基于免疫原理的动态网络入侵检测模型的设计与实现

摘要

随着网络规模的扩大，数据来源和数量的增加，网络异常的行为变得越来越猖獗。传统的网络监控方法已不能帮助网络管理人员认识网络的状态和趋势，网络态势感知技术随之被提出，用来综合各个方面信息，提供高层次宏观的网络安全信息。其主要分析的数据来源包括主干网的Netflow流量信息，和受控局域网中入侵检测系统的报警记录。本文致力于解决局域网内的入侵检测，检测的异常作为态势感知的一个影响指标提供高层分析。 网络态势感知在局域网一级，主要需要实时的获知异常的发生，并要求能够检测从未出现过的异常。目前多数的网络入侵检测产品采用简单模式匹配技术，只能检测出已知的攻击模式。而基于生物免疫的入侵检测系统是通过模仿生物的免疫工作机制，使得受保护的系统能够将非自我的非法行为与自我的合法行为区分开来，识别从未出现过的异常，使受保护对象在不断变化的环境中维持稳定。 本文的主要工作如下：一是针对现有检测器生成算法存在时间效率上的不足提出了一种新的检测器生成算法：该算法分阶段实现了检测器的更新机制，提高了检测率，加快了检测速度。二就是在Kim小组提出的动态克隆选择算法的基础上进行深入性的研究与分析，提出改进的入侵检测模型。针对网络中大部分数据为正常数据这一现象，该模型加入了自体模式集模块，首先产生少量的自体模式集对正常数据进行处理，只有与自体模式集偏离的数据才会进行下一步检测。这样加快了模型的处理速度，精简了自体规模，提高了耐受速度，降低了误检率；同时，本文还着重研究了基于’TCP/UDP连接的特征提取，论述了检测器表现型到基因型的映射，完成了待检数据和检测器的编码，这是实现入侵检测模型的基础；最后对原有检测模型的一些方面进行了修改和详细实现，有对误检记忆细胞、误检成熟细胞以及过期成熟细胞的处理，阐述了记忆检测器集合的删除策略等。 为了更好的验证模型效果，提高检测精度，本文采用KDD CUP99数据集进行了仿真实验，对提出的改进模型与传统的动态克隆选择算法进行比较分析。实验结果表明该新型模型具有较好的检测性能和检测效率。

目录

文摘

英文文摘

声明

第一章绪论

1.1课题背景及来源

1.2本文要解决问题及主要工作

1.3本文组织结构

第二章相关背景介绍和技术研究

2.1网络态势感知概述及系统结构

2.1.1网络态势感知概述

2.1.2国内外研究现状

2.1.3网络态势感知系统基本结构

2.2基于免疫原理的入侵检测系统研究

2.2.1入侵检测系统概述

2.2.2生物免疫系统概述

2.2.3基于免疫原理的入侵检测系统

2.3人工免疫算法在入侵检测系统中的应用

2.3.1负选择算法

2.3.2克隆选择算法

2.4本章小结

第三章 基于免疫原理的动态网络入侵检测模型的设计与实现

3.1改进的检测器生成算法

3.1.1现有检测器生成算法研究

3.1.2检测器的编码和匹配

3.1.3初始检测器生成阶段

3.1.4动态更新检测器阶段

3.2入侵检测模型前期准备工作

3.2.1数据收集

3.2.2数据预处理

3.2.3检测器结构定义

3.3免疫检测模型的设计与实现

3.3.1自体模式集检测模块

3.3.2记忆免疫细胞模块

3.3.3成熟免疫细胞模块

3.3.4未成熟免疫细胞模块

3.4入侵检测模型后期反馈工作

3.4.1系统总体功能需求

3.4.2异常信息上传模块

3.5本章小结

第四章人工免疫入侵检测模型的实验与分析

4.1实验数据

4.1.1数据来源

4.1.2数据预处理

4.1.3数据编码

4.1.4自体模式集的构造

4.2实验设计与结果分析

第五章结论

5.1本文工作总结

5.2未来工作展望

致谢

参考文献

在学期间的研究成果