計算機發(fā)表論文(2)

計算機發(fā)表論文

　　計算機發(fā)表論文篇2

　　淺議人工免疫的入侵檢測技術

　　摘要:現(xiàn)有網(wǎng)絡入侵檢測系統(tǒng)的大都不能識別未知模式的入侵, 智能水平低生物免疫系統(tǒng)提供了一種的健壯的、自組織、分布式的防護體系,對設計新的網(wǎng)絡入侵檢測系統(tǒng)具有很好的借鑒意義,利用生物免疫系統(tǒng)具有自我檢測的機理,將其應用于入侵檢測系統(tǒng),出現(xiàn)了一種新的技術——基于人工免疫的入侵檢測技術。本文介紹了基于人工免疫技術的概念、提出、手段及發(fā)展;在概述生物免疫原理的基礎上, 討論了目前基于人工免疫的入侵檢測中的關鍵技術。重點是列舉幾種基于人工免疫的入侵檢測技術、模型和算法,并對它們進行了分析。

　　關鍵詞:入侵檢測技術;生物免疫系統(tǒng);人工免疫系統(tǒng)。

　　引言

　　網(wǎng)絡技術的不斷發(fā)展,極大的加快了社會信息化的步伐。網(wǎng)絡技術在給人們帶來巨大的便利之時,也給人類帶來了巨大的挑戰(zhàn)。網(wǎng)絡的開放性為信息的竊取、盜用、非法修改及各種擾亂破壞提供了可乘之機。因此,計算機安全變得越來越重要,如何對計算機系統(tǒng)和網(wǎng)絡中的各種非法行為進行主動防御和有效抑制,成為當今計算機安全亟待解決的重要問題。

　　1、[番茄花園3] 傳統(tǒng)的網(wǎng)絡安全采取的防護措施及簡要分析

　　傳統(tǒng)的網(wǎng)絡安全防護,是以防火墻和殺毒軟件為主體,再加上身份認證機制等構(gòu)建的防護體系,這種方法對防止系統(tǒng)被非法入侵有一定的效果。

　　但是,某些入侵者會設法尋找防火墻背后可能敞開的通道對其進行攻擊,另一方面防火墻在防止網(wǎng)絡內(nèi)部襲擊等方面收效甚微,對于企業(yè)內(nèi)部心懷不滿而又技術高超的員工來說,防火墻形同虛設。而且,由于功能有限,防火墻通常不能提供有效的入侵檢測。

　　因此,要構(gòu)建一個合格的網(wǎng)絡安全保護體系,光靠防火墻是遠遠不夠的,還需要有能夠?qū)W(wǎng)絡進行實時監(jiān)控、實時報警,并且能夠有效識別攻擊手段的網(wǎng)絡安全工具。

　　入侵檢測系統(tǒng)(IDS,Intrusion Detection System)應運而生。

　　2、基于人工免疫的入侵檢測技術手段

　　2.1入侵檢測技術的系統(tǒng)機制

　　所謂入侵檢測,就是指檢測對計算機或網(wǎng)絡進行非授權使用或入侵的過程。入侵檢測技術主要是研究使用什么樣的方法來檢測入侵行為。

　　入侵檢測是近年來網(wǎng)絡安全研究的熱點,隨著計算機和網(wǎng)絡技術的不斷發(fā)展,系統(tǒng)遭受的入侵和攻擊也越來越多。網(wǎng)絡與信息安全問題顯得越來越突出,研究入侵檢測及防御技術很有必要。

　　入侵檢測系統(tǒng)可通過對計算機網(wǎng)絡或計算機系統(tǒng)中若干關鍵點的信息收集并對其進行分析,發(fā)現(xiàn)網(wǎng)絡或系統(tǒng)中違反安全策略的行為和攻擊跡象,產(chǎn)生報警,從而有效防護網(wǎng)絡的安全。

　　入侵檢測系統(tǒng)作為防火墻之后的有益補充,有著不可替代的作用,在網(wǎng)絡安全防護中的地位也越來越突出。作為一個全新的、快速發(fā)展的領域,有關入侵檢測技術的研究已經(jīng)成為網(wǎng)絡安全中極為重要的一個課題,已經(jīng)引起了國內(nèi)外許多專家學者的廣泛重視,對入侵檢測技術的研究具有十分重要的意義。[1]

　　2.2 生物免疫系統(tǒng)原理

　　生物免疫系統(tǒng)將所有的細胞分為兩類:自身的細胞(Self細胞)和非自身的細胞(Non-Self細胞)。Self細胞指自身健康,沒有被感染、破壞的細胞;Non-Self 細胞是指病毒、細菌、寄生蟲等有害物質(zhì)和自身被感染、破壞的細胞

　　免疫系統(tǒng)只對Non-Self細胞具有免疫作用。當一個外部抗原(Non-self細胞)襲擊身體時,抗原體細胞把外部分子分解到抗原決定基層次,產(chǎn)生與抗原決定基結(jié)合的抗體。一旦抗原決定基發(fā)現(xiàn)匹配,一個特定信號就會發(fā)給免疫細胞,產(chǎn)生更多的抗體,淹沒抗原威脅或感染。只有那些能夠識別抗原的細胞才進行擴增,才會被免疫系統(tǒng)保留下來。

　　2.3人工免疫系統(tǒng)

　　人工免疫系統(tǒng)是研究、借鑒和利用生物免疫系統(tǒng)(這里主要是指人類的免疫系統(tǒng))各種原理和機制而發(fā)展的各類信息處理技術、計算技術及其在工程和科學中的應用而產(chǎn)生的各種智能系統(tǒng)的統(tǒng)稱

