計(jì)算機(jī)發(fā)表論文

　　計(jì)算機(jī)發(fā)表論文篇2

　　淺議人工免疫的入侵檢測(cè)技術(shù)

　　摘要:現(xiàn)有網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)的大都不能識(shí)別未知模式的入侵, 智能水平低生物免疫系統(tǒng)提供了一種的健壯的、自組織、分布式的防護(hù)體系,對(duì)設(shè)計(jì)新的網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)具有很好的借鑒意義,利用生物免疫系統(tǒng)具有自我檢測(cè)的機(jī)理,將其應(yīng)用于入侵檢測(cè)系統(tǒng),出現(xiàn)了一種新的技術(shù)——基于人工免疫的入侵檢測(cè)技術(shù)。本文介紹了基于人工免疫技術(shù)的概念、提出、手段及發(fā)展;在概述生物免疫原理的基礎(chǔ)上, 討論了目前基于人工免疫的入侵檢測(cè)中的關(guān)鍵技術(shù)。重點(diǎn)是列舉幾種基于人工免疫的入侵檢測(cè)技術(shù)、模型和算法,并對(duì)它們進(jìn)行了分析。

　　關(guān)鍵詞:入侵檢測(cè)技術(shù);生物免疫系統(tǒng);人工免疫系統(tǒng)。

　　引言

　　網(wǎng)絡(luò)技術(shù)的不斷發(fā)展,極大的加快了社會(huì)信息化的步伐。網(wǎng)絡(luò)技術(shù)在給人們帶來(lái)巨大的便利之時(shí),也給人類帶來(lái)了巨大的挑戰(zhàn)。網(wǎng)絡(luò)的開(kāi)放性為信息的竊取、盜用、非法修改及各種擾亂破壞提供了可乘之機(jī)。因此,計(jì)算機(jī)安全變得越來(lái)越重要,如何對(duì)計(jì)算機(jī)系統(tǒng)和網(wǎng)絡(luò)中的各種非法行為進(jìn)行主動(dòng)防御和有效抑制,成為當(dāng)今計(jì)算機(jī)安全亟待解決的重要問(wèn)題。

　　1、[番茄花園3] 傳統(tǒng)的網(wǎng)絡(luò)安全采取的防護(hù)措施及簡(jiǎn)要分析

　　傳統(tǒng)的網(wǎng)絡(luò)安全防護(hù),是以防火墻和殺毒軟件為主體,再加上身份認(rèn)證機(jī)制等構(gòu)建的防護(hù)體系,這種方法對(duì)防止系統(tǒng)被非法入侵有一定的效果。

　　但是,某些入侵者會(huì)設(shè)法尋找防火墻背后可能敞開(kāi)的通道對(duì)其進(jìn)行攻擊,另一方面防火墻在防止網(wǎng)絡(luò)內(nèi)部襲擊等方面收效甚微,對(duì)于企業(yè)內(nèi)部心懷不滿而又技術(shù)高超的員工來(lái)說(shuō),防火墻形同虛設(shè)。而且,由于功能有限,防火墻通常不能提供有效的入侵檢測(cè)。

　　因此,要構(gòu)建一個(gè)合格的網(wǎng)絡(luò)安全保護(hù)體系,光靠防火墻是遠(yuǎn)遠(yuǎn)不夠的,還需要有能夠?qū)W(wǎng)絡(luò)進(jìn)行實(shí)時(shí)監(jiān)控、實(shí)時(shí)報(bào)警,并且能夠有效識(shí)別攻擊手段的網(wǎng)絡(luò)安全工具。

　　入侵檢測(cè)系統(tǒng)(IDS,Intrusion Detection System)應(yīng)運(yùn)而生。

　　2、基于人工免疫的入侵檢測(cè)技術(shù)手段

　　2.1入侵檢測(cè)技術(shù)的系統(tǒng)機(jī)制

　　所謂入侵檢測(cè),就是指檢測(cè)對(duì)計(jì)算機(jī)或網(wǎng)絡(luò)進(jìn)行非授權(quán)使用或入侵的過(guò)程。入侵檢測(cè)技術(shù)主要是研究使用什么樣的方法來(lái)檢測(cè)入侵行為。

　　入侵檢測(cè)是近年來(lái)網(wǎng)絡(luò)安全研究的熱點(diǎn),隨著計(jì)算機(jī)和網(wǎng)絡(luò)技術(shù)的不斷發(fā)展,系統(tǒng)遭受的入侵和攻擊也越來(lái)越多。網(wǎng)絡(luò)與信息安全問(wèn)題顯得越來(lái)越突出,研究入侵檢測(cè)及防御技術(shù)很有必要。

　　入侵檢測(cè)系統(tǒng)可通過(guò)對(duì)計(jì)算機(jī)網(wǎng)絡(luò)或計(jì)算機(jī)系統(tǒng)中若干關(guān)鍵點(diǎn)的信息收集并對(duì)其進(jìn)行分析,發(fā)現(xiàn)網(wǎng)絡(luò)或系統(tǒng)中違反安全策略的行為和攻擊跡象,產(chǎn)生報(bào)警,從而有效防護(hù)網(wǎng)絡(luò)的安全。

　　入侵檢測(cè)系統(tǒng)作為防火墻之后的有益補(bǔ)充,有著不可替代的作用,在網(wǎng)絡(luò)安全防護(hù)中的地位也越來(lái)越突出。作為一個(gè)全新的、快速發(fā)展的領(lǐng)域,有關(guān)入侵檢測(cè)技術(shù)的研究已經(jīng)成為網(wǎng)絡(luò)安全中極為重要的一個(gè)課題,已經(jīng)引起了國(guó)內(nèi)外許多專家學(xué)者的廣泛重視,對(duì)入侵檢測(cè)技術(shù)的研究具有十分重要的意義。[1]

　　2.2 生物免疫系統(tǒng)原理

　　生物免疫系統(tǒng)將所有的細(xì)胞分為兩類:自身的細(xì)胞(Self細(xì)胞)和非自身的細(xì)胞(Non-Self細(xì)胞)。Self細(xì)胞指自身健康,沒(méi)有被感染、破壞的細(xì)胞;Non-Self 細(xì)胞是指病毒、細(xì)菌、寄生蟲(chóng)等有害物質(zhì)和自身被感染、破壞的細(xì)胞

　　免疫系統(tǒng)只對(duì)Non-Self細(xì)胞具有免疫作用。當(dāng)一個(gè)外部抗原(Non-self細(xì)胞)襲擊身體時(shí),抗原體細(xì)胞把外部分子分解到抗原決定基層次,產(chǎn)生與抗原決定基結(jié)合的抗體。一旦抗原決定基發(fā)現(xiàn)匹配,一個(gè)特定信號(hào)就會(huì)發(fā)給免疫細(xì)胞,產(chǎn)生更多的抗體,淹沒(méi)抗原威脅或感染。只有那些能夠識(shí)別抗原的細(xì)胞才進(jìn)行擴(kuò)增,才會(huì)被免疫系統(tǒng)保留下來(lái)。

　　2.3人工免疫系統(tǒng)

