一种基于人工免疫原理的网络异常检测方法

专利名称：一种基于人工免疫原理的网络异常检测方法
技术领域：
本发明属于一种基于人工免疫原理的网络异常检测方法。
背景技术：
随着Intemet的不断发展，网络安全己经逐渐成为人们越来越关心的问题， 而入侵检测技术是继防火墙之后逐渐兴起的检测手段之一，也越来越受到广 大学者和工程人员的重视。传统的入侵检测方法分为两种误用检测方法和
异常检测方法。其中误用检测通过对己知攻击形成攻击特征数据，除非攻击 特征数据库更新到最新，不然无法检测到相关的攻击；而异常检测方法对正 常的用户行为和被保护的系统进行建模，在检测到新的数据与正常模型相违 背的时候，就认为是异常。由于异常检测方法不需要相关的网络攻击知识来 训练检测模型，因此异常检测模型可以用来检测未知攻击，可以弥补误用检 测的不足，并具有良好的可扩展性。
中国专利公开号CN101026510中所述的通过数据包类型以及协议会话状 态进行度量，并根据度量的结果，利用数据挖掘判断该会话或伪会话是否为 异常，该方法检测速度较慢，并难以判断伪造的数据包。公开号CN101051953 公中所述的基于模糊神经网络的异常检测方法，因为需要预先对神经网络进 行训练，训练速度较慢。公开号CN101060444所述的基于贝叶斯统计模型的 网络异常的检测方法，该方法对未知攻击缺乏有效检测。

发明内容
本发明的目的是提供一种基于人工免疫原理的网络异常检测方法，该方法 原理基于生物免疫系统对外界抗原的响应，生物免疫系统通过抗体细胞对外
6界入侵抗原进行响应和特征提呈，抗体细胞在克隆后，通过变异形成对抗原 具有高亲和力的抗体细胞，大多数抗体细胞只具有一个很短的生命周期，但 有一小部分进化成具有较长生命周期的记忆细胞，当免疫系统受到相同抗原 的再次刺激后，记忆细胞能够很快产生二次应答。在本发明中，训练数据相 当于人工免疫系统中的抗原，抗体细胞和抗原亲和力越高，抗体细胞得到刺 激越大，克隆数目就越多，亲和力低的抗体细胞则死亡，而与抗原最相似的 抗体细胞则成为较长生命周期的记忆细胞。网络异常检测时，人工免疫系统 通过记忆细胞能够进行快速的网络异常检测。本方法具有生物免疫系统的非 线性，以及克隆选择、免疫网络和免疫记忆等优良特征，解决了目前网络异 常检测中存在的检测速度慢，检测准确率低的问题。
一种基于人工免疫原理的网络异常检测方法，其特征是首先进行训练抗 原数据收集，即通过收集正异常网络环境下描述网络事务的特征数据，在对 特征数据进行标准化和正异常类别标识处理后，作为训练人工免疫系统的训 练抗原；然后是人工免疫系统学习的步骤，人工免疫系统通过每一个训练抗 原的学习，进行抗体细胞进化，在抗体细胞收敛后，优选出最佳的抗体细胞 对记忆细胞进行更新；最后是网络异常检测步骤，通过己训练人工免疫系统 中的记忆细胞对网络进行异常检测。
上述的一种基于人工免疫原理的网络异常检测方法，其特征是训练抗原 数据收集步骤包括以下步骤
(1) 收集网络流量特征数据的步骤，即以旁路侦听方式获取正异常网络 环境下单位时间流入字节数、流出字节数、TCP连接数、ICMP数据包数、紧 急数据包数等描述网络事务的特征数据，作为训练抗原特征向量的特征值；
(2) 训练抗原特征向量标准化的步骤，将训练抗原的特征向量各个特征 值标准化为[O, l]间的实数；
