首页> 中国专利> 一种设定入侵检测DCA算法权值的方法

一种设定入侵检测DCA算法权值的方法

页面导航

摘要
著录项
法律信息
说明书
相似文献

摘要

本发明的目的在于提供一种方法，能够根据实际的网络环境来调整DCA算法(Dendritic Cell Algorithm，树突状细胞算法)的权值，从而解决DCA算法检测精度不高的问题。本发明主要对DCA算法在合成半成熟信号和成熟信号时的权值进行优化设定。通过构造出一个与权值变量变化有关的优化问题，然后根据已知的样本信息，利用人工智能算法来获得最优的权值。该发明能够根据实际的网络环境进行DCA算法权值的设定，从而提高DCA算法的入侵检测性能，降低误检率和漏检率。

著录项

公开/公告号CN106022134A

专利类型发明专利
公开/公告日2016-10-12

原文格式PDF
申请/专利权人吉首大学;
展开▼

申请/专利号CN201610380426.3
发明设计人廖柏林;丁雷;肖林;金杰;
展开▼

申请日2016-06-01
分类号G06F21/56(20130101);G06N3/00(20060101);G06N3/08(20060101);
代理机构44260 深圳市兴科达知识产权代理有限公司;
代理人王翀
地址 416000 湖南省湘西土家族苗族自治州吉首市人民南路120号
入库时间 2023-06-19 00:38:30

法律信息

法律状态公告日

法律状态信息

法律状态
2023-06-09

未缴年费专利权终止 IPC(主分类):G06F21/56 专利号:ZL2016103804263 申请日:20160601 授权公告日:20181218

专利权的终止
2018-12-18

授权

授权
2016-11-09

实质审查的生效 IPC(主分类):G06F21/56 申请日:20160601

实质审查的生效
2016-10-12

公开

公开

说明书

技术领域

本发明涉及一种设定入侵检测DCA算法权值的方法。

背景技术

名词解释：

DCA算法：(Dendritic Cell Algorithm)，树突状细胞算法。

PAMP信号：(pathogen-associated molecular pattern)病原体相关分子模式信号。

MACV：(mature context antigen value)成熟环境抗原值。

DCA算法有3种信号，即协同刺激信号、半成熟信号和成熟信号。每种信号都是通过相应的一组权值将外界采集的安全信号(safe signal)、危险信号(danger signal)和PAMP信号进行合成而得到。

对于每一个未成熟的DC细胞，将其所采集的安全信号(safe signal)、危险信号(danger signal)和PAMP信号，合成相应的协同刺激信号、半成熟信号和成熟信号。其合成公式如下所示：

o_csm＝(1+IC)(w_P,csm*P+w_D,csm*D+w_S,csm*S)

o_semi＝(1+IC)(w_P,semi*P+w_D,semi*D+w_S,semi*S)>

o_mat＝(1+IC)(w_P,mat*P+w_D,mat*D+w_S,mat*S)

o_csm、o_semi、o_mat分别表示相应的协同刺激信号、半成熟信号和成熟信号。w_P,csm表示合成协同刺激信号时PAMP信号的权值；w_D,csm表示合成协同刺激信号时危险信号的权值；w_S,csm表示合成协同刺激信号时安全信号的权值；w_P,semi表示合成半成熟信号时PAMP信号的权值；w_D,semi表示合成半成熟信号时危险信号的权值；w_S,semi表示合成半成熟信号时安全信号的权值；w_P,mat表示合成成熟信号时PAMP信号的权值；w_D,mat表示合成成熟信号时危险信号的权值；w_S,mat表示合成成熟信号时安全信号的权值；P表示PAMP信号；D表示危险信号；S表示安全信号；

每一个未成熟的DC细胞不断累积所采集的协同刺激信号、半成熟信号和成熟信号，如下所示：

C_csm(t)＝C_csm(t-1)+O_csm(t)

C_semi(t)＝C_semi(t-1)+O_semi(t)>

C_mat(t)＝C_mat(t-1)+O_mat(t)，

C_csm(t)、C_semi(t)、C_mat(t)分别表示当前采集信号后的累积的协同刺激信号值、半成熟信号值和成熟信号值。

如果累积的协同刺激信号值大于或等于预设定的阈值，则停止采集信号，并判断累积的半成熟信号和累积的成熟信号之间的大小，来决定带DC细胞是否为成熟或半成熟细胞。即如果C_semi(t)>C_mat(t),则该未成熟的DC细胞分化为一个半成熟的DC细胞，否则分化为一个成熟的DC细胞。

