面向入侵檢測(cè)的集成人工免疫系統(tǒng)

陳岳兵，馮超，張權(quán)，唐朝京

(1.總參第六十一研究所，北京 100141；2.國(guó)防科技大學(xué) 電子科學(xué)與工程學(xué)院，湖南 長(zhǎng)沙 410073)

1 引言

人體免疫系統(tǒng)保護(hù)人體免受各種病原體的入侵，為入侵檢測(cè)系統(tǒng)提供了豐富的啟發(fā)。研究者應(yīng)用免疫學(xué)原理來設(shè)計(jì)智能計(jì)算范例，逐漸發(fā)展成一個(gè)新的研究領(lǐng)域，稱為人工免疫系統(tǒng)[1]。研究者分別基于否定選擇機(jī)制和危險(xiǎn)模型[2]提出了 NSA和DCA[3]。2種算法都可以用于入侵檢測(cè)，但前者可用性欠佳，后者檢測(cè)性能偏低，在應(yīng)用方面都有局限性。

在入侵檢測(cè)研究中，追求高檢測(cè)率、低誤報(bào)率[4]和快速的檢測(cè)速度。根據(jù)檢測(cè)方法不同，分為誤用檢測(cè)和異常檢測(cè)。誤用檢測(cè)又稱為特征檢測(cè)，它是通過對(duì)已知入侵的研究，提取攻擊的特征形成特征集合，利用這些特征集合對(duì)當(dāng)前的數(shù)據(jù)進(jìn)行各種處理后，再進(jìn)行特征匹配工作，如果匹配成功，則判定為入侵。該方法能夠很好地檢測(cè)已知的入侵，具有檢測(cè)率高、誤報(bào)率低和檢測(cè)速度快等特點(diǎn)，缺點(diǎn)是它不能檢測(cè)未知的入侵。當(dāng)有未知的入侵出現(xiàn)的時(shí)候，模式庫(kù)必須隨之更新，給系統(tǒng)的維護(hù)管理帶來困難。異常檢測(cè)又稱為基于行為的檢測(cè)，它是利用與系統(tǒng)行為相關(guān)的一些統(tǒng)計(jì)量來構(gòu)造正常的行為模式[5]，如果待檢測(cè)行為偏離正常行為，則判定為入侵。該方法存在統(tǒng)計(jì)量選取困難、異常閾值確定困難、誤報(bào)率較高的問題，但是它能對(duì)未知的入侵進(jìn)行檢測(cè)。

本文對(duì)危險(xiǎn)模型進(jìn)行了分析，指出否定選擇機(jī)制和危險(xiǎn)模型兩者之間并不矛盾:在危險(xiǎn)模型中，否定選擇機(jī)制和危險(xiǎn)性判別機(jī)制在不同的位置發(fā)揮各自的作用，兩者協(xié)作完成檢測(cè)和應(yīng)答?；谶@種新的認(rèn)知，結(jié)合實(shí)時(shí)DCA和NSA構(gòu)建了一個(gè)集成人工免疫系統(tǒng)(IAIS)，用于入侵檢測(cè)。實(shí)時(shí)DCA檢測(cè)行為特征，NSA檢測(cè)結(jié)構(gòu)特征，構(gòu)建的 IAIS可以同時(shí)利用結(jié)構(gòu)特征和行為特征進(jìn)行入侵檢測(cè)。通過入侵檢測(cè)基準(zhǔn)數(shù)據(jù)集對(duì) IAIS進(jìn)行驗(yàn)證，并與其他方法進(jìn)行了比較。IAIS檢測(cè)性能與經(jīng)典分類算法相當(dāng)，且具有良好的可用性。

2 啟發(fā)

在免疫學(xué)中，感染非我模型[6]和危險(xiǎn)模型[2]是2種主要的免疫學(xué)模型，兩者都有各自的支持者和部分證據(jù)，都是具有一定合理性的解釋。表面上看，2種模型互相矛盾，但是危險(xiǎn)模型的提出者M(jìn)atzinger從未明言感染非我模型是錯(cuò)誤的，也沒有講否定選擇是不正確的。Matzinger認(rèn)為否定選擇是一種避免自我免疫的前置條件，只是在免疫應(yīng)答之前還需要進(jìn)一步的確認(rèn)機(jī)制以消滅有害抗原。危險(xiǎn)模型在圖 1中給出，圖中 APC(antigen presenting cells)、B、Tk和Th分別表示抗原提呈細(xì)胞、B細(xì)胞、毒性T細(xì)胞和輔助T細(xì)胞。APC屬于固有免疫系統(tǒng)；B細(xì)胞、毒性T細(xì)胞和輔助T細(xì)胞屬于適應(yīng)性免疫系統(tǒng)。圖中共有3類信號(hào):抗原和B細(xì)胞受體，毒性T細(xì)胞以及APC之間的作用產(chǎn)生信號(hào)1；輔助T細(xì)胞和APC釋放信號(hào)2；身體組織的正常細(xì)胞在受到損害的時(shí)候釋放信號(hào) 0，或危險(xiǎn)信號(hào)，用于激活本地APC。感染非我模型和危險(xiǎn)模型的唯一區(qū)別在信號(hào)0。在感染非我模型中，APC通過模式識(shí)別受體常見的非我分子，產(chǎn)生刺激信號(hào)。而在危險(xiǎn)模型中，APC感知組織中受損細(xì)胞釋放的的危險(xiǎn)信號(hào)。

