CN113836526B

CN113836526B - 一种基于改进免疫网络算法的入侵检测方法及其应用

Info

Publication number: CN113836526B
Application number: CN202111136304.7A
Authority: CN
Inventors: 杨超; 李琲珺; 程镇; 骆傲然; 何剑锋
Original assignee: Hubei University
Current assignee: Zhongjin Yunlian (Wuhan) Digital Technology Co.,Ltd.
Priority date: 2021-09-27
Filing date: 2021-09-27
Publication date: 2022-08-09
Anticipated expiration: 2041-09-27
Also published as: CN113836526A; US20230095966A1; US11762992B2

Abstract

本发明属于入侵检测技术领域，具体提供一种基于改进免疫网络算法的入侵检测方法及其应用，其中方法包括：S1，初始化抗体群；S2，计算抗原和抗体的亲和度；S3，寻找亲和度最高且不同类的一对抗原，称为对偶抗原；S4，进行边界抗体集C判别；S5，进行邻居抗体集判别；S6，淘汰后的抗体依据亲和度克隆、变异来更新抗原所属子网络；S7，计算边界抗体集C内的抗体和对偶抗原内抗体的平均亲和度，将边界抗体集C内亲和度高的抗体放入抗原所属子网络中；S8，网络抑制、简化网络，输出结果网络子集。该方案具有较高的检测准确率和较低的误警率。降低了训练集边界较模糊时对算法性能的负面影响，尤其适合应用在入侵检测系统中检测未知攻击。

Description

一种基于改进免疫网络算法的入侵检测方法及其应用

技术领域

本发明涉及入侵检测技术领域，更具体地，涉及一种基于改进免疫网络算法的入侵检测方法及其应用。

背景技术

入侵检测(Intrusion Detection)是对那些企图破坏计算机或者计算机网络机密性、完整性、安全性等特征进行识别的过程。入侵检测的实质是通过对计算机主机或者计算机网络关键信息的分析，提取其中主要特征，与基础通用的计算机模式做相应对比，然后做出智能判断。

入侵检测技术包括误用检测和异常检测，误用检测技术需要事先建立入侵行为特征库，入侵检测时采用特征匹配的方法确定是否存在入侵行为；异常检测技术需要事先通过训练数据集建立正常行为模型，入侵检测时根据是否明显偏离正常模型判断是否存在入侵行为。在建立入侵行为特征库或正常行为特征库时，要求算法能够处理海量、异构、混合属性的数据，与数据分布无关，算法自适应、自学习性能好。因此，常见的应用于入侵检测中的方法包括：人工免疫系统的系列算法、神经网络、群智能算法、聚类算法等。

目前主要的入侵检测问题解决方法缺陷如下：

(1)传统聚类算法，如K-MEDOIDS、K-MEANS、EM、BIRCH应用在入侵检测系统时，一般只对小样本有效、可拓展性差，并且对初始化数据敏感、依赖聚类原型，容易陷入局部最优。

(2)神经网络等群智能算法，虽然有较好的可拓展性，但是无法有效的处理边界数据和噪声数据，在面对复杂多变的网络环境时，经常发生漏报、误报等现象。

(3)传统人工免疫算法有一定的自适应性，但是处理效率较低，实时性不高，并且局限于传统算法的特性不能从大量数据中提取到有效特征，导致入侵检测系统检测准确率不高。具体地，人工免疫识别模型中的传统免疫网络算法应用在入侵检测系统中还存在以下不足：

