畢業(yè)設(shè)計(jì)（論文）基于人工免疫系統(tǒng)反面算法的計(jì)算機(jī)網(wǎng)絡(luò)入侵檢測技術(shù)研究

1、茂 名 學(xué) 院畢業(yè)設(shè)計(jì)說明書題 目 基于人工免疫系統(tǒng)反面算法的計(jì)算機(jī)網(wǎng)絡(luò)入侵檢測技術(shù)研究 英文并列題目 based on artificial immunization system intrusion detection system design 學(xué)院 計(jì)算機(jī)與電子信息學(xué)院 專業(yè) 電氣工程及其自動(dòng)化 班級(jí) 電氣04-2 學(xué)生 指導(dǎo)教師（職稱） 完成時(shí)間 2008 年 3 月 17 日至 2008 年 6 月 20 日茂 名 學(xué) 院畢業(yè)論文題 目：基于人工免疫系統(tǒng)反面算法的計(jì)算機(jī)網(wǎng)絡(luò)入侵檢測技術(shù)研究英文并列題目：based on artificial immunization system

2、intrusion detection system design學(xué)院 信息學(xué)院 專業(yè) 電氣工程及其自動(dòng)化 班級(jí) 電氣04-2學(xué)生 指導(dǎo)教師（職稱）完成時(shí)間 2008年3月13日至2008年6月6日 表21系主任批準(zhǔn)日期茂 名 學(xué) 院畢 業(yè) 設(shè) 計(jì)（論 文）任 務(wù) 書 自動(dòng)化系 系 電氣工程 專業(yè) 電氣04-1 班 學(xué)生 一、畢業(yè)設(shè)計(jì)(論文)課題 基于人工免疫系統(tǒng)反面算法的計(jì)算機(jī)網(wǎng)絡(luò)入侵檢測技術(shù)研究 二、畢業(yè)設(shè)計(jì)(論文)工作自 2008 年 03月 14 日起至 2008 年 06 月 20 日止三、畢業(yè)設(shè)計(jì)(論文)進(jìn)行地點(diǎn) 茂名學(xué)院自動(dòng)化專業(yè)實(shí)驗(yàn)室 四、畢業(yè)設(shè)計(jì)(論文)的內(nèi)容要求 1、設(shè)計(jì)數(shù)

3、據(jù)： 某計(jì)算機(jī)局域網(wǎng)。 2、設(shè)計(jì)內(nèi)容： 1）目前計(jì)算機(jī)網(wǎng)絡(luò)入侵檢測技術(shù)慨述、提出存在不足。 2）闡述計(jì)算機(jī)網(wǎng)絡(luò)組成原理及人工免疫系統(tǒng)反面算法原理。 3）分析免疫反面算法在計(jì)算機(jī)網(wǎng)絡(luò)入侵檢測方面應(yīng)用的優(yōu)點(diǎn)。 4）研究人工免疫系統(tǒng)作用機(jī)理（分布性、多樣性、魯棒性等）及反面選擇算法，建立基于反面算法的計(jì)算機(jī)網(wǎng)絡(luò)入侵檢測的免疫系統(tǒng)模型；利用某一局域網(wǎng)構(gòu)建基于人工免疫系統(tǒng)反面算法的計(jì)算機(jī)網(wǎng)絡(luò)入侵檢測安全系統(tǒng)。 5）仿真研究，在該計(jì)算機(jī)局域網(wǎng)進(jìn)行相關(guān)模擬仿真試驗(yàn)，并給出結(jié)論。 3、設(shè)計(jì)書要求： 1）設(shè)計(jì)書格式按學(xué)校要求，并用word文檔打印 2）畫出系統(tǒng)程序設(shè)計(jì)流程圖。 教研室負(fù)責(zé)人 指導(dǎo)教師 接受設(shè)計(jì)論

4、文任務(wù)開始執(zhí)行日期 年 月 日學(xué)生簽名 摘要入侵檢測技術(shù)是現(xiàn)代計(jì)算機(jī)系統(tǒng)安全技術(shù)中的研究熱點(diǎn)。生物免疫系統(tǒng)保護(hù)了生物體不受外來病原體（包括病毒、細(xì)菌等）的侵襲，它在生物體內(nèi)的作用與計(jì)算機(jī)領(lǐng)域的安全系統(tǒng)有著驚人的相似。從信息學(xué)角度來看，生物免疫系統(tǒng)實(shí)質(zhì)是一個(gè)大規(guī)模的信息處理系統(tǒng)，它具有分布性、自適應(yīng)性、健壯性等良好特性，而這正是目前計(jì)算機(jī)安全系統(tǒng)所不具備的。本文在分析了各種入侵檢測技術(shù)及生物免疫系統(tǒng)的工作原理的基礎(chǔ)上構(gòu)建了針對計(jì)算機(jī)安全的人工免疫系統(tǒng)的模型，該模型模擬了生物免疫系統(tǒng)中的不完全匹配、否定選擇、記憶等機(jī)制，具備較強(qiáng)的信息處理能力。關(guān)鍵詞：入侵檢測；人工免疫；否定選擇算法abstrac

5、tintrusion detection is very important in the defense-in-depth network security framework and a hot topic in computer network security in recent years.biological immune system prevents the organism from being affected by alien maleficent cells, such as viruses and cells etc. the effect on the inner

6、part of the organism has great resemblance with the security system in the computer field. from the viewpoint of information, biological immune system in fact is a compelling example of massively-parallel in formation-processing system. it is distributed, adaptive, robust that most computer security

7、 system today lack.this paper analyzes various intrusion detection techniques simply and begins with the analyzing of biological immune system, based on which builds an artificial immune system referring to computer security. artificial immune system which model the principle of imperfect detection,

8、 negative selection memory and so on have the powerful ability of information-processing.keywords：intrusion detection；artificial immune；negative selection algorithm；目錄摘要iabstractii目錄3第一章入侵檢測與免疫技術(shù)11.1檢測技術(shù)的產(chǎn)生和發(fā)展現(xiàn)狀11.1.1入侵檢測技術(shù)的產(chǎn)生和發(fā)展歷史11.1.2入侵檢測技術(shù)發(fā)展現(xiàn)狀31.2入侵檢測技術(shù)分類41.2.1按照檢測對象分類41.3現(xiàn)代入侵檢測技術(shù)的主要功能要求51.4本章小結(jié)

9、6第二章入侵檢測與免疫系統(tǒng)72.1生物免疫系統(tǒng)72.1.1免疫的定義72.1.2免疫的功能72.1.3生物免疫系統(tǒng)原理與運(yùn)行機(jī)制72.1.4可適應(yīng)性免疫系統(tǒng)82.2人工免疫系統(tǒng)102.2.1人工免疫系統(tǒng)的基本術(shù)語102.2.2基于人工免疫的網(wǎng)絡(luò)安全研究現(xiàn)狀簡介102.2.3生物免疫與入侵檢測112.5基于免疫機(jī)制的入侵檢測系統(tǒng)模型122.5.1人工免疫的實(shí)現(xiàn)122.5.2self和nonself集合的定義和集合的確定132.5.3j.kim提出的基于人工免疫的網(wǎng)絡(luò)入侵檢測系統(tǒng)模型142.6本章小結(jié)16第三章系統(tǒng)設(shè)計(jì)173.1結(jié)構(gòu)設(shè)計(jì)173.2人工免疫入侵檢測系統(tǒng)模型中的幾個(gè)概念193.3本章小