　　人工免疫系統(tǒng)是研究、借鑒和利用生物免疫系統(tǒng)(這里主要是指人類的免疫系統(tǒng))各種原理和機(jī)制而發(fā)展的各類信息處理技術(shù)、計(jì)算技術(shù)及其在工程和科學(xué)中的應(yīng)用而產(chǎn)生的各種智能系統(tǒng)的統(tǒng)稱

　　2.4入侵檢測(cè)系統(tǒng)與免疫系統(tǒng)的相似性

　　從生物的免疫系統(tǒng)特點(diǎn)出發(fā)可以發(fā)現(xiàn),入侵檢測(cè)系統(tǒng)與免疫系統(tǒng)具有本質(zhì)的相似性:

　　免疫系統(tǒng)負(fù)責(zé)識(shí)別生物體“自身”(Self)和“非自身”(Non-self)的細(xì)胞,清除異常細(xì)胞。入侵檢測(cè)系統(tǒng)則辨別正常和異常行為模式。生物免疫系統(tǒng)對(duì)抗原的初次應(yīng)答類似于入侵檢測(cè)系統(tǒng)異常檢測(cè),可檢測(cè)出未知的抗原。生物免疫系統(tǒng)第二次應(yīng)答即利用對(duì)抗原的“記憶”引發(fā)的再次應(yīng)答與誤用檢測(cè)相類似。

　　利用生物免疫系統(tǒng)的這些特性,應(yīng)用到入侵檢測(cè)領(lǐng)域,能有效的阻止和預(yù)防對(duì)計(jì)算機(jī)系統(tǒng)和網(wǎng)絡(luò)的入侵行為,可增強(qiáng)信息的安全性。[4]

　　3、基于人工免疫的入侵檢測(cè)

　　3.1 概念提出

　　根據(jù)上面的敘述我們發(fā)現(xiàn):

　　入侵檢測(cè)系統(tǒng)的作用在于檢測(cè)并阻止系統(tǒng)內(nèi)外部非法用戶的攻擊,免疫系統(tǒng)的作用在于保護(hù)生物體免受外部病原體(如病毒,細(xì)菌等)的攻擊。二者的行為本質(zhì)上可以歸結(jié)為對(duì)危險(xiǎn)“非我”的識(shí)別和清除,這種相似性為借鑒免疫機(jī)制研究入侵檢測(cè)提供了一種新的思路。

　　從信息處理的角度來(lái)看,免疫系統(tǒng)是一個(gè)自適應(yīng)、自學(xué)習(xí)、自組織、并行處理和分布協(xié)調(diào)的復(fù)雜系統(tǒng)。目前,國(guó)際上不少研究人員已經(jīng)認(rèn)識(shí)到生物免疫系統(tǒng)中蘊(yùn)涵了豐富且有效的信息處理機(jī)制,并針對(duì)計(jì)算機(jī)網(wǎng)絡(luò)抗入侵、反病毒等安全問(wèn)題,建立了相應(yīng)的人工免疫模型和系統(tǒng),取得了一定的進(jìn)展,具有十分廣闊的應(yīng)用前景。

　　同時(shí),在當(dāng)前網(wǎng)絡(luò)安全面臨諸多困難的時(shí)期,借鑒生物免疫系統(tǒng)來(lái)設(shè)計(jì)網(wǎng)絡(luò)安全新機(jī)制也變得更加緊迫,具有十分重要的意義。

　　3.2 基于人工免疫入侵檢測(cè)的分類

　　基于人工免疫的入侵檢測(cè)技術(shù)主要分為基于人工免疫的異常檢測(cè)技術(shù)和基于人工免疫的誤用檢測(cè)技術(shù)兩種,檢測(cè)系統(tǒng)主要分為基于主機(jī)的人工免疫入侵檢測(cè)系統(tǒng)和基于網(wǎng)絡(luò)的人工免疫入侵檢測(cè)系統(tǒng)兩種。每一種技術(shù)都可應(yīng)用于任意一種檢測(cè)系統(tǒng),每一種檢測(cè)系統(tǒng)也可以使用任意一種檢測(cè)技術(shù)。

　　4、現(xiàn)有的成熟技術(shù)及模型

　　基于人工免疫的入侵檢測(cè)技術(shù)雖然都是應(yīng)用人工免疫與入侵檢測(cè)相結(jié)合的方法,但是該技術(shù)并不是固定不變的,不同的研究人員根據(jù)自己的研究提出了不同的入侵檢測(cè)模型。

　　4.1 基于人工免疫入侵檢測(cè)和防火墻的網(wǎng)絡(luò)安全主動(dòng)防御技術(shù)

　　本節(jié)將人工免疫入侵檢測(cè)系統(tǒng)和防火墻結(jié)合起來(lái)提出一種動(dòng)態(tài)網(wǎng)絡(luò)安全主動(dòng)防御技術(shù), 能夠全方位對(duì)計(jì)算機(jī)網(wǎng)絡(luò)進(jìn)行安全防護(hù)。

　　防火墻

　　本節(jié)提到的防火墻是一種新型防火墻, 它除了一般防火墻的網(wǎng)段隔離、基于IP 和端口的阻斷、NAT 等功能外, 還增加了內(nèi)容過(guò)濾、動(dòng)態(tài)配置、安全防護(hù)等功能等。

　　入侵檢測(cè)

　　入侵監(jiān)測(cè)系統(tǒng)能夠通過(guò)向管理員發(fā)出入侵或者入侵企圖來(lái)加強(qiáng)當(dāng)前的存取控制系統(tǒng),例如防火墻;識(shí)別防火墻通常不能識(shí)別的攻擊,如來(lái)自企業(yè)內(nèi)部的攻擊;在發(fā)現(xiàn)入侵企圖之后提供必要的信息,幫助系統(tǒng)的移植。

　　4.1.1基于人工免疫原理建立的入侵檢測(cè)模型

　　入侵檢測(cè)是通過(guò)對(duì)系統(tǒng)或者是網(wǎng)絡(luò)的運(yùn)行狀態(tài)進(jìn)行檢測(cè),發(fā)現(xiàn)各種攻擊企圖、攻擊行為或攻擊結(jié)果,以保證系統(tǒng)資源的機(jī)密性、完整性和可用性。借鑒生物免疫系統(tǒng)在抵抗外界有害抗原的入侵上有效、獨(dú)特的工作機(jī)制,能夠很好的解決現(xiàn)有入侵檢測(cè)系統(tǒng)的高誤報(bào)率和缺乏自適應(yīng)性。本節(jié)將人工免疫入侵檢測(cè)系統(tǒng)分為基于主機(jī)和網(wǎng)絡(luò)兩類,檢測(cè)的對(duì)象是運(yùn)行在主機(jī)上的各種操作行為和通過(guò)網(wǎng)絡(luò)傳輸?shù)臄?shù)據(jù)包。

