CN109347863B - 一种改进的免疫的网络异常行为检测方法 - Google Patents

Abstract

本发明公开了一种改进的免疫的网络异常行为检测方法，包括自体库数据提取、抗原提呈、异常行为检测与克隆选择四个阶段，其特征在于：所述自体库数据提取、抗原提呈均采用了一种基于深度信念网络的单分类自体数据生成模型；所述深度信念网络由受限玻尔兹曼机（简称RBM）堆叠而成；所述RBM为神经网络；所述异常行为检测采用了一种基于先天免疫与自适应免疫相结合的方法；所述克隆选择采用了一种基于生成网络的克隆变异方法。本发明将深度学习的模型与方法引入到计算机免疫网络异常检测模型中，提升了模型的训练的质量与效率，无论是检测效率还是准确度都有了较大的提升，同时克服了传统方法随机或是交叉变异导致大量无效计算的缺陷。

Description

一种改进的免疫的网络异常行为检测方法

技术领域

本发明涉及数字网络领域，具体地说，涉及一种改进的免疫的网络异常行为检测方法。

背景技术

网络已经成为人们日常生活中必不可少的部分，与此同时，网络中攻击数量急速上升，攻击的手段复杂多变。对于网络及网络用户而言，网络安全问题是一个不能回避的问题，一个不经意的疏忽可能会给网络用户造成不可弥补的损失。因此，网络安全防御的需求变得愈加迫切。

现有的网络安全技术手段主要有防火墙和入侵检测系统两种技术。防火墙是一种被动的安全技术，通过设定网络的访问规则，限定网络的使用者与权限，但是防火墙无法对合法用户进行有效的监控。入侵检测技术是对防火墙的技术的一种有效补充，是一种积极主动的技术，其通过对监控区域内的用户行为进行监控与分析，以发现网络中的违法行为。

入侵检测技术主要有两种实现方法：基于规则的检测方法与基于异常的检测方法。基于规则的入侵检测原理和杀毒软件相似，首先，提取攻击特征，然后将特征加入到特征库，当新的数据包到来的时候就去特征库进行匹配，匹配成功则为攻击，否则判定为正常请求。这种方法的优点是检测准确率高，但这种方法存在以下缺陷：第一，检测存在滞后性，无法检测未知的新攻击，只有在新攻击被发现并提取特征后才能对这种类型的攻击进行检测；第二，随着特征库中特征增多，该方法的检测速率呈线性下降；第三，基于信息保密的原因，越来越多的互联网应用使用加密技术，导致基于规则的检测方法越来越不能适应当前的技术发展；第四，随着黑客技术的提高，网络攻击的隐蔽性越来越强，很难在具体的数据包发掘出显示的攻击特征，导致基于规则的入侵检测系统被越来越多的用户放弃。

与基于规则的检测方法相对应的方法是基于异常检测的方法，基于异常的入侵检测方法基于网络入侵行为通常和正常的行为存在严重差异的假设，通过检查网络行为与事先建立的模型的差异以发现网络中的异常行为。与基于规则的入侵检测方法相比，网络攻击产生的网络异常行为与流量异常是无法隐藏的，只要建立合适的检测模型，任何攻击都可以检测出来。但其缺陷是检测误报率较高，导致该方法无法有效的应用到真实的网络环境。针对网络异常检测存在的问题，业界对上述问题进行了大量的研究与尝试。在这些方法中，一种借鉴生物免疫系统而形成的人工免疫方法成为了研究的热点。网络安全中的入侵检测问题与生物免疫系统消灭外来病原体入侵问题具有惊人的相似性。生物免疫系统具有良好的多样性、耐受性、免疫记忆、分布式并行处理、自组织、自学习、自适应和鲁棒性等特点,引起研究人员的普遍关注。研究人员尝试将生物免疫机制引入到计算机中构建人工免疫系统，取得了较好的成果。

但是现有的免疫方法主要存在以下几个问题：

1)自体库构建复杂且庞大，每一条数据包含了大量的字段，系统训练代价大；在系统抗原提呈阶段，只是对原始数据进行简单的数据标准化处理，产生的抗原细胞中包含了大量冗余信息和无效信息，导致数据分析时间延迟大；

