一種基於人工免疫的動態網格入侵檢測方法

2023-05-20 15:15:36 2

專利名稱：一種基於人工免疫的動態網格入侵檢測方法
技術領域：
本發明是一種基於人工免疫的動態網格入侵檢測方法，在現有克隆選擇方法的基礎上，將否定選擇、克隆選擇、記憶檢測器基因庫方法融合進來，提出嵌入否定算子的克隆選擇方法，以解決網格入侵檢測方法缺乏動態性，檢測時間過長，效率不高的問題，來提高網格環境中入侵檢測的準確性和檢測的實時性，本技術屬於網格安全技術領域。

背景技術：
網格是將分布在不同地理位置上的異構資源通過高速網絡互連起來以實現充分共享的資源集合，形成一臺巨大的虛擬計算機，以提供高性能計算、管理及服務。網格具有以下與一般網絡不同的特點大量動態的用戶群體；大量動態的資源；計算能力的動態增長和收縮；多種通信機制；不同的本地安全解決方案等。即網格具有大規模、開放、分布、異構、動態等特性。網格技術在提供了一種嶄新的資源協作和共享方式的同時，由於其自身的這些特性，使得安全問題成為網格普及使用的一大阻礙。
網格中資源和服務是動態變化的，為保證網格域的安全性，入侵檢測須保證是覆蓋網格應用範圍，而不能給非法用戶留有攻擊的空間，因此隨著網格應用的動態變化，必然導致組成入侵檢測系統的檢測資源不斷地變化。面對網格應用中使用的資源的變化，網格入侵檢測技術必須具有很快的響應能力，才能將檢測資源不斷調整以覆蓋整個網格應用範圍而不浪費任何檢測資源。
人工免疫系統所具有的分布式、自組織和輕量級的特性正好滿足了網格入侵檢測技術的需求，其中否定選擇算法和克隆選擇算法是人工免疫系統的主要支柱。基於人工免疫原理的入侵檢測中最重要的組件是檢測器，這些檢測器是高特異性的，規模大。自從否定選擇算法和克隆選擇算法出現以來，人們提出了不少的檢測器生成算法，如否定選擇算法及其改進算法，基因庫進化等，但都有一定的局限性。Hofmeyr和Forrest在檢測過程中，由否定選擇算法直接生成成熟的檢測器；J.Kim和P.Bentley提出靜態克隆選擇算法和動態克隆選擇算法，依據基因庫中的自我信息，並採用一定的算法來模擬基因變異的過程，由偽隨機序列產生器隨機產生新的檢測器。
由於網格環境的動態性和用戶數量巨大的特性，單獨使用否定選擇算法在網格系統的入侵檢測中，難以處理網格環境中繁重的任務，易造成系統可擴展性的瓶頸。就網格環境中的入侵檢測而言，各種動態加入或離開的網格服務行為，經常會改變合法的自我行為模式定義，所以自我和非自我行為也會隨之變化，純克隆選擇算法對新的自我和非自我表現出較差的識別能力，當監測到新增模式時產生了很高的誤報率。
由於檢測器集的好壞決定了入侵檢測的性能，所以本發明結合網格環境下入侵檢測的需求，深入研究了否定選擇、克隆選擇、親和力成熟過程以及免疫記憶機制，以現有克隆選擇方法為主體，將否定選擇、克隆選擇、記憶檢測器基因庫方法融合進來，提出了嵌入否定算子的克隆選擇方法，產生更為有效的檢測器，應用於網格環境中的入侵檢測系統中，具有檢測率高、自適應能力強等特點，為實現安全的網格提供了一種新的方法。這裡的否定選擇機制，僅作為了克隆選擇執行過程中的一個操作因子，因此稱為否定算子。本發明設計重點在於在檢測器演化過程中，嵌入否定選擇算子；定義親和度計算公式。


發明內容
技術問題本發明的目的是提供一種基於人工免疫的動態入侵檢測方法，針對網格環境來解決入侵檢測的問題，與過去使用的基於規則的入侵檢測技術不同，通過使用本發明提出的方法，可以達到保護網格域的目標。