　　1、基于主機(jī)的人工免疫入侵檢測(cè)模型

　　在免疫計(jì)算機(jī)的生物學(xué)模擬中,將計(jì)算機(jī)中感興趣的程序(如Ftp,Telnet,Send mail 等等)的活動(dòng)進(jìn)程視為分子,將多個(gè)進(jìn)程運(yùn)行的計(jì)算機(jī)視為多細(xì)胞有機(jī)體,將計(jì)算機(jī)網(wǎng)絡(luò)視為有機(jī)體組織。入侵識(shí)別主要根據(jù)網(wǎng)絡(luò)操作系統(tǒng)中由授權(quán)程序執(zhí)行的系統(tǒng)調(diào)用短序列,類似于肽鏈。在系統(tǒng)中, 建立一個(gè)類似于淋巴細(xì)胞的進(jìn)程,該進(jìn)程直接和內(nèi)核通信,檢控其他進(jìn)程及時(shí)發(fā)現(xiàn)程序執(zhí)行的異常。與免疫系統(tǒng)的判別機(jī)制相同,當(dāng)該“淋巴細(xì)胞”進(jìn)程發(fā)現(xiàn)某個(gè)進(jìn)程運(yùn)行異常時(shí),就認(rèn)為該進(jìn)程被破壞或正在受到攻擊。免疫計(jì)算機(jī)實(shí)時(shí)檢控和處理主機(jī)的審計(jì)數(shù)據(jù),提取感興趣的行為數(shù)據(jù),建立行為特征模式,并與已知的正常行為模式匹配,一旦發(fā)現(xiàn)異常便報(bào)警?；谥鳈C(jī)的人工免疫入侵檢測(cè)模型如圖1 所示

　　該模型主要由入侵分析、入侵判斷和入侵響應(yīng)三個(gè)部分構(gòu)成。從操作系統(tǒng)提取的審計(jì)數(shù)據(jù)經(jīng)數(shù)據(jù)過(guò)濾及分析處理,轉(zhuǎn)換為統(tǒng)一的數(shù)據(jù)模式以便執(zhí)行入侵分析。行為特征數(shù)據(jù)庫(kù)是入侵判斷的主要依據(jù),通過(guò)入侵判斷(與行為特征數(shù)據(jù)庫(kù)的匹配),將判斷結(jié)果通過(guò)用戶界面通知系統(tǒng)管理員或交由系統(tǒng)自行處理。

　　2、基于網(wǎng)絡(luò)的人工免疫入侵檢測(cè)模型

　　基于網(wǎng)絡(luò)的入侵檢測(cè)主要負(fù)責(zé)對(duì)網(wǎng)絡(luò)上傳輸?shù)臄?shù)據(jù)實(shí)施檢控,包括網(wǎng)絡(luò)數(shù)據(jù)包的識(shí)別和檢測(cè)、地址的過(guò)濾等。利用生物免疫系統(tǒng)的基本功能進(jìn)行“自身”和“非自身”的識(shí)別。在基于網(wǎng)絡(luò)的入侵檢測(cè)模型中,把與所需要的計(jì)算機(jī)相連的網(wǎng)絡(luò)間正常的TCP/IP連接集合和該主機(jī)系統(tǒng)內(nèi)合法的操作行為定義為“自我”,采用可以描述TCP/IP 連接特征的信息,例如:源IP 地址、目的IP 地址、服務(wù)端口、協(xié)議類型、包的數(shù)量、字節(jié)數(shù)、特定錯(cuò)誤和在短時(shí)間的網(wǎng)絡(luò)的特定服務(wù)和描述系統(tǒng)合法操作的集合來(lái)表示。把異常的T C P / I P 連接集合和非法的系統(tǒng)操作集合定義為“非自身”?；诰W(wǎng)絡(luò)的入侵檢測(cè)模型的設(shè)計(jì)采用了模塊化結(jié)構(gòu),

　　分為數(shù)據(jù)收集模塊(Sensor)、檢測(cè)分析模塊(Detector)和響應(yīng)模塊(Response),如圖2 所示。

　　數(shù)據(jù)收集由Perl腳本啟動(dòng)Tcpdump實(shí)用程序完成網(wǎng)絡(luò)數(shù)據(jù)包的捕獲,Tcpdump 實(shí)用程序?qū)⒕W(wǎng)絡(luò)接口設(shè)置為混雜模式,把LAN 上所有的數(shù)據(jù)都保留一份拷貝,按照Tcpdump文件格式保存為本地文件。然后Sensor 根據(jù)Tcpdump 文件格式提取特征數(shù)據(jù)發(fā)往檢測(cè)分析模塊,并采用負(fù)選擇算法來(lái)判斷這些特征值是否異常。如果Detector 判斷某個(gè)特征值為異常,就會(huì)向系統(tǒng)管理員報(bào)告,并試圖得到系統(tǒng)管理員的確認(rèn),得到確認(rèn)的Detector 認(rèn)為局域網(wǎng)確實(shí)出現(xiàn)了異常,就會(huì)給用戶設(shè)定的地址發(fā)送E-mail 進(jìn)行警告。Detector 以Web頁(yè)面的形式向系統(tǒng)管理員提供異常報(bào)告,系統(tǒng)管理員通過(guò)其中的超鏈接進(jìn)行確認(rèn),Detector 端運(yùn)行的CGI 腳本接受系統(tǒng)管理員的反饋信息。

　　4.1.2主動(dòng)防御系統(tǒng)模型

　　下面提出的是一種主動(dòng)的、智能的防護(hù)系統(tǒng),能預(yù)先對(duì)入侵行為和攻擊性網(wǎng)絡(luò)流量進(jìn)行攔截,當(dāng)它檢測(cè)到攻擊企圖后,它會(huì)自動(dòng)地將攻擊包丟掉或采取措施將攻擊源阻斷,避免其造成任損失。如圖3示:

　　防火墻阻斷具有攻擊性的黑客入侵,特別是能阻斷拒絕服務(wù)等惡性攻擊,檢控主機(jī)的安全狀態(tài)、數(shù)據(jù)和配置文件的完整性、防火墻管理員用戶的審計(jì)跟蹤、檢控分析系統(tǒng)的活動(dòng),一方面它擔(dān)負(fù)了系統(tǒng)受到攻擊后的重要配置的自動(dòng)恢復(fù)的任務(wù),同時(shí)它擔(dān)負(fù)了防火墻和入侵檢測(cè)系統(tǒng)之間的相互鎖定的防護(hù)任務(wù),防火墻和入侵檢測(cè)系統(tǒng)之間采用了加密的IP 隧道,該通道可以加密、加標(biāo)簽、認(rèn)證防火墻和入侵檢測(cè)系統(tǒng)之間的通信,這樣,防止了內(nèi)部網(wǎng)絡(luò)的入侵行為:防止黑客假冒入侵檢測(cè)系統(tǒng)對(duì)防火墻進(jìn)行動(dòng)作。[3]

　　4.2 目前基于人工免疫的入侵檢測(cè)中的關(guān)鍵技術(shù)

　　借鑒生物免疫系統(tǒng)的原理和機(jī)制, 可以設(shè)計(jì)出全新的入侵檢測(cè)系統(tǒng)。該入侵檢測(cè)系統(tǒng)的構(gòu)成包括自我集合的定義, 通過(guò)否定選擇算法產(chǎn)生有效的檢測(cè)元集合以及用產(chǎn)生的檢測(cè)元集合進(jìn)行入侵檢測(cè)。

