克隆选择算法在入侵检测系统中应用.doc

克隆选择算法在入侵检测系统中应用摘 要： 将克隆选择算法应用于入侵检测系统中，利用克隆选择的原理和规则来达到检测和响应入侵行为的效果。数据经过克隆，变异和自然选择的处理之后，能够更好地检测到可疑入侵行为，有效改善入侵数据的漏报现象。 关键词： 克隆选择算法；入侵检测系统；入侵检测技术 1 入侵检测技术 随着网络用户的不断扩大和现代网络技术的不断发展进步，人们在网络的世界里充分享受着快捷和便捷，但是，现阶段的网络安全问题逐渐凸显，从而使网络的安全性变得越来越不可忽视。传统的常规防护措施已经不能很好的阻止各种可疑的入侵，网络安全的第一道防线渐渐受到威胁。面对现阶段计算机网络系统的各种攻击，人们在防范技术和防御手段上都做了大量工作和努力，技术也在进一步的成熟，有效阻止了外部的入侵行为和内部用户的非授权活动。 入侵检测是在网络系统受到危害之前对计算机进行的一种积极主动的安全防护技术。这种防护技术能够有效的拦截了各种非法的行为，对内部非法行为和外部攻击进行实时保护。异常检测和误用检测都是一般的入侵技术类别，其中最常用的是误用入侵检测技术。所谓的误用入侵检测技术就是事先将尽可能多的已知入侵行为放入到异常行为规则库中，当有可疑数据时通过与异常行为规则库中的入侵行为相比对，最终确定其是否为入侵行为。但是它的弊端是对异常行为规则库以外的入侵行为却无法识别，根据入侵行为的复杂多样化，这样就导致了误报和漏报现象。异常检测技术的优点是可以检测出未知的攻击类型，但在实际的操作中，用户的正常行为要远远大于异常行为，特征数据库中的数据不可能把所有的正常行为全部包含在内，这将会导致有一些没有被放入到特征数据库的正常行为被当种可疑入侵数据。这两种检测方法都各有其利弊，在本文中我们采用了误用检测技术。 2 克隆选择算法以及在入侵检测系统中的应用 生物免疫系统通过辨别自身与异已抗原、免疫应答排除抗原性异物，用以维持生物机体内各器官的动态平衡，保护自身免受外界破坏这种动态平衡的病原体的入侵。生物免疫系统的许多机理可以用于研究信息处理。在生物免疫系统的启发之下，一种新的智能计算方法被提了出来，这就是人工免疫系统。它可被看作是采用生物免疫系统的概念、理论和计算方法来解决实际工程问题。通过以往各种基于生物免疫机理的人工免疫系统在学习、优化、聚类、识别中的应用实例充分表明了人工免疫系统具有很好的数据控制、处理和分析能力。 在抗体进化过程中，每一代候选解的附近，通过亲和度的大小进行克隆，产生变异群体，进而扩大搜索范围，这样就增加了抗体的多样性。 本文将克隆选择算法应用于入侵检测系统中，是利用了克隆选择的原理，规则与机制来实现对入侵行为的检测与反应。在入侵检测系统中首先我们应该有一个异常行为规则库，当有一个新的入侵行为到来时，我们通过与异常行为规则库进行匹配，如果匹配成功就认为其是入侵行为，并及时做出响应。但随着攻击行为的多样化，入侵行为与异常行为规则库中的数据不一定完全匹配，这就需要根据一定的算法，符合一定的条件的前提下进行克隆增殖，并加入到异常行为规则库中。但是入侵行为很多都具有相似性，所以我们需要对其进行变异来更加丰富异常行为规则库，以提高入侵行为检测准确度，经过变异操作得到的新入侵行为具有更高的亲和度匹配，这样能更好地实现抵御入侵行为的多样性与准确性。当经过克隆变异后形成新的异常行为规则库时，通过这些规则的自然选择形成一个更加准确的规则库，这样有效地减少了冗余，提高了系统的利用率。 3 克隆选择算法在入侵检测系统中的具体应用 3.1 数据的初始化以及与异常行为的匹配 一种可疑入侵行为如何能被及时发现并做出应答，这是入侵检测的关键问题。在这里，我们把克隆选择算法应用到入侵检测系统中，如何识别可疑入侵行为，主要依靠的是数据与异常行为的亲和度匹配，更加通俗地讲就是看二者是否具有更高的相似性。 在这里我们引入了一种形态空间概念，若有m个特征影响分子之间的相互作用，表示第个特征，则每个分子可被表示为m维空间S中的一个点[5]。 将待处理的数据看作是克隆选择算法中的抗原（Aa），对其进行标准化，则系统中的抗原为： 在这里我们把衡量抗原与抗体之间匹配程度的数据与异常行为之间的欧氏距离作为一个指标。通过对数据中的每个元素匹配异常行为规则库中的每个元素，任意抗原匹配任意抗体，二者之间欧氏距离的计算机公式为： 3.2 可疑入侵行为的克隆增殖 当异常行为（抗体） 受到的来自数据的刺激并达到一定程度时，免疫系统就会被激活，这时系统将会对异常行为进行克隆增殖。增殖是免疫细胞发生无性、有丝分裂、自我复制的一个过程。如果任何一种抗原选择相关的几种抗体进行增殖，每种抗体细胞克隆增殖的数目随着其所受到的激励水平增长而增加。异常行为克隆增殖的