随着计算机网络的快速发展,已知和未知的网络攻击越来越多。如何从大量的原始网络数据中有效地区分正常行为和异常行为,以及如何自动有效地生成入侵规则,已经成为入侵检测的一个研究重点。基于免疫网络理论的数据聚类技术,借鉴了生物免疫系统的免疫记忆、分布式并行处理、自组织、自学习等特性,能够从大量无序的数据中提取隐含的、对决策有潜在价值的知识和规则,它对未知数据的划分和分析非常有效并能达到合理的效果。将数据聚类技术用于网络中原始数据的分析,为构建新一代智能入侵检测系统提供了新的技术路线,已经成为入侵检测技术的重要方法和研究热点。但是,已有的免疫网络聚类算法在学习训练阶段存在时间复杂度高、网络收敛速度慢、算法参数多、过分依赖网络抑制来保持网络的动态性和抗体种群的多样性,系统难于适应快速变化的大量网络数据等缺点。此外,免疫网络聚类算法训练得到的检测器用于入侵检测时,智能化程度较低,对异常行为的识别和未知攻击模式的实时检测能力不强,检测的准确率较低,误报率较高。本文深入分析了免疫网络理论和数据聚类的基本原理,对免疫网络聚类在入侵检测中的应用作了创新性和探索性研究。研究内容为:1.根据免疫网络理论和自适应半径思想,设计了一种新的免疫网络学习算法。新的学习算法解决了已有免疫网络学习算法的以下问题:(1)新的学习算法充分保留了原始数据的密度信息,聚类结果能更准确地刻画原始数据的空间分布形态,解决了信息失真的问题;(2)新算法采用单克隆机制,大大压缩了网络抑制的计算量,算法的时间复杂度显著降低,网络收敛速度明显加快;(3)除网络抑制外,还引入了自适应半径来调节网络的动态性,避免了单一的动态调节机制,使网络的扩张更平滑,自组织过程也更稳定;(4)只有“最小自适应半径r”一个参数对学习算法的性能影响较大,学习算法的鲁棒性大大增强。本文设计了一种基于统计和均匀划分的参数估计方法,对最小自适应半径r进行估计。2.设计了一种基于最小生成树算法和Zahn划分标准的簇求解算法,用于求解学习算法训练得到的抗体网络中的簇。整个免疫网络聚类算法由新的学习算法和簇的求解算法两个步骤组成。3.采用二维数据做实验,通过与aiNet的对比,验证新的免疫网络聚类算法在学习阶段充分保留了原始数据的密度信息,可以获得更好的聚类效果。4.为了将新的免疫网络聚类算法用于入侵检测,本文还设计了簇的标记算法,用于标记免疫网络聚类算法产生的簇。这些带标记的簇构成检测器集合,并用于本文设计的入侵检测算法中,以对实际的网络数据进行检测。本文用入侵检测领域权威的测试数据KDD CUP 99做实验,将新的免疫网络学习算法用于KDD原始数据的学习训练,训练得到的抗体网络细胞是KDD原始数据的压缩映像,是对KDD原始数据分布特征的建模。接着采用簇的划分算法、簇的标记算法生成检测器集合,再用入侵检测算法将检测器集合用于KDD数据的实际检测。实验结果表明:相对于基于aiNet的入侵检测方法,新的入侵检测方法检测率高、误报率低,能够有效识别KDD中的已知攻击和未知攻击。