CN104504332B - 一种基于二次移动点策略的否定选择入侵检测方法 - Google Patents

一种基于二次移动点策略的否定选择入侵检测方法 Download PDF

Info

Publication number
CN104504332B
CN104504332B CN201410836475.4A CN201410836475A CN104504332B CN 104504332 B CN104504332 B CN 104504332B CN 201410836475 A CN201410836475 A CN 201410836475A CN 104504332 B CN104504332 B CN 104504332B
Authority
CN
China
Prior art keywords
mrow
detection device
device center
candidate detection
couple candidate
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201410836475.4A
Other languages
English (en)
Other versions
CN104504332A (zh
Inventor
柏文阳
徐镇韬
周嵩
史乐
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Nanjing University
Original Assignee
Nanjing University
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Nanjing University filed Critical Nanjing University
Priority to CN201410836475.4A priority Critical patent/CN104504332B/zh
Publication of CN104504332A publication Critical patent/CN104504332A/zh
Application granted granted Critical
Publication of CN104504332B publication Critical patent/CN104504332B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/554Detecting local intrusion or implementing counter-measures involving event detection and direct action
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/03Indexing scheme relating to G06F21/50, monitoring users, programs or devices to maintain the integrity of platforms
    • G06F2221/033Test or assess software

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Software Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Telephonic Communication Services (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

本发明涉及一种基于二次移动点策略的否定选择入侵检测方法,本发明首先对数据集T作预处理,分为训练数据集D和测试数据集。在训练数据集D中遍历非自体,生成候选检测器中心,或者在[0,1]空间中随机生成候选检测器中心。先根据第一次移动策略,将候选检测器中心移出包含它的成熟检测器,再根据第二次移动策略生成新的检测器并加入成熟检测器集合,直至成熟检测器个数达到预定的阈值。最后利用测试数据集在生成的成熟检测器集合上进行验证。本发明具有高检测率与高召回率的优点,在充分利用实际数据中已有的非自体信息的基础上,有效改善了否定选择入侵算法的效果,可用于识别异常的网络数据,确保网络安全。

