器集D_in中；

4)利用模式检测器集协同刺激检测，对待检测网络数据包提交模式检测器集和成熟检测器集检测过程，包括以下步骤：

A.如果待检测网络数据包与任意模式检测器匹配，即dis(sample,d_pat)＜r_pat，则判定该数据包为网络入侵；

B.对于不与任意模式检测器匹配的网络数据包，即dis(sample,d_pat)≥r_pat，判定其是否在模式检测器集的协同刺激范围内，即dis(sample,d_pat)≥ε，如果其匹配任意阙外检测器集D_out中成熟检测器d_mat，即dis(sample,d_mat)＜r_mat，则判定该数据包为网络入侵，反之则为正常网络数据连接；

C.对于不与任意模式检测器匹配的网络数据包，即dis(sample,d_pat)≥r_pat，判定其是否在模式检测器集的协同刺激范围外，即dis(sample,d_pat)＜ε，如果其匹配任意阙内检测器集D_in中成熟检测器d_mat，即dis(sample,d_mat)＜r_mat，则判定该数据包为网络入侵，反之则为正常网络数据连接。

本发明具有以下优点：

(1)对已知网络入侵的快速响应。通过自体聚类生成的模式检测器集能够对已知网络入侵进行快速响应，有效提高网络入侵检测效率。

(2)成熟检测器数量显著减少。通过二次否定选择去除了大量重复覆盖的候选检测器，有效减少了生成的成熟检测器的数量。

成熟检测器生成效率显著提高。通过二次否定选择避免了大量候选检测器与自体集的费时且不必要的自体耐受，显著提高了成熟检测器的生成效率。检测误报率显著降低。通过固有免疫层自体集聚类生成的模式检测器对自适应免疫层检测器的协同刺激的检测结果确认过程有效降低了检测误报率。

附图说明

图1是本发明的工作原理图。

图2是采集正常网络数据包生成自体集步骤。

图3是网络连接数据包预处理步骤。

图4是固有免疫层进行自体聚类生成模式检测器集步骤。

图5是自适应免疫层进行二次否定选择生成成熟检测器集步骤。

图6是检测响应层利用模式检测器集和成熟检测器集对待检测网络数据包进行检测步骤。

具体实施方式

为使本发明的目的、技术方案和优点更加清楚，下面本发明中的技术方案进行清楚、完整地描述，显然，所描述的实施例是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

本发明提出一种基于多层免疫的网络入侵检测方法，其包括固有免疫层生成模式检测器集、自适应免疫层生成成熟检测器集和检测响应层进行检测和反馈记忆。固有免疫层通过对网络正常数据包进行自体聚类生成模式检测器集以实现对已知攻击的快速响应；自适应免疫层通过二次否定选择生成用于网络数据包异常检测的成熟检测器集以对固有免疫层未能清除的网络攻击和入侵进行清除；检测响应层利用固有免疫层生成的模式检测器集和自适应免疫层生成的成熟检测器集对待检测网络数据进行并行和动态的检测，并根据检测结果向固有免疫层和自适应免疫层做出反馈以提高系统检测效率和质量。

具体地，本发明选择正常网络数据包作为自体集训练，通过二次否定选择生成用于网络入侵检测的成熟检测器集，并利用自体集聚类生成模式检测器对检测结果进行再次确认。具体步骤如下：1)采集正常网络数据包作为自体集；2)对网络数据包进行数值化和归一化预处理；3)固有免疫层进行自体聚类生成模式检测器集，使用K-Means聚类方法对自体集进行数据聚类；4)自适应免疫层进行二次否定选择生成成熟检测器集，第一次否定选择对候选检测器进行成熟检测器集耐受生成半成熟检测器第二次否定选择对半成熟检测器进行自体训练集耐受生成成熟检测器；5)检测响应层利用模式检测器集和成熟检测器集对待检测网络数据包进行检测和反馈记忆。

