基于人工免疫原理的入侵检测模型研究

开篇：润墨网以专业的文秘视角，为您筛选了一篇基于人工免疫原理的入侵检测模型研究范文，如需获取更多写作素材，在线客服老师一对一协助。欢迎您的阅读与分享！

摘要：本文在研究入侵检测技术和免疫学原理的基础上，分析了免疫系统的工作机理，将其和入侵检测系统的工作原理进行了详细比较，并在研究当前各种人工免疫算法的基础上，建立了一个新的基于人工免疫的入侵检测模型框架，实现了当前智能化入侵检测系统所要求的自学习、自适应、分布式和可扩展功能，具有一定的现实意义。

关键词：入侵检测系统(IDS)；人工免疫原理；免疫细胞模块

中图分类号：TP393文献标识码：A文章编号：1009-3044(2008)28-0078-03

Research on Intrusion Detection model Based on Artificial Immune Theory

ZOU Xiao-hua

(1.East China Jiaotong University,Information Engineering College,Nanchang 330013,China; 2. Science and Technology College of NCHU Information Engineering,Nanchang 330034,China)

Abstract: Based on the study intrusion detection technologies and principles of immunity on the basis of the work of the immune system, and its intrusion detection system works carried out a detailed comparison, the current study and in all kinds of artificial immune algorithm established on the basis of Based on a new artificial immune intrusion detectionmodel framework to achieve the current intelligent intrusion detection system required by the self-learning, adaptive, distributed and scalable features, has a practical significance.

Key words:intrusion detection systems (IDS);artificial immune; principle of immune cells Module

1 引言

入侵检测是近年来网络安全研究的热点，随着计算机和网络技术的不断发展，系统遭受的入侵和攻击也越来越多。一方面，网络的规模越大，结构越复杂，软件的规模和数量越大，系统遭受攻击的机会就越多；另一方面，随着计算机和网络技术的不断普及，越来越多的漏洞被人们发现，入侵者的水平也越来越高，手段变得更加高明和隐蔽。因此，网络与信息安全问题显得越来越突出，研究入侵防御技术很有必要。

传统的网络安全防护，是以防火墙和杀毒软件为主体，再加上身份认证机制等构建的防护体系，这种方法对防止系统被非法入侵有一定的效果。但是某些入侵者会设法寻找防火墙背后可能敞开的通道对其进行攻击，另一方面防火墙在防止网络内部袭击等方面收效甚微，对于企业内部心怀不满而又技术高超的员工来说，防火墙形同虚设。而且，由于功能有限，防火墙通常不能提供有效的入侵检测。因此，要构建一个合格的网络安全保护体系，光靠防火墙是远远不够的，还需要有能够对网络进行实时监控、实时报警并且能够有效识别攻击手段的网络安全工具，入侵检测系统（IDS，Intrusion Detection System）应运而生。入侵检测系统可通过对计算机网络或计算机系统中若干关键点的信息收集并对其进行分析，发现网络或系统中违反安全策略的行为和攻击迹象，产生报警，从而有效防护网络的安全。入侵检测系统作为防火墙之后的有益补充，有着不可替代的作用，在网络安全防护中的地位也越来越突出。作为一个全新的、快速发展的领域，有关入侵检测的研究已经成为网络安全中极为重要的一个课题，已经引起了国内外许多专家学者的广泛重视，对入侵检测系统的研究具有十分重要的意义。

2 免疫系统的生物原理

生物保护自身免受外来病菌的侵害是通过其免疫系统完成的。免疫系统的物质基础是淋巴细胞，它们由骨髓产生，分布于全身，种类繁多，各自起着不同的作用。淋巴细胞中重要的有 T 细胞和 B 细胞。在骨髓中产生的未成熟 T 细胞进入另一个中枢免疫器官―――胸腺，在其中分化发育为两大类 T 细胞，不合格的 T 细胞(会产生自体免疫) 被消灭，而成熟的 T 细胞分布在脾和淋巴结中以等待外来入侵。从所有未成熟 T 细胞中选择符合条件的成熟T 细胞的过程称为“阴性选择”。每个 B 细胞产生一种依附于其表面的抗体，用以探测相应的抗原。B 细胞可以产生数百万不同种类的抗体，每个抗体只对一种抗原有效，这就是免疫系统的多样性和特定性。当 B 细胞探测到抗原，并收到辅助 T 细胞发来的信号时，便产生免疫应答。其中一部分 B 细胞转化为浆细胞，产生与抗原相应的抗体，并与抗原结合使之失去活性，从而达到清除抗原的目的，这个过程就是先天免疫。没有转化为浆细胞的 B 细胞则变为记忆细胞，记录下该抗原的特征，以提高将来对同一抗原的反应速度。这一反应是后天形成的，称为后天免疫。

