基于免疫原理的實(shí)值編碼入侵檢測(cè)系統(tǒng)研究.pdf

1、目前在信息安全中檢測(cè)未知入侵行為變得越來(lái)越重要，傳統(tǒng)異常入侵檢測(cè)模型存在正常特征簡(jiǎn)檔更新、動(dòng)態(tài)實(shí)時(shí)檢測(cè)、分布式檢測(cè)等困難。新興的基于生物免疫系統(tǒng)原理的入侵檢測(cè)為解決傳統(tǒng)異常入侵檢測(cè)面臨的諸多難題提供了新的途徑。但現(xiàn)有免疫入侵檢測(cè)技術(shù)還處于初期階段。 詳細(xì)研究二進(jìn)制編碼免疫入侵檢測(cè)系統(tǒng)，提出了該類系統(tǒng)檢測(cè)器集的改進(jìn)算法，縮減了檢測(cè)器集的冗余信息量。然而二進(jìn)制編碼及rcb匹配規(guī)則無(wú)法有效地處理長(zhǎng)串模式，不能適應(yīng)眾多特征屬性下的入侵檢

2、測(cè)，難以勝任動(dòng)態(tài)變化環(huán)境下的實(shí)時(shí)檢測(cè)。為此，提出基于實(shí)值編碼的免疫入侵檢測(cè)方法，做了如下研究和創(chuàng)新性工作。 首次較系統(tǒng)地將實(shí)值編碼移植到免疫入侵檢測(cè)中，定義了self集合的表示、檢測(cè)器的表示，建立超球體和超矩形兩種模型，提出新的檢測(cè)器生成方法--多峰值進(jìn)化，訓(xùn)練可變覆蓋范圍的檢測(cè)器，特定的適應(yīng)度函數(shù)使檢測(cè)器盡量填充self附近以及self實(shí)體之間的細(xì)小檢測(cè)空洞，解決了在巨大的模式空間中隨機(jī)生成法不能有效覆蓋non-self區(qū)域的

3、不足。分析實(shí)值編碼的檢測(cè)粒度特性，獲得歸一化時(shí)采用的最大值越小，信息損失越小，檢測(cè)粒度越好的結(jié)論。 構(gòu)建了超球體和超矩形系統(tǒng)，實(shí)驗(yàn)結(jié)果顯示，在DARPA99網(wǎng)絡(luò)數(shù)據(jù)集、機(jī)器學(xué)習(xí)Wine數(shù)據(jù)集上，超球體系統(tǒng)在檢測(cè)率、誤報(bào)率、non-self區(qū)域覆蓋的均勻程度、不完備訓(xùn)練集的適應(yīng)力、算法穩(wěn)定性、訓(xùn)練時(shí)間代價(jià)等方面均優(yōu)于超矩形系統(tǒng)；多峰值進(jìn)化生成法在檢測(cè)率、non-self區(qū)域覆蓋的均勻程度、算法穩(wěn)定性等方面均優(yōu)于隨機(jī)生成法；隨機(jī)生成

4、法不適用于13維的Wine數(shù)據(jù)集。多峰值進(jìn)化超球體系統(tǒng)在KDD Cup’99數(shù)據(jù)集上進(jìn)行了實(shí)驗(yàn)，驗(yàn)證了該系統(tǒng)能較好地適應(yīng)高維數(shù)檢測(cè)，得出算法的時(shí)間代價(jià)和模式維數(shù)、訓(xùn)練集大小都近似成線性關(guān)系的結(jié)論。 提出了利用數(shù)據(jù)的分布特性提高多峰值進(jìn)化超球體系統(tǒng)檢測(cè)精確度的方法和途徑。首先建立高斯概率模型描述數(shù)據(jù)空間中模式的分布，定義聚簇等級(jí)參數(shù)表征數(shù)據(jù)點(diǎn)聚集成簇的程度；提供了根據(jù)特定聚簇等級(jí)生成合成數(shù)據(jù)集的方法；研究了實(shí)際數(shù)據(jù)集的聚簇特性。實(shí)

5、驗(yàn)結(jié)果顯示，聚簇特性越好(聚簇等級(jí)小)的數(shù)據(jù)集，檢測(cè)能力越好；增加檢測(cè)器數(shù)目或者降低容忍等級(jí)可以一定程度上補(bǔ)償差的聚簇特性。 在此基礎(chǔ)上，提出了擴(kuò)展的self空間超球體構(gòu)造模型—可變半徑self球體模型(VRSSM)，根據(jù)聚簇情況模式空間區(qū)域?qū)嵤┎煌娜萑痰燃?jí)，在檢測(cè)器訓(xùn)練過(guò)程中各個(gè)self超球體將具有不同的半徑，提高了self/non-self界線劃分的精確度。分析表明總體檢測(cè)能力受數(shù)據(jù)聚簇特性和正常-異常間的平均屬性偏移影響

6、，VRSSM模型的性能則受到聚簇形狀和數(shù)據(jù)點(diǎn)密度差異等客觀因素的影響。實(shí)驗(yàn)結(jié)果顯示合成數(shù)據(jù)集和DARPA99數(shù)據(jù)集符合VRSSM模型的假設(shè)，該模型提高了檢測(cè)率，降低了誤報(bào)率。 建立了多峰值進(jìn)化超球體系統(tǒng)動(dòng)態(tài)實(shí)時(shí)檢測(cè)機(jī)制，包括強(qiáng)化的初始化訓(xùn)練機(jī)制，提高入侵行為高發(fā)區(qū)域覆蓋率的克隆選擇和基因庫(kù)機(jī)制，在檢測(cè)器集不斷更新過(guò)程中仍然能識(shí)別遇到過(guò)的入侵行為的免疫記憶機(jī)制。提出了VRSSM的動(dòng)態(tài)擴(kuò)展模型(Dynamic VRSSM)。該模型用

7、正向記憶標(biāo)定正常行為密集區(qū)域，實(shí)時(shí)計(jì)算不同區(qū)域的容忍等級(jí)。分析指出，實(shí)際網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)激活閾值設(shè)定為1較合適?？寺€(gè)體超變異的概率過(guò)高過(guò)低都對(duì)檢測(cè)不利，通過(guò)實(shí)驗(yàn)可找到較佳數(shù)值。網(wǎng)絡(luò)數(shù)據(jù)集(DARPA99和KDD Cup’99)上的仿真測(cè)試結(jié)果，驗(yàn)證了動(dòng)態(tài)實(shí)時(shí)檢測(cè)機(jī)制的有效性；驗(yàn)證了Dynamic VRSSM模型的正確性。 結(jié)合分布式耐受和集中式耐受機(jī)制，提出了一個(gè)分布式協(xié)作體系結(jié)構(gòu)原型。集成了實(shí)值編碼超球體空間表達(dá)、多峰值進(jìn)化