Description

一种基于二次移动点策略的否定选择入侵检测方法
技术领域
本发明属于信息安全技术领域,涉及网络安全,具体的说是一种基于二次移动点策略的否定选择入侵检测方法,可用于网络数据分析,及时识别网络通信状态是否异常。
背景技术
入侵检测(Intrusion Detection)是对入侵行为的检测。它通过收集和分析网络行为、安全日志、审计数据、其它网络上可以获得的信息以及计算机系统中若干关键点的信息,检查网络或系统中是否存在违反安全策略的行为和被攻击的迹象。入侵检测作为一种积极主动地安全防护技术,提供了对内部攻击、外部攻击和误操作的实时保护,在网络系统受到危害之前拦截和响应入侵。因此被认为是防火墙之后的第二道安全闸门,在不影响网络性能的情况下能对网络进行监测。入侵检测通过执行以下任务来实现:监视、分析用户及系统活动;系统构造和弱点的审计;识别反映已知进攻的活动模式并向相关人士报警;异常行为模式的统计分析;评估重要系统和数据文件的完整性;操作系统的审计跟踪管理,并识别用户违反安全策略的行为。
根据检测数据的信息来源可以分为主机型和网络型。基于主机型的检测系统一般主要使用操作系统的审计、跟踪日志作为数据源,某些也会主动与主机系统进行交互以获得不存在于系统日志中的信息以检测入侵。这种类型的检测系统不需要额外的硬件。对网络流量不敏感,效率高,能准确定位入侵并及时进行反应,但是占用主机资源,依赖于主机的可靠住,所能检测的攻击类型受限,一般不能检测网络攻击。基于网络的入侵系统通过被动地监听网络上传输的原始流量,对获取的网络数据进行处理,从中提取有用的信息,再通过与已知攻击特征相匹配或与正常网络行为原型相比较来识别攻击事件。此类检测系统不依赖操作系统作为检测资源,可应用于不同的操作系统平台;配置简单,不需要任何特殊的审计和登录机制;可检测协议攻击、特定环境的攻击等多种攻击。但它只能监视经过本网段的活动,无法得到主机系统的实时状态,精确度较差。大部分入侵检测工具都是基于网络的入侵检测系统。
随着对于网络入侵检测技术研究的深入,学者们发现了生物免疫系统与网络入侵检测系统的相似性。而生物免疫系统中灵活的、自适应的鲁棒的解决方式正是计算机安全领域所期望的。
否定选择算法(NSA,negative selection algorithms)是由Forrest等人在1994年提出的一种人工免疫算法。它成功的模拟了免疫系统识别自我和非我的免疫耐受过程。否定选择算法主要由两个步骤组成:检测器生成阶段和检测阶段。基本思路如下:1)检测器生成阶段:随机生成一些候选检测器中心,如果候选检测器中心与自体集不匹配,则把该检测器加入成熟检测器集合,否则放弃该候选检测器中心;2)检测阶段:用成熟检测器集检查待检测数据点,如果匹配即为非自体数据点,否则为自体数据点。它的优点是无需先验知识,只需利用有限数量的自体便能检测出无限数量的非自体。自否定选择算法提出以来,国内外学者对其进行了大量研究。文献1:Gonzalez F,Dasgupta D,Kozma R.Combiningnegative selection and classification techniques for anomaly detection中提出了一种基于实值表示的否定选择算法(real-valued representation negativeselection algorithm,RNSA)。RNSA的检测器半径是定长的,其主要问题是:难以确定检测器的半径。半径定义过小需要产生大量的检测器,半径定义过大会导致“漏洞”个数增多。而文献2:Ji Z,Dasgupta D.Real-valued negative selection algorithm with variable-sized detectors中提出了一种可变半径的实值否定选择算法(RNSA with variable-sized detector,V-detector),通过计算候选检测器中心与最近自体的距离确定检测器半径,当达到期望覆盖率的时候结束算法,提高了检测效果,减少了“漏洞”,但是其在处理高维数据集上所表现出的效果不佳。文献3:Gui M,Das S,Pahwa A.Procreating V-detectors for nonself recognition:an application to anomaly detection inpower systems提出了Procreating V-detectors与Multiphase Procreating V-detectors算法,在第一阶段产生一个初始检测器集合,并在第二阶段对该集合进行“生殖”操作产生新的检测器,能有效地填充那些难以被覆盖的非自体缝隙,有效的提高了检测的准确率。
