一种设定入侵检测dca算法权值的方法
【专利摘要】本发明的目的在于提供一种方法,能够根据实际的网络环境来调整DCA算法(Dendritic Cell Algorithm,树突状细胞算法)的权值,从而解决DCA算法检测精度不高的问题。本发明主要对DCA算法在合成半成熟信号和成熟信号时的权值进行优化设定。通过构造出一个与权值变量变化有关的优化问题,然后根据已知的样本信息,利用人工智能算法来获得最优的权值。该发明能够根据实际的网络环境进行DCA算法权值的设定,从而提高DCA算法的入侵检测性能,降低误检率和漏检率。
【专利说明】
-种设定入侵检测DCA算法权值的方法
技术领域
[0001 ]本发明设及一种设定入侵检测DCA算法权值的方法。
【背景技术】 名词解释: DCA算法:(Den化itic Cell Algorithm),树突状细胞算法。 PAMP信号:(pathogen-associated molecular pattern)病原体相关分子模式信号。 MACV: (ma1:ure context antigen value)成熟环境抗原值。
[0002] DCA算法有巧巾信号,即协同刺激信号、半成熟信号和成熟信号。每种信号都是通过 相应的一组权值将外界采集的安全信号(safe signal)、危险信号(danger signal)和PAMP 信号进行合成而得到。
[0003] 对于每一个未成熟的DC细胞,将其所采集的安全信号(safe signal)、危险信号 (danger signal)和PAMP信号,合成相应的协同刺激信号、半成熟信号和成熟信号。其合成 公式如下所示: Ocsm = ( 1 +1C ) ( WP, csm冲+WD, csm蝴+WS, csm巧) Osemi= (1 + IC)(WP,semi 冲+WD,semi 蝴+WS,semi 巧) (1) Omat= ( 1 + IC) (Wp,mat冲切0,11131;蝴切5,11131;巧) 0csm、Osemi、Omat分别表示相应的协同刺激信号、半成熟信号和成熟信号。WP, Gsm表示合成 协同刺激信号时PAMP信号的权值;WD,表示合成协同刺激信号时危险信号的权值;WS,表 示合成协同刺激信号时安全信号的权值;WP,semi表示合成半成熟信号时PAMP信号的权值; WD,semi表示合成半成熟信号时危险信号的权值;WS,semi表示合成半成熟信号时安全信号的权 值;WP,mat表示合成成熟信号时PAMP信号的权值;WD,mat表示合成成熟信号时危险信号的权 值;WS,mat表示合成成熟信号时安全信号的权值;P表示PAMP信号;D表示危险信号;S表示安全 信号;
[0004] 每一个未成熟的DC细胞不断累积所采集的协同刺激信号、半成熟信号和成熟信 号,如下所示: Ccsm(t )= Ccsm(t-1 ) +Ocsm(t ) Csemi(t) = Csemi (t-l)+〇semi(t) (2) Cmat(t)=Cmat(t-l)+〇mat(t), Ccsm(t)、Csemi(t)、Cmat(t)分别表示当前采集信号后的累积的协同刺激信号值、半成熟 信号值和成熟信号值。
[0005] 如果累积的协同刺激信号值大于或等于预设定的阔值,则停止采集信号,并判断 累积的半成熟信号和累积的成熟信号之间的大小,来决定带DC细胞是否为成熟或半成熟细 胞。即如果Cse"i(t)〉Cmat(t),则该未成熟的DC细胞分化为一个半成熟的DC细胞,否则分化为 一个成熟的DC细胞。
[0006] 在DCA算法中,每个DC细胞能够采集不同类型网络行为的信号,并根据相应的网络 行为进行信号的累积。因此对于每种网络行为,能够根据MCV判断其行为的安全性,MACV的 计算公式如下:
