6.2　模型工作特性

IAIDM模型的工作流程总体分为两个阶段：训练期和检测期。

在训练期，IAIDM模型收集正常网络数据并进行归一化处理，采用面向行为子集的异常阈值设定方法实现了对自我空间S的模糊划分，使各个自我子空间范围能够得到更精细的界定，在此基础上确定最小候选检测器集合M和反向判定规则集B。针对由训练时间限制而导致的训练集非完备性问题，模型不定期地采用增量式动态更新策略对各个自我子空间进行快速的调整，并相应的更新M和B。

在检测期，IAIDM模型的检测工作可依据模型中存在不同种类数量的检测器分为检测初期、检测成熟期和检测记忆期三个阶段。

在检测初期，模型不产生任何检测器，只是实时监视目标系统，搜集网络数据并利用反向判定规则ND评估是否异常，一旦捕获到异常的网络事件，模型才产生相应的初始检测器群，体现“静则勿动，变才需求”的灵活检测策略。初始检测器群在其生命周期内未被激活则被认为其所识别的异常事件是噪声数据而被消除，如果该群中某一检测器被激活成功，表明发现入侵行为并向系统报警，同时活化状态的初始检测器增殖为多个个体，并在群的空间识别域内随机地移动，选择其中最优的个体并以较小的概率转化记忆检测器，否则转化为成熟检测器并以其为核心形成新的群体，同时原初始检测器群被消除。在检测初期，模型初次学习和适应未知入侵行为特征，此时检测效率虽不高，但有利于避免误报警。

在检测成熟期，模型中已经存在部分初始检测器群和成熟检测器群，以及少量的记忆检测器，当模型捕获到异常的网络事件时，首先查看是否存在相应的检测器与之匹配，即所谓误用入侵检测，如果被多个不同的检测器识别则采用优先权机制和率先活化机制进行处理，如果没有则产生新的初始检测器群，即所谓异常入侵检测。在检测成熟期，模型加强学习和适应未知入侵行为特征，检测效率得到逐步提高。

在检测记忆期，模型中存在较多的记忆检测器群和部分成熟检测器群，以及少量的初始检测器，同样当模型捕获到异常的网络事件时，首先查看是否存在相应的检测器与之匹配，然后进行下一步处理。在此阶段，模型对当前网络安全环境的自我学习和自我适应进入了一个暂稳态，检测效率也趋于稳定，当网络安全的环境发生较大变化时如网络行为的方式或习惯变化、网络服务的增减和新的攻击手段的出现，IAIDM模型当前的暂稳态被打破，则进入新的一轮自学习和自适应的过程，并能转化到另一个暂稳态，体现了IAIDM模型的鲁棒性，如图6-1所示。

图6-1　IAIDM的自学习和自适应过程