基于动态覆盖机制的检测器培育算法

摘要

本发明提供一种基于动态覆盖机制的检测器培育算法，本算法产生的检测器具有状态变化和生命值，入侵检测系统中的检测器集合将随时间而动态变化；通过异常检测情况来改变生命值，最终实现检测器的有效性筛选；在检测器培育阶段，由于检测器的最大最小亲和力值是通过同所有正常样本进行比较而设定的，检测器能自动适应正常样本的变化。采用本方法使入侵检测系统能自动适应网络系统特征和入侵行为的动态变化，检测器能实时更新，降低漏报率和误报率。

说明书

技术领域：

本发明涉及网络技术领域，尤其涉及网络安全，具体讲是一种用于网络环境中对数据进 行检测的基于动态覆盖机制的检测器培育算法。

背景技术：

由于因特网开放性、国际性和自由性的特点，网络的不断普及，新网络技术的应用使网 络信息安全问题变得异常重要。目前，主流的商用入侵检测系统（IDS）都是采用基于特征匹 配算法的误用检测技术，这种检测方法通过将入侵行为特征同已知样本特征库（即检测器集 合）进行匹配来判断是否发生入侵，由于入侵手段的频繁更新，使系统样本特征库更新滞后， 难于发现较新的入侵，导致了较高的漏报率；此外，各计算机网络系统平台的差异性和计算 机网络系统特征的动态变化，如系统软件的频繁更新和用户活动的改变，都会引起部分样本 特征失效，导致较高的误报率和漏报率。

发明内容：

本发明解决的技术问题是，克服现有的技术缺陷，提供一种使入侵检测系统能自动适应 网络系统特征和入侵行为的动态变化，检测器能实时更新，降低漏报率和误报率的基于动态 覆盖机制的检测器培育算法。

首先给出本发明中一些概念定义及参数定义：

检测器:包含实数向量、最大、最小正常距离、状态、生命值、异常距离值这几个属性。

实数向量：入侵检测系统对网络行为的表述方式，入侵检测系统通过对网络行为的采集 编码生成该网络行为的实数向量。

异常距离：为检测器中的实数向量和网络采集到的网络实数向量之间的距离。

覆盖距离：为两个检测器中的实数向量间的距离。

最大最小正常距离：检测器中的实数向量和所有正常样本的实数向量之间的最大最小正 常距离。

状态：对检测器性质的定义，分为临时和有效两种状态。

生命值：对检测器本身所能存在时间长度的定义，如果生命值为0，则该检测器会被移 除消失。

检测器集合分为两大类：临时检测器集合和有效检测器集合。

最大检测次数：某一样本如果检测次数超过该值还未被检测为异常，则认为是正常。

生命值调整参数、重叠次数：用于控制检测器数量。

目标检测率：用于估计检测器数量。

本发明提供的技术方案是：本发明提供一种基于动态覆盖机制的检测器培育算法，它包 括以下步骤：

步骤（1）、参数初始化，设定算法参数：包括最大检测次数，检测器生命值，生命值调 整参数；

步骤（2）、采用公开的网络正常样本产生第一临时检测器集合；

步骤（3）、对待检测的网络数据进行采集编码得到向量v，采用有效检测器集合对该网 络数据进行检测，如果有效检测器集合为空，则进入下一步，如果其中某有效检测器检测到 异常，则改变入侵检测频率值，并增加该有效检测器的生命值，增加值为异常数量*生命值调 整参数，如果未检测到异常，则将该有效检测器的生命值减1，并进行下一步，若某有效检 测器的生命值为0，则将生命值为0的有效检测器从有效检测器集合中移除；

步骤（4）、采用第一临时检测器集合进行检测，如果其中某临时检测器检测到异常，则 改变入侵检测频率值，并将该临时检测器加入到有效检测器集合中，然后增加该检测器的生 命值，增加值为异常数量*生命值调整参数*入侵检测频率值，如果未检测到异常，则进行下 一步；

步骤（5）、繁殖临时检测器集合：以目前所有临时检测器集合以及有效检测器集合中异 常距离最大的检测器为父代，通过亲和力繁殖产生第二临时检测器集合，繁殖的后代数量正 比于（异常距离值+异常数量）；

步骤（6）、采用第二临时检测器集合进行检测，如果其中某临时检测器检测到异常，则 改变入侵检测频率值，并将该临时检测器加入到有效检测器集合中，然后增加该检测器的生 命值，增加值为异常数量*生命值调整参数*入侵检测频率值，如果未检测到异常，则进行下 一步；