10、結(jié)22第四章模擬實(shí)驗(yàn)及仿真分析234.1實(shí)驗(yàn)相關(guān)公式234.2實(shí)驗(yàn)數(shù)據(jù)描述234.3實(shí)驗(yàn)檢測流程264.4實(shí)驗(yàn)結(jié)果274.5結(jié)論284.6本章小結(jié)28第五章總結(jié)與展望295.1基于免疫機(jī)制的入侵檢測系統(tǒng)的優(yōu)缺點(diǎn)295.2人工免疫系統(tǒng)進(jìn)一步的研究方向和展望30致謝32參考文獻(xiàn)33第一章入侵檢測與免疫技術(shù)1.1檢測技術(shù)的產(chǎn)生和發(fā)展現(xiàn)狀入侵檢測是計(jì)算機(jī)系統(tǒng)不可或缺的安全保障技術(shù)。入侵（intrusion）：是指任何試圖對系統(tǒng)資源的完整性、保密性或可用性產(chǎn)生危害的行為。入侵檢測（intrusion detection）：是指如何識(shí)別出使用未經(jīng)授權(quán)的計(jì)算機(jī)系統(tǒng)行為（如黑客）、或有合法訪問權(quán)限但濫用權(quán)力的

11、人（如內(nèi)部攻擊者）的技術(shù)。對任何試圖在未經(jīng)授權(quán)情況下使用計(jì)算機(jī)系統(tǒng)或?yàn)E用特權(quán)的行為的識(shí)別。入侵檢測系統(tǒng)（intrusion detection system）：任何試圖實(shí)現(xiàn)對未經(jīng)授權(quán)使用計(jì)算機(jī)系統(tǒng)或?yàn)E用特權(quán)的入侵檢測行為的識(shí)別的計(jì)算機(jī)系統(tǒng)（可能既包括軟件也包括硬件），稱為入侵檢測系統(tǒng)。1.1.1入侵檢測技術(shù)的產(chǎn)生和發(fā)展歷史1890年4月，james anderson在他的技術(shù)報(bào)告“computer security thread monitoring and surveillance”中首次提出了入侵的概念：“入侵是指在非授權(quán)情況下，試圖存取信息、處理信息或破壞系統(tǒng)，導(dǎo)致系統(tǒng)不可靠、不可用的故

12、意行為”，這被認(rèn)為是有關(guān)入侵檢測研究的開創(chuàng)之作。1894年到1968年，drothy denning和peter neumann研究和發(fā)展了一種命名為入侵檢測專家系統(tǒng)（ides，intrusion detection expert system）的實(shí)時(shí)入侵檢測系統(tǒng)，該模型由6個(gè)部分組成：主體、對象、審計(jì)記錄、輪廓特征、異常記錄、活動(dòng)記錄。1956年，denning發(fā)表的論文，“an intrusion detection model是id領(lǐng)域的另一篇開山之作。1897年，dorothy denning發(fā)表的文章an intrusion detection model提出了ids的抽象模型。該文

13、首次將入侵檢測作為一種計(jì)算機(jī)系統(tǒng)安全防范的措施提出，與系統(tǒng)的加密、識(shí)別與認(rèn)證、訪問控制相比，入侵檢測是一種全新的計(jì)算機(jī)安全措施。這是一個(gè)基于用戶特征輪廓的入侵檢測通用模型，該模型被后來的許多入侵檢測系統(tǒng)采用，被認(rèn)為是入侵檢測研究的又一里程碑。1898年的morris internet蠕蟲事件使internet在近五天無法使用，網(wǎng)絡(luò)安全真正引起了軍方、學(xué)術(shù)界和企業(yè)的高度重視，于是展開了對分布式入侵檢測系統(tǒng)（dids，distributed ids）的研究。dids將基于主機(jī)和基于網(wǎng)絡(luò)的檢測方法集成到一起，它綜合收集網(wǎng)絡(luò)和網(wǎng)絡(luò)中其他主機(jī)的日志事件來檢測入侵行為。1995年開發(fā)了ides的新的版本n

14、ides（next-generation intrusion detection system）可以檢測多個(gè)主機(jī)的入侵。另外，在1988年為了協(xié)助美國空軍安全官員檢測誤用空軍基地使用的unisys大型主機(jī)開了haystack系統(tǒng)；同時(shí)，出現(xiàn)了為美國國家計(jì)算機(jī)安全中心開發(fā)的midas（multics intrusion detection alerting system）。1989年，los alamos美國國家實(shí)驗(yàn)室開發(fā)了w&s（wisdom and sense）系統(tǒng)，planning research公司開發(fā)了isoa（information security officers assist

15、ant）。入侵檢測發(fā)展歷史上又一個(gè)具有重要意義的里程碑就是nsm（network security monitor）的出現(xiàn)，它是由l。todd heberlen在1990年提出。nsm與此前的ids系統(tǒng)最大的不同在于它并不檢查主機(jī)系統(tǒng)得審計(jì)記錄，它可以通過在局域網(wǎng)上主動(dòng)地監(jiān)視網(wǎng)絡(luò)信息流量來追蹤可疑的行為。1991年，nadir（network anomaly detection and intrusion reporter）與dids（distribute intrusion detection system）提出了采集和合并處理來自多個(gè)主機(jī)的審計(jì)信息以檢測協(xié)同攻擊。1994年,mark cr

16、osbie和gene spafford提出使用自治代理（autonomous agents）以便提高ids的可伸縮性、可維護(hù)性、效率和容錯(cuò)性。該理念非常符合正在進(jìn)行的計(jì)算機(jī)科學(xué)其他領(lǐng)域（如軟件代理，software agent）的研究，這使得入侵檢測的研究又向著更高層次發(fā)展了一步。1969年gridps（graph base instrusion detection system）的設(shè)計(jì)和實(shí)現(xiàn)大大彌補(bǔ)了絕大多數(shù)的入侵檢測系統(tǒng)伸縮性不足的問題，使得對大規(guī)模自動(dòng)或協(xié)同攻擊的檢測更為便利。關(guān)于入侵檢測的其它的創(chuàng)新有：stephanie forrest等人將免疫學(xué)原理應(yīng)用到入侵檢測中；wenke le

17、e等人將數(shù)據(jù)挖掘和信息論測度引入到入侵檢測中；ross anderson和abida khattak將信息檢索技術(shù)引入到入侵檢測中。雖然很多都只是處在實(shí)驗(yàn)研究階段，但是這些新思路的開創(chuàng)為入侵檢測領(lǐng)域打開了新的研究前景。近年來，人們對入侵檢測的研究仍如火如荼，1989年國際上啟動(dòng)了一個(gè)以入侵檢測最新進(jìn)展為主題的研討會(huì)（raid：recent advances intrusion detection），這里所涉及的入侵檢測研究的涉獵面很廣，可見入侵檢測將是今后計(jì)算機(jī)安全研究領(lǐng)域的熱點(diǎn)。1.1.2入侵檢測技術(shù)發(fā)展現(xiàn)狀自二十世紀(jì)八十年代以來，入侵檢測技術(shù)已經(jīng)過了二十多年的發(fā)展，現(xiàn)在已經(jīng)到比較成熟的階段

18、。有了多種檢測策略和手段、多種檢測產(chǎn)品。新的檢測方法也在不斷出現(xiàn)，目前計(jì)算機(jī)系統(tǒng)安全已經(jīng)是研究熱點(diǎn)，而對入侵檢測的研究則是這個(gè)熱點(diǎn)中的熱點(diǎn)。最早資助這方面研究的是美國國防部高級(jí)研究計(jì)劃署，這是啟動(dòng)計(jì)算機(jī)網(wǎng)絡(luò)研究的開山鼻祖。早期的研究只是一種實(shí)驗(yàn)階段，產(chǎn)品的針對性強(qiáng)，即為了保護(hù)專門的網(wǎng)絡(luò)而進(jìn)行研究設(shè)計(jì)的。而且系統(tǒng)多以基于主機(jī)的檢測系統(tǒng)為主。進(jìn)入九十年代，隨著基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)的問世，給入侵檢測研究領(lǐng)域注入了新的活力。很多的網(wǎng)絡(luò)公司開始開發(fā)商業(yè)化的產(chǎn)品。而且對于入侵檢測的研究己進(jìn)入很高漲的階段，在其他領(lǐng)域的一些算法被引入到該領(lǐng)域。像人工智能、數(shù)據(jù)挖掘、免疫學(xué)、甚至包括信號(hào)處理領(lǐng)域的信息論測度也

