[发明专利]基于动态覆盖机制的检测器培育算法

摘要

本发明提供一种基于动态覆盖机制的检测器培育算法，本算法产生的检测器具有状态变化和生命值，入侵检测系统中的检测器集合将随时间而动态变化；通过异常检测情况来改变生命值，最终实现检测器的有效性筛选；在检测器培育阶段，由于检测器的最大最小亲和力值是通过同所有正常样本进行比较而设定的，检测器能自动适应正常样本的变化。采用本方法使入侵检测系统能自动适应网络系统特征和入侵行为的动态变化，检测器能实时更新，降低漏报率和误报率。

主权项

一种基于动态覆盖机制的检测器培育算法，其特征在于：它包括以下步骤：步骤（1）、参数初始化，设定算法参数：包括最大检测次数，检测器生命值，生命值调整参数；步骤（2）、采用公开的网络正常样本产生第一临时检测器集合；步骤（3）、对待检测的网络行为进行采集编码得到向量v，采用有效检测器集合对该网络行为进行检测，如果有效检测器集合为空，则进入下一步，如果其中某有效检测器检测到异常，则改变入侵检测频率值，并增加该有效检测器的生命值，增加值为异常数量*生命值调整参数，如果未检测到异常，则将该有效检测器的生命值减1，并进行下一步，若某有效检测器的生命值为0，则将生命值为0的有效检测器从有效检测器集合中移除；步骤（4）、采用第一临时检测器集合进行检测，如果其中某临时检测器检测到异常，则改变入侵检测频率值，并将该临时检测器加入到有效检测器集合中，然后增加该检测器的生命值，增加值为异常数量*生命值调整参数*入侵检测频率值，如果未检测到异常，则进行下一步；步骤（5）、繁殖临时检测器集合：以目前所有临时检测器集合以及有效检测器集合中异常距离最大的检测器为父代，通过亲和力繁殖产生第二临时检测器集合，繁殖的后代数量正比于（异常距离值+异常数量）；步骤（6）、采用第二临时检测器集合进行检测，如果其中某临时检测器检测到异常，则改变入侵检测频率值，并将该临时检测器加入到有效检测器集合中，然后增加该检测器的生命值，增加值为异常数量*生命值调整参数*入侵检测频率值，如果未检测到异常，则进行下一步；步骤（7）、随机产生第三临时检测器集合，并采用第三临时检测器集合进行检测，如果其中某临时检测器检测到异常，则改变入侵检测频率值，并将该临时检测器加入到有效检测器集合中，然后增加该检测器的生命值，增加值为异常数量*生命值调整参数*入侵检测频率值；步骤（8）、如果未检测到异常，则回到步骤（5），直到向量v的检测次数达到设定的最大检测次数时，还未检测出异常，则认为该网络行为正常，并将向量v加入到正常样本库。