技術方案本發明結合網格環境下入侵檢測的需求，通過借鑑否定選擇、克隆選擇、親和力成熟過程以及免疫記憶機制，以現有的克隆選擇為主體，提出嵌入否定選擇算子的進化克隆選擇算法。其目標是通過否定選擇、克隆選擇、記憶檢測器基因庫方法的融合來動態的處理網格環境中的入侵檢測問題。
下面給出發明中一些組件定義 自我集合(self)初始自我集由原始數據集中的正常的網格服務訪問連接記錄組成，是從連接數據包中抽取我們感興趣的欄位，忽略傳遞參數等特性；考慮到數據包間的相關性，需要組合相鄰數據包，即一次連接的特徵，形成合成特徵，作為self特徵。
非自我集合(non_self)由原始數據集中的非正常網格服務連接記錄組成。如非法網格用戶行為、合法網格用戶的越權行為、病毒和惡意代碼視為non_self。
未成熟檢測器集合(Antibody)初始偽隨機序列生成未成熟檢測器集合，並通過否定選擇算子過濾，得到未成熟檢測器的集合Antibody。
預檢測器集合(Pre_detector)定義親和度並基於親和度函數度量確未成熟檢測器集合Antibody中的n1個最佳個體BestAb(n1)；對群體中的這n1個最佳個體進行克隆(複製)，生成臨時克隆群體Pre_Detector(預檢測器)。
成熟檢測器(Mature_detector)對克隆生成的群體施加交叉和變異操作，從而生成一個成熟的檢測器群體Mature_Detector(成熟檢測器)，成熟檢測器能夠檢測到入侵行為模式。
記憶檢測器(Memory_detector)記憶檢測器從成熟檢測器中選取產生。當某個成熟檢測器匹配到一個非自我模式a∈non_self時，即進入候選記憶檢測器集合；如果幾個成熟的檢測器都匹配到同一個非自我模式串a∈non_self，其中與a最相似的檢測器成為候選記憶檢測器。在檢測器的生命周期內，若候選記憶檢測器再次被使用，那麼它將加入記憶檢測器集合中；否則將其從候選隊列中刪除。記憶檢測器識別入侵行為模式，叫做二次免疫應答。
基於人工免疫的動態網格入侵檢測方法包括基於人工免疫的動態檢測器演化過程和網格入侵檢測過程，它借鑑了人工免疫系統的防禦機制，融合否定選擇、克隆選擇、親和力成熟、記憶檢測器基因庫方法，，首先得到演化成熟的檢測器，然後在人工免疫機制的協調下，動態處理網格環境中的入侵檢測問題，完成動態網格入侵檢測的整個過程。
a.基於人工免疫的檢測器動態演化步驟如下 步驟a1.初始化，定義算法中的運行參數 種群大小群體中所含個體的數量，取100～300；迭代代數運算的終止進化代數，取500；檢測器生命周期10～20， 步驟a2.初始隨機生成未成熟檢測器集合，若不滿足結束條件，則通過否定選擇算子進行過濾；否則結束， 步驟a3.得到未成熟檢測器集合，該集合為記憶檢測器子集和剩餘群體的總和， 步驟a4.定義親和度函數並基於親和度確定未成熟檢測器集中的若干最佳個體， 步驟a5.對群體中的最佳個體進行克隆，生成臨時克隆群體預檢測器，克隆規模是抗原親和度度量的單調遞增函數， 步驟a6.對克隆生成的群體施加交叉和變異操作，生成成熟檢測器集合， 步驟a7.從成熟檢測器集合中重新選擇改進個體組成記憶檢測器集合，未成熟檢測器集合的一些成員可以由成熟檢測器集的其他改進成員加以替換， 步驟a8.用否定選擇算子過濾掉成熟檢測器集合中與自我集匹配的檢測器，如果成熟檢測器集合的規模大於上限，將其中15％親和度最低替換掉， 結束條件總的迭代代數大於設定的最大迭代代數； b.基於人工免疫的動態網格入侵檢測方法實現步驟如下 步驟b1每次從網上捕獲1000個IP數據包，進行預處理，變換為檢測系統處理的數據格式， 步驟b2定義評估檢測效率的標準，即檢測率和誤報率， 步驟b3訓練檢測器，並生成自我集合與非自我集合， 步驟b4通過步驟b3中生成的一定規模的自我與非自我檢測器集合，對網格域內通信數據進行動態入侵檢測， 步驟b5檢測到異常信息，立刻發出報警信息。
有益效果 1.提高檢測速度 生成初始檢測器集合是算法中一個非常重要的問題，雖然採用隨機函數生成未成熟檢測器有助於保持種群的多樣性，但是也將帶來巨大的計算開銷，檢測速度太慢。因此在算法的該進化階段嵌入否定選擇算子，可以控制未成熟檢測器質量，有助於產生更多、更有效的候選檢測器，而不斷變化的入侵模式，也要求不斷地更新記憶檢測器，加快識別異常的速度。因此在克隆選擇算法中嵌入了否定選擇算子過濾了未成熟檢測器集合、動態更新了記憶檢測器集合，減小記憶檢測器的候選集合，去除即將執行檢測功能的檢測器中效率低下的部分成熟檢測器和記憶檢測器，有利於提高生成的檢測器的質量，進而提高檢測速度，增強入侵檢測的實時性。
2.提高正確檢測率TP 本發明在記憶檢測器變異、克隆選擇後，將選擇最優的個體仍視為候選的檢測器，歷經否定算子監測，即在記憶庫的更新階段，嵌入否定選擇算子。在不需要增加協同刺激數目的情況下，如此生成的檢測器可以更好的覆蓋non_self空間，得到更高的正確檢測率(True Positive，TP)。
該階段的否定算子又一次執行了過濾無效檢測器的功能，減小記憶檢測器的候選集合，同時也提高了對先前檢測到的非自我模式的檢測準確率。在下一次迭代的進化過程裡，這有助於提高成熟檢測器對不斷出現的新的非自我(即未知攻擊模式)的檢測能力。相對於克隆選擇算法，在對新的非自我誤報率高的問題上，能有所改善，也更適用於網格動態變化的環境。
3.降低誤報率FP 由於在記憶檢測器更新階段，嵌入否定選擇算子，在該記憶檢測器產生誤報之前，就將其刪除，被刪除的記憶檢測器添加到記憶檢測器庫，為基因庫提供儲備信息。否定算子避免了檢測器的自我耐受現象，協助完成親和力成熟過程，在不增加協同刺激數目情況下，檢測器可以更好的覆蓋「非自我」空間，降低誤報率，提高了檢測器的性能。



圖1是各個檢測器執行檢測的過程圖。
圖2是檢測器生存周期圖。表示了檢測器有限的生存周期及再生、耐受過程。
圖3是基於人工免疫的動態入侵檢測方法的實現流程圖。

具體實施例方式 一檢測器的生命周期和工作過程 訓練階段，檢測器只進行網絡活動數據的收集，而不進行檢測。主要是生成自我集合self與非自我集合non_self。通常依據基因庫中的自我信息，並採用一定的算法來模擬基因變異的過程，由偽隨機序列產生器隨機產生新的檢測器。但由於隨機性較大，很可能包含「自我」信息，需要進行否定選擇的檢查過程。在否定選擇中，「未成熟」的檢測器與「自我」集合信息進行比較，如果檢測器包含有「自我」信息，則被拋棄，反之成為成熟的檢測器。這就是檢測器的「否定選擇」過程。動態隨機產生的是沒有檢測非自我模式能力的未成熟的檢測器，所以在被檢測模塊用來執行檢測任務前，須經過否定選擇算子，轉化為預檢測器(pre_detector)，才有機會進行克隆選擇過程，獲得檢測「非自我」的能力。
因此，在檢測器集合中存在的未成熟檢測器的比例越大，就意味著系統存在的漏洞被發現並反覆利用可能性越大。若動態產生的新檢測器太少，攻擊者可利用系統弱點入侵系統的機率也很大。網絡行為的模式字符串被提取出後由檢測器發往否定選擇算子模塊。否定選擇算子模塊在接到模式字符串後，將它與已放入self中的字符串進行全長度的匹配，目的是檢查self中是否存在相同的字符串。如果存在就將這字符串丟棄，否則將它放到self中。實際的self，僅是正常行為的一個近似值，而不等於正常行為集合。不過一般正常的網絡通信模式只是微小地偏離self的特徵，而異常通信模式則與self有顯著不同。因此，需要測量所有通信模式的偏離程度。
檢測器(記憶或成熟檢測器)對測試數據實施檢測的過程時，一旦檢測到為非自我，則該數據為入侵，立即發出報警。檢測器識別入侵行為模式可以通過計算二者的親和力函數來實現。檢測器(包括記憶檢測器和成熟檢測器)完成的檢測過程如圖1所示。與傳統入侵檢測方法的檢測器相比較，通過嵌入否定算子的克隆選擇算法執行過程中，檢測器將經歷狀態未成熟檢測器、預檢測器、成熟檢測器和記憶檢測器。各種檢測器的生存周期有限，如圖2所示。檢測器的有限生存周期、檢測器再生、耐受，形成了檢測器集對自我集的滾動覆蓋，使得檢測器的檢測能力可變而不可預測，也更容易適應動態改變的self集合。
下面我們對檢測器的檢測流程進行描述，如圖3 檢測過程中，檢測器將新收到的數據與self進行比較，沒有在self中出現的模式就是異常的。實際網格服務運行中，大部分網格服務行為是正常的。即使在沒有入侵的情況下，由於self覆蓋的不完整，也會出現異常通信模式，這和現實情況是一致的。
檢測階段系統隨機生成字符串並通過否定選擇生成檢測字符串集，將其發送到各個檢測器。開始檢測工作。首先記憶檢測器對測試數據集進行匹配，將檢測出的non_self數據刪除，並且刪除檢測出匹配self的記憶檢測器，即記憶檢測器本身的死亡。記憶檢測器檢測完畢，將處理後的數據提交給成熟檢測器進行檢測，成熟檢測器檢測刪除non_self數據；那些未激活的年齡過大的成熟檢測器將被刪除，即成熟檢測器的死亡；匹配次數達到一定閾值的成熟檢測器激活為記憶檢測器。為了保證檢測器的數量，隨機生成一定數目的未成熟檢測器，耐受成功後成為成熟檢測細胞，參與到檢測執行過程中。
記憶檢測器更新過程中，最差15％檢測器來自記憶檢測器中最好的85％檢測器。此處的否定算子，確保了更新的記憶檢測器的具有合法性。雙親記憶檢測器由最好的85％檢測器按規則隨機選擇，經交叉、變異產生子孫記憶檢測器，並與給定的自我抗原相比較。當子孫記憶檢測器與任一self集合中元素匹配時，這個記憶檢測器就被淘汰。當一個無效記憶檢測器產生時，檢測算法就用同一對雙親檢測器基因算子產生一個新的記憶檢測器。當產生有效記憶檢測器失敗次數超過規定閥值時，檢測算法就選擇一對新的雙親檢測器產生新的子孫檢測器。在最差的15％雙親檢測器被淘汰之後，子孫記憶檢測器由隨機序列經否定算子過濾繼續產生，直到填滿檢測器群的空間。
二關鍵技術 [未成熟檢測器的否定選擇算子]由偽隨機序列產生器隨機產生新的未成熟檢測器，由於隨機性較大，很可能包含「自我」信息，因此需要進行否定選擇的檢查過程。在否定選擇中，「未成熟」的檢測器與「自我」集合信息進行比較，如果檢測器包含有「自我」信息，則被拋棄，反之成為成熟的檢測器。這就是檢測器的「否定選擇」過程。Hofmeyr和Forrest在檢測過程中，由否定選擇算法直接生成成熟的檢測器；本發明的否定選擇機制，與其它方法不同的是，僅作為克隆選擇算法的一個操作因子，因此稱為否定選擇算子。
生成初始檢測器集合是算法中一個非常重要的問題，因此在算法的該進化階段嵌入否定選擇算子，可以控制未成熟檢測器質量，有助於產生更多、更有效的候選檢測器，維護系統的安全。實現過程在算法1中描述。
[親和力成熟過程及親和力函數的定義]因為每個檢測器的親和力是，隨機生成的初始檢測器集合中各個檢測器與自我模式匹配判斷的標準，也是算法搜索的依據。因此，親和力函數的選取非常重要，它直接影響到算法的收斂速度以及能否找到最優檢測器。親和力函數是個體空間S到正實數空間的映射，即親和力函數F為F:S→ R+。
克隆選擇對應著一個親合度成熟(affinity maturation)的過程，即對抗原親合度較低的個體在克隆選擇機制的作用下，經歷增殖複製和變異操作後，其親合度逐步提高而「成熟」的過程。克隆選擇原理通過採用交叉、變異等遺傳算子和相應的群體控制機制實現。交叉和變異操作主要是根據親合力大小產生一個變異群體，刪除親合力最小的檢測器，來更新檢測器集合，實現信息交換和傳遞，保持群體多樣性。與檢測器親和力成正比的概率決定當前種群裡的每個檢測器被克隆到下一代群體中的機會多少。親和力越高的檢測器被選擇的概率也就越大，親和力越低的檢測器被選擇的概率則越小。一般要求所有檢測器的親和力必須為非負。
在入侵檢測的人工免疫記憶中，當某個成熟檢測器被激活，並且通過協同刺激後被證實是檢測到真正的入侵，該成熟檢測器應該演化成記憶檢測器，但演化過程不能是直接將原來的成熟檢測器標識為記憶檢測器，而是應該參照人體免疫系統中的「體細胞高突變」在突變後的檢測器中選擇「親和力」最高的檢測器作為記憶檢測器，這個過程就是親和力成熟的過程。對編碼後的檢測數據，本發明中的親和力函數採用了按位異或(XOR)求距離評分的方法，即計算n個樣本檢測器與挑選出來的預檢測器之間的相似程度，該相似程度作為樣本檢測器的得分，計算方法定義為 Score＝XOR(預檢測器，檢測器) 選擇得分最大的檢測器；若得分相同則從其中隨機選擇，得到成熟檢測器。刪除成熟檢測器中重複的檢測器，選擇85％的成熟檢測器置入候選記憶檢測器庫，用於生成記憶檢測器。
[記憶檢測器的更新機制]記憶檢測器，是由成熟檢測器經過克隆變異後，擇優形成的。已經出現過的「非自我」模式，再次出現時，由記憶檢測器直接清除。所以記憶檢測器加快了對已知異常的檢測，對應於免疫反應的二次應答。原來克隆選擇算法，對被刪除的記憶檢測器實施變異操作來克隆記憶檢測器，根據親和度，選擇最優的個體加入，更新記憶庫。但是記憶庫更新後，新加入的檢測器未必是有效的。
記憶機制是人體免疫系統對外來入侵快速應答的重要機制，已經出現過的non_self模式，再次出現時，由記憶檢測器直接清除。所以，記憶檢測器加快了對已知異常的檢測，對應於免疫反應的二次應答。許多的研究表明，記憶細胞的穩定是由於現存的記憶細胞的恆定死亡、新的記憶細胞的補充與增生實現的，也就是說記憶細胞的粗略恆定的數目不是保持記憶免疫細胞的靜態平衡，而是通過記憶免疫細胞持續的死亡與新生實現動態的平衡。記憶檢測器的生存周期是有限的，為了實現記憶檢測器群體數目的動態平衡，當有新的記憶檢測器生成而記憶檢測器群體數目又達到極限時，必須採用一定的淘汰策略將原來的某記憶檢測器淘汰，進行動態更新。
本發明中完成記憶檢測器更新過程的具體方法是，為記憶檢測器設置一個生命周期參數L來重新啟動否定選擇算子Neg_Select。初始化時記憶檢測器集合中檢測器個數上限值設為15，L為0，Neg_Select＝0，然後累計每次迭代次數，從集合中淘汰部分「最差」記憶檢測器，即淘汰最久未被使用的記憶檢測器，以實現該集合的更新。當某記憶檢測器的L達到限值時，則對它進行否定選擇，令Neg_Select＝1。將它與self集合的合法模式進行匹配，若有匹配則被否定選擇算子刪除。可見在該記憶檢測器產生誤報之前，就將其刪除，有效控制了誤報率的產生，減少了協同刺激的次數，提高了系統的性能。被刪除的記憶檢測器添加到記憶檢測器庫，為基因庫提供儲備信息。由算法2實現。
本發明採用對記憶檢測器進行「否定選擇」以適應變化環境的方法，減少了人工幹預次數(協同刺激)次數，甚至可以去掉協同刺激使系統得到更快的反應速度，以提高系統性能、降低誤報率。對記憶檢測器執行的否定選擇算子如算法2描述。
在算法3中描述基於人工免疫的動態網格入侵檢測方法的檢測過程。
具體實施分成兩部分完成，一部分是基於人工免疫的檢測器生成方法的實現，另一部分是基於該方法實現的網格環境中入侵檢測。
一.基於人工免疫的檢測器生成方法的實現 算法1否定選擇算子過濾未成熟檢測器算法 process Neg_Select Operator {調用隨機生成函數rand，適當添加未成熟檢測器到未成熟檢測器群中 for i＝1 to T do in parallel //T耐受周期調用immature(i)； }process immature(i){//開始 for j＝(i-1)*(N/T)+1 to i*(N/T) do for k＝1 to length(self[k]) do if(comp(T[j]，self[k])＝1)//檢測與self集中匹配的 元素 T[j]從T中刪除；else {T[j].age++；if(T[j].age++＞＝T//T為耐受周期值 將T[j]變成成熟檢測器； } } 算法2記憶檢測器的否定選擇算子 對所有的記憶檢測器執行 if(記憶檢測器的Neg_Select＝1) {記憶檢測器與self集中的所有模式進行比較； if 模式匹配 { 該記憶檢測器刪除；放入記憶檢測器庫中； } else初始化該記憶檢測器的否定選擇標誌； } 二基於人工免疫的動態網格入侵檢測方法檢測過程 算法3檢測過程 初始化定義檢測方法中的運行參數 種群大小(population)群體中所含個體的數量，範圍[100，300]； 迭代代數(generations)運算的終止進化代數，Max generations＝500； 檢測器生命周期(lifespan)10~20； generations＝0； do { if(generations＝M)then選擇一個新的測試數據G； 從G中選擇80％的測試數據； 參數 generations++； 記憶檢測器的age++； 成熟檢測器的age++；未成熟檢測器的age++； // 監視過程 {// 用記憶檢測器監視測試數據 記憶檢測器是檢測到一個non_self還是self？ 刪除檢測到self的記憶檢測器； // 用成熟檢測器監視抗原是否有一個成熟檢測器檢測到non_self數據？ 建立記憶檢測器； 生存期到的成熟檢測器死亡； // 用測試數據「耐受」未成熟檢測器 是否有未成熟檢測器匹配某self元素； 成功經過否定選擇算子的未成熟檢測器生成成熟檢測器； } if(Num_未成熟檢測器+Num_成熟檢測器＜Num_非記憶檢測器){do{ if(刪除的檢測器數目＞0&&變異率不為0) {選擇一個被刪除的記憶檢測器； 對其施加變異操作，產生它的變異體； 將變異體添加到未成熟檢測器群；} else { 隨機生成一個檢測器，送入否定選擇算子過濾； 成功經過算子的，添加到未成熟檢測器群； } }until(Num_未成熟檢測器+Num_成熟檢測器＝Num_非記憶檢測器)； } } until(generations≤Max Generations)。
權利要求
1.一種基於人工免疫的動態網格入侵檢測方法，該方法包括基於人工免疫的動態檢測器演化過程和網格入侵檢測過程，其特徵在於借鑑人工免疫系統的防禦機制，融合否定選擇、克隆選擇、親和力成熟、記憶檢測器基因庫方法，首先得到演化成熟的檢測器，然後在人工免疫機制的協調下，動態處理網格環境中的入侵檢測問題，完成動態網格入侵檢測的整個過程。
a.基於人工免疫的檢測器動態演化步驟如下
步驟a1.初始化，定義算法中的運行參數
種群大小群體中所含個體的數量，取100～300；迭代代數運算的終止進化代數，取500；檢測器生命周期10～20，
步驟a2.初始隨機生成未成熟檢測器集合，若不滿足結束條件，則通過否定選擇算子進行過濾；否則結束，
步驟a3.得到未成熟檢測器集合，該集合為記憶檢測器子集和剩餘群體的總和，
步驟a4.定義親和度函數並基於親和度確定未成熟檢測器集中的若干最佳個體，
步驟a5.對群體中的最佳個體進行克隆，生成臨時克隆群體預檢測器，克隆規模是抗原親和度度量的單調遞增函數，
步驟a6.對克隆生成的群體施加交叉和變異操作，生成成熟檢測器集合，
步驟a7.從成熟檢測器集合中重新選擇改進個體組成記憶檢測器集合，未成熟檢測器集合的一些成員可以由成熟檢測器集的其他改進成員加以替換，
步驟a8.用否定選擇算子過濾掉成熟檢測器集合中與自我集匹配的檢測器，如果成熟檢測器集合的規模大於上限，將其中15％親和度最低替換掉，
結束條件總的迭代代數大於設定的最大迭代代數；
b.基於人工免疫的動態網格入侵檢測方法實現步驟如下
步驟b1每次從網上捕獲1000個IP數據包，進行預處理，變換為檢測系統處理的數據格式，
步驟b2定義評估檢測效率的標準，即檢測率和誤報率，
步驟b3訓練檢測器，並生成自我集合與非自我集合，
步驟b4通過步驟b3中生成的一定規模的自我和非自我檢測器集合，對網格域內通信數據進行動態入侵檢測，
步驟b5檢測到異常信息，立刻發出報警信息。
全文摘要
基於人工免疫的動態網格入侵檢測方法是借鑑人工免疫技術，面向網格的入侵檢測方法，它結合網格環境下入侵檢測的動態和實時性的需求，以現有克隆選擇算法為主體，通過否定選擇、克隆選擇、親和力成熟過程、記憶檢測器基因庫方法的融合，動態處理網格環境中的入侵檢測問題。該方法包括基於人工免疫的動態檢測器演化過程和網格入侵檢測過程，其特徵在於借鑑人工免疫系統的防禦機制，融合否定選擇、克隆選擇、親和力成熟、記憶檢測器基因庫方法，首先得到演化成熟的檢測器，然後在人工免疫機制的協調下，動態處理網格環境中的入侵檢測問題，完成動態網格入侵檢測的整個過程。
文檔編號G06N3/12GK101299691SQ20081012415
公開日2008年11月5日 申請日期2008年6月13日 優先權日2008年6月13日
發明者王汝傳, 楊明慧, 季一木, 任勳益, 侃 易, 松 鄧, 蔣凌雲, 雄 付, 琳 張 申請人:南京郵電大學