　　2.4入侵檢測系統(tǒng)與免疫系統(tǒng)的相似性

　　從生物的免疫系統(tǒng)特點出發(fā)可以發(fā)現(xiàn),入侵檢測系統(tǒng)與免疫系統(tǒng)具有本質(zhì)的相似性:

　　免疫系統(tǒng)負責識別生物體“自身”(Self)和“非自身”(Non-self)的細胞,清除異常細胞。入侵檢測系統(tǒng)則辨別正常和異常行為模式。生物免疫系統(tǒng)對抗原的初次應答類似于入侵檢測系統(tǒng)異常檢測,可檢測出未知的抗原。生物免疫系統(tǒng)第二次應答即利用對抗原的“記憶”引發(fā)的再次應答與誤用檢測相類似。

　　利用生物免疫系統(tǒng)的這些特性,應用到入侵檢測領域,能有效的阻止和預防對計算機系統(tǒng)和網(wǎng)絡的入侵行為,可增強信息的安全性。[4]

　　3、基于人工免疫的入侵檢測

　　3.1 概念提出

　　根據(jù)上面的敘述我們發(fā)現(xiàn):

　　入侵檢測系統(tǒng)的作用在于檢測并阻止系統(tǒng)內(nèi)外部非法用戶的攻擊,免疫系統(tǒng)的作用在于保護生物體免受外部病原體(如病毒,細菌等)的攻擊。二者的行為本質(zhì)上可以歸結(jié)為對危險“非我”的識別和清除,這種相似性為借鑒免疫機制研究入侵檢測提供了一種新的思路。

　　從信息處理的角度來看,免疫系統(tǒng)是一個自適應、自學習、自組織、并行處理和分布協(xié)調(diào)的復雜系統(tǒng)。目前,國際上不少研究人員已經(jīng)認識到生物免疫系統(tǒng)中蘊涵了豐富且有效的信息處理機制,并針對計算機網(wǎng)絡抗入侵、反病毒等安全問題,建立了相應的人工免疫模型和系統(tǒng),取得了一定的進展,具有十分廣闊的應用前景。

　　同時,在當前網(wǎng)絡安全面臨諸多困難的時期,借鑒生物免疫系統(tǒng)來設計網(wǎng)絡安全新機制也變得更加緊迫,具有十分重要的意義。

　　3.2 基于人工免疫入侵檢測的分類

　　基于人工免疫的入侵檢測技術主要分為基于人工免疫的異常檢測技術和基于人工免疫的誤用檢測技術兩種,檢測系統(tǒng)主要分為基于主機的人工免疫入侵檢測系統(tǒng)和基于網(wǎng)絡的人工免疫入侵檢測系統(tǒng)兩種。每一種技術都可應用于任意一種檢測系統(tǒng),每一種檢測系統(tǒng)也可以使用任意一種檢測技術。

　　4、現(xiàn)有的成熟技術及模型

　　基于人工免疫的入侵檢測技術雖然都是應用人工免疫與入侵檢測相結(jié)合的方法,但是該技術并不是固定不變的,不同的研究人員根據(jù)自己的研究提出了不同的入侵檢測模型。

　　4.1 基于人工免疫入侵檢測和防火墻的網(wǎng)絡安全主動防御技術

　　本節(jié)將人工免疫入侵檢測系統(tǒng)和防火墻結(jié)合起來提出一種動態(tài)網(wǎng)絡安全主動防御技術, 能夠全方位對計算機網(wǎng)絡進行安全防護。

　　防火墻

　　本節(jié)提到的防火墻是一種新型防火墻, 它除了一般防火墻的網(wǎng)段隔離、基于IP 和端口的阻斷、NAT 等功能外, 還增加了內(nèi)容過濾、動態(tài)配置、安全防護等功能等。

　　入侵檢測

　　入侵監(jiān)測系統(tǒng)能夠通過向管理員發(fā)出入侵或者入侵企圖來加強當前的存取控制系統(tǒng),例如防火墻;識別防火墻通常不能識別的攻擊,如來自企業(yè)內(nèi)部的攻擊;在發(fā)現(xiàn)入侵企圖之后提供必要的信息,幫助系統(tǒng)的移植。

　　4.1.1基于人工免疫原理建立的入侵檢測模型

　　入侵檢測是通過對系統(tǒng)或者是網(wǎng)絡的運行狀態(tài)進行檢測,發(fā)現(xiàn)各種攻擊企圖、攻擊行為或攻擊結(jié)果,以保證系統(tǒng)資源的機密性、完整性和可用性。借鑒生物免疫系統(tǒng)在抵抗外界有害抗原的入侵上有效、獨特的工作機制,能夠很好的解決現(xiàn)有入侵檢測系統(tǒng)的高誤報率和缺乏自適應性。本節(jié)將人工免疫入侵檢測系統(tǒng)分為基于主機和網(wǎng)絡兩類,檢測的對象是運行在主機上的各種操作行為和通過網(wǎng)絡傳輸?shù)臄?shù)據(jù)包。