(3) 训练抗原的抗原类别标识的步骤，将训练抗原类别根据网络正异常 情况标识为0或1，即正常或异常；(4)计算训练抗原间的平均距离的步骤，即计算训练抗原间的平均距离。
上述的一种基于人工免疫原理的网络异常检测方法，其特征是人工免疫 系统学习步骤包括以下步骤
初始化抗体集和记忆细胞集、抗体细胞克隆和变异、抗体细胞资源竞争、 记忆细胞集更新和控制、判断是否继续进行学习等五个步骤。
上述的一种基于人工免疫原理的网络异常检测方法，其特征是初始化抗 体集和记忆细胞集，即随机从训练抗原中挑选出一些抗原加入抗体集合和记 忆细胞集合，构成最初的抗体集合和记忆细胞集合。
上述的一种基于人工免疫原理的网络异常检测方法，其特征是抗体细胞 克隆和变异的步骤包括
(1) 读入一个训练抗原的步骤，读入一个没有学习过的训练抗原；
(2) 寻找匹配记忆细胞的步骤，从记忆细胞集中寻找与正学习抗原同类 且刺激最大的记忆细胞作为匹配记忆细胞，如没有同类记忆细胞，则将训练 抗原作为匹配记忆细胞并加入记忆细胞集；
(3) 对匹配记忆细胞进行克隆的步骤，对匹配记忆细胞进行复制；
(4) 对克隆抗体细胞进行变异的步骤，对克隆抗体细胞的特征向量各特 征值和抗原类别按匹配记忆细胞和训练抗原间的亲和力值为变异概率进行变 异；
(5) 抗体集合更新的步骤，将克隆抗体细胞中变异的抗体细胞加入抗体 细胞集合中。
上述的一种基于人工免疫原理的网络异常检测方法，其特征是抗体细胞 资源竞争的步骤包括
(1)计算抗体细胞刺激值的步骤，计算抗体集合中每个与训练抗原同类的抗体细胞的剌激值；
(2) 正规化刺激值的步骤，将刺激值标准化为[O, l]间的实数；
(3) 根据刺激值分配资源的步骤，根据刺激值计算分配给抗体细胞的资
源；
(4) 统计资源总数的步骤，统计分配给抗体细胞的资源总数；
(5) 对抗体细胞进行死亡的步骤，资源总数如大于给定的资源总数，则 依次将分配资源小抗体细胞进行死亡，即删除该抗体细胞；
(6) 随机生成抗体细胞并加入抗体集的步骤，从抗体集中随机地选择一 胖生存下来的抗体细胞，并进行克隆和变异后并加入抗体集合中；
(7) 计算抗体细胞平均刺激值的步骤，计算与抗原同类抗体细胞的平均 刺激值；
(8) 判断是否继续资源竞争的步骤，如平均刺激值不大于给定的停止资 源竞争的刺激阈值，即如果没有收敛，则重新开始资源竞争，否则转到记忆
细胞集更新和控制步骤。
上述的一种基于人工免疫原理的网络异常检测方法，其特征是记忆细胞 集更新和控制的步骤包括
(1) 挑选候选记忆细胞的步骤，从抗体细胞集中与挑选出与正学习抗原 同类且最大剌激值的抗体细胞作为候选记忆细胞；
(2) 计算剌激值的步骤，分别计算候选记忆细胞和匹配记忆细胞与训练 抗原之间的刺激值，分别为07"d&/m和Mafc/7幼'附；
(3) 判断是否加入候选记忆细胞的步骤，如果CamiSWm小于MafcA甜m， 则结束记忆细胞集更新和控制步骤，否则进行下一个步骤；(4) 更新记忆细胞集的步骤，将候选记忆细胞加入记忆细胞集；
(5) 记忆细胞集控制的步骤，计算匹配记忆细胞与其它任一记忆细胞间 亲和力，如小于训练抗原间的平均距离与距离阈值比例的乘积，则从记忆细 胞集中删除匹配记忆细胞。
上述的一种基于人工免疫原理的网络异常检测方法，其特征是判断是否 继续学习的步骤，即如果训练集还有抗原没有学习，人工免疫系统则对其进 行学习，否则结束人工免疫系统的学习过程。
