[发明专利]一种基于人工免疫原理的网络异常检测方法

说明书

技术领域

本发明属于一种基于人工免疫原理的网络异常检测方法。 

背景技术

随着Internet的不断发展，网络安全已经逐渐成为人们越来越关心的问题，而入侵检测技术是继防火墙之后逐渐兴起的检测手段之一，也越来越受到广大学者和工程人员的重视。传统的入侵检测方法分为两种：误用检测方法和异常检测方法。其中误用检测通过对已知攻击形成攻击特征数据，除非攻击特征数据库更新到最新，不然无法检测到相关的攻击；而异常检测方法对正常的用户行为和被保护的系统进行建模，在检测到新的数据与正常模型相违背的时候，就认为是异常。由于异常检测方法不需要相关的网络攻击知识来训练检测模型，因此异常检测模型可以用来检测未知攻击，可以弥补误用检测的不足，并具有良好的可扩展性。 

中国专利公开号CN101026510中所述的通过数据包类型以及协议会话状态进行度量，并根据度量的结果，利用数据挖掘判断该会话或伪会话是否为异常，该方法检测速度较慢，并难以判断伪造的数据包。公开号CN101051953公中所述的基于模糊神经网络的异常检测方法，因为需要预先对神经网络进行训练，训练速度较慢。公开号CN101060444所述的基于贝叶斯统计模型的网络异常的检测方法，该方法对未知攻击缺乏有效检测。 

发明内容

本发明的目的是提供一种基于人工免疫原理的网络异常检测方法，该方法原理基于生物免疫系统对外界抗原的响应，生物免疫系统通过抗体细胞对外 界入侵抗原进行响应和特征提呈，抗体细胞在克隆后，通过变异形成对抗原具有高亲和力的抗体细胞，大多数抗体细胞只具有一个很短的生命周期，但有一小部分进化成具有较长生命周期的记忆细胞，当免疫系统受到相同抗原的再次刺激后，记忆细胞能够很快产生二次应答。在本发明中，训练数据相当于人工免疫系统中的抗原，抗体细胞和抗原亲和力越高，抗体细胞得到刺激越大，克隆数目就越多，亲和力低的抗体细胞则死亡，而与抗原最相似的抗体细胞则成为较长生命周期的记忆细胞。网络异常检测时，人工免疫系统通过记忆细胞能够进行快速的网络异常检测。本方法具有生物免疫系统的非线性，以及克隆选择、免疫网络和免疫记忆等优良特征，解决了目前网络异常检测中存在的检测速度慢，检测准确率低的问题。 

一种基于人工免疫原理的网络异常检测方法，其特征是首先进行训练抗原数据收集，即通过收集正异常网络环境下描述网络事务的特征数据，在对特征数据进行标准化和正异常类别标识处理后，作为训练人工免疫系统的训练抗原；然后是人工免疫系统学习的步骤，人工免疫系统通过每一个训练抗原的学习，进行抗体细胞进化，在抗体细胞收敛后，优选出最佳的抗体细胞对记忆细胞进行更新；最后是网络异常检测步骤，通过已训练人工免疫系统中的记忆细胞对网络进行异常检测。 

上述的一种基于人工免疫原理的网络异常检测方法，其特征是训练抗原数据收集步骤包括以下步骤： 

(1)收集网络流量特征数据的步骤，即以旁路侦听方式获取正异常网络环境下单位时间流入字节数、流出字节数、TCP连接数、ICMP数据包数、紧急数据包数等描述网络事务的特征数据，作为训练抗原特征向量的特征值； 

(2)训练抗原特征向量标准化的步骤，将训练抗原的特征向量各个特征值标准化为[0，1]间的实数； 

(3)训练抗原的抗原类别标识的步骤，将训练抗原类别根据网络正异常情况标识为0或1，即正常或异常； 

(4)计算训练抗原间的平均距离的步骤，即计算训练抗原间的平均距离。 

上述的一种基于人工免疫原理的网络异常检测方法，其特征是人工免疫系统学习步骤包括以下步骤： 

初始化抗体集和记忆细胞集、抗体细胞克隆和变异、抗体细胞资源竞争、记忆细胞集更新和控制、判断是否继续进行学习等五个步骤。 

上述的一种基于人工免疫原理的网络异常检测方法，其特征是初始化抗体集和记忆细胞集，即随机从训练抗原中挑选出一些抗原加入抗体集合和记忆细胞集合，构成最初的抗体集合和记忆细胞集合。 

上述的一种基于人工免疫原理的网络异常检测方法，其特征是抗体细胞克隆和变异的步骤包括： 

(1)读入一个训练抗原的步骤，读入一个没有学习过的训练抗原； 

(2)寻找匹配记忆细胞的步骤，从记忆细胞集中寻找与正学习抗原同类且刺激最大的记忆细胞作为匹配记忆细胞，如没有同类记忆细胞，则将训练抗原作为匹配记忆细胞并加入记忆细胞集； 

(3)对匹配记忆细胞进行克隆的步骤，对匹配记忆细胞进行复制；