计算机发表论文(2)

计算机发表论文

　　计算机发表论文篇2

　　浅议人工免疫的入侵检测技术

　　摘要:现有网络入侵检测系统的大都不能识别未知模式的入侵, 智能水平低生物免疫系统提供了一种的健壮的、自组织、分布式的防护体系,对设计新的网络入侵检测系统具有很好的借鉴意义,利用生物免疫系统具有自我检测的机理,将其应用于入侵检测系统,出现了一种新的技术——基于人工免疫的入侵检测技术。本文介绍了基于人工免疫技术的概念、提出、手段及发展;在概述生物免疫原理的基础上, 讨论了目前基于人工免疫的入侵检测中的关键技术。重点是列举几种基于人工免疫的入侵检测技术、模型和算法,并对它们进行了分析。

　　关键词:入侵检测技术;生物免疫系统;人工免疫系统。

　　引言

　　网络技术的不断发展,极大的加快了社会信息化的步伐。网络技术在给人们带来巨大的便利之时,也给人类带来了巨大的挑战。网络的开放性为信息的窃取、盗用、非法修改及各种扰乱破坏提供了可乘之机。因此,计算机安全变得越来越重要,如何对计算机系统和网络中的各种非法行为进行主动防御和有效抑制,成为当今计算机安全亟待解决的重要问题。

　　1、[番茄花园3] 传统的网络安全采取的防护措施及简要分析

　　传统的网络安全防护,是以防火墙和杀毒软件为主体,再加上身份认证机制等构建的防护体系,这种方法对防止系统被非法入侵有一定的效果。

　　但是,某些入侵者会设法寻找防火墙背后可能敞开的通道对其进行攻击,另一方面防火墙在防止网络内部袭击等方面收效甚微,对于企业内部心怀不满而又技术高超的员工来说,防火墙形同虚设。而且,由于功能有限,防火墙通常不能提供有效的入侵检测。

　　因此,要构建一个合格的网络安全保护体系,光靠防火墙是远远不够的,还需要有能够对网络进行实时监控、实时报警,并且能够有效识别攻击手段的网络安全工具。

　　入侵检测系统(IDS,Intrusion Detection System)应运而生。

　　2、基于人工免疫的入侵检测技术手段

　　2.1入侵检测技术的系统机制

　　所谓入侵检测,就是指检测对计算机或网络进行非授权使用或入侵的过程。入侵检测技术主要是研究使用什么样的方法来检测入侵行为。

　　入侵检测是近年来网络安全研究的热点,随着计算机和网络技术的不断发展,系统遭受的入侵和攻击也越来越多。网络与信息安全问题显得越来越突出,研究入侵检测及防御技术很有必要。

　　入侵检测系统可通过对计算机网络或计算机系统中若干关键点的信息收集并对其进行分析,发现网络或系统中违反安全策略的行为和攻击迹象,产生报警,从而有效防护网络的安全。

　　入侵检测系统作为防火墙之后的有益补充,有着不可替代的作用,在网络安全防护中的地位也越来越突出。作为一个全新的、快速发展的领域,有关入侵检测技术的研究已经成为网络安全中极为重要的一个课题,已经引起了国内外许多专家学者的广泛重视,对入侵检测技术的研究具有十分重要的意义。[1]

　　2.2 生物免疫系统原理

　　生物免疫系统将所有的细胞分为两类:自身的细胞(Self细胞)和非自身的细胞(Non-Self细胞)。Self细胞指自身健康,没有被感染、破坏的细胞;Non-Self 细胞是指病毒、细菌、寄生虫等有害物质和自身被感染、破坏的细胞

　　免疫系统只对Non-Self细胞具有免疫作用。当一个外部抗原(Non-self细胞)袭击身体时,抗原体细胞把外部分子分解到抗原决定基层次,产生与抗原决定基结合的抗体。一旦抗原决定基发现匹配,一个特定信号就会发给免疫细胞,产生更多的抗体,淹没抗原威胁或感染。只有那些能够识别抗原的细胞才进行扩增,才会被免疫系统保留下来。

　　2.3人工免疫系统

　　人工免疫系统是研究、借鉴和利用生物免疫系统(这里主要是指人类的免疫系统)各种原理和机制而发展的各类信息处理技术、计算技术及其在工程和科学中的应用而产生的各种智能系统的统称

