[发明专利]基于免疫多目标约束的否定选择入侵检测方法

说明书

技术领域

本发明属于网络技术领域，涉及网络安全，也是人工免疫系统在网络安全领域中的应用，具体的说是一种基于免疫多目标约束的否定选择入侵检测方法，可用于网络环境中对数据的检测。

背景技术

伴随着信息时代的到来，电子商务，电子政务以及网络广泛应用于人们的日常生活中，人类进入了信息化社会。然而在各领域得益于网络间急剧膨胀的信息量、开放的资源、共享的信息时，系统数据的安全性也必然受到严重的威胁。如今我们常用的安全技术主要有防火墙、防病毒软件、用户认证、加密技术以及入侵检测系统。其中，入侵检测系统是一套实时监控计算机系统中发生的事件，并能按照一定规则进行安全审计的软件或硬件系统。而这些事件主要包括内部攻击、外部攻击和误用操作。

根据检测数据，入侵检测可以分成主机型和网络型。主机型的入侵检测系统主要是通过审计分析主机数据来检测攻击，而网络型入侵检测系统则担负着保护一个网段的任务，其检测数据来源于网络上的原始数据包。根据检测技术，入侵检测系统可以分为误用检测和异常检测。其中，误用检测是通过对已知的入侵行为的建模来检测新的用户行为。这种方法产生的误检率很小，但是需要不断的更新攻击特征库，系统适应性较差。而异常检测是对正常行为建模，所有不符合这个模型的行为都被怀疑为攻击行为。其操作方法是先在一定时期内收集计算机系统中的正常操作数据，建立正常行为的模型库。然后在收集实时数据，并通过一定的规则检验当前行为是否偏离了正常行为的模式。这种方法的误检率较高，但是可以在没有特定先验知识的情况下检测出未知攻击行为，系统适应性较高。目前异常检测的方法主要有：统计方法神经网络、阈值检测和人工免疫等。

随着对入侵检测技术研究的深入，学者们发现生物免疫系统与入侵检测系统具有相似性：免疫系统保护生物体免受外来病原体的侵害，正如入侵检测系统保护计算机免受外来入侵行为的侵害；它们都需要在不断变化的环境中维持系统的稳定性。生物免疫系统中分布的、灵活的、自适应的和鲁棒的解决方式正是计算机安全领域所期望得到的。

1994年，美国University of New Mexico的Forrest等人首次提出基于免疫耐受机的模型，即否定选择算法，并首次应用于入侵检测系统中。否定选择算法只需要用正常样本作为先验知识，类似于异常检测的方法。否定选择算法主要基于生物免疫系统中自己非己的识别机制，根据免疫系统中胸腺T细胞成熟过程建模。若任一胸腺T细胞检测到自己样本，则停止分化，失去最终成为成熟T细胞的资格。同样，在否定选择算法中只有从未检测到正常样本的检测器才有可能发展成为一个成熟的检测器，并用来检测外来样本。免疫机制使未出现过的入侵行为仍然可以被检测到，且敏感性更高，反应更快。就其发展而言，否定选择算法从二进制表现型发展到实数表现型，匹配准则也相应的从rcb匹配准则发展到欧氏距离匹配准则，检测器的表示形式也从固定大小模式发展到可变大小的模式。

在工程应用中，为了更有效的检测异常行为，对否定选择算法的期望主要有：1、生成的检测器集合能够尽可能多的覆盖异常区域，以便提高检测的准确性；2、尽可能减少所需要的检测器个数，减少资源的消耗。然而这两个期望是相互矛盾的，增加异常区域的覆盖率必然引起检测器个数的增加。在2003年，Fabia Gonzalez用单目标优化模拟退火的方法实现了固定大小检测器的分布优化，可使固定数目的检测器获得较优的分布，尽可能的满足工程应用中的期望，提高了算法效率。然而对于可变大小的检测器，每一个检测都由中心和半径两个要素组成，且每个要素都影响着检测器的分布情况，因此单目标优化算法已经难以满足优化分布的需要，造成可变大小检测器在数目一定的情况下分布不均，覆盖不全面，继而造成检测率无法有效的提高。

发明内容

本发明的目的在于克服上述已有技术的不足，提出一种基于免疫多目标约束的否定选择入侵检测方法，以实现在保证检测数目一定的前提下，优化检测器分布情况，使其均匀分布，满足工程应用中的期望，从而提高检测率。

实现本发明目的的技术思路是：提取计算机主机或网络系统中的正常操作进程数据作为训练样本，建立正常样本模型库并以此来生成初始检测器集合，通过多目标约束优化的方法，合理规划检测器的分布状况，提高检测效率。其技术方案包括以下步骤：

(1)用原始实值否定选择方法产生初始检测器集合，作为父代检测器集合，并设置运行参数以及终止条件，其中运行参数主要包括：正常样本的半径r_s∈[0，0.1]、最高迭代次数time∈[0，50]、控制基因和期望覆盖率c₀≥90％；