总体来说,否定选择算法在处理网络入侵数据时起到了良好的效果,仅需要了解自体信息,无需先验知识,便能检测出异常攻击数据。但是其在高维数据集上表现效果欠佳,并且在实际应用场景,真实的网络入侵数据中往往会有一部分非自体信息,仅靠自体信息而忽视已有非自体信息也会造成处理效率的低下,甚至会造成不利的影响。
发明内容
发明目的:本发明所要解决的技术问题是针对现有技术的不足,提供一种有效的的网络入侵检测方法。
技术方案:本发明公开了一种基于二次移动点策略的否定选择入侵检测方法,包括以下步骤:
步骤一,对有类标签的数据集T作归一化预处理,其中类标签是数据点的最后一维数值属性,取值为1或者0,类标签不同的两个数据点视为非同类数据点:
步骤(11),对于文本特征,将文本特征映射到整数空间上,转化为数值特征,其中文本特征是指取值类型为字符串的维度,数值特征是指取值类型为数值的维度;
步骤(12),对数值特征进行归一化处理,归一化的计算公式为:
其中:a是数据集T中的数据点,x(a,i)表示归一化前数据点a的第i维特征,y(a,i)表示归一化后数据点a的第i维特征,Min(i)和Max(i)分别表示数据集T中所有数据点中的第i维特征的最小值和最大值,i=1,2,..,v,v为数据点的维度特征个数。
步骤二,将步骤一中处理后的数据集T采用交叉验证的方法分为训练数据集D和测试数据集,并将训练数据集D分为自体集和非自体集,设置运行参数。其中自体集为正常数据组成的集合,非自体集为攻击数据组成的集合,自体集的初始状态为包含所有正常数据的全集,非自体集的初始状态为包含所有攻击数据的全集,正常数据是指类标签为0的数据点,攻击数据是指类标签为1的数据点;
步骤三,生成一个候选检测器中心c;
步骤四,利用以下两次移动策略更新候选检测器中心,并加入成熟检测器集合:
步骤(41),初始化候选检测器中心c的移动次数n为0;
步骤(42),第一次移动策略将候选检测器中心c移出包含它的成熟检测器d;
步骤(43),第二次移动策略生成新的成熟检测器并加入成熟检测器集合。
步骤五,重复步骤三至步骤四直到达到指定的成熟检测器个数。
步骤六,利用测试数据集在生成的成熟检测器集合上进行验证。
本发明步骤二中,交叉验证:
采用K折交叉验证:将数据集T随机划分为K个互不相交的子集T1,T2,..,TK,每个子集大小大致相等,训练检验进行K次。在第k次迭代过程中,选取子集Tk作为测试数据集,其余的k-1个子集作为训练数据集D;每个数据点用于训练的次数相同,并且用于检验一次。其中数据集T为经过归一化处理后的原始数据,K是取值范围为[1,|T|]的自然数,|T|为数据集T包含的数据点个数,k是取值范围为[1,K]的自然数;
本发明步骤二中,设置运行参数:
本发明步骤三中,生成一个候选检测器中心c:
候选检测器中心的生成方法是:先遍历训练数据集D中已存在的非自体,生成候选检测器中心,当所有的非自体遍历完之后,再在[0,1]空间随机生成一个相同维数的候选检测器中心。
本发明步骤(41)中,
采用多次移动候选检测器中心的策略,直至不与任何成熟检测器匹配,或者移动次数达到候选检测器中心的移动次数最大值N,其中n是取值范围为[0,N]的整数。
本发明步骤(42)中,包括如下步骤:
遍历成熟检测器集合,寻找能够与候选检测器中心c相匹配的成熟检测器d;如果不存在能够与候选检测器中心c相匹配的成熟检测器,则转步骤(43);如果存在,将候选检测器中心c的移动次数n增加1,如果移动次数n大于候选检测器中心的移动次数最大值N,则放弃该点,返回步骤三。否则,移动候选检测器中心c,并重复步骤(42)。
其中,匹配方法如下:
匹配规则:当候选检测器中心c与成熟检测器d的欧氏距离小于检测器半径,则表示匹配,否则表示不匹配;
移动候选检测器中心方法如下:
给定数据点c(c1,c2,...cv)和d(d1,d2,...dv),两个数据点c和d之间的欧式距离为Euclidean_dist(c,d)为:
其中,ci、di分别为数据点c和d第i维特征对应的数值,i=1,2,...v,v为数据点的维度个数。
候选检测器中心的第一次移动策略:当候选检测器中心c与成熟检测器d匹配时,将候选检测器中心c移出包含它的成熟检测器d,直至候选检测器中心c不与任何成熟检测器匹配。
