基于免疫多目标约束的否定选择入侵检测方法

摘要

本发明公开了一种基于免疫多目标约束的否定选择入侵检测方法，主要用于解决现有技术中检测器耗费大和分布不合理的问题。其实现步骤为：(1)产生初始检测器集合，设置运行参数和终止条件；(2)对检测器集合进行克隆繁殖操作；(3)对检测器集合进行克隆变异操作；(4)合并父代和子代检测器集合；(5)计算个体检测器覆盖率；(6)计算个体检测器交叠区域；(7)保留精英检测器；(8)构造非支配检测器集合；(9)对检测器集合进行修剪操作；(10)判断终止条件；(11)测试待测数据，统计检测率和虚警率。本发明能够用更少的检测器覆盖更大面积的异常区域，有效提高了入侵检测检测率，可用于网络环境中对数据的检测。

主权项

1.一种基于免疫多目标约束的否定选择入侵检测方法，包括如下步骤：(1)用原始实值否定选择方法产生初始检测器集合，作为父代检测器集合，并设置运行参数以及终止条件：1a)采用限定迭代次数和规定检测器集合的期望覆盖率二者的混合形式作为终止条件；1b)设定检测运行参数，主要包括正常样本的半径r_s∈[0，0.1]、最高迭代次数time∈[0，50]、初始检测器集合规模n、控制基因和期望覆盖率c₀≥90％；1c)根据实值否定选择算法中欧氏距离匹配规则，产生初始的检测器集合，作为父代检测器集合，其产生方法是：随机生成一个检测器的中心向量c，根据欧氏距离匹配规则来判断是否被正常样本所覆盖，即判断检测器中心向量c到任一正常样本中心向量c_s的距离是否小于该正常样本的半径r_s，若小于则判断为覆盖，否则判断为未覆盖；若被覆盖则舍弃该检测器，并重新生成新的检测器中心向量，否则计算该检测器中心向量到离其最近的一个正常样本中心向量的欧氏距离dis，则该检测器的半径可定义为r＝dis-r_s，直到候选检测器数目达到初始检测器集合规模n，初始化过程结束，此时父代检测器集合表示为：D_t(c，r)＝{d₁(c，r)，d₂(c，r)，…，d_n(c，r)}，t＝0，其中n为检测器集合规模，d_k为第k个检测器；(2)对父代检测器集合进行克隆繁殖操作，即在父代检测器集合D_t(c，r)的基础上，对其中的每一个检测器进行等比例的克隆繁殖操作，定义克隆检测器集合规模为n_c，则每一个检测器的复制个数为n_c/n，此时克隆检测器集合可以表示为：$D_L(c,r)=\{d_{L1}(c,r),d_{L2}(c,r),...,d_{{\mathrm{Ln}}_c}(c,r)\},$其中d_Lk代表D_L(c，r)中第k个检测器；(3)对克隆繁殖后的检测器集合进行克隆变异操作，形成子代检测器集合，即对克隆繁殖后检测器集合D_L(c，r)的所有个体检测器的中心或半径在0～1范围内进行高斯扰动使其变异，该变异概率为100％，最终形成子代检测器集合，表示为：$D_L^{*}(c,r)=\{d_{L1}^{*}(c,r),d_{L2}^{*}(c,r),...,d_{L{n}_c}^{*}(c,r)\},$其中代表中第k个检测器；(4)对父代检测器集合和子代检测器集合进行合并，即将父代检测器集合与克隆变异后子代检测器集合进行合并，组成新的检测器集合，其规模为：N＝n+n_c，合并后的检测器集合可以表示为：$D_T(c,r)=\{d_1(c,r),d_2(c,r),...,d_N(c,r)\}=D_t(c,r)\cup D_L^{*}(c,r);$(5)计算合并后检测器集合所有个体检测器d的覆盖率，将个体检测器d的覆盖率定义为第一个目标函数：f₁(d)＝Cov(d)，其中f₁是一个最大化问题，即希望得到最大的个体检测器覆盖率，具体步骤为：5a)根据假设检验的原理，假设初始检测器个数的上限为d_num，得到检测器集合所能达到的理论最大覆盖率P_max＝1-5/d_num；5b)在规定区域内进行随机采样，并记录随机采样被已有检测器所覆盖的次数，采样次数m可由m＝{5/p，5/(1-p)}来确定；5c)在进行m次采样试验中，若有$y=\sqrt{{\mathrm{mp}}_{\max }(1-p_{\max })}(z_{\alpha }+\sqrt{\frac{{\mathrm{mp}}_{\max }}{1-p_{\max }}})$次采样被已有检测器集合连续覆盖，则判定其满足期望覆盖率，其中α为置信区间，z_α可由正态分布表查得；5d)若在当前采样试验中，仅有次采样被连续覆盖，则当前的覆盖率为：$\mathrm{Cov}\left(d\right)=\frac{\bar{y}-p_{\max }}{y};$(6)计算合并后检测器集合中所有个体检测器d与检测器集合中其它个体检测器的最大交叠区域，将个体检测器d与检测器集合中其它个体检测器的最大交叠区域定义为第二个目标函数：f₂(d)＝Φ-Lap(d)，其中Φ为一个极大值，Lap(d)是一个最小化问题，即希望检测器之间的交叠区域最小，则此时f₂被转化成为一个最大化问题，用下述公式来近似第i个检测器和第j个检测器之间的交叠程度：其中dim为中心向量的维数，f₂中的Lap(d)则表示检测器d与其余检测器交叠的最大值为：$\mathrm{Lap}\left(d\right)=\max \{\mathrm{Lap}(d,d^1),\mathrm{Lap}(d,d^2),...,\mathrm{Lap}(d,d^{d_{\mathrm{num}}})\};$(7)在合并后的检测器集合中寻找个体检测器中心向量未被其它任一检测器所覆盖的个体检测器，称为精英检测器并保留；(8)找出所有pareto支配关系中非支配的个体检测器组成非支配检测器集合，根据D_T(c，r)中个体检测器的目标函数值，pareto支配关系可以定义为：当且仅当d_A和d_B满足时，称d_A支配d_B，记为d_A＞d_B，若不存在其他d＞d^*，则d^*即为非支配个体检测器；对于pareto支配关系的判断独立存在于每一父代检测器及与其对应的克隆后子代检测器所组成的检测器集合中，这样的集合被称为当前检测器集合的一个子集，子集的个数与父代检测器集合中检测器的个数相等；在每一个上述的子集中分别找到对应的非支配个体检测器，并最终将所有子集中的非支配个体检测器记录保存，得到非支配检测器集合：$D_N(c,r)=\{d_{N1}(c,r),d_{N2}(c,r),...,d_{{\mathrm{NN}}^{*}}(c,r)\},$其中，N^*表示当前检测器集合的规模，且满足关系：n≤N^*≤N，其中d_Nk代表D_N(c，r)中第k个检测器；(9)对检测器集合进行如下两个策略的修剪操作：第一个修剪策略是：删除拥有最大交叠程度的检测器，检测器的交叠程度可以通过目标函数值中计算交叠的公式得到，当迭代次数小于控制基因时，则利用此修剪策略对检测器集合进行修剪，减少检测器集合中检测器的个数，通过此修剪策略，可以加快整个检测优化过程的收敛速度；第二个修剪策略是：删除拥有最小体积的检测器，当迭代次数大于控制基因时，则利用此修剪策略对检测器集合进行修剪，直到检测器种群的规模满足规定大小n时，修剪停止，修剪后的检测器集合可记为：D_t+1(c，r)＝{d_(t+1)1(c，r)，d_(t+1)2(c，r)，…，d_(t+1)n(c，r)}，此时检测器集合D_t+1(c，r)为新一轮迭代的父代检测器集合，其中d_(t+1)k代表D_t+1(c，r)中第k个检测器；(10)根据步骤(1)中设定的终止条件判断当前检测器集合是否满足终止条件，若满足则停止迭代循环执行步骤(11)，否则步骤(2)，直到满足终止条件为止；(11)用最终生成的检测器集合测试输入的待测数据，并统计检测率和虚警率，通过步骤1到步骤10对检测器分布的优化，得到成熟的检测器集合D_time(c，r)，其中time为最高迭代次数，此时根据步骤1中所用到的欧氏距离匹配规则对新输入的测试样本进匹配判断，若测试样本被任意检测器所覆盖，则认为其为“危险”样本，对应的行为则为疑似入侵行为，否则认为安全；通过对一组测试样本的匹配判断，得到检测率和虚警率，对每一个测试样本将会有4种不同的检测结果：1)样本是异常的，检测的结果也是异常的，称为正确肯定(tp)；2)样本是异常的，检测器却未能检测出该样本，称为漏检(fn)；3)样本是正常的，检测器也没有检测到该样本，称为正确否定(tn)；4)样本是正常的，但却被检测为异常，称为虚检(fp)，通过对这4种情况的统计得到对此次入侵检测的检测率和虚警率，表示为：