第3章 多变异模式独特型网络自适应检测器设计

3.1 引言

本章的工作是设计三级模块式检测系统中的第一级模块中的检测器，即设计一种检测方法，对待检测的行为进行初步检测。如第2章所述，本章利用模式识别技术进行检测，因此可将所有行为分为正常和异常两类，通过对正常和异常行为特征的学习，利用模式匹配确定待测试行为的类别属性。这种方法结合了异常检测和误用检测两种方法，有助于改善系统的检测性能。

神经网络由于具有学习和记忆能力，与模式识别技术相结合，被广泛用于各种应用领域。但许多神经网络一旦训练完成投入使用后，除非重新训练，否则很难改变或得到及时调整。而且神经网络的性能依赖于训练所用的数据。对于入侵检测、故障检测、病毒检测等领域，将神经网络用作检测器时，意味着需要定期更新，否则无法完成对新特征尤其是新异常行为的学习。而采用在线训练方法时，有可能在学习阶段系统就遭受损失。因此，本书放弃了利用神经网络来设计检测器的方法。

人工独特型网络（artificial idiotypic network, AIN）与人工神经网络（artificial neural network, ANN）相似，都是由大量高性能单元组成，因而具有许多相似功能，如容噪能力、泛化能力、学习能力和记忆能力，以及通过竞争实现的并行分布处理能力。另外，人工独特型网络具有动态调整能力，使其在作为检测器时可以实时调整，不再需要定期更新。这是本书采用人工独特型网络来设计检测器的原因。

尽管独特型网络理论已成功用于多种领域，如分类、聚类、数据挖掘、优化等，Aichelin等人[172]在对基于免疫的入侵检测方法进行总结后发现，还没有将其用于入侵检测的研究成果，因此本书希望在这个应用领域能够有所突破。

本章的3.2节简单分析独特型网络的相关原理；3.3节提出一种多变异模式人工独特型网络模型，分析其收敛性能和泛化能力，并将其与几种人工神经网络进行比较；3.4节利用该多变异模式独特型网络实现一种自适应检测器；3.5节用3个仿真实验对提出的网络模型和检测器进行性能测试。