　　1、基于主機的人工免疫入侵檢測模型

　　在免疫計算機的生物學模擬中,將計算機中感興趣的程序(如Ftp,Telnet,Send mail 等等)的活動進程視為分子,將多個進程運行的計算機視為多細胞有機體,將計算機網(wǎng)絡視為有機體組織。入侵識別主要根據(jù)網(wǎng)絡操作系統(tǒng)中由授權程序執(zhí)行的系統(tǒng)調(diào)用短序列,類似于肽鏈。在系統(tǒng)中, 建立一個類似于淋巴細胞的進程,該進程直接和內(nèi)核通信,檢控其他進程及時發(fā)現(xiàn)程序執(zhí)行的異常。與免疫系統(tǒng)的判別機制相同,當該“淋巴細胞”進程發(fā)現(xiàn)某個進程運行異常時,就認為該進程被破壞或正在受到攻擊。免疫計算機實時檢控和處理主機的審計數(shù)據(jù),提取感興趣的行為數(shù)據(jù),建立行為特征模式,并與已知的正常行為模式匹配,一旦發(fā)現(xiàn)異常便報警?；谥鳈C的人工免疫入侵檢測模型如圖1 所示

　　該模型主要由入侵分析、入侵判斷和入侵響應三個部分構(gòu)成。從操作系統(tǒng)提取的審計數(shù)據(jù)經(jīng)數(shù)據(jù)過濾及分析處理,轉(zhuǎn)換為統(tǒng)一的數(shù)據(jù)模式以便執(zhí)行入侵分析。行為特征數(shù)據(jù)庫是入侵判斷的主要依據(jù),通過入侵判斷(與行為特征數(shù)據(jù)庫的匹配),將判斷結(jié)果通過用戶界面通知系統(tǒng)管理員或交由系統(tǒng)自行處理。

　　2、基于網(wǎng)絡的人工免疫入侵檢測模型

　　基于網(wǎng)絡的入侵檢測主要負責對網(wǎng)絡上傳輸?shù)臄?shù)據(jù)實施檢控,包括網(wǎng)絡數(shù)據(jù)包的識別和檢測、地址的過濾等。利用生物免疫系統(tǒng)的基本功能進行“自身”和“非自身”的識別。在基于網(wǎng)絡的入侵檢測模型中,把與所需要的計算機相連的網(wǎng)絡間正常的TCP/IP連接集合和該主機系統(tǒng)內(nèi)合法的操作行為定義為“自我”,采用可以描述TCP/IP 連接特征的信息,例如:源IP 地址、目的IP 地址、服務端口、協(xié)議類型、包的數(shù)量、字節(jié)數(shù)、特定錯誤和在短時間的網(wǎng)絡的特定服務和描述系統(tǒng)合法操作的集合來表示。把異常的T C P / I P 連接集合和非法的系統(tǒng)操作集合定義為“非自身”。基于網(wǎng)絡的入侵檢測模型的設計采用了模塊化結(jié)構(gòu),

　　分為數(shù)據(jù)收集模塊(Sensor)、檢測分析模塊(Detector)和響應模塊(Response),如圖2 所示。

　　數(shù)據(jù)收集由Perl腳本啟動Tcpdump實用程序完成網(wǎng)絡數(shù)據(jù)包的捕獲,Tcpdump 實用程序?qū)⒕W(wǎng)絡接口設置為混雜模式,把LAN 上所有的數(shù)據(jù)都保留一份拷貝,按照Tcpdump文件格式保存為本地文件。然后Sensor 根據(jù)Tcpdump 文件格式提取特征數(shù)據(jù)發(fā)往檢測分析模塊,并采用負選擇算法來判斷這些特征值是否異常。如果Detector 判斷某個特征值為異常,就會向系統(tǒng)管理員報告,并試圖得到系統(tǒng)管理員的確認,得到確認的Detector 認為局域網(wǎng)確實出現(xiàn)了異常,就會給用戶設定的地址發(fā)送E-mail 進行警告。Detector 以Web頁面的形式向系統(tǒng)管理員提供異常報告,系統(tǒng)管理員通過其中的超鏈接進行確認,Detector 端運行的CGI 腳本接受系統(tǒng)管理員的反饋信息。

　　4.1.2主動防御系統(tǒng)模型

　　下面提出的是一種主動的、智能的防護系統(tǒng),能預先對入侵行為和攻擊性網(wǎng)絡流量進行攔截,當它檢測到攻擊企圖后,它會自動地將攻擊包丟掉或采取措施將攻擊源阻斷,避免其造成任損失。如圖3示:

　　防火墻阻斷具有攻擊性的黑客入侵,特別是能阻斷拒絕服務等惡性攻擊,檢控主機的安全狀態(tài)、數(shù)據(jù)和配置文件的完整性、防火墻管理員用戶的審計跟蹤、檢控分析系統(tǒng)的活動,一方面它擔負了系統(tǒng)受到攻擊后的重要配置的自動恢復的任務,同時它擔負了防火墻和入侵檢測系統(tǒng)之間的相互鎖定的防護任務,防火墻和入侵檢測系統(tǒng)之間采用了加密的IP 隧道,該通道可以加密、加標簽、認證防火墻和入侵檢測系統(tǒng)之間的通信,這樣,防止了內(nèi)部網(wǎng)絡的入侵行為:防止黑客假冒入侵檢測系統(tǒng)對防火墻進行動作。[3]

　　4.2 目前基于人工免疫的入侵檢測中的關鍵技術

　　借鑒生物免疫系統(tǒng)的原理和機制, 可以設計出全新的入侵檢測系統(tǒng)。該入侵檢測系統(tǒng)的構(gòu)成包括自我集合的定義, 通過否定選擇算法產(chǎn)生有效的檢測元集合以及用產(chǎn)生的檢測元集合進行入侵檢測。

