專利名稱:一種基于免疫的動(dòng)態(tài)實(shí)時(shí)網(wǎng)絡(luò)異常檢測(cè)方法
技術(shù)領(lǐng)域:
本發(fā)明涉及數(shù)字信息的傳輸系統(tǒng)�����,具體涉及互聯(lián)網(wǎng)安全系統(tǒng)�����。
背景技術(shù):
隨著互聯(lián)網(wǎng)的快速發(fā)展�,網(wǎng)絡(luò)安全形勢(shì)日益嚴(yán)峻,網(wǎng)絡(luò)攻擊技術(shù)的日新月異對(duì)網(wǎng)絡(luò)監(jiān)控提出了更高的要求����。網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)(Intrusion Detection System, IDS)在網(wǎng)絡(luò)信息安全體系中占有重要地位,近年來已成為網(wǎng)絡(luò)信息安全領(lǐng)域的一個(gè)研究和應(yīng)用熱點(diǎn)�。IDS從技術(shù)上主要分為特征檢測(cè)和異常檢測(cè)兩類。特征檢測(cè)通過已知攻擊特征進(jìn)行檢測(cè)���,檢測(cè)率高�,但缺點(diǎn)是需要人工提取攻擊特征�����,耗費(fèi)大量的人力,且從攻擊發(fā)生到特征提取并更新特征庫期間攻擊可能已經(jīng)造成損失�����。異常檢測(cè)一般通過對(duì)系統(tǒng)的正常行為輪廓進(jìn)行建模����,認(rèn)為偏離正常行為輪廓的行為是異常,其優(yōu)點(diǎn)是與系統(tǒng)無關(guān)����,能有效檢測(cè)未知入侵,并可進(jìn)行自我調(diào)整和優(yōu)化�����,具有較高的靈活性和自適應(yīng)性��,有效地彌補(bǔ)了特征檢測(cè)的不足�����。當(dāng)前�����,越來越嚴(yán)峻的網(wǎng)絡(luò)安全形勢(shì)使異常檢測(cè)的研究更為重要�����,并成為了目前IDS主要的研究和發(fā)展方向����。中國專利公開號(hào)CN101478534中所述的基于人工免疫原理的網(wǎng)絡(luò)異常檢測(cè)方法,首先進(jìn)行訓(xùn)練抗原數(shù)據(jù)收集��,然后是人工免疫系統(tǒng)學(xué)習(xí)��,最后進(jìn)行網(wǎng)絡(luò)異常檢測(cè)����。公開號(hào)CN1777119中所述的方法首先獲取主機(jī)審計(jì)數(shù)據(jù)和網(wǎng)絡(luò)數(shù)據(jù)包數(shù)據(jù)的檢測(cè)數(shù)據(jù)源并將其特征格式化,接著產(chǎn)生檢測(cè)器集合�,最后通過檢測(cè)器集合進(jìn)行異常檢測(cè)。這兩種方法的共同點(diǎn)是先學(xué)習(xí)再檢測(cè)����,難以適應(yīng)復(fù)雜的網(wǎng)絡(luò)形勢(shì)以及高速網(wǎng)絡(luò)實(shí)時(shí)檢測(cè)的需要,另外缺乏有效的信息共享和協(xié)同機(jī)制�����,協(xié)同性較差。公開號(hào)CN101051953公中所述的基于模糊神經(jīng)網(wǎng)絡(luò)的異常檢測(cè)方法���,因?yàn)樾枰A(yù)先對(duì)神經(jīng)網(wǎng)絡(luò)進(jìn)行訓(xùn)練��,訓(xùn)練速度較慢��。從總體上分析�,現(xiàn)有網(wǎng)絡(luò)異常檢測(cè)方法對(duì)檢測(cè)模式描述為一種靜態(tài)方式����,缺乏良好的自適應(yīng)性和協(xié)同性,檢測(cè)率低��,難以滿足大規(guī)模高速網(wǎng)絡(luò)環(huán)境下實(shí)時(shí)檢測(cè)的需求�。