(3) 如果该类网络行为的值大于或等于设定的阔值,则认为一个异常网络行为,否则为正 常的网络行为。
[0007]目前DCA算法被成功用于入侵检测等领域中,但合成其成熟信号和半成熟信号的 权值一般都直接采用固定的设定值,不能根据实际的复杂网络环境调来实时调整权值,从 而导致检测精度不高。
【发明内容】
[000引本发明的目的在于提供一种方法,能够根据实际的网络环境来调整合成DCA算法 中成熟信号和半成熟信号的权值,从而解决DCA算法检测精度不高的问题。
[0009]为了实现上述目的,本发明采用的技术方案如下: 一种设定入侵检测DCA算法权值的方法,利用未成熟的DC细胞采集样本的网络行为,根 据分化后的DC细胞来检测网络行为,根据实际的网络环境优化设定合成半成熟信号和成熟 信号的PAMP信号、危险信号、安全信号的权值,提高DCA算法的检测精度。 对于每一个未成熟的DC细胞,合成协同刺激信号、合成半成熟信号和成熟信号的方法 为: Ocsm= ( 1 + IC) (wp,csm*P+WD,csm*D+WS,csm*S) Osemi 一 ( 1 + IC) ( WP, semi冲+WD, semi蝴+WS, semi巧) (1 ) Omat= ( 1 + IC) (wp,mat*P+WD,mat*D+WS,mat*S) P表不PAMP信号;D表不危险信号;S表不安全信号;Ocsm表不协同刺激信号、Osemi表不半 成熟信号、Omat表不成熟信号;WP, csm表不合成协同刺激信号时PAMP信号的权值;WD, csm表不合 成协同刺激信号时危险信号的权值;WS,表示合成协同刺激信号时安全信号的权值;WP, semi 表示合成半成熟信号时PAMP信号的权值;WD,semi表示合成半成熟信号时危险信号的权值; WS, semi表不合成半成熟信号时安全信号的权值;WP,mat表不合成成熟信号时的PAMP信号的权 值;WD,mat表不合成成熟信号时危险信号的权值;WS,mat表不合成成熟信号时安全信号的权 值;IC表示炎性信号。 每一个未成熟的DC细胞不断累积所采集的协同刺激信号、半成熟信号和成熟信号为 Ccsm(t) =Ccsm(t-l )+0csm(t) Csemi ( t) = Csemi ( t~l )+Osemi (t ) ( 2 ) Cmat(t) =Cmat(t-l )+0mat(t), Ccsm(t)、Csemi(t)、Cmat(t)分别表示当前周期累积的协同刺激信号值、半成熟信号值和 成熟信号值,t表示当前周期数;如果累积的协同刺激信号值大于或等于预设定的阔值,贝U 停止采集信号;如果Csemi(t)>Cmat(t),则该未成熟的DC细胞分化为一个半成熟的DC细胞, 否则分化为一个成熟的DC细胞,同时该DC细胞死亡; 针对每一种网络行为,计算其MCV值: (3); 选择含有n个不同网络行为的样本来分别设定其合成半成熟信号和成熟信号的PAMP信 号、危险信号、安全信号的权值,建立如下优化问题:
(4) n表示所选择的样本中总共有n种不同类型的网络行为,i为第i种类型的网络行为, MACVi表示第i个网络行为的MACV值,.若。i GU,…,n}是第i种类型的网络行为的判断结果 巧 是否正确的评价,判断正确则为1,否则为5;;/'表示获得对n个网络行为的正确判断 /-1 的最大次数;合成半成熟信号和成熟信号的PAMP信号、危险信号、安全信号各自最优的权值 即为使max 尤获得对n个网络行为的正确判断的最大次数时的值。 !-二 1 进一步的改进,对于每一个未成熟的DC细胞只采集一种类型的网络行为,如果该DC细 胞死亡,则生成一个新的DC细胞来采集该类网络行为。 进一步的改进,用于合成协同刺激信号的权值保持不变。 进一步的改进,使用人工智能优化算法调整合成半成熟信号和成熟信号的PAMP信号、 危险信号、安全信号的权值;所述人工智能优化算法包括粒子群优化算法和遗传算法
