[发明专利]一种基于人工免疫技术的动态自适应网络异常检测方法

说明书

本发明提供了一种基于人工免疫技术的动态自适应网络异常检测方法，包括：(1)基于启发式降维算法筛选最优特征子集。(2)为减少由于边界多样性造成的检测率降低问题，基于混合分层划分的NSA算法，将特征空间按照样本分布密度进行划分网格，在边界网格生成特定的候选检测器。(3)在非边界区域，对自样本采用聚类策略，以此提高检测器耐受阶段效率。(4)将实值NSA算法和优化的GWO相结合，自适应调整检测器的生成策略，提高网络异常检测效率。本发明能够针对异常数据与检测器的特点，基于混合划分网格策略与GWO算法对异常检测策略进行动态自适应调整，实现高效的网络异常检测。

技术领域

本发明涉及网络安全领域，尤其涉及一种基于人工免疫技术的动态自适应网络异常检测方法。

背景技术

目前，全球性的网络安全威胁已步入未知威胁的时代。Kasper sky Labs最新统计表明，2019年全球共发现9.75亿次网络攻击，平均每天约产生79.5万种新型攻击。在全球所遭受的网络攻击中，未知网络威胁的比例急剧上升，已成为影响网络安全的重要因素，涉及到国家政治、经济、军事等多个领域，成为当前国家级网络安全对抗中亟待解决的关键技术难题。目前，传统网络安全技术在目的和功能上都比较单一，只能打击已知的攻击，对新的、未知的攻击束手无策。一方面，这些技术大多在架构上依附于系统进行被动防御，不能从根本上解决问题，安全性和可靠性也很难得到保证。另一方面，网络攻击手段越来越呈现出智能化、系统化、集成化的趋势。新的攻击方式不断涌现，导致目前的安全系统规则不断扩大，误报率不断提高。现有的传统防御手段无法有效地应对故意利用内生安全中的常见问题而造成的实时或非实时问题。计算机的安全问题与生物免疫系统遇到的问题惊人地相似，都能在不断变化的环境中保持系统稳定。人工免疫系统是通过模拟人体免疫机制，能够支持未知攻击检测、态势感知等网络安全解决方案。由此可见人工免疫技术已成为网络安全领域的研究热点和进一步发展的重要方向。

在人工免疫理论的诸多算法中，网络异常检测方面广泛使用的是否定选择算法。Forrest在1994年提出的否定选择选择，它是人工免疫系统里面一种重要的检测器生成算法，通过模拟胸腺中T细胞的成熟过程，该算法生成一个成熟检测器，消除免疫自我反应。NSA算法极大推动了人工免疫理论的研究，已广泛应用于网络异常检测、数据挖掘、多目标优化等领域。

此外，大量的攻击类型和网络流量属性为网络异常检测提出了另一个挑战，因为他们扩大了问题的搜索空间，导致计算量和时间复杂度较高。值得注意的是，特征选择已经被证明是入侵检测的一个很好解决的方案。它可以检测出高度相关的特征，并在性能略微下降的情况下消除无用的特征，从而降低检测的错误率。目前最流行的特征选择策略侧重于选择最佳拟合的功能，这依赖于数据集测量，缺乏分类器的性能。为了降低计算复杂度，相关研究在数据的降维方面进行改进。由于降维技术固有的局限性和检测器生成过程的随机性，对数据集模式和情况造成了极大的限制，导致平均检测性能依然较低。

发明内容

针对新型网络攻击手段不断涌现下，传统网络安全防御技术缺乏自适应性以及自调节而导致的检测性能不佳的问题，通过将基于人工免疫的思想应用于网络异常检测中，可以有效支持未知攻击检测、实现最优响应，加固网络安全防御体系。本发明提供了一种基于人工免疫技术的动态自适应网络异常检测方法。

本发明采用的技术方案为：

提供一种基于人工免疫技术的动态自适应网络异常检测方法，包括：

S1：基于相关性的无监督密度聚类方法对数据集的特征进行选择，得到最优特征子集，其中，最优特征子集中包括用以对自体和非自体进行分类的特征；

S2：基于步骤S1得到的最优特征子集构建样本空间，采用混合划分的策略将样本空间根据样本密度进行网格化，然后在子网格的边界产生特定的候选边界检测器，候选边界检测器通过自体耐受生成成熟边界检测器，其中，样本空间包括自体和非自体，自体表示网络的正常活动，非自体表示非法或网络攻击；