上述的一种基于人工免疫原理的网络异常检测方法，其特征是网络异常 检测的步骤包括以下步骤
(1) 将待检抗原输入的步骤，以旁路侦听方式获取网络单位时间流入字 节数、流出字节数、TCP连接数、ICMP数据包数、紧急数据包数等描述网络 事务的特征数据，作为待检抗原的特征向量，输入己经完成训练的人工免疫 系统；
(2) 计算记忆细胞和待检抗原之间亲和力的步骤，计算人工免疫系统所 有记忆细胞与待检抗原之间的亲和力；
(3) 按亲和力从小到大进行排序的步骤，将亲和力从小到大进行排序；
(4) 记忆细胞投票决定待检抗原类别的步骤，由A个亲和力最小的记忆
细胞根据自己的正异常类别进行投票，而待检测抗原的类别取决于记忆细胞
投票数目多的类别；
(5) 判断是否继续检测的步骤，判断是否还有未检测的抗原，如果有则 继续检测，否则终止检测过程。
本发明具有如下特点 模拟人工免疫原理进行检测，检测准确率高；检测速度快；具有生物免疫系统的非线性以及克隆选择、免疫网络和免疫记忆等优良特征。本发明可
支持用户在Internet构建自己的网络入侵检测系统，有效提高检测率和检测 速度，具有广泛的应用前景。


图l是本发明的工作流程图； 图2是训练抗原数据收集的步骤； 图3是人工免疫系统学习的步骤； 图4是网络异常检测的步骤。
具体实施例方式
在详细说明之前，首先定义发明中使用的一些名词、符号以及一些公式
(1) 定义M表示记忆细胞集合，m表示一个记忆细胞，并且mEM。定义B 为人工抗体集合，6表示一个抗体细胞并且6e^;定义G表示抗原集
合，g表示一个抗原，并且gEG;定义C表示抗原集合，C表示一个记 忆细胞、抗体或抗原类别，并且cEC。
(2) 定义记忆细胞m、抗体细胞Z)，抗原g由类别以及特征向量组成，即々, 户，其中附.c表示记忆细胞wc的类别，并且m.cEC二(O， 1}， 6.c和g.c 分别表示抗体和抗原类别，并且6.c^C: {0， 1}， g.cEC= {0， 1}，其 中，0表示网络行为正常，而l则表示网络行为异常。g./， m./， 6./分 别表示g， m， 6的特征向量，特征向量由描述网络事务的特征数据组 成，其中g./，肌,，M分别表示g./，附./， 6./fi勺第/个特征值，g./E^， m乂Ei ， 6,Ei ， i 为实数(下同)。
(3) 公式(1)和(2)分别定义抗原、抗体或者是记忆细胞两两之间的亲和力 及刺激值，具体地，"表示特征向量的维数，当公式(1)和公式(2)中的 参数x和少为m和g时，则分别表示m和g间亲和力和剌激值；当参数为6 和g时，则分别表示6和g间亲和力和刺激值；而当参数均为m时，则 表示二个m间的亲和力。
11<formula>formula see original document page 12</formula>(1)
<formula>formula see original document page 12</formula> (2)
(4) 定义6.幼'附表示一抗原对抗体细胞的刺激值。6.mso^re表示6拥有的 资源数目，7bto/i "m^ce表示抗体B细胞集允许拥有的资源总数，其 中770&//^0^^￡7 ，定义3为S细胞停止资源竞争的刺激阈值，3E/ 。
