[发明专利]一种基于人工免疫技术的动态自适应网络异常检测方法

权利要求书

1.一种基于人工免疫技术的动态自适应网络异常检测方法，其特征在于，包括：

S1：基于相关性的无监督密度聚类方法对数据集的特征进行选择，得到最优特征子集，其中，最优特征子集中包括用以对自体和非自体进行分类的特征；

S2：基于步骤S1得到的最优特征子集构建样本空间，采用混合划分的策略将样本空间根据样本密度进行网格化，然后在子网格的边界产生特定的候选边界检测器，候选边界检测器通过自体耐受生成成熟边界检测器，其中，样本空间包括自体和非自体，自体表示网络的正常活动，非自体表示非法或网络攻击；

S3：在子网格的非边界产生非边界候选检测器，采用GWO算法对产生的非边界候选检测器进行优化，生成成熟非边界候选检测器，GWO算法为灰狼优化算法；

S4：根据成熟边界检测器与它的邻域检测器之间的距离、子网格中样本的密度，选择孔洞修复策略，对成熟边界检测器进行优化，生成目标边界检测器；根据成熟非边界检测器与它的邻域检测器之间的距离、子网格中样本的密度，选择孔洞修复策略，对成熟非边界检测器进行优化，生成目标非边界检测器；

S5：基于生成的目标边界检测器和目标非边界检测器对网络的非自体进行检测，从而实现网络异常检测。

2.如权利要求1所述的基于人工免疫技术的动态自适应网络异常检测方法，其特征在于，步骤S1包括：

采用基于相关性的无监督密度聚类的特征选择方法，针对数据集的特征进行聚类运算；

针对聚类结果，计算类内最大互信息系数以及类间对称不确定性；

基于类内最大互信息系数以及类间对称不确定性采用综合评分的方式对特征进行排序，根据排序结果选出最大相关性、最小冗余度的最优特征子集。

3.如权利要求1所述的基于人工免疫技术的动态自适应网络异常检测方法，其特征在于，步骤S2中候选边界检测器的生成包括：

基于得到的最优特征子集构建样本空间；

计算自体在构建的样本空间中的位置；

对包含自体的空间采用混合划分的策略，根据样本密度和阈值进行网格化，划分得到子网格。

4.如权利要求1所述的基于人工免疫技术的动态自适应网络异常检测方法，其特征在于，步骤S2中候选边界检测器通过自体耐受生成成熟边界检测器，包括：

计算候选边界检测器与自体之间的距离，如果计算的距离大于或等于候选边界检测器的半径则表示耐受成功，则将该候选边界检测器作为成熟边界检测器。

5.如权利要求1所述的基于人工免疫技术的动态自适应网络异常检测方法，其特征在于，步骤S3包括：

对自样本进行聚类，确定聚类对象到聚类中心的距离计算出聚类半径；

根据聚类半径以及聚类中心到候选非边界检测器的距离，对候选非边界检测器集中的检测器进行筛选与调整得到非边界检测器集；

采用GWO算法中的搜索策略，设置最小重叠率与最大覆盖率为适应度函数，自适应调整非边界检测器集中检测器的半径与位置，得到成熟非边界候选检测器。

6.如权利要求1所述的基于人工免疫技术的动态自适应网络异常检测方法，其特征在于，步骤S4中根据成熟边界检测器与它的邻域检测器之间的距离、子网格中样本的密度，选择孔洞修复策略，对成熟边界检测器进行优化，生成目标边界检测器，包括：

如果成熟边界检测器与它的邻域检测器之间的孔洞中非自样本密度大于阈值a，且成熟边界检测器与它的邻域检测器之间的距离大于所有成熟边界检测器检测器中的最小半径，则将成熟边界检测器与它的邻域检测器进行合并；

如果非自样本密度小于阈值a，且成熟边界检测器与它的邻域检测器之间的距离大于所有成熟边界检测器中的最大半径，则生成新的成熟边界检测器填充未覆盖区域；

如果非自样本密度小于阈值a，且成熟边界检测器与它的邻域检测器之间的距离小于所有成熟边界检测器的最小半径，则增加成熟边界检测器的半径。

7.如权利要求1所述的基于人工免疫技术的动态自适应网络异常检测方法，其特征在于，步骤S4中根据成熟非边界检测器与它的邻域检测器之间的距离、子网格中样本的密度，选择孔洞修复策略，对成熟非边界检测器进行优化，生成目标非边界检测器，包括：

如果成熟非边界检测器与它的邻域检测器之间的孔洞中非自样本密度大于阈值a，且成熟非边界检测器与它的邻域检测器之间的距离大于所有成熟非边界检测器中的最小半径，则将该成熟非边界检测器与它的邻域检测器进行合并；

如果非自样本密度小于阈值a，且成熟非边界检测器与它的邻域检测器之间的距离大于所有成熟非边界检测器中的最大半径，则生成新的成熟非边界检测器填充未覆盖区域；

如果非自样本密度小于阈值a，且成熟边界检测器与它的邻域检测器之间的距离小于所有成熟非边界检测器中的最小半径，则增加成熟非边界检测器的半径。