论文部分内容阅读
随着互联网的快速发展,Web服务器的安全问题也愈发重要。网络攻击行为的层出不穷使得构建Web服务器入侵检测系统迫在眉睫。用于Web服务器入侵检测中的免疫算法目前主要有树突状细胞算法和反向选择算法两种。前者虽然能检测到未知类型的入侵行为,但信号提取的不准确性导致了误报率较高;后者是一种单类学习算法,对训练过的入侵类型检测结果较好,但无法检测出未知类型的入侵行为。
上述两种免疫算法存在的问题与其模拟的免疫机制有关。树突状细胞算法基于先天免疫机制,是种群与生俱来的能力,其作用是提呈抗原,不区分具体类型;反向选择算法基于特异性免疫机制,是个体后天学习产生的,能对特定抗原产生免疫反应。免疫的先天机制和特异性机制是相辅相成的,先天层能识别未知的病原体,提呈抗原供特异层进一步处理;特异层能识别再次入侵的抗原,予以更快更强的免疫应答。完整的免疫机制能够对以上两种免疫算法存在的问题互相弥补。借鉴上述免疫机制,本文将构建Web服务器入侵检测的免疫多层次模型,解决现有免疫算法适应性与准确性无法兼得的问题。
本文提出的免疫层次模型,从结构上可分为先天层和特异层:先天层将原始数据分割为安全抗原集和危险抗原集,即正常数据和可能为异常的数据;特异层则为已知类别建立检测器,进行分类。从过程上可以分为以下两步:
训练过程为初次免疫应答阶段。首先针对不同类别,随机选取此类的样本点为中心,逐步扩大半径,直到遇到安全抗原集中样本,以此构建检测器,形成此类别的初始检测器集合;接着用克隆选择算法找到此类别最优检测器集合;最后将类别与其最优检测器集合的组合作为免疫记忆。
测试过程为二次免疫应答阶段。使用记忆的检测器对危险抗原集进行检测。检测时计算待测样本与检测器中心的距离,通过与检测器半径比较,确定具体类别。危险抗原集中未被检测器识别的数据即为未知的类别。
最后,本文使用KDD-Cup99网络入侵检测数据集作为实验数据集,设计了两组对比实验。与树突状细胞算法的对比实验使用准确率、误报率等分类指标评估。实验结果证明,免疫层次模型的误报率降低了36.7%,同时还能获取入侵类别。与反向选择算法的对比实验使用G-Mean、F-Measure、ROC等多类不平衡样本的评价指标进行评价。实验结果证明,免疫层次模型不仅能检测出未知类型的入侵行为,还能不断学习新的入侵类型。本文提出的免疫层次模型有效地在保证准确率的同时,提升了自适应性,更加符合免疫自适应、自学习的特点。
上述两种免疫算法存在的问题与其模拟的免疫机制有关。树突状细胞算法基于先天免疫机制,是种群与生俱来的能力,其作用是提呈抗原,不区分具体类型;反向选择算法基于特异性免疫机制,是个体后天学习产生的,能对特定抗原产生免疫反应。免疫的先天机制和特异性机制是相辅相成的,先天层能识别未知的病原体,提呈抗原供特异层进一步处理;特异层能识别再次入侵的抗原,予以更快更强的免疫应答。完整的免疫机制能够对以上两种免疫算法存在的问题互相弥补。借鉴上述免疫机制,本文将构建Web服务器入侵检测的免疫多层次模型,解决现有免疫算法适应性与准确性无法兼得的问题。
本文提出的免疫层次模型,从结构上可分为先天层和特异层:先天层将原始数据分割为安全抗原集和危险抗原集,即正常数据和可能为异常的数据;特异层则为已知类别建立检测器,进行分类。从过程上可以分为以下两步:
训练过程为初次免疫应答阶段。首先针对不同类别,随机选取此类的样本点为中心,逐步扩大半径,直到遇到安全抗原集中样本,以此构建检测器,形成此类别的初始检测器集合;接着用克隆选择算法找到此类别最优检测器集合;最后将类别与其最优检测器集合的组合作为免疫记忆。
测试过程为二次免疫应答阶段。使用记忆的检测器对危险抗原集进行检测。检测时计算待测样本与检测器中心的距离,通过与检测器半径比较,确定具体类别。危险抗原集中未被检测器识别的数据即为未知的类别。
最后,本文使用KDD-Cup99网络入侵检测数据集作为实验数据集,设计了两组对比实验。与树突状细胞算法的对比实验使用准确率、误报率等分类指标评估。实验结果证明,免疫层次模型的误报率降低了36.7%,同时还能获取入侵类别。与反向选择算法的对比实验使用G-Mean、F-Measure、ROC等多类不平衡样本的评价指标进行评价。实验结果证明,免疫层次模型不仅能检测出未知类型的入侵行为,还能不断学习新的入侵类型。本文提出的免疫层次模型有效地在保证准确率的同时,提升了自适应性,更加符合免疫自适应、自学习的特点。