　　4.2.1 定義自我與非我( Self and Non-self) 集合

　　生物免疫系統(tǒng)將所有細(xì)胞分成兩類: 自身細(xì)胞( Self) 和非自身細(xì)胞(Non-self) 。Self細(xì)胞是指自身健康、沒(méi)有被病毒感染、破壞的細(xì)胞。Non-Self細(xì)胞則是指病毒、細(xì)菌等有害物質(zhì)和自身被感染、破壞的細(xì)胞。同樣, 對(duì)于入侵檢測(cè)系統(tǒng)而言, 自我集合可以是指計(jì)算機(jī)系統(tǒng)受保護(hù)的內(nèi)容, 如系統(tǒng)數(shù)據(jù)、程序文件等,還可以指系統(tǒng)可以接受的操作模式、進(jìn)程調(diào)用序列和正常的網(wǎng)絡(luò)連接模式等等, 根據(jù)入侵檢測(cè)的不同需要, 可以定義不同的自我集合。

　　根據(jù)自我和非自我的定義, 將計(jì)算機(jī)所有可能出現(xiàn)的操作模式定義為空間U, 正常的、合法的、可接受的操作模式記為自我集合S, 其他記為非我集合N, 并且約定: ①U是完備的和有限元的; ②S∪N=U且S∩N=⊙。

　　4.2.2 有效檢測(cè)器集合的產(chǎn)生

　　1、 檢測(cè)器的結(jié)構(gòu)

　　在入侵檢測(cè)系統(tǒng)中, 檢測(cè)器對(duì)應(yīng)于生物免疫系統(tǒng)中的免疫細(xì)胞, 它是通過(guò)一個(gè)長(zhǎng)度為L(zhǎng)的二進(jìn)制字符串來(lái)表示。規(guī)定每個(gè)檢測(cè)器由4個(gè)部分組成, 分別是檢測(cè)字符串、生成時(shí)間、激活域以及匹配域。其中, 生成時(shí)間用于記錄檢測(cè)器的產(chǎn)生時(shí)間, 激活域標(biāo)識(shí)檢測(cè)器是否被激活; 匹配域記錄該檢測(cè)器檢測(cè)到異常的數(shù)量及時(shí)間, 如表1所示:

　　2、 檢測(cè)器的生成

　　檢測(cè)器的生成主要是通過(guò)否定選擇算法完成的。該過(guò)程為: 在定義了入侵檢測(cè)系統(tǒng)的自我集合( S) 之后, 對(duì)候選檢器集合中的每一元素與自我集合中的全部元素逐一進(jìn)行對(duì)比, 那些不發(fā)生匹配的侯選檢測(cè)元素將進(jìn)入有效檢測(cè)器集合(R) , 而發(fā)生了匹配的候選檢測(cè)將被丟棄, 即集合R中的元素不會(huì)與集合S中的元素發(fā)生匹配, 這一過(guò)程類似于生物免疫系統(tǒng)中的免疫細(xì)胞的自體耐受過(guò)程。該過(guò)程如圖4所示。

　　3、 檢測(cè)器的生命周期

　　未成熟檢測(cè)器是一個(gè)隨機(jī)產(chǎn)生的二進(jìn)制串, 然后經(jīng)歷一個(gè)容忍期, 這個(gè)值是可調(diào)節(jié)的。若在容忍期里檢測(cè)器沒(méi)有因?yàn)槠ヅ?ldquo;自己”串而“死亡”( 即由新的隨機(jī)產(chǎn)生的檢測(cè)器代替) , 則變成了成熟檢測(cè)器, 處于無(wú)記憶狀態(tài)。該檢測(cè)器或者生存給定的隨機(jī)時(shí)間后, 就會(huì)由新的隨機(jī)產(chǎn)生的檢測(cè)器代替;或者檢測(cè)到“非己”成為記憶檢測(cè)器, 壽命就變成無(wú)限長(zhǎng)。

　　4.2.3 匹配規(guī)則

　　目前在計(jì)算機(jī)免疫系統(tǒng)學(xué)的研究中有很多模式匹配的規(guī)則, 總的來(lái)說(shuō)它們分為2類:基于距離測(cè)量( distance measure) 的Hamming規(guī)則和基于相似性函數(shù)( similarity function) 的連續(xù)r位匹配規(guī)則。采用連續(xù)r位的匹配規(guī)則, 根據(jù)連續(xù)匹配的位數(shù)來(lái)確定兩個(gè)字符串是否匹配。當(dāng)連續(xù)匹配的位數(shù)大于等于r值時(shí), 兩串匹配, 否則不匹配, 值的大小根據(jù)實(shí)際情況來(lái)定。

　　4.2.4 入侵檢測(cè)系統(tǒng)異常

　　有效檢測(cè)器集合一旦產(chǎn)生, 即可用來(lái)檢視系統(tǒng)的運(yùn)行狀態(tài)。通過(guò)采集系統(tǒng)當(dāng)前所產(chǎn)生的檢測(cè)模式, 并將其與檢測(cè)器集合各元素逐個(gè)進(jìn)行比較, 如果出現(xiàn)匹配, 則證明系統(tǒng)當(dāng)前產(chǎn)生了不正常的模式, 即遭受到入侵。因?yàn)樽约杭习怂姓５哪Ｊ? 檢測(cè)器集合中的元素不與自己集合發(fā)生匹配, 而僅與非自我集合發(fā)生匹配。當(dāng)入侵發(fā)生時(shí), 必然出現(xiàn)不正常的非自己集合中的模式, 就會(huì)與檢測(cè)器集合發(fā)生匹配, 如圖5所示。[6]

　　4.3基于免疫的網(wǎng)絡(luò)入侵檢測(cè)技術(shù)算法

　　4.3.1系統(tǒng)原理

　　入侵檢測(cè)系統(tǒng)(Intrusion Detection System. IDS)作為系統(tǒng)防御的重要手段,它在計(jì)算機(jī)安全系統(tǒng)中的作用與免疫系統(tǒng)在生物體中的作用非常類似。入侵檢測(cè)系統(tǒng)的作用在于檢測(cè)并阻止系統(tǒng)內(nèi)外部非法用戶的攻擊,免疫系統(tǒng)的作用在于保護(hù)生物體免受外部病原體的攻擊。二者的行為本質(zhì)上可以歸結(jié)為對(duì)危險(xiǎn)“非我”的識(shí)別和清除。

　　4.3.2 AIDS系統(tǒng)的相關(guān)定義

　　定義1 自體 :基于免疫的入侵檢測(cè)系統(tǒng)、自體可以定義為計(jì)算機(jī)之間的正常TCP/IP連接集合,可用表征TCP/IP連接特性的多元組(如源IP地址、目的IP地址、服務(wù)端口、協(xié)議類型)來(lái)表示。根據(jù)實(shí)驗(yàn)需要,還可以對(duì)該多元組進(jìn)行擴(kuò)充。

　　定義2 異體 : 異體是計(jì)算機(jī)間的反常的TCP/IP連接集合。

　　定義3 Self Non-self 假設(shè)基于免疫入侵檢測(cè)系統(tǒng)作用在一個(gè)全集U上,U是一個(gè)由m個(gè)符號(hào)組成的字符串的集合,表示所有的用戶行為和事件,且U中所有元素均為長(zhǎng)度為L(zhǎng)的字符串,用S表示Self 集,N表示Non-self 集,則有S∪N=U,S∩N=⊙;令m=2,即集合U是由0-1二進(jìn)制串組成,這樣所表示的任何串模式均可直接在計(jì)算機(jī)中存儲(chǔ)與處理。Self串和Non-self串由長(zhǎng)度為L(zhǎng)的二進(jìn)制串表示,這樣字符串空間U中元素的個(gè)數(shù)為2L個(gè)。

