模塊化免疫神經(jīng)網(wǎng)絡(luò)模型在計算機(jī)病毒分類檢測中的

4.1 仿真訓(xùn)練初始數(shù)據(jù)的收集

目前世界上很多研究機(jī)構(gòu)和研究人員致力于計算機(jī)病毒入侵檢測方面的研究和系統(tǒng)開發(fā)，提供了一些測試資料集合，包括網(wǎng)絡(luò)資料、基于主機(jī)的審計資料和系統(tǒng)調(diào)用序列。

網(wǎng)絡(luò)傳輸協(xié)議／網(wǎng)絡(luò)協(xié)議(TCP／IP)對需要組織傳輸?shù)馁Y料包進(jìn)行打包。TCP層在包中加入了頭信息如：源埠、目的埠、序列號、ACK確認(rèn)號、偏移量、SYN、FIN、窗口和緊急指針等。含有TCP頭信息的包被送到IP層，加IP資料包頭如：包頭長度、服務(wù)類型、資料包長度、分段偏移量、生存期、協(xié)議類型、源地址和目標(biāo)地址等。而正常和異常的數(shù)據(jù)包都在網(wǎng)上傳輸，其特征是有差別的。

為測試改進(jìn)后的網(wǎng)絡(luò)在病毒入侵檢測應(yīng)用中的效果，采用了具有30萬條數(shù)據(jù)記錄的測試數(shù)據(jù)集，每條數(shù)據(jù)包括了網(wǎng)絡(luò)數(shù)據(jù)包的包頭信息、網(wǎng)絡(luò)連接信息和數(shù)據(jù)信息等，每條數(shù)據(jù)包含96位的二進(jìn)制代碼。其中前32位二進(jìn)制為源IP地址，32-64位二進(jìn)制為目標(biāo)IP地址，64-96位二進(jìn)制表示了一些數(shù)據(jù)信息，每個數(shù)據(jù)被標(biāo)記為異?；蛘哒！Ｔ摂?shù)據(jù)源由MATLAB利用random()函數(shù)產(chǎn)生一組隨機(jī)的小數(shù)，因為考慮到是二進(jìn)制運(yùn)算，規(guī)定：

這樣隨機(jī)產(chǎn)生的二進(jìn)制串96個為一組，模擬的IP數(shù)據(jù)包，一共產(chǎn)生96萬個二進(jìn)制串組合。

4.2 抗體自體庫仿真訓(xùn)練(自體庫的建立)

使用這1萬條數(shù)據(jù)進(jìn)行自體庫的建立和神經(jīng)網(wǎng)絡(luò)的學(xué)習(xí)。在不斷調(diào)整抗體自體庫的同時，使自體庫的解空間在最大程度上得到提高，最后趨近與一個穩(wěn)定的自體庫接集合。利用建立好的抗體檢測庫檢測未知的29萬條數(shù)據(jù)紀(jì)錄。仿真試驗算法如下：

4.3 病毒入侵檢測算法的仿真訓(xùn)練

建立起自體庫后，進(jìn)行病毒入侵檢測算法的仿真試驗，步驟如下：

首先，引入新的一組數(shù)據(jù)向量，與自體庫也就是所謂的記憶細(xì)胞匹配，如果在一定的閾值范圍內(nèi)匹配度很高，則認(rèn)為該向量為入侵行為，并把匹配度提升1；相反，如果匹配度不高，則找出記憶細(xì)胞里與之親和力較大的進(jìn)行權(quán)值的調(diào)整，達(dá)到兩者之間的最優(yōu)匹配度，然后把新的向量作為抗體集合加入到記憶細(xì)胞，重復(fù)操作，完成后統(tǒng)計結(jié)果。

檢測算法仿真程序如下：

上一頁 1 2 3 下一頁