◆郝云生

基于免疫原理的入侵检测技术

◆郝云生

(中国酒泉卫星发射中心 甘肃 732750)

本文详细介绍了入侵检测的相关概念、模型、分类和主要的分析技术，生物免疫原理及人工免疫系统模型以及基于免疫原理的入侵检测关键技术。

入侵检测；人工免疫系统；免疫原理

1 入侵检测相关概念、模型、分类和分析技术

入侵是指任何企图危害信息资源的完整性、保密性、可用性的行为集合。入侵检测是指通过对行为、安全日志或审计数据或其他网络上可以获得的信息进行操作，检测到对系统的闯入或闯入的企图。入侵检测系统由入侵检测的软件和硬件组合而成，用来检测来自合法用户的针对计算机系统的越权使用或访问和来自外部的非法访问。

目前，有影响的入侵检测系统模型有IDES模型、IDM模型以及CIDF模型。IDES模型称为入侵检测专家系统，于1984年—1986年由乔治敦大学的Dorothy Denning和SRI/CSL的Peter Neumann提出,该模型通过随机变量和统计模型来定量描述主体对象的行为活动特征。IDM模型称为层次化入侵检测模型，它包括数据、事件、主体、上下文、威胁和安全状态等6层。该模型通过将收集到的原始数据加工抽象并进行数据关联，将分布式系统看作一台虚拟机器，从而简化了入侵行为的识别过程。CIDF模型称为公共入侵检测框架，是一个入侵检测系统的通用模型。CIDF将一个入侵检测系统分为事件产生器、事件分析器、响应单元和事件数据库。CIDF的各个部分之间以GIDO格式进行数据交换，GIDO是事件编码的标准通用格式。

入侵检测通常由数据源、分析引擎、响应单元组成。因此通常从这3个角度对入侵检测系统分类。按照数据源的不同，可以将入侵检测系统分为基于主机的入侵检测系统、基于网络的入侵检测系统和分布式入侵检测系统。根据分析引擎的不同可以分为异常检测模型、误用检测模型。从响应的角度，可以将入侵检测分为报警响应、手工响应和主动响应。

2 生物免疫原理和人工免疫模型

现代免疫学认为：人体内存在一个负责免疫功能的完整解剖系统，即免疫系统。人体免疫系统是由免疫分子、免疫细胞、免疫组织和免疫器官组成的复杂系统。人体免疫系统可以达到免疫防御（排斥外源性抗原）、免疫自稳（识别清除自身衰老残损组织）、免疫监视（杀伤和清除异常突变细胞）。免疫系统主要通过淋巴细胞来抵抗入侵的病源。淋巴细胞包括B细胞和T细胞。B细胞和T细胞分别在骨髓和胸腺中经过自身耐压成为成熟B细胞和T细胞。当人体受到病源体攻击时，吞噬细胞分解病源体细胞表面，并用形成的MHC分子激活T细胞，T细胞识别抗原，并杀死被抗原感染的细胞，同时通过辅助T细胞激活B细胞，B细胞通过克隆分化，形成抗体，抗体与抗原结合并通过吞噬细胞最终消灭病源。在上述过程中，有3个环节需要我们关注：免疫细胞的成熟过程，即自体耐受；免疫细胞对抗原分子的识别、活化、分化、效应过程，称为免疫应答；免疫系统的学习进化，称为免疫记忆。免疫细胞在成熟过程进行否定选择，若与自体细胞结合，则被清除，称为自体耐受。免疫应答的过程分为以下3个阶段：免疫细胞对抗原分子的识别、免疫细胞的活化和分化、效应细胞和效应分子的排异作用。免疫细胞与抗原表面的抗原决定基结合的强度，称为亲和力。免疫细胞的模式识别结果由亲和力来决定。能够识别抗原的免疫细胞通过克隆分化来产生大量高亲和力的抗体，这一过程称为克隆选择。免疫细胞识别抗原后，部分高亲和力的免疫细胞被选择进生发中心多次被抗原刺激，并通过高频变异具有更高亲和力，最终转化成记忆细胞。再次遇到相同抗原时，记忆细胞将首先被选择进行克隆分化，进行免疫应答。免疫系统的进化学习主要通过记忆细胞的生成来实现。