19、被考慮到。近幾年來，從國外的研究態(tài)勢看，各種可能的檢測算法差不多都為人們所想到，對于入侵檢測的研究似乎處于一種無法打開新局面的境地。從最新的文章來看，這里的文章有偏重于工程時(shí)間的傾向，這可能是未來入侵檢測研究領(lǐng)域的一個(gè)發(fā)展方向。但是，國外對入侵檢測的研究熱度仍然居高不下。因?yàn)榫W(wǎng)絡(luò)的日益普及，人們對網(wǎng)絡(luò)的依賴性日益增強(qiáng)，使得網(wǎng)絡(luò)安全成了人們一直關(guān)注的焦點(diǎn)。國外對入侵檢測的研究已經(jīng)很具體細(xì)致，包括從對進(jìn)攻手段研究到入侵?jǐn)?shù)據(jù)預(yù)處理的研究、從算法的理論分析到具體的工程應(yīng)用、從產(chǎn)品開發(fā)到產(chǎn)品的評(píng)估，以及對入侵檢測的一些標(biāo)準(zhǔn)化問題的研究，幾乎面面俱到。而且從參與的機(jī)構(gòu)來看，包括國防部門、政府的研究機(jī)構(gòu)、科

20、研單位、大學(xué)和網(wǎng)絡(luò)公司等等，涉及到各個(gè)層次的不同需求。由于網(wǎng)絡(luò)登陸國內(nèi)較晚，而且剛開始人們對它的認(rèn)識(shí)還不夠，所以普及面很窄。隨著信息化進(jìn)程不斷推進(jìn)，人們對網(wǎng)絡(luò)有了全新的認(rèn)識(shí)，越來越多的人在使用網(wǎng)絡(luò)，使得它成為人們生活的一部分。在人們對網(wǎng)絡(luò)的優(yōu)越性產(chǎn)生認(rèn)可的同時(shí)，安全問題不得不為人們所關(guān)注。近幾年來，國內(nèi)的網(wǎng)絡(luò)的發(fā)展速度是有目共睹的，而對網(wǎng)絡(luò)安全的研究也日益被重視。當(dāng)然對入侵檢測的研究也受到各方面的關(guān)注。但是由于一些客觀原因，同國外的差距還是很大。雖然一些網(wǎng)絡(luò)安全公司也相繼推出自己的入侵檢測產(chǎn)品，但是很多都是在借鑒國外的技術(shù)手段。另外，國家對這方面研究的投入也在加大，而且啟動(dòng)了信息安全的863緊

21、急應(yīng)急計(jì)劃。各科研單位和大專院校都有從事這方面的研究和開發(fā)的隊(duì)伍。總之，國內(nèi)的水平同國外的差距還是很大，但是隨著更多的人的關(guān)注和投入到這方面的研究，相信在不久的將來，國內(nèi)的水平將趕超國外并占有領(lǐng)先位置的一席之地。1.2入侵檢測技術(shù)分類1.2.1按照檢測對象分類入侵檢測系統(tǒng)按照檢測對象一般分為以下幾類：首先是基于網(wǎng)絡(luò)的產(chǎn)品和基于主機(jī)的產(chǎn)品：另為還有二者的綜合一一混合的入侵檢測系統(tǒng)；此外，基于文件的檢查工具也可看作是一類入侵檢測產(chǎn)品，這里不作詳細(xì)敘述。（一）基于網(wǎng)絡(luò)的入侵檢測基于網(wǎng)絡(luò)的入侵檢測產(chǎn)品（nids）放置在比較重要的網(wǎng)段內(nèi)，不停地監(jiān)視網(wǎng)段中的各種數(shù)據(jù)包。對每一個(gè)數(shù)據(jù)包或可疑的數(shù)據(jù)包進(jìn)行特征

22、分析。如果數(shù)據(jù)包與產(chǎn)品內(nèi)置的某些規(guī)則吻合，入侵檢測系統(tǒng)就會(huì)發(fā)出警報(bào)甚至直接切斷網(wǎng)絡(luò)連接。目前，大部分入侵檢測產(chǎn)品是基于網(wǎng)絡(luò)的，nids通常安裝在聯(lián)入網(wǎng)絡(luò)內(nèi)的專門的檢測主機(jī)上，通過將檢測主機(jī)的網(wǎng)絡(luò)適配器設(shè)置為混雜模式而捕獲到所有經(jīng)過檢測主機(jī)的原始網(wǎng)絡(luò)數(shù)據(jù)，并對這些數(shù)據(jù)進(jìn)行分析而發(fā)現(xiàn)檢測主機(jī)所在網(wǎng)段內(nèi)發(fā)生的入侵。nids有其特有的優(yōu)點(diǎn)：首先，網(wǎng)絡(luò)入侵檢測系統(tǒng)能夠檢測那些來自網(wǎng)絡(luò)的攻擊，它能夠檢測到超過授權(quán)的非法訪問。其次，它安裝在聯(lián)入受保護(hù)網(wǎng)段內(nèi)的專門的檢測主機(jī)上，因而不會(huì)占用受保護(hù)網(wǎng)段內(nèi)其他主機(jī)的資源，也就不會(huì)影響這些主機(jī)上的應(yīng)用系統(tǒng)的效率，同時(shí)，由于其安裝在專門的檢測主機(jī)上，可以是操作系統(tǒng)無關(guān)

23、的，也就是說不存在系統(tǒng)的移植性問題：最后，它能夠檢測到整個(gè)網(wǎng)段內(nèi)發(fā)生的入侵，而不僅僅限于檢測發(fā)生在一臺(tái)主機(jī)上的入侵。但nids也有自己的弱點(diǎn)：只能檢查它直接連接網(wǎng)段的通信，不能檢測在不同網(wǎng)段的網(wǎng)絡(luò)數(shù)據(jù)包，因而需要在所有重要網(wǎng)段內(nèi)都接入專門的檢測系統(tǒng)；其次，它處理加密的會(huì)話過程比較困難。最后，網(wǎng)絡(luò)入侵檢測系統(tǒng)可能會(huì)將大量的數(shù)據(jù)傳回分析系統(tǒng)中。在一些系統(tǒng)中監(jiān)聽特定的數(shù)據(jù)包會(huì)產(chǎn)生大量的分析數(shù)據(jù)流量。（二）基于主機(jī)的入侵檢測基于主機(jī)的入侵檢測產(chǎn)品（rids）通常是安裝在被重點(diǎn)檢測的主機(jī)之上，主要是對該主機(jī)的網(wǎng)絡(luò)實(shí)時(shí)連接以及系統(tǒng)審計(jì)日志進(jìn)行智能分析和判斷。如果其中主體活動(dòng)十分可疑（特征或違反統(tǒng)計(jì)規(guī)律），

24、入侵檢測系統(tǒng)就會(huì)采取相應(yīng)措施。rids的優(yōu)點(diǎn)：首先，主機(jī)入侵檢測系統(tǒng)對分析“可能的攻擊行為”非常有用；其次，主機(jī)入侵檢測系統(tǒng)通常情況下比網(wǎng)絡(luò)入侵檢測系統(tǒng)誤報(bào)率要低；最后，主機(jī)入侵檢測系統(tǒng)可部署在那些不需要廣泛的入侵檢測，或者如果使用網(wǎng)絡(luò)入侵檢測會(huì)有傳感器與控制臺(tái)之間的通信帶寬不足的限制的情況下。rids也有其弱點(diǎn)：首先，主機(jī)入侵檢測系統(tǒng)安裝在需要保護(hù)的設(shè)備上。其次，主機(jī)入侵檢測系統(tǒng)除了檢測自身的主機(jī)以外，根本不也不能檢測到網(wǎng)絡(luò)上的情況；另外，由于nids安裝在受保護(hù)的主機(jī)上，必然要和主機(jī)的操作系統(tǒng)匹配，也就是說其在不同主機(jī)上安裝時(shí)，存在移植性差的問題。（三）混合入侵檢測基于網(wǎng)絡(luò)的入侵檢測產(chǎn)品和