2)现有免疫方法侧重于免疫的自适应免疫而忽略免疫的先天免疫，导致系统对于已知的攻击依然采用自适应的方法进行训练与识别，训练时间长，效率较低；

3)在产生的检测器检测出攻击时，采用随机或交叉变异的方式产生检测器以提升检测的多样性，但随机变异产生的大量检测器都是无效检测器，导致无效计算，同时也大大延缓了免疫系统的训练；

4)随着云计算，物联网与互联网+的兴起，如何在海量数据中快速的检测入侵对人工免疫算法的效率和有效性形成了挑战。

为了解决上述问题，我们提供了一种改进的免疫的网络异常行为检测方法。

发明内容

本发明的目的在于提供一种改进的免疫的网络异常行为检测方法，本发明将深度学习的模型与方法引入到计算机免疫网络异常检测模型中，提升了模型的训练的质量与效率，无论是检测效率还是准确度都有了较大的提升，同时克服了传统方法随机或是交叉变异导致大量无效计算的缺陷。

在详细说明之前，首先定义发明中使用的一些名词、符号以及公式：

定义1抗原Ag：在本发明中，抗原Ag表征网络中的数据包，用二进制表示。有集合

D＝{0,1}(l>0),其中Ag为IP地址、端口号、协议类型、TCP/UDP/ICMP域、IP包的长度等标志网络事务特征的二进制串。

定义2自体Self：自体表征网络中的合法行为，在本发明的计算机免疫系统中，自体self同样适用二进制表示，有

定义3非自体Nonself：同自体类似，非自体属于抗原的一部分，用于表征网络中的异常数据包，有

Self∪Nonself＝Ag，Self∩Nonself＝Φ。

定义4成熟细胞Mature：在本发明中，成熟细胞Mature表征网络中的可疑网络行为，有集合m＝{d,age,count|d∈D，age,count∈N},其中d为抗原,age为细胞的年龄,count为协同刺激数,N为自然数集合,d,age和count又称为免疫细胞的域，在系统初始时，有m＝Φ。

定义5记忆细胞Memory:记忆细胞用来表征网络中确定的网络异常行为，有

在系统初始时，mm＝DBF({已知网络攻击数据包})。

为了达到上述目的，本发明原理主要通过以下技术方案来实现：

一种改进的免疫的网络异常行为检测方法，包括自体库数据提取、抗原提呈、异常行为检测与克隆选择四个阶段，其特征在于：所述自体库数据提取、抗原提呈均采用了一种基于深度信念网络的单分类自体数据生成模型；所述深度信念网络由受限玻尔兹曼机堆叠(简称RBM)而成，且受限玻尔兹曼机为一种生成式随机神经网络；所述异常行为检测采用了一种基于先天免疫与自适应免疫相结合的方法；所述克隆选择采用了一种基于生成网络的克隆变异方法。

优选地，所述一个受限玻尔兹曼机堆叠(简称RBM)由m1个观测变量v＝(v₁，v₂，…，v_m1)^T和m2个隐藏变量h＝(h₁，h₂，…，h_m2)^T组成。

优选地，所述受限玻尔兹曼机堆叠(简称RBM)的神经网络的下层称为显示层，上层称为隐藏层。

优选地，所述一种基于深度信念网络的单分类自体数据生成模型中，包括深度信念网络(DBN)构建自体细胞集合；所述深度信念网络(DBN)构建自体细胞集合的生成流程具体如下：

S101：离线收集被监控网络正常运行时所有数据包；

S102：对收集的收据包进行预处理，数据预处理流程的子步骤如下：

S1021:字符数据到数值数据的映射：映射采用one-hot编码，即针对有N种取值的字符数据使用N位二进制对数据进行表示；

S1022:数据归一化处理：使用min-max的方法，将数据转换为无量纲的纯数值，具体的计算方法如下：

S1023:数值化的数据全部转换成二进制表示；

S103：设定模型的初始参数：w←0，a←0，b←0，

其中，w表示权重向量，a表示神经网络的输出，b表示偏置，

表示学习步长；

S104：遍历步骤S101中收集的数据包，并根据公式p(h_j＝1|v)＝sigmod(b_j+∑_iw_ijv_i)计算p(h_count＝1|D)，获得异常变量h_count，其中v表示表示经过抗原提呈的网络中的一个数据包，h_j表示RBM中与之对应的隐藏变量，b_j表示DBN中第j-1层的偏置，w_ij表示输入层与输出层之间的权值，sigmod表示神经网络某一层的激活函数，D表示收集的所有网络数据包集合，count为协同刺激数；

