范峻彤

摘要：入侵检测系统是指能够自动识别计算机系统内的入侵行为的系统，它可以检测出内部用户或外部入侵者的非授权使用、误用和恶意攻击等异常行为模式，保护计算机系统的安全。本文在充分研究了人体免疫系统的工作机理的基础上，对于现有的人工免疫模型进行了改进，使得该模型更易于实现。并根据改进后的模型设计了一个基于网络的入侵检测系统，该系统以网络数据包为检测数据来源，具有能检测未知入侵行为、分布式部署等优点。

关键词：入侵检测系统（IDS） 免疫 人工免疫模型 网络安全

中图分类号：TP393.08 文献标识码：A 文章编号：1007-9416（2014）08-0189-01

1 引言

随着信息技术的快速发展，网络已成为人们日常生活、工作、学习不可或缺的部分，但网络安全问题也日益严峻。根据CNCERT发布的总第44期互联网安全威胁报告显示2014年8月份境内感染网络病毒的终端数量约为217万余个，被篡改网站数量为11597个[1]。面对网络安全威胁与日俱增的现实，网络安全问题越来越被重视，入侵检测技术作为一种积极主动防御技术已成为网络安全研究的一个重要领域。本文对基于免疫优化原理的入侵检测系统进行了研究，并在研究基础上设计了系统模型。

2 入侵检测技术

入侵检测（Intrusion Detection）是通过收集和分析网络中或终端间的网络数据包，判断网络或终端中是否存在违反安全策略的行为和被攻击的迹象[2]。从技术上分为基于特征的检测技术和基于异常的检测技术。两种检测技术各有特点，基于特征的检测技术的核心是特征库维护，其对于已知的攻击行为可以准确报告，但缺少对未知攻击行为判别的能力；而基于异常的检测技术无法准确判别出网络攻击的方法，但可以有效识别未知的攻击行为。

3 免疫优化原理

免疫学家认为“免疫就是识别自我（Self）和非我（Non-self），并消灭非我，是为了保证机体完整性的一种生理学反应”[3]。计算机学者受生物免疫系统的启发提出人工免疫系统，通过模仿生物免疫系统的防御机制建立计算机免疫系统，使计算机系统具有克隆选择、记忆学习、免疫遗忘、多样性遗传等免疫计算能力。

4 基于免疫优化原理入侵检测系统模型设计

本文运用适应性免疫系统的免疫机制、克隆选择以及多样性机制和免疫记忆机制来构建基于免疫优化原理入侵检测系统模型，主要包括数据采集模块、预处理模块、免疫模块、响应模块。

4.1 数据采集和预处理模块

（1）数据采集模块是入侵检测系统捕获网络数据包获得入侵检测数据的主要途径，是系统工作的底层部分。（2）预处理模块主要实现数据包的初步筛选及编码。预处理模块需要对IP数据包头中的协议类型字段进行判断，防止IP分片重叠攻击。

4.2 免疫模块

免疫模块主要负责处理抗原，是入侵检测系统的核心。免疫模块分为基因提取、检测系统、基因库进化、响应代理四个部分。

（1）基因提取；入侵检测的一个重要步骤就是将截取到的网络数据包进行过滤筛选，区分出“自我”与“非我”。为了提高系统效率，建立了IP地址信任域。当域外计算机系统发送数据包时，域外IP地址和域内IP地址完全不匹配，则与域内IP地址发生匹配的IP地址被视为不完全匹配；当匹配到两个完全相同的数据包IP时则认为是完全匹配并进行数据筛选。信任域的数据集是变化的，系统对来自域外IP地址的数据包的目的性进行辨别来采取添加或删除处理。（2）检测器生成；检测系统是由基因库的属性选取、“自我”集合的正向选择、“非我”集合的克隆选择三个部分组成。（3）基因库进化；基因库是“自我”基因所取得值组成的集合。每次检测抗原之后，需要对抗原的基因进行分析，如果抗体中包含有基因库中没有的基因取值，就要将该值添加到基因库中。如果一个基因取值在设定时间内未出现过，则将该值从基因库中删除，上述过程就是基因库进化。（4）当检测器在与网络数据进行匹配的过程中，发现“非我”基因的存在时，便激活响应模块，由响应模块处理（告警、记录、拒阻）入侵行为。