[0009] 本优化问题可W采用粒子群优化算法、遗传算法等人工智能优化算法来求解。
[0010] 与现有DCA的固定权值相比,该方法能够根据实际的网络环境来确定更适合实际 情况的权值,从而提局检测精度。
【附图说明】
[0011] 图1为本发明所定义的权值和合成成熟信号和半成熟信号之间的关系图; 图2为实施例1的优化过程; 图3为实施例2的优化过程。
【具体实施方式】
[0012] 下面结合附图和实施例对本发明作进一步说明,本发明的实施方式包括但不限于 下列实施例。 实施例 用于合成协同刺激信号的一组权值保持不变,构造一个W合成半成熟信号和合成成熟 信号的两组权值为变量的优化问题,来获得最优的权值。对于每一个未成熟的DC细胞,将其 所采集的安全信号(safe signal)、危险信号(danger signal)和PAMP信号,合成相应的协 同刺激信号、半成熟信号和成熟信号。定义^,。3"、^,。3"、*5,。3"为合成协同刺激信号时的一组 权值,定义WP, semi、WD, semi、WS, semi为合成半成熟信号时的一组权值,定义WP, mat、WD, mat、WS, mat为 合成成熟信号时的一组权值,其合成公式为 Ocsm = ( 1 +1C ) ( WP, csm冲+WD, csm蝴+WS, csm巧) Osemi 二(1 + IC) ( WP, semi冲+WD, semi蝴+WS, semi巧) (4) Omat= ( 1 + IC) (wp,mat*P+WD,mat*D+WS,mat*S) 0csm、Osemi、Omat分别表示相应的协同刺激信号、半成熟信号和成熟信号。WP, Gsm表示合成 协同刺激信号时PAMP信号的权值;WD,表示合成协同刺激信号时危险信号的权值;WS,表 示合成协同刺激信号时安全信号的权值;WP,semi表示合成半成熟信号时PAMP信号的权值; WD,semi表示合成半成熟信号时危险信号的权值;WS,semi表示合成半成熟信号时安全信号的权 值;WP, mat表示合成成熟信号时PAMP信号的权值;WD, mat表示合成成熟信号时危险信号的权 值;WS,mat表示合成成熟信号时安全信号的权值;P表示PAMP信号;D表示危险信号;S表示安全 信号; 每一个未成熟的DC细胞不断累积所采集的协同刺激信号、半成熟信号和成熟信号,如 下所示: Ccsm(t ) = Ccsm(t~ 1 ) +Ocsm (t) Csemi( t) = Csemi( t~l )+Osemi (t ) (5) Cmat (t ) = Cmat (t~I )+0mat (t ), Ccsm(t)、Csemi(t)、Cmat(t)分别表示当前采集信号后的累积的协同刺激信号值、半成熟 信号值和成熟信号值。如果累积的协同刺激信号值大于或等于预设定的阔值,则停止采集 信号,并分化。通过判断累积的半成熟信号和累积的成熟信号之间的大小,来决定该DC细胞 是分化为成熟还是分化为半成熟细胞。即如果Cse"i(t)>Cmat(t),则该未成熟的DC细胞分化 为一个半成熟的DC细胞,否则为一个成熟的DC细胞。同时该DC细胞死亡。本算法中,每一个 DC只采集一种类型的网络行为,如果该DC细胞死亡后,则会生成一个新的DC细胞来采集该 类网络行为。 针对每一种网络行为,计算其MCV值,如果大于或等于给定的阔值则判断为异常行为, 否则为正常网络行为,MCV的计算公式如下:
选择含有n个不同网络行为的样本来设定合成成熟信号和半成熟信号的权值,则可W 建立如下优化问题:
