[摘要]在研究生物免疫原理和入侵检测技术的基础上,分析免疫系统的工作机理,指出目前入侵检测系统的局限性,并建立一个基于生物免疫的入侵检测模型,讨论阴性选择算法在入侵检测系统中的应用。

[关键词]生物免疫原理 入侵检测 阴性选择算法

中图分类号:Q819文献标识码:A文章编号:1671-7597(2009)0910132-01

生物免疫系统是一种具有高度分布性的自适应学习系统,具有完善的机制来保护肌体免受病毒、细菌和毒素等侵害,网络入侵检测系统保护网络内的计算机不受外来入侵或威胁,这两者所遇到的问题具有惊人的相似性,两者都要在不断变化的环境中维持系统的稳定性、安全性[1],因此基于免疫原理的入侵检测技术能够克服传统入侵检测系统的缺陷,是一个具有巨大应用前景的研究方向。

一、生物免疫原理

传统免疫概念是指机体免疫系统具有识别“自我”的功能,对外来的“非我”抗原性物质产生免疫应答并清除,借以保护机体内环境的相对稳定。机体的免疫应答功能特异性免疫指的是个体在发育过程中与“非我”物质接触后所产生的、针对某一特定抗原所具有的抵抗能力。

免疫系统由免疫器官、免疫细胞和免疫分子等组成。免疫细胞主要有两种:T细胞和B细胞,其中T细胞又分为Th细胞和Ts细胞两个子类。B细胞的主要功能是检测抗原并分泌抗体,T细胞根据其子类的不同实现对B细胞的激活或抑制作用。B细胞通过依附于其表面的受体去检测抗原,但仅仅依靠B细胞本身并不能引发检测事件,也不能进行扩散增殖,只有在Th细胞分泌出淋巴激活素的时候才能引发检测事件和B细胞才能进行扩散增殖。而Th细胞分泌出淋巴激活素来激活B细胞的条件是Th细胞与病原体发生绑定并超过一定阈值,同时B细胞的激活也可能会被Ts细胞所抑制。被激活的B细胞和T细胞迁移到淋巴节点皮层的小囊中,在那里发生着扩散增生、突变、选择等复杂的基础的细胞交互活动,B细胞也释放出抗体。抗体的主要功能就是绑定并清除病原体[2]。

二、入侵检测技术

入侵检测就是对企图入侵、正在进行或者已经发生的入侵进行识别的过程[3]。它通过对计算机网络或计算机系统中的若干关键点收集信息并对其进行分析,从中发现网络或系统中是否有违反安全策略的行为和被攻击的迹象。入侵检测的软件与硬件的组合便是入侵检测系统。与其他安全产品不同的是,入侵检测系统需要更多的智能,它必须可以将得到的数据进行分析,并得出有用的结果。入侵检测系统是对传统的安全产品的合理补充,它帮助系统对付网络攻击,提高了信息安全基础结构的完整性。入侵检测技术自20世纪80年代早期提出以来,经过20多年的不断发展,成为计算机网络安全领域内不可缺少的一种重要的安全技术。但随着网络技术的迅速发展,当前的入侵检测产品暴露出了很多不足,特别是对未知攻击和变形攻击的检测,几乎无能为力。因此将生物免疫机制引入到网络入侵检测研究领域很有必要。这为入侵检测注入了新的活力。

三、免疫原理在入侵检测系统中的研究

(一)概述。免疫系统有效地保护着生物个体,这使得人们希望借助于生物免疫的原理更好地实现入侵检测的功能。在合法的“自我”行为中判别出非法的“非我”行为。在免疫系统中起检测作用的是抗体,抗体的生成演化和工作过程是关键。如何模拟基因库更新、阴性选择、克隆选择等抗体生成过程建立入侵检测器是建立免疫入侵检测系统的关键。

(二)基于生物免疫的入侵检测模型概念及描述。根据生物免疫的原理,我们提出了一个基于生物免疫的入侵检测模型。模型的概念及描述如图1所示。首先,根据模拟数据挖掘出正常模式行为特征,产生初始“自我”集合;然后根据包含入侵行为的模拟数据挖掘出异常“非我”模式,并以先验知识补充,以这些模式作为父代抗原,经编码后利用遗传算法对它们进行变异和增殖,生成一个大的候选抗体库。对其中每一个个体进行适应度测定,计算与现有抗原的相似度。再进行阴性选择,即删除其中的“自我”模式。最后生成一个较完备的成熟检测器组。当系统工作时成熟检测器与实时数据的提取特征进行模式匹配,如果检测到“非我”串则将警报信息送入决策系统,等待安全管理员返回决策指示。如果确认是入侵行为,则产生免疫记忆,将抗体送入记忆检测器组。这样,当同类抗原再次入侵时,可缩短反应时间。

(三)阴性选择原理及算法。免疫识别是免疫系统的主要功能,同时也AIS的核心之一,而识别的本质是区分“自我”和“非我”。免疫识别是通过淋巴细胞上的抗原识别受体与抗原的结合实现的,结合的强度称为亲合度。未成熟的T细胞首先要经历一个审查环节,只有那些不能与“自我”发生应答的T细胞才可以离开胸腺,执行免疫应答的任务,从而防止免疫细胞对机体造成错误攻击。该过程称为阴性选择。

基于阴性选择原理,D'haeseleer给出了一种阴性选择算法,用于监测数据改变。其中抗体(问题解答)与抗原(问题)的匹配采用S.Forrest

提出的部分匹配规则,如图2所示。

该算法的流程如下:步骤1:定义一组长度为L的字符串集合S来代表“自我”,用于检测。步骤2:产生检测器集合R,依据阴性选择原理,对每个检测器进行审查。审查采用部分匹配规则,即两个字符串匹配当且仅当至少有r个连续位相同,其中r为参数。步骤3:通过连续地将R中的检测器与S比较来监测S的改变。如果检测器发生匹配,则有改变发生。

这些成熟的检测子监视网络中的数据,如果匹配到的异常超过预先设定的阈值,检测子被激活,这时会向决策系统报告并由其决定这是否是一次真正的入侵,如果是,检测子通过克隆选择提升为记忆检测子。

四、小结

本文对生物免疫系统原理进行了阐述,分析比较了免疫系统与入侵检测的相似性,给出了一个基于生物免疫原理的入侵检测系统模型和相关算法,该系统具有分布性,自组织性、自适应性和高效性。

免疫原理在入侵检测系统中的应用刚刚开始,基于免疫原理的入侵检测技术是现在研究的热点,还需要做进一步研究。

参考文献:

[1]Steven Andrew Hofmeyr.An Immulogical Model of Distributed Detection and Its Application to Computer Security[M].Phd thesis.University of New Mexico.

[2]何球藻、吴厚生,医学免疫学[M].上海:上海医科大学出版社,2000.

[3]唐正军、李建华,入侵检测技术[M].北京:清华大学出版社,2004.

作者简介:

吴大胜(1981-),男,汉族,江苏邗江人,本科学士,助教。