在DCA算法中，每个DC细胞能够采集不同类型网络行为的信号，并根据相应的网络行为进行信号的累积。因此对于每种网络行为，能够根据MACV判断其行为的安全性，MACV的计算公式如下：

如果该类网络行为的值大于或等于设定的阈值，则认为一个异常网络行为，否则为正常的网络行为。

目前DCA算法被成功用于入侵检测等领域中，但合成其成熟信号和半成熟信号的权值一般都直接采用固定的设定值，不能根据实际的复杂网络环境调来实时调整权值，从而导致检测精度不高。

发明内容

本发明的目的在于提供一种方法，能够根据实际的网络环境来调整合成DCA算法中成熟信号和半成熟信号的权值，从而解决DCA算法检测精度不高的问题。

为了实现上述目的，本发明采用的技术方案如下：

一种设定入侵检测DCA算法权值的方法，利用未成熟的DC细胞采集样本的网络行为，根据分化后的DC细胞来检测网络行为，根据实际的网络环境优化设定合成半成熟信号和成熟信号的PAMP信号、危险信号、安全信号的权值，提高DCA算法的检测精度。

对于每一个未成熟的DC细胞，合成协同刺激信号、合成半成熟信号和成熟信号的方法为：

o_csm＝(1+IC)(w_P,csm*P+w_D,csm*D+w_S,csm*S)

o_semi＝(1+IC)(w_P,semi*P+w_D,semi*D+w_S,semi*S)>

o_mat＝(1+IC)(w_P,mat*P+w_D,mat*D+w_S,mat*S)

P表示PAMP信号；D表示危险信号；S表示安全信号；o_csm表示协同刺激信号、o_semi表示半成熟信号、o_mat表示成熟信号；w_P,csm表示合成协同刺激信号时PAMP信号的权值；w_D,csm表示合成协同刺激信号时危险信号的权值；w_S,csm表示合成协同刺激信号时安全信号的权值；w_P,semi表示合成半成熟信号时PAMP信号的权值；w_D,semi表示合成半成熟信号时危险信号的权值；w_S,semi表示合成半成熟信号时安全信号的权值；w_P,mat表示合成成熟信号时的PAMP信号的权值；w_D,mat表示合成成熟信号时危险信号的权值；w_S,mat表示合成成熟信号时安全信号的权值；IC表示炎性信号。

每一个未成熟的DC细胞不断累积所采集的协同刺激信号、半成熟信号和成熟信号为

C_csm(t)＝C_csm(t-1)+O_csm(t)

C_semi(t)＝C_semi(t-1)+O_semi(t)>

C_mat(t)＝C_mat(t-1)+O_mat(t)，

C_csm(t)、C_semi(t)、C_mat(t)分别表示当前周期累积的协同刺激信号值、半成熟信号值和成熟信号值，t表示当前周期数；如果累积的协同刺激信号值大于或等于预设定的阈值，则停止采集信号；如果C_semi(t)＞C_mat(t)，则该未成熟的DC细胞分化为一个半成熟的DC细胞，否则分化为一个成熟的DC细胞，同时该DC细胞死亡；

针对每一种网络行为，计算其MACV值：

选择含有n个不同网络行为的样本来分别设定其合成半成熟信号和成熟信号的PAMP信号、危险信号、安全信号的权值，建立如下优化问题：

$\max Σ_{i = 1}^{n} f_{c}^{i}$

n表示所选择的样本中总共有n种不同类型的网络行为，i为第i种类型的网络行为，MACVⁱ表示第i个网络行为的MACV值，i∈{1,…,n}是第i种类型的网络行为的判断结果是否正确的评价，判断正确则为1，否则为-1；表示获得对n个网络行为的正确判断的最大次数；合成半成熟信号和成熟信号的PAMP信号、危险信号、安全信号各自最优的权值即为使获得对n个网络行为的正确判断的最大次数时的值。