25、基于主機(jī)的入侵檢測產(chǎn)品都有不足之處，單純使用一類產(chǎn)品會(huì)造成主動(dòng)防御體系不全面。但是，它們的缺憾是互補(bǔ)的。如果這兩類產(chǎn)品能夠無縫結(jié)合起來部署在網(wǎng)絡(luò)內(nèi)，則會(huì)構(gòu)架成一套完整立體的主動(dòng)防御體系，綜合了基于網(wǎng)絡(luò)和基于主機(jī)兩種結(jié)構(gòu)特點(diǎn)的入侵檢測系統(tǒng)，既可發(fā)現(xiàn)網(wǎng)絡(luò)中的攻擊信息，也可從系統(tǒng)日志中發(fā)現(xiàn)異常情況。1.2.2按所采用的技術(shù)分類入侵檢測系統(tǒng)所采用的技術(shù)可分為特征檢測與異常檢測兩種。特征檢測（signature-based detection）又稱誤用檢測（misuse detection），這一檢測假設(shè)入侵者活動(dòng)可以用一種模式來表示，系統(tǒng)的目標(biāo)是檢測主體活動(dòng)是否符合這些模式。它可以將已有的入侵方法檢查

26、出來，但對新的入侵方法無能為力。其難點(diǎn)在于如何設(shè)計(jì)模式既能夠表達(dá)“入侵”現(xiàn)象又不會(huì)將正常的活動(dòng)包含進(jìn)來。其優(yōu)點(diǎn)是對已知攻擊的檢測率高，誤警率低。缺點(diǎn)是它的檢測能力依賴于特征庫的更新，不能檢測到未知的攻擊類型。異常檢測（anomaly detection）的假設(shè)是入侵者活動(dòng)異常于正常主體的活動(dòng)。根據(jù)這一理念建立主體正?；顒?dòng)的“活動(dòng)模型”，將當(dāng)前主體的活動(dòng)狀況與“活動(dòng)模型”相比較，當(dāng)違反其統(tǒng)計(jì)規(guī)律時(shí)，認(rèn)為該活動(dòng)可能是“入侵”行為。異常檢測的難題在于如何建立“活動(dòng)模型”以及如何設(shè)計(jì)統(tǒng)計(jì)算法，從而不把正常的操作作為“入侵”或忽略真正的“入侵”行為。其優(yōu)點(diǎn)是能及時(shí)檢測到未知入侵。但目前尚未有統(tǒng)一的模型能

27、很好地描述各種復(fù)雜系統(tǒng)的正常行為。而且在現(xiàn)有的技術(shù)下，誤警率普遍較高。1.3現(xiàn)代入侵檢測技術(shù)的主要功能要求一個(gè)優(yōu)秀的入侵檢測系統(tǒng)應(yīng)該滿足實(shí)時(shí)性、有效性、可擴(kuò)展性、安全與可用性和適應(yīng)性等方面的功能要求。（1）實(shí)時(shí)性：是指系統(tǒng)能夠盡快地發(fā)現(xiàn)任何攻擊或攻擊企圖以進(jìn)一步查出攻擊者的位置，阻止進(jìn)一步的攻擊活動(dòng)，把破壞控制在最小限度。（2）有效性有效性：是指根據(jù)某一設(shè)計(jì)所建立的入侵檢測系統(tǒng)是切實(shí)有效的，對攻擊事件的誤報(bào)與漏報(bào)能夠控制在一定范圍內(nèi)。（3）可擴(kuò)展性：一個(gè)好的入侵檢測系統(tǒng)應(yīng)該能夠根據(jù)其應(yīng)用環(huán)境進(jìn)行靈活配置，檢測方法不應(yīng)該對檢測系統(tǒng)的環(huán)境做出假設(shè)，否則將會(huì)影響檢測系統(tǒng)的可擴(kuò)展性。這包括對增加的主機(jī)

28、ids應(yīng)該易于擴(kuò)展而不管主機(jī)上運(yùn)行的是什么操作系統(tǒng)。及對其它一些環(huán)境的良好適應(yīng)。（4）安全與可用性：是指入侵檢測系統(tǒng)自身要足夠的完善和健壯，不能向其宿主計(jì)算機(jī)及所屬環(huán)境引入新的安全問題和安全隱患。（5）適應(yīng)性：指入侵檢測系統(tǒng)必須能夠適用于多種不同的環(huán)境，比如高速大容量網(wǎng)絡(luò)計(jì)算環(huán)境，并且在系統(tǒng)環(huán)境發(fā)生改變、比如增加環(huán)境中的計(jì)算機(jī)系統(tǒng)數(shù)量、改變計(jì)算機(jī)系統(tǒng)類型時(shí)，入侵檢測系統(tǒng)應(yīng)該依然能夠不做改變而正常工作。適應(yīng)性也包括入侵檢測系統(tǒng)本身對其宿主平臺(tái)的適應(yīng)性，即跨平臺(tái)工作的能力，適應(yīng)其宿主平臺(tái)軟硬件配置的各種不同情況。1.4本章小結(jié)本章主要講述了入侵檢測技術(shù)的產(chǎn)生、發(fā)展歷史、現(xiàn)狀，以及入侵檢測技術(shù)的分類

29、和主要功能，。第二章入侵檢測與免疫系統(tǒng)2.1生物免疫系統(tǒng)2.1.1免疫的定義免疫是機(jī)體的免疫系統(tǒng)識(shí)別自我與非我，排斥抗原異物，用以維護(hù)內(nèi)環(huán)境的生理平衡和穩(wěn)定的一種生物學(xué)功能，通常表現(xiàn)為對機(jī)體有利的生理性保護(hù)作用，在一定條件下也可表現(xiàn)為對機(jī)體有害的病理損傷作用。簡而言之，免疫是免疫系統(tǒng)識(shí)別排斥抗原異物的生物學(xué)功能闊。2.1.2免疫的功能免疫功能是免疫系統(tǒng)在識(shí)別和清除“非己”抗原的過程中所產(chǎn)生的各種生物學(xué)作用的總稱。主要包括：1免疫防御：是機(jī)體排斥外來抗原性異物的一種免疫保護(hù)功能。正常時(shí)可產(chǎn)生抗感染免疫的作用，防御功能過強(qiáng)會(huì)產(chǎn)生超敏反應(yīng)過弱則產(chǎn)生免疫缺陷（后兩種情況均屬異常反應(yīng)）；2免疫自穩(wěn)：是機(jī)

30、體免疫系統(tǒng)維持內(nèi)環(huán)境相對穩(wěn)定的一種生理功能。正常時(shí)：機(jī)體可及時(shí)清除體內(nèi)損傷、衰老、變性的血細(xì)胞和抗原-抗體復(fù)合物，而對自身成份保持免疫耐受；異常時(shí)：發(fā)生生理功能紊亂、自身免疫病等；3免疫監(jiān)視：是機(jī)體免疫系統(tǒng)及時(shí)識(shí)別、清除體內(nèi)突變、畸變和病毒干擾細(xì)胞的一種生理保護(hù)作用。如機(jī)體突變細(xì)胞失控，有可能導(dǎo)致腫瘤發(fā)生或出現(xiàn)病毒的持續(xù)感染。2.1.3生物免疫系統(tǒng)原理與運(yùn)行機(jī)制生物界中的病原體存在于各個(gè)角落，有些病原體一旦進(jìn)入生物體，便會(huì)造成致命性的損害，生物體是怎樣防御自然界中的入侵者的呢?原來它們是靠一套完善的免疫系統(tǒng)。生物免疫系統(tǒng)一般通過幾道屏障來防御外來入侵者，最外層是皮膚粘膜及其附屬物，它可以將某些