　　4.3.3 系統(tǒng)的工作過(guò)程

　　系統(tǒng)首先通過(guò)一個(gè)隨機(jī)過(guò)程產(chǎn)生候選的未成熟的檢測(cè)器。這些未成熟的檢測(cè)器在釋放之前首先要經(jīng)過(guò)負(fù)選擇過(guò)程。如果有檢測(cè)器與定義的自我匹配則將之丟棄,否則作為成熟的檢測(cè)器加入成熟檢測(cè)器集,從事實(shí)際的檢測(cè)工作。在檢測(cè)過(guò)程中,檢測(cè)器利用適當(dāng)?shù)淖址ヅ渌惴?如r位連續(xù)匹配算法)執(zhí)行檢測(cè)任務(wù)。如果一個(gè)成熟的檢測(cè)器在其生命期T的時(shí)間內(nèi)能夠匹配到足夠數(shù)量的抗原(啟動(dòng)閾值),檢測(cè)器就會(huì)被啟動(dòng);反之,認(rèn)為其無(wú)效而被刪除。當(dāng)一個(gè)檢測(cè)器啟動(dòng)后,該檢測(cè)器就進(jìn)入克隆選擇階段,并且將這些成熟的檢測(cè)器添加到檢測(cè)器庫(kù)(類似基因庫(kù))。借鑒生物免疫記憶細(xì)胞機(jī)制,引入記憶檢測(cè)器(Memory Detector)的概念,記憶檢測(cè)器與普通的檢測(cè)器相比較具有較小的啟動(dòng)閾值和較長(zhǎng)的生命周期,它們的存在可以加速對(duì)以前出現(xiàn)過(guò)的異常行為的檢測(cè)。

　　4.3.4 經(jīng)典算法

　　陰性選擇算法和克隆選擇算法是該模型采用的兩個(gè)重要的算法,下面對(duì)兩個(gè)算法給予說(shuō)明。

　　4.3.4.1陰性選擇算法

　　1994年新墨西哥大學(xué)的Stephanie Forrest 領(lǐng)導(dǎo)的研究小組首先提出了免疫陰性選擇算法。算法的主要思想是產(chǎn)生大量的對(duì)自體耐受的檢測(cè)器,將非己(未授權(quán)用戶、病毒等)從自己(合法用戶、保護(hù)數(shù)據(jù)文件等)中區(qū)分開(kāi)來(lái)。該算法分為兩大過(guò)程:生成檢測(cè)器過(guò)程和檢視過(guò)程。該算法流程如下:

　　步驟1:定義一組長(zhǎng)度為L(zhǎng)的字符串集合S表示正常的TCP/IP集合來(lái)代表自我,用于檢測(cè)。

　　步驟2:產(chǎn)生檢測(cè)器集合R,依據(jù)否定選擇原理,對(duì)每個(gè)檢測(cè)器進(jìn)行審查。審查采用部分匹配規(guī)則,即兩個(gè)字符串匹配當(dāng)且僅當(dāng)至少r個(gè)連續(xù)位相同,其中r為參數(shù)。

　　步驟3:通過(guò)連續(xù)地將R中的檢測(cè)器與S來(lái)比較來(lái)檢測(cè)S的改變。如果檢測(cè)器發(fā)生匹配,則有改變發(fā)生。

　　陰性算法的優(yōu)點(diǎn)是簡(jiǎn)便、易于實(shí)現(xiàn)。主要問(wèn)題是計(jì)算復(fù)雜度呈指數(shù)級(jí)增長(zhǎng),難以處理復(fù)雜問(wèn)題。該算法并沒(méi)有直接利用自我信息,而是由自我集合通過(guò)負(fù)選擇生成檢測(cè)子集,具備了并行性,健壯性和分布式檢測(cè)等特點(diǎn)。

　　4.3.4.2克隆選擇算法

　　基于克隆選擇原理,該模型采用DeCastro提出的一種克隆選擇算法,核心是比例復(fù)制和比例變異算子。算法流程如下:

　　步驟1:產(chǎn)生候選方案的集合S(P),基于親和度度量確定群體P中的rl個(gè)最佳個(gè)體Pn;

　　步驟2:對(duì)群體中的這N個(gè)最佳個(gè)體進(jìn)行克隆(復(fù)制)、生成臨時(shí)克隆群體C、對(duì)克隆生成的群體施加變異操作,變異概率反比于抗體的親和度,從而生成一個(gè)成熟的抗體群體(C*);

　　步驟3:從C*中重新選擇改進(jìn)個(gè)體組成記憶集合、P集合的一些成員可以由C的其他改進(jìn)成員加以替換、將群體中的d個(gè)低親和度的抗體以替換,從而維持抗體的多樣性。

　　克隆算法成功應(yīng)用到了二進(jìn)制字符識(shí)別、多峰函數(shù)優(yōu)化和組合優(yōu)化中,取得了良好效果。對(duì)比遺傳算法,克隆選擇算法在編碼機(jī)制和評(píng)價(jià)函數(shù)的構(gòu)造上基本一致,但搜索的策略和步驟有所不同;而且通過(guò)免疫記憶機(jī)制,該算法可以保存各個(gè)局部最優(yōu)解,這對(duì)于多峰函數(shù)優(yōu)化十分重要。[8]

　　4.4基于人工免疫的入侵檢測(cè)系統(tǒng)模型

　　4.4.1 一個(gè)人工免疫的入侵檢測(cè)系統(tǒng)模型框架

　　此模型框架主要分為三個(gè)模塊,即:未成熟免疫細(xì)胞模塊、成熟免疫細(xì)胞模塊和記憶免疫細(xì)胞模塊。三個(gè)模塊對(duì)應(yīng)未成熟免疫細(xì)胞、成熟免疫細(xì)胞和記憶免疫細(xì)胞三個(gè)免疫細(xì)胞結(jié)合,并且在每個(gè)模塊中分別實(shí)現(xiàn)相應(yīng)的免疫功能。系統(tǒng)根據(jù)所要處理的信息的不同,可分為兩個(gè)工作流向:一個(gè)是免疫細(xì)胞處理流向,另一個(gè)是抗原的處理流向。

　　該模型整體上分為3 個(gè)階段:

　　1) 耐受階段:從開(kāi)始到耐受期結(jié)束時(shí)刻T。首先初始化自體集合以及未成熟免疫細(xì)胞集合,在時(shí)間T 內(nèi),如果未成熟免疫細(xì)胞與自體集合中任何一個(gè)自體發(fā)生匹配,則將被刪除并重新產(chǎn)生一個(gè)新的未成熟免疫細(xì)胞,并再次進(jìn)入上述過(guò)程。如果未成熟免疫細(xì)胞在耐受周期內(nèi)耐受成功,就變?yōu)槌墒烀庖呒?xì)胞。

