劉歡笑

摘要：隨著現(xiàn)代科技的不斷發(fā)展，人類(lèi)已經(jīng)步入一個(gè)網(wǎng)絡(luò)化的時(shí)代，伴隨短時(shí)間內(nèi)計(jì)算機(jī)網(wǎng)絡(luò)的迅速擴(kuò)大，信息安全面臨著不斷增多的非法入侵等巨大考驗(yàn)。免疫機(jī)制的出現(xiàn)，改變了傳統(tǒng)的防火墻和權(quán)限管理對(duì)網(wǎng)絡(luò)信息安全的保護(hù)不足的問(wèn)題，是一種全新的網(wǎng)絡(luò)安全保障措施。該文針對(duì)免疫機(jī)制在計(jì)算機(jī)網(wǎng)絡(luò)入侵檢測(cè)中的應(yīng)用展開(kāi)討論，對(duì)免疫機(jī)制在目前計(jì)算機(jī)網(wǎng)絡(luò)中應(yīng)用的現(xiàn)狀進(jìn)行分析，并提出改進(jìn)意見(jiàn)。

關(guān)鍵詞：免疫機(jī)制；計(jì)算機(jī)網(wǎng)絡(luò)；網(wǎng)絡(luò)入侵；應(yīng)用研究

中圖分類(lèi)號(hào)：TP393 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1009-3044（2014）27-6293-03

Abstract： With the development of modern science and technology， mankind has entered a network era， with the rapid expansion of computer network in a short period of time， information security is faced with the increasing illegal intrusion huge test. The presence of immune mechanism， changes the problem of the lack of protection for network information security of traditional firewall and permissions management， is a kind of new measures to protect the security of network. This article in view of the immune system in the application of intrusion detection in computer networks is discussed， the analysis of the immune mechanism of current situation of the application of computer network at present， and put forward some suggestions for improvement.

Key words： immune mechanism； computer network； network intrusion； application research

自然免疫機(jī)制是存在人類(lèi)生活中的一種免疫系統(tǒng)，人類(lèi)生活環(huán)境中存在著大量對(duì)人類(lèi)有害的微生物。然而人類(lèi)也在進(jìn)化史上慢慢形成了抵御這些有害生物的健康機(jī)體，這就是自身免疫系統(tǒng)。計(jì)算機(jī)病毒具有長(zhǎng)久潛伏性和破壞性等特征，能悄無(wú)聲息地潛入計(jì)算機(jī)進(jìn)行信息的破壞行為。隨著計(jì)算機(jī)網(wǎng)絡(luò)的飛速發(fā)展，計(jì)算機(jī)安全一直是研究者們重點(diǎn)關(guān)注的環(huán)節(jié)，和人類(lèi)自然免疫系統(tǒng)相似，計(jì)算機(jī)網(wǎng)絡(luò)入侵檢測(cè)也是計(jì)算機(jī)安全的一個(gè)重要部分，主要作用就是檢測(cè)計(jì)算機(jī)網(wǎng)絡(luò)中的威脅，保障網(wǎng)絡(luò)系統(tǒng)的完整性、信息的安全性和有效性。當(dāng)入侵者入侵同時(shí)收集證據(jù)，為管理員恢復(fù)數(shù)據(jù)和處理事故提供依據(jù)。

1 免疫機(jī)制引入計(jì)算機(jī)網(wǎng)絡(luò)入侵檢測(cè)的必要性

入侵在計(jì)算機(jī)網(wǎng)絡(luò)中是指一種破壞計(jì)算機(jī)資源和計(jì)算機(jī)信息的保密性、完整性和有效性的違法行為，入侵的主要特征就是違反計(jì)算機(jī)安全策略，冒充其他用戶(hù)企圖進(jìn)入計(jì)算機(jī)系統(tǒng)，泄露、惡意使用或占有資源。而入侵檢測(cè)系統(tǒng)則是由計(jì)算機(jī)網(wǎng)絡(luò)的硬件和軟件組合而成的安全系統(tǒng)，它的作用就是對(duì)計(jì)算機(jī)系統(tǒng)進(jìn)行監(jiān)控，通過(guò)對(duì)系統(tǒng)中的網(wǎng)絡(luò)數(shù)據(jù)同審計(jì)數(shù)據(jù)進(jìn)行分析，判斷是否出現(xiàn)了異常行為，當(dāng)檢測(cè)系統(tǒng)發(fā)現(xiàn)異常時(shí)，發(fā)出報(bào)警提示并及時(shí)采取保護(hù)措施。計(jì)算機(jī)網(wǎng)絡(luò)中的免疫機(jī)制則是為彌補(bǔ)傳統(tǒng)技術(shù)的缺陷，對(duì)未知病毒的防御，并對(duì)系統(tǒng)環(huán)境做出相應(yīng)變化的機(jī)制。