(5) 训练抗原间的平均距离(D/sto"ce 772my/zoW,Dr)，通过公式(3)计算训 练抗原之间亲和力得到，其中^表示用于训练的抗原总数，且p， /， y 均为正整数，距离阈值比例(ZXstowce 772ms/zoW5"c"/w，Dr5)为正实
数，由用户进行设置，z)r和Dra用于控制人工免疫系统中的相似记
忆细胞以减少记忆细胞的数目。
本发明原理主要通过以下技术方案来达到的，具体包括训练抗原数据收 集，人工免疫系统学习以及网络异常检测。
训练抗原数据收集，该模块首先收集网络流量特征数据，作为训练抗原特 征向量的特征值，再将特征值进行标准化，然后将抗原类别标识为正常或异 常，作为人工免疫系统的训练抗原，最后根据公式(3)计算训练抗原间的平均 距离。
人工免疫系统学习，即人工免疫系统对训练抗原数据的学习，具体包括 初始化抗体集合和记忆细胞集合，抗体细胞克隆和变异，抗体细胞资源竞争， 记忆细胞集控制和更新，以及判断是否继续学习等五个步骤。初始化抗体集 合和记忆细胞集合，该过程从训练抗原中随机选出一些抗原生成最初的抗体 集B和记忆细胞集M;在初始化完成后，人工免疫系统开始对每一个训练抗原
g的学习，首先进行的是抗体细胞克隆和变异，在该过程中，首先从记忆细胞集合中寻找与g同类且最大刺激的记忆细胞作为匹配记忆细胞，然后对匹配记 忆细胞进行克隆(即复制)以生成克隆抗体细胞，再对所有克隆抗体细胞特 征向量的各个特征值及类别进行变异，其变异概率按照匹配记忆细胞与g之间 的亲和力，最后将其中变异的克隆抗体细胞加入抗体细胞集合i5中；抗体细胞
资源竞争的过程，首先计算J5细胞集中所有与g同类的抗体细胞6与g间的刺激
值，再将刺激值标准化为0和1之间的实数，然后根据刺激值对i5细胞分配资源， 如果分配万细胞的资源超过7bto/^^wce，则依次删除分配资源少的S细胞， 直到分配的资源数不超过7bto/i "ow"e，最后统计与g同类的S细胞平均刺激 值3，如果超过5细胞停止资源竞争的刺激阈值，即收敛后，则停止资源竞争， 否则重新开始进行资源竞争的过程；记忆细胞集控制和更新的过程则在资源 竞争停止后，从抗体细胞集万中挑选出与当前正在学习的g同类且剌激最大的 抗体细胞M乍为候选记忆细胞，分别计算候选记忆细胞和匹配记忆细胞与g之 间的刺激值，如候选记忆细胞与g之间的刺激值大于匹配记忆细胞与g之间的 刺激值，则将候选记忆细胞加入记忆细胞集，并计算匹配记忆细胞与其它任 一记忆细胞间亲和力，如小于Dr和Dre乘积，则从记忆细胞集合M中删除匹配
记忆细胞；在完成一个训练抗原的学习后，判断是否还有没有学习的抗原， 如果有就继续学习，否则终止人工免疫系统的学习过程。
网络异常检测在人工免疫系统完成对每个训练抗原的学习后，该模块首先 输入待检抗原到人工免疫系统，然后计算记忆细胞集合M中所有记忆细胞与 待检抗原之间的亲和力，并按亲和力从小到大进行排序，然后由其中A:个亲 和力最小的记忆细胞根据自己的正异常类别进行投票，而待检测抗原的类别 取决于二类记忆细胞投票数目多的类别。在进行网络异常检测的过程中，由 于该方法只需要计算待检抗原与己有记忆细胞的亲和力，因此本发明具有检 测速度快的优点。
以下结合附图详细说明本发明的具体方法。
如图1所示，本发明由训练抗原数据收集、人工免疫系统学习以及网络异 常检测三个模块组成。具体地，本发明提出的基于人工免疫原理的网络异常检测方法包括以下步
骤
1) 训练抗原数据收集的步骤；
2) 人工免疫系统学习的步骤；