(a)如果数据子集的边界比较模糊，或者样本集本身存在噪声，这种特殊的抗原会极强的刺激免疫反应，引起细胞增殖，导致进化的网络出现结构不清晰的问题；

(b)免疫网络结构复杂，训练效率低。

发明内容

本发明需要解决的是现有技术中存在的传统免疫网络算法在解决入侵检测问题时，当训练集信息噪音过大或边界模糊，抗原信息的初始化呈递不能很好的指导训练过程的技术问题。

本发明提供了一种基于改进免疫网络算法的入侵检测方法，包括以下步骤：

S1，初始化抗体群，作为待训练网络抗体子集即抗体集B；

S2，计算抗原和抗体的亲和度；

S3，寻找亲和度最高且不同类的一对抗原，称为对偶抗原；

S4，进行边界抗体集C判别，若待训练网络抗体子集中的抗体与某一对偶抗原的亲和度差值的绝对值小于阈值R，则将该抗体放入边界抗体集；

S5，进行邻居抗体集判别，若待训练网络抗体子集中的抗体和任一抗原的亲和度小于阈值M，则将该抗体淘汰，否则将该抗体放入亲和度最高的抗原所属子网络中；

S6，淘汰后的抗体依据亲和度克隆、变异来更新所述抗原所属子网络；

S7，计算边界抗体集C内的抗体和对偶抗原内抗体的平均亲和度，将边界抗体集C内亲和度高的抗体放入所述抗原所属子网络中；

S8，网络抑制、简化网络，输出结果网络子集。

可选地，所述抗原表示各种类型的网络流量数据，包括攻击数据与正常数据，抗体表示训练好的检测器。

可选地，所述S1具体包括：选取CSE-CIC-IDS2018数据集作为待训练网络抗体子集，包括Botnet(僵尸网络)、Infiltration of The Network from Inside(网络内部渗透)、Brute-force(暴力攻击)、Dos(拒绝服务)和DDos(分布式拒绝服务)这5种攻击场景的数据，并对该CSE-CIC-IDS2018数据集进行各维特征平均化和PCA降维处理。

可选地，所述S3具体包括：待处理的训练集为抗原集AG＝{ag₁,ag₂,…,ag_i}，算法初始化产生的抗体集B＝{b₁,b₂,…,b_i}；

抗原与抗体之间的相似程度用抗原抗体之间的亲和度表示，亲和度用抗原集AG＝{ag₁,ag₂,…,ag_i}和抗体集B＝{b₁,b₂,…,b_i}之间的欧式距离表示，抗原抗体亲和度公式为：

可选地，所述S4具体包括：对于抗原ag_i∈AG，确定距离ag_i距离最近的不同类抗原ag_j，则ag_i与ag_j互为对偶抗原，对于

D_ik为b_k与ag_i的亲和度，D_jk为b_k与ag_j的亲和度；

如果|D_ik-D_jk|<r，则将b_k放入边界抗体集C，C∈B。

可选地，所述S5具体包括：对于抗体集B＝{b₁,b₂,…,b_i}，中的抗体b_x，若b_x与抗原集AG＝{ag₁,ag₂,…,ag_i}中的所有抗原亲和度小于M，将b_x淘汰，否则将b_x归入与其亲和度最高的抗原所属子网络中。

可选地，所述S6具体包括：针对抗原和抗体之间的亲和度，选择当前候选抗体集中亲和度最高的前n个进行克隆，对抗体b_i的克隆数量满足以下公式：

其中，a和b均为常数，且a>0，max_clone为最大克隆数；

在变异操作中，亲和度越高的抗体变异的概率最小，以此来保留较准确的攻击类型特征，变异算子如下：

其中，operator(σ,bi)是抗体bi与间隔为σ的邻居抗体进行交叉异，

σ根据抗体亲和度的大小进行取值，当抗体亲和度足够大时，σ＝1。

可选地，所述S7具体包括：根据抗原抗体亲和度公式计算边界抗体集C内的抗体和对偶抗原内抗体的平均亲和度D_ik和D_jk，将边界抗体集C内抗体放入亲和度高的网络子集得到抗原所属子网络。