在详细阐述本发明前，先做如下的术语定义：

(1)抗原Ag＝{ag|ag＝＜x₁,x₂,…,x_n＞,x_i∈[0,1]}表示网络入侵检测空间中的所有数据样本，n为数据维度。

(2)自体集表示抗原集合中所有正常数据样本；非自体集表示抗原集合中所有异常数据样本，满足Self∪Nonself＝Ag,Self∩Nonself＝Φ。

(3)训练集表示网络入侵检测的先验知识，训练集中自体的半径为r_s∈[0,1]，训练集的大小为N_s。

(4)检测器集D＝{d|d＝＜y₁,y₂,…,y_n,r_d＞,y_i∈[0,1],r_d∈[0,1]}表示否定选择算法根据训练集而生成的成熟检测器集合，其中r_d表示检测器半径，N_d表示检测器集大小。

(5)估计覆盖率表示一个采样周期中落在成熟检测器集D中的次数占采用点数的比例，其中Num表示采用点数，Num_covered表示一个采用周期中落在成熟检测器集D中的次数。

图1是本发明的工作原理图。

图1是本发明的工作原理图。本发明提出的一种基于多层免疫的网络入侵检测方法，首先选择正常网络数据包作为自体集进行训练，然后通过二次否定选择过程生成成熟检测集对待检测网络数据包进行异常检测，最后通过利用自体集聚类生成的模式检测器对检测结果进行确认。本发明分为两个相对独立的阶段，第一个阶段是根据自体集生成模式检测器集和成熟检测器集过程，包括采集正常网络数据包生成自体集步骤、网络连接数据包预处理步骤、固有免疫层进行自体聚类生成模式检测器集步骤、自适应免疫层进行二次否定选择生成成熟检测器集步骤；第二个阶段是检测响应层利用模式检测器集和成熟检测器集对待检测网络数据包进行检测步骤。

具体地，本发明提出的一种基于多层免疫的网络入侵检测方法包括以下步骤：

(1)采集正常网络数据包生成自体集步骤；

(2)网络连接数据包预处理步骤；

(3)固有免疫层进行自体聚类生成模式检测器集步骤；

(4)自适应免疫层进行二次否定选择生成成熟检测器集步骤；

(5)检测响应层利用模式检测器集和成熟检测器集对待检测网络数据包进行检测步骤。

图2是采集正常网络数据包生成自体集步骤。

图2给出了采集正常网络数据包生成自体集步骤。该步骤旨在采集正常网络数据包作为自体集进行训练，以供自体聚类生成模式检测器集及二次否定选择生成用于网络入侵检测的成熟检测器集，具体步骤如下：

(1)采集正常网络数据包步骤：通过网络侦听工具软件采集网络数据包，并选择出其中正常的网络数据包；

(2)规范化网络数据包步骤：对采集的正常网络数据包进行数据规范化处理。

图3是网络数据包预处理步骤。

图3给出了网络数据包预处理步骤。根据读入自体集步骤所采集的正常网络数据包数据，对网络数据包进行数值化和归一化处理。本发明是基于实值空间产生检测器并进行异常检测的，需要对数据集中文本和数值数据进行数值化和归一化处理，具体步骤如下：

1)网络数据包数值化处理步骤：对数据集中文本特征的数据维，按其类型分别赋以不同的整数值，将其转化为数值特征；

2)网络数据包归一化处理步骤：对数值化后的网络数据包逐维进行归一化处理；

$y_k=\frac{x_k-x_{\min }}{x_{\max }-x_{\min }},k=\mathrm{1,2},...,N---\left(1\right)$

其中x_k和y_k分别表示归一化前后每一维第k条数据的数值，x_min和x_max分别表示相应维数据的最小值和最大值，N表示网络数据包记录数。

图4是固有免疫层进行自体聚类生成模式检测器集步骤。

图4给出了固有免疫层进行自体聚类生成模式检测器集步骤。首先利用数据维度的聚类方法对自体集进行聚类，通过聚类中心代表相应所划分聚类的性质，然后利用聚类结果生成模式检测器集，具体步骤如下：