3) 网络异常检测的步骤。
如图2所示，训练抗原数据收集的步骤包括四个步骤首先收集网络流量 特征数据，作为训练抗原特征向量的特征值，再将训练抗原特征向量的特征 值进行标准化，然后将训练抗原的抗原类别标识为正常和异常，将这些数据 作为人工免疫系统的训练抗原数据，最后是计算训练抗原间的平均距离，具 体的步骤过程如下
1. 收集网络流量特征数据的步骤以旁路侦听方式获取正异常网络环境 下单位时间流入字节数、流出字节数、TCP连接数、ICMP数据包数、紧急数 据包数等描述网络事务的特征数据，作为训练抗原特征向量的特征值。
2. 训练抗原特征向量标准化的步骤将所有训练抗原特征向量的各个特 征值标准化为0和1之间的实数，本方法采用公式(4)对所有抗原进行标准化。
鹏'"(g,乂) (4)
' 附似(g'乂)—则'"(g.乂)
3. 训练抗原的抗原类别标识的步骤根据网络运行实际状况，分别将这 些训练抗原的抗原类别标识0或1，即正常或异常。抗原经过上述步骤处理后， 将作为训练人工免疫系统的训练抗原。
4. 计算训练抗原间的平均距离的步骤通过公式(3)计算所有训练抗原间
的平均距离Dr。
如图3所示，人工免疫系统对每一个训练抗原的学习包括初始化抗体集 合和记忆细胞集合，抗体细胞的克隆和变异，抗体细胞资源竞争，记忆细胞 集更新和控制，判断是否继续进行学习等五个步骤，具体步骤如下
1.初始化抗体集合和记忆细胞集合的步骤随机从训练抗原集(7中选择^为正整数，f《/7)个抗原分别加入抗体集合B和记忆细胞集合M中，构
成最初的抗体集合B和记忆细胞集合M。
2.抗体细胞克隆和变异的步骤，具体包括，读入一个训练抗原，寻找 匹配记忆细胞，对匹配记忆细胞进行克隆，产生克隆抗体细胞，对克隆抗体 细胞进行变异，最后将变异的克隆抗体细胞及匹配记忆细胞加入抗体集合中
等五个步骤，具体步骤如下
a) 读入一个训练抗原的步骤读入一个还没有进行学习的训练抗原，幵 始人工免疫系统的学习过程。
b) 寻找匹配记忆细胞的步骤在对抗原进行学习过程中，按公式(5)从记
忆细胞集合M中找出与当前抗原g同类且刺激最大的w作为匹配记忆细
胞W自eh，如找不到，则将g作为附n^h并将其加入记忆细胞集合M中。
附={ g iffMgc=0 她11 1 argmax5Wm(g,w) otherwise (5)
meCg.c
C)对匹配记忆细胞进行克隆的步骤对m自eh进行克隆(即复制)，以产 生新的克隆抗体细胞6，其具体克隆数量为 7Vw附C7o"eS^c/o"a/7 afe承/SV/附(附match, g)， 其中c/owa/i fl!fe是用户设定的正
整数，c/o/wWafe决定克隆多少6，典型值为IO。
d) 对克隆抗体细胞进行变异的步骤克隆抗体细胞的各个特征值和类别 按式(l)计算的附n^h和g的亲和力值为变异概率进行变异。
e) 抗体集合更新的步骤将所有克隆生成的细胞中发生变异的细胞和 Wn^h都加入到抗体集合B中。
3.抗体细胞资源竞争的步骤抗体细胞S分配的资源总数有恒定值 7btoW^OWM，在完成克隆选择过程后，对与抗原同类的每个6进行资源分配， 分配的原则是和当前g有较高刺激值的S细胞分配有较多的资源，同时分配
