[发明专利]基于模糊免疫理论的网络入侵检测方法

说明书

技术领域

本发明涉及一种基于模糊免疫理论的网络入侵检测方法，属于网络信息安全技术领域。

背景技术

入侵检测是指检测对计算机或网络进行非授权使用或入侵的过程。入侵检测系统(Intrusion Detection System，简称IDS)是一种实现监测功能的软件或硬件系统。IDS可以检测出任何破坏计算机或网络的完整性、机密性和可用性的行为。这些攻击行为既可能来自网络上的黑客，也有可能来自系统内部非法使用特权的授权用户或试图获得特权的非授权用户。

生命科学与计算机科学的相互交叉、渗透和促进是上个世纪以来科学技术发展的一个显著特点。人工免疫系统(Artificial Immune System，简称AIS)是继人工神经网络、进化计算之后的智能计算研究新方向。免疫系统是一种具有很强自我保护功能的系统，其基本功能就是识别自我和非我的入侵信息，并将非我的分类清除。由此可见，入侵检测系统与生物免疫系统存在许多相似之处。生物免疫系统是为了保护自身不受敌意微生物的侵害，而入侵检测是为了保护一台或一组计算机不受入侵者的入侵。研究表明将人工免疫原理应用于入侵检测中具有以下优势：利用免疫算法生成的检测器提高了入侵检测系统的检测效率；不依赖入侵知识并且能够检测到未知入侵；增强了系统的自学习能力等。同时我们也发现，经过近几年的研究发展，基于人工免疫原理的入侵检测系统并不完善，检测率的问题已经成为IDS的瓶颈。因此，如何将生物免疫系统的各种机制开发应用于入侵检测系统中，如何全面发挥免疫算法的性能，有待进一步发掘。

目前在基于免疫算法入侵检测过程中，由于忽略了正常和异常模式之间的模糊界限而导致了检测准确率不高，而Bezdek提出的模糊集理论为解决这一问题提供了有力的分析工具，用模糊理论的方法来处理聚类问题能够比较客观地反映现实世界。在众多的模糊聚类算法中，应用最广泛而且较成功的是1974年由Dunn提出并由Bezdek加以推广的模糊C-均值(fuzzy C-means,简称FCM)算法。而本发明将模糊集理论融入基于免疫算法的入侵检测中，能够很好地解决因忽略正常和异常模式之间的模糊界限而导致系统检测准确率不高的问题。

发明内容

本发明目的在于提供了一种基于模糊免疫理论的网络入侵检测方法，该方法通过对免疫模型中的关键技术与机制的分析，将免疫算法和模糊理论相结合应用于网络入侵检测系统，以克服目前入侵检测系统存在的不足，建立了一种高效、稳定、自适应的网络入侵检测系统。在目前基于免疫理论的安全体系中，由于传统否定选择算法忽略了正常和异常模式之间的模糊界限而导致了检测效率低下，而且生成的检测器数量冗繁，导致用在非我模式识别时计算复杂度相当高。针对这些缺陷，本发明将模糊分析方法应用于安全检测系统中。其特点是对正常模式的构建并不需要那么精确，可以很好地解决“尖锐边界”的问题，并且将待检模式进入检测器前过滤掉一些正常匹配模式，从而大大减少系统的整体匹配比较次数。本发明模糊技术的应用主要体现在两个方面：一是免疫入侵检测前，利用模糊聚类进行数据的预处理；二是定义免疫检测器的模糊检测规则。

本发明解决其技术问题所采用的技术方案是：一种基于人工免疫算法和模糊理论的网络入侵检测方法，该方法是一种策略性的方法，通过模糊理论的软划分策略提高了传统免疫算法对入侵检测的准确率。

方法流程：

步骤1：构造一定数目的训练样本集，本发明从KDD99数据集中，随机选取包含正常数据和各种攻击数据的1万条记录用来构造训练样本集；

步骤2：对数据进行标准化处理，包括：

1)由于不同的属性值有不同的度量标准，如果度量单位较小，则变量的数值就较大，对聚类的结果影响自然就越大，因此会出现大数淹没小数的问题。为避免出现此问题，对数值型字段的特征属性采用公式进行标准化处理，其中x_if为样本x_i的f维属性值，min(x_if)为训练样本集所有样本的第f维属性的最小值，max(x_if)为训练样本集所有样本的第f维属性的最大值，经过该处理后，属性值均在[0,1]之间；