CN105224866A - 一种基于遗传算法的网络入侵多媒体包多线程择危方法 - Google Patents

Abstract

本发明公开了一种基于遗传算法的网络入侵多媒体包多线程择危方法，具体按照以下步骤实施：步骤1、个体编码；步骤2、初始化；步骤3、适应度值评价检测；步骤4、选择运算；步骤5、交叉运算；步骤6、变异运算；步骤7、循环及终止条件判断；步骤8、向线程分配多媒体数据包，本发明解决了现有技术中存在的网络入侵检测系统无法根据多媒体数据包的危险系数择危处理问题。

Description

一种基于遗传算法的网络入侵多媒体包多线程择危方法

技术领域

本发明属于网络安全技术领域，具体涉及一种基于遗传算法的网络入侵多媒体包多线程择危方法。

背景技术

近年来，国际国内网络安全领域硝烟四起，网络安全事故频频曝出，网络入侵检测系统作为一种有效的防护手段，能够快速发现网络攻击的发生，但是随着网络速度的提高，网络入侵检测系统常会因来不及检测而出现丢包、漏检的状况，当漏检不可避免时，如何将危险降至最低，是亟待解决的问题。

随着网络速度的提高，多媒体数据包在网络流量中所占比例越来越大，因为多媒体信息种类较多，而且不同类型多媒体数据的安全性相差较大，在系统处理能力有限的前提下，当网络流量过大、丢包已不可避免时，应当挑选危险度高的多媒体数据包优先处理，而不应将其一视同仁。

发明内容

本发明的目的是提供一种基于遗传算法的网络入侵多媒体包多线程择危方法，解决了现有技术中存在的网络入侵检测系统无法根据多媒体数据包的危险系数择危处理问题。

本发明所采用的技术方案是，一种基于遗传算法的网络入侵多媒体包多线程择危方法，具体按照以下步骤实施：

步骤1、个体编码；

步骤2、初始化；

步骤3、适应度值评价检测；

步骤4、选择运算；

步骤5、交叉运算；

步骤6、变异运算；

步骤7、循环及终止条件判断；

步骤8、向各线程分配多媒体数据包。

本发明的特点还在于，

步骤1具体按照以下步骤实施：

步骤(1.1)、设网络入侵检测系统每个线程的负载为LT，现捕获到n个多媒体数据包P₁,P₂,P₃，...,P_n，n个多媒体数据包对系统带来的负载分别为L(P_i)，其中L(P_i)∈(0,LT]，(i＝1,2,...,n)，另设所述_n个多媒体数据包的危险系数为D_t(P_i),t＝1,2,...,138。

步骤(1.2)、设步骤(1.1)中的线程总数为k个，设k个线程的编号分别为T₁,T₂,T₃,......T_k,(k≤n)，将n个多媒体数据包P₁,P₂,P₃，...,P_n随机装入k个线程中，对应产生的k个线程的排列顺序即为染色体编码。

步骤2具体按照以下步骤实施：

步骤(2.1)、设置进化代数计数器t，t为整形变量，并且对t赋初值为0；

步骤(2.2)、设置最大进化代数T，T为整形变量；

步骤(2.3)、设初始群体为P(0)，P(0)由步骤1中具有染色体编码的线程随机排列产生。

步骤3具体按照以下步骤实施：

步骤(3.1)、定义目标函数：设m(m≤k)为所用线程的数目，T(P_i)为数据包P_i所装入线程的编号，其中1≤i≤n，S_j为T_j线程所装入数据包的负载之和，则目标函数

$\begin{array}{c}f\left(x\right)=m\·\{m-\underset{j=1}{\overset{m}{\Σ}}{s}_j\}\\ =m\·\{m-\underset{j=1}{\overset{m}{\Σ}}\[\underset{T\left(P_i\right)=T_j}{\Σ}L\left(P_i\right)-a\·\max (0,\underset{T\left(P_i\right)=T_j}{\Σ}L\left(P_i\right)-1)\]\}\end{array}$

