论文摘要
目前在信息安全中检测未知入侵行为变得越来越重要,传统异常入侵检测模型存在正常特征简档更新、动态实时检测、分布式检测等困难。新兴的基于生物免疫系统原理的入侵检测为解决传统异常入侵检测面临的诸多难题提供了新的途径。但现有免疫入侵检测技术还处于初期阶段。详细研究二进制编码免疫入侵检测系统,提出了该类系统检测器集的改进算法,缩减了检测器集的冗余信息量。然而二进制编码及rcb匹配规则无法有效地处理长串模式,不能适应众多特征属性下的入侵检测,难以胜任动态变化环境下的实时检测。为此,提出基于实值编码的免疫入侵检测方法,做了如下研究和创新性工作。首次较系统地将实值编码移植到免疫入侵检测中,定义了self集合的表示、检测器的表示,建立超球体和超矩形两种模型,提出新的检测器生成方法--多峰值进化,训练可变覆盖范围的检测器,特定的适应度函数使检测器尽量填充self附近以及self实体之间的细小检测空洞,解决了在巨大的模式空间中随机生成法不能有效覆盖non-self区域的不足。分析实值编码的检测粒度特性,获得归一化时采用的最大值越小,信息损失越小,检测粒度越好的结论。构建了超球体和超矩形系统,实验结果显示,在DARPA99网络数据集、机器学习Wine数据集上,超球体系统在检测率、误报率、non-self区域覆盖的均匀程度、不完备训练集的适应力、算法稳定性、训练时间代价等方面均优于超矩形系统;多峰值进化生成法在检测率、non-self区域覆盖的均匀程度、算法稳定性等方面均优于随机生成法;随机生成法不适用于13维的Wine数据集。多峰值进化超球体系统在KDD Cup’99数据集上进行了实验,验证了该系统能较好地适应高维数检测,得出算法的时间代价和模式维数、训练集大小都近似成线性关系的结论。提出了利用数据的分布特性提高多峰值进化超球体系统检测精确度的方法和途径。首先建立高斯概率模型描述数据空间中模式的分布,定义聚簇等级参数表征数据点聚集成簇的程度;提供了根据特定聚簇等级生成合成数据集的方法;研究了实际数据集的聚簇特性。实验结果显示,聚簇特性越好(聚簇等级小)的数据集,检测能力越好;增加检测器数目或者降低容忍等级可以一定程度上补偿差的聚簇特性。在此基础上,提出了扩展的self空间超球体构造模型—可变半径self球体模型(VRSSM),根据聚簇情况模式空间区域实施不同的容忍等级,在检测器训练过程中各个self超球体将具有不同的半径,提高了self/non-self界线划分的精确度。分析表明总体检测能力受数据聚簇特性和正常-异常间的平均属性偏移影响,VRSSM模型的性能则受到聚簇形状和数据点密度差异等客观因素的影响。实验结果显示合成数据集和DARPA99数据集符合VRSSM模型的假设,该模型提高了检测率,降低了误报率。建立了多峰值进化超球体系统动态实时检测机制,包括强化的初始化训练机制,提高入侵行为高发区域覆盖率的克隆选择和基因库机制,在检测器集不断更新过程中仍然能识别遇到过的入侵行为的免疫记忆机制。提出了VRSSM的动态扩展模型(Dynamic VRSSM)。该模型用正向记忆标定正常行为密集区域,实时计算不同区域的容忍等级。分析指出,实际网络入侵检测系统激活阈值设定为1较合适。克隆个体超变异的概率过高过低都对检测不利,通过实验可找到较佳数值。网络数据集(DARPA99和KDD Cup’99)上的仿真测试结果,验证了动态实时检测机制的有效性;验证了Dynamic VRSSM模型的正确性。结合分布式耐受和集中式耐受机制,提出了一个分布式协作体系结构原型。集成了实值编码超球体空间表达、多峰值进化检测器生成、VRSSM模型、动态实时检测机制及Dynamic VRSSM模型实现了一个单节点的实验平台,验证了上述理论的正确性和模型的可行性。
论文目录
相关论文文献
标签:入侵检测论文; 人工免疫论文; 实值编码论文; 超球体论文; 超矩形论文; 多峰值进化论文; 可变半径球体模型论文;