發(fā)明內(nèi)容
本發(fā)明所要解決的技術(shù)問題是提供一種基于人工免疫原理的動(dòng)態(tài)實(shí)時(shí)網(wǎng)絡(luò)異常檢測(cè)方法,該方法借鑒人體免疫系統(tǒng)優(yōu)異的自學(xué)習(xí)自適應(yīng)機(jī)制�,提出一種新的基于免疫的動(dòng)態(tài)實(shí)時(shí)網(wǎng)絡(luò)異常檢測(cè)方法。該方法通過對(duì)記憶細(xì)胞(即檢測(cè)模式)進(jìn)行動(dòng)態(tài)描述(即動(dòng)態(tài)產(chǎn)生及消亡����、動(dòng)態(tài)學(xué)習(xí)、動(dòng)態(tài)自組織)���,結(jié)合抗體細(xì)胞(即候選檢測(cè)模式)動(dòng)態(tài)克隆與淘汰機(jī)制����,實(shí)現(xiàn)檢測(cè)模式隨真實(shí)網(wǎng)絡(luò)環(huán)境同步演化,進(jìn)一步通過免疫種痘及疫苗分發(fā)(即將檢測(cè)模式分發(fā)到其他機(jī)器)���,以進(jìn)行協(xié)同處理,從而提高網(wǎng)絡(luò)異常檢測(cè)的準(zhǔn)確性和及時(shí)性��。本方法具有生物免疫系統(tǒng)的自學(xué)習(xí)����、自適應(yīng)、克隆選擇�����、免疫網(wǎng)絡(luò)和免疫記憶等優(yōu)良特征�,以解決當(dāng)前大規(guī)模網(wǎng)絡(luò)異常檢測(cè)研究中因靜態(tài)檢測(cè)模式描述而引起的檢測(cè)率低、難以實(shí)時(shí)檢測(cè)及協(xié)同性差等關(guān)鍵問題�����,在大規(guī)模安全事件爆發(fā)時(shí)能進(jìn)行快速有效的監(jiān)測(cè)�����,為網(wǎng)絡(luò)防御贏得時(shí)間將起到重要的作用。在詳細(xì)說明之前����,首先定義發(fā)明中使用的一些名詞、符號(hào)以及一些公式
定義待檢抗原集為AG = <d, c>, d表示為抗原基因����,d G D, D =
定義fmatc;h(X,y)表示免疫細(xì)胞或抗原之間的匹配函數(shù)�����,由二者之間的基因通過Euclidean距離��、Manhattan距離等方法計(jì)算�����,匹配函數(shù)取值越小�����,二者越接近����,反之越不匹配�����,如果匹配函數(shù)值大于給定的常數(shù)0 (9為正實(shí)數(shù))�����,則認(rèn)為二者匹配,反之不匹配����。定義協(xié)同刺激fMStimulatim(x)為外部系統(tǒng)輸入的待檢抗原或免疫細(xì)胞的指示信號(hào),0表示正常�����,I為異常���。定義抗體細(xì)胞具有生命周期a��,a為正整數(shù)����,如果某抗體細(xì)胞的生命周期大于a則死亡,即從抗體細(xì)胞集中刪除�����。定義記憶細(xì)胞具有生命周期P^為正整數(shù)����,如果某記憶細(xì)胞的生命周期大于P則死亡,即從記憶細(xì)胞集中刪除��。設(shè)置抗體細(xì)胞和記憶細(xì)胞生命周期的目的是為了限制抗體細(xì)胞和記憶細(xì)胞數(shù)目����。定義匹配閾值Y,Y為正整數(shù)��,如果記憶細(xì)胞的匹配數(shù)大于Y���,則將該記憶細(xì)胞作為疫苗分發(fā)到其它機(jī)器�����。