另外，計(jì)算機(jī)免疫機(jī)制所含的學(xué)習(xí)和認(rèn)知能力、分布性、多樣性、適應(yīng)性和自組織性等特征，是受自然免疫系統(tǒng)的啟發(fā)產(chǎn)生的。計(jì)算機(jī)免疫機(jī)制不僅能為計(jì)算機(jī)網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)提供安全的防御體系，還能處理計(jì)算機(jī)病毒入侵計(jì)算機(jī)，保障計(jì)算機(jī)的安全運(yùn)行。如下圖圖解入侵檢測(cè)系統(tǒng)的結(jié)構(gòu)框架：

2 免疫機(jī)制在目前計(jì)算機(jī)網(wǎng)絡(luò)中的應(yīng)用現(xiàn)狀

目前，對(duì)免疫機(jī)制運(yùn)用在計(jì)算機(jī)網(wǎng)絡(luò)入侵檢測(cè)的研究主要集中于國(guó)防、軍事以及安全部門(mén)上。在國(guó)際上，主要有三小組致力于研究免疫機(jī)制入侵檢測(cè)系統(tǒng)的研究：1） 美國(guó)新墨西哥大學(xué)Forrest&Hofmeyr研究小組；2） 美國(guó)孟菲斯大學(xué)的Dasgupta小組；3） 英國(guó)倫敦大學(xué)的KIM&Bentley小組。

最早將免疫原理應(yīng)用到計(jì)算機(jī)安全和病毒檢測(cè)的是S.Forrest，她將計(jì)算機(jī)系統(tǒng)的安全防護(hù)問(wèn)題和免疫系統(tǒng)分為自體和非自體來(lái)比較，提出了一種算法——否定選擇算法。結(jié)果顯示，這種方法在發(fā)現(xiàn)對(duì)未知病毒感染方面相對(duì)傳統(tǒng)的計(jì)算機(jī)防護(hù)具有很高的安全性。但它的問(wèn)題就在于難以建立有效地檢測(cè)方法和正常行為模式，1999年，她和學(xué)生Hofmeyr再次提出一種包括多樣性、分布式計(jì)算、錯(cuò)誤耐受、動(dòng)態(tài)學(xué)習(xí)、適應(yīng)性和自我監(jiān)測(cè)等特征的人工免疫系統(tǒng)模型。

Dasgupta在1999年第一次提出建立免疫入侵檢測(cè)系統(tǒng)框架，這個(gè)系統(tǒng)模型具有分布型、流動(dòng)性、合作性和適應(yīng)性等特征。利用網(wǎng)絡(luò)級(jí)、系統(tǒng)級(jí)、用戶(hù)級(jí)和進(jìn)程級(jí)的Agent技術(shù)，通過(guò)相互協(xié)作建立的計(jì)算機(jī)的入侵檢測(cè)。為解決系統(tǒng)負(fù)載大的問(wèn)題，他們?cè)?001年又提出免疫遺傳模型。

Kim&Bentley小組提出的模型是通過(guò)否定選擇算法、克隆選擇算法和檢測(cè)抗體基因庫(kù)生成的3種免疫細(xì)胞來(lái)建立的。從工作原理來(lái)看，相比生物免疫系統(tǒng)的工作原理有很大的差異，計(jì)算機(jī)入侵只是小概率事件，而自然免疫系統(tǒng)是每時(shí)每刻都在防御病毒的攻擊。Kim&Bentley小組的模型適應(yīng)性和進(jìn)化過(guò)程都有不足的地方，因此后期，在2002年他們?cè)俅翁岢鰟?dòng)態(tài)克隆選擇算法，該算法是把免疫細(xì)胞生命周期和未成熟、成熟和記憶檢測(cè)三個(gè)檢測(cè)器互相協(xié)調(diào)，使系統(tǒng)更加適應(yīng)。Kim小組模型的具體結(jié)構(gòu)示意圖如下圖所示：

