[发明专利]一种基于改进免疫网络算法的入侵检测方法及其应用

权利要求书

1.一种基于改进免疫网络算法的入侵检测方法，其特征在于，包括以下步骤：

S1，初始化抗体群，作为待训练网络抗体子集即抗体集B；

S2，计算抗原和抗体的亲和度；其中，所述抗原表示各种类型的网络流量数据，包括攻击数据与正常数据，抗体表示训练好的检测器；

具体地，待处理的训练集为抗原集AG＝{ag₁,ag₂,…,ag_i}，算法初始化产生的抗体集B＝{b₁,b₂,…,b_i}；

抗原与抗体之间的相似程度用抗原抗体之间的亲和度表示，亲和度用抗原集AG＝{ag₁,ag₂,…,ag_i}和抗体集B＝{b₁,b₂,…,b_i}之间的欧式距离表示，抗原抗体亲和度公式为：

S3，寻找亲和度最高且不同类的一对抗原，称为对偶抗原；具体地，对于抗原ag_i∈AG，确定距离ag_i距离最近的不同类抗原ag_j，则ag_i与ag_j互为对偶抗原，对于D_ik为b_k与ag_i的亲和度，D_jk为b_k与ag_j的亲和度；

S4，进行边界抗体集C判别，若待训练网络抗体子集中的抗体与某一对偶抗原的亲和度差值的绝对值小于阈值R，则将该抗体放入边界抗体集；具体地，如果|D_ik-D_jk|R，则将b_k放入边界抗体集C，C∈B；

S5，进行邻居抗体集判别，若待训练网络抗体子集中的抗体和任一抗原的亲和度小于阈值M，则将该抗体淘汰，否则将该抗体放入亲和度最高的抗原所属子网络中；

S6，淘汰后的抗体依据亲和度克隆、变异来更新所述抗原所属子网络；具体地，针对抗原和抗体之间的亲和度，选择当前候选抗体集B中亲和度最高的前n个进行克隆，对抗体b_i的克隆数量满足以下公式：

其中，a和b均为常数，且a0，max_clone为最大克隆数；

在变异操作中，亲和度越高的抗体变异的概率最小，以此来保留较准确的攻击类型特征，变异算子如下：

其中，operator(σ,bi)是抗体bi与间隔为σ的邻居抗体进行交叉变异，σ根据抗体亲和度的大小进行取值，当抗体亲和度足够大时，σ等于1；

S7，计算边界抗体集C内的抗体和对偶抗原内抗体的平均亲和度，将边界抗体集C内亲和度高的抗体放入所述抗原集中；

S8，网络抑制、简化网络，输出结果网络子集。

2.根据权利要求1所述的基于改进免疫网络算法的入侵检测方法，其特征在于，所述S1具体包括：选取CSE-CIC-IDS2018数据集作为待训练网络抗体子集，包括僵尸网络Botnet、网络内部渗透Infiltration of The Network from Inside、暴力攻击Brute-force、拒绝服务Dos和分布式拒绝服务DDos这5种攻击场景的数据，并对该CSE-CIC-IDS2018数据集进行各维特征平均化和PCA降维处理。

3.根据权利要求1所述的基于改进免疫网络算法的入侵检测方法，其特征在于，所述S5具体包括：对于抗体集B＝{b₁,b₂,…,b_i}，中的抗体b_x，若b_x与抗原集AG＝{ag₁,ag₂,…,ag_i}中的所有抗原亲和度小于M，将b_x淘汰，否则将b_x归入与其亲和度最高的抗原所属子网络中。