　　4.2.1 定義自我與非我( Self and Non-self) 集合

　　生物免疫系統(tǒng)將所有細胞分成兩類: 自身細胞( Self) 和非自身細胞(Non-self) 。Self細胞是指自身健康、沒有被病毒感染、破壞的細胞。Non-Self細胞則是指病毒、細菌等有害物質(zhì)和自身被感染、破壞的細胞。同樣, 對于入侵檢測系統(tǒng)而言, 自我集合可以是指計算機系統(tǒng)受保護的內(nèi)容, 如系統(tǒng)數(shù)據(jù)、程序文件等,還可以指系統(tǒng)可以接受的操作模式、進程調(diào)用序列和正常的網(wǎng)絡連接模式等等, 根據(jù)入侵檢測的不同需要, 可以定義不同的自我集合。

　　根據(jù)自我和非自我的定義, 將計算機所有可能出現(xiàn)的操作模式定義為空間U, 正常的、合法的、可接受的操作模式記為自我集合S, 其他記為非我集合N, 并且約定: ①U是完備的和有限元的; ②S∪N=U且S∩N=⊙。

　　4.2.2 有效檢測器集合的產(chǎn)生

　　1、 檢測器的結(jié)構(gòu)

　　在入侵檢測系統(tǒng)中, 檢測器對應于生物免疫系統(tǒng)中的免疫細胞, 它是通過一個長度為L的二進制字符串來表示。規(guī)定每個檢測器由4個部分組成, 分別是檢測字符串、生成時間、激活域以及匹配域。其中, 生成時間用于記錄檢測器的產(chǎn)生時間, 激活域標識檢測器是否被激活; 匹配域記錄該檢測器檢測到異常的數(shù)量及時間, 如表1所示:

　　2、 檢測器的生成

　　檢測器的生成主要是通過否定選擇算法完成的。該過程為: 在定義了入侵檢測系統(tǒng)的自我集合( S) 之后, 對候選檢器集合中的每一元素與自我集合中的全部元素逐一進行對比, 那些不發(fā)生匹配的侯選檢測元素將進入有效檢測器集合(R) , 而發(fā)生了匹配的候選檢測將被丟棄, 即集合R中的元素不會與集合S中的元素發(fā)生匹配, 這一過程類似于生物免疫系統(tǒng)中的免疫細胞的自體耐受過程。該過程如圖4所示。

　　3、 檢測器的生命周期

　　未成熟檢測器是一個隨機產(chǎn)生的二進制串, 然后經(jīng)歷一個容忍期, 這個值是可調(diào)節(jié)的。若在容忍期里檢測器沒有因為匹配“自己”串而“死亡”( 即由新的隨機產(chǎn)生的檢測器代替) , 則變成了成熟檢測器, 處于無記憶狀態(tài)。該檢測器或者生存給定的隨機時間后, 就會由新的隨機產(chǎn)生的檢測器代替;或者檢測到“非己”成為記憶檢測器, 壽命就變成無限長。

　　4.2.3 匹配規(guī)則

　　目前在計算機免疫系統(tǒng)學的研究中有很多模式匹配的規(guī)則, 總的來說它們分為2類:基于距離測量( distance measure) 的Hamming規(guī)則和基于相似性函數(shù)( similarity function) 的連續(xù)r位匹配規(guī)則。采用連續(xù)r位的匹配規(guī)則, 根據(jù)連續(xù)匹配的位數(shù)來確定兩個字符串是否匹配。當連續(xù)匹配的位數(shù)大于等于r值時, 兩串匹配, 否則不匹配, 值的大小根據(jù)實際情況來定。

　　4.2.4 入侵檢測系統(tǒng)異常

　　有效檢測器集合一旦產(chǎn)生, 即可用來檢視系統(tǒng)的運行狀態(tài)。通過采集系統(tǒng)當前所產(chǎn)生的檢測模式, 并將其與檢測器集合各元素逐個進行比較, 如果出現(xiàn)匹配, 則證明系統(tǒng)當前產(chǎn)生了不正常的模式, 即遭受到入侵。因為自己集合包括了所有正常的模式, 檢測器集合中的元素不與自己集合發(fā)生匹配, 而僅與非自我集合發(fā)生匹配。當入侵發(fā)生時, 必然出現(xiàn)不正常的非自己集合中的模式, 就會與檢測器集合發(fā)生匹配, 如圖5所示。[6]

　　4.3基于免疫的網(wǎng)絡入侵檢測技術算法

　　4.3.1系統(tǒng)原理

　　入侵檢測系統(tǒng)(Intrusion Detection System. IDS)作為系統(tǒng)防御的重要手段,它在計算機安全系統(tǒng)中的作用與免疫系統(tǒng)在生物體中的作用非常類似。入侵檢測系統(tǒng)的作用在于檢測并阻止系統(tǒng)內(nèi)外部非法用戶的攻擊,免疫系統(tǒng)的作用在于保護生物體免受外部病原體的攻擊。二者的行為本質(zhì)上可以歸結(jié)為對危險“非我”的識別和清除。

　　4.3.2 AIDS系統(tǒng)的相關定義

　　定義1 自體 :基于免疫的入侵檢測系統(tǒng)、自體可以定義為計算機之間的正常TCP/IP連接集合,可用表征TCP/IP連接特性的多元組(如源IP地址、目的IP地址、服務端口、協(xié)議類型)來表示。根據(jù)實驗需要,還可以對該多元組進行擴充。