31、類型的抗原拒之門外，這是生物體預(yù)防傳染病的第一道屏障，一旦病原體微生物通過第一道屏障進(jìn)入機(jī)體，這時(shí)就要由第二道屏障來保護(hù)，即物理環(huán)境的保護(hù)，也就是提供不利于病原體存活的ph值和溫度；第三層是先天性免疫系統(tǒng)，先天性免疫又稱為非特異性免疫，是機(jī)體在長期發(fā)育進(jìn)化過程中逐漸形成的一種天然防御功能，經(jīng)遺傳獲得；最后一層是可適應(yīng)性免疫又稱特異性免疫，它的名稱來源于它具有可適應(yīng)性，能隨外界環(huán)境的變化適應(yīng)或?qū)W會(huì)識(shí)別特定種類的抗原，并且保留對這些抗原的記憶以便加快未來的反應(yīng)。從免疫系統(tǒng)的各個(gè)層次來看，可適應(yīng)性免疫系統(tǒng)是整個(gè)免疫系統(tǒng)中最為復(fù)雜的一層，從信息學(xué)角度來看，它實(shí)際是一個(gè)大規(guī)模的分布式信息處理系統(tǒng)，它對于

32、計(jì)算機(jī)安全來說也最具有研究價(jià)值；這里要借鑒的就是生物體的可適應(yīng)性免疫（即后天免疫）。2.1.4可適應(yīng)性免疫系統(tǒng)可適應(yīng)性免疫系統(tǒng)能學(xué)會(huì)識(shí)別特定種類的抗原，并且保留對它們的記憶以便加快未來的識(shí)別速度?？蛇m應(yīng)性免疫系統(tǒng)主要由淋巴細(xì)胞構(gòu)成，機(jī)體的免疫功能主要來自淋巴細(xì)胞，根據(jù)免疫功能的不同，淋巴細(xì)胞主要有兩類：b細(xì)胞與t細(xì)胞，b細(xì)胞是抗體分泌細(xì)胞，在骨髓中發(fā)育；t細(xì)胞在胸腺中發(fā)育，作用是殺死抗原或抑制b細(xì)胞的過度繁殖。t細(xì)胞是一種重要的淋巴細(xì)胞，成熟的t細(xì)胞在抵御外來攻擊時(shí)，起著協(xié)調(diào)免疫系統(tǒng)各部分功能的作用。當(dāng)還處于胚胎階段時(shí)，在骨髓中產(chǎn)生的未成熟的t細(xì)胞進(jìn)入另一個(gè)中樞免疫器宮-胸腺，在其中分化發(fā)育為

33、兩大類t細(xì)胞，不合格的t細(xì)胞（會(huì)產(chǎn)生自體免疫）被消滅，而成熟的t細(xì)胞分布在脾和淋巴結(jié)中以等待外來人侵。另一種重要的淋巴細(xì)胞是b細(xì)胞，b細(xì)胞在骨髓中發(fā)育成熟后，進(jìn)入脾和淋巴結(jié)中。每個(gè)b細(xì)胞產(chǎn)生一種依附于其表面的抗體，用以探測相應(yīng)的抗原，b細(xì)胞可以產(chǎn)生很多種抗體存在于體液中，識(shí)別、排斥和殺滅病原體微生物，稱為體液免疫；b細(xì)胞繼續(xù)分化，一部分成為能產(chǎn)生抗體的漿細(xì)胞，產(chǎn)生與抗原相應(yīng)的抗體，并與抗原結(jié)合使之失去活性，從而達(dá)到消除抗原的目的，這個(gè)過程就是先天免疫。另一部分沒有轉(zhuǎn)化為漿細(xì)胞的b細(xì)胞發(fā)展為記憶細(xì)胞，記憶細(xì)胞對抗原非常敏感，能記住入侵過的抗原，當(dāng)有同樣的抗原再次入侵時(shí)，記憶細(xì)胞就能很快地作出反應(yīng)

34、，這就是后天免疫或適應(yīng)性免疫。生物體內(nèi)的這些淋巴細(xì)胞并不是靜止不動(dòng)的，它們隨著血液和淋巴系統(tǒng)在人體內(nèi)不斷循環(huán)。淋巴細(xì)胞在檢測抗原時(shí)相互協(xié)作并對抗原的清除起到輔助作用。淋巴細(xì)胞可以被抽象的看作可以移動(dòng)的、獨(dú)立的檢測器。生物體內(nèi)成千上萬的淋巴細(xì)胞就形成了一個(gè)分布式檢測系統(tǒng)，在這個(gè)系統(tǒng)中沒有指揮中心，抗原的檢測和消滅都是靠這些檢測器-淋巴細(xì)胞通過局部的規(guī)則相互作用的結(jié)果。具體分析，可適應(yīng)性免疫系統(tǒng)主要包括識(shí)別機(jī)制、受體多樣性機(jī)制、親密度變異機(jī)制、記憶機(jī)制、容忍機(jī)制等。（1）識(shí)別機(jī)制：現(xiàn)代免疫學(xué)認(rèn)為，機(jī)體免疫功能是對抗原刺激的應(yīng)答，而免疫應(yīng)答又表現(xiàn)為免疫系統(tǒng)識(shí)別自己和排除非己的能力。免疫系統(tǒng)在發(fā)揮免疫

35、功能的過程中，識(shí)別是重要的前提。一切生物都具有這種能力。單細(xì)胞生物只具有分辨食物、入侵微生物和本身細(xì)胞成分等低級(jí)的識(shí)別功能。脊椎動(dòng)物的機(jī)體免疫系統(tǒng)逐漸完善，不僅具有完整的免疫器官和免疫細(xì)胞，而且免疫活性細(xì)胞還能產(chǎn)生特異性抗體和淋巴因子，從而準(zhǔn)確地識(shí)別自己，排除異物以達(dá)到機(jī)體內(nèi)環(huán)境的相對穩(wěn)定，這對保護(hù)自己、延續(xù)種族和生物進(jìn)化都有重大意義。高等生物充分發(fā)展的免疫系統(tǒng)，對內(nèi)外環(huán)境的各種抗原異物刺激既表現(xiàn)出多樣性和適應(yīng)性，又表現(xiàn)出特異性和記憶性，這對生物的進(jìn)化過程、生物種系的生存和適應(yīng)具有重大影響。（2）應(yīng)答機(jī)制：免疫應(yīng)答是指免疫細(xì)胞對抗原分子的識(shí)別、活化、分化和產(chǎn)生免疫應(yīng)答的全過程。免疫應(yīng)答可表現(xiàn)為

36、兩種類型：其一為正向免疫應(yīng)答，即正常情況下對非己抗原的排異效應(yīng)；其二為負(fù)向免疫應(yīng)答，即正常情況下機(jī)體對自身成分的寬容狀態(tài)。免疫應(yīng)答一般可分為如圖分2所示的三個(gè)階段，即感應(yīng)階段，指抗原激活、遞呈的一系列過程，體現(xiàn)了抗原分子與免疫細(xì)胞間的相互作用；反應(yīng)階段，指t、b細(xì)胞接受相應(yīng)抗原激活、增殖和分化的階段，體現(xiàn)了免疫細(xì)胞間的相互作用；效應(yīng)階段，指產(chǎn)生特異性抗體或效應(yīng)細(xì)胞而發(fā)揮免疫效應(yīng)的階段。（3）記憶機(jī)制：記憶機(jī)制是免疫系統(tǒng)的一個(gè)重要特點(diǎn)，當(dāng)機(jī)體接觸過某種抗原后再次接觸相同抗原時(shí)，則抗體出現(xiàn)的潛伏期較初次應(yīng)答明顯縮短，抗體含量大幅度上升，而且維持時(shí)間長，這種當(dāng)同一種抗原再次入侵機(jī)體時(shí)，引起的比初次免

