[发明专利]基于自体集规模约束的网络入侵免疫检测方法

说明书

技术领域

本发明属于网络安全领域，具体涉及一种基于自体集规模约束的网络入侵免疫检测方法。

背景技术

企业内部网络遭受攻击的情况防不胜防，使企业深受网络入侵的困扰。尽管目前国内外已开发了各类入侵检测系统，但是，在核心算法方面、在有效性、自适应性等方面以及在检测率方面仍存在较多的问题，这也是国内外专家仍然不懈地致力于开拓新思路的主要原因。基于生物免疫的人工免疫系统在近几年得到迅速发展，由于它具有的分布性、多样性、鲁棒性、适应性和特异识别等特性，正是入侵检测系统所希望具有的特性，因此一些免疫机制和免疫算法被用来实现入侵检测。

人工免疫系统是基于对生物免疫系统的研究而建立起来的一种仿生模型，生物免疫系统与入侵检测的功能非常相似。生物免疫系统的功能是保护肌体免受病毒的侵害，入侵检测系统的目的是保护计算机或网络系统免受计算机病毒的侵害。从信息处理的角度来看，生物免疫系统具备强大的识别、学习和记忆的能力及分布式、自组织和多样性特性，这些显著的特性使得人工免疫理论具有很大的魅力。国内外的著名学者对此进行了研究并发表了大量论著，提出了很多算法，建立了很多基于人工免疫算法的网络入侵检测模型。目前的免疫算法主要包括克隆选择算法、阴性选择算法、免疫遗传算法，在此基础产生了很多改进的算法。

虽然人工免疫在应用于入侵检测系统的研究中已经提出了很多理论成果及研究方法，但到目前为止还没有相关的基于人工免疫的入侵检测产品，这是由于自体集用于入侵检测系统的局限性导致的：第一，在建构检测器时不能决定选择基于自体集还是异体集，自体集一般过大导致不容易匹配，会增加系统的运载负荷，而异体集则缺乏检测未知入侵的能力；第二，对于某些特定的防护对象需要搜集的异体集数据量比自体集还要大；第三，传统的自体集匹配时是基于位匹配，这样导致系统的计算量过大，难以实现。

发明内容

本发明解决的技术问题是克服现有技术的不足，提供了一种能够减小自体集规模，极大减小数据匹配运算量，提高自体集匹配速率的基于自体集规模约束的网络入侵免疫检测方法。

为解决上述技术问题，本发明的技术方案如下：

一种基于自体集规模约束的网络入侵免疫检测方法，包括如下步骤：

（1）构建自体集，其具体步骤包括：

（11）搜集网络数据，将网络数据依次流过N层多叉树提取网络数据的N个特征属性并存储在N层多叉树中；

（12）根据特征属性将网络数据内容进行切分，获得N个不等长数据段作为N个数据记录存储到文件，提取各个数据段对应的特征属性值K_i,j存储在N层多叉树结构中，其中，0＜i≤N, 0≤j＜J_i, J_i为第i层特征属性的个数，不等长数据段在文件中的地址和特征属性值在多叉树结构中的地址进行映射，形成系统的自体集；

（2）对网络数据进行入侵免疫检测，其具体步骤包括：

（21）将网络数据包按多叉树的各层特征属性进行分类，提取网络数据包的特征属性值；

（22）将网络数据包的特征属性值按按层依次跟自体集中的特征属性值匹配，对匹配不成功的网络数据包进行异常处理，匹配成功的网络数据包进入自体集的文件中与文件中的数据记录进行匹配，与自体集文件中的数据记录匹配不成功的网络数据即为入侵数据。

本发明在构建自体集时将大规模网络数据按特征属性分成N个不等长的小块数据段，将这N个特征属性和数据段对应的特征属性值提取出来并映射到N层多叉树中，网络数据进行匹配时按N个特征属性层层匹配，减少系统的运算量，实现网络流量包的快速定位。 

上述方案中，所述步骤（11）中利用抓包工具搜集网络数据，通过提取网络数据的有用字段获得N个特征属性。

上述方案中，多叉树中特征属性和特征属性值的具体存储方式为：