◆郝云生

基于免疫原理的入侵檢測技術(shù)

◆郝云生

(中國酒泉衛(wèi)星發(fā)射中心 甘肅 732750)

本文詳細(xì)介紹了入侵檢測的相關(guān)概念、模型、分類和主要的分析技術(shù)，生物免疫原理及人工免疫系統(tǒng)模型以及基于免疫原理的入侵檢測關(guān)鍵技術(shù)。

入侵檢測；人工免疫系統(tǒng)；免疫原理

1 入侵檢測相關(guān)概念、模型、分類和分析技術(shù)

入侵是指任何企圖危害信息資源的完整性、保密性、可用性的行為集合。入侵檢測是指通過對行為、安全日志或?qū)徲?jì)數(shù)據(jù)或其他網(wǎng)絡(luò)上可以獲得的信息進(jìn)行操作，檢測到對系統(tǒng)的闖入或闖入的企圖。入侵檢測系統(tǒng)由入侵檢測的軟件和硬件組合而成，用來檢測來自合法用戶的針對計(jì)算機(jī)系統(tǒng)的越權(quán)使用或訪問和來自外部的非法訪問。

目前，有影響的入侵檢測系統(tǒng)模型有IDES模型、IDM模型以及CIDF模型。IDES模型稱為入侵檢測專家系統(tǒng)，于1984年—1986年由喬治敦大學(xué)的Dorothy Denning和SRI/CSL的Peter Neumann提出,該模型通過隨機(jī)變量和統(tǒng)計(jì)模型來定量描述主體對象的行為活動特征。IDM模型稱為層次化入侵檢測模型，它包括數(shù)據(jù)、事件、主體、上下文、威脅和安全狀態(tài)等6層。該模型通過將收集到的原始數(shù)據(jù)加工抽象并進(jìn)行數(shù)據(jù)關(guān)聯(lián)，將分布式系統(tǒng)看作一臺虛擬機(jī)器，從而簡化了入侵行為的識別過程。CIDF模型稱為公共入侵檢測框架，是一個(gè)入侵檢測系統(tǒng)的通用模型。CIDF將一個(gè)入侵檢測系統(tǒng)分為事件產(chǎn)生器、事件分析器、響應(yīng)單元和事件數(shù)據(jù)庫。CIDF的各個(gè)部分之間以GIDO格式進(jìn)行數(shù)據(jù)交換，GIDO是事件編碼的標(biāo)準(zhǔn)通用格式。

入侵檢測通常由數(shù)據(jù)源、分析引擎、響應(yīng)單元組成。因此通常從這3個(gè)角度對入侵檢測系統(tǒng)分類。按照數(shù)據(jù)源的不同，可以將入侵檢測系統(tǒng)分為基于主機(jī)的入侵檢測系統(tǒng)、基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)和分布式入侵檢測系統(tǒng)。根據(jù)分析引擎的不同可以分為異常檢測模型、誤用檢測模型。從響應(yīng)的角度，可以將入侵檢測分為報(bào)警響應(yīng)、手工響應(yīng)和主動響應(yīng)。

2 生物免疫原理和人工免疫模型

現(xiàn)代免疫學(xué)認(rèn)為：人體內(nèi)存在一個(gè)負(fù)責(zé)免疫功能的完整解剖系統(tǒng)，即免疫系統(tǒng)。人體免疫系統(tǒng)是由免疫分子、免疫細(xì)胞、免疫組織和免疫器官組成的復(fù)雜系統(tǒng)。人體免疫系統(tǒng)可以達(dá)到免疫防御（排斥外源性抗原）、免疫自穩(wěn)（識別清除自身衰老殘損組織）、免疫監(jiān)視（殺傷和清除異常突變細(xì)胞）。免疫系統(tǒng)主要通過淋巴細(xì)胞來抵抗入侵的病源。淋巴細(xì)胞包括B細(xì)胞和T細(xì)胞。B細(xì)胞和T細(xì)胞分別在骨髓和胸腺中經(jīng)過自身耐壓成為成熟B細(xì)胞和T細(xì)胞。當(dāng)人體受到病源體攻擊時(shí)，吞噬細(xì)胞分解病源體細(xì)胞表面，并用形成的MHC分子激活T細(xì)胞，T細(xì)胞識別抗原，并殺死被抗原感染的細(xì)胞，同時(shí)通過輔助T細(xì)胞激活B細(xì)胞，B細(xì)胞通過克隆分化，形成抗體，抗體與抗原結(jié)合并通過吞噬細(xì)胞最終消滅病源。在上述過程中，有3個(gè)環(huán)節(jié)需要我們關(guān)注：免疫細(xì)胞的成熟過程，即自體耐受；免疫細(xì)胞對抗原分子的識別、活化、分化、效應(yīng)過程，稱為免疫應(yīng)答；免疫系統(tǒng)的學(xué)習(xí)進(jìn)化，稱為免疫記憶。免疫細(xì)胞在成熟過程進(jìn)行否定選擇，若與自體細(xì)胞結(jié)合，則被清除，稱為自體耐受。免疫應(yīng)答的過程分為以下3個(gè)階段：免疫細(xì)胞對抗原分子的識別、免疫細(xì)胞的活化和分化、效應(yīng)細(xì)胞和效應(yīng)分子的排異作用。免疫細(xì)胞與抗原表面的抗原決定基結(jié)合的強(qiáng)度，稱為親和力。免疫細(xì)胞的模式識別結(jié)果由親和力來決定。能夠識別抗原的免疫細(xì)胞通過克隆分化來產(chǎn)生大量高親和力的抗體，這一過程稱為克隆選擇。免疫細(xì)胞識別抗原后，部分高親和力的免疫細(xì)胞被選擇進(jìn)生發(fā)中心多次被抗原刺激，并通過高頻變異具有更高親和力，最終轉(zhuǎn)化成記憶細(xì)胞。再次遇到相同抗原時(shí)，記憶細(xì)胞將首先被選擇進(jìn)行克隆分化，進(jìn)行免疫應(yīng)答。免疫系統(tǒng)的進(jìn)化學(xué)習(xí)主要通過記憶細(xì)胞的生成來實(shí)現(xiàn)。