本发明还提供了一种电子设备，包括存储器、处理器，所述处理器用于执行存储器中存储的计算机管理类程序时实现基于改进免疫网络算法的入侵检测方法的步骤。

本发明还提供了一种计算机可读存储介质，其上存储有计算机管理类程序，所述计算机管理类程序被处理器执行时实现基于改进免疫网络算法的入侵检测方法的步骤。

有益效果：本发明提供的一种基于改进免疫网络算法的入侵检测方法及其应用，其中方法包括：S1，初始化抗体群；S2，计算抗原和抗体的亲和度；S3，寻找亲和度最高且不同类的一对抗原，称为对偶抗原；S4，进行边界抗体集C判别；S5，进行邻居抗体集判别；S6，淘汰后的抗体依据亲和度克隆、变异来更新所述抗原所属子网络；S7，计算边界抗体集C内的抗体和对偶抗原内抗体的平均亲和度，将边界抗体集C内亲和度高的抗体放入所述抗原所属子网络中；S8，网络抑制、简化网络，输出结果网络子集。该方案具有较高的检测准确率和较低的误警率。同时，由于本发明提出的算法对类边界抗体进行了延迟处理，降低了训练集边界较模糊时对算法性能的负面影响，因此应用在入侵检测系统中时，训练好的免疫网络子集比其他传统算法性能表现更佳，并且能够检测出未知攻击。综上所述，本发明提出的改进的免疫网络作为一种新的解决入侵检测的方法，具有一定的价值。

附图说明

图1为本发明提供的一种基于改进免疫网络算法的入侵检测方法流程图；

图2为本发明提供的一种可能的电子设备的硬件结构示意图；

图3为本发明提供的一种可能的计算机可读存储介质的硬件结构示意图；

图4为本发明提供的一种基于改进免疫网络算法的入侵检测方法的抗体半径变化对已知攻击和未知攻击检测率的影响图；

图5为本发明提供的一种基于改进免疫网络算法的入侵检测方法的抗体临界阈值变化对于已知攻击和未知攻击的检测率的影响图。

具体实施方式

下面结合附图和实施例，对本发明的具体实施方式作进一步详细描述。以下实施例用于说明本发明，但不用来限制本发明的范围。

在免疫网络算法中，抗体是否有效归纳于相应的抗原空间，对免疫网络分类器生成的效率和准确率有较大的影响。传统人工免疫网络的进化依靠抗原信息的一次性呈递，当数据子集的边界比较模糊，或者样本集本身存在噪声，这种特殊的抗原会极强的刺激免疫反应，引起细胞增殖，导致进化的网络出现结构不清晰。鉴于此，提出了本申请的技术方案如下：

如图1至图5所示，本发明实施例提供了一种基于改进免疫网络算法的入侵检测方法，包括以下步骤：

S1，初始化抗体群，作为待训练网络抗体子集即抗体集B；

S2，计算抗原和抗体的亲和度；

S3，寻找亲和度最高且不同类的一对抗原，称为对偶抗原；

S8，网络抑制、简化网络，输出结果网络子集。

该方案具有较高的检测准确率和较低的误警率。同时，由于本发明提出的算法对类边界抗体进行了延迟处理，降低了训练集边界较模糊时对算法性能的负面影响，因此应用在入侵检测系统中时，训练好的免疫网络子集比其他传统算法性能表现更佳，并且能够检测出未知攻击。综上所述，本发明提出的改进的免疫网络作为一种新的解决入侵检测的方法，具有一定的价值。

其中，免疫网络算法(Immune Network Algorithm)：免疫网络算法是一种受生物免疫系统中特异性免疫反应启发而设计的新型智能算法，常用于解决分类问题。

抗体(Antibody):本发明特指入侵检测中训练完成的检测集合。抗原(Antigen):本发明特指入侵检测训练集中的不同攻击类型。三支决策(Three Decision)：三支决策是基于决策粗糙集提出的一种决策模型。当前信息掌握不充足时，不会直接“接受”或“拒绝”，待掌握的信息量更充分时再进行决策，从而避免判断信息不足时直接接受或拒绝带来的误判风险。