　　定義2 異體 : 異體是計算機間的反常的TCP/IP連接集合。

　　定義3 Self Non-self 假設基于免疫入侵檢測系統(tǒng)作用在一個全集U上,U是一個由m個符號組成的字符串的集合,表示所有的用戶行為和事件,且U中所有元素均為長度為L的字符串,用S表示Self 集,N表示Non-self 集,則有S∪N=U,S∩N=⊙;令m=2,即集合U是由0-1二進制串組成,這樣所表示的任何串模式均可直接在計算機中存儲與處理。Self串和Non-self串由長度為L的二進制串表示,這樣字符串空間U中元素的個數(shù)為2L個。

　　4.3.3 系統(tǒng)的工作過程

　　系統(tǒng)首先通過一個隨機過程產(chǎn)生候選的未成熟的檢測器。這些未成熟的檢測器在釋放之前首先要經(jīng)過負選擇過程。如果有檢測器與定義的自我匹配則將之丟棄,否則作為成熟的檢測器加入成熟檢測器集,從事實際的檢測工作。在檢測過程中,檢測器利用適當?shù)淖址ヅ渌惴?如r位連續(xù)匹配算法)執(zhí)行檢測任務。如果一個成熟的檢測器在其生命期T的時間內(nèi)能夠匹配到足夠數(shù)量的抗原(啟動閾值),檢測器就會被啟動;反之,認為其無效而被刪除。當一個檢測器啟動后,該檢測器就進入克隆選擇階段,并且將這些成熟的檢測器添加到檢測器庫(類似基因庫)。借鑒生物免疫記憶細胞機制,引入記憶檢測器(Memory Detector)的概念,記憶檢測器與普通的檢測器相比較具有較小的啟動閾值和較長的生命周期,它們的存在可以加速對以前出現(xiàn)過的異常行為的檢測。

　　4.3.4 經(jīng)典算法

　　陰性選擇算法和克隆選擇算法是該模型采用的兩個重要的算法,下面對兩個算法給予說明。

　　4.3.4.1陰性選擇算法

　　1994年新墨西哥大學的Stephanie Forrest 領導的研究小組首先提出了免疫陰性選擇算法。算法的主要思想是產(chǎn)生大量的對自體耐受的檢測器,將非己(未授權用戶、病毒等)從自己(合法用戶、保護數(shù)據(jù)文件等)中區(qū)分開來。該算法分為兩大過程:生成檢測器過程和檢視過程。該算法流程如下:

　　步驟1:定義一組長度為L的字符串集合S表示正常的TCP/IP集合來代表自我,用于檢測。

　　步驟2:產(chǎn)生檢測器集合R,依據(jù)否定選擇原理,對每個檢測器進行審查。審查采用部分匹配規(guī)則,即兩個字符串匹配當且僅當至少r個連續(xù)位相同,其中r為參數(shù)。

　　步驟3:通過連續(xù)地將R中的檢測器與S來比較來檢測S的改變。如果檢測器發(fā)生匹配,則有改變發(fā)生。

　　陰性算法的優(yōu)點是簡便、易于實現(xiàn)。主要問題是計算復雜度呈指數(shù)級增長,難以處理復雜問題。該算法并沒有直接利用自我信息,而是由自我集合通過負選擇生成檢測子集,具備了并行性,健壯性和分布式檢測等特點。

　　4.3.4.2克隆選擇算法

　　基于克隆選擇原理,該模型采用DeCastro提出的一種克隆選擇算法,核心是比例復制和比例變異算子。算法流程如下:

　　步驟1:產(chǎn)生候選方案的集合S(P),基于親和度度量確定群體P中的rl個最佳個體Pn;

　　步驟2:對群體中的這N個最佳個體進行克隆(復制)、生成臨時克隆群體C、對克隆生成的群體施加變異操作,變異概率反比于抗體的親和度,從而生成一個成熟的抗體群體(C*);

　　步驟3:從C*中重新選擇改進個體組成記憶集合、P集合的一些成員可以由C的其他改進成員加以替換、將群體中的d個低親和度的抗體以替換,從而維持抗體的多樣性。

　　克隆算法成功應用到了二進制字符識別、多峰函數(shù)優(yōu)化和組合優(yōu)化中,取得了良好效果。對比遺傳算法,克隆選擇算法在編碼機制和評價函數(shù)的構(gòu)造上基本一致,但搜索的策略和步驟有所不同;而且通過免疫記憶機制,該算法可以保存各個局部最優(yōu)解,這對于多峰函數(shù)優(yōu)化十分重要。[8]

　　4.4基于人工免疫的入侵檢測系統(tǒng)模型

　　4.4.1 一個人工免疫的入侵檢測系統(tǒng)模型框架

　　此模型框架主要分為三個模塊,即:未成熟免疫細胞模塊、成熟免疫細胞模塊和記憶免疫細胞模塊。三個模塊對應未成熟免疫細胞、成熟免疫細胞和記憶免疫細胞三個免疫細胞結(jié)合,并且在每個模塊中分別實現(xiàn)相應的免疫功能。系統(tǒng)根據(jù)所要處理的信息的不同,可分為兩個工作流向:一個是免疫細胞處理流向,另一個是抗原的處理流向。

　　該模型整體上分為3 個階段:

　　1) 耐受階段:從開始到耐受期結(jié)束時刻T。首先初始化自體集合以及未成熟免疫細胞集合,在時間T 內(nèi),如果未成熟免疫細胞與自體集合中任何一個自體發(fā)生匹配,則將被刪除并重新產(chǎn)生一個新的未成熟免疫細胞,并再次進入上述過程。如果未成熟免疫細胞在耐受周期內(nèi)耐受成功,就變?yōu)槌墒烀庖呒毎?/p>

