基于免疫原理的實值編碼入侵檢測系統(tǒng)研究.pdf

1、目前在信息安全中檢測未知入侵行為變得越來越重要，傳統(tǒng)異常入侵檢測模型存在正常特征簡檔更新、動態(tài)實時檢測、分布式檢測等困難。新興的基于生物免疫系統(tǒng)原理的入侵檢測為解決傳統(tǒng)異常入侵檢測面臨的諸多難題提供了新的途徑。但現(xiàn)有免疫入侵檢測技術還處于初期階段。 詳細研究二進制編碼免疫入侵檢測系統(tǒng)，提出了該類系統(tǒng)檢測器集的改進算法，縮減了檢測器集的冗余信息量。然而二進制編碼及rcb匹配規(guī)則無法有效地處理長串模式，不能適應眾多特征屬性下的入侵檢

2、測，難以勝任動態(tài)變化環(huán)境下的實時檢測。為此，提出基于實值編碼的免疫入侵檢測方法，做了如下研究和創(chuàng)新性工作。 首次較系統(tǒng)地將實值編碼移植到免疫入侵檢測中，定義了self集合的表示、檢測器的表示，建立超球體和超矩形兩種模型，提出新的檢測器生成方法--多峰值進化，訓練可變覆蓋范圍的檢測器，特定的適應度函數使檢測器盡量填充self附近以及self實體之間的細小檢測空洞，解決了在巨大的模式空間中隨機生成法不能有效覆蓋non-self區(qū)域的

3、不足。分析實值編碼的檢測粒度特性，獲得歸一化時采用的最大值越小，信息損失越小，檢測粒度越好的結論。 構建了超球體和超矩形系統(tǒng)，實驗結果顯示，在DARPA99網絡數據集、機器學習Wine數據集上，超球體系統(tǒng)在檢測率、誤報率、non-self區(qū)域覆蓋的均勻程度、不完備訓練集的適應力、算法穩(wěn)定性、訓練時間代價等方面均優(yōu)于超矩形系統(tǒng)；多峰值進化生成法在檢測率、non-self區(qū)域覆蓋的均勻程度、算法穩(wěn)定性等方面均優(yōu)于隨機生成法；隨機生成

4、法不適用于13維的Wine數據集。多峰值進化超球體系統(tǒng)在KDD Cup’99數據集上進行了實驗，驗證了該系統(tǒng)能較好地適應高維數檢測，得出算法的時間代價和模式維數、訓練集大小都近似成線性關系的結論。 提出了利用數據的分布特性提高多峰值進化超球體系統(tǒng)檢測精確度的方法和途徑。首先建立高斯概率模型描述數據空間中模式的分布，定義聚簇等級參數表征數據點聚集成簇的程度；提供了根據特定聚簇等級生成合成數據集的方法；研究了實際數據集的聚簇特性。實

5、驗結果顯示，聚簇特性越好(聚簇等級小)的數據集，檢測能力越好；增加檢測器數目或者降低容忍等級可以一定程度上補償差的聚簇特性。 在此基礎上，提出了擴展的self空間超球體構造模型—可變半徑self球體模型(VRSSM)，根據聚簇情況模式空間區(qū)域實施不同的容忍等級，在檢測器訓練過程中各個self超球體將具有不同的半徑，提高了self/non-self界線劃分的精確度。分析表明總體檢測能力受數據聚簇特性和正常-異常間的平均屬性偏移影響

6、，VRSSM模型的性能則受到聚簇形狀和數據點密度差異等客觀因素的影響。實驗結果顯示合成數據集和DARPA99數據集符合VRSSM模型的假設，該模型提高了檢測率，降低了誤報率。 建立了多峰值進化超球體系統(tǒng)動態(tài)實時檢測機制，包括強化的初始化訓練機制，提高入侵行為高發(fā)區(qū)域覆蓋率的克隆選擇和基因庫機制，在檢測器集不斷更新過程中仍然能識別遇到過的入侵行為的免疫記憶機制。提出了VRSSM的動態(tài)擴展模型(Dynamic VRSSM)。該模型用

7、正向記憶標定正常行為密集區(qū)域，實時計算不同區(qū)域的容忍等級。分析指出，實際網絡入侵檢測系統(tǒng)激活閾值設定為1較合適?？寺€體超變異的概率過高過低都對檢測不利，通過實驗可找到較佳數值。網絡數據集(DARPA99和KDD Cup’99)上的仿真測試結果，驗證了動態(tài)實時檢測機制的有效性；驗證了Dynamic VRSSM模型的正確性。 結合分布式耐受和集中式耐受機制，提出了一個分布式協(xié)作體系結構原型。集成了實值編碼超球體空間表達、多峰值進化