我國(guó)在計(jì)算機(jī)網(wǎng)絡(luò)入侵檢測(cè)的研究方面起步比較晚，主要研究成果包括：

1） 武漢大學(xué)在2002年利用免疫原理對(duì)網(wǎng)絡(luò)入侵檢測(cè)和預(yù)警技術(shù)進(jìn)行了深入研究，基于多代理技術(shù)的計(jì)算機(jī)免疫系統(tǒng)模型，通過(guò)提取規(guī)則建立位串識(shí)別器并與北交大合作提出計(jì)算機(jī)免疫系統(tǒng)檢測(cè)。2） 2003年，四川大學(xué)提供了基于免疫原理的大規(guī)模網(wǎng)絡(luò)入侵的取證，以及網(wǎng)絡(luò)安全風(fēng)險(xiǎn)檢測(cè)和控制技術(shù)等。同年中國(guó)科技學(xué)術(shù)大學(xué)創(chuàng)建了基于人工免疫的預(yù)警系統(tǒng)，該系統(tǒng)具有較好的預(yù)警能力。3） 2004年，深圳大學(xué)的入侵檢測(cè)系統(tǒng)項(xiàng)目也逐步完成。4） 北京理工大自動(dòng)控制系從控制論出發(fā)，提出計(jì)算機(jī)免疫系統(tǒng)和生物免疫系統(tǒng)的相似性，利用多代理的控制技術(shù)構(gòu)建可行性和實(shí)用性的仿生物免疫系統(tǒng)的計(jì)算機(jī)免疫機(jī)制。

3 免疫機(jī)制在當(dāng)前應(yīng)用于計(jì)算機(jī)網(wǎng)絡(luò)入侵檢測(cè)的不足

伴隨現(xiàn)代信息社會(huì)逐步網(wǎng)絡(luò)化，我們完全步入了一個(gè)網(wǎng)絡(luò)化的時(shí)代，因此，保障網(wǎng)絡(luò)的安全是當(dāng)前行業(yè)重要的目標(biāo)。雖然目前研究人員已經(jīng)研制和實(shí)施的防御手段多樣，但對(duì)于日漸增多和花樣繁多的病毒攻擊，這些措施也是遠(yuǎn)遠(yuǎn)不夠的。一般的防御系統(tǒng)只提供簡(jiǎn)單的防御和保護(hù)措施，大多數(shù)防御手段只是停留在被動(dòng)防護(hù)上，沒(méi)有主動(dòng)檢測(cè)攻擊和異常事件的功能。

3.1 病毒日益繁多

計(jì)算機(jī)技術(shù)的普及使得我們的生活越來(lái)越輕松快捷，不管是在生活上、交際上還是工作上都帶來(lái)了翻天覆地的變化?？萍嫉陌l(fā)展帶來(lái)的不僅是新事物的出現(xiàn)，日益繁多的病毒攻擊也在不斷更新，并且病毒自身的隱藏性和潛發(fā)性也給計(jì)算機(jī)防御工作帶來(lái)了很大的困難。網(wǎng)絡(luò)攻擊背后帶來(lái)的強(qiáng)大商業(yè)利益也是眾所周知的，因此，一些有組織、有規(guī)劃的團(tuán)隊(duì)利用病毒研究工作招攬人才。這些組織目的就是侵入用戶(hù)電腦，惡意篡改信息，盜取資源。當(dāng)前一般的免疫機(jī)制對(duì)于日漸繁多的病毒攻擊已力不從心，未來(lái)，免疫機(jī)制在計(jì)算機(jī)網(wǎng)絡(luò)入侵檢測(cè)中的發(fā)展還需要不斷加強(qiáng)，要達(dá)到在同一個(gè)系統(tǒng)下使用不同的辦法達(dá)到同樣的效果這樣的目標(biāo)。