S105：根据步骤S104得到的h,使用公式p(v_i＝1|h)＝sigmod(a_i+∑_jw_ijh_j)计算p(v_count＝1|h),根据计算结果重构观测变量v′；

S106：根据公式p(h_j＝1|v)＝sigmod(b_j+∑_iw_ijv_i)计算p(h_count′＝1|D′)，h_count′表示什么基于协同刺激获得的异常变量，D′表示加入新的数据包后得到的更新数据集；

S107：更新模型参数：

优选地，所述一种基于先天免疫与自适应免疫相结合的方法，此方法的检测流程的具体步骤如下：

S201:从被监控网络中采集进入网络的数据；

S202:利用深度信念网络对采集的数据进行抗原提呈；

S203:将经过抗原提呈后抗原细胞与记忆细胞进行模式匹配，如果匹配，则该抗原细胞被判定为异常行为并产生免疫应答直接阻断该网络数据包，否者进入到步骤S204；

S204：将抗原数据包与自体数据集合中的数据包进行模式匹配，如果匹配，则该网络数据包被判定为正常数据包，否者该抗原数据包判定为可疑行为，转化为成熟细胞；

S205:对于成熟细胞中的每一个成熟细胞，年龄加1，即m.age＝m.age+1，判定成熟细胞的age是否超过其申明周期δ，如果超过，进入到步骤S206；

S206:检查成熟细胞的接收的协同刺激数是否超过指定的阈值，如果没超过，将该细胞经过DBN还原后提交给系统管理员，经过系统管理员确认后添加到自体库，如果超过，进入步骤S207；

S207:将成熟细胞添加到记忆细胞，并进行克隆变异。

优选地，所述克隆变异包含两个阶段：训练阶段与变异细胞生成阶段。

优选地，所述在训练阶段，主要分别训练生成对抗网络中的生成器与辨别器，其工作流程如下：

S301：根据收集的自体细胞和训练得到记忆细胞按照1:1的方式构建训练数据集；

S302：利用步骤S301得到数据集训练生成器；

S303：在生成器模型中引入高斯噪音利用已有记忆细胞样本集产生新的样本，并送入到步骤S302中产生的数据集训练生成器中识别；

S304：重复步骤S302，步骤S303直到模型收敛。

优选地，所述变异细胞生成阶段主要利用训练阶段得到的生成对抗网络模型产生的变异的检测器以识别变异或是变形的网络异常行为，其工作流程如下：

S401：成熟细胞激活引发克隆变异；

S402：利用训练阶段得到的生成网络产生变异的抗原细胞；

S403：将变异细胞与自体细胞进行模式匹配，如果匹配，从系统中清除该变异细胞，如果不匹配，设置该细胞的年龄和协同刺激数为0(m.age＝0,m.count＝0)并将该抗原存放到成熟细胞集合；

S404：循环执行步骤S402与步骤S403，直到系统产生K(系统设定的变异规模)个成熟细胞。

本发明与现有技术相比，具有的有益效果如下：

1、在自体细胞构建阶段，利用深度学习中的深度信念网络方法用于刻画被监控网络中的网络正常行为，较大规模的减少了自体库数据的冗余程度与降低了数据的特征纬度，提升了模型的训练的质量与效率。

2、在网络行为检测阶段，提出了一种先天免疫与自适应免疫相结合的网络异常检测方法，将已知的网络攻击数据包经深度信念网络抗原提呈转变为记忆细胞实现计算机免疫的先天免疫，在自适应免疫过程中，将免疫响应和监控网络的运行状态相结合。改进的异常检测方法无论是检测效率还是准确度都有了较大的提升。

3、在免疫的克隆阶段，利用深度学习中的生成对抗网络模型，对激活的成熟细胞进行变异，在提升了模型检测的多样性和有效性的基础上，同时克服了传统方法随机或是交叉变异导致大量无效计算的缺陷。

附图说明

为使本发明的上述目的、特征和优点能更明显易懂，下文特举较佳实施例，并配合所附附图，作详细说明如下.