人工免疫系统是来源于生物免疫系统的一种智能算法，免疫网络是生物免疫中表示免疫单元之间相互作用的理论模型，在抗原刺激发生之前集体处于一种相对平衡的生物状态，抗原的进入打破了这种平衡并引起了特异抗体分子的产生，特异抗体分子达到一定量时回引起机体免疫反应，称为特异性免疫应答。因此抗体分子在识别抗原的同时，也能被其独特型抗体分子识别。正是这种独特型抗体分子的产生，使得机体在受到抗原刺激时能够快速进行免疫应答，以此来维持机体平衡。人工免疫网络通常将原始数据看做抗原，将各模式类的特征值看做抗体，网络进化的目标就是，经过学习后网络可以反应原始数据集所包含的各模式类。

本发明实施例是基于三支决策理论的免疫网络分类算法，算法训练过程中，对于位于类边界位置的抗原，由于训练初期掌握信息不充分，对类边界位置抗原进行“延迟决策”。通过在CSE-CIC-IDS2018数据集上的对比仿真实验得知，该改进算法相较于其他传统分类算法具有较高的分类准确率，大大降低了误报率。

在一个具体的实施场景中：

步骤1，实验数据集及预处理。

选取了CSE-CIC-IDS2018数据集，CSE-CIC-IDS2018数据集是通信安全机构与加拿大网络安全研究所合作的项目，共有7种不同的网络攻击场景：Brute-force,Heartbleed,Botnet,Dos,DDos,Web attacks和Infiltration of The Network from Inside。本实验选取其中的Botnet(僵尸网络)、Infiltration of The Network from Inside(网络内部渗透)、Brute-force(暴力攻击)、Dos(拒绝服务)和DDos(分布式拒绝服务)这5种攻击场景的数据进行实验，由于该数据集较大，且存在过多冗余维度，实验前要对数据集进行各维特征平均化和PCA降维处理，训练集基本信息如下表：

攻击类型	维数	样本个数
			Bot	10	8000
Benign	10	8000
			Infilteration	10	8000
SSH-Bruteforce	10	8000
			Dosattack-GoldenEye	10	8000

步骤2，样本的初始化以及参数初始化设置。

在本发明中，抗原表示各种类型的网络流量数据，包括攻击数据与正常数据，抗体表示训练好的检测器，本实验本文实验选取CSE-CIC-IDS2018数据集中的Benign类型作为正常类型，Bot、Infilteration、SSH-Bruteforce、Dos attack-GoldenEye攻击类型作为异常类型。实验参数设置如下：

抗体临界阈值	抗体抑制距离	抗体半径	最大迭代次数
				0.12	0.4	0.81	550

步骤3，计算初始化抗体和训练集抗原之间的亲和度。

本入侵检测训练算法，将原始数据(即各种类型的网络流量数据)看作抗原，将各模式类的特征值看作抗体，免疫网络进化的目标就是经过学习后，训练好的网络能够反应原始数据集所包含的模式类。此步骤，待处理的训练集为抗原集：AG＝{ag₁,ag₂,…,ag_i}，算法初始化产生抗体集合：B＝{b₁,b₂,…,b_i}。

抗原抗体之间的相似程度用抗原抗体之间的亲和度表示，亲和度用抗原集AG＝{ag₁,ag₂,…,ag_i}和抗体集B＝{b₁,b₂,…,b_i}之间的欧式距离表示。抗原抗体亲和度公式为：

步骤4，归纳边界抗体集。

对于抗原ag_i∈AG，确定距离ag_i距离最近的不同类抗原ag_j，则ag_i与ag_j互为对偶抗原。

边界抗体集在于收集位于训练集类边界的样本点，边界抗体更适合哪个子网络在训练初期并不能确定。已知对偶抗原ag_i与ag_j，对于

D_ik为b_k与ag_i的亲和度，D_jk为b_k与ag_j的亲和度。

如果|D_ik-D_jk|<r，则将b_k放入边界抗体集C，C∈B。

步骤5，归纳邻居抗体集。

对于抗体集B＝{b₁,b₂,…,b_i}，中的抗体b_x，若b_x与抗原集AG＝{ag₁,ag₂,…,ag_i}中的所有抗原亲和度小于M，将b_x淘汰，否则将b_x归入与其亲和度最高的抗原所属子网络中。

