专利名称:基于否定选择和信息增益的入侵检测方法
技术领域:
本发明属于网络安全领域,涉及一种网络数据异常检测方法,可用于网络数据分析,及时识别异常的网络数据,以及对未知病毒模式的扩展,使其能够更好的保障网络安全。
背景技术:
网络安全的问题随着hternet的发展,越来越受到人们的关注。这主要是由于 Internet是一个开放的系统,所有的使用者都能对系统进行研究并提出问题,这样就针对安全性提出了很多问题。在^ternet上也发生过相当多的安全问题,使得安全问题进一步为大家所关注。提到网络安全,很多人首先想到的是防火墙,防火墙作为一种静态的访问控制类安全产品通常使用包过滤的技术来实现网络的隔离。适当配置的防火墙虽然可以将非预期的访问请求屏蔽在外,但不能检查出经过他的合法流量中是否包含着恶意入侵代码。 在这种需求背景下,急需一种能够有效检测网络入侵行为的工具,维护网络安全。互联网已经成为人们生活中不可缺少的一部分,但其从一开始就是不安全的。互联网最初的实际目的是开放互联,而不是安全性。中国互联网络信息中心CNNIC在2010年 7月15日发布的统计报告显示,截至2010年6月底,中国网民规模达到了 4. 2亿,突破了 4 亿大关,其中大部分的中国互联网用户的计算机曾被入侵过。除了计算机病毒外,广大互联网用户还面临黑客Hacker的威胁。黑客行为在全世界范围内活动,随处可以下载的黑客工具使得网络攻击更加容易。病毒加黑客,将给互联网带来巨大的危害。网络技术的快速发展和广泛应用,不但使得网络的结构越来越复杂,也给网络安全带来许多新的问题。网络的不安全,不仅会造成大量的人力、物力资源的浪费,竞争优势的丧失,公司商业机密信息或研究技术文档的被窃,甚至会丢失有关国家的机密,进而危及国家的安全。因此网络的安全防御和针对入侵行为的检测将是一项长期而艰巨的任务。提到网络安全,很多人首先想到的是防火墙,防火墙作为一种静态的访问控制类安全产品通常使用包过滤的技术来实现网络的隔离。适当配置的防火墙虽然可以将非预期的访问请求屏蔽在外,但不能检查出经过他的合法流量中是否包含着恶意入侵代码。为了使防火墙生效,进入可信网络的所有数据传输部必须经过防火墙。不幸的是许多人使用 Modem从安全网络连接到外部网路,入侵者可能利用这些连接绕过防火墙进入可信网路。而且,即使有人闯过防火墙,防火墙也无法知道正在发生的事情。入侵检测是对防火墙的非常有益的补充,能够帮助网络系统快速发现网络攻击的发生,扩展了系统管理员的安全管理能力,包括安全审计、监视、攻击识别和响应,提高了信息安全基础结构的完整性。与传统的被动式防御的防火墙相比,入侵检测作为一种积极主动的安全防护技术,提供了对内部攻击、外部攻击和误操作的实时保护,它能很好地弥补防火墙的不足,在不牺牲网络性能的前提下对网络进行检测,可以看作防火墙之后的第二道安全闸门。它可以识别出系统是否被入侵,从而做出及时的反应,切断网络连接、记录时时间和报警,提醒系统管理员采取相应的措施,进一步可以提供法律上的依据,避免系统受到进一步的侵害。入侵方式不同,入侵检测的策略和模型也不一样。在这种环境下,入侵检测系统IDS成为了安全市场上新的热点,不仅愈来愈多地受到人们的关注,而且已经开始在军事、金融、政务、商业、交通、电力等行业中发挥其关键作用。网络入侵检测实际上就是对异常网络数据的检测,否定选择算法NSA作为一种基于人体免疫系统的仿生学算法,被广泛的应用于异常数据检测领域,它是从人体对抗外界病毒时,免疫系统的工作机理中受到启发,形成了 NSA的基本框架,其应用于异常网络数据检测的基本原理可被描述如下将已知的正常网络行为作为自体集合,在训练阶段,让随机产生的检测器经历一个类似于自我耐受过程的否定选择过程,即让产生的检测器也称为候选检测器与自体集合的所有模式按照一定的匹配规则进行匹配试验,丢弃与自体集合匹配的候选检测器,而那些不与自体集合匹配的候选检测器则作为有效检测器。