为了更清楚地说明本发明实施例的技术方案，下面将对实施例中所需要使用的附图作简单地介绍，应当理解，以下附图仅示出了本发明的某些实施例，因此不应被看作是对范围的限定，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他相关的附图。

图1为本发明的系统架构示意图。

图2为本发明的基于深度信念网络的免疫自体生成模型。

图3为本发明的系统检测流程。

图4为本发明的克隆变异流程图。

具体实施方式

下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。通常在此处附图中描述和示出的本发明实施例中的组件可以以各种不同的配置来布置和设计。基于发明中的实施例，本领域普通技术人员在不付出创造性劳动的前提下，所获得的所有其他实施例，都属于本发明保护的范围。

本发明将深度学习中的相关模型与方法引入到基于免疫的网络异常行为检测模型中，提出与设计了一种改进的基于免疫的网络异常行为检测技术。如图1所示，在该技术中，网络异常行为检测包括：自体库数据提取、抗原提呈、异常行为检测与克隆选择四个阶段。

在本发明中，网络中的数据包被看作计算机免疫系统中的抗原，进出监控区域的数据包经过抗原提呈后，首先与免疫系统的中记忆细胞进行模式匹配，如果匹配，则认为该抗原表征的网络行为为异常行为。如果不匹配，将抗原与自体细胞进行模式匹配，如果匹配，则该抗原表征的网络行为为正常网络行为，否则该抗原表征的行为被视为可疑的网络行为，该行为如果在其生命周期内接收到的协同刺激信号超过一定的阈值，该抗原将被激活成为记忆系统，同时对抗原进行变异产生与该抗原相似的变异免疫系统，以提升该方法的检测多样性。

如定义1所描述自体表征网络中的正常的行为，现有的方法主要有两种，一种是通过系统管理员手工定义实现，手工定义方式除了耗费大量的人力与物力外，对系统管理员的经验与知识背景有较高的要求。第二种方式是在监控网络中部署网络安全工具后，将一定时间内的数据包作为自体集合，这种方法的优点是简单便捷，缺陷是收集的数据包中存在着大量相似或是重复的数据包，同时收集的数据可能存在不完整的情况(某些合法的网络应用在指定的时间内没有运行),导致免疫细胞训练时间延长，异常行为误报的情况。

本发明借助深度信念网络(DBN：DeepBeliefNetwork)良好的特征提取和特征降维能力，提出一种基于深度信念网络的单分类自体数据生成模型。该模型结构如图2所示，深度信念网络具有良好的无监督学习能力，能够从复杂的数据样本中学习到复杂的规则。深度信念网络可以看作是RBM的堆叠(受限玻尔兹曼机，简称RBM)，RBM是一个两层的神经网络，下层称为显示层，上层称为隐藏层，其中最下层的显示层用于原始数据的输入，隐藏层隐式的描述输入变量与输出变量的约束关系，在无监督学习中，隐藏层用于特征的提取。在DBN(深度信念网络)中，下层RBM的隐藏层作为上层RBM的显示层，显示层与隐藏层之间为双向全连接，而显示层之间或隐藏层之间没有连接，因此对于每一个显示层神经元或是隐藏层神经元的取值是相互独立的。一个RBM由m1个观测变量v＝(v₁，v₂，…，v_m1)^T和m2个隐藏变量h＝(h₁，h₂，…，h_m2)^T组成。利用深度信念网络DBN构建自体细胞集合的生成流程具体如下：

S101：离线收集被监控网络正常运行时所有数据包；

S102：对收集的收据包进行预处理，数据预处理流程的子步骤如下：

S1021:字符数据到数值数据的映射：映射采用one-hot编码，即针对有N种取值的字符数据使用N位二进制对数据进行表示；

S1022:数据归一化处理：为了克服数值数据因量纲可能造成的影响，将数据转换为无量纲的纯数值，本文使用min-max方法，计算方法如下所示：

S1023:数值化的数据全部转换成二进制表示；

S103：设定模型的初始参数：w←0，a←0，b←0,

其中，w表示权重向量，a表示神经网络的输出，b表示偏置，

表示学习步长；

S104：遍历步骤S101中收集的数据包，根据公式p(h_j＝1|v)＝sigmod(b_j+∑_iw_ijv_i)计算p(h_count＝1|D)，获得异常变量h_count，其中v表示表示经过抗原提呈的网络中的一个数据包，h_j表示RBM中与之对应的隐藏变量，b_j表示DBN中第j-1层的偏置，w_ij表示输入层与输出层之间的权值，sigmod表示神经网络某一层的激活函数，D表示收集的所有网络数据包集合，count为协同刺激数；

S105：根据步骤S104得到的h,使用公式p(v_i＝1|h)＝sigmod(a_i+∑_jw_ijh_j)计算p(v_count＝1|h),根据计算结果重构观测变量v′；