进一步的改进，对于每一个未成熟的DC细胞只采集一种类型的网络行为，如果该DC细胞死亡，则生成一个新的DC细胞来采集该类网络行为。

进一步的改进，用于合成协同刺激信号的权值保持不变。

进一步的改进，使用人工智能优化算法调整合成半成熟信号和成熟信号的PAMP信号、危险信号、安全信号的权值；所述人工智能优化算法包括粒子群优化算法和遗传算法

本优化问题可以采用粒子群优化算法、遗传算法等人工智能优化算法来求解。

与现有DCA的固定权值相比，该方法能够根据实际的网络环境来确定更适合实际情况的权值，从而提高检测精度。

附图说明

图1为本发明所定义的权值和合成成熟信号和半成熟信号之间的关系图；

图2为实施例1的优化过程；

图3为实施例2的优化过程。

具体实施方式

下面结合附图和实施例对本发明作进一步说明，本发明的实施方式包括但不限于下列实施例。

实施例

用于合成协同刺激信号的一组权值保持不变，构造一个以合成半成熟信号和合成成熟信号的两组权值为变量的优化问题，来获得最优的权值。对于每一个未成熟的DC细胞，将其所采集的安全信号(safe signal)、危险信号(danger signal)和PAMP信号，合成相应的协同刺激信号、半成熟信号和成熟信号。定义w_P,csm、w_D,csm、w_S,csm为合成协同刺激信号时的一组权值，定义w_P,semi、w_D,semi、w_S,semi为合成半成熟信号时的一组权值，定义w_P,mat、w_D,mat、w_S,mat为合成成熟信号时的一组权值，其合成公式为

o_csm＝(1+IC)(w_P,csm*P+w_D,csm*D+w_S,csm*S)

o_semi＝(1+IC)(w_P,semi*P+w_D,semi*D+w_S,semi*S)>

o_mat＝(1+IC)(w_P,mat*P+w_D,mat*D+w_S,mat*S)

每一个未成熟的DC细胞不断累积所采集的协同刺激信号、半成熟信号和成熟信号，如下所示：

C_csm(t)＝C_csm(t-1)+O_csm(t)

C_semi(t)＝C_semi(t-1)+O_semi(t)>

C_mat(t)＝C_mat(t-1)+O_mat(t)，

C_csm(t)、C_semi(t)、C_mat(t)分别表示当前采集信号后的累积的协同刺激信号值、半成熟信号值和成熟信号值。如果累积的协同刺激信号值大于或等于预设定的阈值，则停止采集信号，并分化。通过判断累积的半成熟信号和累积的成熟信号之间的大小，来决定该DC细胞是分化为成熟还是分化为半成熟细胞。即如果C_semi(t)＞C_mat(t),则该未成熟的DC细胞分化为一个半成熟的DC细胞，否则为一个成熟的DC细胞。同时该DC细胞死亡。本算法中，每一个DC只采集一种类型的网络行为，如果该DC细胞死亡后，则会生成一个新的DC细胞来采集该类网络行为。

针对每一种网络行为，计算其MACV值，如果大于或等于给定的阈值则判断为异常行为，否则为正常网络行为，MACV的计算公式如下：

选择含有n个不同网络行为的样本来设定合成成熟信号和半成熟信号的权值，则可以建立如下优化问题：

$\max Σ_{i = 1}^{n} f_{c}^{i}$

上式中，n表示所选择的样本中总共有n种不同类型的网络行为，i为第i种类型的网络行为，MACVⁱ表示第i个网络行为的MACV值，i∈{1,…,n}是第i种类型的网络行为的判断结果是否正确的评价，判断正确则为1，否则为-1。表示是为了获得对n个网络行为的正确判断的最大次数。

通过优化公式(4)的w_P,semi、w_D,semi、w_S,semi、w_P,mat、w_D,mat、w_S,mat的值，可以获得不同的合成成熟信号和半成熟信号，进而获得不同的累积成熟信号值和累积半成熟信号值，最后获得最大的