人工免疫模型大致分为两大类：基于免疫系统理论（主要是克隆选择理论）的免疫模型和基于免疫网络理论的免疫网络模型。前者有代表性的模型有Hofmeyr(1999)提出的ARTIS模型；后者有代表性的模型有Ishida的动态免疫网络模型。ARTIS模型是一个分布式系统，它由一系列模拟淋巴结的节点构成，每个节点由多个检测器构成，每个节点都可以独立完成免疫功能。ARTIS系统的自体耐受训练采用了否定选择算法：随机产生一个检测器，在一定时间内没有训练集合与之匹配，则保留，否则消除。

3 基于免疫原理的入侵检测关键技术

根据人工免疫原理，网络入侵检测的实质就是区分自我与非我的过程。免疫系统中自我与非我的通过淋巴细胞的受体绑定抗原决定基来判定。在入侵检测系统中，同样需要找到一种特征模式来代表自我与非我。对特征模式的选择，目前有影响的有r-连续位匹配、对网络连接异常的模糊综合评判，特征串汉明距离的统计特征，基于粗糙集的规则特征等。

在使用人工免疫进行入侵检测时，选择合适的自体耐受算法和模式间匹配算法非常重要。Forrest在把人工免疫系统运用到入侵检测系统中提出了否定选择算法，并使用r-连续位匹配函数来判定模式间的匹配。但是Kim通过实验证明只有在被检测对象是网络通信数据的一个小子集时，否定选择算法才是有效的, r-连续位匹配函数在对具有多个分离特征区间的网络数据进行匹配程度进行判定时，其作用不明显。基于粗糙集的反向选择算法可以有效地改进该问题。

此外，入侵检测数据包含了离散属性和连续属性。欧几里德距离可以用来度量连续属性的差异。对于离散属性差异的度量，可以通过计算信息熵的方式来度量。

在基于免疫原理的入侵检测中，检测器的定义和生成非常重要。检测器的定义要综合网络中正常行为和入侵行为的特征来考虑。

克隆选择算法和免疫细胞群体的更新方式对于入侵检测系统的有效性和稳定性具有很大的影响。克隆选择算法和细胞群体更新的设计要考虑以下方面：维持免疫细胞在功能和指令集上的不连贯性；受最大刺激的细胞的选择和克隆；没有受刺激的细胞死亡；亲和力成熟和更高亲和力的细胞克隆再选择；多样性的生成与维护；与细胞亲和力成比例的高频变异。

4 结束语

本文详细阐述了入侵检测的概念、模型、分类、分析技术及与自然免疫系统的相似性。为了将免疫系统的原理应用到入侵检测中，本文首先介绍了自然免疫系统的运行机制，然后介绍了人工免疫的模型和主要算法，最后论述了将人工免疫应用到入侵检测中涉及到的关键要点。

[1]Divyata Dal, Siby Abraham, Ajith Abraham, Suguata Sanyal, Mukund Sanglikar, “Evolution Induced Secondary Immunity: An Artificial Immune System based Intrusion Detection System”, Proceedings - 7th Computer Information Systems and Industrial Management Applications, CISIM 2008.

[2]Simon T. Powers, Jun He, “A hybrid artificial immune system and Self Organising Map for network intrusion detection”, Information Sciences, v 178, n 15, 1 Aug，2008.

[3]肖锋，杨树堂，陆松年，李建华.基于人工免疫的入侵检测模型研究[J].计算机应用与软件，2008.

[4]符海东，谢琪，袁细国.基于决策树及遗传算法的人工免疫入侵检测算法[J].微计算机应用，2008.