的资源总和要小于7bto/i asowrce。如果超过rota/i wowrce，则产生i5细胞对 资源的竞争，占有资源少的^细胞死亡，只有占有资源多，即受抗原刺激大 的细胞才能生存，从而达到控制S细胞数量的目的，具体按以下步骤进行a) 计算抗体细胞剌激值的步骤按公式(2)计算抗体集合中每个与g同类的
6的刺激6.Wm。
b) 正规化刺激值的步骤找出a)步骤中最大刺激值m皿Wm和最小刺激值 w/"幼'附，并按公式(6)正规化剌激值。
/ .5/^m =- in 6. c = g. c
C)根据刺激值分配资源的步骤根据6和g的正规化后的刺激值，按式(7) 计算分配给6的资源。
/ ,resowrces 二 Z ,W/附* c/o/7"/i a/e iff 6.c = (7)
(1)统计资源总数的步骤统计S细胞在本过程C)步骤分配的资源总数。
e) 对抗体细胞进行死亡的步骤资源总数如大于给定的资源总数 7bto/ie"OM/re，则依次将分配资源小抗体细胞集合中的6死亡，即删除
该抗体细胞。
f) 随机生成抗体细胞并加入抗体集的步骤从抗体集中随机地选择一些 生存下来的抗体细胞，并进行克隆和变异后并加入抗体集合B中，该过 程与本模块步骤3的b)、 c)、 d)步骤类似。
g) 计算抗体细胞平均刺激值的步骤按式(8)计算与抗原同类5的平均刺激值5。
s = ^V^~ iff & e A and 6.c = g.c (8)
h)判断是否继续资源竞争的步骤:如S不大于给定的平均刺激阈值3，既抗
体细胞没有收敛，则转到本过程的a)，否则转到本模块的步骤4。
4.记忆细胞集更新和控制的步骤首先从抗体集合S中挑选出候选记忆细
胞，然后将候选记忆细胞加入记忆细胞集，并进行记忆细胞集控制，具体步
骤如下
a)挑选候选记忆细胞的步骤按式(9)从S中挑选出与g同类的细胞且刺激
最大的/"乍为候选记忆细胞/^and。
16附咖d = arg Pax 5Ww(g, 6) iff= g.c m、
fc W
b) 计算刺激值的步骤按式(2)分别计算W，d和m自eh对当前学习抗原g的
刺激值，分别为Ga"c^/w和Mafc/z5Ww 。
c) 判断是否加入候选记忆细胞的步骤如果Cam^"m小于Mafc/zSHm，则转到本过程的步骤5，否则进行下一个步骤d)。
d) 更新记忆细胞集的步骤则将m^d加入记忆细胞集合M中，即Mg.c=Mg.cu{mcand}。
e) 记忆细胞集控制的步骤按式(l)计算m,eh与其它任一记忆细胞间亲和力，如小于Dr与Z)7^乘积(D7^为正实数，可取l)，则从记忆细胞集合M中删
5.判断是否继续学习的步骤如果训练集还有抗原没有进行学习，转到本模块的步骤2，重复进行人工免疫系统学习过程，否则结束人工免疫系统的学习过程。
如图4所示，网络异常检测过程由人工免疫系统中的记忆细胞集合M与检测抗原g最小亲和力的&个记忆细胞(k nearest neighbor, kNN)进行投票决定，具体步骤以下
1. 将待检抗原输入的步骤以旁路侦听方式获取网络单位时间流入字节
数、流出字节数、TCP连接数、ICMP数据包数、紧急数据包数等描述网络事务的特征数据，作为待检抗原g的特征向量，输入已经完成训练的人工免疫系统。
2. 计算记忆细胞和检测抗原之间亲和力的步骤计算出人工免疫系统中所有记忆细胞与检测抗原g之间的亲和力。
3. 按亲和力从小到大进行排序的步骤按本过程步骤1计算出的亲和力