3.2 完善計(jì)算機(jī)入侵檢測(cè)系統(tǒng)

要防范病毒的攻擊、及時(shí)發(fā)現(xiàn)攻擊對(duì)象，有效保護(hù)計(jì)算機(jī)，計(jì)算機(jī)入侵檢測(cè)系統(tǒng)的定期完善是不容忽視的環(huán)節(jié)。對(duì)計(jì)算機(jī)網(wǎng)絡(luò)入侵的防范研究時(shí)間并不是很長(zhǎng)，完善計(jì)算機(jī)系統(tǒng)的關(guān)鍵就是定期分析系統(tǒng)。雖然病毒類(lèi)型繁多，但深入來(lái)說(shuō)都是以往的病毒演變而來(lái)，監(jiān)測(cè)系統(tǒng)的作用就是針對(duì)以往的病毒數(shù)據(jù)和特征進(jìn)行收集、分析，根據(jù)所得的數(shù)據(jù)建立模式，還要同時(shí)保持該模式的長(zhǎng)久有效，對(duì)模式里的數(shù)據(jù)不斷更新。

3.3 免疫機(jī)制的滯后性

為了保障網(wǎng)絡(luò)安全，上面提到的模式匹配方法，只能在病毒還沒(méi)有嚴(yán)重變異以前對(duì)計(jì)算機(jī)防御提供信息幫助，當(dāng)入侵檢測(cè)到的病毒是特征庫(kù)里面沒(méi)有的數(shù)據(jù)是，系統(tǒng)將會(huì)允許病毒在計(jì)算機(jī)中運(yùn)行，從而帶來(lái)嚴(yán)重的后果。特征庫(kù)里的病毒數(shù)據(jù)沒(méi)有及時(shí)更新，那么檢測(cè)系統(tǒng)就不可能用最短的時(shí)間識(shí)別出最新入侵者，免疫機(jī)制的作用也就不能體現(xiàn)，只有不斷更新特征庫(kù)的數(shù)據(jù)，改善策略，才能進(jìn)一步提高免疫機(jī)制的防御能力。

4 免疫機(jī)制在入侵檢測(cè)中的發(fā)展和應(yīng)用

4.1 免疫機(jī)制的來(lái)源

免疫機(jī)制的靈感是來(lái)源于對(duì)生物免疫系統(tǒng)的研究，病毒的發(fā)現(xiàn)是通過(guò)生物免疫機(jī)制的辨別模式發(fā)現(xiàn)的。免疫系統(tǒng)具有的排外性，就計(jì)算機(jī)安全來(lái)說(shuō)是一樣的道理。在當(dāng)前種類(lèi)繁多的計(jì)算機(jī)軟件環(huán)境下，使得計(jì)算機(jī)用戶(hù)在不知情的情況下就會(huì)感染病毒，另外，使用盜版軟件也是感染病毒的重要途徑。病毒正是通過(guò)這些方式被帶到計(jì)算機(jī)中，從而達(dá)到目的。免疫機(jī)制的產(chǎn)生就是為了抵御病毒入侵。

4.2 免疫機(jī)制的最終目標(biāo)

計(jì)算機(jī)的興起并不久遠(yuǎn)，所以注重計(jì)算機(jī)網(wǎng)絡(luò)安全的時(shí)間就更加短暫了，所以，是不可能提出一勞永逸的安全防護(hù)體系。對(duì)計(jì)算機(jī)的安全防護(hù)只有通過(guò)不斷完善和更新自身數(shù)據(jù)，減少入侵者入侵的機(jī)會(huì)，降低計(jì)算機(jī)數(shù)據(jù)被篡改的機(jī)率。免疫機(jī)制追求的是計(jì)算機(jī)系統(tǒng)的安全，讓每一臺(tái)計(jì)算機(jī)都能避免病毒入侵。要實(shí)現(xiàn)這個(gè)目標(biāo)，必須建立以抗體為中心互相作用的網(wǎng)絡(luò)模型，利用網(wǎng)絡(luò)結(jié)構(gòu)生成、連接。