我们要借鉴的就是生物的后天免疫机制。免疫应答有几个重要的特征: 1) 特异性。免疫活性细胞仅能与相应的抗原起反应，而与无关的抗原不发生反应；2) 排它性。免疫系统能识别“自己”和“非已”抗原，对“非已”的外来抗原产生免疫应答，对“自己”抗原一般没有反应；3) 多样性。免疫系统具有庞大的T 细胞和B 细胞库，可与几乎所有的外界抗原发生应答；4) 记忆性。初次接触的抗原被排除后，机体可长期保留这种抗原信息，形成特异性记忆免疫活性细胞，当再次接触同一抗原时，就会产生迅速而更强的免疫应答；5) 分布性。成熟的免疫活性细胞分布于全身的淋巴，各自完成检测异己抗原的功能，不需要集中控制。生物免疫系统具有的分布式、自适应和平衡动态能力，正是现有网络系统所不具备的，我们可以应用生物系统的免疫原理，构造用于进行网络入侵检测的人工免疫，解决现有入侵检测系统的不足，改进其性能。

3 一个人工免疫的入侵检测系统模型框架

本模型框架主要分为三个模块，即：未成熟免疫细胞模块、成熟免疫细胞模块和记忆免疫细胞模块。三个模块对应前面定义的三个免疫细胞结合，并且在每个模块中分别实现相应的免疫功能。系统根据所要处理的信息的不同，可分为两个工作流向：一个是免疫细胞处理流向，另一个是抗原的处理流向。

模型整体上分为3个阶段：

1) 耐受阶段：从开始到耐受期结束时刻 T。首先初始化自体集合以及未成熟免疫细胞集合，在时间T内，如果未成熟免疫细胞与自体集合中任何一个自体发生匹配，则将被删除并重新产生一个新的未成熟免疫细胞，并再次进入上述过程。如果未成熟免疫细胞在耐受周期内耐受成功，就变为成熟免疫细胞。

2) 学习阶段：从T+1时刻开始，成熟的免疫细胞通过克隆选择，生成能识别大量不同非自体抗原的记忆细胞，添加到记忆免疫细胞集合中。那些通过记忆免疫细胞模块和成熟免疫细胞模块检测被分类为自体的抗原最后被送到未成熟免疫细胞集合再进行耐受。成熟免疫细胞与未知的抗原进行匹配，如果在成熟免疫细胞生命周期内，它的累积匹配次数超过了激活阖值，就会激活，最后这个成熟免疫细胞也就变成了一个记忆免疫细胞。

3) 检测阶段：抗原由系统进行获取，然后按照前面介绍的免疫细胞和抗原的工作流程不断循环运行，系统动态运行监视当时网络状况，直到系统结束运行。

未成熟免疫细胞模块、成熟免疫细胞模块和记忆免疫细胞模块具有动态性，保持自动更新，使系统具有良好的自适应性和自学习能力。

2.1 记忆免疫细胞模块

该模块主要是对输入的抗原进行检测，以达到二次应答的目的，并将无法检测的抗原提交给成熟免疫细胞模块。本模型中我们认为记忆免疫细具有无限长的生命周期，除非它检测出自体细胞被删除或系统结束运行。因此，记忆免疫细胞模块需要实现以下几个工作步骤：

1) 抗原与记忆免疫细胞模块中的抗体进行匹配。如果匹配成功，则进行第2步，否则，将抗原提交给成熟免疫细胞模块处理。

2) 判断该抗原是否属于当前自体集合。如果属于当前自体集合，则进行第3步；否则，认为该抗原是入侵抗原，将其删除。

3) 由系统管理员给出协同刺激信号。如果系统管理员认为该抗原是自体，则删除与该抗原匹配的记忆免疫细胞模块中的记忆免疫细胞，并将该抗原放入当前自体集合中；否则，删除该抗原和当前自体集合中对应的自体。

2.2 成熟免疫细胞模块

该模块检测记忆免疫细胞模块无应答的抗原，对成功检测出的抗原执行免疫应答，同时将无法检测的抗原提交给未成熟免疫细胞模块处理。因此，成熟免疫细胞模块需要实现以下几个工作步骤：