本發(fā)明原理主要通過以下技術(shù)方案來達(dá)到目的��,具體包括待檢抗原數(shù)據(jù)提呈匯總����,記憶細(xì)胞動(dòng)態(tài)演化,抗體細(xì)胞動(dòng)態(tài)克隆與淘汰以及網(wǎng)絡(luò)異常檢測(cè)��。待檢抗原數(shù)據(jù)提呈匯總�����,即以旁路偵聽方式收集單位時(shí)間中網(wǎng)絡(luò)流量特征數(shù)據(jù)�����,具體過程為將網(wǎng)絡(luò)上傳輸?shù)腎P包經(jīng)提呈匯總后�����,形成由TCP協(xié)議輸入數(shù)據(jù)包在總流量中所占的比重�����、ARP協(xié)議輸入數(shù)據(jù)包在總流量中所占的比重��、輸出流量在總流量中所占的比重�、網(wǎng)絡(luò)傳輸速率��、實(shí)時(shí)連接會(huì)話數(shù)目、單位時(shí)間TCP-SYN的報(bào)文數(shù)量�,這些描述網(wǎng)絡(luò)事務(wù)的特征數(shù)據(jù),經(jīng)過標(biāo)準(zhǔn)規(guī)一化處理后形成待檢抗原特征向量的特征值�。記憶細(xì)胞動(dòng)態(tài)演化,即檢測(cè)模式的動(dòng)態(tài)演化過程���,具體包括初始化記憶細(xì)胞集合����,記憶細(xì)胞與待檢抗原匹配����,記憶細(xì)胞與待檢抗原不匹配,待檢抗原加入��,抗體細(xì)胞加入�,免疫種痘與疫苗分發(fā),記憶細(xì)胞死亡�����,記憶細(xì)胞合并等八個(gè)步驟�����。初始化記憶細(xì)胞集,即初始時(shí)刻的記憶細(xì)胞集可為空���,也可由已收集或隨機(jī)產(chǎn)生的異常數(shù)據(jù)集組成�����。對(duì)于t時(shí)刻記憶細(xì)胞集中的記憶細(xì)胞�����,如果其與待檢抗原匹配�����,即二者之間匹配函數(shù)值小于給出正常數(shù)9��,則匹配數(shù)增加1,年齡置0���,反之���,則年齡增加I。如果記憶細(xì)胞集中沒有記憶細(xì)胞與待檢抗原匹配,且協(xié)同刺激指示異常則直接將待檢抗原加入記憶細(xì)胞集中����。如果某抗體細(xì)胞或待檢抗原之間的匹配函數(shù)值小于任一記憶細(xì)胞與待檢抗原的匹配函數(shù)值,且協(xié)同刺激指示為異常�����,則將該抗體細(xì)胞加入記憶細(xì)胞集合中��。免疫種痘與疫苗分發(fā)����,如果某記憶細(xì)胞的匹配數(shù)如果大于給定正整數(shù)Y,則將該記憶細(xì)胞作為疫苗分發(fā)到其他機(jī)器����,同時(shí)接受其他機(jī)器分發(fā)的疫苗,即免疫種痘�。記憶細(xì)胞死亡,即如果某記憶細(xì)胞的生命周期大于正整數(shù)3則死亡�����,即從記憶細(xì)胞集中刪除��。記憶細(xì)胞合并,即將記憶細(xì)胞集中兩兩相匹配且與抗原匹配取值較大的記憶細(xì)胞從記憶細(xì) 胞集合中刪除��,這樣通過記憶細(xì)胞的調(diào)整�,控制記憶細(xì)胞數(shù)目,實(shí)現(xiàn)模型的自組織自維護(hù)性���?���?贵w細(xì)胞動(dòng)態(tài)克隆與淘汰�,即候選檢測(cè)模式的復(fù)制、變異及刪除過程�,具體包括初始化抗體集合,記憶細(xì)胞匹配待檢抗原時(shí)進(jìn)行克隆和變異��,抗體細(xì)胞匹配待檢抗原時(shí)進(jìn)行克隆和變異��,抗體細(xì)胞與待檢抗原不匹配的步驟�����,抗體細(xì)胞的死亡淘汰���,通過混沌隨機(jī)方式生成抗體細(xì)胞等六個(gè)步驟���。