人工免疫模型大致分為兩大類：基于免疫系統(tǒng)理論（主要是克隆選擇理論）的免疫模型和基于免疫網(wǎng)絡(luò)理論的免疫網(wǎng)絡(luò)模型。前者有代表性的模型有Hofmeyr(1999)提出的ARTIS模型；后者有代表性的模型有Ishida的動態(tài)免疫網(wǎng)絡(luò)模型。ARTIS模型是一個(gè)分布式系統(tǒng)，它由一系列模擬淋巴結(jié)的節(jié)點(diǎn)構(gòu)成，每個(gè)節(jié)點(diǎn)由多個(gè)檢測器構(gòu)成，每個(gè)節(jié)點(diǎn)都可以獨(dú)立完成免疫功能。ARTIS系統(tǒng)的自體耐受訓(xùn)練采用了否定選擇算法：隨機(jī)產(chǎn)生一個(gè)檢測器，在一定時(shí)間內(nèi)沒有訓(xùn)練集合與之匹配，則保留，否則消除。

3 基于免疫原理的入侵檢測關(guān)鍵技術(shù)

根據(jù)人工免疫原理，網(wǎng)絡(luò)入侵檢測的實(shí)質(zhì)就是區(qū)分自我與非我的過程。免疫系統(tǒng)中自我與非我的通過淋巴細(xì)胞的受體綁定抗原決定基來判定。在入侵檢測系統(tǒng)中，同樣需要找到一種特征模式來代表自我與非我。對特征模式的選擇，目前有影響的有r-連續(xù)位匹配、對網(wǎng)絡(luò)連接異常的模糊綜合評判，特征串漢明距離的統(tǒng)計(jì)特征，基于粗糙集的規(guī)則特征等。

在使用人工免疫進(jìn)行入侵檢測時(shí)，選擇合適的自體耐受算法和模式間匹配算法非常重要。Forrest在把人工免疫系統(tǒng)運(yùn)用到入侵檢測系統(tǒng)中提出了否定選擇算法，并使用r-連續(xù)位匹配函數(shù)來判定模式間的匹配。但是Kim通過實(shí)驗(yàn)證明只有在被檢測對象是網(wǎng)絡(luò)通信數(shù)據(jù)的一個(gè)小子集時(shí)，否定選擇算法才是有效的, r-連續(xù)位匹配函數(shù)在對具有多個(gè)分離特征區(qū)間的網(wǎng)絡(luò)數(shù)據(jù)進(jìn)行匹配程度進(jìn)行判定時(shí)，其作用不明顯?；诖植诩姆聪蜻x擇算法可以有效地改進(jìn)該問題。

此外，入侵檢測數(shù)據(jù)包含了離散屬性和連續(xù)屬性。歐幾里德距離可以用來度量連續(xù)屬性的差異。對于離散屬性差異的度量，可以通過計(jì)算信息熵的方式來度量。

在基于免疫原理的入侵檢測中，檢測器的定義和生成非常重要。檢測器的定義要綜合網(wǎng)絡(luò)中正常行為和入侵行為的特征來考慮。

克隆選擇算法和免疫細(xì)胞群體的更新方式對于入侵檢測系統(tǒng)的有效性和穩(wěn)定性具有很大的影響?？寺∵x擇算法和細(xì)胞群體更新的設(shè)計(jì)要考慮以下方面：維持免疫細(xì)胞在功能和指令集上的不連貫性；受最大刺激的細(xì)胞的選擇和克隆；沒有受刺激的細(xì)胞死亡；親和力成熟和更高親和力的細(xì)胞克隆再選擇；多樣性的生成與維護(hù)；與細(xì)胞親和力成比例的高頻變異。

4 結(jié)束語

本文詳細(xì)闡述了入侵檢測的概念、模型、分類、分析技術(shù)及與自然免疫系統(tǒng)的相似性。為了將免疫系統(tǒng)的原理應(yīng)用到入侵檢測中，本文首先介紹了自然免疫系統(tǒng)的運(yùn)行機(jī)制，然后介紹了人工免疫的模型和主要算法，最后論述了將人工免疫應(yīng)用到入侵檢測中涉及到的關(guān)鍵要點(diǎn)。

[1]Divyata Dal, Siby Abraham, Ajith Abraham, Suguata Sanyal, Mukund Sanglikar, “Evolution Induced Secondary Immunity: An Artificial Immune System based Intrusion Detection System”, Proceedings - 7th Computer Information Systems and Industrial Management Applications, CISIM 2008.

[2]Simon T. Powers, Jun He, “A hybrid artificial immune system and Self Organising Map for network intrusion detection”, Information Sciences, v 178, n 15, 1 Aug，2008.

[3]肖鋒，楊樹堂，陸松年，李建華.基于人工免疫的入侵檢測模型研究[J].計(jì)算機(jī)應(yīng)用與軟件，2008.

[4]符海東，謝琪，袁細(xì)國.基于決策樹及遺傳算法的人工免疫入侵檢測算法[J].微計(jì)算機(jī)應(yīng)用，2008.