專利名稱:一種基于生物免疫機(jī)制的主機(jī)入侵檢測(cè)方法
技術(shù)領(lǐng)域:
本發(fā)明涉及計(jì)算安全技術(shù)中的主機(jī)入侵檢測(cè)方法���,具體地說是一種借鑒生物免疫機(jī)制確定模糊關(guān)聯(lián)規(guī)則庫���,基于模糊關(guān)聯(lián)規(guī)則庫通過模糊分類來對(duì)主機(jī)的監(jiān)測(cè)行為實(shí)施入侵檢測(cè)的方法�����。
背景技術(shù):
隨著計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)的發(fā)展,計(jì)算機(jī)系統(tǒng)安全問題越來越受到重視����。基于主機(jī)的入侵檢測(cè)技術(shù)通過對(duì)特定的宿主主機(jī)的審計(jì)數(shù)據(jù)進(jìn)行檢測(cè)和分析�,發(fā)現(xiàn)針對(duì)主機(jī)的入侵和攻擊行為,并作出及時(shí)和有效的相應(yīng)保護(hù)措施����。主機(jī)入侵檢測(cè)技術(shù)是一種主動(dòng)的系統(tǒng)安全策略和方案,它能夠彌補(bǔ)傳統(tǒng)的網(wǎng)絡(luò)防火墻技術(shù)所暴露出的眾多不足和弱點(diǎn)����。由于主機(jī)的監(jiān)測(cè)行為是動(dòng)態(tài)變化的,為了保證宿主主機(jī)系統(tǒng)的安全�����,主機(jī)入侵檢測(cè)系統(tǒng)必須能夠隨著主機(jī)監(jiān)測(cè)行為的動(dòng)態(tài)變化而自適應(yīng)地變化����,確保能迅速地發(fā)現(xiàn)系統(tǒng)中新出現(xiàn)的異常和入侵行為���,并及時(shí)作出響應(yīng),保證系統(tǒng)的安全性要求�。通常模糊關(guān)聯(lián)規(guī)則挖掘方法中采用窮舉式搜索策略,算法的運(yùn)行時(shí)間長(zhǎng)����,效率低。
發(fā)明內(nèi)容
本發(fā)明所要解決的技術(shù)問題是提供一種基于生物免疫機(jī)制的主機(jī)入侵檢測(cè)方法�����, 具有自適應(yīng)和自組織確定模糊關(guān)聯(lián)規(guī)則庫的優(yōu)勢(shì)����,可以達(dá)到有效保護(hù)宿主主機(jī)系統(tǒng)信息安全的目的。本發(fā)明為解決上述技術(shù)問題所采用的技術(shù)方案是一種基于生物免疫機(jī)制的主機(jī)入侵檢測(cè)方法��,包括基于生物免疫機(jī)制確定模糊關(guān)聯(lián)規(guī)則庫的階段和根據(jù)模糊關(guān)聯(lián)規(guī)則庫對(duì)主機(jī)監(jiān)測(cè)行為的實(shí)時(shí)數(shù)據(jù)進(jìn)行入侵檢測(cè)的階段���;具體方法為
(一)��、確定模糊關(guān)聯(lián)規(guī)則庫的階段
(1)����、將已有的主機(jī)審計(jì)數(shù)據(jù)中的歷史入侵實(shí)例進(jìn)行屬性約簡(jiǎn)和統(tǒng)一編碼,選擇支持度高于設(shè)定閾值的屬性作為約簡(jiǎn)后的屬性集合�����;
(2)���、確定約簡(jiǎn)后的屬性集合中每個(gè)屬性所對(duì)應(yīng)的語言術(shù)語以及相應(yīng)的隸屬度函數(shù);對(duì)每個(gè)屬性進(jìn)行模糊化����,并且統(tǒng)一采用一定數(shù)量語言術(shù)語進(jìn)行描述,其對(duì)應(yīng)的隸屬度函數(shù)采用三角形隸屬度函數(shù)��;
(3)��、隨機(jī)生成初始抗體種群����,種群中每個(gè)個(gè)體的編碼形式如下為