(1)利用基于划分聚类方法对自体集进行聚类步骤，包括以下步骤：

①选择聚类方法步骤：根据自体集规模等基本信息，选择合适的基于划分的聚类方法；

②设置聚类参数步骤：根据所选择的聚类方法，设置该聚类方法相应的聚类参数；

③对自体集进行聚类步骤：利用所选择的聚类方法和所设置的聚类参数对自体集进行聚类，聚类中心描述了相应划分聚类的性质，聚类中心如公式(2)所描述；

其中A_i表示第i个划分聚类，v_i表示聚类A_i的聚类中心，N_i表示聚类A_i中自体元素的个数；

(2)利用聚类结果生成模式检测器步骤：利用欧几里德距离计算出每个聚类中心与聚类中所有自体的最远距离dis_max(v_i,s_j)，以其作为检测器半径，聚类中心v_i作为检测器中心点，生成模式检测器。

(3)判断模式检测器是否足够步骤：通过调整模式检测器集的协同刺激因子ε来控制模式检测器集的大小，其中加大模式检测器半径则增加聚类数量，反之则减少聚类数量，以保证聚类粒度的合适性。

图5是自适应免疫层进行二次否定选择生成成熟检测器集步骤。

图5给出了自适应免疫层进行二次否定选择生成成熟检测器集步骤。首先选择网络数据包预处理步骤数值化和归一化处理之后的正常网络数据包作为自体集，然后进行第一次否定选择耐受成熟检测器集生成半成熟检测器，接着进行第二次否定选择对第一次否定选择过程生成的半成熟检测器耐受自体集生成成熟检测器，最后根据估计覆盖率是否达到期望覆盖率确定是否终止检测器的生成，具体步骤如下：

1)随机产生候选检测器步骤：利用随机函数产生候选检测器d_new，其中心点采用实值空间表示X(x₁,x₂,…,x_n)；

2)第一次否定选择步骤，对随机生成的候选检测器耐受成熟检测器集生成半成熟检测器的过程，包括以下步骤：

①计算候选检测器与成熟检测器亲和力步骤：求得候选检测器d_new检测中心X与已有成熟检测器集D中每个成熟检测器d_i的欧几里德距离dis(d_new,d_i)表达其与成熟检测器的亲和力，欧几里德距离如公式(3)所示：

②判定候选检测器是否被当前成熟检测器识别步骤：根据公式(4)判定该候选检测器d_new是否识别成熟检测器d_i，如果该候选检测器被任意成熟检测器识别则清除并重新随机生成新的候选检测器d_new；

$\mathrm{dis}(d_{\mathrm{new}},d_i)\≤r_{d_i},i=\mathrm{1,2},\·\·\·,N_d---\left(4\right)$

③判定是否完全耐受成熟检测集步骤：如果d_new与所有成熟检测器d_i均不满足公式(4)，则该候选检测器通过成熟检测器集的耐受而成为半成熟检测器d_semi，并进入第二次否定选择进行自体训练集的耐受以产生成熟检测器d_mat；

其中d_new、d_semi和d_mat分别表示候选检测器、半成熟检测器和成熟检测器，表示成熟检测器d_i的检测器半径，N_d表示成熟检测器数量。

3)第二次否定选择步骤，对第一次否定选择过程生成的半成熟检测器耐受自体集生成成熟检测器的过程，包括以下步骤：

①计算半成熟检测器与训练集中所有自体的最近距离步骤：通过第一次否定选择的半成熟检测器d_semi与自体训练集中每个自体进行耐受，根据欧几里德距离求得d_semi中心点Y(y₁,y₂,…,y_n)与所有自体的最短距离dis_min(d_semi,s_j)；