37、疫更強(qiáng)的、高親和度的抗體產(chǎn)生的現(xiàn)象稱為免疫記憶。無論在體液免疫或細(xì)胞免疫中均可發(fā)生免疫記憶現(xiàn)象。（4）容忍機(jī)制：是指免疫活性細(xì)胞接觸抗原性物質(zhì)時(shí)所表現(xiàn)的一種特異性的無應(yīng)答狀態(tài)，它是免疫應(yīng)答的另一種重要類型，也是機(jī)體免疫調(diào)節(jié)的內(nèi)容之一，其表現(xiàn)與正向免疫應(yīng)答相反，也與各種非特異性的免疫機(jī)制不同，后者無抗原特異性，對各種抗原均呈現(xiàn)應(yīng)答或低應(yīng)答。（5）調(diào)節(jié)機(jī)制：免疫調(diào)節(jié)是指免疫應(yīng)答過程中免疫系統(tǒng)內(nèi)部各細(xì)胞之間、免疫細(xì)胞與免疫分子之間、免疫系統(tǒng)與其它如神經(jīng)、內(nèi)分泌、遺傳系統(tǒng)之間的相互作用，從而構(gòu)成了一個(gè)相互協(xié)助又相互制約的網(wǎng)絡(luò)結(jié)構(gòu)，使免疫應(yīng)答維持合適的強(qiáng)度以保證內(nèi)環(huán)境的穩(wěn)定。免疫作為維持生物體的防御和自

38、身穩(wěn)定的重要功能必然要受機(jī)體的調(diào)節(jié)，免疫系統(tǒng)各調(diào)節(jié)因素之間關(guān)系也錯(cuò)綜復(fù)雜，有正的調(diào)節(jié)，也有負(fù)的調(diào)節(jié)。一旦失去調(diào)節(jié)，免疫系統(tǒng)便會(huì)失去平衡而導(dǎo)致免疫性疾病、感染及腫瘤等的發(fā)生。2.2人工免疫系統(tǒng)2.2.1人工免疫系統(tǒng)的基本術(shù)語人工免疫系統(tǒng)主要是借鑒生物免疫系統(tǒng)的信息處理機(jī)制，發(fā)展新的算法，因而很多術(shù)語都直接借用了生物免疫系統(tǒng)的術(shù)語。然而在人工免疫系統(tǒng)中完全套用生物學(xué)定義，照生物學(xué)過程，是不可能也不必要的。為了更好地描述人工免疫系統(tǒng)算法，以下將簡要闡述幾個(gè)常用的免疫學(xué)術(shù)語及其在人工免疫系統(tǒng)中的含義。表2-1生物體免疫系統(tǒng)和網(wǎng)絡(luò)入侵檢測系統(tǒng)概念對比生物免疫系統(tǒng)概念網(wǎng)絡(luò)入侵檢測系統(tǒng)概念縮氨酸被檢測的行為

39、模式串受體檢測模式串單克隆淋巴細(xì)胞（t-細(xì)胞b-細(xì)胞）檢測器抗原異己模式串綁定檢測模式串與異己模式串的匹配耐受性（隱形選擇）否定選擇抗原檢測入侵檢測系統(tǒng)的檢測抗原清除檢測器的響應(yīng)2.2.2基于人工免疫的網(wǎng)絡(luò)安全研究現(xiàn)狀簡介當(dāng)前基于人工免疫的網(wǎng)絡(luò)安全研究內(nèi)容主要包括反病毒和抗入侵兩個(gè)面。針對反病毒和抗入侵等網(wǎng)絡(luò)安全問題，國內(nèi)外人員設(shè)計(jì)了大量的算法、模型和原型系統(tǒng)。這里簡單介紹當(dāng)前較有代表性的兩個(gè)工作。其一是ibm公司的研究人員工j.o.kephart等人提出的用于反病毒的計(jì)算機(jī)免疫系統(tǒng)；其二是s.forrest等人提出的可用于反病毒和抗入侵兩個(gè)方面的否定選擇算法。（1）j.o.kephart等人

40、提出的計(jì)算機(jī)免疫系統(tǒng)通過模擬生物免疫系統(tǒng)的各個(gè)功能部件以及對外來抗原的識(shí)別、分析和清除過程，ibm公司的j.o.kephart等研究人員設(shè)計(jì)了一種計(jì)算機(jī)免疫模型和系統(tǒng)，用于計(jì)算機(jī)病毒的識(shí)別和清除。該免疫反病毒模型可以說是一個(gè)初步完整的免疫反病毒模型，具有一定的影響。對已知病毒，該系統(tǒng)依據(jù)已知病毒特征和相應(yīng)的病毒清除程序來識(shí)別和消滅計(jì)算機(jī)病毒。對未知病毒，該系統(tǒng)主要是涉及“餌”片程序來捕獲病毒樣本，在“餌”程序受感染后對其進(jìn)行自動(dòng)分析并提取病毒特征，涉及相應(yīng)的病毒清除程序。當(dāng)計(jì)算機(jī)發(fā)現(xiàn)并分析了未知病毒特征時(shí)，可將所產(chǎn)生的病毒特征和宿主程序恢復(fù)信息傳到網(wǎng)上臨近計(jì)算機(jī)中，從而使得網(wǎng)絡(luò)上的其它計(jì)算機(jī)很

41、快就具有了對付該病毒的能力。綜合來看，該原型系統(tǒng)可以是一個(gè)病毒自動(dòng)分析系統(tǒng)，它僅僅是從結(jié)構(gòu)和功能上來模擬生物免疫系統(tǒng)，而沒有深入研究生物免疫系統(tǒng)完成這些功能的具體機(jī)制并建立和設(shè)計(jì)相應(yīng)的模型和算法。（2）否定選擇算法sforrest等人在分析t細(xì)胞產(chǎn)生和作用的基礎(chǔ)上，提出了一個(gè)否定選擇算法。t細(xì)胞在成熟過程中必須經(jīng)過陰性選擇，使得可導(dǎo)致自身免疫反應(yīng)的t細(xì)胞克隆死亡并被清除，這樣，成熟的t細(xì)胞將不會(huì)識(shí)別“自我”，而與成熟t細(xì)胞匹配的抗原性異物則被識(shí)別并清除。否定選擇算法可以總結(jié)為以下三個(gè)步驟：（a）定義自我集：首先根據(jù)實(shí)際應(yīng)用環(huán)境定義適合的自我集合：自我集通常是由代表自我狀態(tài)的字符串組成的集合。（

42、b）產(chǎn)生檢測器：首先隨機(jī)產(chǎn)生字符串，如果該字符串集合與自我集合中的任一字符匹配則刪除，否則保留下來作為檢測器：如此循環(huán)迭代，直到產(chǎn)生足夠大小的檢測器集為止。（c）監(jiān)視要保護(hù)的數(shù)據(jù)：如果需要保護(hù)的數(shù)據(jù)跟檢測器集合中的任何一個(gè)檢測器匹配，則表明要保護(hù)的數(shù)據(jù)發(fā)生了異常變化，從而起到了檢測異常變化的效果。否定選擇算法是一個(gè)變化檢測算法，具有不少優(yōu)點(diǎn)，但它不是一個(gè)自適應(yīng)學(xué)習(xí)算法。否定選擇算法自提出后就受到眾多研究人員的關(guān)注并對其進(jìn)一步研究。目前，在否定選擇算法和免疫系統(tǒng)中的學(xué)習(xí)機(jī)制相結(jié)合方面己有了一定的進(jìn)展。（3）其它以上僅僅簡單介紹了兩個(gè)較有影響的工作，此外還有其它很多具有相當(dāng)影響的相關(guān)模型、算法和原