　　2) 學習階段:從T+1 時刻開始,成熟的免疫細胞通過克隆選擇,生成能識別大量不同非自體抗原的記憶細胞,添加到記憶免疫細胞集合中。那些通過記憶免疫細胞模塊和成熟免疫細胞模塊檢測被分類為自體的抗原最后被送到未成熟免疫細胞集合再進行耐受。成熟免疫細胞與未知的抗原進行匹配,如果在成熟免疫細胞生命周期內(nèi),它的累積匹配次數(shù)超過了激活闔值,就會激活,最后這個成熟免疫細胞也就變成了一個記憶免疫細胞。

　　3) 檢測階段:抗原由系統(tǒng)進行獲取,然后按照免疫細胞和抗原的工作流程不斷循環(huán)運行,系統(tǒng)動態(tài)運行檢視當時網(wǎng)絡狀況,直到系統(tǒng)結(jié)束運行。

　　未成熟免疫細胞模塊、成熟免疫細胞模塊和記憶免疫細胞模塊具有動態(tài)性,保持自動更新,使系統(tǒng)具有良好的自適應性和自學習能力。

　　1、記憶免疫細胞模塊

　　該模塊主要是對輸入的抗原進行檢測,以達到二次應答的目的, 并將無法檢測的抗原提交給成熟免疫細胞模塊。該模型中認為記憶免疫細胞具有無限長的生命周期,除非它檢測出自體細胞被刪除或系統(tǒng)結(jié)束運行。因此,記憶免疫細胞模塊需要實現(xiàn)以下幾個工作步驟:

　　1) 抗原與記憶免疫細胞模塊中的抗體進行匹配。如果匹配成功,則進行第2 步,否則,將抗原提交給成熟免疫細胞模塊處理。

　　2) 判斷該抗原是否屬于當前自體集合。如果屬于當前自體集合,則進行第3 步;否則,認為該抗原是入侵抗原,將其刪除。

　　3) 由系統(tǒng)管理員給出協(xié)同刺激信號。如果系統(tǒng)管理員認為該抗原是自體,則刪除與該抗原匹配的記憶免疫細胞模塊中的記憶免疫細胞, 并將該抗原放入當前自體集合中;否則,刪除該抗原和當前自體集合中對應的自體。

　　2、成熟免疫細胞模塊

　　該模塊檢測記憶免疫細胞模塊無應答的抗原,對成功檢測出的抗原執(zhí)行免疫應答,同時將無法檢測的抗原提交給未成熟免疫細胞模塊處理。因此,成熟免疫細胞模塊需要實現(xiàn)以下幾個工作步驟:

　　1) 抗原與成熟免疫細胞模塊中的抗體進行匹配。如果匹配成功,則進行第2 步;否則,將抗原提交給未成熟免疫細胞模塊處理。

　　2) 判斷該抗原是否屬于當前自體集合。如果屬于當前自體集合,則進行第3 步;否則,認為該抗原是入侵抗原,將其刪除,同時對應的成熟的免疫細胞中的計數(shù)器加1。

　　3) 由系統(tǒng)管理員給出協(xié)同刺激信號。如果系統(tǒng)管理員認為該抗原是自體,則刪除與該抗原匹配的成熟免疫細胞模塊中的成熟免疫細胞, 并將該抗原放入當前自體集合中;否則,刪除該抗原和當前自體集合中對應的自體,同時對應的成熟的免疫細胞中的計數(shù)器加1。

　　4) 判斷成熟免疫細胞的生存周期。如果超過系統(tǒng)設定的生存周期,則刪除該免疫細胞;否則進行第5 步。

　　5) 判斷成熟免疫細胞是否被激活。如果計數(shù)器的值達到系統(tǒng)預先設置的閥值,則將成熟免疫細胞提交給記憶免疫細胞,并從成熟免疫細胞模塊中刪除該成熟免疫細胞。

　　3、未成熟免疫細胞模塊

　　該模塊主要是對經(jīng)由記憶免疫細胞模塊和成熟免疫細胞模塊檢測后剩下的抗原進行自體耐受,這時我們認為這些抗原已通過檢測,是自體抗原。在這里我們主要利用否定選擇算法,所以在耐受周期內(nèi),如果對自體不耐受,則刪除對應的未成熟免疫細胞;否則當年齡超過耐受周期,則把未成熟免疫細胞放入成熟免疫細胞集合中,并從未成熟免疫細胞集合中刪除它。如下圖3所示:

　　圖8 未成熟免疫細胞模塊工作原理

　　4.4.2 該模型的特點

　　1) 動態(tài)性

　　由于自體定義并不一定在初始時刻就比較完備, 而是在系統(tǒng)實際運行中通過學習和自體耐受不斷地修改添加, 逐步完善;另外,引入?yún)f(xié)同刺激機制后,記J 區(qū)免疫細胞和成熟免疫細胞也會根據(jù)條件不斷地變化,使得系統(tǒng)具有很好的動態(tài)性。這符合真實的網(wǎng)絡環(huán)境:在通信網(wǎng)絡中,大多數(shù)的行為具有不定性,在特定的環(huán)境中可能是正常的,當環(huán)境發(fā)生變化時就可能成為一種入侵行為。

