[发明专利]一种基于三重实值否定选择的入侵检测方法

摘要

发明公开了一种基于三重实值否定选择的入侵检测方法，属于网络信息安全领域。本发明模拟生物体内的免疫机制，将自身正常行为数据作为自体集，首先将候选检测器与成熟检测器集合中的个体进行匹配，若匹配失败，候选检测器将成为入围检测器；然后，再使用训练后的自体集对入围检测器进行检测，其中与训练自体集无交集的入围检测器将成为成熟检测器集合中的元素；最后，将对成熟检测器集合中的元素进行整合和优化。本发明解决了目前入侵检测过程中黑洞数量过多、成熟检测器集合规模过大以及检测效率偏低的问题，能够在提高检测能力的同时压缩了成熟检测器集合规模，有助于推动入侵检测理论的发展，具有很好的应用价值。

主权项

1.一种基于三重实值否定选择的入侵检测方法，其特征在于，包括如下步骤：S1，候选检测器与成熟检测器集合中的个体进行匹配；S2，训练自体集针对入围检测器进行检测；S3，成熟检测器集合的整合与优化；所述步骤S1具体为：S11，随机生成一个候选检测器Xi；S12，计算Xi中心与成熟检测器中每个检测器间的距离；S13，判断距离值是否大于成熟检测器中每一个检测器的半径；在距离值大于成熟检测器中每一个检测器的半径的情况下，该候选检测器将成为入围检测器；否则将该候选检测器删除；所述步骤S2具体为：S21，训练一组自体集self；S22，计算入围检测器Xi中心与自体集self中每一个自体的距离；S23，判断距离值是否大于自体集self中每一个自体的半径；在距离值大于自体集self中每一个自体的半径的情况下，入围检测器成为成熟检测器集合中的元素；否则将该入围检测器删除；所述步骤S3具体为：S31，选取成熟检测器集合中的某一个检测器作为基准；S32，比较其它检测器与基准检测器中心之间的距离，并根据不同的距离值对成熟检测器集合进行整合和优化；S33，判断成熟检测器集合中的所有检测器是否均被讨论；在成熟检测器集合中的所有检测器均被讨论的情况下，结束优化；否则循环执行步骤S32；所述步骤S32具体包括：S321，选取成熟检测器集合中的检测器Di作为基准检测器；S322，计算检测器Di与成熟检测器集合中其它检测器Dj(j≠i)间的距离dis(Di,Dj)；S323，若dis(Di,Dj)≤|RDi‑RDj|，则检测器间存在“包含”情况，从成熟检测器集合中删除半径较小的检测器个体；否则，转向步骤S324；其中，RDi与RDj分别表示基准检测器Di与其它检测器Dj的半径；S324，若dis(Di,Dj)>RDi+RDj，则检测器间存在“分离”情况，以基准检测器Di与其它检测器Dj中心位置连线的中点作为圆心，以dis(Di,Dj)‑(RDi+RDj)作为半径构建新检测器D(new)k，并删除检测器Dj；特殊地，若dis(Di,Dj)‑(RDi+RDj)若max(β,γ)≥π/3且β≥γ，则删除检测器Di；若max(β,γ)≥π/3且β<γ，则删除检测器Dj；否则，保持检测器Di，Dj不变。