以KDD Cup 1999数据集为例，首先从数据集挑选出1000个样本，包含9种不同类型的网络行为。每个样本包含41个属性和1个攻击类型。攻击类型作为抗原，属性25,26,29,38,40用来合成PAMP信号，属性23,24用来合成safe信号，属性12,31,32用来合成danger信号，本次实验中IC信号设为0。将每个样本的属性分别归一化为区间[0,100]后取均值用来作为PAMP信号，safe信号，danger信号。MACV的阈值设为0.75，累积的协同刺激信号的阈值设为[100,500]的随机数。用于合成协同刺激信号的权值(w_P,csm,w_D,csm,w_P,semi)固定设为(2,1,2)。合成半成熟信号和成熟信号的初始权值的组数根据算法的实际情况来决定。其中一组(w_P,semi,w_D,semi,w_S,semi,w_P,mat,w_D,mat,w_S,mat)的初始值设定为(0,0,3,2,1,-3)，而其他组的初始权值则由随机产生。

实施例1

利用粒子群算法来优化权值。每个粒子的矢量结构为(w_P,semi,w_D,semi,w_S,semi,w_P,mat,w_D,mat,w_S,mat)，粒子群数量设为30个，最大迭代次数为100次。粒子群算法参数c1、c2设为2。粒子群的30组初始权值中的一组(w_P,semi,w_D,semi,w_S,semi,w_P,mat,w_D,mat,w_S,mat)的值设定为(0,0,3,2,1,-3)，而其他29组的初始权值则由随机产生，产生的随机数为整数且位于[-3,3]范围内。粒子的适应度函数为优化问题的目标函数，进化过程中，粒子的位移变化范围为[-3,3]，粒子的速度变化范围为[-1,1]。当获得最大的等于9，或达到最大的迭代次数时，优化过程结束。优化过程如图2所示，经过13次迭代后，获得的最优粒子即为所需要的权值即(0,0,3,2,1,-1)。

实施例2

利用遗传算法来优化权值。w_P,semi、w_D,semi、w_S,semi、w_P,mat、w_D,mat、w_S,mat为染色体的基因，将其转变为二进制形式，则每个染色体的结构为(II(w_P,semi),II(w_D,semi),II(w_S,semi),II(w_P,mat),II(w_D,mat),II(w_S,mat))，II表示相应权值的二进制形式，二进制表示的基因范围为[-3,3]，如011表示3，111表示-3。染色体的数量设为30个，最大迭代次数为100次。采用轮盘赌选择法来获得选择算子，交叉算子设为0.1，变异算子设为0.05。遗传算法的适应度函数为优化问题的目标函数，当优化过程结束时，获得的最优染色体即为所需要的权值。30组染色体的初始权值中的一组(w_P,semi,w_D,semi,w_S,semi,w_P,mat,w_D,mat,w_S,mat)的值设定为(0,0,3,2,1,-3)，而其他29组的初始权值则由随机产生，产生的随机数为整数且位于[-3,3]范围内。遗传算法的适应度函数为优化问题的目标函数，当获得最大的等于n，或达到最大的迭代次数时。图3为遗传算法的优化结果图，第16次迭代时获得最优的权值即(0,0,3,2,1,-1)。

去获取专利，查看全文>

相似文献

专利
中文文献
外文文献

1. 一种设定入侵检测DCA算法权值的方法 [P] . 中国专利： CN106022134B . 2018.12.18
2. 一种设定入侵检测DCA算法权值的方法 [P] . 中国专利： CN106022134A . 2016-10-12
3. A method for determining the setting conditions of a manufacturing facility, a method for determining a mill set-up set value of a rolling mill, an apparatus for determining a mill set-up set value for a rolling mill, a manufacturing method for a product, and a manufacturing method for a rolled material [P] . KR20210114459A . 2021-09-23

机译：一种用于确定制造设施的设定条件的方法，一种用于确定轧机的轧机的轧机设定设定值的方法，一种用于确定轧机的轧机设定值的装置，产品的制造方法以及轧制材料的制造方法
4. A method for the production of between the set volume, in particular of so-called leiterbaendchen [P] . 德国专利： DE379585C . 1923-08-25

机译：在设定体积之间，特别是所谓的leiterbaendchen生产的一种方法
5. An attention driven image segmentation learning method and a learning device utilizing at least one adaptive loss weighted value map utilized for HD map update required to meet the level 4 of an autonomous vehicle Testing method and testing device using the same [P] . JP6912835B2 . 2021-08-04

机译：一种注意力驱动的图像分割学习方法和利用用于满足自动车辆测试方法的高级4和使用相同的测试设备所需的高度自适应丢失加权值图的学习设备