S106：根据公式p(h_j＝1|v)＝sigmod(b_j+∑_iw_ijv_i)计算p(h_count′＝1|D′)，h_count′表示什么基于协同刺激获得的异常变量，D′表示加入新的数据包后得到的更新数据集；

S107：更新模型参数：

自体细胞的生成方式采用离线动态的方式，在t＝0时，有Self(t)＝DBN({v₁，v₂，v₃…v_n}),随着时间的推移，被监控网络有新的网络应用加入，同时也有一些网络应用被废弃，自体库针对这些变化也会有对应的变化，

其中

为t时刻新增加的网络行为，self_dead(t-1)为t-1时刻监控网络最新禁止的网络行为。

抗原提呈的作用是将被监控网络中的网络行为表示成异常行为检测系统能处理的数据形式，因为在自体生成模型中采用DBN实现，因此在抗原提呈阶段，网络数据的处理也是利用DBN模型实现，具体实现流程同深度信念网络DBN构建自体细胞集合的生成流程中的7个步骤相同。

同生物免疫系统一样，本发明提出的基于免疫的网络异常行为检测方法针对被监控网络的网络行为响应也包括：初次响应与二次响应，分别由成熟细胞和记忆细胞发出。成熟细胞的初次应答需要一个较长的学习过程，该细胞检测的网络行为为可疑异常行为，但是该行为不一定为异常行为，在可疑行为发生后的一定范围内,如果监控网络的运行出现异常，比如CPU占用率，内存占用量或是网络流量异常，在这段时间被检测到的协同刺激次数加1。对于成熟细胞而言，如果在其生命周期内，协同刺激超过激活阈值，该细胞将会被激活成为记忆细胞并进行克隆变异，否者该成熟细胞将会死亡，从成熟细胞集合中被移除。而激活的记忆细胞作为优势检测器用于检测的二次响应，一旦经过抗原提呈的细胞与记忆细胞发生匹配，将会被识别为网络异常。异常检测的流程如图3所示，现有的免疫方法在初始阶段记忆细胞

因此系统二次免疫产生周期较长。为了克服现有方法的这种缺陷，本发明提出了一种基于先天免疫与自适应免疫相结合的方法，将已经发现的网络攻击经过深度信念网络抗原提呈后转化为记忆细胞，从而在系统初始阶段具备识别已知攻击的能力，有

mm＝DBN({已知攻击数据包})。在网络行为检测过程中，从监控网络中经抗原提呈的数据包首先与记忆细胞进行模式匹配，如果匹配，该数据包表征的网络行为被确认为网络异常行为，系统立即对其进行二次应答直接对该数据包进行阻断。如果不匹配，将该抗原数据包与自体细胞进行匹配，如果匹配，则该抗原数据包为正常数据包。否者，该抗原数据包被判定为可疑数据包转化为成熟细胞(该数据包可能是正常也可能为异常数据包)，在成熟细胞的生命周期内如果被监控网络的运行出现异常情况(比如CPU占用率，内存占用率以及网络流量异常)，系统向处于生命周期内的成熟细胞发送一个协同刺激信号有m.count＝m.count+1,如果在成熟细胞的生命周期内即m.age<δ,一个成熟细胞接收到的协同刺激数目超过指定的阈值，该成熟细胞将会被激活成为记忆细胞，并进行克隆变异，若在生命周期内接收到的协同刺激数没有超过指定的阈值，表示该抗原表征的网络行为是一种正常的网络行为，利用DBN对该抗原进行逆向还原并发动给系统管理员，经过管理员的确认添加到自体数据库。检测流程的具体步骤如下：

S201:从被监控网络中采集进入网络的数据；

S202:利用深度信念网络对采集的数据进行抗原提呈；

S203:将经过抗原提呈后抗原细胞与记忆细胞进行模式匹配，如果匹配，则该抗原细胞被判定为异常行为并产生免疫应答直接阻断该网络数据包，否者进入到步骤S204；

S204：将抗原数据包与自体数据集合中的数据包进行模式匹配，如果匹配，则该网络数据包被判定为正常数据包，否者该抗原数据包判定为可疑行为，转化为成熟细胞；

S205:对于成熟细胞中的每一个成熟细胞，年龄加1，即m.age＝m.age+1，判定成熟细胞的age是否超过其申明周期δ，如果超过，进入步骤S206；

S206:检查成熟细胞的接收的协同刺激数是否超过指定的阈值，如果没超过，将该细胞经过DBN还原后提交给系统管理员，经过系统管理员确认后添加到自体库，如果超过，进入步骤S207；

