模塊化免疫神經(jīng)網(wǎng)絡(luò )模型在計算機病毒分類(lèi)檢測中的

4.1 仿真訓練初始數據的收集

目前世界上很多研究機構和研究人員致力于計算機病毒入侵檢測方面的研究和系統開(kāi)發(fā)，提供了一些測試資料集合，包括網(wǎng)絡(luò )資料、基于主機的審計資料和系統調用序列。

網(wǎng)絡(luò )傳輸協(xié)議／網(wǎng)絡(luò )協(xié)議(TCP／IP)對需要組織傳輸的資料包進(jìn)行打包。TCP層在包中加入了頭信息如：源埠、目的埠、序列號、ACK確認號、偏移量、SYN、FIN、窗口和緊急指針等。含有TCP頭信息的包被送到IP層，加IP資料包頭如：包頭長(cháng)度、服務(wù)類(lèi)型、資料包長(cháng)度、分段偏移量、生存期、協(xié)議類(lèi)型、源地址和目標地址等。而正常和異常的數據包都在網(wǎng)上傳輸，其特征是有差別的。

為測試改進(jìn)后的網(wǎng)絡(luò )在病毒入侵檢測應用中的效果，采用了具有30萬(wàn)條數據記錄的測試數據集，每條數據包括了網(wǎng)絡(luò )數據包的包頭信息、網(wǎng)絡(luò )連接信息和數據信息等，每條數據包含96位的二進(jìn)制代碼。其中前32位二進(jìn)制為源IP地址，32-64位二進(jìn)制為目標IP地址，64-96位二進(jìn)制表示了一些數據信息，每個(gè)數據被標記為異?；蛘哒?。該數據源由MATLAB利用random()函數產(chǎn)生一組隨機的小數，因為考慮到是二進(jìn)制運算，規定：

這樣隨機產(chǎn)生的二進(jìn)制串96個(gè)為一組，模擬的IP數據包，一共產(chǎn)生96萬(wàn)個(gè)二進(jìn)制串組合。

4.2 抗體自體庫仿真訓練(自體庫的建立)

使用這1萬(wàn)條數據進(jìn)行自體庫的建立和神經(jīng)網(wǎng)絡(luò )的學(xué)習。在不斷調整抗體自體庫的同時(shí)，使自體庫的解空間在最大程度上得到提高，最后趨近與一個(gè)穩定的自體庫接集合。利用建立好的抗體檢測庫檢測未知的29萬(wàn)條數據紀錄。仿真試驗算法如下：

4.3 病毒入侵檢測算法的仿真訓練

建立起自體庫后，進(jìn)行病毒入侵檢測算法的仿真試驗，步驟如下：

首先，引入新的一組數據向量，與自體庫也就是所謂的記憶細胞匹配，如果在一定的閾值范圍內匹配度很高，則認為該向量為入侵行為，并把匹配度提升1；相反，如果匹配度不高，則找出記憶細胞里與之親和力較大的進(jìn)行權值的調整，達到兩者之間的最優(yōu)匹配度，然后把新的向量作為抗體集合加入到記憶細胞，重復操作，完成后統計結果。

檢測算法仿真程序如下：

上一頁(yè) 1 2 3 下一頁(yè)