5 系统实验及数据分析

实验采用Snort入侵检测系统进行验证，使用DARPA数据集进行检测分析。实验中，入侵检测系统共处理1，324，243个数据包，共产生报警1302个。对比不同配置下的入侵检测系统的报警信息，采用默认规则的Snort系统产生了240个报警信息，但出现多次重复报警；而在基于免疫优化原理的入侵检测系统中没有出现重复报警情况。两种系统的性能参数比较见表1。

实验结果表明，基于免疫优化原理的入侵检测系统在检测率和重复报警率上均优于采用默认规则的入侵检测系统。

6 研究结论

本文系统模型设计中采用免疫优化原理，在一定程度上模拟生物免疫过程，具有较高的检测率，较低误警率。在入侵检测阶段采用信任域筛选计算，可以有效提高系统检测处理效率。在基因提取阶段建立基因编码表，对捕获的数据包进行匹配，区分出“自我”与“非我”，实现数据筛选功能。最后通过实验验证了基于免疫优化原理的入侵检测系统在性能方面确有优势。

参考文献

[1]杨孔雨，王秀峰.入侵检测免疫模型中抗体基因库的生成和进化[J].计算机应用，2003（7）.

[2]张晓芬，牛少彰.入侵检测系统的标准化[J].中国数据通信，2003（7）.

[3]王瑞，沈海斌，杨向荣，沈钧毅.入侵检测系统模型研究与分析[J].计算机工程与应用，2003（17）.endprint

摘要：入侵检测系统是指能够自动识别计算机系统内的入侵行为的系统，它可以检测出内部用户或外部入侵者的非授权使用、误用和恶意攻击等异常行为模式，保护计算机系统的安全。本文在充分研究了人体免疫系统的工作机理的基础上，对于现有的人工免疫模型进行了改进，使得该模型更易于实现。并根据改进后的模型设计了一个基于网络的入侵检测系统，该系统以网络数据包为检测数据来源，具有能检测未知入侵行为、分布式部署等优点。

关键词：入侵检测系统（IDS） 免疫 人工免疫模型 网络安全

中图分类号：TP393.08 文献标识码：A 文章编号：1007-9416（2014）08-0189-01

1 引言

随着信息技术的快速发展，网络已成为人们日常生活、工作、学习不可或缺的部分，但网络安全问题也日益严峻。根据CNCERT发布的总第44期互联网安全威胁报告显示2014年8月份境内感染网络病毒的终端数量约为217万余个，被篡改网站数量为11597个[1]。面对网络安全威胁与日俱增的现实，网络安全问题越来越被重视，入侵检测技术作为一种积极主动防御技术已成为网络安全研究的一个重要领域。本文对基于免疫优化原理的入侵检测系统进行了研究，并在研究基础上设计了系统模型。

2 入侵检测技术

入侵检测（Intrusion Detection）是通过收集和分析网络中或终端间的网络数据包，判断网络或终端中是否存在违反安全策略的行为和被攻击的迹象[2]。从技术上分为基于特征的检测技术和基于异常的检测技术。两种检测技术各有特点，基于特征的检测技术的核心是特征库维护，其对于已知的攻击行为可以准确报告，但缺少对未知攻击行为判别的能力；而基于异常的检测技术无法准确判别出网络攻击的方法，但可以有效识别未知的攻击行为。

3 免疫优化原理

免疫学家认为“免疫就是识别自我（Self）和非我（Non-self），并消灭非我，是为了保证机体完整性的一种生理学反应”[3]。计算机学者受生物免疫系统的启发提出人工免疫系统，通过模仿生物免疫系统的防御机制建立计算机免疫系统，使计算机系统具有克隆选择、记忆学习、免疫遗忘、多样性遗传等免疫计算能力。

4 基于免疫优化原理入侵检测系统模型设计

本文运用适应性免疫系统的免疫机制、克隆选择以及多样性机制和免疫记忆机制来构建基于免疫优化原理入侵检测系统模型，主要包括数据采集模块、预处理模块、免疫模块、响应模块。

4.1 数据采集和预处理模块

（1）数据采集模块是入侵检测系统捕获网络数据包获得入侵检测数据的主要途径，是系统工作的底层部分。（2）预处理模块主要实现数据包的初步筛选及编码。预处理模块需要对IP数据包头中的协议类型字段进行判断，防止IP分片重叠攻击。