　　2.4入侵检测系统与免疫系统的相似性

　　从生物的免疫系统特点出发可以发现,入侵检测系统与免疫系统具有本质的相似性:

　　免疫系统负责识别生物体“自身”(Self)和“非自身”(Non-self)的细胞,清除异常细胞。入侵检测系统则辨别正常和异常行为模式。生物免疫系统对抗原的初次应答类似于入侵检测系统异常检测,可检测出未知的抗原。生物免疫系统第二次应答即利用对抗原的“记忆”引发的再次应答与误用检测相类似。

　　利用生物免疫系统的这些特性,应用到入侵检测领域,能有效的阻止和预防对计算机系统和网络的入侵行为,可增强信息的安全性。[4]

　　3、基于人工免疫的入侵检测

　　3.1 概念提出

　　根据上面的叙述我们发现:

　　入侵检测系统的作用在于检测并阻止系统内外部非法用户的攻击,免疫系统的作用在于保护生物体免受外部病原体(如病毒,细菌等)的攻击。二者的行为本质上可以归结为对危险“非我”的识别和清除,这种相似性为借鉴免疫机制研究入侵检测提供了一种新的思路。

　　从信息处理的角度来看,免疫系统是一个自适应、自学习、自组织、并行处理和分布协调的复杂系统。目前,国际上不少研究人员已经认识到生物免疫系统中蕴涵了丰富且有效的信息处理机制,并针对计算机网络抗入侵、反病毒等安全问题,建立了相应的人工免疫模型和系统,取得了一定的进展,具有十分广阔的应用前景。

　　同时,在当前网络安全面临诸多困难的时期,借鉴生物免疫系统来设计网络安全新机制也变得更加紧迫,具有十分重要的意义。

　　3.2 基于人工免疫入侵检测的分类

　　基于人工免疫的入侵检测技术主要分为基于人工免疫的异常检测技术和基于人工免疫的误用检测技术两种,检测系统主要分为基于主机的人工免疫入侵检测系统和基于网络的人工免疫入侵检测系统两种。每一种技术都可应用于任意一种检测系统,每一种检测系统也可以使用任意一种检测技术。

　　4、现有的成熟技术及模型

　　基于人工免疫的入侵检测技术虽然都是应用人工免疫与入侵检测相结合的方法,但是该技术并不是固定不变的,不同的研究人员根据自己的研究提出了不同的入侵检测模型。

　　4.1 基于人工免疫入侵检测和防火墙的网络安全主动防御技术

　　本节将人工免疫入侵检测系统和防火墙结合起来提出一种动态网络安全主动防御技术, 能够全方位对计算机网络进行安全防护。

　　防火墙

　　本节提到的防火墙是一种新型防火墙, 它除了一般防火墙的网段隔离、基于IP 和端口的阻断、NAT 等功能外, 还增加了内容过滤、动态配置、安全防护等功能等。

　　入侵检测

　　入侵监测系统能够通过向管理员发出入侵或者入侵企图来加强当前的存取控制系统,例如防火墙;识别防火墙通常不能识别的攻击,如来自企业内部的攻击;在发现入侵企图之后提供必要的信息,帮助系统的移植。

　　4.1.1基于人工免疫原理建立的入侵检测模型

　　入侵检测是通过对系统或者是网络的运行状态进行检测,发现各种攻击企图、攻击行为或攻击结果,以保证系统资源的机密性、完整性和可用性。借鉴生物免疫系统在抵抗外界有害抗原的入侵上有效、独特的工作机制,能够很好的解决现有入侵检测系统的高误报率和缺乏自适应性。本节将人工免疫入侵检测系统分为基于主机和网络两类,检测的对象是运行在主机上的各种操作行为和通过网络传输的数据包。

　　1、基于主机的人工免疫入侵检测模型

　　在免疫计算机的生物学模拟中,将计算机中感兴趣的程序(如Ftp,Telnet,Send mail 等等)的活动进程视为分子,将多个进程运行的计算机视为多细胞有机体,将计算机网络视为有机体组织。入侵识别主要根据网络操作系统中由授权程序执行的系统调用短序列,类似于肽链。在系统中, 建立一个类似于淋巴细胞的进程,该进程直接和内核通信,检控其他进程及时发现程序执行的异常。与免疫系统的判别机制相同,当该“淋巴细胞”进程发现某个进程运行异常时,就认为该进程被破坏或正在受到攻击。免疫计算机实时检控和处理主机的审计数据,提取感兴趣的行为数据,建立行为特征模式,并与已知的正常行为模式匹配,一旦发现异常便报警。基于主机的人工免疫入侵检测模型如图1 所示