43、型系統(tǒng)，如r.e.marmelstein等人提出的用于反病毒的計(jì)算機(jī)病毒免疫分層模型和系統(tǒng)，d.dasgupt等人提出的基于免疫自主體的入侵檢測系統(tǒng)框架等等。2.2.3生物免疫與入侵檢測生物體免疫系統(tǒng)最基本的功能是識(shí)別self/nonself的能力。機(jī)體連續(xù)不斷地產(chǎn)生稱作抗體的檢測器細(xì)胞，并將其分布到整個(gè)機(jī)體中。這些分布式的抗原監(jiān)視所有的活性細(xì)胞，試圖檢測入侵機(jī)體的nonself細(xì)胞，也就是抗原。然而，新生成的抗體不僅能檢測出入侵抗原，而且有可能綁定自身的self細(xì)胞，發(fā)生自免疫反應(yīng)。為了避免這種災(zāi)難性后果，機(jī)體實(shí)現(xiàn)了負(fù)選擇過程。在抗體生成時(shí)，機(jī)體消除那些綁定5心細(xì)胞的不成熟抗體。對于所有新生

44、成的抗體，只有那些不綁定任何self細(xì)胞的抗體才能夠成為有效的檢測器細(xì)胞，分布到機(jī)體各個(gè)部分，行使檢測功能。將免疫學(xué)應(yīng)用于入侵檢測需要三個(gè)步驟：定義self、生成檢測器和監(jiān)視入侵。在第一個(gè)階段，定義系統(tǒng)正常模式為sei6在第二階段，根據(jù)前面生成的self模式生成一定數(shù)目的隨機(jī)模式（抗原），如果隨機(jī)生成的模式匹配了任何self模式，則該隨機(jī)模式將不能成為檢測器。在監(jiān)視階段，如果檢測器匹配任何新出現(xiàn)的模式，則被匹配的模式反應(yīng)了系統(tǒng)可能正在被入侵。此時(shí)，系統(tǒng)可以采取自動(dòng)反應(yīng)措施，也可以報(bào)警。入侵檢測是用來發(fā)現(xiàn)外部攻擊與合法用戶濫用特權(quán)的一種方法，入侵檢測是根據(jù)用戶的歷史行為，基于用戶的當(dāng)前操作，完成

45、對入侵的檢測。入侵檢測系統(tǒng)中用戶的當(dāng)前操作行為主要表現(xiàn)為數(shù)據(jù)形式，也就是入侵檢測系統(tǒng)得數(shù)據(jù)源。它分為兩類：一類是來自操作系統(tǒng)的審計(jì)數(shù)據(jù)；另一類是來自網(wǎng)絡(luò)中的數(shù)據(jù)包。入侵檢測通過對這些數(shù)據(jù)進(jìn)行處理和分析，然后檢測是否有入侵行為發(fā)生。通過上述介紹可以知道，生物免疫是保護(hù)人體不受細(xì)菌、病毒等外來病毒的侵害，而入侵檢測是負(fù)責(zé)保護(hù)計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)不受來自外部與內(nèi)部的入侵行為的侵害。因此，入侵檢測在網(wǎng)絡(luò)中所扮演的角色類似于免疫于人體。我們可以借助對生物的免疫系統(tǒng)的研究，實(shí)現(xiàn)一個(gè)仿生的基于免疫系統(tǒng)的入侵檢測系統(tǒng)。2.5基于免疫機(jī)制的入侵檢測系統(tǒng)模型2.5.1人工免疫的實(shí)現(xiàn)人工免疫系統(tǒng)保護(hù)生物體，抵御來自病原體

46、的侵襲和感染，有效地保護(hù)了生物體的健康。生物免疫系統(tǒng)由這許多目前計(jì)算機(jī)安全系統(tǒng)不具有的優(yōu)良特性，它利用了少量免疫細(xì)胞來檢測數(shù)量巨大的nonself集合，并且實(shí)現(xiàn)了很多的免疫效果。這在很大程度上歸功于免疫策略。因此如果能過借鑒生物免疫原理實(shí)現(xiàn)累死針對計(jì)算機(jī)安全的人工免疫系統(tǒng)，這必將大大提高計(jì)算機(jī)系統(tǒng)的安全性和可靠性。免疫系統(tǒng)所有的細(xì)胞分為兩大類：自身細(xì)胞（self）和非自身細(xì)胞（nonself），免疫系統(tǒng)只對nonself細(xì)胞具有免疫作用。在免疫系統(tǒng)中，淋巴細(xì)胞充當(dāng)免疫探測器的作用（如圖2-1所示），這些細(xì)胞在相應(yīng)的免疫器官中隨即產(chǎn)生的，由于產(chǎn)生的隨機(jī)性，這些細(xì)胞可能會(huì)對自生產(chǎn)生免疫，而這是不允

47、許發(fā)生的。因此未成熟的淋巴細(xì)胞必須進(jìn)入接受負(fù)選擇，凡是自身免疫的細(xì)胞，系統(tǒng)都將會(huì)將它殺死。經(jīng)過負(fù)選擇存活下來的淋巴細(xì)胞被施放到全身各處參與生物體的免疫作用。通過負(fù)選擇的淋巴細(xì)胞就會(huì)被釋放到血液中從事抗原檢測工作，如果在有限的時(shí)間內(nèi)能夠綁定到數(shù)量超過某一個(gè)閥值的抗原，淋巴細(xì)胞就會(huì)被啟動(dòng)以殺死抗原。反之，如果淋巴細(xì)胞在一定的時(shí)間內(nèi)沒有被啟動(dòng)，那么淋巴細(xì)胞就會(huì)死掉而代之以新的細(xì)胞。圖2-1自然界否定選擇示意圖當(dāng)淋巴細(xì)胞被激活以后，接著就要進(jìn)行克隆選擇，在這個(gè)階段，被激活的淋巴細(xì)胞巴細(xì)胞被大量的進(jìn)行復(fù)制，這些被復(fù)制出來的細(xì)胞被稱作記憶細(xì)胞，它們具有母體細(xì)胞相同的綁定抗原的特性但具有較小的闡值和較長的生

48、命周期。這樣，當(dāng)人體中出現(xiàn)以前被綁定的抗原時(shí)，這些復(fù)制細(xì)胞可以加速抗原的識(shí)別過程。這樣通過隨機(jī)生成淋巴細(xì)胞，負(fù)選擇，克隆選擇三個(gè)階段生成大量的抗體實(shí)現(xiàn)了生物免疫功能。根據(jù)生物免疫系統(tǒng)的工作原理，如果要對計(jì)算機(jī)中進(jìn)行模擬，實(shí)現(xiàn)人工免疫。類似于生物免疫系統(tǒng)，人工免疫的實(shí)現(xiàn)也分為三個(gè)階段：（1）確定self和nonself集合；（2）集合的構(gòu)造：（3）根據(jù)負(fù)選擇算法構(gòu)造檢側(cè)集（生成檢測代理）。2.5.2self和nonself集合的定義和集合的確定生物免疫系統(tǒng)將所有的細(xì)胞分為兩類：自身的細(xì)胞（self細(xì)胞）和非自身的細(xì)胞（nonself細(xì)胞）。5比細(xì)胞指對自身健康，沒有特別病毒感染、破壞的細(xì)胞。no