稱 上式中,n表示所选择的样本中总共有n种不同类型的网络行为,i为第i种类型的网络 行为,MACyi表示第i个网络行为的MACV值,/e^iGU,…,n}是第i种类型的网络行为的判断 n 结果是否正确的评价,判断正确则为1,否则为表示是为了获得对n个网络行为 /V-I 的正确判断的最大次数。
[000引通过优化公式(4)的WP,semi、WD,semi、WS,semi、WP,mat、WD,mat、WS,mat的值,可 W获得不同的 合成成熟信号和半成熟信号,进而获得不同的累积成熟信号值和累积半成熟信号值,最后 获得最大的max J./;' O
[0013] W邸D Cup 1999数据集为例,首先从数据集挑选出1000个样本,包含9种不同类型 的网络行为。每个样本包含41个属性和1个攻击类型。攻击类型作为抗原,属性25,26,29, 38,40用来合成PAMP信号,属性23,24用来合成safe信号,属性12,31,32用来合成danger信 号,本次实验中IC信号设为0。将每个样本的属性分别归一化为区间[0,100]后取均值用来 作为PAMP信号,safe信号,danger信号。MACV的阔值设为0.75,累积的协同刺激信号的阔值 设为[100,500 ]的随机数。用于合成协同刺激信号的权值(WP, csm,WD, csm,WP, semi )固定设为(2, 1,2)。合成半成熟信号和成熟信号的初始权值的组数根据算法的实际情况来决定。其中一 组(WP, semi , WD, semi , WS, semi , WP,mat, WD,mat, WS,mat)的初始值设走为(0,0,3,2,1 , -3 ),而其他组的 初始权值则由随机产生。 实施例1
[0014]利用粒子群算法来优化权值。每个粒子的矢量结构为(WP, semi, WD, semi, WS, semi, WP,mat, WD,mat, WS,mat),粒子群数量设为30个,最大迭代次数为100次。粒子群算法参数C1、C2设为2。 粒子群的30 组初始权值中的一组(WP, semi, WD, semi, WS, semi, WP,mat, WD,mat, WS,mat)的值设定为(0, 0,3,2,1,-3),而其他29组的初始权值则由随机产生,产生的随机数为整数且位于[-3,3]范 围内。粒子的适应度函数为优化问题的目标函数,进化过程中,粒子的位移变化范围为[-3, 巧 3],粒子的速度变化范围为[-1,1]。当获得最大的max玄乂'等于9,或达到最大的迭代次数 '- = 1 时,优化过程结束。优化过程如图2所示,经过13次迭代后,获得的最优粒子即为所需要的权 值即(0,0,3,2,1,-1)。 实施例2
[001引利用遗传算法来优化权值。WP, semi、WD, semi、WS, semi、WP, mat、WD, mat、WS, mat为染色体的基 因,将其转变为二进制形式,则每个染色体的结构为(II(WP,semi),II(WD,semi),II(WS,semi),II (WP,mat),II(WD,mat), IKws,mat)),II表示相应权值的二进制形式,二进制表示的基因范围为 [-3,3],如Oll表示3,111表示-3。染色体的数量设为30个,最大迭代次数为100次。采用轮盘 赌选择法来获得选择算子,交叉算子设为0.1,变异算子设为0.05。遗传算法的适应度函数 为优化问题的目标函数,当优化过程结束时,获得的最优染色体即为所需要的权值。30组染 色体的初始权值中的组(WP, semi , WD, semi , WS, semi , WP,mat, WD,mat, WS,mat)的值设走为(0,0,3,2 , I,-3),而其他29组的初始权值则由随机产生,产生的随机数为整数且位于[-3,3]范围内。 丹 遗传算法的适应度函数为优化问题的目标函数,当获得最大的max完乂'等于n,或达到最大 /=1 的迭代次数时。图3为遗传算法的优化结果图,第16次迭代时获得最优的权值即(0,0,3,2, 1,-1)D