　　该模型主要由入侵分析、入侵判断和入侵响应三个部分构成。从操作系统提取的审计数据经数据过滤及分析处理,转换为统一的数据模式以便执行入侵分析。行为特征数据库是入侵判断的主要依据,通过入侵判断(与行为特征数据库的匹配),将判断结果通过用户界面通知系统管理员或交由系统自行处理。

　　2、基于网络的人工免疫入侵检测模型

　　基于网络的入侵检测主要负责对网络上传输的数据实施检控,包括网络数据包的识别和检测、地址的过滤等。利用生物免疫系统的基本功能进行“自身”和“非自身”的识别。在基于网络的入侵检测模型中,把与所需要的计算机相连的网络间正常的TCP/IP连接集合和该主机系统内合法的操作行为定义为“自我”,采用可以描述TCP/IP 连接特征的信息,例如:源IP 地址、目的IP 地址、服务端口、协议类型、包的数量、字节数、特定错误和在短时间的网络的特定服务和描述系统合法操作的集合来表示。把异常的T C P / I P 连接集合和非法的系统操作集合定义为“非自身”。基于网络的入侵检测模型的设计采用了模块化结构,

　　分为数据收集模块(Sensor)、检测分析模块(Detector)和响应模块(Response),如图2 所示。

　　数据收集由Perl脚本启动Tcpdump实用程序完成网络数据包的捕获,Tcpdump 实用程序将网络接口设置为混杂模式,把LAN 上所有的数据都保留一份拷贝,按照Tcpdump文件格式保存为本地文件。然后Sensor 根据Tcpdump 文件格式提取特征数据发往检测分析模块,并采用负选择算法来判断这些特征值是否异常。如果Detector 判断某个特征值为异常,就会向系统管理员报告,并试图得到系统管理员的确认,得到确认的Detector 认为局域网确实出现了异常,就会给用户设定的地址发送E-mail 进行警告。Detector 以Web页面的形式向系统管理员提供异常报告,系统管理员通过其中的超链接进行确认,Detector 端运行的CGI 脚本接受系统管理员的反馈信息。

　　4.1.2主动防御系统模型

　　下面提出的是一种主动的、智能的防护系统,能预先对入侵行为和攻击性网络流量进行拦截,当它检测到攻击企图后,它会自动地将攻击包丢掉或采取措施将攻击源阻断,避免其造成任损失。如图3示:

　　防火墙阻断具有攻击性的黑客入侵,特别是能阻断拒绝服务等恶性攻击,检控主机的安全状态、数据和配置文件的完整性、防火墙管理员用户的审计跟踪、检控分析系统的活动,一方面它担负了系统受到攻击后的重要配置的自动恢复的任务,同时它担负了防火墙和入侵检测系统之间的相互锁定的防护任务,防火墙和入侵检测系统之间采用了加密的IP 隧道,该通道可以加密、加标签、认证防火墙和入侵检测系统之间的通信,这样,防止了内部网络的入侵行为:防止黑客假冒入侵检测系统对防火墙进行动作。[3]

　　4.2 目前基于人工免疫的入侵检测中的关键技术

　　借鉴生物免疫系统的原理和机制, 可以设计出全新的入侵检测系统。该入侵检测系统的构成包括自我集合的定义, 通过否定选择算法产生有效的检测元集合以及用产生的检测元集合进行入侵检测。

　　4.2.1 定义自我与非我( Self and Non-self) 集合

　　生物免疫系统将所有细胞分成两类: 自身细胞( Self) 和非自身细胞(Non-self) 。Self细胞是指自身健康、没有被病毒感染、破坏的细胞。Non-Self细胞则是指病毒、细菌等有害物质和自身被感染、破坏的细胞。同样, 对于入侵检测系统而言, 自我集合可以是指计算机系统受保护的内容, 如系统数据、程序文件等,还可以指系统可以接受的操作模式、进程调用序列和正常的网络连接模式等等, 根据入侵检测的不同需要, 可以定义不同的自我集合。