上式中a为某一线程T_j中所装多媒体数据包的负载之和超出该线程负载时遗传算法的惩罚因子；

步骤(3.2)、每个线程内多媒体数据包的危险系数目标函数定义如下：

D_total＝maxΣP_iD_t(P_i)，其中，1≤i≤n,1≤t≤138，

上式中D_t(P_i)表示多媒体数据包P_i的危险系数；

步骤(3.3)、设适应度计算函数为F(X)，令F(X)＝f(X)；

步骤(3.4)、根据适应度计算函数F(X)对群体P(t)计算各个个体的适应度。

步骤4具体为：采用常规比例选择算子作为选择算子，将选择算子作用于步骤3的群体P(t)，得到群体P’(t)。

步骤5具体为：采用常规单点交叉算子作为交叉算子，将交叉算子作用于步骤4得到的群体P’(t)，得到群体P”(t)。

步骤6具体为：采用编码字符集V＝{T₁,T₂,T₃,......T_k}范围内的均匀随机变异作为变异算子，其中，T₁,T₂,T₃,......T_k表示k个线程，将变异算子作用于所述步骤5得到的群体P”(t)，得到下一代群体P”’(t+1)。

步骤7具体为：

若t<＝T，则令t←t+1，并将群体P”’(t)作为新一代群体，即P(t)←P”’(t)，转至所述步骤2，开始下一次循环；若t>T，则以进化过程中步骤3中所得到的具有最大适应度的群体作为最优解输出，终止计算。

步骤8具体为：

根据步骤7最终计算所得拥有最大适应度的群体所代表的多媒体数据包，向各线程T₁,T₂,...T_k中分配多媒体数据包，如果线程T_j(1≤j≤k)中所装载多媒体数据包的负载之和超出该线程负载能力,则将超出的多媒体数据包装到线程T_j+1中。

本发明的有益效果是，一种基于遗传算法的网络入侵多媒体包多线程择危方法，该方法能在漏检发生时，根据不同线程的最大处理能力，按照多媒体数据包的危险系数择危优先处理，使用该方法能够使网络入侵检测系统将有限的处理能力集中在更危险的多媒体数据包上。

具体实施方式

下面结合具体实施方式对本发明进行详细说明。

本发明一种基于遗传算法的网络入侵多媒体包多线程择危方法，具体按照以下步骤实施：

步骤1、个体编码：

使用遗传算法时，需要进行染色体编码，染色体编码方法定义如下：

设k个线程的编号分别为T₁,T₂,T₃,......T_k,(k≤n)，如果要将n个多媒体数据包要装入这k个线程中，则各个数据包P_i(i＝1,2,...,n)所装入线程的编号构成的顺序排列就构成染色体编码，即使用的是等长度的字符代码编码方法，例如：将n个多媒体数据包P_i(i＝1,2,...,n)装入由T₁,T₂,T₃,......T_k构成的k个线程中，n个多媒体数据包P_i(i＝1,2,...,n)依次对应的线程顺序如下：

则表示将数据包P₁,P₃,P_n装入T₁线程，将数据包P₂装入T₃线程，...等等。初始群体可以由T₁,T₂,T₃,......T_k的随机排列产生。

步骤1具体按照以下步骤实施：

步骤(1.1)、设网络入侵检测系统每个线程的负载为LT，现捕获到n个多媒体数据包P₁,P₂,P₃，...,P_n，n个多媒体数据包对系统带来的负载分别为L(P_i)，其中L(P_i)∈(0,LT]，(i＝1,2,...,n)，另设所述_n个多媒体数据包的危险系数为D_t(P_i),t＝1,2,...,138；

步骤(1.2)、设步骤(1.1)中的线程总数为k个，设k个线程的编号分别为T₁,T₂,T₃,......T_k,(k≤n)，将n个多媒体数据包P₁,P₂,P₃，...,P_n随机装入k个线程中，对应产生的k个线程的排列顺序即为染色体编码；

步骤2、初始化，具体按照以下步骤实施：

步骤(2.1)、设置进化代数计数器t，t为整形变量，并且对t赋初值为0；

步骤(2.2)、设置最大进化代数T，T为整形变量；

步骤(2.3)、设初始群体为P(0)，P(0)由步骤1中具有染色体编码的线程随机排列产生；

步骤3、适应度值评价检测：

遗传算法按与个体适应度成正比的概率来决定当前群体P(t)中各个个体遗传到下一代群体中的机会多少，P(t)表示进化至第t代时群体的总称，为了正确估计这个概率，要求对群体P(t)计算各个个体的适应度，具体按照以下步骤实施：

步骤(3.1)、定义目标函数：设m(m≤k)为所用线程的数目，T(P_i)为数据包P_i所装入线程的编号，其中1≤i≤n，S_j为T_j线程所装入数据包的负载之和，则目标函数

