[发明专利]一种基于改进免疫网络算法的入侵检测方法及其应用

说明书

本发明属于入侵检测技术领域，具体提供一种基于改进免疫网络算法的入侵检测方法及其应用，其中方法包括：S1，初始化抗体群；S2，计算抗原和抗体的亲和度；S3，寻找亲和度最高且不同类的一对抗原，称为对偶抗原；S4，进行边界抗体集C判别；S5，进行邻居抗体集判别；S6，淘汰后的抗体依据亲和度克隆、变异来更新抗原所属子网络；S7，计算边界抗体集C内的抗体和对偶抗原内抗体的平均亲和度，将边界抗体集C内亲和度高的抗体放入抗原所属子网络中；S8，网络抑制、简化网络，输出结果网络子集。该方案具有较高的检测准确率和较低的误警率。降低了训练集边界较模糊时对算法性能的负面影响，尤其适合应用在入侵检测系统中检测未知攻击。

技术领域

本发明涉及入侵检测技术领域，更具体地，涉及一种基于改进免疫网络算法的入侵检测方法及其应用。

背景技术

入侵检测(Intrusion Detection)是对那些企图破坏计算机或者计算机网络机密性、完整性、安全性等特征进行识别的过程。入侵检测的实质是通过对计算机主机或者计算机网络关键信息的分析，提取其中主要特征，与基础通用的计算机模式做相应对比，然后做出智能判断。

入侵检测技术包括误用检测和异常检测，误用检测技术需要事先建立入侵行为特征库，入侵检测时采用特征匹配的方法确定是否存在入侵行为；异常检测技术需要事先通过训练数据集建立正常行为模型，入侵检测时根据是否明显偏离正常模型判断是否存在入侵行为。在建立入侵行为特征库或正常行为特征库时，要求算法能够处理海量、异构、混合属性的数据，与数据分布无关，算法自适应、自学习性能好。因此，常见的应用于入侵检测中的方法包括：人工免疫系统的系列算法、神经网络、群智能算法、聚类算法等。

目前主要的入侵检测问题解决方法缺陷如下：

(1)传统聚类算法，如K-MEDOIDS、K-MEANS、EM、BIRCH应用在入侵检测系统时，一般只对小样本有效、可拓展性差，并且对初始化数据敏感、依赖聚类原型，容易陷入局部最优。

(2)神经网络等群智能算法，虽然有较好的可拓展性，但是无法有效的处理边界数据和噪声数据，在面对复杂多变的网络环境时，经常发生漏报、误报等现象。

(3)传统人工免疫算法有一定的自适应性，但是处理效率较低，实时性不高，并且局限于传统算法的特性不能从大量数据中提取到有效特征，导致入侵检测系统检测准确率不高。具体地，人工免疫识别模型中的传统免疫网络算法应用在入侵检测系统中还存在以下不足：

(a)如果数据子集的边界比较模糊，或者样本集本身存在噪声，这种特殊的抗原会极强的刺激免疫反应，引起细胞增殖，导致进化的网络出现结构不清晰的问题；

(b)免疫网络结构复杂，训练效率低。

发明内容

本发明需要解决的是现有技术中存在的传统免疫网络算法在解决入侵检测问题时，当训练集信息噪音过大或边界模糊，抗原信息的初始化呈递不能很好的指导训练过程的技术问题。

本发明提供了一种基于改进免疫网络算法的入侵检测方法，包括以下步骤：

S1，初始化抗体群，作为待训练网络抗体子集即抗体集B；

S2，计算抗原和抗体的亲和度；

S3，寻找亲和度最高且不同类的一对抗原，称为对偶抗原；

S4，进行边界抗体集C判别，若待训练网络抗体子集中的抗体与某一对偶抗原的亲和度差值的绝对值小于阈值R，则将该抗体放入边界抗体集；

S5，进行邻居抗体集判别，若待训练网络抗体子集中的抗体和任一抗原的亲和度小于阈值M，则将该抗体淘汰，否则将该抗体放入亲和度最高的抗原所属子网络中；

S6，淘汰后的抗体依据亲和度克隆、变异来更新所述抗原所属子网络；