②判定半成熟检测器是否被训练集识别步骤：如果公式(5)成立，该半成熟检测器d_semi被自体集的自体所识别，清除d_semi并随机产生新的候选检测器d_new并重新开始第一次否定选择过程；

dis_min(d_semi,s_j)≤r_s,j＝1,2,…,N_s    ⑸

③生成成熟检测器并计算出成熟检测器半径步骤：如果半成熟检测器d_semi与自体集中所有自体均满足公式(6)，则该半成熟检测器d_semi通过自体训练集的自体耐受而成为成熟检测器d_mat，其检测器半径为r_d＝dis_min(d_semi,s_j)-r_s；

dis_min(d_semi,s_j)＞r_s,j＝1,2,…,N_s    ⑹

④成熟检测器加入检测器集步骤：将该d_mat加入成熟检测器集D中，D←d_mat；

4)根据期望覆盖率终止检测器生成步骤：当估计覆盖率达到期望覆盖率时，终止检测器的生成；否则继续二次否定选择过程以产生新的检测器；估计覆盖率表示一个采样周期中落在成熟检测器集D中的次数占采样点的比例，按公式(7)计算：

$C=\frac{{\mathrm{Num}}_{\mathrm{covered}}}{\mathrm{Num}}---\left(7\right)$

其中C表示估计覆盖率，Num表示采样点数，Num_covered表示一个采样周期中落在成熟检测器集D中的次数。

图6是检测响应层利用模式检测器集和成熟检测器集对待检测网络数据包进行检测步骤。

图6给出了检测响应层利用模式检测器集和成熟检测器集对待检测网络数据包进行检测步骤。首先对待检测网络数据包进行数值化和归一化处理，利用生成的成熟检测集对处理后的网络数据包进行检测，根据检测数据是否被成熟检测器集合所覆盖判定检测数据是否为异常，具体步骤如下：

1)待检测网络数据包数值化处理步骤：对待检测网络数据包中的文本特征的数据维，按其类型分别赋以不同的整数值，将其转化为数值特征；

2)待检测网络数据包归一化处理步骤：对数值化后的网络数据包逐维进行归一化处理，归一化按公式(1)进行；

3)利用协同刺激因子ε和模式检测器d_pat对成熟检测器集D进行分类步骤：如果dis(d_pat,d_mat)≥ε(其中d_pat为模式检测器，d_mat为成熟检测器，)则将相应成熟检测器d_mat置入阙外检测器集D_out中，反之如果dis(d_pat,d_mat)＜ε则将相应成熟检测器d_mat置入阙内检测器集D_in中；

4)利用模式检测器集协同刺激检测步骤，对待检测网络数据包提交模式检测器集和成熟检测器集检测过程，包括以下步骤：

A.如果待检测网络数据包与任意模式检测器匹配，即dis(sample,d_pat)＜r_pat，则判定该数据包为网络入侵；

B.对于不与任意模式检测器匹配的网络数据包，即dis(sample,d_pat)≥r_pat，判定其是否在模式检测器集的协同刺激范围内，即dis(sample,d_pat)≥ε，如果其匹配任意阙外检测器集D_out中成熟检测器d_mat，即dis(sample,d_mat)＜r_mat，则判定该数据包为网络入侵，反之则为正常网络数据连接；

C.对于不与任意模式检测器匹配的网络数据包，即dis(sample,d_pat)≥r_pat，判定其是否在模式检测器集的协同刺激范围外，即dis(sample,d_pat)＜ε，如果其匹配任意阙内检测器集D_in中成熟检测器d_mat，即dis(sample,d_mat)＜r_mat，则判定该数据包为网络入侵，反之则为正常网络数据连接。

最后应说明的是：以上实施例仅用以说明本发明的技术方案，而非对其限制；尽管参照前述实施例对本发明进行了详细的说明，本领域的普通技术人员应当理解：其依然可以对前述各实施例所记载的技术方案进行修改，或者对其中部分技术特征进行等同替换；而这些修改或者替换，并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。

Claims (6)

1.一种基于多层免疫的网络入侵检测方法，其特征在于，包括以下步骤：

(1)采集正常网络数据包作为自体集；

(2)对网络数据包进行数值化和归一化预处理；

(3)固有免疫层进行自体聚类生成模式检测器集，使用K-Means聚类方法对自体集进行数据聚类；

(4)自适应免疫层进行二次否定选择生成成熟检测器集，第一次否定选择对候选检测器进行成熟检测器集耐受生成半成熟检测器；第二次否定选择对半成熟检测器进行自体训练集耐受生成成熟检测器；