4.3 增強(qiáng)免疫機(jī)制的功能

根據(jù)相關(guān)資料顯示，目前的免疫機(jī)制在計(jì)算機(jī)網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)中存在著很高的誤報(bào)率，當(dāng)檢測(cè)系統(tǒng)在發(fā)現(xiàn)入侵者時(shí)，只能做出簡(jiǎn)單的報(bào)警提示，無(wú)法將受到的攻擊和計(jì)算機(jī)中的安全產(chǎn)品等軟件聯(lián)系起來(lái)。而且，目前免疫機(jī)制的功能有所局限，對(duì)此，我們還必須加強(qiáng)研究免疫機(jī)制功能，降低誤報(bào)率，開(kāi)發(fā)出既準(zhǔn)確又高效的入侵檢測(cè)系統(tǒng)，提高計(jì)算機(jī)的免疫能力。

4.4 免疫機(jī)制的研究發(fā)展

在生物免疫機(jī)制的基礎(chǔ)下，要尋找新型計(jì)算機(jī)網(wǎng)絡(luò)免疫機(jī)制就要依靠強(qiáng)大的人工免疫機(jī)制，從而提高入侵檢測(cè)和網(wǎng)絡(luò)安全。適當(dāng)融入現(xiàn)代智能技術(shù)，結(jié)合多種算法，采用多種方式，將人工免疫機(jī)制模型和其他智能技術(shù)結(jié)合，開(kāi)發(fā)出全新、高效的入侵檢測(cè)系統(tǒng)。例如，通過(guò)檢測(cè)自動(dòng)生成的基因碼判斷數(shù)據(jù)，當(dāng)數(shù)據(jù)相吻合時(shí)才能進(jìn)行數(shù)據(jù)操作行為，人為干預(yù)無(wú)效，這種方法的安全性能是非常高的。由此，未來(lái)基于基因計(jì)算機(jī)免疫系統(tǒng)的發(fā)展將會(huì)成為一種趨勢(shì)。

5 結(jié)束語(yǔ)

總之，免疫機(jī)制在計(jì)算機(jī)網(wǎng)絡(luò)入侵檢測(cè)中，完美的把計(jì)算機(jī)入侵檢測(cè)和免疫機(jī)制結(jié)合在一起，也在研究過(guò)程中建立起多種模型，提出多種方法，但其存在的誤報(bào)率等問(wèn)題仍然需要研究人員不斷改進(jìn)。為了將免疫機(jī)制更好地運(yùn)用在計(jì)算機(jī)網(wǎng)絡(luò)入侵檢測(cè)中，解決一些未知病毒對(duì)計(jì)算機(jī)進(jìn)行的攻擊入侵，真正實(shí)現(xiàn)保護(hù)計(jì)算機(jī)網(wǎng)絡(luò)安全的目標(biāo)，在免疫機(jī)制的研究道路上，還需要不斷的探索。

參考文獻(xiàn)：

[1] 李濤.計(jì)算機(jī)網(wǎng)絡(luò)入侵檢測(cè)中免疫機(jī)制的應(yīng)用分析[J].佳木斯教育學(xué)院學(xué)報(bào)，2012（12）：446.

[2] 潘大勝.數(shù)據(jù)挖掘技術(shù)在計(jì)算機(jī)網(wǎng)絡(luò)入侵檢測(cè)中的應(yīng)用[J].湖北科技學(xué)院學(xué)報(bào)，2012（12）：58-59.

[3] 周紅東.免疫機(jī)制在計(jì)算機(jī)網(wǎng)絡(luò)入侵檢測(cè)中的應(yīng)用分析[J].信息與電腦，2012（12）：19-20.

[4] 謝婧.基于免疫機(jī)制的入侵檢測(cè)系統(tǒng)研究與應(yīng)用[D].上海：上海海洋大學(xué)，2012.

[5] 楊志彬.試論計(jì)算機(jī)網(wǎng)絡(luò)入侵檢測(cè)中對(duì)免疫機(jī)制的有效應(yīng)用[J].電腦編程技巧與維護(hù)，2010，24：131-132.

[6] 張國(guó)富.基于免疫機(jī)制的網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)研究[D].廣州：廣東工業(yè)大學(xué)，2008.