S207:将成熟细胞添加到记忆细胞，并进行克隆变异。

黑客为了达到自己的攻击目的，会改变已有攻击的某些特征以绕过网络现有的安全措施。为了实现检测的多样性，快速识别黑客通过变形与变异产生的新病毒，免疫系统引入克隆变异以检测出变异的网络异常行为。但现有的免疫方法在克隆变异主要采用随机变异与交叉变异，产生的变异细胞大部分都是对检测无效的检测抗原细胞，效率低下。针对上述问题本文提出了一种基于生成网络的克隆变异方法，该方法流程如图4所示，克隆变异包含两个阶段：训练阶段与变异细胞生成阶段。在训练阶段，主要分别训练生成对抗网络中的生成器与辨别器，其工作流程如下：

S301：根据收集的自体细胞和训练得到记忆细胞按照1:1的方式构建训练数据集；

S302：利用步骤S301得到数据集训练生成器；

S303：在生成器模型中引入高斯噪音利用已有记忆细胞样本集产生新的样本，并送入到步骤S302中产生的鉴别器中识别；

S304：重复步骤S302，步骤S303直到模型收敛。

变异细胞生成阶段主要利用训练阶段得到的生成对抗网络模型产生的变异的检测器以识别变异或是变形的网络异常行为，其工作流程如下：

S401：成熟细胞激活引发克隆变异；

S402：利用训练阶段得到的生成网络产生变异的抗原细胞；

S403：将变异细胞与自体细胞进行模式匹配，如果匹配，从系统中清除该变异细胞，如果不匹配，设置该细胞的年龄和协同刺激数为0(m.age＝0,m.count＝0)并将该抗原存放到成熟细胞集合；

S404：循环执行步骤S402与步骤S403，直到系统产生K(系统设定的变异规模)个成熟细胞。

本发明针对现有网络异常检测方法存在的缺陷，将深度学习的模型与方法引入到计算机免疫网络异常检测模型中，提出与设计了一种改进的基于免疫的网络异常行为技术，该项技术的特色主要表现在如下几个地方：

1)在自体细胞构建阶段，利用深度学习中的深度信念网络方法用于刻画被监控网络中的网络正常行为，较大规模的减少了自体库数据的冗余程度与降低了数据的特征纬度，提升了模型的训练的质量与效率；

2)在网络行为检测阶段，提出了一种先天免疫与自适应免疫相结合的网络异常检测方法，将已知的网络攻击数据包经深度信念网络抗原提呈转变为记忆细胞实现计算机免疫的先天免疫，在自适应免疫过程中，将免疫响应和监控网络的运行状态相结合。改进的异常检测方法无论是检测效率还是准确度都有了较大的提升。

在免疫的克隆阶段，利用深度学习中的生成对抗网络模型，对激活的成熟细胞进行变异，在提升了模型检测的多样性和有效性的基础上，同时克服了传统方法随机或是交叉变异导致大量无效计算的缺陷。

以上所述，仅是本发明的较佳实施例，并非对本发明做任何形式上的限制，凡是依据本发明的技术实质对以上实施例所作的任何简单修改、等同变化，均落入本发明的保护范围之内。

Claims (4)

1.一种改进的免疫的网络异常行为检测方法，包括自体库数据提取、抗原提呈、异常行为检测与克隆选择四个阶段，其特征在于：所述自体库数据提取、抗原提呈均采用了一种基于深度信念网络的单分类自体数据生成模型；所述深度信念网络由受限玻尔兹曼机堆叠而成；一个受限玻尔兹曼机由m1个观测变量v＝(v₁，v₂，…，v_m1)^T和m2个隐藏变量h＝(h₁，h₂，...，h_m2)^T组成；受限玻尔兹曼机的神经网络的下层称为显示层，上层称为隐藏层；所述异常行为检测采用了一种基于先天免疫与自适应免疫相结合的方法；所述克隆选择采用了一种基于生成网络的克隆变异方法；

所述克隆变异包含两个阶段：训练阶段与变异细胞生成阶段，在训练阶段，主要分别训练生成对抗网络中的生成器与辨别器；变异细胞生成阶段主要利用训练阶段得到的生成对抗网络模型产生的变异的检测器以识别变异或是变形的网络异常行为；

