一种基于集群概率网络入侵检测算法.docVIP

一种基于集群概率的网络入侵检测算法 　　摘 要 　　本文针对近年来传统免疫算法在网络入侵应用中检测率较低以及误报率较高的问题，提出一种基于集群概率的免疫算法（CPAI）。该算法首先根据随机生成的单个检测器与自体元素的亲和力来生成候选检测器；然后采用概率密度函数（PDF）将具有相似行为的候选检测器组成一个群组并产生群组检测器；最后再通过对比每一个外来元素与群组检测器的亲和力，来判断该外来元素是否为异常。通过网络入侵的仿真实验表明，与传统的肯定选择算法（PSA）和实值否定选择算法（RVNSA）相比较，该方法在检测率、误报率以及平均反应时间方面都体现出了明显的优势。因此，也证明了本文提出方法的有效性。 　　【关键词】免疫算法 网络入侵 概率密度函数 集群概率 　　随着当前经济的发展，互联网在越来越多的金融交易中已成为一个不可或缺的角色，信息时代的快速性以及环境的动态性也时刻在推动着组织机构去构建更为复杂的信息网络。然而，由于涉及到在线服务，网络正在不断的受到各种各样的攻击入侵，而且攻击的种类也在不断加剧，网络非法入侵已经对信息安全构成了巨大的威胁，有效的监控放防御网络攻击已经刻不容缓。在这种情况下，入侵检测系统（IDS）被看作安全工具来加强信息网络的安全性。 　　近年来，越来越多的学者和研究人员致力于对入侵检测系统的研究和开发。文献[3]和文献[4]分别提出了利用支持向量机的方法来检测网络入侵，通过有效的消除网络中数据的无关的特性而加快了检测的速度同时也带来了训练阶段速度慢的问题。文献提出基于机器学习的方法来检测网络中的攻击，该方法具有在检测永久特征的时候不需要进行反馈，但是过于依赖正常的通信数据。人工免疫方法是根据自然免疫的原理，利用人工的方法使人体获得特异性免疫以此来防御外界病原体，该方法具有强大的鲁棒性和不断学习的能力，使得其在网络入侵研究中有着巨大的潜力。本文在免疫算法的基础上，提出概率密度函数和集群思想，对普通的免疫算法进行进一步的优化计算，并通过仿真实验证明该方法的高效性。 　　1 传统的免疫算法 　　1.1 实值否定选择算法（RVNSA） 　　实值否定选择算法（Real Value Negative Selection Algorithm）是由Dasgup在否定选择算法的基础上提出的，主要特征是用n维实值空间描述自体-非自体空间，用一个n维向量定义检测器，并且检测器半径用实值描述。因此，一个检测器可以被看作一个识别球。通过计算检测器与抗原之间的距离来识别异常。实值否定选择算法是采用一个启发式过程来反复地改变检测器的位置，以此达到对非自体空间覆盖的最大化和对字体样本覆盖的最小化的目的。 　　实值否定选择算法与编码二进制否定选择算法一样，整个检测过程包括数据的预处理、检测器的产生以及异常检测三个阶段。 　　检测器以及自体的表示：检测器d有一个中心点和一个非自体的识别半径。每个自体元素都有一个中心点和自体半径。这个自体半径的引入主要是为乐把靠近自体中心点的元素考虑为自体元素。在检测的时候，如果被检测的元素与检测器的距离小于检测器的非自体识别半径，则认为这个元素是异常的数据。 　　定义检测器：d=（c，rd），其中c=（c1，c2，...，cm）为m维的点， d表示以c为中心，rd为半径的识别球（每一个检测器都由它的中心和半径组成）。 　　和检测器一样，自体也是由一个n维的点表示，以参数rs表示自体样本的阈值（允许半径），也就是说，与样本点中心的距离大于 n这个阈值的样本点被认为是异常的样本数据。 　　匹配规则：当样本数据与检测器（或者自体）的中心距离小于它们的半径时，则说明样本数据与检测器（或者自体）发生了匹配。两点之间的距离使用欧式距离公式进行计算。如公式（1）所示： 　　1.2 肯定选择算法（PSA） 　　肯定选择算法是与否定选择算法[8]相对立的一种方法，该算法的具体描述如下： 　　（1）随机产生大量的候选检测器； 　　（2）对每一个候选检测器计算其与每个自体元素的亲和力，如果其不能识别自体中的任何元素，则被删除，否则，保留到成熟检测器集合中； 　　（3）将待检测数据与成熟检测器中的元素进行比较，发生匹配，则为正常数据；否则为异常。 　　检测器生成与检测如图1所示。 　　2 基于集群概率的人工免疫算法（CPAI） 　　2.1 概率密度函数 　　高斯模型就是用高斯概率密度函数（正态分布曲线）精确地量化事物，将一个事物分解为若干的基于高斯概率密度函数（正态分布曲线）形成的模型。本文在初始肯定选择算法的基础上，引入概率密度函数来对检测器的产生进行优化。在随机检测器与自体集合进行匹配的时候，引入概率密度函数计算自体集合中的元素与每个检测器的亲和度值，形成高斯概率密度混合模型，高斯混