初始化抗體集合,即初始時(shí)刻的抗體細(xì)胞集可為空,也可已收集或隨機(jī)產(chǎn)生的表征網(wǎng)絡(luò)異常數(shù)據(jù)集組成。記憶細(xì)胞匹配待檢抗原進(jìn)行克隆和變異��,即記憶細(xì)胞與待檢抗原匹配時(shí)進(jìn)行記憶細(xì)胞復(fù)制形成抗體細(xì)胞�,抗體細(xì)胞年齡置0,并對(duì)其特征值進(jìn)行變異���,然后將其中變異的抗體細(xì)胞加入抗體細(xì)胞集中��??贵w細(xì)胞匹配待檢抗原進(jìn)行克隆和變異�����,即抗體細(xì)胞與待檢抗原匹配時(shí)進(jìn)行抗體細(xì)胞復(fù)制����,將抗體細(xì)胞年齡置0,并對(duì)其特征值進(jìn)行變異���,然后將其中變異的抗體細(xì)胞加入抗體細(xì)胞集中��?��?贵w細(xì)胞與待檢抗原不匹配的步驟����,即如果抗體細(xì)胞與待檢抗原不匹配���,則將抗體細(xì)胞年齡增加I��??贵w細(xì)胞死亡��,即如果某抗體細(xì)胞的生命周期大于正整數(shù)a則死亡����,即從抗體細(xì)胞集中刪除。通過混沌隨機(jī)方式生成抗體細(xì)胞��,即通過Kent混沌映射隨機(jī)產(chǎn)生抗體細(xì)胞�,并加入到抗體細(xì)胞集
由
口卞o網(wǎng)絡(luò)異常檢測(cè),即判斷待檢抗原類別的過程�����,待檢抗原如果與記憶細(xì)胞匹配�,類別為異常�����,否則類別為正常。從檢測(cè)過程可看出���,檢測(cè)的時(shí)空復(fù)雜性與模型中記憶細(xì)胞和抗體細(xì)胞數(shù)目成線性關(guān)系���,因此本發(fā)明具有檢測(cè)速度快的優(yōu)點(diǎn)。
圖I是本發(fā)明的工作流程圖����;圖2是待檢抗原數(shù)據(jù)提呈匯總的過程;圖3是記憶細(xì)胞動(dòng)態(tài)演化的過程��;圖4是抗體細(xì)胞動(dòng)態(tài)克隆與淘汰的過程�;圖5是網(wǎng)絡(luò)異常檢測(cè)的過程。
具體實(shí)施例方式以下結(jié)合附圖詳細(xì)說明本發(fā)明的具體方法��。如圖I所示����,本發(fā)明可概括為待檢抗原數(shù)據(jù)提呈匯總,記憶細(xì)胞動(dòng)態(tài)演化�����,抗體細(xì)胞動(dòng)態(tài)克隆與淘汰以及網(wǎng)絡(luò)異常檢測(cè)四個(gè)部分組成。待檢抗原數(shù)據(jù)提呈匯總��,即以旁路偵聽方式收集單位時(shí)間中網(wǎng)絡(luò)流量特征數(shù)據(jù)��,具體過程為將網(wǎng)絡(luò)上傳輸?shù)腎P包經(jīng)提呈匯總后�,形成由TCP協(xié)議輸入數(shù)據(jù)包在總流量中所占的比重、ARP協(xié)議輸入數(shù)據(jù)包在總流量中所占的比重���、輸出流量在總流量中所占的比重���、網(wǎng)絡(luò)傳輸速率、實(shí)時(shí)連接會(huì)話數(shù)目����、單位時(shí)間TCP-SYN的報(bào)文數(shù)量,這些描述網(wǎng)絡(luò)事務(wù)的特征數(shù)據(jù)�,經(jīng)過標(biāo)準(zhǔn)規(guī)一化處理后形成待檢抗原特征向量的特征值。記憶細(xì)胞動(dòng)態(tài)演化�����,即檢測(cè)模式的動(dòng)態(tài)演化過程,具體包括初始化記憶細(xì)胞集合,記憶細(xì)胞與待檢抗原匹配�,記憶細(xì)胞與待檢抗原不匹配,待檢抗原加入���,抗體細(xì)胞加入��,免疫種痘與疫苗分發(fā),記憶細(xì)胞死亡���,記憶細(xì)胞合并等八個(gè)步驟��。