　　根据自我和非自我的定义, 将计算机所有可能出现的操作模式定义为空间U, 正常的、合法的、可接受的操作模式记为自我集合S, 其他记为非我集合N, 并且约定: ①U是完备的和有限元的; ②S∪N=U且S∩N=⊙。

　　4.2.2 有效检测器集合的产生

　　1、 检测器的结构

　　在入侵检测系统中, 检测器对应于生物免疫系统中的免疫细胞, 它是通过一个长度为L的二进制字符串来表示。规定每个检测器由4个部分组成, 分别是检测字符串、生成时间、激活域以及匹配域。其中, 生成时间用于记录检测器的产生时间, 激活域标识检测器是否被激活; 匹配域记录该检测器检测到异常的数量及时间, 如表1所示:

　　2、 检测器的生成

　　检测器的生成主要是通过否定选择算法完成的。该过程为: 在定义了入侵检测系统的自我集合( S) 之后, 对候选检器集合中的每一元素与自我集合中的全部元素逐一进行对比, 那些不发生匹配的侯选检测元素将进入有效检测器集合(R) , 而发生了匹配的候选检测将被丢弃, 即集合R中的元素不会与集合S中的元素发生匹配, 这一过程类似于生物免疫系统中的免疫细胞的自体耐受过程。该过程如图4所示。

　　3、 检测器的生命周期

　　未成熟检测器是一个随机产生的二进制串, 然后经历一个容忍期, 这个值是可调节的。若在容忍期里检测器没有因为匹配“自己”串而“死亡”( 即由新的随机产生的检测器代替) , 则变成了成熟检测器, 处于无记忆状态。该检测器或者生存给定的随机时间后, 就会由新的随机产生的检测器代替;或者检测到“非己”成为记忆检测器, 寿命就变成无限长。

　　4.2.3 匹配规则

　　目前在计算机免疫系统学的研究中有很多模式匹配的规则, 总的来说它们分为2类:基于距离测量( distance measure) 的Hamming规则和基于相似性函数( similarity function) 的连续r位匹配规则。采用连续r位的匹配规则, 根据连续匹配的位数来确定两个字符串是否匹配。当连续匹配的位数大于等于r值时, 两串匹配, 否则不匹配, 值的大小根据实际情况来定。

　　4.2.4 入侵检测系统异常

　　有效检测器集合一旦产生, 即可用来检视系统的运行状态。通过采集系统当前所产生的检测模式, 并将其与检测器集合各元素逐个进行比较, 如果出现匹配, 则证明系统当前产生了不正常的模式, 即遭受到入侵。因为自己集合包括了所有正常的模式, 检测器集合中的元素不与自己集合发生匹配, 而仅与非自我集合发生匹配。当入侵发生时, 必然出现不正常的非自己集合中的模式, 就会与检测器集合发生匹配, 如图5所示。[6]

　　4.3基于免疫的网络入侵检测技术算法

　　4.3.1系统原理

　　入侵检测系统(Intrusion Detection System. IDS)作为系统防御的重要手段,它在计算机安全系统中的作用与免疫系统在生物体中的作用非常类似。入侵检测系统的作用在于检测并阻止系统内外部非法用户的攻击,免疫系统的作用在于保护生物体免受外部病原体的攻击。二者的行为本质上可以归结为对危险“非我”的识别和清除。

　　4.3.2 AIDS系统的相关定义

　　定义1 自体 :基于免疫的入侵检测系统、自体可以定义为计算机之间的正常TCP/IP连接集合,可用表征TCP/IP连接特性的多元组(如源IP地址、目的IP地址、服务端口、协议类型)来表示。根据实验需要,还可以对该多元组进行扩充。

　　定义2 异体 : 异体是计算机间的反常的TCP/IP连接集合。

　　定义3 Self Non-self 假设基于免疫入侵检测系统作用在一个全集U上,U是一个由m个符号组成的字符串的集合,表示所有的用户行为和事件,且U中所有元素均为长度为L的字符串,用S表示Self 集,N表示Non-self 集,则有S∪N=U,S∩N=⊙;令m=2,即集合U是由0-1二进制串组成,这样所表示的任何串模式均可直接在计算机中存储与处理。Self串和Non-self串由长度为L的二进制串表示,这样字符串空间U中元素的个数为2L个。