4.2 免疫模块

免疫模块主要负责处理抗原，是入侵检测系统的核心。免疫模块分为基因提取、检测系统、基因库进化、响应代理四个部分。

（1）基因提取；入侵检测的一个重要步骤就是将截取到的网络数据包进行过滤筛选，区分出“自我”与“非我”。为了提高系统效率，建立了IP地址信任域。当域外计算机系统发送数据包时，域外IP地址和域内IP地址完全不匹配，则与域内IP地址发生匹配的IP地址被视为不完全匹配；当匹配到两个完全相同的数据包IP时则认为是完全匹配并进行数据筛选。信任域的数据集是变化的，系统对来自域外IP地址的数据包的目的性进行辨别来采取添加或删除处理。（2）检测器生成；检测系统是由基因库的属性选取、“自我”集合的正向选择、“非我”集合的克隆选择三个部分组成。（3）基因库进化；基因库是“自我”基因所取得值组成的集合。每次检测抗原之后，需要对抗原的基因进行分析，如果抗体中包含有基因库中没有的基因取值，就要将该值添加到基因库中。如果一个基因取值在设定时间内未出现过，则将该值从基因库中删除，上述过程就是基因库进化。（4）当检测器在与网络数据进行匹配的过程中，发现“非我”基因的存在时，便激活响应模块，由响应模块处理（告警、记录、拒阻）入侵行为。

5 系统实验及数据分析

实验采用Snort入侵检测系统进行验证，使用DARPA数据集进行检测分析。实验中，入侵检测系统共处理1，324，243个数据包，共产生报警1302个。对比不同配置下的入侵检测系统的报警信息，采用默认规则的Snort系统产生了240个报警信息，但出现多次重复报警；而在基于免疫优化原理的入侵检测系统中没有出现重复报警情况。两种系统的性能参数比较见表1。

实验结果表明，基于免疫优化原理的入侵检测系统在检测率和重复报警率上均优于采用默认规则的入侵检测系统。

6 研究结论

本文系统模型设计中采用免疫优化原理，在一定程度上模拟生物免疫过程，具有较高的检测率，较低误警率。在入侵检测阶段采用信任域筛选计算，可以有效提高系统检测处理效率。在基因提取阶段建立基因编码表，对捕获的数据包进行匹配，区分出“自我”与“非我”，实现数据筛选功能。最后通过实验验证了基于免疫优化原理的入侵检测系统在性能方面确有优势。

参考文献

[1]杨孔雨，王秀峰.入侵检测免疫模型中抗体基因库的生成和进化[J].计算机应用，2003（7）.

[2]张晓芬，牛少彰.入侵检测系统的标准化[J].中国数据通信，2003（7）.

[3]王瑞，沈海斌，杨向荣，沈钧毅.入侵检测系统模型研究与分析[J].计算机工程与应用，2003（17）.endprint

摘要：入侵检测系统是指能够自动识别计算机系统内的入侵行为的系统，它可以检测出内部用户或外部入侵者的非授权使用、误用和恶意攻击等异常行为模式，保护计算机系统的安全。本文在充分研究了人体免疫系统的工作机理的基础上，对于现有的人工免疫模型进行了改进，使得该模型更易于实现。并根据改进后的模型设计了一个基于网络的入侵检测系统，该系统以网络数据包为检测数据来源，具有能检测未知入侵行为、分布式部署等优点。

关键词：入侵检测系统（IDS） 免疫 人工免疫模型 网络安全

中图分类号：TP393.08 文献标识码：A 文章编号：1007-9416（2014）08-0189-01

1 引言

随着信息技术的快速发展，网络已成为人们日常生活、工作、学习不可或缺的部分，但网络安全问题也日益严峻。根据CNCERT发布的总第44期互联网安全威胁报告显示2014年8月份境内感染网络病毒的终端数量约为217万余个，被篡改网站数量为11597个[1]。面对网络安全威胁与日俱增的现实，网络安全问题越来越被重视，入侵检测技术作为一种积极主动防御技术已成为网络安全研究的一个重要领域。本文对基于免疫优化原理的入侵检测系统进行了研究，并在研究基础上设计了系统模型。