第一次移动公式为:
其中R(d)为成熟检测器d的半径,Abs(ci-di)为ci-di的绝对值,即每一维度都向此维度的对应方向上移动R(d)-Euclidean_disttc,dd的距离。
本发明步骤(43)包括如下步骤:
计算候选检测器中心c与所有自体的欧式距离,记录与候选检测器中心c最近的两个自体s1,s2两个自体s1,s2与候选检测器中心c的距离l1,l2,l1<=l2;如果l1-rs>0,则移动候选检测器中心c至新的位置c’,创建新的检测器(c’,(l1+l2-2*rs)/2)并加入成熟检测器集合,否则放弃当前的候选检测器中心,其中选择最近的两个自体的过程为先随机选择两个自体,计算其欧式距离,并当作最近的两个自体,然后遍历剩余的自体,如果与候选检测器中心的欧式距离小于当前保存的某个自体,则用此自体替换保存的自体,直至返回最近的两个自体。
其中,第二次移动计算公式为:
其中,‖*‖表示向量的二范数,“*”代表向量,向量的二范数是向量中各个元素平方之和再开根号,即代表向量的长度,其中c`代表候选检测器中心c移动过后生成的新的成熟检测器中心。第二次移动点计算公式将候选检测器中心c向最近的一个自体s1与候选检测器中心c的延长线上移动的距离。
有益效果:本发明的网络入侵检测方法与现有的检测方法相比优点在于:能够充分利用已有的非自体信息,保持更高的准确率和召回率。
附图说明
下面结合附图和具体实施方式对本发明做更进一步的具体说明,本发明的上述和/或其他方面的优点将会变得更加清楚。
图1本发明主要流程图。
图2生成候选检测器中心流程图。
图3利用第二次移动点策略生成成熟检测器的流程图。
具体实施方式:
结合附图和具体实施方式对本发明做进一步详细描述:
如图1、图2以及图3所示,本发明包括以下步骤:
步骤一,选择KDD99数据集为本发明的实验数据集,对入侵检测KDD99数据集作预处理;
表1是实验使用数据的基本信息。KDD CUP99是目前公认的使用非常广泛的入侵检测数据集,是网络入侵检测领域的基准数据,为基于计算智能的网络入侵检测研究奠定了基础。它基于MIT林肯实验室采集的数据,由哥伦比亚大学IDS实验室整理形成,共近500万条数据,每条数据包含41维特征,研究最常用的是它的10%数据集,该子集共有数据494021条,其中,正常数据97278条,其余396743条为攻击数据。
表1:实验数据基本信息表
数据集 数据总量 正常数据 攻击数据 Ratio 特征维数
KDD CUP9910% 494021 97278 396743 5.08% 41
本发明首先要对KDD99数据集作归一化预处理,即把每一维的特征都映射到[0,1]空间上,具体实现如下:
步骤(1),每条数据有41维特征,其中有3为是文本特征,将其包含的文本映射到整数空间上,转化为数值特征,以protocol_type这一维特征为例,它具有udp,tcp,icmp三种不同的类型,映射到整数空间分别为1、2、3,从而实现了文本特征到数值特征的转化。service和flag这两维特征也按照此规则进行映射;
步骤(2),对数值特征进行归一化处理,归一化到[0,1]空间,归一化的公式为:
其中:a是数据集T中的数据点,x(a,i)表示归一化前数据点a的第i维特征,y(a,i)表示归一化后数据点a的第i维特征,Min(i)和Max(i)分别表示数据集T中所有数据点中的第i维特征的最小值和最大值,i=1,2,..,41。
步骤二,将步骤一中处理后的数据集T采用交叉验证的方法分为训练数据集D和测试数据集,并将训练数据集D分为自体集和非自体集,设置运行参数。其中自体集为正常数据组成的集合,非自体集为攻击数据组成的集合,自体集的初始状态为包含所有正常数据的全集,非自体集的初始状态为包含所有攻击数据的全集,正常数据是指类标签为0的数据点,攻击数据是指类标签为1的数据点,:
本实施例方法中采用4折交叉验证。即将步骤一中处理后的数据集T分为4个互不相交的子集T1,T2,T3,T4,每次取其中一个子集Tk作为测试数据集,其余子集作为训练数据集D,并在Tk上检验,其中k=1,2,3,4。
固定自体半径rs、成熟检测器的个数的最大值M、候选检测器中心的移动次数的最大值N,M、N为预先设定的常数,在本实施例方法中,rs初始化为0.06,M、N分别初始化为500和10,初始化当前成熟检测器的个数m为0,m是取值范围为[0,M]的整数。