　　4.3.3 系统的工作过程

　　系统首先通过一个随机过程产生候选的未成熟的检测器。这些未成熟的检测器在释放之前首先要经过负选择过程。如果有检测器与定义的自我匹配则将之丢弃,否则作为成熟的检测器加入成熟检测器集,从事实际的检测工作。在检测过程中,检测器利用适当的字符串匹配算法(如r位连续匹配算法)执行检测任务。如果一个成熟的检测器在其生命期T的时间内能够匹配到足够数量的抗原(启动阈值),检测器就会被启动;反之,认为其无效而被删除。当一个检测器启动后,该检测器就进入克隆选择阶段,并且将这些成熟的检测器添加到检测器库(类似基因库)。借鉴生物免疫记忆细胞机制,引入记忆检测器(Memory Detector)的概念,记忆检测器与普通的检测器相比较具有较小的启动阈值和较长的生命周期,它们的存在可以加速对以前出现过的异常行为的检测。

　　4.3.4 经典算法

　　阴性选择算法和克隆选择算法是该模型采用的两个重要的算法,下面对两个算法给予说明。

　　4.3.4.1阴性选择算法

　　1994年新墨西哥大学的Stephanie Forrest 领导的研究小组首先提出了免疫阴性选择算法。算法的主要思想是产生大量的对自体耐受的检测器,将非己(未授权用户、病毒等)从自己(合法用户、保护数据文件等)中区分开来。该算法分为两大过程:生成检测器过程和检视过程。该算法流程如下:

　　步骤1:定义一组长度为L的字符串集合S表示正常的TCP/IP集合来代表自我,用于检测。

　　步骤2:产生检测器集合R,依据否定选择原理,对每个检测器进行审查。审查采用部分匹配规则,即两个字符串匹配当且仅当至少r个连续位相同,其中r为参数。

　　步骤3:通过连续地将R中的检测器与S来比较来检测S的改变。如果检测器发生匹配,则有改变发生。

　　阴性算法的优点是简便、易于实现。主要问题是计算复杂度呈指数级增长,难以处理复杂问题。该算法并没有直接利用自我信息,而是由自我集合通过负选择生成检测子集,具备了并行性,健壮性和分布式检测等特点。

　　4.3.4.2克隆选择算法

　　基于克隆选择原理,该模型采用DeCastro提出的一种克隆选择算法,核心是比例复制和比例变异算子。算法流程如下:

　　步骤1:产生候选方案的集合S(P),基于亲和度度量确定群体P中的rl个最佳个体Pn;

　　步骤2:对群体中的这N个最佳个体进行克隆(复制)、生成临时克隆群体C、对克隆生成的群体施加变异操作,变异概率反比于抗体的亲和度,从而生成一个成熟的抗体群体(C*);

　　步骤3:从C*中重新选择改进个体组成记忆集合、P集合的一些成员可以由C的其他改进成员加以替换、将群体中的d个低亲和度的抗体以替换,从而维持抗体的多样性。

　　克隆算法成功应用到了二进制字符识别、多峰函数优化和组合优化中,取得了良好效果。对比遗传算法,克隆选择算法在编码机制和评价函数的构造上基本一致,但搜索的策略和步骤有所不同;而且通过免疫记忆机制,该算法可以保存各个局部最优解,这对于多峰函数优化十分重要。[8]

　　4.4基于人工免疫的入侵检测系统模型

　　4.4.1 一个人工免疫的入侵检测系统模型框架

　　此模型框架主要分为三个模块,即:未成熟免疫细胞模块、成熟免疫细胞模块和记忆免疫细胞模块。三个模块对应未成熟免疫细胞、成熟免疫细胞和记忆免疫细胞三个免疫细胞结合,并且在每个模块中分别实现相应的免疫功能。系统根据所要处理的信息的不同,可分为两个工作流向:一个是免疫细胞处理流向,另一个是抗原的处理流向。

　　该模型整体上分为3 个阶段:

　　1) 耐受阶段:从开始到耐受期结束时刻T。首先初始化自体集合以及未成熟免疫细胞集合,在时间T 内,如果未成熟免疫细胞与自体集合中任何一个自体发生匹配,则将被删除并重新产生一个新的未成熟免疫细胞,并再次进入上述过程。如果未成熟免疫细胞在耐受周期内耐受成功,就变为成熟免疫细胞。