(5)检测响应层利用模式检测器集和成熟检测器集对待检测网络数据包进行检测和反馈记忆。

2.根据权要求1所述的基于多层免疫的网络入侵检测方法，其特征在于，所述采集正常网络数据包作为自体集包括：通过网络侦听工具软件采集网络数据包，并选择出其中正常的网络数据包。

3.根据权要求1所述的基于多层免疫的网络入侵检测方法，其特征在于，所述对网络数据包进行数值化和归一化预处理包括：

1)网络数据包数值化处理：对数据集中文本特征的数据维，按其类型分别赋以不同的整数值，将其转化为数值特征；

2)网络数据包归一化处理：对数值化后的网络数据包逐维进行归一化处理；

$y_k=\frac{x_k-x_{\min }}{x_{\max }-x_{\min }},k=\mathrm{1,2},...,N---\left(1\right)$

其中x_k和y_k分别表示归一化前后每一维第k条数据的数值，x_min和x_max分别表示相应维数据的最小值和最大值，N表示网络数据包记录数。

4.根据权要求1所述的基于多层免疫的网络入侵检测方法，其特征在于，所述固有免疫层进行自体聚类生成模式检测器集，使用K-Means聚类方法对自体集进行数据聚类包括：

1)利用基于划分聚类方法对自体集进行聚类，包括以下步骤：

A、选择聚类方法：根据自体集规模等基本信息，选择合适的基于划分的聚类方法；

B、设置聚类参数：根据所选择的聚类方法，设置该聚类方法相应的聚类参数；

C、对自体集进行聚类：利用所选择的聚类方法和所设置的聚类参数对自体集进行聚类，聚类中心描述了相应划分聚类的性质，聚类中心如公式(2)所描述；

$v_i=\frac{\underset{k=1}{\overset{N_i}{\mathrm{\Σ}}}{x}_k}{N_i},x_k\∈A_i---\left(2\right)$

其中A_i表示第i个划分聚类，v_i表示聚类A_i的聚类中心，N_i表示聚类A_i中自体元素的个数；

2)利用聚类结果生成模式检测器：利用欧几里德距离计算出每个聚类中心与聚类中所有自体的最远距离dis_max(v_i,s_j)，以其作为检测器半径，聚类中心v_i作为检测器中心点，生成模式检测器；

3)判断模式检测器是否足够：通过调整模式检测器集的协同刺激因子ε来控制模式检测器集的大小，其中加大模式检测器半径则增加聚类数量，反之则减少聚类数量，以保证聚类粒度的合适性。

5.根据权要求1所述的基于多层免疫的网络入侵检测方法，其特征在于，所述自适应免疫层进行二次否定选择生成成熟检测器集包括：

1)随机产生候选检测器：利用随机函数产生候选检测器d_new，其中心点采用实值空间表示X(x₁,x₂,…,x_n)；

2)第一次否定选择，对随机生成的候选检测器耐受成熟检测器集生成半成熟检测器的过程，包括以下步骤：

①计算候选检测器与成熟检测器亲和力：求得候选检测器d_new检测中心X与已有成熟检测器集D中每个成熟检测器d_i的欧几里德距离dis(d_new,d_i)表达其与成熟检测器的亲和力，欧几里德距离如公式(3)所示：

$\mathrm{dis}(x,y)=\sqrt{\underset{i=1}{\overset{n}{\mathrm{\Σ}}}{(x_i-y_i)}^2}---\left(3\right)$

②判定候选检测器是否被当前成熟检测器识别：根据公式(4)判定该候选检测器d_new是否识别成熟检测器d_i，如果该候选检测器被任意成熟检测器识别则清除并重新随机生成新的候选检测器d_new；

$\mathrm{dis}(d_{\mathrm{new}},d_i)\≤r_{d_i},i=\mathrm{1,2},\·\·\·,N_d---\left(4\right)$

③判定是否完全耐受成熟检测集：如果d_new与所有成熟检测器d_i均不满足公式(4)，则该候选检测器通过成熟检测器集的耐受而成为半成熟检测器d_semi，并进入第二次否定选择进行自体训练集的耐受以产生成熟检测器d_mat；