进行排序，其中&个亲和力最小的记忆细胞构成集合^4，由于整个数据集只包含正常和异常二个状态，因此，A的具体数值为奇数。4. 记忆细胞投票决定检测抗原类别的步骤由A4中的记忆细胞根据自己的正异常类别进行投票，而待检测抗原的类别取决于二类记忆细胞投票数目多的类别，其中caW函数表示集合元素的个数，具体如(10)方式所示。
j 0 iff c"ni({m|/weAfk, m.c=0})〉carc/({m|weA/k, w.c=l})1 otherwise
5. 判断是否继续检测的步骤如果存在未检抗原，转入本模块的步骤l，否则结束异常检测的过程。
权利要求
1、一种基于人工免疫原理的网络异常检测方法，其特征是首先进行训练抗原数据收集，即通过收集正异常网络环境下描述网络事务的特征数据，在对特征数据进行标准化和正异常类别标识处理后，作为训练人工免疫系统的训练抗原；然后是人工免疫系统学习的步骤，人工免疫系统通过每一个训练抗原的学习，进行抗体细胞进化，在抗体细胞收敛后，优选出最佳的抗体细胞对记忆细胞进行更新；最后是网络异常检测步骤，通过已训练人工免疫系统中的记忆细胞对网络进行异常检测。
2、 据权利要求1所述的一种基于人工免疫原理的网络异常检测方法，其 特征是训练抗原数据收集步骤包括以下步骤(1) 收集网络流量特征数据的步骤，即以旁路侦听方式获取正异常网络 环境下单位时间流入字节数、流出字节数、TCP连接数、ICMP数据包数、紧 急数据包数等描述网络事务的特征数据，作为训练抗原特征向量的特征值；(2) 训练抗原特征向量标准化的步骤，将训练抗原的特征向量各个特征 值标准化为[O， l]间的实数；(3) 训练抗原的抗原类别标识的步骤，将训练抗原类别根据网络正异常 情况标识为0或1，即正常或异常；(4) 计算训练抗原间的平均距离的步骤，即计算训练抗原间的平均距离。
3、 据权利要求l所述的一种基于人工免疫原理的网络异常检测方法，其特征是人工免疫系统学习步骤包括以下步骤初始化抗体集和记忆细胞集、抗体细胞克隆和变异、抗体细胞资源竞争、 记忆细胞集更新和控制、判断是否继续进行学习等五个步骤。
4、 据权利要求3所述的一种基于人工免疫原理的网络异常检测方法，其 特征是初始化抗体集和记忆细胞集，即随机从训练抗原中挑选出一些抗原加 入抗体集合和记忆细胞集合，构成最初的抗体集合和记忆细胞集合。
5、 据权利要求3所述的一种基于人工免疫原理的网络异常检测方法，其特征是抗体细胞克隆和变异的步骤包括(1) 读入一个训练抗原的步骤，读入一个没有学习过的训练抗原；(2) 寻找匹配记忆细胞的步骤，从记忆细胞集中寻找与正学习抗原同类 K刺激最大的记忆细胞作为匹配记忆细胞，如没有同类记忆细胞，则将训练 抗原作为匹配记忆细胞并加入记忆细胞集；(3) 对匹配记忆细胞进行克隆的步骤，对匹配记忆细胞进行复制；(4) 对克隆抗体细胞进行变异的步骤，对克隆抗体细胞的特征向量各特 征值和抗原类别按匹配记忆细胞和训练抗原间的亲和力值为变异概率进行变(5) 抗体集合更新的步骤，将克隆抗体细胞中变异的抗体细胞加入抗体细胞集合中。