　　2) 学习阶段:从T+1 时刻开始,成熟的免疫细胞通过克隆选择,生成能识别大量不同非自体抗原的记忆细胞,添加到记忆免疫细胞集合中。那些通过记忆免疫细胞模块和成熟免疫细胞模块检测被分类为自体的抗原最后被送到未成熟免疫细胞集合再进行耐受。成熟免疫细胞与未知的抗原进行匹配,如果在成熟免疫细胞生命周期内,它的累积匹配次数超过了激活阖值,就会激活,最后这个成熟免疫细胞也就变成了一个记忆免疫细胞。

　　3) 检测阶段:抗原由系统进行获取,然后按照免疫细胞和抗原的工作流程不断循环运行,系统动态运行检视当时网络状况,直到系统结束运行。

　　未成熟免疫细胞模块、成熟免疫细胞模块和记忆免疫细胞模块具有动态性,保持自动更新,使系统具有良好的自适应性和自学习能力。

　　1、记忆免疫细胞模块

　　该模块主要是对输入的抗原进行检测,以达到二次应答的目的, 并将无法检测的抗原提交给成熟免疫细胞模块。该模型中认为记忆免疫细胞具有无限长的生命周期,除非它检测出自体细胞被删除或系统结束运行。因此,记忆免疫细胞模块需要实现以下几个工作步骤:

　　1) 抗原与记忆免疫细胞模块中的抗体进行匹配。如果匹配成功,则进行第2 步,否则,将抗原提交给成熟免疫细胞模块处理。

　　2) 判断该抗原是否属于当前自体集合。如果属于当前自体集合,则进行第3 步;否则,认为该抗原是入侵抗原,将其删除。

　　3) 由系统管理员给出协同刺激信号。如果系统管理员认为该抗原是自体,则删除与该抗原匹配的记忆免疫细胞模块中的记忆免疫细胞, 并将该抗原放入当前自体集合中;否则,删除该抗原和当前自体集合中对应的自体。

　　2、成熟免疫细胞模块

　　该模块检测记忆免疫细胞模块无应答的抗原,对成功检测出的抗原执行免疫应答,同时将无法检测的抗原提交给未成熟免疫细胞模块处理。因此,成熟免疫细胞模块需要实现以下几个工作步骤:

　　1) 抗原与成熟免疫细胞模块中的抗体进行匹配。如果匹配成功,则进行第2 步;否则,将抗原提交给未成熟免疫细胞模块处理。

　　2) 判断该抗原是否属于当前自体集合。如果属于当前自体集合,则进行第3 步;否则,认为该抗原是入侵抗原,将其删除,同时对应的成熟的免疫细胞中的计数器加1。

　　3) 由系统管理员给出协同刺激信号。如果系统管理员认为该抗原是自体,则删除与该抗原匹配的成熟免疫细胞模块中的成熟免疫细胞, 并将该抗原放入当前自体集合中;否则,删除该抗原和当前自体集合中对应的自体,同时对应的成熟的免疫细胞中的计数器加1。

　　4) 判断成熟免疫细胞的生存周期。如果超过系统设定的生存周期,则删除该免疫细胞;否则进行第5 步。

　　5) 判断成熟免疫细胞是否被激活。如果计数器的值达到系统预先设置的阀值,则将成熟免疫细胞提交给记忆免疫细胞,并从成熟免疫细胞模块中删除该成熟免疫细胞。

　　3、未成熟免疫细胞模块

　　该模块主要是对经由记忆免疫细胞模块和成熟免疫细胞模块检测后剩下的抗原进行自体耐受,这时我们认为这些抗原已通过检测,是自体抗原。在这里我们主要利用否定选择算法,所以在耐受周期内,如果对自体不耐受,则删除对应的未成熟免疫细胞;否则当年龄超过耐受周期,则把未成熟免疫细胞放入成熟免疫细胞集合中,并从未成熟免疫细胞集合中删除它。如下图3所示:

　　图8 未成熟免疫细胞模块工作原理

　　4.4.2 该模型的特点

　　1) 动态性

　　由于自体定义并不一定在初始时刻就比较完备, 而是在系统实际运行中通过学习和自体耐受不断地修改添加, 逐步完善;另外,引入协同刺激机制后,记J 区免疫细胞和成熟免疫细胞也会根据条件不断地变化,使得系统具有很好的动态性。这符合真实的网络环境:在通信网络中,大多数的行为具有不定性,在特定的环境中可能是正常的,当环境发生变化时就可能成为一种入侵行为。