步骤（7）、随机产生第三临时检测器集合，并采用第三临时检测器集合进行检测，如果 其中某临时检测器检测到异常，则改变入侵检测频率值，并将该临时检测器加入到有效检测 器集合中，然后增加该检测器的生命值，增加值为异常数量*生命值调整参数*入侵检测频率 值；

步骤（8）、如果未检测到异常，则回到步骤（5），直到向量v的检测次数达到设定的最 大检测次数时，还未检测出异常，则认为该网络数据正常，并将向量v加入到正常样本库。

所述步骤（2）中采用公开的网络正常样本产生第一临时检测器集合以及步骤（7）中随 机产生第三临时检测器集合均采用以下步骤：

a、随机产生一个实数编码的向量；

b、向量和正常样本库中的每个正常样本进行距离计算得到最大正常距离和最小正

常距离，得到临时检测器；

c、如果临时检测器和现有的临时检测器集合中的任一个检测器距离小于最小正常

距离，则重叠次数加1，否则把临时检测器加入临时检测器集合，并回到步骤a；

d、直到重叠次数大于1/（1-目标检测率），则停止，所述目标检测率为设定参数。

采用上述方法后，本发明具有以下优点：

在入侵检测中存在两种报错，误报和漏报。引起误报的原因是由于正常网络行为动态变化， 如用户行为或软件更新，导致新的正常行为被误报为异常。引起漏报主要是因为新的入侵行 为没有被现有有效检测器覆盖到。总之正常网络行为动态变化和新入侵行为的出现导致了现 有系统的误报率和漏报率。

由于本发明提出的算法产生的检测器具有状态变化和生命值，入侵检测系统中的检测器集 合将随时间而动态变化；通过异常检测情况来改变生命值，最终实现检测器的有效性筛选。 在检测器培育阶段，由于检测器的最大最小亲和力值是通过同所有正常样本进行比较而设定 的，检测器能自动适应正常样本的变化；当有新的入侵发生时，采用本算法能通过亲和力繁 殖培育迅速识别，产生新的检测器，实现检测器自动适应入侵行为的改变；通过检测器亲和 力繁殖培育和随机培育两种机制实现了通用和专业检测器、异常和误用检测器的结合。使检 测器能够实时更新，降低了入侵检测中的漏报率和误报率，检测准确性较高。

附图说明：

附图1为本发明中正常样本库及最大正常距离、最小正常距离的说明示意图；

附图2为本发明的检测流程示意图；

具体实施方式：

下面结合附图和具体实施例对本发明做详细说明：

如图1所示：环形内的为正常样本库，环形外的为异常，则检测器距离环形内圈的距离 为最小正常距离，检测器距离环形外圈的距离为最大正常距离。

图2为本发明的检测流程示意图；本发明提供一种基于动态覆盖机制的检测器培育算法， 它包括以下步骤：

步骤（1）、参数初始化，设定算法参数：包括最大检测次数，检测器生命值，生命值调 整参数；

步骤（2）、采用公开的网络正常样本产生第一临时检测器集合；步骤如下：

a、随机产生一个实数编码的向量e；

b、向量e和正常样本库中的每个正常样本进行距离计算得到最大正常距离和最小正常距 离，得到临时检测器d0；检测器d0中包含实数向量、最大正常距离、最小正常距离，状态、 生命值、异常距离这几个属性。

c、如果临时检测器d0和现有的临时检测器集合中的任一个检测器的距离小于最小正常距 离，则重叠次数加1，否则把临时检测器d0加入临时检测器集合，并回到步骤a；

d、直到重叠次数大于1/（1-目标检测率），则停止，所述目标检测率为设定参数。

步骤（3）、对待检测的网络数据进行采集编码得到向量v，采用有效检测器集合对该网 络数据进行检测，如果有效检测器集合为空，则进入下一步，如果不为空，则取有效检测器 集合中的一个检测器，计算该检测器和向量v的异常距离，如果异常距离大于该检测器的最 大正常距离，或者小于该检测器的最小正常距离，则判定为异常，否则，为正常，如果其中 某有效检测器检测到异常，则改变入侵检测频率值，并增加该有效检测器的生命值，增加值 为异常数量*生命值调整参数，如果未检测到异常，则将该有效检测器的生命值减1，并进行 下一步，若某有效检测器的生命值为0，则将生命值为0的有效检测器从有效检测器集合中 移除；

