基于人工免疫的集成入侵检测模型

0引 言

为提高入侵检测效率，专家学者们提出了许多改进策略，采用神经网络、模糊数学、人工免疫原理等机器学习方法与入侵检测系统相结合的手段提高检测率。其中，人工免疫原理已经被证明能在入侵检测领域能够发挥重要的作用。但是人工免疫模型在未达到稳定状态之前检测效率低，容易遭到入侵，并且高维数据转化成抗体编码过程较复杂。为了克服这些问题对人工免疫模型的影响，将粗糙集理论与人工免疫结合，提出基于人工免疫的集成入侵检测模型(AI-IID)。

1相关研究

人工免疫理论在1974年提出，在1999年有学者提出了第一个融合多种免疫性质的人工免疫模型，并在后期实验中，验证了该模型能够独立处理任何特殊性问题。随着技术的发展人工免疫被广泛使用到计算机领域，被用作入侵检测与识别计算机病毒的有效手段。生物免疫系统与人工免疫系统的类比分析见表1。

表1生物免疫系统与人工免疫系统的类比分析生物免疫系统人工免疫系统抗原采集到的网络流量B细胞、T细胞数据疫苗检测器记忆细胞数据的重要属性记忆细胞

文献[1]提出了一种基于人工免疫的分布式网络入侵检测系统架构。该架构使用一种无监督的机器学习方法来设计自适应免疫机制、定义网络流量的自体模型与非自体模型。结果表明，该架构能够应对大规模数据，并且不会对网络带来较大的负担。文献[2]提出一种基于人工免疫系统的入侵检测方法。该方法将人工免疫系统与标准粒子群算法相结合，能够动态的确定抗体半径，提高检测检测率。文献[3]利用人工免疫系统与基于种群的增量学习和协同过滤相结合的分类器来实现网络入侵检测。文献[4]使用多重检测器集成人工免疫系统，根据网络数据流中的应用层协议的特征对入侵进行分类，效果明显。

入侵检测所采集的数据量较大，并且采集的数据中包含了较多的噪声数据、冗余属性与不完备数据，这样就加大了入侵检测的速率，影响准确性。粗糙集作为数学软计算方法中的一种，对于处理大数据量数据、不完备数据有独特的优势。能够对数据进行属性约，减提高数据的处理速度。对于不完备数据能够准确寻找到最小子集，得到决策规则。

文献[5]提出了基于粗糙集的智能入侵检测方法。使用基于粗糙集的分类模型有更好的精度与覆盖率，并且能够应对大规模的网络数据流量。文献[6]提出一种基于决策粗糙集的人工免疫入侵检测模型。通过决策粗糙集的方法完成属性约减，再用人工免疫方法进行入侵检测，结合实时树状细胞算法分析环境和抗原信息，并获得抗原匹配阈值。对于已知与未知攻击都有较好的识别效率。文献[7]提出了一种基于粗糙集和超图属性的特征选择技术，识别最优特征子集。使用KDD CUP 1999数据集进行实验，利用Weka工具进行验证。实验结果表明，基于粗糙集和超图属性的特征选择技术对高维数据集具有灵活性、适应性等特点。

2符号与定义

AI-IID将检测数据视为抗原，通过系统训练、生成的数据成为抗体。抗体的作用是用来识别抗原集合中的自体与非自体(区分异常与正常数据)。抗原与抗体的编码方式在人工免疫系统中十分重要，因此首先确定抗原与抗体的编码形式。

定义1 抗原ag∈Ag，其中Ag为抗原集合，每个抗原由若干二进制串构成。

定义2 抗体ab∈Ab，其中Ab为抗体集合。抗体分为成熟抗体与记忆抗体两种形式，也由二进制串构成。

定义3 自体规则集合Self表示正常网络行为集合，非自体规则集合Noself表示异常网络行为集合。

3生成初始规则库

AI-IID模型通过粗糙集方法获取规则库。根据粗糙集方法定义抗体信息决策表、不可分关系、下近似、正域、抗议依赖度以及抗体基因属性重要度。

抗体信息决策表DT是一个五元组，记为DT=(U,C∪D,V,f)，其中U是一个非空对象集合，称为论域。C=(a1,a2,…,an)为抗体条件属性集合，抗体条件属性集合中的元素称为条件属性。D=(d1,d2,…,dn)为抗体决策属性集合，抗体决策属性集合中的元素称为决策属性。V为抗体属性值的集合，f是一个信息函数，提供属性到值的映射，即：?a∈C∪D,x∈U，有f(x,a)∈V。

在抗体决策信息表中，A=C∪D,C∩D=?，对于抗体属性集合B?A存在不可分关系IND(B)，公式表示为

在抗体决策信息表中，对于抗体属性集合X∈A与不可分关系IND(B)，集合X关于B的下近似定义为

在抗体信息决策表中，集合X的正域用公式表示为

上一篇：纳米颗粒在兽用疫苗中的应用
下一篇：没有了