　　2) 學(xué)習(xí)階段:從T+1 時(shí)刻開(kāi)始,成熟的免疫細(xì)胞通過(guò)克隆選擇,生成能識(shí)別大量不同非自體抗原的記憶細(xì)胞,添加到記憶免疫細(xì)胞集合中。那些通過(guò)記憶免疫細(xì)胞模塊和成熟免疫細(xì)胞模塊檢測(cè)被分類為自體的抗原最后被送到未成熟免疫細(xì)胞集合再進(jìn)行耐受。成熟免疫細(xì)胞與未知的抗原進(jìn)行匹配,如果在成熟免疫細(xì)胞生命周期內(nèi),它的累積匹配次數(shù)超過(guò)了激活闔值,就會(huì)激活,最后這個(gè)成熟免疫細(xì)胞也就變成了一個(gè)記憶免疫細(xì)胞。

　　3) 檢測(cè)階段:抗原由系統(tǒng)進(jìn)行獲取,然后按照免疫細(xì)胞和抗原的工作流程不斷循環(huán)運(yùn)行,系統(tǒng)動(dòng)態(tài)運(yùn)行檢視當(dāng)時(shí)網(wǎng)絡(luò)狀況,直到系統(tǒng)結(jié)束運(yùn)行。

　　未成熟免疫細(xì)胞模塊、成熟免疫細(xì)胞模塊和記憶免疫細(xì)胞模塊具有動(dòng)態(tài)性,保持自動(dòng)更新,使系統(tǒng)具有良好的自適應(yīng)性和自學(xué)習(xí)能力。

　　1、記憶免疫細(xì)胞模塊

　　該模塊主要是對(duì)輸入的抗原進(jìn)行檢測(cè),以達(dá)到二次應(yīng)答的目的, 并將無(wú)法檢測(cè)的抗原提交給成熟免疫細(xì)胞模塊。該模型中認(rèn)為記憶免疫細(xì)胞具有無(wú)限長(zhǎng)的生命周期,除非它檢測(cè)出自體細(xì)胞被刪除或系統(tǒng)結(jié)束運(yùn)行。因此,記憶免疫細(xì)胞模塊需要實(shí)現(xiàn)以下幾個(gè)工作步驟:

　　1) 抗原與記憶免疫細(xì)胞模塊中的抗體進(jìn)行匹配。如果匹配成功,則進(jìn)行第2 步,否則,將抗原提交給成熟免疫細(xì)胞模塊處理。

　　2) 判斷該抗原是否屬于當(dāng)前自體集合。如果屬于當(dāng)前自體集合,則進(jìn)行第3 步;否則,認(rèn)為該抗原是入侵抗原,將其刪除。

　　3) 由系統(tǒng)管理員給出協(xié)同刺激信號(hào)。如果系統(tǒng)管理員認(rèn)為該抗原是自體,則刪除與該抗原匹配的記憶免疫細(xì)胞模塊中的記憶免疫細(xì)胞, 并將該抗原放入當(dāng)前自體集合中;否則,刪除該抗原和當(dāng)前自體集合中對(duì)應(yīng)的自體。

　　2、成熟免疫細(xì)胞模塊

　　該模塊檢測(cè)記憶免疫細(xì)胞模塊無(wú)應(yīng)答的抗原,對(duì)成功檢測(cè)出的抗原執(zhí)行免疫應(yīng)答,同時(shí)將無(wú)法檢測(cè)的抗原提交給未成熟免疫細(xì)胞模塊處理。因此,成熟免疫細(xì)胞模塊需要實(shí)現(xiàn)以下幾個(gè)工作步驟:

　　1) 抗原與成熟免疫細(xì)胞模塊中的抗體進(jìn)行匹配。如果匹配成功,則進(jìn)行第2 步;否則,將抗原提交給未成熟免疫細(xì)胞模塊處理。

　　2) 判斷該抗原是否屬于當(dāng)前自體集合。如果屬于當(dāng)前自體集合,則進(jìn)行第3 步;否則,認(rèn)為該抗原是入侵抗原,將其刪除,同時(shí)對(duì)應(yīng)的成熟的免疫細(xì)胞中的計(jì)數(shù)器加1。

　　3) 由系統(tǒng)管理員給出協(xié)同刺激信號(hào)。如果系統(tǒng)管理員認(rèn)為該抗原是自體,則刪除與該抗原匹配的成熟免疫細(xì)胞模塊中的成熟免疫細(xì)胞, 并將該抗原放入當(dāng)前自體集合中;否則,刪除該抗原和當(dāng)前自體集合中對(duì)應(yīng)的自體,同時(shí)對(duì)應(yīng)的成熟的免疫細(xì)胞中的計(jì)數(shù)器加1。

　　4) 判斷成熟免疫細(xì)胞的生存周期。如果超過(guò)系統(tǒng)設(shè)定的生存周期,則刪除該免疫細(xì)胞;否則進(jìn)行第5 步。

　　5) 判斷成熟免疫細(xì)胞是否被激活。如果計(jì)數(shù)器的值達(dá)到系統(tǒng)預(yù)先設(shè)置的閥值,則將成熟免疫細(xì)胞提交給記憶免疫細(xì)胞,并從成熟免疫細(xì)胞模塊中刪除該成熟免疫細(xì)胞。

　　3、未成熟免疫細(xì)胞模塊

　　該模塊主要是對(duì)經(jīng)由記憶免疫細(xì)胞模塊和成熟免疫細(xì)胞模塊檢測(cè)后剩下的抗原進(jìn)行自體耐受,這時(shí)我們認(rèn)為這些抗原已通過(guò)檢測(cè),是自體抗原。在這里我們主要利用否定選擇算法,所以在耐受周期內(nèi),如果對(duì)自體不耐受,則刪除對(duì)應(yīng)的未成熟免疫細(xì)胞;否則當(dāng)年齡超過(guò)耐受周期,則把未成熟免疫細(xì)胞放入成熟免疫細(xì)胞集合中,并從未成熟免疫細(xì)胞集合中刪除它。如下圖3所示:

　　圖8 未成熟免疫細(xì)胞模塊工作原理

　　4.4.2 該模型的特點(diǎn)

　　1) 動(dòng)態(tài)性

　　由于自體定義并不一定在初始時(shí)刻就比較完備, 而是在系統(tǒng)實(shí)際運(yùn)行中通過(guò)學(xué)習(xí)和自體耐受不斷地修改添加, 逐步完善;另外,引入?yún)f(xié)同刺激機(jī)制后,記J 區(qū)免疫細(xì)胞和成熟免疫細(xì)胞也會(huì)根據(jù)條件不斷地變化,使得系統(tǒng)具有很好的動(dòng)態(tài)性。這符合真實(shí)的網(wǎng)絡(luò)環(huán)境:在通信網(wǎng)絡(luò)中,大多數(shù)的行為具有不定性,在特定的環(huán)境中可能是正常的,當(dāng)環(huán)境發(fā)生變化時(shí)就可能成為一種入侵行為。