因此,有效检测器就是一个非自体模式串,由这些有效检测器构成的集合称为检测系统的检测器。在测试阶段,使用检测器来检测所有的模式,这些模式是从流经网络的数据分组中抽象提取出来的。一旦检测器中的某个检测器与待检模式发生匹配,就表明检测到某个非自体模式串,就会向系统发出警报。NSA的检测效果主要取决于生成的检测器对异常区域的覆盖效果,当自体集合中的数据为高维时,很难达到满意的覆盖效果。由于网络数据属于高维数据并含有很多的冗余信息,所以造成了 NSA用于网络入侵检测时,检测效果不稳定,正检率低,误报率过高的问题。
发明内容
本发明的目的在于克服上述NSA直接用于网络数据异常检测中的不足,提出一种基于否定选择和信息增益的入侵检测方法,以实现用较少的训练数据,较短的检测时间对网络入侵行为的稳定检测效果,提高正检率,降低误报率。本发明的技术方案是通过对已知的正常网络数据进行信息增益分析,获得信息增益大的特征,采用NSA实现网络数据集中的异常行为检测。具体实现步骤如下(1)从KDD99的数据训练集中读入正常网络数据,作为自体模式集S ;(2)对自体模式集S中的数据依次进行特征转化、归一化和离散化处理;(3)计算处理后数据的每一维特征的信息增益G(F) = Ks1, . . . , sm)-E(F)其中I(Sl,S2, ... , Sm)表示判别一个给定样本的标签所需的期望信息,计算公式为
权利要求
1.一种基于否定选择和信息增益的入侵检测方法,包括如下步骤(1)从KDD99的数据训练集中读入正常网络数据,作为自体模式集S;(2)对自体模式集S中的数据依次进行特征转化、归一化和离散化处理;(3)计算处理后数据的每一维特征的信息增益 G(F) = I (S1,..., sm)-E (F)其中I(Sl,s2, ... , sffl)表示判别一个给定样本的标签所需的期望信息,计算公式为
2.根据权利要求1所述的入侵检测方法,其特征在于步骤( 所述的对自体模式集S 中的数据依次进行特征转化、归一化和离散化处理,按如下步骤进行2a)对于某一维文本特征,将其包含的各种类型依次赋整数值,这样就将其转化为数值特征;2b)对转化后的数值特征利用如下公式进行归一化
3.根据权利要求1所述的入侵检测方法,其特征在于步骤(4)所述的采用NSA算法生成检测器集D,具体实现步骤如下3a)随机生成候选检测器d,计算其与所有自体模式之间的欧氏距离D(d,Si)
全文摘要
本发明公开了一种基于否定选择和信息增益的入侵检测方法,主要解决现有NSA方法检测效果差且不稳定的问题,其实现步骤是(1)读入自体模式集;(2)对读入的自体模式集中的数据进行转化、归一化和离散化处理;(3)计算处理后的41维特征的信息增益;(4)根据计算的信息增益值结果,选取信息增益值由大到小排序中的前N维特征,以这N维特征中的数据作为自体模式集,训练生成检测器集;(5)利用生成的检测器集对测试集中的数据进行检测。本发明具有正检率高、误报率实低,且在在训练数据较少时仍能取得满意检测效果的优点,可用于及时识别异常的网络数据,保证网络安全。
文档编号H04L29/06GK102164140SQ20111010107
公开日2011年8月24日 申请日期2011年4月22日 优先权日2011年4月22日
发明者公茂果, 刘芳, 张建, 方玲芬, 段婷婷, 焦李成, 王彦涛, 马文萍, 马晶晶 申请人:西安电子科技大学