[发明专利]基于模糊免疫理论的网络入侵检测方法

权利要求书

1.一种基于模糊免疫理论的网络入侵检测方法，其特征在于，所述方法包含如下步骤：

步骤1：构造一定数目的训练样本集；

步骤2：对数据进行标准化处理；

步骤3：利用模糊c-均值方法对处理过的训练数据进行聚类分析；

步骤4：生成检测入侵行为的检测器，再由免疫进化算法生成成熟的检测器；

步骤5：利用成熟的检测器对网络访问数据进行检测；

步骤6：若检测数据为正常模式则允许访问，否则拒绝其访问；

步骤7：动态更新检测库，即将与抗原亲和度高的抗体加入成熟检测器的记忆库中。

2.根据权利要求1所述的一种基于模糊免疫理论的网络入侵检测方法，其特征在于，所述步骤1从KDD99数据集中，随机选取包含正常数据和各种攻击数据的1万条记录用来构造训练样本集。

3.根据权利要求1所述的一种基于模糊免疫理论的网络入侵检测方法，其特征在于，所述步骤2对实验数据进行标准化处理，包括：

1)对数值型字段的特征属性采用公式进行标准化处理，其中x_if为样本x_i的f维属性值，min(x_if)为训练样本集所有样本的第f维属性的最小值，max(x_if)为训练样本集所有样本的第f维属性的最大值，经过该处理后，属性值均在[0,1]之间；

2)对非数值型字段的特征属性标准化处理方法是按照一定顺序给每个不同取值赋予一个正整数值；KDDCUP99数据集中有protocol_type、service和flag三个属性值是文本的符号性属性，标准化方法是用数字值来替换文本属性值，若在协议类型属性中出现了TCP、UDP、ICMP，则分别替换为0、1、2；将数据集中的1到10维属性作为聚类特征属性，第11维标识性属性，用于聚类结果的评判分析。

4.根据权利要求1所述的一种基于模糊免疫理论的网络入侵检测方法，其特征在于，所述步骤4生成检测器，包括：

一个抗原对应的检测规则集合R(x,F)定义为：

R₁：If condition₁≥δThen nonself

R₂：If condition₂≥δThen nonself

… … …

R_l：If condition_l≥δThen nonself

其中：δ为阀值，condition_i＝min{μ(x₁∈F₁),μ(x₂∈F₂)...μ(x_n∈F_n)}，生成检测规则时F_i由抗原属性x_i的取值决定，例如x_i＝0.3，则F_i为[0,0.4]或(0.2,0.6]，因此，一个抗原可生成多条检测规则；检测一个行为x时，μ(x_i∈F_i)代表行为x的特征属性x_i对集合F_i的隶属度，它的大小反映了模糊变量x_i隶属于模糊集合F_i的程度；

μ(x_i∈F_i)计算规则包括：当模糊变量x_i属于[0,0.2]时，其对于值域“低”的隶属度为1；当x_i属于(0.2,0.4]时，其对值域“低”的隶属度为(0.4-x_i)/(0.4-0.2)，而对值域“中”的隶属度则为(x_i-0.2)/(0.4-0.2)；当x_i属于(0.4，0.6]时，其对值域“中”的隶属度为(0.6-x_i)/(0.6-0.4)，而对值域“高”的隶属度则为(x_i-0.4)/(0.6-0.4)；当x_i属于(0.6，0.8]时，其对值域“高”的隶属度为(0.8-x_i)/(0.8-0.6)，而对值域“很高”的隶属度则为(x_i-0.6)/(0.8-0.6)；当x_i属于(0.8，1]时，其对值域“很高”的隶属度为1；

给定一组规则{R₁，…，R_m}，行为样本x的异常度定义为：

μnonself(x)=maxi=1...m{Conditioni(x)}]]>

所述的Condition_i(x)表示按检测规则R_i中的Condition_i计算得到的模糊值；μ_nonself(x)表示对非自体集的隶属程度；一个靠近“0”的值意味着x是正常的，越接近“1”的值说明x的异常度越高。