　　2) 自適應性

　　傳統(tǒng)的入侵檢測方法都是從定義入侵模式開始,而后把采樣的模式與這些入侵模式進行匹配來進行檢測,從而使系統(tǒng)失去了自適應性,無法檢測出己知攻擊的變種和未知攻擊。同時,計算機系統(tǒng)是動態(tài)變化的,并且正常的網(wǎng)絡連接或系統(tǒng)通信與異常的網(wǎng)絡連接或系統(tǒng)通信在一定的情況下可以相互轉(zhuǎn)化,所以在動態(tài)變化的系統(tǒng)中很難采用靜態(tài)的方法來接決問題。該模型中保持了記憶、成熟和未成熟細胞的動態(tài)變化,所以即使某個時候系統(tǒng)中發(fā)生了錯誤,模型也能通過內(nèi)部進化和外部的人為協(xié)同刺激等機制有效的解決問題。

　　3) 多樣性

　　由于該模型使用二進制字符串來描述問題以及采用r 連續(xù)位規(guī)則作為匹配規(guī)則, 使得模型中的各個檢測模塊中的檢測器與抗原相匹配時,只需要r 連續(xù)位匹配就匹配成功,而不需要完全匹配,表現(xiàn)出一個檢測器能檢測出多個抗原的特性,這與受體多樣性的特點相類似。

　　4) 準確性

　　該模型引入了外部協(xié)同刺激機制,外部協(xié)同刺激類似于生物免疫系統(tǒng)中的協(xié)同刺激信號,這種機制有效的實現(xiàn)了系統(tǒng)與管理人員之間的互動通信,從而大大降低了入侵檢測的誤檢率。[7]

　　5、對這些研究及模型進行分析

　　5.1基于人工免疫入侵檢測和防火墻的網(wǎng)絡安全主動防御技術的分析

　　基于人工免疫的入侵檢測系統(tǒng)結(jié)合了基于主機和基于網(wǎng)絡的入侵檢測技術?；谥鳈C的入侵檢測系統(tǒng)分布在服務器、數(shù)據(jù)庫、存儲了重要信息的主機等里面,它們之間相互獨立但相互保持聯(lián)系,不因為一個失效而影響整個系統(tǒng)的功能。基于網(wǎng)絡的入侵檢測系統(tǒng)提供了動態(tài)、實時、透明的網(wǎng)絡IDS,能記錄日志,同時可中斷內(nèi)部不滿者和外部黑客的非授權使用、誤用和濫用?？梢员苊鈨?nèi)部、遠程、乃至授權用戶所進行的網(wǎng)絡探測、系統(tǒng)誤用及其他惡意行為。結(jié)合基于主機的IDS 與基于網(wǎng)絡的IDS 并行可以做到優(yōu)勢互補:網(wǎng)絡部分提供早期警告,而基于主機的部分可提供攻擊成功與否的情況分析與確認。

　　基于人工免疫的網(wǎng)絡安全研究是一個新興的研究領域,本節(jié)將人工免疫入侵檢測系統(tǒng)和防火墻結(jié)合起來提出的一種動態(tài)網(wǎng)絡安全主動防御技術,克服了單獨使用防火墻技術無法滿足的不斷更新的黑客技術,有效地對黑客可能的入侵行為進行實時檢控,能夠全方位對計算機網(wǎng)絡進行安全防護。

　　5.2 目前基于人工免疫的入侵檢測中的關鍵技術的分析

　　生物免疫系統(tǒng)是一個十分復雜的動態(tài)保護系統(tǒng), 在入侵檢測系統(tǒng)中, 如何定義自我集合, 恰當?shù)乇碚饔嬎銠C系統(tǒng)的特性,使它可以有效地識別系統(tǒng)的自我和非我元素是設計入侵檢測系統(tǒng)的關鍵所在。合理、準確、有針對性地定義自我集合是下一步需要進行研究的重要內(nèi)容。

　　5.3基于免疫的網(wǎng)絡入侵檢測技術算法的分析

　　1)基于免疫原理的入侵檢測依賴于對“正常”的準確描述,而準確地描述“正常”并不是一件容易的事。它并沒有解決如何獲得有關“正常”的準確描述的問題,即系統(tǒng)或網(wǎng)絡的正常模型比較困難。

　　2)適用范圍,在大流量網(wǎng)絡環(huán)境下,對數(shù)據(jù)包的預處理將是非常必要的,將捕獲的網(wǎng)絡數(shù)據(jù)包過濾,利用數(shù)據(jù)挖掘等手段獲取有效數(shù)據(jù)。

　　3)自適應免疫應答、響應機制的研究:由于網(wǎng)絡的動態(tài)性,自體不斷變化,因此必須提高系統(tǒng)的自適應,自組織能力,使系統(tǒng)根據(jù)變化的網(wǎng)絡環(huán)境做出相應的調(diào)整,實時檢控網(wǎng)絡狀態(tài),對網(wǎng)路攻擊及時響應。

　　4)生成高效、多功能的檢測子:現(xiàn)有網(wǎng)絡入侵檢測中的檢測子僅僅基于單個網(wǎng)絡包檢測,且產(chǎn)生有效檢測子的效率不高。

　　5)系統(tǒng)的一些功能尚未完成,例如免疫反應功能,基因庫的演化等。

　　5.4 基于人工免疫的入侵檢測系統(tǒng)模型的分析

　　利用免疫系統(tǒng)的原理進行入侵檢測的研究是一個熱門方向,從生物免疫學的原理出發(fā),對基于免疫學的入侵檢測實現(xiàn)方法作了介紹,分析了人工免疫的入侵檢測系統(tǒng)模型框架的三個模塊。未成熟免疫細胞模塊、成熟免疫細胞模塊和記憶免疫細胞模塊具有動態(tài)性,保持自動更新,使系統(tǒng)具有良好的自適應性和自學習能力。該系統(tǒng)同時具有誤用檢測和異常檢測的優(yōu)點,具有很好的自我適用能力。該系統(tǒng)檢測器模塊的具體實現(xiàn)和在實際網(wǎng)絡環(huán)境中的應用是需要進一步研究的問題。

