吳翔 韓亮

摘要：在對人體免疫原理進(jìn)行分析的基礎(chǔ)上，從中抽取與入侵檢測相關(guān)的隱喻機(jī)制進(jìn)行深入研究。繼而構(gòu)建基于免疫機(jī)制的入侵檢測系統(tǒng)，并詳細(xì)闡釋了該系統(tǒng)自體和非自體的定義、免疫匹配規(guī)則的設(shè)置以及檢測器的生成和生命周期，最后通過仿真實(shí)驗(yàn)對模型進(jìn)行了驗(yàn)證。免疫入侵檢測系統(tǒng)的建立以及仿真實(shí)驗(yàn)的開展是深入研究的基石。

關(guān)鍵詞：入侵檢測；免疫原理；r連續(xù)位匹配；檢測集生成

中圖分類號：TP18文獻(xiàn)標(biāo)識碼：A文章編號：1009-3044(2012)26-6348-03

Network Intrusion Detection Based on Immune Theory

WU Xiang1, HAN Liang2

(1.Naval Headquarters, Beijing 100841, China; 2.The East China Sea Fleet of Navy, Ningbo 315122, China)

Abstract: After analysis of the immune algorithm characteristics, the metaphor mechanism which is associated with the intrusion detection is extracted and studied in-depth. And then on the basis of artificial immune system, intrusion Detection system based on immune mechanism is built and the definition of system self and system non-self, immune matching rules set, and also the generation and life cycle of the immune detector are explained. Finally, the model is validated by the simulation experiments. The establishment of the immune intrusion detection system and the simulation work is the cornerstone of this research.

Key words: intrusion detection; immune theory; r contiguous bits matching; detector set generation

人體的免疫系統(tǒng)功能是通過大量不同類型的細(xì)胞之間的相互作用實(shí)現(xiàn)的[1-2]。在這些不同類型的細(xì)胞主要作用是區(qū)分“自體”和“非自體”?！白泽w”是指人體自身的細(xì)胞，而“非自體”是指病原體、毒性有機(jī)物和內(nèi)源的突變細(xì)胞或衰老細(xì)胞。淋巴細(xì)胞能對“非自體”成分產(chǎn)生應(yīng)答，以消除它們對機(jī)體的危害；但對“自體”成分，則不產(chǎn)生應(yīng)答，以保持內(nèi)環(huán)境動態(tài)穩(wěn)定，維持機(jī)體健康。

可以看出入侵檢測系統(tǒng)和免疫系統(tǒng)具有一定程度的相似性。對于一個入侵檢測系統(tǒng)，特別是網(wǎng)絡(luò)入侵檢測系統(tǒng)，免疫系統(tǒng)的組成、結(jié)構(gòu)、特征、免疫機(jī)理、算法等都為入侵檢測系統(tǒng)設(shè)計有著重要的借鑒意義。它們要解決的問題都可以被描述為：識別“自體”和“非自體”，并消除“非自體”。

1自體和非自體的定義

計算機(jī)安全的免疫系統(tǒng)保護(hù)的是計算機(jī)系統(tǒng)的數(shù)據(jù)文件，所以將“自體”定義為計算機(jī)中合法的數(shù)據(jù)，這些數(shù)據(jù)包括合法用戶、授權(quán)活動、原始源代碼、未被欺詐的數(shù)據(jù)等；將“非自體”定義為其它一切非法數(shù)據(jù)，這些數(shù)據(jù)包括自身遭受非法篡改的數(shù)據(jù)、病毒感染的數(shù)據(jù)以及外來數(shù)據(jù)等。

2免疫匹配規(guī)則

在計算機(jī)中，所有的數(shù)據(jù)都是以二進(jìn)制來表示的，這就表明在進(jìn)行仿真的過程中，使用免疫匹配規(guī)則的對象都應(yīng)該是針對二進(jìn)制字符串的，因此需要采用二進(jìn)制的匹配算法。采用何種二進(jìn)制字符串的匹配算法，這是一個十分關(guān)鍵的問題，因?yàn)橹挥胁捎昧撕线m的匹配算法，才能有效的構(gòu)造免疫檢測器集[4]。目前有很多的近似匹配算法，如r連續(xù)位的匹配算法、海明距離匹配算法等。r連續(xù)位匹配規(guī)則能更好地反映抗體綁定的真實(shí)提取，即能更真實(shí)地反映檢測器字符串與被檢測字符串的匹配情況，所以它比海明匹配規(guī)則更常用，因此文章采用r連續(xù)位的匹配算法。

r連續(xù)位的匹配規(guī)則可以描述如下：對于任意的兩個字符串x，y，如果兩個字符串x，y在相應(yīng)位置上至少連續(xù)r位相同，那么這兩個字符串是r連續(xù)位匹配的，即Match(x,y)|r=true。例如，如果設(shè)定r=5，字符串x=“10111010”和字符串y=“11011010”，由于它們在相應(yīng)位置4-8位上都為“11010”，因此這兩個字符串是匹配的。

在訓(xùn)練階段，首先隨機(jī)生成候選檢測器集合，然后讓候選檢測器與自體集進(jìn)行匹配，這個過程也叫陰性選擇過程。在匹配的過程中，那些與與自體集相匹配的候選檢測器就被丟棄，而不與自體集匹配的候選檢測器則作為成熟檢測器，存儲于檢測器集合中。

[1] Oscar A,Fabio A G, Fernando N,et al.Search and Optimization：A Solution Concept for Artificial Immune Networks: A Coevo? lutionary Perspective [C].Proceedings of 6th international conference on Artificial Immune systems，Brazil，2007：26-29.

[2] Hofmeyr, S, Forrest, S. Immunity by Design: An Artificial Immune System[C]//Proceedings of the 1999 Genetic and Evolution? ary Computation Conference,1999:1289-1296.

[3]楊進(jìn),劉曉潔,李濤,等.人工免疫中匹配算法研究[J].四川大學(xué)學(xué)報:工程科學(xué)版，2008,40(3):126-131.

[4]馬莉.基于免疫原理的網(wǎng)絡(luò)入侵檢測器生成算法的研究[D].南京:南京理工大學(xué)碩士論文, 2006.

[5]卿斯?jié)h,蔣建春,馬恒太,等.入侵檢測技術(shù)研究綜述[J].通信學(xué)報,2004,25(7):19-29.

[6]焦李成,杜海峰,劉芳,等.免疫優(yōu)化計算、學(xué)習(xí)與識別[M].北京:科學(xué)出版社, 2006.

[7] Dasgupta D，Gonzalez F.An Immunity-Based Technique to Characterize Intrusions in, Computer Networks [J].Special Issue on Artificial Immune Systems of the Journal IEEE Transactions on Evolutionary Comput- ation.2002，6(3)：281-291.

[8] Cantu-Paz E. Feature subset selection, class separability, and genetic algorithms[C]//Proceedings of the Genetic and Evolution? ary Computation Conf, 2004:959-970.

[9] KDD cup 1999 data[EB/OL]. http://kdd.ics.uci.edu/databases/kddcup99/kddcup99.html.