步骤（4）、采用第一临时检测器集合进行检测，取第一临时检测器集合中的一个检测器， 计算该检测器和向量v的异常距离，如果异常距离大于该检测器的最大正常距离，或者小于 该检测器的最小正常距离，则判定为异常，否则，为正常，如果其中某临时检测器检测到异 常，则改变入侵检测频率值，并将该临时检测器加入到有效检测器集合中，然后增加该检测 器的生命值，增加值为异常数量*生命值调整参数*入侵检测频率值，如果未检测到异常，则 进行下一步；

步骤（5）、繁殖临时检测器集合：以目前所有临时检测器集合以及有效检测器集合中异 常距离最大的检测器为父代，通过亲和力繁殖产生第二临时检测器集合，繁殖的后代数量正 比于（异常距离值+异常数量），取正常样本库，把后代和正常样本进行距离计算，得到最大 正常距离和最小正常距离，得到第二临时检测器集合；

步骤（6）、采用第二临时检测器集合进行检测，取第二临时检测器集合中的一个检测器， 计算该检测器和向量v的异常距离，如果异常距离大于该检测器的最大正常距离，或者小于 该检测器的最小正常距离，则判定为异常，否则，为正常，如果其中某临时检测器检测到异 常，则改变入侵检测频率值，并将该临时检测器加入到有效检测器集合中，然后增加该检测 器的生命值，增加值为异常数量*生命值调整参数*入侵检测频率值，如果未检测到异常，则 进行下一步；

步骤（7）、随机产生第三临时检测器集合，步骤如下：

b、随机产生一个实数编码的向量f；

b、该向量f和正常样本库中的每个正常样本进行距离计算得到最大正常距离和最小正常 距离，得到临时检测器d1；检测器中包含实数向量、最大正常距离、最小正常距离，状态、 生命值、异常距离这几个属性。

c、如果上述临时检测器d1和现有的临时检测器集合中的任一个检测器的距离小于最小正 常距离，则重叠次数加1，否则把该临时检测器d1加入临时检测器集合，并回到步骤a；

d、直到重叠次数大于1/（1-目标检测率），则停止，所述目标检测率为设定参数。

并采用第三临时检测器集合进行检测，取第三临时检测器集合中的一个检测器，计算该 检测器和向量v的异常距离，如果异常距离大于该检测器的最大正常距离，或者小于该检测 器的最小正常距离，则判定为异常，否则，为正常，如果其中某临时检测器检测到异常，则 改变入侵检测频率值，并将该临时检测器加入到有效检测器集合中，然后增加该检测器的生 命值，增加值为异常数量*生命值调整参数*入侵检测频率值；

步骤（8）、如果未检测到异常，则回到步骤（5），直到向量v的检测次数达到设定的最 大检测次数时，还未检测出异常，则认为该网络数据正常，并将向量v加入到正常样本库。 在本实施例中，步骤（8）中未检测到异常时，将检测次数n加1，然后判断检测次数n是否 达到最大检测次数n1，如果达到最大检测次数n1，则认为该网络数据正常，如果未达到最大 检测次数n1，则跳到步骤（5）。

本发明主要分两个阶段进行：

一、训练阶段

该阶段不进行异常检测。通过公开的网络正常样本进行训练，主要目的是生成初始检测 器集，所有检测器状态为临时，即为临时检测器。通过随机产生检测器实数向量，而后进行 设定最大最小正常距离，检测器不会把正常样本检测为异常。

二、检测阶段

检测原理：如果某网络行为向量同检测器的距离大于最大正常距离或小于最小正常距离， 则该网络行为被检测为异常。

如图2为检测步骤，下一个检测步骤执行均在上一个检测后未发现异常的情况下，在亲 和力繁殖步骤，系统通过选择同当前网络行为距离最大的检测器作为父代，并产生正比于（距 离值+异常数量），通过该步骤，系统会产生大量同当前网络行为距离较大的检测器，直至产 生大于该检测器最大正常距离的有效检测器，因此，该步骤实现了系统快速检测。但是该步 骤产生检测器具有针对性，检测范围较小。随机产生步骤可以避免系统检测器陷入趋同化， 并产生检测范围较大的通用检测器。在整个检测阶段，系统通过实时调整检测器的生命值， 实现检测器动态变化。由于生命值调整决定于所检测到的异常数量和入侵频率，系统检测器 数量能实时适应网络入侵行为的变化。