6、 据权利要求3所述的一种基于人工免疫原理的网络异常检测方法，其 特征是抗体细胞资源竞争的步骤包括(1) 计算抗体细胞刺激值的步骤，计算抗体集合中每个与训练抗原同类的抗体细胞的刺激值；(2) 正规化刺激值的步骤，将刺激值标准化为[O, l]间的实数；(3) 根据刺激值分配资源的步骤，根据刺激值计算分配给抗体细胞的资源；(4) 统计资源总数的步骤，统计分配给抗体细胞的资源总数；(5) 对抗体细胞进行死亡的步骤，资源总数如大于给定的资源总数，则依次将分配资源小抗体细胞进行死亡，即删除该抗体细胞；(6) 随机生成抗体细胞并加入抗体集的步骤，从抗体集中随机地选择一 些生存下来的抗体细胞，并进行克隆和变异后并加入抗体集合中；(7) 计算抗体细胞平均剌激值的步骤，计算与抗原同类抗体细胞的平均 刺激值；(8) 判断是否继续资源竞争的步骤，如平均刺激值不大于给定的停止资 源竞争的刺激阈值，即如果没有收敛，则重新幵始资源竞争，否则转到记忆 细胞集更新和控制步骤。
7、 据权利要求3所述的一种基于人工免疫原理的网络异常检测方法，其 特征是记忆细胞集更新和控制的步骤包括(1) 挑选候选记忆细胞的步骤，从抗体细胞集中与挑选出与正学习抗原 同类且最大刺激值的抗体细胞作为候选记忆细胞；(2) 计算刺激值的步骤，分别计算候选记忆细胞和匹配记忆细胞与训练 抗原之间的刺激值，分别为OwW5^m和Mafc/z&fm;(3) 判断是否加入候选记忆细胞的步骤，如果C"m/&^小于Mafc/z&'m， 则结束记忆细胞集更新和控制步骤，否则进行下一个步骤；(4) 更新记忆细胞集的步骤，将候选记忆细胞加入记忆细胞集；(5) 记忆细胞集控制的步骤，计算匹配记忆细胞与其它任一记忆细胞间 亲和力，如小于训练抗原间的平均距离与距离阈值比例的乘积，则从记忆细 胞集中删除匹配记忆细胞。
8、 据权利要求3所述的一种基于人工免疫原理的网络异常检测方法，其 特征是判断是否继续学习的步骤，即如果训练集还有抗原没有学习，人工免 疫系统则对其进行学习，否则结束人工免疫系统的学习过程。
9、据权利要求1所述的一种基于人工免疫原理的网络异常检测方法，其特征是网络异常检测的步骤包括以下步骤(1) 将待检抗原输入的步骤，以旁路侦听方式获取网络单位时间流入字节数、流出字节数、TCP连接数、ICMP数据包数、紧急数据包数等描述网络事务的特征数据，作为待检抗原的特征向量，输入已经完成训练的人工免疫系统；(2) 计算记忆细胞和待检抗原之间亲和力的步骤，计算人工免疫系统所有记忆细胞与待检抗原之间的亲和力；(3) 按亲和力从小到大进行排序的步骤，将亲和力从小到大进行排序；(4) 记忆细胞投票决定待检抗原类别的步骤，由A个亲和力最小的记忆细胞根据自己的正异常类别进行投票，而待检测抗原的类别取决于记忆细胞投票数目多的类别；(5) 判断是否继续检测的步骤，判断是否还有未检测的抗原，如果有则继续检测，否则终止检测过程。
全文摘要
本发明提出了一种基于人工免疫原理的网络异常检测方法，属于信息安全领域。本发明通过模拟生物免疫系统对外界抗原的响应，通过训练抗原数据收集，人工免疫系统学习，以及网络异常检测三个模块实现了一种检测准确率高、并且能够快速检测的网络异常检测方法。本发明具有生物免疫系统的非线性，以及克隆选择、免疫网络和免疫记忆等优良特征，解决了目前网络异常检测中存在的检测速度慢，检测准确率低的问题。本发明亦可广泛应用于模式识别、机器学习等领域，具有广阔的应用前景。
文档编号H04L29/06GK101478534SQ200810219788
公开日2009年7月8日 申请日期2008年12月2日 优先权日2008年12月2日
发明者刘双印, 健 张, 彭凌西, 徐龙琴, 朱旭东, 梁春林, 沈玉利, 锐 范, 陈月峰 申请人:广东海洋大学