步骤6，克隆和变异操作。

在步骤5得出的邻居抗体集内进行克隆和变异操作。针对抗原和抗体之间的亲和度，选择当前候选抗体集中亲和度最高的前n个进行克隆，这一步的目的是更好的提取训练集的攻击特征，以此提高入侵检测准确率。对抗体b_i的克隆数量满足以下公式：

其中，a和b均为常数，且a>0，max_clone为最大克隆数。

其中，operator(σ,bi)是抗体bi与间隔为σ的邻居抗体进行交叉变异，

步骤7，边界抗体集延迟处理。

根据抗原抗体亲和度公式计算边界抗体集C内的抗体和对偶抗原内抗体的平均亲和度D_ik和D_jk，将边界抗体集C内抗体放入亲和度高的网络子集得到抗原所属子网络。

步骤8，实验与分析。

本发明实验的主要目的是验证基于三支决策的免疫网络算法应用入侵检测中的检测准确率是否高于现有传统的入侵检测算法。为了使实验结果更准确，取30次实验结果的平均值，本算法应用在入侵检测系统，对四大攻击类型的检测效果如下表：

算法	已知攻击(％)	未知攻击(％)
			Bot	90.23	84.72
Infilteration	89.57	80.28
			SSH-Bruteforce	84.69	81.57
Dosattack-GoldenEye	86.55	78.27

本算法应用在入侵检测系统，与传统C-均值聚类算法(算法a)，AiNet算法(算法b)以及朴素贝叶斯算法(算法c)进行性能比较如下表：

从实验结果中可以看出，在三个测试集上，本发明提出的算法与传统C-均值聚类算法(算法a)，AiNet算法(算法b)以及朴素贝叶斯算法(算法c)相比，有较高的检测准确率和较低的误警率。同时，由于本发明提出的算法对类边界抗体进行了延迟处理，降低了训练集边界较模糊时对算法性能的负面影响，因此应用在入侵检测系统中时，训练好的免疫网络子集比其他传统算法性能表现更佳，并且能够检测出未知攻击。综上所述，本发明提出的改进的免疫网络作为一种新的解决入侵检测的方法，具有一定的价值。

请参阅图2为本发明实施例提供的电子设备的实施例示意图。如图2所示，本发明实施例提了一种电子设备，包括存储器1310、处理器1320及存储在存储器1310上并可在处理器1320上运行的计算机程序1311，处理器1320执行计算机程序1311时实现基于改进免疫网络算法的入侵检测方法。在此不再赘述。

请参阅图3为本发明提供的一种计算机可读存储介质的实施例示意图。如图3所示，本实施例提供了一种计算机可读存储介质1400，其上存储有计算机程序1411，该计算机程序1411被处理器执行时实现基于改进免疫网络算法的入侵检测方法。在此不再赘述。

需要说明的是，在上述实施例中，对各个实施例的描述都各有侧重，某个实施例中没有详细描述的部分，可以参见其它实施例的相关描述。

本领域内的技术人员应明白，本发明的实施例可提供为方法、系统、或计算机程序产品。因此，本发明可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且，本发明可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。

本发明是参照根据本发明实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式计算机或者其他可编程数据处理设备的处理器以产生一个机器，使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。

这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中，使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品，该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。

这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上，使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理，从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。

尽管已描述了本发明的优选实施例，但本领域内的技术人员一旦得知了基本创造概念，则可对这些实施例作出另外的变更和修改。所以，所附权利要求意欲解释为包括优选实施例以及落入本发明范围的所有变更和修改。