　　6、基于人工免疫的入侵檢測技術的發(fā)展前景

　　生物免疫系統(tǒng)和網(wǎng)絡安全,兩個看起來毫不相關的領域,相交叉卻產(chǎn)生了一個非常有意義的研究領域:基于人工免疫的網(wǎng)絡安全新機制研究。生物免疫系統(tǒng)所表現(xiàn)出來的很強的自我保護能力,特別是它能夠識別未知抗原的能力,使得基于人工免疫的網(wǎng)絡安全新機制研究倍加引人注目。[2]

　　基于人工免疫的網(wǎng)絡安全研究是一個新興的研究領域,雖然已經(jīng)有了一定的進展,但是還有大量的工作需要我們?nèi)プ?。新的病毒和入侵手段的不斷涌現(xiàn)也是網(wǎng)絡安全這一嚴重問題日益突出的主要原因。但是,目前還沒有很好地針對未知病毒和入侵的方法及產(chǎn)品。因此,基于生物免疫原理的網(wǎng)絡安全新機制的研究具有重要意義。[5]

　　與此同時,生物免疫系統(tǒng)對已知病毒的快速識別機制也是值得研究的一個方面。生物免疫系統(tǒng)能夠?qū)σ阎乖姆磻^程成為二次免疫應答。借鑒生物免疫系統(tǒng)的二次應答機制,建立相應的模型和算法,也可以進一步提高對已知病毒和入侵手段的識別能力。

　　與各種人工免疫模型和算法的不斷提出和深入相比,基于人工免疫的入侵檢測和反病毒系統(tǒng)則還很初步?，F(xiàn)有的系統(tǒng)大多還是實驗室環(huán)境下的原型系統(tǒng),具有較高的誤報率和漏報率,難于滿足大規(guī)模網(wǎng)絡下的入侵檢測和反病毒要求。鑒于免疫系統(tǒng)的學習機制是以進化為基礎,可以對此進行了一系列的研究,利用其進化學習機制來降低誤報率和漏報率。

　　基于人工免疫的檢測技術是一個十分復雜的動態(tài)保護系統(tǒng),在入侵檢測系統(tǒng)中,如何定義自我集合,恰當?shù)乇碚饔嬎銠C系統(tǒng)的特性,使它可以有效地識別系統(tǒng)的自我和非我元素是設計入侵檢測系統(tǒng)的關鍵所在。

　　總體來說,在不遠的將來,借鑒生物免疫機制,一定能夠提出一個行之有效的未知病毒和入侵手段識別模型和算法,雖然這中間還會有一段艱難而曲折的道路。

　　總結(jié)

　　通過這次對基于人工免疫的入侵檢測系統(tǒng)的分析與了解,使我進一步認識和加強了對基于人工免疫的入侵檢測技術方法的理解及其重要作用。我了解到,盡管,當前基于人工免疫的入侵檢測技術面臨種種困難,但是,生物免疫和入侵檢測技術相結(jié)合而成的基于人工免疫的入侵檢測技術作為一種主動地安全防護技術,提供了對內(nèi)部攻擊、外部攻擊和誤操作的實時保護,在網(wǎng)絡系統(tǒng)受到危害之前攔截和響應入侵。它能夠從網(wǎng)絡安全的立體縱深、多層次防御的角度出發(fā)提供安全服務,必將進一步受到人們的高度重視。隨著各種系統(tǒng)軟件、應用軟件的層出不窮,新的漏洞不斷被發(fā)現(xiàn),黑客的入侵的技術日益提高,對網(wǎng)絡安全的要求越來越高。本文基本包括了基于人工免疫的入侵檢測技術的原理、提出、模型和發(fā)展前景等,重點介紹了現(xiàn)有的研究技術和模型,并對其進行分析。但基人工免疫的入侵檢測技術還在逐步發(fā)展和完善,需要做的研究還很多。

　　主要參考文獻

　　[1]戴英俠,連一峰,王航.系統(tǒng)安全與入侵檢測[M].北京清華大學出版社.2002.

　　[2]朱郁森,趙明.基于人工免疫機制的入侵檢測技術[J].湖南城市學院學報(自然科學版).2004年第4期.

　　[3]蘇軍,胡征兵.基于人工免疫入侵檢測和防火墻的網(wǎng)絡安全主動防御技術 網(wǎng)路安全技術與應用[J].2006.1.

　　[4]葛紅.免疫算法綜述[J].華南師范大學學報.2002.8.

　　[5]陳立軍.計算機病毒免疫技術的新途徑[J].北京大學黨報.1998.

　　[6]朱艷萍,楊意飛.基于人工免疫的入侵檢測技術研究[J].軟件導刊(Software Guide).2008.4.

　　[7]鄒小花.基于人工免疫原理的入侵檢測模型研究[J].Computer Knowledge And Technology 電腦知識與技術.2008 年第4卷第1期.

　　[8] 張亞社,張清華等基于免疫的網(wǎng)絡入侵檢測技術研究[J].計算機安全學術技術報.2009.8.