　　2) 自適應(yīng)性

　　傳統(tǒng)的入侵檢測(cè)方法都是從定義入侵模式開(kāi)始,而后把采樣的模式與這些入侵模式進(jìn)行匹配來(lái)進(jìn)行檢測(cè),從而使系統(tǒng)失去了自適應(yīng)性,無(wú)法檢測(cè)出己知攻擊的變種和未知攻擊。同時(shí),計(jì)算機(jī)系統(tǒng)是動(dòng)態(tài)變化的,并且正常的網(wǎng)絡(luò)連接或系統(tǒng)通信與異常的網(wǎng)絡(luò)連接或系統(tǒng)通信在一定的情況下可以相互轉(zhuǎn)化,所以在動(dòng)態(tài)變化的系統(tǒng)中很難采用靜態(tài)的方法來(lái)接決問(wèn)題。該模型中保持了記憶、成熟和未成熟細(xì)胞的動(dòng)態(tài)變化,所以即使某個(gè)時(shí)候系統(tǒng)中發(fā)生了錯(cuò)誤,模型也能通過(guò)內(nèi)部進(jìn)化和外部的人為協(xié)同刺激等機(jī)制有效的解決問(wèn)題。

　　3) 多樣性

　　由于該模型使用二進(jìn)制字符串來(lái)描述問(wèn)題以及采用r 連續(xù)位規(guī)則作為匹配規(guī)則, 使得模型中的各個(gè)檢測(cè)模塊中的檢測(cè)器與抗原相匹配時(shí),只需要r 連續(xù)位匹配就匹配成功,而不需要完全匹配,表現(xiàn)出一個(gè)檢測(cè)器能檢測(cè)出多個(gè)抗原的特性,這與受體多樣性的特點(diǎn)相類似。

　　4) 準(zhǔn)確性

　　該模型引入了外部協(xié)同刺激機(jī)制,外部協(xié)同刺激類似于生物免疫系統(tǒng)中的協(xié)同刺激信號(hào),這種機(jī)制有效的實(shí)現(xiàn)了系統(tǒng)與管理人員之間的互動(dòng)通信,從而大大降低了入侵檢測(cè)的誤檢率。[7]

　　5、對(duì)這些研究及模型進(jìn)行分析

　　5.1基于人工免疫入侵檢測(cè)和防火墻的網(wǎng)絡(luò)安全主動(dòng)防御技術(shù)的分析

　　基于人工免疫的入侵檢測(cè)系統(tǒng)結(jié)合了基于主機(jī)和基于網(wǎng)絡(luò)的入侵檢測(cè)技術(shù)?；谥鳈C(jī)的入侵檢測(cè)系統(tǒng)分布在服務(wù)器、數(shù)據(jù)庫(kù)、存儲(chǔ)了重要信息的主機(jī)等里面,它們之間相互獨(dú)立但相互保持聯(lián)系,不因?yàn)橐粋€(gè)失效而影響整個(gè)系統(tǒng)的功能?；诰W(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)提供了動(dòng)態(tài)、實(shí)時(shí)、透明的網(wǎng)絡(luò)IDS,能記錄日志,同時(shí)可中斷內(nèi)部不滿者和外部黑客的非授權(quán)使用、誤用和濫用?？梢员苊鈨?nèi)部、遠(yuǎn)程、乃至授權(quán)用戶所進(jìn)行的網(wǎng)絡(luò)探測(cè)、系統(tǒng)誤用及其他惡意行為。結(jié)合基于主機(jī)的IDS 與基于網(wǎng)絡(luò)的IDS 并行可以做到優(yōu)勢(shì)互補(bǔ):網(wǎng)絡(luò)部分提供早期警告,而基于主機(jī)的部分可提供攻擊成功與否的情況分析與確認(rèn)。

　　基于人工免疫的網(wǎng)絡(luò)安全研究是一個(gè)新興的研究領(lǐng)域,本節(jié)將人工免疫入侵檢測(cè)系統(tǒng)和防火墻結(jié)合起來(lái)提出的一種動(dòng)態(tài)網(wǎng)絡(luò)安全主動(dòng)防御技術(shù),克服了單獨(dú)使用防火墻技術(shù)無(wú)法滿足的不斷更新的黑客技術(shù),有效地對(duì)黑客可能的入侵行為進(jìn)行實(shí)時(shí)檢控,能夠全方位對(duì)計(jì)算機(jī)網(wǎng)絡(luò)進(jìn)行安全防護(hù)。

　　5.2 目前基于人工免疫的入侵檢測(cè)中的關(guān)鍵技術(shù)的分析

　　生物免疫系統(tǒng)是一個(gè)十分復(fù)雜的動(dòng)態(tài)保護(hù)系統(tǒng), 在入侵檢測(cè)系統(tǒng)中, 如何定義自我集合, 恰當(dāng)?shù)乇碚饔?jì)算機(jī)系統(tǒng)的特性,使它可以有效地識(shí)別系統(tǒng)的自我和非我元素是設(shè)計(jì)入侵檢測(cè)系統(tǒng)的關(guān)鍵所在。合理、準(zhǔn)確、有針對(duì)性地定義自我集合是下一步需要進(jìn)行研究的重要內(nèi)容。

　　5.3基于免疫的網(wǎng)絡(luò)入侵檢測(cè)技術(shù)算法的分析

　　1)基于免疫原理的入侵檢測(cè)依賴于對(duì)“正常”的準(zhǔn)確描述,而準(zhǔn)確地描述“正常”并不是一件容易的事。它并沒(méi)有解決如何獲得有關(guān)“正常”的準(zhǔn)確描述的問(wèn)題,即系統(tǒng)或網(wǎng)絡(luò)的正常模型比較困難。

　　2)適用范圍,在大流量網(wǎng)絡(luò)環(huán)境下,對(duì)數(shù)據(jù)包的預(yù)處理將是非常必要的,將捕獲的網(wǎng)絡(luò)數(shù)據(jù)包過(guò)濾,利用數(shù)據(jù)挖掘等手段獲取有效數(shù)據(jù)。

　　3)自適應(yīng)免疫應(yīng)答、響應(yīng)機(jī)制的研究:由于網(wǎng)絡(luò)的動(dòng)態(tài)性,自體不斷變化,因此必須提高系統(tǒng)的自適應(yīng),自組織能力,使系統(tǒng)根據(jù)變化的網(wǎng)絡(luò)環(huán)境做出相應(yīng)的調(diào)整,實(shí)時(shí)檢控網(wǎng)絡(luò)狀態(tài),對(duì)網(wǎng)路攻擊及時(shí)響應(yīng)。

　　4)生成高效、多功能的檢測(cè)子:現(xiàn)有網(wǎng)絡(luò)入侵檢測(cè)中的檢測(cè)子僅僅基于單個(gè)網(wǎng)絡(luò)包檢測(cè),且產(chǎn)生有效檢測(cè)子的效率不高。

　　5)系統(tǒng)的一些功能尚未完成,例如免疫反應(yīng)功能,基因庫(kù)的演化等。

　　5.4 基于人工免疫的入侵檢測(cè)系統(tǒng)模型的分析

　　利用免疫系統(tǒng)的原理進(jìn)行入侵檢測(cè)的研究是一個(gè)熱門(mén)方向,從生物免疫學(xué)的原理出發(fā),對(duì)基于免疫學(xué)的入侵檢測(cè)實(shí)現(xiàn)方法作了介紹,分析了人工免疫的入侵檢測(cè)系統(tǒng)模型框架的三個(gè)模塊。未成熟免疫細(xì)胞模塊、成熟免疫細(xì)胞模塊和記憶免疫細(xì)胞模塊具有動(dòng)態(tài)性,保持自動(dòng)更新,使系統(tǒng)具有良好的自適應(yīng)性和自學(xué)習(xí)能力。該系統(tǒng)同時(shí)具有誤用檢測(cè)和異常檢測(cè)的優(yōu)點(diǎn),具有很好的自我適用能力。該系統(tǒng)檢測(cè)器模塊的具體實(shí)現(xiàn)和在實(shí)際網(wǎng)絡(luò)環(huán)境中的應(yīng)用是需要進(jìn)一步研究的問(wèn)題。