【主权项】
1. 一种设定入侵检测DCA算法权值的方法,利用未成熟的DC细胞采集样本的网络行为, 根据分化后的DC细胞来检测网络行为,其特征在于,根据实际的网络环境优化设定合成半 成熟信号和成熟信号的PAMP信号、危险信号、安全信号的权值,提高DCA算法的检测精度。2. 如权利要求1所述的一种设定入侵检测DCA算法权值的方法,其特征在于,对于每一 个未成熟的DC细胞,合成协同刺激信号、合成半成熟信号和成熟信号的方法为:D P表不PAMP信号;D表不危险信号;S表不安全信号;Ocsm表不协同刺激信号、Osemi表不半成 熟信号、Omat表不成熟信号;WP, csm表不合成协同刺激信号时PAMP信号的权值;WD, C=Sm表不合成 协同刺激信号时危险信号的权值;WS, urn表不合成协同刺激信号时安全信号的权值;WP, se3mi表 不合成半成熟信号时PAMP信号的权值;WD, semi表不合成半成熟信号时危险信号的权值; WS, semi表不合成半成熟信号时安全信号的权值;WP,mat表不合成成熟信号时的PAMP信号的权 值;WD,mat表不合成成熟信号时危险信号的权值;WS,mat表不合成成熟信号时安全信号的权 值;IC表示炎性信号; 每一个未成熟的DC细胞不断累积所采集的协同刺激信号、半成熟信号和成熟信号为(2) C_(t)、Cse3mi(t)、Cmat(t)分别表示当前周期累积的协同刺激信号值、半成熟信号值和成 熟信号值,t表示当前周期数;如果累积的协同刺激信号值大于或等于预设定的阈值,则停 止采集信号;如果csemi(t) >Cmat(t),则该未成熟的DC细胞分化为一个半成熟的DC细胞,否 则分化为一个成熟的DC细胞,同时该DC细胞死亡; 针对每一种网络行为,计算其MACV值: 成熟DC1细胞的个数 丄' _采集了该网络行为的DC细胞总数 U 选择含有η个不同网络行为的样本来分别设定其合成半成熟信号和成熟信号的PAMP信 号、危险信号、安全信号的权值,建立如下优化问题:^ 1如果7认40^ <设定的阈值,且样本是正常的网络行为 ;-1如果MJCTi >设定的阈值,且样本是正常的网络行为 (4) A=< 1如果Μ4(:Γ>=设定的阈值,且样本是异常的网络行为 -1如果AMCF <设定的阈值,且样本是异常的网络行为 η表示所选择的样本中总共有η种不同类型的网络行为,i为第i种类型的网络行为, MACV1表示第i个网络行为的MACV值:是第i种类型的网络行为的判断结果是 否正确的评价,判断正确则为1,否则g示获得对η个网络行为的正确判断的 最大次数;合成半成熟信号和成熟信号的PAMP信号、危险信号、安全信号各自最优的权值即 为令卩得对η个网络行为的正确判断的最大次数时的值。3. 如权利要求1所述的一种设定入侵检测DCA算法权值的方法,其特征在于,对于每一 个未成熟的DC细胞只采集一种类型的网络行为,如果该DC细胞死亡,则生成一个新的DC细 胞来采集该类网络行为。4. 根据权利要求1所述一种设定入侵检测DCA算法权值的方法,其特征在于,用于合成 协同刺激信号的权值保持不变。5. 根据权利要求1所述一种设定入侵检测DCA算法权值的方法,其特征在于,使用人工 智能优化算法调整合成半成熟信号和成熟信号的PAMP信号、危险信号、安全信号的权值;所 述人工智能优化算法包括粒子群优化算法和遗传算法。
【文档编号】G06N3/00GK106022134SQ201610380426
【公开日】2016年10月12日
【申请日】2016年6月1日
【发明人】廖柏林, 丁雷, 肖林, 金杰
【申请人】吉首大学