步骤三,判断当前成熟检测器的个数m是否小于成熟检测器的个数的最大值M,若已经达到成熟检测器的个数的最大值M,则转步骤八;
步骤四,生成一个候选检测器中心c;
候选检测器中心的生成方法是:先遍历训练数据集D中已存在的非自体,生成候选检测器中心,当所有的非自体遍历完之后,再在[0,1]空间随机生成一个相同维数的候选检测器中心。
步骤五,第一次移动策略将候选检测器中心c移出包含它的成熟检测器d;
具体过程即为遍历成熟检测器集合,寻找能够与候选检测器中心c相匹配的成熟检测器d。如果不存在能够与候选检测器中心c相匹配的成熟检测器,则转步骤六;如果存在,将候选检测器中心c的移动次数n增加1,如果移动次数n大于候选检测器中心的移动次数最大值N,则放弃该点,返回步骤三。否则,移动候选检测器中心c,并重复步骤五。
其中,匹配方法如下:匹配规则:当候选检测器中心c与成熟检测器d的欧氏距离小于检测器半径,则表示匹配,否则表示不匹配;
移动候选检测器中心方法如下:
给定数据点c(c1,c2,...cv)和d(d1,d2,...dv),两个数据点c和d之间的欧式距离Euclidean(c,d)为:
其中,ci、di分别为数据点c和d第i维特征对应的数值,i=1,2,...,41。
候选检测器中心的第一次移动策略:当候选检测器中心c与成熟检测器d匹配时,将候选检测器中心c移出包含它的成熟检测器d,直至候选检测器中心c不与任何成熟检测器匹配。
第一次移动公式为:
其中R(d)为成熟检测器d的半径,Abs(ci-di)为ci-di的绝对值,即每一维度都向此维度的对应方向上移动R(d)-Euclidean_disttc,dd的距离。
步骤六:第二次移动策略生成新的成熟检测器并加入成熟检测器集合;
计算候选检测器中心c与所有自体的欧式距离,记录与候选检测器中心c最近的两个自体s1,s2两个自体s1,s2与候选检测器中心c的距离l1,l2,l1<=l2;如果l1-rs>0,则移动候选检测器中心c至新的位置c’,创建新的检测器(c’,(l1+l2-2*rs)/2)并加入成熟检测器集合,否则放弃当前的候选检测器中心,其中选择最近的两个自体的过程为先随机选择两个自体,计算其欧式距离,并当作最近的两个自体,然后遍历剩余的自体,如果与候选检测器中心的欧式距离小于当前保存的某个自体,则用此自体替换保存的自体,直至返回最近的两个自体。
其中,第二次移动计算公式为:
其中,‖*‖表示向量的二范数,“*”代表向量,向量的二范数是向量中各个元素平方之和再开根号,即代表向量的长度,其中c`代表候选检测器中心c移动过后生成的新的成熟检测器中心。第二次移动点计算公式将候选检测器中心c向最近的一个自体s1与候选检测器中心c的延长线上移动的距离。
步骤,重复步骤三至步骤七直到达到本实施例方法中指定的成熟检测器个数500;
步骤九,利用测试数据集在生成的成熟检测器集合上进行验证;
如果Tk中的数据点与成熟检测器集合匹配,则为非自体数据点,否则为自体数据点。其中k=1,2,3,4。
表二是计算分类效果评判标准相关的信息。
表二:
预测正类 预测负类
实际正类 TP FN
实际负类 FP TN
其中,TP是模型预测为正类,实际为正类的数据个数,在本次实验中对应为正常数据;TN是模型预测为负类,实际也为负类的数据的个数,在本次实验中对应为检测为网络攻击的数据;FP是模型预测为正类,实际为负类的数据个数;FN是模型预测为负类,实际为正类的数据个数。本发明从检测准确率和检测召回率两方面评估检测方面的效果。
表三对比了NSA与本实施例方法在KDD9910%数据集上对于网络攻击的检测效果。在NSA中,程序停止的条件为覆盖率达到指定的阈值即0.99,此时产生的成熟检测器的个数大约为500个;作为对比案例,本实施例方法中设置成熟检测器的个数的最大值为500个,程序停止的条件为达到成熟检测器的个数的最大值。本实施例方法中检测出的攻击数可以达到396938个,攻击检测准确率可以达到99.91%,检测召回率可达80.35%,均优于NSA。本实施例方法在充分利用已有的非自体的基础上,可以保持更高的准确率和召回率。
表三:入侵检测方面的效果
本发明提供了一种基于二次移动点策略的否定选择入侵检测方法的思路,具体实现该技术方案的方法和途径很多,以上所述仅是本发明的优选实施方式,应当指出,对于本技术领域的普通技术人员来说,在不脱离本发明原理的前提下,还可以做出若干改进和润饰,这些改进和润饰也应视为本发明的保护范围。本实施例中未明确的各组成部分均可用现有技术加以实现。

