技術領域

????本發明涉及計算安全技術中的主機入侵檢測方法，具體地說是一種借鑒生物免疫機制確定模糊關聯規則庫，基于模糊關聯規則庫通過模糊分類來對主機的監測行為實施入侵檢測的方法。

背景技術

隨著計算機網絡技術的發展，計算機系統安全問題越來越受到重視。基于主機的入侵檢測技術通過對特定的宿主主機的審計數據進行檢測和分析，發現針對主機的入侵和攻擊行為，并作出及時和有效的相應保護措施。主機入侵檢測技術是一種主動的系統安全策略和方案，它能夠彌補傳統的網絡防火墻技術所暴露出的眾多不足和弱點。

由于主機的監測行為是動態變化的，為了保證宿主主機系統的安全，主機入侵檢測系統必須能夠隨著主機監測行為的動態變化而自適應地變化，確保能迅速地發現系統中新出現的異常和入侵行為，并及時作出響應，保證系統的安全性要求。通常模糊關聯規則挖掘方法中采用窮舉式搜索策略，算法的運行時間長，效率低。

發明內容

????本發明所要解決的技術問題是提供一種基于生物免疫機制的主機入侵檢測方法，具有自適應和自組織確定模糊關聯規則庫的優勢，可以達到有效保護宿主主機系統信息安全的目的。

本發明為解決上述技術問題所采用的技術方案是：一種基于生物免疫機制的主機入侵檢測方法，包括基于生物免疫機制確定模糊關聯規則庫的階段和根據模糊關聯規則庫對主機監測行為的實時數據進行入侵檢測的階段；具體方法為：

（一）、確定模糊關聯規則庫的階段：

（1）、將已有的主機審計數據中的歷史入侵實例進行屬性約簡和統一編碼，選擇支持度高于設定閾值的屬性作為約簡后的屬性集合；

（2）、確定約簡后的屬性集合中每個屬性所對應的語言術語以及相應的隸屬度函數；對每個屬性進行模糊化，并且統一采用一定數量語言術語進行描述，其對應的隸屬度函數采用三角形隸屬度函數；

（3）、隨機生成初始抗體種群，種群中每個個體的編碼形式如下為：

其中m表示每個屬性所對應的模糊集合數目或模糊術語數目，n表示所有的屬性數目；

（4）、基于個體的親和度函數評價種群中每個個體的優劣，從中選擇一定比例親和度最高的個體進行后續的克隆和變異操作，其中個體的親和度為其所對應的模糊關聯規則的確信度；

（5）、基于每個個體的親和度值和密度確定選取的個體的克隆數目，克隆數目的計算公式為：

式中NumC_max和NumC_min分別表示設定的最大克隆數目和最小克隆數目，Af_max表示當前種群中所有個體中的最高親和度；若當前種群中與該個體相似的個體數目超過設定比例，則克隆數目直接定為設定的最小克隆數；

（6）、按照步驟（5）確定的克隆數目對步驟（4）選取的個體進行克隆和變異操作，方法為：對選定的個體按照步驟（5）確定的克隆數目進行復制，復制過程中首先產生一個隨機數，當該隨機數小于所設定的變異概率時個體就實施變異操作，即從該個體中隨機地選擇某個屬性的整數編碼，然后用其變化范圍內的另一個數替換原值；

（7）、抗體種群和記憶種群的更新：計算新生成個體的確信度，將新生個體中與記憶種群的個體相比具有更高確信度的個體加入到記憶種群中，并且按照包含的定義去除記憶種群中被其它個體所包含的個體；同時新生成的個體中選取一定比例親和度最高的個體替換掉原種群中親和度最差的一部分個體，得到更新的抗體種群；

（8）、重復上述步驟（4）—（7）的操作，直至當前記憶種群中的關聯規則集合的覆蓋比例超過設定閾值或者重復操作的次數達到設定的最大迭代次數，得到建立的模糊關聯規則庫；

（二）、對主機監測行為的實時數據進行入侵檢測的階段：

（1）、根據模糊關聯規則庫確定階段的步驟（1）—（3）的方法，對主機監測行為中的每條記錄的數據進行屬性約簡，去掉部分冗余屬性，并統一格式化為與模糊關聯規則庫確定階段的數據一樣的格式；

（2）、針對主機檢測行為中的每條記錄，計算其對于所得到的模糊關聯規則庫中每個規則的激勵強度；

（3）、然后分別計算該記錄針對規則庫中每一類規則的總的匹配值，反映了該記錄符合哪個類別特征的程度；

（4）、將該記錄歸類到匹配值最高的類別中，以確定該記錄的所屬類別，判斷其是否屬于異常行為和入侵行為；