4.8　本章小结

本章首先给出了描述IAIDM模型所需要的一些相关概念与定义，如模式、模式的相似度量、模式空间、自我空间与非我空间之间的模糊定义、漏检错误和误检错误以及检测器的识别域等。

第二部分类比自然免疫系统中先天B细胞，提出以最小有效候选检测器集合的概念来确定覆盖整个入侵检测的问题域所需检测器的最低数量，并对其生成算法和初始化方式进行了深入的研究，通过建立整数索引空间的机制，使其产生的时间复杂度与集合大小无关，很好地解决了由于高维特征数据而造成检测器集合尺寸巨大以致无法初始化的问题。

有效检测器集的产生是IAIDM模型中重要的一环，它是入侵检测系统有效性的基础。第三部分首先对界定自我空间的方法进行了研究，分析了几个具有代表性的聚类算法如K-means、DBSCAN和CLIQUE等算法步骤及其优缺点，以及降维算法如PCA、LDA、KPCA、KECA等算法步骤及其优缺点。本文结合最小候选检测器集的特点，借鉴基于KECA的CLIQUE算法，提出了一种基于最小候选检测器集的否定选择算法MBNSA，详细给出了算法MBNSA的相关定义和实施步骤，并分析了算法的时间和空间复杂度。MBNSA将候选检测器的识别空间内包含自我样本的数量作为判定候选检测器是否有效的标准，使否定选择过程不敏感于噪声数据和异常数据的干扰，利用已建起的整数索引空间的机制，使有效检测器集的产生避免了传统否定选择算法中繁重的迭代过程，极大地降低了模型的训练时间和入侵检测的时间。在实验中对MBNSA算法参数的不同选取策略进行了深入的分析和评价。

第四部分讨论了自我空间模糊划分的问题。由于网络安全本身具有模糊性，因此所谓的正常或异常样本实际上只是个程度问题，笔者采用密度等高线对自我空间进行多层次的划分，不同的密度等高线代表着自我空间中不同的区域的异常阈值或网络安全监控等级。密度等高线设得越低，意味着网络的安全环境较好，此时的自我空间范围也越大；反之，当网络的安全环境恶劣时，密度等高线将设置在较高的水平，此时的自我空间范围也相应地收缩。由于训练集的非完备性，使不同类型的网络行为记录在采集方面存在着严重的不平衡性，因此提出了面向行为子集的异常阈值计算方式来实现自我空间的模糊划分，使IAIDM能根据网络安全状况，更精细地调整各个自我子空间，解决了传统免疫检测模型中正常空间和异常空间的尖锐划分问题。测试实验证明该方式的有效性。

最后分析了训练集的非完备问题对IAIDM模型的影响以更新的策略。由于训练时间的限制是IDS遭遇到的最常见的问题，因此笔者对因时间因素而导致训练集非完备性问题进行了深入分析。结合IAIDM模型特点，将落在同一空间网格c内的所有样本点视为是同一样本，并以网格密度作为该样本出现的频率，引入离散随机过程的分析方法来估计了e＋发生概率，分析结果显示只有低频出现的自我模式才会导致e＋，即训练集的非完备性问题对IAIDM的影响主要体现在自我空间的边界上，并指出随着检测周期的延长，越来越多自我模式的出现，发生误检错误的次数也随之增多，使模型的有效性下降，因此有必要对模型的自我空间进行不定期的更新，保持检测器集的有效性。基于此，提出了增量式批量更新算法IMBNSA，给出了算法的相关定义和实施步骤，测试实验显示IMBNSA能增量式地动态更新发生变化的局部样本空间而不必更新整个样本空间，保证了IAIDM能迅速适应网络环境的变化，同时即排除了偶然事件对有效检测器的影响，也使入侵者企图诱导训练模型的恶意行为变得更加困难。