Claims (1)

1.一种基于二次移动点策略的否定选择入侵检测方法,其特征在于,包括以下步骤:
步骤一,对有类标签的数据集T作归一化预处理,其中类标签是数据集T中数据点的最后一维数值属性,取值为1或者0,类标签不同的两个数据点视为非同类数据点:
步骤(11),将数据点中包含的文本特征映射到整数空间上,转化为数值特征,其中文本特征是指取值类型为字符串的维度,数值特征是指取值类型为数值的维度;
步骤(12),对数值特征进行归一化处理,归一化的计算公式为:
<mrow> <mi>y</mi> <mrow> <mo>(</mo> <mi>a</mi> <mo>,</mo> <mi>i</mi> <mo>)</mo> </mrow> <mo>=</mo> <mfrac> <mrow> <mi>x</mi> <mrow> <mo>(</mo> <mi>a</mi> <mi>i</mi> <mo>)</mo> </mrow> <mo>-</mo> <mi>M</mi> <mi>i</mi> <mi>n</mi> <mrow> <mo>(</mo> <mi>i</mi> <mo>)</mo> </mrow> </mrow> <mrow> <mi>M</mi> <mi>a</mi> <mi>x</mi> <mrow> <mo>(</mo> <mi>i</mi> <mo>)</mo> </mrow> <mo>-</mo> <mi>M</mi> <mi>i</mi> <mi>n</mi> <mrow> <mo>(</mo> <mi>i</mi> <mo>)</mo> </mrow> </mrow> </mfrac> <mo>-</mo> <mo>-</mo> <mo>-</mo> <mrow> <mo>(</mo> <mn>1</mn> <mo>)</mo> </mrow> </mrow>
其中:a是数据集T中的数据点,x(a,i)表示归一化前数据点a的第i维特征,y(a,i)表示归一化后数据点a的第i维特征,Min(i)和Max(i)分别表示数据集T中所有数据点中的第i维特征的最小值和最大值,i=1,2,..,v,v为数据点的维度特征总数;
步骤二,将步骤一中处理后的数据集T采用交叉验证的方法分为训练数据集D和测试数据集,并将训练数据集D分为自体集和非自体集,设置运行参数;其中自体集为正常数据组成的集合,非自体集为攻击数据组成的集合,自体集的初始状态为包含所有正常数据的全集,非自体集的初始状态为包含所有攻击数据的全集,正常数据是指类标签为0的数据点,攻击数据是指类标签为1的数据点;
步骤三,生成一个候选检测器中心c;
步骤四,利用以下两次移动点策略更新候选检测器中心,并加入成熟检测器集合:
步骤(41),初始化候选检测器中心c的移动次数n为0;
步骤(42),第一次移动策略将候选检测器中心c移出包含它的成熟检测器d;
步骤(43),第二次移动策略生成新的成熟检测器并加入成熟检测器集合;
步骤五,重复步骤三至步骤四直到达到指定的成熟检测器个数;
步骤六,利用测试数据集在生成的成熟检测器集合上进行验证;
步骤二中,所述交叉验证采用K折交叉验证:将数据集T随机划分为K个互不相交的子集T1,T2,..,TK,每个子集大小相等,训练检验进行K次,在第k次迭代过程中,选取子集Tk作为测试数据集,其余的K-1个子集作为训练数据集D;每个数据点用于训练的次数相同,并且用于检验一次;K是取值范围为[1,|T|]的自然数,|T|为数据集T包含的数据点个数,k是取值范围为[1,K]的自然数;
步骤二中,设置运行参数包括:
固定自体半径rs、成熟检测器的个数的最大值M、候选检测器中心的移动次数的最大值N;其中rs、M、N为预先设定的常数,rs是取值范围为[0.001,0.1]的浮点数,M是取值范围为[100,1000]的自然数,N是取值范围为[1,20]的自然数;初始化当前成熟检测器的个数m为0,m是取值范围为[0,M]的整数;
步骤三中,生成一个候选检测器中心c:
候选检测器中心的生成方法是:先遍历训练数据集D中已存在的非自体集,生成候选检测器中心,当所有的非自体集遍历完之后,再在[0,1]空间随机生成一个相同维数的候选检测器中心;
步骤(41)中,采用多次移动候选检测器中心的策略,直至不与任何成熟检测器匹配,或者移动次数达到候选检测器中心的移动次数最大值N,其中n是取值范围为[0,N]的整数;
步骤(42)中,包括如下步骤:
遍历成熟检测器集合,寻找能够与候选检测器中心c相匹配的成熟检测器d;如果不存在能够与候选检测器中心c相匹配的成熟检测器,则转步骤(43);如果存在,将候选检测器中心c的移动次数n增加1,如果移动次数n大于候选检测器中心的移动次数最大值N,则放弃该点,返回步骤三;否则,移动候选检测器中心c,并重复步骤(42);
其中,匹配方法如下:
匹配规则:当候选检测器中心c与成熟检测器d的欧氏距离小于检测器半径,则表示匹配,否则表示不匹配;
移动候选检测器中心方法如下:
给定数据点c(c1,c2,...cv)和d(d1,d2,...dv),两个数据点c和d之间的欧式距离Euclidean_dist(c,d)为:
<mrow> <mi>E</mi> <mi>u</mi> <mi>c</mi> <mi>l</mi> <mi>i</mi> <mi>d</mi> <mi>e</mi> <mi>a</mi> <mi>n</mi> <mo>_</mo> <mi>d</mi> <mi>i</mi> <mi>s</mi> <mi>t</mi> <mrow> <mo>(</mo> <mi>c</mi> <mo>,</mo> <mi>d</mi> <mo>)</mo> </mrow> <mo>=</mo> <msqrt> <mrow> <msubsup> <mi>&amp;Sigma;</mi> <mrow> <mi>i</mi> <mo>=</mo> <mn>1</mn> </mrow> <mi>v</mi> </msubsup> <msup> <mrow> <mo>(</mo> <msub> <mi>c</mi> <mi>i</mi> </msub> <mo>-</mo> <msub> <mi>d</mi> <mi>i</mi> </msub> <mo>)</mo> </mrow> <mn>2</mn> </msup> </mrow> </msqrt> <mo>-</mo> <mo>-</mo> <mo>-</mo> <mrow> <mo>(</mo> <mn>2</mn> <mo>)</mo> </mrow> </mrow>
