第3章 多變異模式獨特型網絡自適應檢測器設計

3.1 引言

本章的工作是設計三級模塊式檢測系統中的第一級模塊中的檢測器，即設計一種檢測方法，對待檢測的行為進行初步檢測。如第2章所述，本章利用模式識別技術進行檢測，因此可將所有行為分為正常和異常兩類，通過對正常和異常行為特征的學習，利用模式匹配確定待測試行為的類別屬性。這種方法結合了異常檢測和誤用檢測兩種方法，有助于改善系統的檢測性能。

神經網絡由于具有學習和記憶能力，與模式識別技術相結合，被廣泛用于各種應用領域。但許多神經網絡一旦訓練完成投入使用后，除非重新訓練，否則很難改變或得到及時調整。而且神經網絡的性能依賴于訓練所用的數據。對于入侵檢測、故障檢測、病毒檢測等領域，將神經網絡用作檢測器時，意味著需要定期更新，否則無法完成對新特征尤其是新異常行為的學習。而采用在線訓練方法時，有可能在學習階段系統就遭受損失。因此，本書放棄了利用神經網絡來設計檢測器的方法。

人工獨特型網絡（artificial idiotypic network, AIN）與人工神經網絡（artificial neural network, ANN）相似，都是由大量高性能單元組成，因而具有許多相似功能，如容噪能力、泛化能力、學習能力和記憶能力，以及通過競爭實現的并行分布處理能力。另外，人工獨特型網絡具有動態調整能力，使其在作為檢測器時可以實時調整，不再需要定期更新。這是本書采用人工獨特型網絡來設計檢測器的原因。

盡管獨特型網絡理論已成功用于多種領域，如分類、聚類、數據挖掘、優化等，Aichelin等人[172]在對基于免疫的入侵檢測方法進行總結后發現，還沒有將其用于入侵檢測的研究成果，因此本書希望在這個應用領域能夠有所突破。

本章的3.2節簡單分析獨特型網絡的相關原理；3.3節提出一種多變異模式人工獨特型網絡模型，分析其收斂性能和泛化能力，并將其與幾種人工神經網絡進行比較；3.4節利用該多變異模式獨特型網絡實現一種自適應檢測器；3.5節用3個仿真實驗對提出的網絡模型和檢測器進行性能測試。