(19)中华 人民共和国 国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202111409425.4 (22)申请日 2021.11.25 (71)申请人 北京邮电大 学 地址 100876 北京市海淀区西土城路10号 (72)发明人 彭海朋　黄京泽　李丽香　毕经国　 李思睿　陈冠华　王德宇　孟昊天　 (74)专利代理 机构 北京挺立专利事务所(普通 合伙) 11265 代理人 吴彩凤　高福勇 (51)Int.Cl. G06F 21/55(2013.01) G06K 9/62(2022.01) H04L 9/40(2022.01) (54)发明名称 一种基于人工免疫学的分布式多主机网络 的入侵检测系统 (57)摘要 本发明公开了一种基于人工免疫学的分布 式多主机网络的入侵检测系统， 通过哈希算法识 别攻击是否已知， 来减少特异性免疫的匹配开 销； 结合多主机信息共享， 最终使网络识别更多 的攻击； 同时采用混沌算 法的Logi stic回归来更 加高效的生成大量随机检测器投入到训练中， 拥 有更好的随机性； 最后通过结合遗传算法的克隆 选择算法， 在变异的基础上加强交叉的效果， 以 更好的收敛性去迭代增值克隆匹配性更好、 亲和 度更高的的检测器， 并择优生成， 最终以全局最 优的方式收敛种群结果， 获得对入侵攻击的快速 自适应发现能力。 本发明相比于传统的其他入侵 检测系统， 拥有更高的鲁棒性和自适应性， 拥有 对攻击检测更低的漏检率以及错 误率。 权利要求书2页 说明书6页 附图3页 CN 114117420 A 2022.03.01 CN 114117420 A 1.一种基于人工免疫学的分布式多主机网络的入侵检测系统， 其特征在于， 采用分布 式多主机网络， 主机之间互相独立， 主机内有多个节点， 节点里存在着检测器， 当该网络中 的某一个主机捕获到了网络中的信息， 对信息进行处理后与已知攻击库进行哈希值的比 对， 如果比对成功则拦截， 否则进入特异 性免疫过程； 特异 性免疫过程首先采用否定选择算 法进行未成熟检测器的耐受训练， 之后将成熟 的检测器进行克隆选择， 增值对抗原亲和度 更高的抗体， 最终判断是否为 攻击， 若是则拦截并更新已知攻击库， 否则加载信息 。 2.根据权利要求1所述的基于人工免疫学的分布式多主机网络的入侵检测系统， 其特 征在于， 对捕获的信息进行处理的过程为： 收集目前常用的攻击方式， 采用开源数据集 KDDCup99中的网络入侵检测数据包kddcup_data_10percent中的训练集进行训练， 每一条 数据含有41个特征以及标识， 首先进行特征提取， 选择其第2、 3、 4、 23、 42的五个特征， 2号特 征是协议标志， 3号特征是网络服务类型， 4号特征是网络连接状态， 23号特征是与当前连接 具有相同主机的连接数， 42号是一个攻击的类型标记lab el， 离散化去掉标点符号后， 将字 母转为ASCII码并归一 化， 将值映射到[0,1]范围内， 再生成一个二维矩阵顺序存 储。 3.根据权利要求1所述的基于人工免疫学的分布式多主机网络的入侵检测系统， 其特 征在于， 已知攻击的存储过程为： 通过使用哈希 函数计算处理后的已知攻击的哈希值， 并存 储到已知攻击库中。 4.根据权利要求3所述的基于人工免疫学的分布式多主机网络的入侵检测系统， 其特 征在于， 倘若 有两个不同种信息产生了相同的哈希值， 则认为 其是攻击 。 5.根据权利要求1所述的基于人工免疫学的分布式多主机网络的入侵检测系统， 其特 征在于， 未成熟检测器的产生过程为： 由计算机时间种子随机以时间戳生成一个随机数x， 通过混沌理论的Logistic映射表达式x(t+1)＝μx(t)(1 ‑x(t))， 在 μ取一定范围内的情况 下， 取出轨道中的任意长的一段， 利用状态参量在这个区间取值时， 生成随机数串， 再按照 统一化的格式形成一个 个子串， 最终分组形成未成熟检测器。 6.根据权利要求1所述的基于人工免疫学的分布式多主机网络的入侵检测系统， 其特 征在于， 使用阴性选择算法对未成熟检测器进行耐受训练的算法过程为： 首先定义了自体 细胞集合； 投入一定量的检测 器， 与自体细胞进行匹配； 当检测器与自体细胞相匹配， 则自 动销毁检测器； 同时再采用混沌系统生成随机序列作为新的检测器补充； 经过一段时间的 耐受期仍旧没有匹配到自体细胞的检测器则成为成熟的检测器加入到集 合之中。 7.根据权利要求6所述的基于人工免疫学的分布式多主机网络的入侵检测系统， 其特 征在于， 检测器与自体细胞的匹配方法采用全位匹配、 连续r位匹配和汉明匹配相结合。 8.根据权利要求7所述的基于人工免疫学的分布式多主机网络的入侵检测系统， 其特 征在于， 检测器与自体细胞的匹配过程采用索引的方式， 从某一位作为首位的连续r位匹 配。 9.根据权利要求1所述的基于人工免疫学的分布式多主机网络的入侵检测系统， 其特 征在于， 克隆选择算法的过程为： 首先通过否定选择算法生成了一系列成熟检测器； 将 检测 器与抗原进行匹配， 并计算匹配的亲和力； 如果抗原的匹配度未达到 收敛标准则进行克隆 选择， 包含克隆、 变异和交叉； 经过克隆选择后， 进入到下一代群体， 同时再次与抗原进 行匹 配计算亲和力； 当亲和力匹配达 到预期的收敛 条件， 则输出当前 结果集， 结束算法。 10.根据权利要求1所述的基于人工免疫学的分布式多主机网络的入侵检测系统， 其特权　利　要　求　书 1/2 页 2 CN 114117420 A 2征在于， 最终判断为 攻击的信息传递给其 他主机。权　利　要　求　书 2/2 页 3 CN 114117420 A 3