$\begin{array}{c}f\left(x\right)=m\&CenterDot;\{m-\underset{j=1}{\overset{m}{\&Sigma;}}{s}_j\}\\ =m\&CenterDot;\{m-\underset{j=1}{\overset{m}{\&Sigma;}}\&lsqb;\underset{T\left(P_i\right)=T_j}{\&Sigma;}L\left(P_i\right)-a\&CenterDot;\max (0,\underset{T\left(P_i\right)=T_j}{\&Sigma;}L\left(P_i\right)-1)\&rsqb;\}\end{array}$

上式中a为某一线程T_j中所装多媒体数据包的负载之和超出该线程负载时遗传算法的惩罚因子；

步骤(3.2)、每个线程内多媒体数据包的危险系数目标函数定义如下：

D_total＝maxΣP_iD_t(P_i)，其中，1≤i≤n,1≤t≤138，

上式中D_t(P_i)表示多媒体数据包P_i的危险系数；

步骤(3.3)、设适应度计算函数为F(X)，令F(X)＝f(X)；

步骤(3.4)、根据适应度计算函数F(X)对群体P(t)计算各个个体的适应度。

以上两个目标函数既考虑了每个线程中处理的多媒体数据包的危险系数之和最大，又考虑了使每个线程加载多媒体数据包后所剩余的负载能力尽可能的小。

补充：多媒体数据包危险系数的设定方法：

多媒体数据包的危险系数，其值根据数据包携带的多媒体信息的危险程度而定，例如数据包携带octet-stream、x-shockwave-flash、x-javascript等类型的多媒体数据时，该数据包的危险系数值相对较高，表1列出部分常见多媒体类型数据包的危险系数：

表1部分常见多媒体类型设定的危险系数

步骤4、选择运算，具体为：采用常规比例选择算子作为选择算子，将选择算子作用于步骤3的群体P(t)，得到群体P’(t)；

步骤5、交叉运算，具体为：采用常规单点交叉算子作为交叉算子，将交叉算子作用于步骤4得到的群体P’(t)，得到群体P”(t)；

步骤6具体为：采用编码字符集V＝{T₁,T₂,T₃,......T_k}范围内的均匀随机变异作为变异算子，其中，T₁,T₂,T₃,......T_k表示k个线程，将变异算子作用于所述步骤5得到的群体P”(t)，得到下一代群体P”’(t+1)；

步骤7、循环及终止条件判断，具体为：

若t<＝T，则令t←t+1，并将群体P”’(t)作为新一代群体，即P(t)←P”’(t)，转至所述步骤2，开始下一次循环；若t>T，则以进化过程中步骤3中所得到的具有最大适应度的群体作为最优解输出，终止计算；

步骤8、向各线程分配多媒体数据包，具体为：

根据步骤7最终计算所得拥有最大适应度的群体所代表的多媒体数据包，向各线程T₁,T₂,...T_k中分配多媒体数据包，如果线程T_j(1≤j≤k)中所装载多媒体数据包的负载之和超出该线程负载能力,则将超出的多媒体数据包装到线程T_j+1中。

本发明提出的基于遗传算法的网络入侵多媒体包多线程择危方法，该方法能够在流量较大超出网络入侵检测系统处理能力时，依据不同线程的最大处理能力，根据多媒体数据包的危险系数择危处理，使危险系数高的多媒体数据包优先处理，实验结果表明，使用该方法能够使网络入侵检测系统将有限的处理能力集中在更危险的多媒体数据包上。

Claims (9)

1.一种基于遗传算法的网络入侵多媒体包多线程择危方法，其特征在于，具体按照以下步骤实施：

步骤1、个体编码；

步骤2、初始化；

步骤3、适应度值评价检测；

步骤4、选择运算；

步骤5、交叉运算；

步骤6、变异运算；

步骤7、循环及终止条件判断；

步骤8、向各线程分配多媒体数据包。

2.根据权利要求1所述的一种基于遗传算法的网络入侵多媒体包多线程择危方法，其特征在于，所述步骤1具体按照以下步骤实施：

步骤(1.1)、设网络入侵检测系统每个线程的负载为LT，现捕获到n个多媒体数据包P₁,P₂,P₃，...,P_n，所述n个多媒体数据包对系统带来的负载分别为L(P_i)，其中L(P_i)∈(0,LT]，(i＝1,2,...,n)，另设所述n个多媒体数据包的危险系数为D_t(P_i),t＝1,2,...,138；