1) 抗原与成熟免疫细胞模块中的抗体进行匹配。如果匹配成功，则进行第2步；否则，将抗原提交给未成熟免疫细胞模块处理。

2) 判断该抗原是否属于当前自体集合。如果属于当前自体集合，则进行第3步;否则，认为该抗原是入侵抗原，将其删除，同时对应的成熟的免疫细胞中的计数器加1。

3) 由系统管理员给出协同刺激信号。如果系统管理员认为该抗原是自体，则删除与该抗原匹配的成熟免疫细胞模块中的成熟免疫细胞，并将该抗原放入当前自体集合中；否则，删除该抗原和当前自体集合中对应的自体，同时对应的成熟的免疫细胞中的计数器加1。

4) 判断成熟免疫细胞的生存周期。如果超过系统设定的生存周期，则删除该免疫细胞；否则进行第5步。

5) 判断成熟免疫细胞是否被激活。如果计数器的值达到系统预先设置的阀值，则将成熟免疫细胞提交给记忆免疫细胞，并从成熟免疫细胞模块中删除该成熟免疫细胞。

2.3 未成熟免疫细胞模块

该模块主要是对经由记忆免疫细胞模块和成熟免疫细胞模块检测后剩下的抗原进行自体耐受，这时我们认为这些抗原已通过检测，是自体抗原。在这里我们主要利用否定选择算法，所以在耐受周期内，如果对自体不耐受，则删除对应的未成熟免疫细胞；否则当年龄超过耐受周期，则把未成熟免疫细胞放入成熟免疫细胞集合中，并从未成熟免疫细胞集合中删除它。如下图所示：

■

图3 未成熟免疫细胞模块工作原理

2.4 该模型的特点

1) 动态性

由于自体定义并不一定在初始时刻就比较完备，而是在系统实际运行中通过学习和自体耐受不断地修改添加，逐步完善；另外，引入协同刺激机制后，记 J 区免疫细胞和成熟免疫细胞也会根据条件不断地变化，使得系统具有很好的动态性。这符合真实的网络环境：在通信网络中，大多数的行为具有不定性，在特定的环境中可能是正常的，当环境发生变化时就可能成为一种入侵行为。

2) 自适应性

传统的入侵检测方法都是从定义入侵模式开始，而后把采样的模式与这些入侵模式进行匹配来进行检测，从而使系统失去了自适应性，无法检测出己知攻击的变种和未知攻击。同时，计算机系统是动态变化的，并且正常的网络连接或系统通信与异常的网络连接或系统通信在一定的情况下可以相互转化，所以在动态变化的系统中很难采用静态的方法来接决问题。本模型中保持了记忆、成熟和未成熟细胞的动态变化，所以即使某个时候系统中发生了错误，模型也能通过内部进化和外部的人为协同刺激等机制有效的解决问题。

3) 多样性

由于该模型使用二进制字符串来描述问题以及采用r连续位规则作为匹配规则，使得模型中的各个检测模块中的检测器与抗原相匹配时，只需要 r 连续位匹配就匹配成功，而不需要完全匹配，所以表现出一个检测器能检测出多个抗原的特性，这与受体多样性的特点相类似。

4) 准确性

本模型引入了外部协同刺激机制，外部协同刺激类似于生物免疫系统中的协同刺激信号，另外，这种机制也有效的实现了系统与管理人员之间的互动通信，从而大大降低了入侵检测的误检率。

3 结束语

利用免疫系统的原理进行入侵检测的研究是一个热门方向，从生物免疫学的原理出发，对基于免疫学的入侵检测实现方法作了介绍，重点分析了人工免疫的入侵检测系统模型框架的三个模块。未成熟免疫细胞模块、成熟免疫细胞模块和记忆免疫细胞模块具有动态性，保持自动更新，使系统具有良好的自适应性和自学习能力。该系统同时具有误用检测和异常检测的优点，具有很好的自我适用能力。该系统检测器模块的具体实现和在实际网络环境中的应用是需要进一步研究的问题。

参考文献：

[1] 李涛.计算机免疫学[M].北京:电子工业出版社,2004.

[2] 罗守山.入侵检测[M].北京:北京邮电大学出版社,2004.

[3] 梁可心,李涛.一种基于人工免疫理论的新型入侵检测模型[J].计算机工程与应用,2005,(2):129-132.

[4] Frank J.Artificial intelligece and tursion dection:Current and future puter and Security[J].1995,14(1):31.

[5] Hofmeyr A,Forrest S.Architecture for an Artificial Immnune System.Evolutionary Computation Journal[J].2000,8(4):443-473.