吳翔 韓亮

摘要：在對人體免疫原理進行分析的基礎(chǔ)上，從中抽取與入侵檢測相關(guān)的隱喻機制進行深入研究。繼而構(gòu)建基于免疫機制的入侵檢測系統(tǒng)，并詳細闡釋了該系統(tǒng)自體和非自體的定義、免疫匹配規(guī)則的設(shè)置以及檢測器的生成和生命周期，最后通過仿真實驗對模型進行了驗證。免疫入侵檢測系統(tǒng)的建立以及仿真實驗的開展是深入研究的基石。

關(guān)鍵詞：入侵檢測；免疫原理；r連續(xù)位匹配；檢測集生成

中圖分類號：TP18文獻標識碼：A文章編號：1009-3044(2012)26-6348-03

Network Intrusion Detection Based on Immune Theory

WU Xiang1, HAN Liang2

(1.Naval Headquarters, Beijing 100841, China; 2.The East China Sea Fleet of Navy, Ningbo 315122, China)

Abstract: After analysis of the immune algorithm characteristics, the metaphor mechanism which is associated with the intrusion detection is extracted and studied in-depth. And then on the basis of artificial immune system, intrusion Detection system based on immune mechanism is built and the definition of system self and system non-self, immune matching rules set, and also the generation and life cycle of the immune detector are explained. Finally, the model is validated by the simulation experiments. The establishment of the immune intrusion detection system and the simulation work is the cornerstone of this research.

Key words: intrusion detection; immune theory; r contiguous bits matching; detector set generation

人體的免疫系統(tǒng)功能是通過大量不同類型的細胞之間的相互作用實現(xiàn)的[1-2]。在這些不同類型的細胞主要作用是區(qū)分“自體”和“非自體”?！白泽w”是指人體自身的細胞，而“非自體”是指病原體、毒性有機物和內(nèi)源的突變細胞或衰老細胞。淋巴細胞能對“非自體”成分產(chǎn)生應答，以消除它們對機體的危害；但對“自體”成分，則不產(chǎn)生應答，以保持內(nèi)環(huán)境動態(tài)穩(wěn)定，維持機體健康。

可以看出入侵檢測系統(tǒng)和免疫系統(tǒng)具有一定程度的相似性。對于一個入侵檢測系統(tǒng)，特別是網(wǎng)絡(luò)入侵檢測系統(tǒng)，免疫系統(tǒng)的組成、結(jié)構(gòu)、特征、免疫機理、算法等都為入侵檢測系統(tǒng)設(shè)計有著重要的借鑒意義。它們要解決的問題都可以被描述為：識別“自體”和“非自體”，并消除“非自體”。

1自體和非自體的定義

計算機安全的免疫系統(tǒng)保護的是計算機系統(tǒng)的數(shù)據(jù)文件，所以將“自體”定義為計算機中合法的數(shù)據(jù)，這些數(shù)據(jù)包括合法用戶、授權(quán)活動、原始源代碼、未被欺詐的數(shù)據(jù)等；將“非自體”定義為其它一切非法數(shù)據(jù)，這些數(shù)據(jù)包括自身遭受非法篡改的數(shù)據(jù)、病毒感染的數(shù)據(jù)以及外來數(shù)據(jù)等。

2免疫匹配規(guī)則

在計算機中，所有的數(shù)據(jù)都是以二進制來表示的，這就表明在進行仿真的過程中，使用免疫匹配規(guī)則的對象都應該是針對二進制字符串的，因此需要采用二進制的匹配算法。采用何種二進制字符串的匹配算法，這是一個十分關(guān)鍵的問題，因為只有采用了合適的匹配算法，才能有效的構(gòu)造免疫檢測器集[4]。目前有很多的近似匹配算法，如r連續(xù)位的匹配算法、海明距離匹配算法等。r連續(xù)位匹配規(guī)則能更好地反映抗體綁定的真實提取，即能更真實地反映檢測器字符串與被檢測字符串的匹配情況，所以它比海明匹配規(guī)則更常用，因此文章采用r連續(xù)位的匹配算法。

r連續(xù)位的匹配規(guī)則可以描述如下：對于任意的兩個字符串x，y，如果兩個字符串x，y在相應位置上至少連續(xù)r位相同，那么這兩個字符串是r連續(xù)位匹配的，即Match(x,y)|r=true。例如，如果設(shè)定r=5，字符串x=“10111010”和字符串y=“11011010”，由于它們在相應位置4-8位上都為“11010”，因此這兩個字符串是匹配的。

在訓練階段，首先隨機生成候選檢測器集合，然后讓候選檢測器與自體集進行匹配，這個過程也叫陰性選擇過程。在匹配的過程中，那些與與自體集相匹配的候選檢測器就被丟棄，而不與自體集匹配的候選檢測器則作為成熟檢測器，存儲于檢測器集合中。

[1] Oscar A,Fabio A G, Fernando N,et al.Search and Optimization：A Solution Concept for Artificial Immune Networks: A Coevo? lutionary Perspective [C].Proceedings of 6th international conference on Artificial Immune systems，Brazil，2007：26-29.

[2] Hofmeyr, S, Forrest, S. Immunity by Design: An Artificial Immune System[C]//Proceedings of the 1999 Genetic and Evolution? ary Computation Conference,1999:1289-1296.

[3]楊進,劉曉潔,李濤,等.人工免疫中匹配算法研究[J].四川大學學報:工程科學版，2008,40(3):126-131.

[4]馬莉.基于免疫原理的網(wǎng)絡(luò)入侵檢測器生成算法的研究[D].南京:南京理工大學碩士論文, 2006.

[5]卿斯?jié)h,蔣建春,馬恒太,等.入侵檢測技術(shù)研究綜述[J].通信學報,2004,25(7):19-29.

[6]焦李成,杜海峰,劉芳,等.免疫優(yōu)化計算、學習與識別[M].北京:科學出版社, 2006.

[7] Dasgupta D，Gonzalez F.An Immunity-Based Technique to Characterize Intrusions in, Computer Networks [J].Special Issue on Artificial Immune Systems of the Journal IEEE Transactions on Evolutionary Comput- ation.2002，6(3)：281-291.

[8] Cantu-Paz E. Feature subset selection, class separability, and genetic algorithms[C]//Proceedings of the Genetic and Evolution? ary Computation Conf, 2004:959-970.

[9] KDD cup 1999 data[EB/OL]. http://kdd.ics.uci.edu/databases/kddcup99/kddcup99.html.