初始化記憶細(xì)胞集����,即初始時(shí)刻的記憶細(xì)胞集可為空���,也可由已收集或隨機(jī)產(chǎn)生的異常數(shù)據(jù)集組成�。對(duì)于t時(shí)刻記憶細(xì)胞集中的記憶細(xì)胞�����,如果其與待檢抗原匹配�����,則匹配數(shù)增加1,年齡置O��,反之���,則年齡增加I��。如果記憶細(xì)胞集中沒有記憶細(xì)胞與待檢抗原匹配�����,且協(xié)同刺激指示異常則將待檢抗原加入記憶細(xì)胞集中�。如果某抗體細(xì)胞或待檢抗原之間的匹配函數(shù)值小于任一記憶細(xì)胞與待檢抗原的匹配函數(shù)值�����,且協(xié)同刺激指示為異常�����,則將該抗體細(xì)胞加入記憶細(xì)胞集合中���。免疫種痘與疫苗分發(fā)��,如果某記憶細(xì)胞的匹配數(shù)如果大于給定正整數(shù)Y����,則將該記憶細(xì)胞作為疫苗分發(fā)到其他機(jī)器,同時(shí)接受其他機(jī)器分發(fā)的疫苗����,即免疫種痘。記憶細(xì)胞死亡�����,即如果某記憶細(xì)胞的生命周期大于正整數(shù)0則死亡��,即從記憶細(xì)胞集中刪除�。記憶細(xì)胞合并�����,即將記憶細(xì)胞集中兩兩相匹配且與抗原匹配取值較大的記憶細(xì)胞從記憶細(xì)胞集合中刪除����,這樣通過記憶細(xì)胞的調(diào)整,控制記憶細(xì)胞數(shù)目�����,實(shí)現(xiàn)模型的自組織自維護(hù)性。
抗體細(xì)胞動(dòng)態(tài)克隆與淘汰����,即候選檢測(cè)模式的復(fù)制、變異及刪除過程�����,具體包括初始化抗體集合����,記憶細(xì)胞匹配待檢抗原時(shí)進(jìn)行克隆和變異,抗體細(xì)胞匹配待檢抗原時(shí)進(jìn)行克隆和變異���,抗體細(xì)胞與待檢抗原不匹配��,抗體細(xì)胞的死亡淘汰��,通過混沌隨機(jī)方式生成抗體細(xì)胞等六個(gè)步驟����。初始化抗體集合�����,即初始時(shí)刻的抗體細(xì)胞集可為空,也可已收集或隨機(jī)產(chǎn)生的表征網(wǎng)絡(luò)異常數(shù)據(jù)集組成�����。記憶細(xì)胞匹配待檢抗原進(jìn)行克隆和變異��,即記憶細(xì)胞與待檢抗原匹配時(shí)進(jìn)行記憶細(xì)胞復(fù)制形成抗體細(xì)胞�,將抗體細(xì)胞年齡置0,并對(duì)其特征值進(jìn)行變異���,然后將其中變異的抗體細(xì)胞加入抗體細(xì)胞集中����?�?贵w細(xì)胞匹配待檢抗原進(jìn)行克隆和變異��,即抗體細(xì)胞與待檢抗原匹配時(shí)進(jìn)行抗體細(xì)胞復(fù)制�,將抗體細(xì)胞年齡置0�����,并對(duì)其特征值進(jìn)行變異,然后將其中變異的抗體細(xì)胞加入抗體細(xì)胞集中���?���?贵w細(xì)胞與待檢抗原不匹配的步驟�����,即如果抗體細(xì)胞與待檢抗原不匹配��,則將抗體細(xì)胞年齡增加I�。抗體細(xì)胞死亡��,即如果某抗體細(xì)胞的生命周期大于正整數(shù)a則死亡�����,即從抗體細(xì)胞集中刪除����。通過混沌隨機(jī)方式生成抗體細(xì)胞,即通過Kent混沌映射隨機(jī)產(chǎn)生抗體細(xì)胞并加入到抗體細(xì)胞集中。網(wǎng)絡(luò)異常檢測(cè)���,即判斷待檢抗原類別的過程���,待檢抗原如果與記憶細(xì)胞匹配��,類別為異常�����,否則為正常�。