[发明专利]一种基于生物免疫T细胞受体机制的入侵检测方法

说明书

本发明提供了一种基于生物免疫T细胞受体机制的入侵检测方法，将网络数据看作抗原，进行抗原提呈和数据规范化操作获取有效自体集；根据自体集生成均匀分布T细胞受体检测器，得出其正常分布状态；检测数据对T细胞受体检测器产生影响，识别未知的异常；根据新的数据动态调整回馈T细胞受体检测器的位置。本发明利用生物免疫中T细胞受体的原理和机制，实现网络中的入侵检测，使用固定位置的T细胞受体检测器集合代替传统人工免疫方法中根据自体集随机生成检测器集合，实时数据对检测器进行回馈调整，使得检测器能够进行自学习和动态演进，更适合网络中实时动态变化的环境，缩短了重新生成检测器的时间，提高了检测的速度，提高了系统安全。

技术领域

本发明属于网络安全的技术领域，是借鉴生物免疫的人工免疫系统在网络安全领域的应用，具体说是一种基于生物免疫T细胞受体机制的入侵检测方法，可用于网络环境中对数据的检测。

背景技术

随着互联网与大数据、云平台等新一代技术的深度融合，网络安全问题愈演愈烈，面对网络中海量的数据，发现各种病毒及其变种进行阻断攻击和入侵，传统的网络安全防护方法已经力不从心。常见的防火墙、密钥技术和身份认证技术给出的是一个静态防护的概念，这些方法更多的是基于被动的保护。入侵检测系统作为保障网络环境安全的防护系统，主要是监控网络或系统的状态、行为以及系统使用情况下进行的模式分类问题，即把正常网络环境中出现的异常入侵区分出来，其所面临的问题正是自然界中生物免疫系统所面临的问题，二者具有非常相似的机制。他们的主要功能都是保护机体不被外部病原体或其他病菌等异物的侵袭，其本质就是对自体和非自体进行识别，两者都是在不断变化的环境中维持系统的稳定性。因此，以借鉴生物免疫的人工免疫系统为基础进行网络入侵检测研究具有很好的价值和意义。

目前，误用检测的入侵检测方法已得到广泛应用，他们大多数是根据已知的入侵行为，提取出它们具有的模式或特征，建立相关的库，当检测的用户或行为与库中的特征或模式相匹配时，就认为入侵发生了。Norton、McAfee、金山毒霸、瑞星等杀毒产品都通过这种特征码形式进行病毒和入侵的匹配。很明显误用检测这种检测方式对于已知的攻击非常有效，能够具有较低的误报率。但只有存在完备的(大样本组成的)特征数据库时，这些方法才具有较好的入侵检测性能。然而，现实中的入侵行为是不断变化的，正常行为也在每时每刻发生变化，某一时刻允许的端口可能下一时刻就被关闭了，造成当前正常的行为可能未来就变成了异常行为，人们常常无法获得完备的审计数据集。加上网络中设备不断升级、网络规模不断扩大及系统和应用不断升级，整个网络环境越来越复杂，攻击工具和手段也日趋复杂多样，加之网络数据维度较大，需要处理的数据量也越来越大。虽然也有方法对网络数据包进行处理，比如中国专利公布号CN1567810A、CN101478534A和CN104168152A。但是，公布号CN1567810A仅对IP数据包特征值构成定长二进制串；公布号CN101478534A主要收集网络流量特征数据；公布号CN104168152A只对网络数据包进行了数值化和归一化处理。在面对海量网络数据的今天，如果对获取的数据包只做简单处理，仍然无法降低自体集的维度，使得依靠检测器识别的入侵检测方法效率较低。传统的入侵检测方法已经渐渐无法满足网络信息安全的需求。而且传统基于免疫的入侵检测方法几乎都是随机生成检测器，通过与自体集的亲和度判断检测器是否有效，很容易造成检测器冗余浪费时间，当自体集合发生变化时，需要重新生成检测器集合，效率较低影响检测率。而检测器的好坏决定了入侵检测的性能，本发明结合生物免疫中T细胞受体动力学校验机制，先对数据进行预处理，通过多种降维手段进行抗原提呈，然后改变传统入侵检测方法随机生成检测器的方法，将免疫系统的动态、多样、自适应、自学习、鲁棒等特性应用到网络入侵检测中，提高检测效率。

发明内容