[发明专利]基于自体半径可变的否定选择入侵检测方法

说明书

技术领域

本发明属于网络技术领域，涉及网络安全，也是人工免疫系统在网络安全领域中的应用，具体的说是一种基于自体半径可变的否定选择的入侵检测方法，可用于网络数据分析，及时识别网络通信状态是否异常。

背景技术

伴随着信息时代的到来，电子商务，电子政务以及网络广泛应用于人们的日常生活中，人类进入了信息化社会。然而在各领域得益于网络间急剧膨胀的信息量、开放的资源、共享的信息时，系统数据的安全性也必然受到严重的威胁。如今我们常用的安全技术主要有防火墙、防病毒软件、用户认证、加密技术以及入侵检测系统。其中，入侵检测系统是一套实时监控计算机系统中发生的事件，并能按照一定规则进行安全审计的软件或硬件系统。而这些事件主要包括内部攻击、外部攻击和误用操作。

根据检测数据，入侵检测可以分成主机型和网络型。主机型的入侵检测系统主要是通过审计分析主机数据来检测攻击，而网络型入侵检测系统则担负着保护一个网段的任务，其检测数据来源于网络上的原始数据包。根据检测技术，入侵检测系统可以分为误用检测和异常检测。其中，误用检测是通过对已知的入侵行为的建模来检测新的用户行为。这种方法产生的误检率很小，但是需要不断的更新攻击特征库，系统适应性较差。而异常检测是对正常行为建模，所有不符合这个模型的行为都被怀疑为攻击行为。其操作方法是先在一定时期内收集计算机系统中的正常操作数据，建立正常行为的模型库。然后在收集实时数据，并通过一定的规则检验当前行为是否偏离了正常行为的模式。这种方法的误检率较高，但是可以在没有特定先验知识的情况下检测出未知攻击行为，系统适应性较高。

随着对入侵检测技术研究的深入，学者们发现生物免疫系统与入侵检测系统具有相似性：免疫系统保护生物体免受外来病原体的侵害，正如入侵检测系统保护计算机免受外来入侵行为的侵害；它们都需要在不断变化的环境中维持系统的稳定性。生物免疫系统中分布的、灵活的、自适应的和鲁棒的解决方式正是计算机安全领域所期望得到的。

否定选择算法NSA作为一种基于人体免疫系统的仿生学算法，被广泛的应用于异常数据检测领域，它是从人体对抗外界病毒时，免疫系统的工作机理中受到启发，形成了NSA的基本框架，其应用于异常网络数据检测的基本原理可被描述如下：

将已知的正常网络行为作为自体集合，在训练阶段，让随机产生的检测器经历一个类似于自我耐受过程的否定选择过程，即让产生的检测器也称为候选检测器与自体集合的所有模式按照一定的匹配规则进行匹配试验，丢弃与自体集合匹配的候选检测器，而那些不与自体集合匹配的候选检测器则作为有效检测器。因此，有效检测器就是一个非自体模式，由这些有效检测器构成的集合称为检测系统的检测器。在测试阶段，使用检测器来检测所有的模式，这些模式是从流经网络的数据分组中抽象提取出来的。一旦检测器中的某个检测器与待检模式发生匹配，就表明检测到某个非自体模式，就会向系统发出警报。

在工程应用中，为了更有效的检测异常行为，对否定选择算法的期望主要是让在自体区域之外生成的检测器集能够尽可能多的覆盖异体空间，以便提高检测的准确性，然而固定半径的自体集所覆盖的自体区域，并不能很好的表述自体空间，这样就使NSA生成的检测器集不能很好的覆盖异体空间，造成了NSA用于网络入侵检测时，检测效果较差，即正检率较低，误报率较高的问题。

发明内容

本发明的目的在于克服上述已有技术的不足，提出一种基于自体半径可变的否定选择入侵检测方法，以实现用少量的训练数据，对网络入侵行为进行检测，提高正检率，降低误报率。

本发明的技术方案是：通过对自体设置可变的半径，使自体区域能够更好的表述自体空间，从而使在自体区域外生成的检测器集能够更好的覆盖异体空间，提高检测效果。具体实现步骤如下：

(1)对作为入侵检测的KDD99数据集作如下预处理：

1a)对于每一维文本特征，将其包含的各种取值类型依次赋整数值转化为数值特征；

1b)对所有的数值特征利用如下公式进行归一化：