所述一种基于深度信念网络的单分类自体数据生成模型中，包括深度信念网络构建自体细胞集合；所述深度信念网络构建自体细胞集合的生成流程具体如下：

S101：离线收集被监控网络正常运行时所有数据包；

S102：对收集的收据包进行预处理，数据预处理流程的子步骤如下：

S1021:字符数据到数值数据的映射：映射采用one-hot编码，即针对有N种取值的字符数据使用N位二进制对数据进行表示；

S1022:数据归一化处理：使用min-max的方法，将数据转换为无量纲的纯数值，具体的计算方法如下：

S1023:数值化的数据全部转换成二进制表示；

S103：设定模型的初始参数：w←0，a←0，b←0，

其中，w表示权重向量，a表示神经网络的输出，b表示偏置，

表示学习步长；

S104：将步骤S101中收集的每一个数据包，根据公式p(h_j＝1|v)＝sigmod(b_j+∑_iw_ijv_i)计算p(h_count＝1|D)，获得异常变量h_count；所述v表示经过抗原提呈的网络中的一个数据包，h_j表示RBM中与之对应的隐藏变量，b_j表示DBN中第j-1层的偏置，w_ij表示输入层与输出层之间的权值，sigmod表示神经网络某一层的激活函数，D表示收集的所有网络数据包集合，count为协同刺激数；

S105：根据步骤S104得到的h,使用公式p(v_i＝1|h)＝sigmod(a_i+∑_jw_ijh_j)计算p(v_count＝1|h),根据计算结果重构观测变量v′；

S106：根据公式p(h_j＝1|v)＝sigmod(b_j+∑_iw_ijv_i)计算p(h_count′＝1|D′)，h_count′表示什么基于协同刺激获得的异常变量，D′表示加入新的数据包后得到的更新数据集；

S107：更新模型参数：

2.根据权利要求1所述的一种改进的免疫的网络异常行为检测方法，其特征在于：所述一种基于先天免疫与自适应免疫相结合的方法，此方法的检测流程的具体步骤如下：

S201:从被监控网络中采集进入网络的数据；

S202:利用深度信念网络对采集的数据进行抗原提呈；

S203:将经过抗原提呈后抗原细胞与记忆细胞进行模式匹配，如果匹配，则该抗原细胞被判定为异常行为并产生免疫应答直接阻断该网络数据包，否者进入到步骤S204；

S204：将抗原数据包与自体数据集合中的数据包进行模式匹配，如果匹配，则该网络数据包被判定为正常数据包，否者该抗原数据包判定为可疑行为，转化为成熟细胞；

S205:对于成熟细胞中的每一个成熟细胞，年龄加1，即m.age＝m.age+1，判定成熟细胞的age是否超过其申明周期δ，如果超过，则进入到步骤S206；

S206:检查成熟细胞的接收的协同刺激数是否超过指定的阈值，如果没超过，将该细胞经过DBN还原后提交给系统管理员，经过系统管理员确认后添加到自体库，如果超过，则进入步骤S207；

S207:将成熟细胞添加到记忆细胞，并进行克隆变异。

3.根据权利要求1所述的一种改进的免疫的网络异常行为检测方法，其特征在于：所述在训练阶段，主要分别训练生成对抗网络中的生成器与辨别器，其工作流程如下：

S301：根据收集的自体细胞和训练得到记忆细胞按照1:1的方式构建训练数据集；

S302：利用步骤S301得到数据集训练生成器；

S303：在生成器模型中引入高斯噪音利用已有记忆细胞样本集产生新的样本，并送入到步骤S302中产生的数据集训练生成器进行识别；

S304：重复步骤S302与步骤S303直到模型收敛。

4.根据权利要求1所述的一种改进的免疫的网络异常行为检测方法，其特征在于：所述变异细胞生成阶段主要利用训练阶段得到的生成对抗网络模型产生的变异的检测器以识别变异或是变形的网络异常行为，其工作流程如下：

S401：成熟细胞激活引发克隆变异；

S402：利用训练阶段得到的生成网络产生变异的抗原细胞；

S403：将变异细胞与自体细胞进行模式匹配，如果匹配，从系统中清除该变异细胞，如果不匹配，设置该细胞的年龄和协同刺激数为0，并将该抗原存放到成熟细胞集合；

S404：循环执行步骤S402与步骤S403，直到系统产生K个成熟细胞。

Images