( , ,-", ), CSfj € {O, I, 2,■■·,*}, =1,2,···,
其中m表示每個(gè)屬性所對(duì)應(yīng)的模糊集合數(shù)目或模糊術(shù)語數(shù)目,η表示所有的屬性數(shù)目�����;
(4)、基于個(gè)體的親和度函數(shù)評(píng)價(jià)種群中每個(gè)個(gè)體的優(yōu)劣�,從中選擇一定比例親和度最高的個(gè)體進(jìn)行后續(xù)的克隆和變異操作,其中個(gè)體的親和度為其所對(duì)應(yīng)的模糊關(guān)聯(lián)規(guī)則的確
信度��;
(5)�����、基于每個(gè)個(gè)體的親和度值和密度確定選取的個(gè)體的克隆數(shù)目���,克隆數(shù)目的計(jì)算公式為
權(quán)利要求
1.一種基于生物免疫機(jī)制的主機(jī)入侵檢測(cè)方法�,其特征在于包括基于生物免疫機(jī)制確定模糊關(guān)聯(lián)規(guī)則庫的階段和根據(jù)模糊關(guān)聯(lián)規(guī)則庫對(duì)主機(jī)監(jiān)測(cè)行為的實(shí)時(shí)數(shù)據(jù)進(jìn)行入侵檢測(cè)的階段����;具體方法為(一)、確定模糊關(guān)聯(lián)規(guī)則庫的階段(1)��、將已有的主機(jī)審計(jì)數(shù)據(jù)中的歷史入侵實(shí)例進(jìn)行屬性約簡(jiǎn)和統(tǒng)一編碼�,選擇支持度高于設(shè)定閾值的屬性作為約簡(jiǎn)后的屬性集合;(2)�、確定約簡(jiǎn)后的屬性集合中每個(gè)屬性所對(duì)應(yīng)的語言術(shù)語以及相應(yīng)的隸屬度函數(shù);對(duì)每個(gè)屬性進(jìn)行模糊化���,并且統(tǒng)一采用一定數(shù)量的語言術(shù)語進(jìn)行描述�����,其對(duì)應(yīng)的隸屬度函數(shù)采用三角形隸屬度函數(shù)��;(3)�����、隨機(jī)生成初始抗體種群�,種群中每個(gè)個(gè)體的編碼形式如下為
全文摘要
一種基于生物免疫機(jī)制的主機(jī)入侵檢測(cè)方法,首先將已有主機(jī)審計(jì)數(shù)據(jù)中的歷史入侵實(shí)例進(jìn)行屬性約簡(jiǎn)和統(tǒng)一編碼����,確定每個(gè)屬性的語言術(shù)語及隸屬度函數(shù)��;隨機(jī)生成初始抗體種群����,并從中選擇一定比例親和度最高的個(gè)體進(jìn)行克隆和變異操作,然后更新抗體種群和記憶種群�����,最終得到建立的模糊關(guān)聯(lián)規(guī)則庫�;最后使用所得到的模糊關(guān)聯(lián)規(guī)則庫對(duì)主機(jī)監(jiān)測(cè)行為的實(shí)時(shí)數(shù)據(jù)進(jìn)行入侵檢測(cè)��;如果在主機(jī)監(jiān)測(cè)行為中出現(xiàn)新的攻擊類型�,則根據(jù)該攻擊行為確定新的關(guān)聯(lián)規(guī)則并加入到模糊關(guān)聯(lián)規(guī)則庫中��。該檢測(cè)方法具有自適應(yīng)�����、自組織��、高效率和可理解性強(qiáng)的特性�,可自適應(yīng)地確定模糊關(guān)聯(lián)規(guī)則庫,基于入侵行為的動(dòng)態(tài)變化增加模糊關(guān)聯(lián)規(guī)則庫��,達(dá)到保護(hù)宿主主機(jī)系統(tǒng)信息安全的目的����。
文檔編號(hào)G06N3/00GK102592093SQ201210011970
公開日2012年7月18日 申請(qǐng)日期2012年1月16日 優(yōu)先權(quán)日2012年1月16日
發(fā)明者侯春杰, 姜繼民, 孟令瑞, 張雷, 范波 申請(qǐng)人:河南科技大學(xué)