其中d_new、d_semi和d_mat分别表示候选检测器、半成熟检测器和成熟检测器，表示成熟检测器d_i的检测器半径，N_d表示成熟检测器数量；

3)第二次否定选择，对第一次否定选择过程生成的半成熟检测器耐受自体集生成成熟检测器的过程，包括以下步骤：

①计算半成熟检测器与训练集中所有自体的最近距离：通过第一次否定选择的半成熟检测器d_semi与自体训练集中每个自体进行耐受，根据欧几里德距离求得d_semi中心点Y(y₁,y₂,…,y_n)与所有自体的最短距离dis_min(d_semi,s_j)；

②判定半成熟检测器是否被训练集识别：如果公式(5)成立，该半成熟检测器d_semi被自体集的自体所识别，清除d_semi并随机产生新的候选检测器d_new并重新开始第一次否定选择过程；

dis_min(d_semi,s_j)≤r_s,j＝1,2,…,N_s    ⑸

③生成成熟检测器并计算出成熟检测器半径：如果半成熟检测器d_semi与自体集中所有自体均满足公式(6)，则该半成熟检测器d_semi通过自体训练集的自体耐受而成为成熟检测器d_mat，其检测器半径为r_d＝dis_min(d_semi,s_j)-r_s；

dis_min(d_semi,s_j)＞r_s,j＝1,2,…,N_s    ⑹

④成熟检测器加入检测器集：将该d_mat加入成熟检测器集D中，D←d_mat；

4)根据期望覆盖率终止检测器生成：当估计覆盖率达到期望覆盖率时，终止检测器的生成；否则继续二次否定选择过程以产生新的检测器；估计覆盖率表示一个采样周期中落在成熟检测器集D中的次数占采样点的比例，按公式(7)计算：

$C=\frac{{\mathrm{Num}}_{\mathrm{covered}}}{\mathrm{Num}}---\left(7\right)$

其中C表示估计覆盖率，Num表示采样点数，Num_covered表示一个采样周期中落在成熟检测器集D中的次数。

6.根据权要求1所述的基于多层免疫的网络入侵检测方法，其特征在于，所述检测响应层利用模式检测器集和成熟检测器集对待检测网络数据包进行检测和反馈记忆包括：

1)待检测网络数据包数值化处理：对待检测网络数据包中的文本特征的数据维，按其类型分别赋以不同的整数值，将其转化为数值特征；

2)待检测网络数据包归一化处理：对数值化后的网络数据包逐维进行归一化处理，归一化按公式(1)进行；

3)利用协同刺激因子ε和模式检测器d_pat对成熟检测器集D进行分类：如果dis(d_pat,d_mat)≥ε(其中d_pat为模式检测器，d_mat为成熟检测器，则将相应成熟检测器d_mat置入阙外检测器集D_out中，反之如果dis(d_pat,d_mat)＜ε则将相应成熟检测器d_mat置入阙内检测器集D_in中；

4)利用模式检测器集协同刺激检测，对待检测网络数据包提交模式检测器集和成熟检测器集检测过程，包括以下步骤：

A.如果待检测网络数据包与任意模式检测器匹配，即dis(sample,d_pat)＜r_pat，则判定该数据包为网络入侵；

B.对于不与任意模式检测器匹配的网络数据包，即dis(sample,d_pat)≥r_pat，判定其是否在模式检测器集的协同刺激范围内，即dis(sample,d_pat)≥ε，如果其匹配任意阙外检测器集D_out中成熟检测器d_mat，即dis(sample,d_mat)＜r_mat，则判定该数据包为网络入侵，反之则为正常网络数据连接；

对于不与任意模式检测器匹配的网络数据包，即dis(sample,d_pat)≥r_pat，判定其是否在模式检测器集的协同刺激范围外，即dis(sample,d_pat)＜ε，如果其匹配任意阙内检测器集D_in中成熟检测器d_mat，即dis(sample,d_mat)＜r_mat，则判定该数据包为网络入侵，反之则为正常网络数据连接。