其中,ci、di分别为数据点c和d第i维特征对应的数值,i=1,2,...v,v为数据点的维度个数;
候选检测器中心的第一次移动策略:当候选检测器中心c与成熟检测器d匹配时,将候选检测器中心c移出包含它的成熟检测器d,直至候选检测器中心c不与任何成熟检测器匹配;第一次移动公式为:
<mrow> <msub> <mi>c</mi> <mi>i</mi> </msub> <mo>=</mo> <msub> <mi>c</mi> <mi>i</mi> </msub> <mo>+</mo> <mrow> <mo>(</mo> <mi>R</mi> <mo>(</mo> <mi>d</mi> <mo>)</mo> <mo>-</mo> <mi>E</mi> <mi>u</mi> <mi>c</mi> <mi>l</mi> <mi>i</mi> <mi>d</mi> <mi>e</mi> <mi>a</mi> <mi>n</mi> <mo>_</mo> <mi>d</mi> <mi>i</mi> <mi>s</mi> <mi>t</mi> <mo>(</mo> <mrow> <mi>c</mi> <mo>,</mo> <mi>d</mi> </mrow> <mo>)</mo> <mo>)</mo> </mrow> <mo>*</mo> <mfrac> <mrow> <mo>(</mo> <msub> <mi>c</mi> <mi>i</mi> </msub> <mo>-</mo> <msub> <mi>d</mi> <mi>i</mi> </msub> <mo>)</mo> </mrow> <mrow> <mi>A</mi> <mi>b</mi> <mi>s</mi> <mrow> <mo>(</mo> <msub> <mi>c</mi> <mi>i</mi> </msub> <mo>-</mo> <msub> <mi>d</mi> <mi>i</mi> </msub> <mo>)</mo> </mrow> </mrow> </mfrac> <mo>-</mo> <mo>-</mo> <mo>-</mo> <mrow> <mo>(</mo> <mn>3</mn> <mo>)</mo> </mrow> </mrow>
其中R(d)为成熟检测器d的半径,Abs(ci-di)为ci-di的绝对值,即每一维度都向此维度的对应方向上移动R(d)-Euclidean_dist(c,d)的距离;
步骤(43)包括如下步骤:
计算候选检测器中心c与所有自体的欧式距离,记录与候选检测器中心c最近的两个自体为s1,s2,两个自体s1,s2与候选检测器中心c的距离为l1,l2,l1<=l2;如果l1-rs>0,则移动候选检测器中心c至新的位置c’,创建新的检测器(c’,(l1+l2-2*rs)/2)并加入成熟检测器集合,否则放弃当前的候选检测器中心,其中选择最近的两个自体的过程为先随机选择两个自体,计算其欧式距离,并当作最近的两个自体,然后遍历剩余的自体,如果与候选检测器中心的欧式距离小于当前保存的某个自体,则用此自体替换保存的自体,直至返回最近的两个自体;
其中,第二次移动计算公式为:
<mrow> <msup> <mi>c</mi> <mo>`</mo> </msup> <mo>=</mo> <mi>c</mi> <mo>+</mo> <mfrac> <mrow> <msub> <mi>l</mi> <mn>2</mn> </msub> <mo>-</mo> <msub> <mi>l</mi> <mn>1</mn> </msub> </mrow> <mn>2</mn> </mfrac> <mo>*</mo> <mfrac> <mrow> <mi>c</mi> <mo>-</mo> <msub> <mi>s</mi> <mn>1</mn> </msub> </mrow> <mrow> <mo>|</mo> <mo>|</mo> <mi>c</mi> <mo>-</mo> <msub> <mi>s</mi> <mn>1</mn> </msub> <mo>|</mo> <mo>|</mo> </mrow> </mfrac> <mo>-</mo> <mo>-</mo> <mo>-</mo> <mrow> <mo>(</mo> <mn>4</mn> <mo>)</mo> </mrow> </mrow>
其中,‖·‖表示向量的二范数,“·”代表向量,向量的二范数是向量中各个元素平方之和再开根号,即代表向量的长度,其c`代表候选检测器中心c移动过后生成的新的成熟检测器中心;第二次移动点计算公式将候选检测器中心c向最近的一个自体s1与候选检测器中心c的延长线上移动的距离。
CN201410836475.4A 2014-12-29 2014-12-29 一种基于二次移动点策略的否定选择入侵检测方法 Active CN104504332B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201410836475.4A CN104504332B (zh) 2014-12-29 2014-12-29 一种基于二次移动点策略的否定选择入侵检测方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201410836475.4A CN104504332B (zh) 2014-12-29 2014-12-29 一种基于二次移动点策略的否定选择入侵检测方法