具體地�����,本發(fā)明提出的一種基于人工免疫原理的動(dòng)態(tài)實(shí)時(shí)網(wǎng)絡(luò)異常檢測(cè)方法包括以下步驟待檢抗原數(shù)據(jù)提呈匯總的步驟�;記憶細(xì)胞動(dòng)態(tài)演化的步驟;抗體細(xì)胞動(dòng)態(tài)克隆的步驟��;網(wǎng)絡(luò)異常檢測(cè)的步驟�。如圖2所示�,待檢抗原數(shù)據(jù)提呈匯總的步驟包括二個(gè)步驟首先收集網(wǎng)絡(luò)流量特征數(shù)據(jù),作為待檢抗原特征向量的特征值��,再將特征值進(jìn)行標(biāo)準(zhǔn)化�,構(gòu)成待檢抗原��,具體步驟如下收集網(wǎng)絡(luò)流量特征數(shù)據(jù)����,構(gòu)成待檢抗原的步驟以旁路偵聽方式獲取單位時(shí)間中TCP協(xié)議輸入數(shù)據(jù)包在總流量中所占的比重��、ARP協(xié)議輸入數(shù)據(jù)包在總流量中所占的比重����、輸出流量在總流量中所占的比重、網(wǎng)絡(luò)傳輸速率����、實(shí)時(shí)連接會(huì)話數(shù)目、單位時(shí)間TCP-SYN的報(bào)文數(shù)量等描述網(wǎng)絡(luò)事務(wù)的特征數(shù)據(jù)��,構(gòu)成待檢抗原特征向量的特征值���。將待檢抗原特征值標(biāo)準(zhǔn)化的步驟將待檢抗原特征向量各特征值采用公式(I)標(biāo)準(zhǔn)化為0和I之間的實(shí)數(shù)��,其中ag. &表示第i個(gè)特征值��,MAXi和MINi分別表示第i個(gè)特征值的理論最大值和理論最小值����。
權(quán)利要求
1.一種基于人工免疫原理的動(dòng)態(tài)實(shí)時(shí)網(wǎng)絡(luò)異常檢測(cè)方法,其特征是通過檢測(cè)模式進(jìn)行動(dòng)態(tài)描述����,即通過記憶細(xì)胞的動(dòng)態(tài)產(chǎn)生及消亡、動(dòng)態(tài)學(xué)習(xí)��、動(dòng)態(tài)自組織��,結(jié)合抗體細(xì)胞動(dòng)態(tài)克隆和淘汰機(jī)制�,實(shí)現(xiàn)檢測(cè)模式隨真實(shí)網(wǎng)絡(luò)環(huán)境同步演化,進(jìn)一步通過免疫種痘及疫苗分發(fā)�,以進(jìn)行協(xié)同處理,從而提高網(wǎng)絡(luò)異常檢測(cè)的準(zhǔn)確性和及時(shí)性��,具體地����,本方法由待檢抗原數(shù)據(jù)提呈匯總、記憶細(xì)胞動(dòng)態(tài)演化���、抗體細(xì)胞動(dòng)態(tài)克隆與淘汰及網(wǎng)絡(luò)異常檢測(cè)四個(gè)步驟組成����,其中記憶細(xì)胞動(dòng)態(tài)演化包括以下八個(gè)子步驟 (1)初始化記憶細(xì)胞集合的步驟����,即初始時(shí)刻的抗體細(xì)胞集可為空,也可已收集或隨機(jī)產(chǎn)生的表征網(wǎng)絡(luò)異常的數(shù)據(jù)組成�; (2)記憶細(xì)胞與待檢抗原匹配的步驟讀入待檢抗原,依次計(jì)算每個(gè)記憶細(xì)胞與待檢抗原匹配函數(shù)值�����,如果匹配函數(shù)值小于給定正常數(shù)����,則記憶細(xì)胞匹配數(shù)增加1,年齡置O ; (3)記憶細(xì)胞與待檢抗原不匹配的步驟記憶細(xì)胞集合中的記憶細(xì)胞如果不與待檢抗原匹配��,則記憶細(xì)胞年齡增加I ; (4)待檢抗原加入記憶細(xì)胞集的步驟如果記憶細(xì)胞集中沒有記憶細(xì)胞與待檢抗原匹配���,且協(xié)同刺激指示異常���,則將待檢抗原加入記憶細(xì)胞集; (5)抗體細(xì)胞加入記憶細(xì)胞集的步驟如果某抗體細(xì)胞或待檢抗原之間的匹配函數(shù)值小于任一記憶細(xì)胞與待檢抗原的匹配函數(shù)值���,且協(xié)同刺激指示為異常���,則將該抗體細(xì)胞加入記憶細(xì)胞集合���; (6)免疫種痘與疫苗分發(fā)的步驟如果某記憶細(xì)胞的匹配數(shù)大于給定的某個(gè)正整數(shù)Y,則將該記憶細(xì)胞作為疫苗分發(fā)到其他機(jī)器��,另外將其它機(jī)器分發(fā)過來的疫苗加入到記憶細(xì)胞集合中���; (7)記憶細(xì)胞死亡的步驟如果某記憶細(xì)胞的生命周期大于正整數(shù)β����,則死亡�����,即從記憶細(xì)胞集中刪除該記憶細(xì)胞��; (8)記憶細(xì)胞合并的步驟即如果記憶細(xì)胞集中存在記憶細(xì)胞兩兩相匹配�����,則將其中與待檢抗原匹配函數(shù)值較大的記憶細(xì)胞從記憶細(xì)胞集合中刪除��。
2.據(jù)權(quán)利要求I所述的一種基于人工免疫原理的動(dòng)態(tài)實(shí)時(shí)網(wǎng)絡(luò)異常檢測(cè)方法��,其特征是待檢抗原數(shù)據(jù)提呈匯總的步驟包括 (1)收集網(wǎng)絡(luò)流量特征數(shù)據(jù),構(gòu)成待檢抗原的步驟��,以旁路偵聽方式獲取單位時(shí)間中TCP協(xié)議輸入數(shù)據(jù)包在總流量中所占的比重�、ARP協(xié)議輸入數(shù)據(jù)包在總流量中所占的比重���、輸出流量在總流量中所占的比重��、網(wǎng)絡(luò)傳輸速率����、實(shí)時(shí)連接會(huì)話數(shù)目����、單位時(shí)間TCP-SYN的報(bào)文數(shù)量,這些描述網(wǎng)絡(luò)事務(wù)的特征數(shù)據(jù)���,構(gòu)成待檢抗原特征向量的特征值���; (2)將待檢抗原特征值標(biāo)準(zhǔn)化的步驟將待檢抗原特征向量各特征值標(biāo)準(zhǔn)化為O和I之間的實(shí)數(shù)。
3.據(jù)權(quán)利要求I所述的一種基于人工免疫原理的動(dòng)態(tài)實(shí)時(shí)網(wǎng)絡(luò)異常檢測(cè)方法��,其特征是抗體細(xì)胞動(dòng)態(tài)克隆與淘汰的步驟包括 (1)初始化抗體細(xì)胞集合的步驟即初始時(shí)刻的抗體細(xì)胞集可為空���,也可已收集或隨機(jī)產(chǎn)生的表征網(wǎng)絡(luò)異常的數(shù)據(jù)組成�; (2)記憶細(xì)胞匹配待檢抗原時(shí)進(jìn)行克隆和變異的步驟即記憶細(xì)胞與待檢抗原匹配時(shí),對(duì)記憶細(xì)胞進(jìn)行復(fù)制形成新的抗體細(xì)胞��,并對(duì)其特征值進(jìn)行變異�,其變異概率按記憶細(xì)胞與待檢抗原之間的匹配函數(shù)值,變異抗體細(xì)胞年齡置O�����,并將其加入到抗體細(xì)胞集合中����;(3)抗體細(xì)胞匹配待檢抗原時(shí)進(jìn)行克隆和變異的步驟,即抗體細(xì)胞與待檢抗原匹配時(shí)���,對(duì)抗體細(xì)胞進(jìn)行復(fù)制形成新的抗體細(xì)胞����,并對(duì)其特征值進(jìn)行變異����,其變異概率按抗體細(xì)胞與待檢抗原之間的匹配函數(shù)值,抗體細(xì)胞年齡置O���,并將其加入到抗體細(xì)胞集合中��; (4)抗體細(xì)胞與待檢抗原不匹配的步驟����,即如果抗體細(xì)胞與待檢抗原不匹配,則將抗體細(xì)胞年齡增加I ; (5)抗體細(xì)胞死亡淘汰的步驟�����,即如果某抗體細(xì)胞的生命周期大于給定的正整數(shù)α則死亡�,即將該抗體細(xì)胞從抗體細(xì)胞集中刪除���; (6)通過混沌方式隨機(jī)生成抗體細(xì)胞的步驟�,即通過Kent混沌映射隨機(jī)產(chǎn)生新的抗體細(xì)胞特征值�,并設(shè)置其年齡置O,構(gòu)成新的抗體細(xì)胞�����,生成抗體細(xì)胞的數(shù)量為正整數(shù)�����,并將其加入到抗體細(xì)胞集合中。
4.據(jù)權(quán)利要求I所述的一種基于人工免疫原理的動(dòng)態(tài)實(shí)時(shí)網(wǎng)絡(luò)異常檢測(cè)方法�����,其特征是網(wǎng)絡(luò)異常檢測(cè)的步驟包括 (1)讀入待檢抗原的步驟�,即讀入一個(gè)待檢測(cè)的抗原; (2)計(jì)算待檢抗原與記憶細(xì)胞匹配函數(shù)值的步驟即計(jì)算待檢抗原與所有記憶細(xì)胞之間的匹配函數(shù)值���; (3)判斷待檢抗原類別的步驟��,即根據(jù)計(jì)算出的匹配函數(shù)值���,判斷待檢抗原是否與任一記憶細(xì)胞匹配,匹配則類別為異常�����,如果均不匹配則根據(jù)協(xié)同刺激判斷待檢抗原類別�,協(xié)同刺激指示為異常則待檢抗原類別為異常,否則為正常�。
全文摘要
本發(fā)明提出了一種基于人工免疫原理的動(dòng)態(tài)實(shí)時(shí)網(wǎng)絡(luò)異常檢測(cè)方法,屬于信息安全領(lǐng)域�����。本方法借鑒人體免疫系統(tǒng)優(yōu)異的自學(xué)習(xí)自適應(yīng)機(jī)制,提出一種新的基于免疫的動(dòng)態(tài)實(shí)時(shí)網(wǎng)絡(luò)異常檢測(cè)方法�。該方法通過對(duì)檢測(cè)模式進(jìn)行動(dòng)態(tài)描述(即動(dòng)態(tài)產(chǎn)生及消亡、動(dòng)態(tài)學(xué)習(xí)����、動(dòng)態(tài)自組織),結(jié)合抗體細(xì)胞動(dòng)態(tài)克隆原理��,實(shí)現(xiàn)檢測(cè)模式隨真實(shí)網(wǎng)絡(luò)環(huán)境同步演化�����,進(jìn)一步通過免疫種痘及疫苗分發(fā)����,以進(jìn)行協(xié)同處理���,從而提高網(wǎng)絡(luò)異常檢測(cè)的準(zhǔn)確性和及時(shí)性����。本發(fā)明有助于解決當(dāng)前大規(guī)模網(wǎng)絡(luò)異常檢測(cè)研究中因靜態(tài)檢測(cè)模式描述而引起的檢測(cè)率低�����、難以實(shí)時(shí)檢測(cè)及協(xié)同性差等關(guān)鍵問題,在大規(guī)模安全事件爆發(fā)時(shí)進(jìn)行快速有效的監(jiān)測(cè)���,為網(wǎng)絡(luò)防御贏得時(shí)間將起到重要的作用�。
文檔編號(hào)H04L29/06GK102638466SQ20121008891
公開日2012年8月15日 申請(qǐng)日期2012年3月29日 優(yōu)先權(quán)日2012年3月29日
發(fā)明者劉浩懷, 彭凌西, 熊偉, 謝冬青 申請(qǐng)人:廣州大學(xué)