49、nself細(xì)胞則是指病毒、細(xì)菌等有害物質(zhì)和自身被感染、破壞的細(xì)胞。同樣，對于網(wǎng)絡(luò)安全而言，正常的用戶為self為自身集合，而非正常的行為與入侵活動(dòng)視為nonsdf集合。而針對nonself集合生成的檢測器可以看成是免疫系統(tǒng)中的抗體，它用來識(shí)別特定的攻擊。其中本體細(xì)胞被認(rèn)為是人體內(nèi)的細(xì)胞和分子等，異體細(xì)胞（nonself）是任何一種異物（特別是有害的細(xì)菌、病毒和微生物等），也稱為抗原（antigen）。按照生物學(xué)的觀點(diǎn)，免疫系統(tǒng)的主要目標(biāo)是識(shí)別nonself和sdf，對于任意一個(gè)外來物，免疫系統(tǒng)通過淋巴細(xì)胞能夠識(shí)別它們是屬于哪一個(gè)集合，淋巴細(xì)胞也稱為抗體（antibody）。自然免疫系統(tǒng)是由多個(gè)

50、部分組成的異常復(fù)雜的系統(tǒng)，它應(yīng)用特意性（后天學(xué)習(xí)獲得）和非特異性（先天具備）的免疫機(jī)制的多級(jí)別防御來防備入侵者，免疫系統(tǒng)的主要目標(biāo)是識(shí)別體內(nèi)的所有細(xì)胞或分子，并將他們區(qū)分為自我self和非我nonself，但是這兩個(gè)集合均異常龐大，不可能得到任何一個(gè)集合的全集。免疫學(xué)家認(rèn)為通過一個(gè)小的self的子集，在胸腺中訓(xùn)練出來若干b細(xì)胞（淋巴細(xì)胞），識(shí)別一個(gè)相應(yīng)范圍的nonself集，如圖2-2所示： 訓(xùn)練b-cell 識(shí)別器集合 nonself已知的self可識(shí)別的nonself圖2-2人工免疫的目標(biāo)2.5.3j.kim提出的基于人工免疫的網(wǎng)絡(luò)入侵檢測系統(tǒng)模型j.kim提出了一種分布式入侵檢測的人工免

51、疫模型，該模型的概念結(jié)構(gòu)如圖2-3所示。基因庫基因表達(dá)預(yù)檢測器非選擇自我自動(dòng)提取器自我成熟檢測器 1 來自ids的檢測器通信單元 2來自路由器的網(wǎng)絡(luò)數(shù)據(jù)修改適應(yīng)度登記新基因基因庫進(jìn)化檢測器檢測器檢測器從ids克隆選擇圖2-3kim的人工免疫模型的概念結(jié)構(gòu)主ids負(fù)責(zé)生成規(guī)則基因庫和篩選檢測規(guī)則集。在生成規(guī)則基因階段，主ids的任務(wù)是獲取檢測規(guī)則集的共同屬性，生成并維護(hù)一個(gè)規(guī)則基因庫。基因是指在深刻理解網(wǎng)絡(luò)協(xié)議的機(jī)制以及他們安全漏洞的基礎(chǔ)上，對異常網(wǎng)絡(luò)通信模式的描述。規(guī)則基因庫中存儲(chǔ)的是用于生成檢測規(guī)則集的基因。最初的基因可以通過對已知的入侵方式的仿真獲得。通常他們是由特定的區(qū)域或特定時(shí)刻的典型

52、網(wǎng)絡(luò)服務(wù)的數(shù)據(jù)包的數(shù)量或特殊錯(cuò)誤等來描述。一旦一耳光新的檢測規(guī)則已經(jīng)被傳送到從ids，組成該規(guī)則的集的基因就會(huì)被添加到規(guī)則基因庫中。如果庫中已經(jīng)存儲(chǔ)有該基因，則表征他們的適用性的值就會(huì)增加。為避免規(guī)則基因庫過大，可以事先設(shè)置一個(gè)最大值。當(dāng)他的長度超過這個(gè)最大值時(shí)，就根據(jù)基因的適用性的值的大小，從中刪除適用性低的基因。人工免疫模型可以對現(xiàn)存的所有入侵方式進(jìn)行知識(shí)學(xué)習(xí)并且把所學(xué)的知識(shí)自動(dòng)組織起來，而不管該入侵方式是否曾經(jīng)被檢測到的。由于它不需要包含入侵方式所有信息，而只是從入侵方式中提取數(shù)量有限的基因，所以他不會(huì)占用太多的系統(tǒng)資源。在篩選檢測規(guī)則集的階段，主ids生成若干不同的檢測規(guī)則集，并把他們

53、傳送到各個(gè)從ids。上一個(gè)階段中生成的基因在基因表達(dá)過程通過重組，不同連接點(diǎn)的選擇和突變生成各種預(yù)定義檢測規(guī)則集。其中，發(fā)生突變的基因是從規(guī)則基因庫中隨機(jī)選取的。基因表達(dá)過程使得人工免疫模型只用很少規(guī)則基因就可以檢測眾多的入侵方式。特征提取過程負(fù)責(zé)對經(jīng)過第一個(gè)路由器的大量未加工網(wǎng)絡(luò)通信數(shù)據(jù)包進(jìn)行過濾并生成自我通信特征集。自我通信特征集中包含的是正常網(wǎng)絡(luò)行為的特征，而預(yù)定義檢測規(guī)則集的定義域中包含的是異常網(wǎng)絡(luò)行為特征。由于基因突變會(huì)導(dǎo)致的某些預(yù)定義檢測規(guī)則集無效，篩選過程負(fù)責(zé)把無效的預(yù)定義檢測規(guī)則刪除。刪除的方法是把預(yù)定義檢測規(guī)則集與自我通信特征集進(jìn)行匹配，如果相同，則認(rèn)為該篩選規(guī)則集是無效的。

54、最后，通過篩選的預(yù)定義檢測規(guī)則集成為檢測規(guī)則集。在把檢測規(guī)則集傳送到從ids之前，要在規(guī)則基因庫中注冊組成這些規(guī)則集的基因。為了保證檢測規(guī)則集的唯一性，每一個(gè)檢測規(guī)則集只能被傳送到一個(gè)本地主機(jī)。在本地主機(jī)層，這些唯一的檢測規(guī)則集獨(dú)立的進(jìn)行網(wǎng)絡(luò)入侵檢測。一個(gè)網(wǎng)絡(luò)行為是否是入侵行為，最終要由幾個(gè)本地主機(jī)共同來判斷。某個(gè)從ids在異常檢測過程中發(fā)現(xiàn)可疑行為后，就會(huì)通知通信組件。然后，通信組件增大代表網(wǎng)絡(luò)安全程度的危險(xiǎn)系數(shù)的值，并通知其他從ids的通信組件和主ids。如果在很短的時(shí)間內(nèi)幾個(gè)主機(jī)都發(fā)現(xiàn)可疑行為，那么危險(xiǎn)系數(shù)將會(huì)迅速增大。當(dāng)危險(xiǎn)系數(shù)超過某個(gè)給定的界限時(shí)，入侵監(jiān)測系統(tǒng)就會(huì)通過一個(gè)用戶界面來提醒網(wǎng)絡(luò)安全管理人員有網(wǎng)絡(luò)入侵發(fā)生。2.6本章小結(jié)本章主要講述了免疫的的相關(guān)定義與功能，并且分別闡述了人工免疫與生物免疫的工作原理和運(yùn)行機(jī)制。最后結(jié)合人工免疫，闡述了基于人工免疫的網(wǎng)絡(luò)安全現(xiàn)狀。第三章系統(tǒng)設(shè)計(jì)3.1結(jié)構(gòu)設(shè)計(jì)借鑒人工免疫系統(tǒng)，設(shè)計(jì)基于人工免疫系統(tǒng)的入侵檢測系統(tǒng)，如圖3-