显然，本领域的技术人员可以对本发明进行各种改动和变型而不脱离本发明的精神和范围。这样，倘若本发明的这些修改和变型属于本发明权利要求及其等同技术的范围之内，则本发明也意图包括这些改动和变型在内。

Claims

1.一种基于改进免疫网络算法的入侵检测方法，其特征在于，包括以下步骤：

S1，初始化抗体群，作为待训练网络抗体子集即抗体集B；

S2，计算抗原和抗体的亲和度；其中，所述抗原表示各种类型的网络流量数据，包括攻击数据与正常数据，抗体表示训练好的检测器；

具体地，待处理的训练集为抗原集AG＝{ag₁,ag₂,…,ag_i}，算法初始化产生的抗体集B＝{b₁,b₂,…,b_i}；

S3，寻找亲和度最高且不同类的一对抗原，称为对偶抗原；具体地，对于抗原ag_i∈AG，确定距离ag_i距离最近的不同类抗原ag_j，则ag_i与ag_j互为对偶抗原，对于

D_ik为b_k与ag_i的亲和度，D_jk为b_k与ag_j的亲和度；

S4，进行边界抗体集C判别，若待训练网络抗体子集中的抗体与某一对偶抗原的亲和度差值的绝对值小于阈值R，则将该抗体放入边界抗体集；具体地，如果|D_ik-D_jk|<R，则将b_k放入边界抗体集C，C∈B；

S6，淘汰后的抗体依据亲和度克隆、变异来更新所述抗原所属子网络；具体地，针对抗原和抗体之间的亲和度，选择当前候选抗体集B中亲和度最高的前n个进行克隆，对抗体b_i的克隆数量满足以下公式：

其中，a和b均为常数，且a>0，max_clone为最大克隆数；

其中，operator(σ,bi)是抗体bi与间隔为σ的邻居抗体进行交叉变异，σ根据抗体亲和度的大小进行取值，当抗体亲和度足够大时，σ等于1；

S7，计算边界抗体集C内的抗体和对偶抗原内抗体的平均亲和度，将边界抗体集C内亲和度高的抗体放入所述抗原集中；

S8，网络抑制、简化网络，输出结果网络子集。

2.根据权利要求1所述的基于改进免疫网络算法的入侵检测方法，其特征在于，所述S1具体包括：选取CSE-CIC-IDS2018数据集作为待训练网络抗体子集，包括僵尸网络Botnet、网络内部渗透Infiltration of The Network from Inside、暴力攻击Brute-force、拒绝服务Dos和分布式拒绝服务DDos这5种攻击场景的数据，并对该CSE-CIC-IDS2018数据集进行各维特征平均化和PCA降维处理。

3.根据权利要求1所述的基于改进免疫网络算法的入侵检测方法，其特征在于，所述S5具体包括：对于抗体集B＝{b₁,b₂,…,b_i}，中的抗体b_x，若b_x与抗原集AG＝{ag₁,ag₂,…,ag_i}中的所有抗原亲和度小于M，将b_x淘汰，否则将b_x归入与其亲和度最高的抗原所属子网络中。

4.根据权利要求1所述的基于改进免疫网络算法的入侵检测方法，其特征在于，所述S7具体包括：根据S2中的抗原抗体亲和度公式计算边界抗体集C内的抗体和对偶抗原内抗体的平均亲和度D_ik和D_jk，将边界抗体集C内抗体放入亲和度高的网络子集得到抗原所属子网络。

5.一种电子设备，其特征在于，包括存储器、处理器，所述处理器用于执行存储器中存储的计算机管理类程序时实现如权利要求1-4任一项所述的基于改进免疫网络算法的入侵检测方法的步骤。

6.一种计算机可读存储介质，其特征在于，其上存储有计算机管理类程序，所述计算机管理类程序被处理器执行时实现如权利要求1-4任一项所述的基于改进免疫网络算法的入侵检测方法的步骤。