　　2) 自适应性

　　传统的入侵检测方法都是从定义入侵模式开始,而后把采样的模式与这些入侵模式进行匹配来进行检测,从而使系统失去了自适应性,无法检测出己知攻击的变种和未知攻击。同时,计算机系统是动态变化的,并且正常的网络连接或系统通信与异常的网络连接或系统通信在一定的情况下可以相互转化,所以在动态变化的系统中很难采用静态的方法来接决问题。该模型中保持了记忆、成熟和未成熟细胞的动态变化,所以即使某个时候系统中发生了错误,模型也能通过内部进化和外部的人为协同刺激等机制有效的解决问题。

　　3) 多样性

　　由于该模型使用二进制字符串来描述问题以及采用r 连续位规则作为匹配规则, 使得模型中的各个检测模块中的检测器与抗原相匹配时,只需要r 连续位匹配就匹配成功,而不需要完全匹配,表现出一个检测器能检测出多个抗原的特性,这与受体多样性的特点相类似。

　　4) 准确性

　　该模型引入了外部协同刺激机制,外部协同刺激类似于生物免疫系统中的协同刺激信号,这种机制有效的实现了系统与管理人员之间的互动通信,从而大大降低了入侵检测的误检率。[7]

　　5、对这些研究及模型进行分析

　　5.1基于人工免疫入侵检测和防火墙的网络安全主动防御技术的分析

　　基于人工免疫的入侵检测系统结合了基于主机和基于网络的入侵检测技术。基于主机的入侵检测系统分布在服务器、数据库、存储了重要信息的主机等里面,它们之间相互独立但相互保持联系,不因为一个失效而影响整个系统的功能。基于网络的入侵检测系统提供了动态、实时、透明的网络IDS,能记录日志,同时可中断内部不满者和外部黑客的非授权使用、误用和滥用。可以避免内部、远程、乃至授权用户所进行的网络探测、系统误用及其他恶意行为。结合基于主机的IDS 与基于网络的IDS 并行可以做到优势互补:网络部分提供早期警告,而基于主机的部分可提供攻击成功与否的情况分析与确认。

　　基于人工免疫的网络安全研究是一个新兴的研究领域,本节将人工免疫入侵检测系统和防火墙结合起来提出的一种动态网络安全主动防御技术,克服了单独使用防火墙技术无法满足的不断更新的黑客技术,有效地对黑客可能的入侵行为进行实时检控,能够全方位对计算机网络进行安全防护。

　　5.2 目前基于人工免疫的入侵检测中的关键技术的分析

　　生物免疫系统是一个十分复杂的动态保护系统, 在入侵检测系统中, 如何定义自我集合, 恰当地表征计算机系统的特性,使它可以有效地识别系统的自我和非我元素是设计入侵检测系统的关键所在。合理、准确、有针对性地定义自我集合是下一步需要进行研究的重要内容。

　　5.3基于免疫的网络入侵检测技术算法的分析

　　1)基于免疫原理的入侵检测依赖于对“正常”的准确描述,而准确地描述“正常”并不是一件容易的事。它并没有解决如何获得有关“正常”的准确描述的问题,即系统或网络的正常模型比较困难。

　　2)适用范围,在大流量网络环境下,对数据包的预处理将是非常必要的,将捕获的网络数据包过滤,利用数据挖掘等手段获取有效数据。

　　3)自适应免疫应答、响应机制的研究:由于网络的动态性,自体不断变化,因此必须提高系统的自适应,自组织能力,使系统根据变化的网络环境做出相应的调整,实时检控网络状态,对网路攻击及时响应。

　　4)生成高效、多功能的检测子:现有网络入侵检测中的检测子仅仅基于单个网络包检测,且产生有效检测子的效率不高。

　　5)系统的一些功能尚未完成,例如免疫反应功能,基因库的演化等。

　　5.4 基于人工免疫的入侵检测系统模型的分析

　　利用免疫系统的原理进行入侵检测的研究是一个热门方向,从生物免疫学的原理出发,对基于免疫学的入侵检测实现方法作了介绍,分析了人工免疫的入侵检测系统模型框架的三个模块。未成熟免疫细胞模块、成熟免疫细胞模块和记忆免疫细胞模块具有动态性,保持自动更新,使系统具有良好的自适应性和自学习能力。该系统同时具有误用检测和异常检测的优点,具有很好的自我适用能力。该系统检测器模块的具体实现和在实际网络环境中的应用是需要进一步研究的问题。