2 入侵检测技术

入侵检测（Intrusion Detection）是通过收集和分析网络中或终端间的网络数据包，判断网络或终端中是否存在违反安全策略的行为和被攻击的迹象[2]。从技术上分为基于特征的检测技术和基于异常的检测技术。两种检测技术各有特点，基于特征的检测技术的核心是特征库维护，其对于已知的攻击行为可以准确报告，但缺少对未知攻击行为判别的能力；而基于异常的检测技术无法准确判别出网络攻击的方法，但可以有效识别未知的攻击行为。

3 免疫优化原理

免疫学家认为“免疫就是识别自我（Self）和非我（Non-self），并消灭非我，是为了保证机体完整性的一种生理学反应”[3]。计算机学者受生物免疫系统的启发提出人工免疫系统，通过模仿生物免疫系统的防御机制建立计算机免疫系统，使计算机系统具有克隆选择、记忆学习、免疫遗忘、多样性遗传等免疫计算能力。

4 基于免疫优化原理入侵检测系统模型设计

本文运用适应性免疫系统的免疫机制、克隆选择以及多样性机制和免疫记忆机制来构建基于免疫优化原理入侵检测系统模型，主要包括数据采集模块、预处理模块、免疫模块、响应模块。

4.1 数据采集和预处理模块

（1）数据采集模块是入侵检测系统捕获网络数据包获得入侵检测数据的主要途径，是系统工作的底层部分。（2）预处理模块主要实现数据包的初步筛选及编码。预处理模块需要对IP数据包头中的协议类型字段进行判断，防止IP分片重叠攻击。

4.2 免疫模块

免疫模块主要负责处理抗原，是入侵检测系统的核心。免疫模块分为基因提取、检测系统、基因库进化、响应代理四个部分。

（1）基因提取；入侵检测的一个重要步骤就是将截取到的网络数据包进行过滤筛选，区分出“自我”与“非我”。为了提高系统效率，建立了IP地址信任域。当域外计算机系统发送数据包时，域外IP地址和域内IP地址完全不匹配，则与域内IP地址发生匹配的IP地址被视为不完全匹配；当匹配到两个完全相同的数据包IP时则认为是完全匹配并进行数据筛选。信任域的数据集是变化的，系统对来自域外IP地址的数据包的目的性进行辨别来采取添加或删除处理。（2）检测器生成；检测系统是由基因库的属性选取、“自我”集合的正向选择、“非我”集合的克隆选择三个部分组成。（3）基因库进化；基因库是“自我”基因所取得值组成的集合。每次检测抗原之后，需要对抗原的基因进行分析，如果抗体中包含有基因库中没有的基因取值，就要将该值添加到基因库中。如果一个基因取值在设定时间内未出现过，则将该值从基因库中删除，上述过程就是基因库进化。（4）当检测器在与网络数据进行匹配的过程中，发现“非我”基因的存在时，便激活响应模块，由响应模块处理（告警、记录、拒阻）入侵行为。

5 系统实验及数据分析

实验采用Snort入侵检测系统进行验证，使用DARPA数据集进行检测分析。实验中，入侵检测系统共处理1，324，243个数据包，共产生报警1302个。对比不同配置下的入侵检测系统的报警信息，采用默认规则的Snort系统产生了240个报警信息，但出现多次重复报警；而在基于免疫优化原理的入侵检测系统中没有出现重复报警情况。两种系统的性能参数比较见表1。

实验结果表明，基于免疫优化原理的入侵检测系统在检测率和重复报警率上均优于采用默认规则的入侵检测系统。

6 研究结论

本文系统模型设计中采用免疫优化原理，在一定程度上模拟生物免疫过程，具有较高的检测率，较低误警率。在入侵检测阶段采用信任域筛选计算，可以有效提高系统检测处理效率。在基因提取阶段建立基因编码表，对捕获的数据包进行匹配，区分出“自我”与“非我”，实现数据筛选功能。最后通过实验验证了基于免疫优化原理的入侵检测系统在性能方面确有优势。

参考文献

[1]杨孔雨，王秀峰.入侵检测免疫模型中抗体基因库的生成和进化[J].计算机应用，2003（7）.

[2]张晓芬，牛少彰.入侵检测系统的标准化[J].中国数据通信，2003（7）.

[3]王瑞，沈海斌，杨向荣，沈钧毅.入侵检测系统模型研究与分析[J].计算机工程与应用，2003（17）.endprint