Publications (2)

Publication Number Publication Date
CN104504332A CN104504332A (zh) 2015-04-08
CN104504332B true CN104504332B (zh) 2017-12-15

Family

ID=52945728

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201410836475.4A Active CN104504332B (zh) 2014-12-29 2014-12-29 一种基于二次移动点策略的否定选择入侵检测方法

Country Status (1)

Country Link
CN (1) CN104504332B (zh)

Families Citing this family (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN112052450B (zh) * 2020-07-27 2024-02-02 湖北大学 一种基于否定选择算法的入侵检测方法及装置
CN111709016B (zh) * 2020-08-20 2020-11-10 创智和宇信息技术股份有限公司 一种基层医保结算数据防护方法及系统
CN112087447B (zh) * 2020-09-07 2022-05-06 广西师范大学 面向稀有攻击的网络入侵检测方法
CN114861776B (zh) * 2022-04-21 2024-04-09 武汉大学 一种基于人工免疫技术的动态自适应网络异常检测方法

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102510388A (zh) * 2012-01-02 2012-06-20 西安电子科技大学 基于自体半径可变的否定选择入侵检测方法
CN102571444A (zh) * 2012-02-05 2012-07-11 四川大学 一种基于二次否定选择的网络异常检测方法
CN104168152A (zh) * 2014-09-19 2014-11-26 西南大学 一种基于多层免疫的网络入侵检测方法

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2009012164A2 (en) * 2007-07-13 2009-01-22 University Of Memphis Research Foundation A negative authentication system for a networked computer system

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102510388A (zh) * 2012-01-02 2012-06-20 西安电子科技大学 基于自体半径可变的否定选择入侵检测方法
CN102571444A (zh) * 2012-02-05 2012-07-11 四川大学 一种基于二次否定选择的网络异常检测方法
CN104168152A (zh) * 2014-09-19 2014-11-26 西南大学 一种基于多层免疫的网络入侵检测方法

Also Published As

Publication number Publication date
CN104504332A (zh) 2015-04-08

Similar Documents

Publication Publication Date Title
Wang et al. Detection of power grid disturbances and cyber-attacks based on machine learning
Aldwairi et al. An evaluation of the performance of Restricted Boltzmann Machines as a model for anomaly network intrusion detection
Bostani et al. Modification of supervised OPF-based intrusion detection systems using unsupervised learning and social network concept
Gogoi et al. MLH-IDS: a multi-level hybrid intrusion detection method
Peng et al. Network intrusion detection based on deep learning
CN104504332B (zh) 一种基于二次移动点策略的否定选择入侵检测方法
CN113269228B (zh) 一种图网络分类模型的训练方法、装置、系统及电子设备
LaRock et al. Hypa: Efficient detection of path anomalies in time series data on networks
Adi et al. The best features selection method and relevance variable for web phishing classification
Harbola et al. Improved intrusion detection in DDoS applying feature selection using rank & score of attributes in KDD-99 data set
Das et al. Crime analysis against women from online newspaper reports and an approach to apply it in dynamic environment
Priya et al. Community Detection in Networks: A Comparative study
Huang et al. Network-traffic anomaly detection with incremental majority learning
CN110737890B (zh) 一种基于异质时序事件嵌入学习的内部威胁检测系统及方法
Qin et al. ADSAD: An unsupervised attention-based discrete sequence anomaly detection framework for network security analysis
Li et al. [Retracted] Abnormal Data Detection in Sensor Networks Based on DNN Algorithm and Cluster Analysis
CN104408072A (zh) 一种基于复杂网络理论的适用于分类的时间序列特征提取方法
Zeinalpour Addressing High False Positive Rates of DDoS Attack Detection Methods
Nugroho et al. Ensemble Methods Classifier Comparison for Anomaly Based Intrusion Detection System on CIDDS-002 Dataset
Kai et al. Anomaly detection on dns traffic using big data and machine learning
Dou et al. Unsupervised anomaly detection in heterogeneous network time series with mixed sampling rates
Su et al. Intrusion detection using convolutional recurrent neural network
CN114615056B (zh) 一种基于对抗鲁棒性学习的Tor恶意流量检测方法
CN109506936A (zh) 基于流向图和非朴素贝叶斯推理的轴承故障程度识别方法
Norouzian et al. Semi-supervised manifold learning approaches for spoken term verification.

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant