一种改进的入侵检测DCA算法

一种改进的入侵检测DCA算法*

雷石花，丁雷，李建锋，曾水玲

(吉首大学信息科学与工程学院，湖南 吉首 416000)

摘要：考虑到迁移阈值的设置直接影响DCA算法在网络入侵检测中的性能，提出一种改进的迁移阈值选择方法，来提高DCA算法的性能.根据现实网络行为的连续性，利用粒子群算法获得最优迁移阈值，并将其作为网络数据分析的迁移阈值.仿真结果表明，改进的DCA算法能够在一定程度上提高入侵检测的精度.

关键词：迁移阈值；DCA；粒子群算法；入侵检测

文章编号：1007-2985(2015)06-0027-03

中图分类号：TP393文献标志码：A

DOI:10.3969/j.cnki.jdxb.2015.06.007

收稿日期：*2015-07-26

基金项目：国家自然科学基金资助项目(61363073，61363033，61262032)；湖南省教育厅科学研究项目(13A075)

通信作者：丁雷(1972—)，男，湖南临湘人，吉首大学信息科学与工程学院教授，博士，主要从事网络安全研究.

入侵检测技术通常分为误用检测和异常检测2类.基于误用检测算法需要攻击样本，通过提取攻击的特征形成特征集合，再根据入侵和特征集合是否匹配来进行检测.该算法的准确率很高，但其主要的缺点是只能检测已知的攻击，不能检测未知的攻击.基于异常检测算法是先构造出一个正常的行为模式，再通过判断所要检测的行为是不是偏离了正常的行为来决定网络是否受到了入侵.近年来越来越多未知攻击的出现，使得能够检测未知入侵的异常检测方法成为入侵检测领域的一个研究热点.

目前主流的人工算法包括否定选择算法、克隆选择算法和免疫网络算法.由于传统免疫理论存在一些缺陷，因此提出一种新的“危险理论”.该理论不再区分“自我”和“非我”的概念，而只是对那些影响身体的危险信号作出反应.文献首次将“危险理论”引入到人工免疫系统.文献在此基础上首次提出基于“危险理论”的树突状细胞算法(Dendritic Cell Algorithm，简称DCA)，并将其应用于异常检测中.目前，树突状细胞是已知的功能最强大的专职抗原提呈细胞，DCA在模仿树突状细胞辨别健康组织和受感染组织能力的基础上，对输入抗原信号抽象出“输入信号”后对其进行融合处理，获得相应的“输出信号”，然后根据“输出信号”获得抗原的危险程度，最后通过判断抗原的危险程度来确定是否发生了入侵行为.Greensmith J等证明了DCA具有异常检测能力.DCA算法中迁移阈值的设定直接影响到树突状细胞的成熟时间，树突状细胞值设置过小会使得树突状细胞过早地成熟，意味着树突状细胞对外界环境更敏感；树突状细胞值设置过大则会造成树突状细胞的累积信息过多，意味着DC不能及时反映外界的情况.文献对 DCA 进行了频率调谐的分析.通过分析，文献认为DCA具有滤波器特性，指出迁移阈值的选取对于分类具有一定的影响，但并没有说明如何选取迁移阈值.

DCA算法目前被认为是一种最新的人工免疫算法，相对于传统免疫算法，其理论更适合异常检测，并具有简单快速等特点，是今后发展的一个重要方向[10].笔者针对网络行为具有连续性的特点，利用粒子群算法来选择迁移阈值.

1改进的DCA算法

1.1 DCA原理

DCA算法中未成熟树突状细胞的职责是对组织中的抗原信号进行采样和分析.抗原信号包括PAMP、危险信号、安全信号和炎性信号.当树突状细胞收集一定量的抗原信号之后，未成熟树突状细胞将根据采集到的信号情况产生不同的分化结果：当安全信号比其他信号强时，未成熟的树突状细胞将分化为半成熟的树突状细胞；而当PAMP和危险信号比安全信号强时，那些没有成熟的树突状细胞将分化为成熟的树突状细胞.DCA算法的本质是一种基于种群的算法，DCA算法的输入数据是一系列的数据流，即信号流和抗原流.与生物学中树突状细胞接受到的信号类似，DCA算法的输入信号可以分为安全信号、炎性信号、PAMP和危险信号.DCA算法通过计算分析所输入的信号来获得相应的输出信号.输出信号包括协同刺激信号 (Csm)、半成熟信号 (Semi)和成熟信号(Mat)，定义为

其中：Si为输入信号；Oj为输出信号；Iin表示炎性信号，意味着从Si到Oj的转换权值；I表示输入信号种类(这里为3种).S0，S1，S2这3种输入信号分别表示PAMP、危险信号和安全信号的值；O0，O1，O2这3种输出信号分别表示Csm，Semi和Mat的值.

DCA算法给每个树突状细胞赋予了1个迁移阈值，以便确定树突状细胞的生命周期.每个没有成熟的树突状细胞都会累积输出信号，这样就会得到累积Semi，Csm和Mat.其累积的公式为

Cj(t)=Cj(t-1)+Oj.

其中：Oj为算法的输出信号；t为算法运行的时间；Cj(t)为当前系统周期所输出的累积信号；Cj(t-1) 为上1个系统周期输出的累积信号；C0(t)，C1(t)，C2(t)分别为当前系统周期的累积Semi，Csm和Mat累积值.当Csm累积值达到或超过迁移阈值时，意味着细胞生命周期结束，同时也意味着累积过程的结束.接着比较累积Semi和Mat的累积值大小，若Semi累积值大于Mat的累积值，则树突状细胞就会分化为半成熟状态；反之，树突状细胞会分化为成熟状态.最后，通过细胞环境来标记树突状细胞状态(半成熟状态为0，表示正常状态，成熟状态为1，表示异常状态).在DCA算法中，根据实际情况设置一个异常阈值，当成熟细胞环境抗原值超过该阈值，则判定为异常.

1.2 粒子群优化算法

1995年Kennedy等从鸟群寻找食物的现象中获得灵感，提出了粒子群优化(Particle Swarm Optimization，简称PSO)算法.在PSO算法中，位于鸟群中的每只鸟都被抽象成一个没有体积也没有质量的粒子.搜索过程中每个粒子所在的位置相当于求解问题的一个可能解，搜索到食物相当于找到问题的最优解，鸟群在搜索过程中所飞行移动的空间相当于问题的解空间.在PSO算法中，种群首先被初始化为一组具有随机值的解，接着在寻找食物的过程中，鸟群中的每只鸟将通过和其他鸟之间的协作来调整自己的空间位置和飞行速度.在整个的搜索过程，位置比较分散的鸟群逐渐汇聚成位置集中的鸟群，由于鸟群是根据更好的信息来调整飞行的方向和位置，因此最终将找到食物，也就是说算法找到问题的最优值.[11-12]

PSO算法在每次的迭代中，单个粒子会根据其自身的局部最优值p和全局最优值g来更新自己.在找到这2个最优值后，粒子通过下式来更新自己的速度和位置[11]：

其中k表示第k次迭代，i表示第i个粒子，v表示速度，x表示位置.

1.3 改进的入侵检测DCA算法

在DCA算法中，迁移阈值是由随机数或研究人员的经验确定的，不便于现实中复杂、连续的网络状态的分析.针对网络特性在时间上具有连续性的特点，利用粒子群寻优算法(PSO)来优化DCA算法，即通过粒子群算法获得上一组网络数据的最优迁移阈值，并将其作为以后网络数据分析的迁移阈值.

2仿真结果

以KDDCUP99 10%数据集为实验基础，先对数据进行数值化、归一化等预处理，并将数据分为训练数据集和测试数据集.对于改进的DCA算法的权值取值，使用文献中给定的数据(表1).

对于改进的DCA算法中数据域的选择，根据文献[13]中的信息增益选择方法来选择KDDCUP99数据集的数据域(表2).

DCA算法采用JAVA实现，输入数据集到程序中，程序按每秒读取10条数据，并以每分钟读取的数据为单位计算分析数据是否属于正常行为.统计整个数据集数据分析的正确率，输出需要的数值.

表1　权值的选取

表2　数据集的数据域的选择表

对于DCA算法，根据文献[13]在[100，500]中随机选取迁移阈值.对于改进的DCA算法先利用粒子群算法，找出全局的迁移阈值的最优解，并将该最优解作为下一组数据DCA计算的迁移阈值.设置每600条输入的数据输出1个成熟环境抗原值，总共输入400组数据.仿真结果表明，改进的DCA算法的数据分类正确率(81%)高于DCA算法(76%)，提高了5%.

3结语

针对DCA算法中迁移阈值的选择问题进行研究，即通过粒子群算法来获得样本中最优的迁移阈值，并将其作为下一个周期检测的迁移阈值.实验结果表明，该方法能够在一定程度上提高DCA算法的检测精度.

参考文献：

[1]XIELinquan,YUFei,XUChen.DistributedFirewallwithIntrusionDetectionSystem.JournalofComputers，2012，7(12)：3 110-3 115.

[2]FORRESTS，PERELSONAS，ALLENL，etal.Self-NonselfDiscriminationinaComputer.Proceedingsofthe1994IEEESymposiumonResearchinSecurityandPrivacy.LosAlamos，CA：IEEEComputerSociety，1994：202-209.

[3]CASTROLND，VONZUBENFJ.TheClonalSelectionAlgorithmwithEngineeringApplications.ProceedingsoftheGeneticandEvolutionaryComputationConference.LasVegas，USA：ACM，2000：36-37.

[4]CASTROLND，VONZUBENFJ.AnEvolutionaryImmuneNetworkforDataClustering.ProceedingsoftheIEEEBrazilianSymposiumonArtificialNeuralNetworks.RiodeJaneiro，Brazil：IEEEComputerSociety，2000：84-89.

[5]MATZINGERP.Tolerance，DangerandtheExtendedFamily.AnnualReviewofImmunology，1994,12(1)：991-1 045.

[6]AICKELINU，BENTLEYP，CAYZERS，etal.DangerTheory：TheLinkBetweenAISandIDS.ProceedingsoftheSecondInternationalConferenceonArtificialImmuneSystems.Edinburgh：[s.n.]，2003:147-155.

[7]GREENSMITHJ，AICKELINU，CAYZERS.IntroducingDendriticCellsasaNovelImmune-InspiredAlgorithmforAnomalyDetection.Proceedingsofthe4thInternationalConferenceonArtificialImmuneSystems.Alberta:[s.n.]，2005:153-167.

[8]GREENSMITHJ，AICKELINU，TWYCORSSJ.ArticulationandClarificationoftheDendriticCellAlgorithm.ProceedingofInternationalConferenceonArtificialImmuneSystem.Oeiras，Portugal：SpringerVerlag，2006：404-417.

[9]OATESR，KENDALLG，GARIBALDIJM.FrequencyAnalysisforDendriticCellPopulationTuning.EvolutionaryIntelligence，2008,1(2)：145-157.

[10] 方贤进，王丽，康佳，等.树突细胞算法及其理论研究.计算机科学，2015，42(2)：131-133；156.

[11]EBERHARTR，KENNEDYJ.ANewOptimizerUsingParticleSwarmTheory.Proceedingofthe6thInternationalSymposiumonMicroMachineandHumanScience.Piscataway，NJ：IEEEServiceCenter，1995：39-43.

[12] 徐善健.一种基于网络资源的数据挖掘方法.湖南城市学院学报：自然科学版，2015，24(2)：76-78.

[13] 陈岳兵.面向入侵检测的人工免疫系统研究.长沙：国防科技大学，2011.

ImprovedIntrusionDetectionAlgorithmBasedonDCA

LEIShihua，DINGLei,LIJianfeng,ZENGShuiling

(SchoolofInformationScienceandEngineering，JishouUniversity，Jishou416000，HunanChina)

Abstract:With the influence of the migration threshold value on the performance of dendritic cell algorithm(DCA) being considered during the network intrusion detection，the way to determine the migration threshold is presented to improve the performance of DCA.According to the real network behavior with the characteristics of continuity，the particle swarm optimization (PSO) is employed to determine the migration threshold which will be the used to analyze the network data.The simulation results show that the improved way can increase the accuracy of intrusion detection of DCA.

Keywords:migrationthreshold；dendriticcellalgorithm；particleswarmoptimization；intrusiondetection

(责任编辑陈炳权)