　　6、基于人工免疫的入侵檢測(cè)技術(shù)的發(fā)展前景

　　生物免疫系統(tǒng)和網(wǎng)絡(luò)安全,兩個(gè)看起來(lái)毫不相關(guān)的領(lǐng)域,相交叉卻產(chǎn)生了一個(gè)非常有意義的研究領(lǐng)域:基于人工免疫的網(wǎng)絡(luò)安全新機(jī)制研究。生物免疫系統(tǒng)所表現(xiàn)出來(lái)的很強(qiáng)的自我保護(hù)能力,特別是它能夠識(shí)別未知抗原的能力,使得基于人工免疫的網(wǎng)絡(luò)安全新機(jī)制研究倍加引人注目。[2]

　　基于人工免疫的網(wǎng)絡(luò)安全研究是一個(gè)新興的研究領(lǐng)域,雖然已經(jīng)有了一定的進(jìn)展,但是還有大量的工作需要我們?nèi)プ?。新的病毒和入侵手段的不斷涌現(xiàn)也是網(wǎng)絡(luò)安全這一嚴(yán)重問(wèn)題日益突出的主要原因。但是,目前還沒(méi)有很好地針對(duì)未知病毒和入侵的方法及產(chǎn)品。因此,基于生物免疫原理的網(wǎng)絡(luò)安全新機(jī)制的研究具有重要意義。[5]

　　與此同時(shí),生物免疫系統(tǒng)對(duì)已知病毒的快速識(shí)別機(jī)制也是值得研究的一個(gè)方面。生物免疫系統(tǒng)能夠?qū)σ阎乖姆磻?yīng)過(guò)程成為二次免疫應(yīng)答。借鑒生物免疫系統(tǒng)的二次應(yīng)答機(jī)制,建立相應(yīng)的模型和算法,也可以進(jìn)一步提高對(duì)已知病毒和入侵手段的識(shí)別能力。

　　與各種人工免疫模型和算法的不斷提出和深入相比,基于人工免疫的入侵檢測(cè)和反病毒系統(tǒng)則還很初步。現(xiàn)有的系統(tǒng)大多還是實(shí)驗(yàn)室環(huán)境下的原型系統(tǒng),具有較高的誤報(bào)率和漏報(bào)率,難于滿足大規(guī)模網(wǎng)絡(luò)下的入侵檢測(cè)和反病毒要求。鑒于免疫系統(tǒng)的學(xué)習(xí)機(jī)制是以進(jìn)化為基礎(chǔ),可以對(duì)此進(jìn)行了一系列的研究,利用其進(jìn)化學(xué)習(xí)機(jī)制來(lái)降低誤報(bào)率和漏報(bào)率。

　　基于人工免疫的檢測(cè)技術(shù)是一個(gè)十分復(fù)雜的動(dòng)態(tài)保護(hù)系統(tǒng),在入侵檢測(cè)系統(tǒng)中,如何定義自我集合,恰當(dāng)?shù)乇碚饔?jì)算機(jī)系統(tǒng)的特性,使它可以有效地識(shí)別系統(tǒng)的自我和非我元素是設(shè)計(jì)入侵檢測(cè)系統(tǒng)的關(guān)鍵所在。

　　總體來(lái)說(shuō),在不遠(yuǎn)的將來(lái),借鑒生物免疫機(jī)制,一定能夠提出一個(gè)行之有效的未知病毒和入侵手段識(shí)別模型和算法,雖然這中間還會(huì)有一段艱難而曲折的道路。

　　總結(jié)

　　通過(guò)這次對(duì)基于人工免疫的入侵檢測(cè)系統(tǒng)的分析與了解,使我進(jìn)一步認(rèn)識(shí)和加強(qiáng)了對(duì)基于人工免疫的入侵檢測(cè)技術(shù)方法的理解及其重要作用。我了解到,盡管,當(dāng)前基于人工免疫的入侵檢測(cè)技術(shù)面臨種種困難,但是,生物免疫和入侵檢測(cè)技術(shù)相結(jié)合而成的基于人工免疫的入侵檢測(cè)技術(shù)作為一種主動(dòng)地安全防護(hù)技術(shù),提供了對(duì)內(nèi)部攻擊、外部攻擊和誤操作的實(shí)時(shí)保護(hù),在網(wǎng)絡(luò)系統(tǒng)受到危害之前攔截和響應(yīng)入侵。它能夠從網(wǎng)絡(luò)安全的立體縱深、多層次防御的角度出發(fā)提供安全服務(wù),必將進(jìn)一步受到人們的高度重視。隨著各種系統(tǒng)軟件、應(yīng)用軟件的層出不窮,新的漏洞不斷被發(fā)現(xiàn),黑客的入侵的技術(shù)日益提高,對(duì)網(wǎng)絡(luò)安全的要求越來(lái)越高。本文基本包括了基于人工免疫的入侵檢測(cè)技術(shù)的原理、提出、模型和發(fā)展前景等,重點(diǎn)介紹了現(xiàn)有的研究技術(shù)和模型,并對(duì)其進(jìn)行分析。但基人工免疫的入侵檢測(cè)技術(shù)還在逐步發(fā)展和完善,需要做的研究還很多。

　　主要參考文獻(xiàn)

　　[1]戴英俠,連一峰,王航.系統(tǒng)安全與入侵檢測(cè)[M].北京清華大學(xué)出版社.2002.

　　[2]朱郁森,趙明.基于人工免疫機(jī)制的入侵檢測(cè)技術(shù)[J].湖南城市學(xué)院學(xué)報(bào)(自然科學(xué)版).2004年第4期.

　　[3]蘇軍,胡征兵.基于人工免疫入侵檢測(cè)和防火墻的網(wǎng)絡(luò)安全主動(dòng)防御技術(shù) 網(wǎng)路安全技術(shù)與應(yīng)用[J].2006.1.

　　[4]葛紅.免疫算法綜述[J].華南師范大學(xué)學(xué)報(bào).2002.8.

　　[5]陳立軍.計(jì)算機(jī)病毒免疫技術(shù)的新途徑[J].北京大學(xué)黨報(bào).1998.

　　[6]朱艷萍,楊意飛.基于人工免疫的入侵檢測(cè)技術(shù)研究[J].軟件導(dǎo)刊(Software Guide).2008.4.

　　[7]鄒小花.基于人工免疫原理的入侵檢測(cè)模型研究[J].Computer Knowledge And Technology 電腦知識(shí)與技術(shù).2008 年第4卷第1期.

　　[8] 張亞社,張清華等基于免疫的網(wǎng)絡(luò)入侵檢測(cè)技術(shù)研究[J].計(jì)算機(jī)安全學(xué)術(shù)技術(shù)報(bào).2009.8.