　　6、基于人工免疫的入侵检测技术的发展前景

　　生物免疫系统和网络安全,两个看起来毫不相关的领域,相交叉却产生了一个非常有意义的研究领域:基于人工免疫的网络安全新机制研究。生物免疫系统所表现出来的很强的自我保护能力,特别是它能够识别未知抗原的能力,使得基于人工免疫的网络安全新机制研究倍加引人注目。[2]

　　基于人工免疫的网络安全研究是一个新兴的研究领域,虽然已经有了一定的进展,但是还有大量的工作需要我们去做。新的病毒和入侵手段的不断涌现也是网络安全这一严重问题日益突出的主要原因。但是,目前还没有很好地针对未知病毒和入侵的方法及产品。因此,基于生物免疫原理的网络安全新机制的研究具有重要意义。[5]

　　与此同时,生物免疫系统对已知病毒的快速识别机制也是值得研究的一个方面。生物免疫系统能够对已知抗原的反应过程成为二次免疫应答。借鉴生物免疫系统的二次应答机制,建立相应的模型和算法,也可以进一步提高对已知病毒和入侵手段的识别能力。

　　与各种人工免疫模型和算法的不断提出和深入相比,基于人工免疫的入侵检测和反病毒系统则还很初步。现有的系统大多还是实验室环境下的原型系统,具有较高的误报率和漏报率,难于满足大规模网络下的入侵检测和反病毒要求。鉴于免疫系统的学习机制是以进化为基础,可以对此进行了一系列的研究,利用其进化学习机制来降低误报率和漏报率。

　　基于人工免疫的检测技术是一个十分复杂的动态保护系统,在入侵检测系统中,如何定义自我集合,恰当地表征计算机系统的特性,使它可以有效地识别系统的自我和非我元素是设计入侵检测系统的关键所在。

　　总体来说,在不远的将来,借鉴生物免疫机制,一定能够提出一个行之有效的未知病毒和入侵手段识别模型和算法,虽然这中间还会有一段艰难而曲折的道路。

　　总结

　　通过这次对基于人工免疫的入侵检测系统的分析与了解,使我进一步认识和加强了对基于人工免疫的入侵检测技术方法的理解及其重要作用。我了解到,尽管,当前基于人工免疫的入侵检测技术面临种种困难,但是,生物免疫和入侵检测技术相结合而成的基于人工免疫的入侵检测技术作为一种主动地安全防护技术,提供了对内部攻击、外部攻击和误操作的实时保护,在网络系统受到危害之前拦截和响应入侵。它能够从网络安全的立体纵深、多层次防御的角度出发提供安全服务,必将进一步受到人们的高度重视。随着各种系统软件、应用软件的层出不穷,新的漏洞不断被发现,黑客的入侵的技术日益提高,对网络安全的要求越来越高。本文基本包括了基于人工免疫的入侵检测技术的原理、提出、模型和发展前景等,重点介绍了现有的研究技术和模型,并对其进行分析。但基人工免疫的入侵检测技术还在逐步发展和完善,需要做的研究还很多。

　　主要参考文献

　　[1]戴英侠,连一峰,王航.系统安全与入侵检测[M].北京清华大学出版社.2002.

　　[2]朱郁森,赵明.基于人工免疫机制的入侵检测技术[J].湖南城市学院学报(自然科学版).2004年第4期.

　　[3]苏军,胡征兵.基于人工免疫入侵检测和防火墙的网络安全主动防御技术 网路安全技术与应用[J].2006.1.

　　[4]葛红.免疫算法综述[J].华南师范大学学报.2002.8.

　　[5]陈立军.计算机病毒免疫技术的新途径[J].北京大学党报.1998.

　　[6]朱艳萍,杨意飞.基于人工免疫的入侵检测技术研究[J].软件导刊(Software Guide).2008.4.

　　[7]邹小花.基于人工免疫原理的入侵检测模型研究[J].Computer Knowledge And Technology 电脑知识与技术.2008 年第4卷第1期.

　　[8] 张亚社,张清华等基于免疫的网络入侵检测技术研究[J].计算机安全学术技术报.2009.8.