步骤(1.2)、设所述步骤(1.1)中的线程总数为k个，设k个线程的编号分别为T₁,T₂,T₃,......T_k,(k≤n)，将n个多媒体数据包P₁,P₂,P₃，...,P_n随机装入k个线程中，对应产生的k个线程的排列顺序即为染色体编码。

3.根据权利要求1所述的一种基于遗传算法的网络入侵多媒体包多线程择危方法，其特征在于，所述步骤2具体按照以下步骤实施：

步骤(2.1)、设置进化代数计数器t，t为整形变量，并且对t赋初值为0；

步骤(2.2)、设置最大进化代数T，T为整形变量；

步骤(2.3)、设初始群体为P(0)，P(0)由所述步骤1中具有染色体编码的线程随机排列产生。

4.根据权利要求1所述的一种基于遗传算法的网络入侵多媒体包多线程择危方法，其特征在于，所述步骤3具体按照以下步骤实施：

步骤(3.1)、定义目标函数：设m(m≤k)为所用线程的数目，T(P_i)为数据包P_i所装入线程的编号，其中1≤i≤n，S_j为T_j线程所装入数据包的负载之和，则目标函数

$\begin{array}{c}f\left(x\right)=m\&CenterDot;\{m-\underset{j=1}{\overset{m}{\mathrm{\&Sigma;}}}{s}_j\}\\ =m\&CenterDot;\{m-\underset{j=1}{\overset{m}{\mathrm{\&Sigma;}}}\&lsqb;\underset{T\left(P_i\right)=T_j}{\mathrm{\&Sigma;}}L\left(P_i\right)-a\&CenterDot;\max (0,\underset{T\left(P_i\right)=T_j}{\mathrm{\&Sigma;}}L(P_i)-1)\&rsqb;\}\end{array}$

上式中a为某一线程T_j中所装多媒体数据包的负载之和超出该线程负载时遗传算法的惩罚因子；

步骤(3.2)、每个线程内多媒体数据包的危险系数目标函数定义如下：

D_total＝maxΣP_iD_t(P_i)，其中，1≤i≤n,1≤t≤138，

上式中D_t(P_i)表示多媒体数据包P_i的危险系数；

步骤(3.3)、设适应度计算函数为F(X)，令F(X)＝f(X)；

步骤(3.4)、根据适应度计算函数F(X)对群体P(t)计算各个个体的适应度。

5.根据权利要求1所述的一种基于遗传算法的网络入侵多媒体包多线程择危方法，其特征在于，所述步骤4具体为：采用常规比例选择算子作为选择算子，将选择算子作用于所述步骤3的群体P(t)，得到群体P’(t)。

6.根据权利要求1所述的一种基于遗传算法的网络入侵多媒体包多线程择危方法，其特征在于，所述步骤5具体为：采用常规单点交叉算子作为交叉算子，将交叉算子作用于所述步骤4得到的群体P’(t)，得到群体P”(t)。

7.根据权利要求1所述的一种基于遗传算法的网络入侵多媒体包多线程择危方法，其特征在于，所述步骤6具体为：采用编码字符集V＝{T₁,T₂,T₃,......T_k}范围内的均匀随机变异作为变异算子，其中，T₁,T₂,T₃,......T_k表示k个线程，将变异算子作用于所述步骤5得到的群体P”(t)，得到下一代群体P”’(t+1)。

8.根据权利要求1所述的一种基于遗传算法的网络入侵多媒体包多线程择危方法，其特征在于，所述步骤7具体为：

若t<＝T，则令t←t+1，并将群体P”’(t)作为新一代群体，即P(t)←P”’(t)，转至所述步骤2，开始下一次循环；若t>T，则以进化过程中步骤3中所得到的具有最大适应度的群体作为最优解输出，终止计算。

9.根据权利要求1所述的一种基于遗传算法的网络入侵多媒体包多线程择危方法，其特征在于，所述步骤8具体为：

根据所述步骤7最终计算所得拥有最大适应度的群体所代表的多媒体数据包，向各线程T₁,T₂,...T_k中装载多媒体数据包，如果线程T_j(1≤j≤k)中所装载多媒体数据包的负载之和超出该线程负载能力,则将超出的多媒体数据包装到线程T_j+1中。