论文部分内容阅读
网络的爆炸式发展对各行业的发展带来了巨大影响,与此同时各类网络安全问题也随之出现。对于网络安全防护的要求已经上升到了前所未有的新高度。单一的网络安全策略已不能满足对于日益多样化、复杂化、动态化的网络攻击行为的检测。将网络安全技术与多种学科结合,可以开拓网络攻击检测研究的新思路。利用交叉学科的研究成果可以为网络攻击检测技术带来全新的可行的方法。仿生学是模仿生物机体工作方式而衍生出的一门学科。其中人工免疫系统(Artifical Immune System,AIS)和网络安全技术在目标和原理上具有共同之处,将人工免疫原理和网络攻击检测技术结合的方法得到了飞速发展。虽然基于人工免疫的网络安全技术已取得了瞩目的成果,但是在网络攻击特征生成、人工免疫系统检测器构造及其工作机制、种群优化、基于时序逻辑的网络攻击建模等方面仍有一些问题待研究解决。本文围绕人工免疫技术在网络攻击检测方面的研究热点,将生物免疫系统中相关免疫理论和工作机制应用到网络攻击检测领域。在对人工免疫理论的基本原理、工作机制、免疫算法和种群优化方法等关键技术深入研究的基础上,结合网络攻击检测领域存在的问题、检测技术和建模方法,对已有技术进行改进,并提出新的方法和系统模型。解决了网络攻击检测在特征样本高冗余、检测器机制不灵活、攻击检测能力弱、检测器群体优化速度慢、攻击描述不准确、攻击检测范围小等方面的问题。本文研究的主要内容及成果有如下几方面:1.提出了一种新的特征生成方法。结合F-Score和粒子群优化算法,提出了一种混合特征生成方法并应用到人工免疫系统中。该方法首先使用F-Score原理得出每个特征的F-Score值,以此作为特征属性的评判准则并提取出特征子集FS_Sub,这是特征的首次过滤,去除噪声数据和低重要度特征,降低特征维度;第二阶段中使用粒子群优化算法对特征子集SSub F_进行二次筛选,通过改变粒子在搜索空间内的速度参数和位置参数获取最优解,去除交叉特征子集中冗余的数据特征,获得具有更加优良性能的特征集合S。该方法将F-Score应用到人工免疫系统中,混合方式下生成的特征具备更少的冗余数据,为下一步在人工免疫系统中进行网络攻击检测提供高精度低冗余的特征样本。2.提出了新的基于人工免疫理论的网络攻击检测模型(Novel network Attack Detection model based on Immunology,NADI),同时给出了一种新的检测器类型。该模型NADI使用本文提出的混合特征生成方法提取高精度低冗余的样本特征,并使用本文提出的多级检测器组件检测网络攻击行为。多级检测器组件中包括随机检测器、神经网络检测器和逻辑检测器,其中逻辑检测器是本文提出的一种新型检测器。三种检测器并行运行,针对不同类型的恶意行为达到优势互补的目的,形成全方位检测效应。该多级检测器组件能以较低的误报率实现更快速、更准确的网络攻击检测目的。解决了检测器种类单一、检测器工作机制不灵活、检测能力较弱、对攻击描述不准确等问题。本文实验在KDD Cup99数据集上进行,数据结果表明,该模型在保证高正类样本检测率(True Positive Rate,TPR)的同时,能够维持较低的误报率(False Positive Rate,FPR)。3.提出了基于DNA疫苗的检测器群体优化算法。该方法利用生物免疫系统的疫苗机制对免疫网络攻击检测系统中检测器的群体质量进行优化,提出面向网络攻击检测的基于DNA疫苗的动态克隆选择算法(DNA-Vaccine Dynamic Clonal Selection Algorithm,DVD-CSA)和基于DNA疫苗的动态人工免疫系统模型(DNA-Vaccine Dynamic Artifical Immune System,DVD-AIS)。通过疫苗注射的方式优化检测器种群,提升个体的抗攻击能力,提高优良检测器占比,并能在二次免疫中快速做出反应。基于DNA疫苗的网络攻击检测方法首先提取攻击抗原的DNA链,经疫苗生成算法和(48)运算后得到裸露的DNA编码,随后与抗体检测器经(38)运算得到DNA疫苗,注入到筛选后的检测器中,以实现群体优化。此疫苗工作机制能够动态更新检测器群体,有效解决群体优化过程中出现的退化现象,成功解决检测器种群趋于单一、抗体亲和力逐步减弱、疫苗精度不足、种群收敛过慢、进化率低等问题。该方法能及时更新检测器,加速检测器种群收敛,防止检测器群体过度成熟。4.提出了人工免疫理论下基于多种时序逻辑的网络攻击建模方法。先后对基于命题线性时序逻辑、命题区间时序逻辑、扩展命题区间时序逻辑的网络攻击建模展开研究,并应用到人工免疫网络攻击检测系统中。本文研究、总结了多种时序逻辑在理论和应用层面的特点与差异,根据其在描述能力上的差异化表现为多种攻击建立相应的逻辑公式,并分别构建出人工免疫网络攻击检测模型。完善了已有工作在网络攻击建模领域的不足,提高了时序逻辑的描述能力,对部分攻击能做到精准描述,扩大了网络攻击建模的描述范围。