感染非我模型和危險(xiǎn)模型都包括抗原與B細(xì)胞以及毒性T細(xì)胞之間的結(jié)構(gòu)匹配。雖然2種模型不可能同時(shí)正確，這并不表示這兩者完全不相容。實(shí)際上，否定選擇和自我/非我模型之間不能劃等號(hào)。在圖1中，否定選擇是作為危險(xiǎn)模型中的部分機(jī)制存在的，否定選擇和危險(xiǎn)性判別都是必要的。據(jù)此，提出結(jié)合危險(xiǎn)性判別機(jī)制和否定選擇機(jī)制，建立集成系統(tǒng)。否定選擇機(jī)制負(fù)責(zé)檢測(cè)結(jié)構(gòu)特征，危險(xiǎn)性判別機(jī)制負(fù)責(zé)檢測(cè)行為特征。

圖1 危險(xiǎn)模型

3 集成人工免疫系統(tǒng)

本節(jié)根據(jù)對(duì)免疫系統(tǒng)的新的認(rèn)識(shí)，提出結(jié)合DCA和NSA建立IAIS，描述了系統(tǒng)結(jié)構(gòu)及其實(shí)現(xiàn)，給出了系統(tǒng)的使用方法。

3.1 系統(tǒng)概述

IAIS總體結(jié)構(gòu)如圖2所示，系統(tǒng)基本組件及其功能描述如表1所示。IAIS集成的2個(gè)算法分別為實(shí)時(shí)DCA和二進(jìn)制表示的NSA。

圖2 IAIS結(jié)構(gòu)

IAIS的功能是檢測(cè)目標(biāo)系統(tǒng)中的異常實(shí)體，如圖2所示。組織代表目標(biāo)系統(tǒng)；抗原是組織中運(yùn)行的實(shí)體；信號(hào)是與組織運(yùn)行狀態(tài)相關(guān)的觀測(cè)值；樹突狀細(xì)胞負(fù)責(zé)將最新的抗原和信號(hào)從組織傳送到淋巴結(jié)；淋巴結(jié)是一個(gè)分析中心，提呈的抗原和信號(hào)在此經(jīng)過分析之后得到代表抗原異常程度的指標(biāo)；虛擬胸腺負(fù)責(zé)生成成熟檢測(cè)器。淋巴結(jié)中分析得到的異常指標(biāo)用于輔助成熟檢測(cè)器和記憶檢測(cè)器對(duì)抗原的檢測(cè)。

表1 IAIS組件

算法1描述了IAIS的運(yùn)行過程。系統(tǒng)根據(jù)組織的當(dāng)前狀態(tài)維持一個(gè)動(dòng)態(tài)的自我集合，組織狀態(tài)異常時(shí)出現(xiàn)的抗原被禁止加入自我集合。然后檢查NSA中記憶檢測(cè)器和普通檢測(cè)器的生命周期，清除過期檢測(cè)器，生成新的檢測(cè)器以填補(bǔ)空缺。實(shí)時(shí)DCA對(duì)輸入抗原和信號(hào)進(jìn)行處理以得到不同抗原類型的動(dòng)態(tài)異常指標(biāo)。

在 IAIS中，提出結(jié)合抗原動(dòng)態(tài)異常指標(biāo)計(jì)算檢測(cè)器和抗原之間的匹配閾值，如式(1)所示。通過漢明距離計(jì)算檢測(cè)器和抗原之間的親和度并與動(dòng)態(tài)匹配閾值進(jìn)行比較，親和度在匹配閾值之上的判為異常，反之判為正常。此過程連續(xù)運(yùn)行，不斷處理新輸入數(shù)據(jù)。

其中，Xα是抗原類型α的動(dòng)態(tài)異常指標(biāo)，Yα是此類抗原的匹配閾值，a是常數(shù)，δ是實(shí)時(shí)DCA中的異常閾值，L是檢測(cè)器長(zhǎng)度，ε是自我半徑[8]，它決定檢測(cè)器在二進(jìn)制空間的覆蓋范圍。對(duì)記憶檢測(cè)器取更大的a值以降低器匹配閾值。根據(jù)式(1)，抗原類型的異常程度越高，匹配閾值越低；反之，抗原類型的異常程度越低，匹配閾值越高。

3.2 系統(tǒng)實(shí)現(xiàn)

本節(jié)描述了實(shí)時(shí)DCA和NSA實(shí)現(xiàn)。

1) 實(shí)時(shí)DCA

實(shí)時(shí)DCA的基本功能是接收輸入信號(hào)和抗原，輸出每一類抗原的動(dòng)態(tài)異常指標(biāo)。多路信號(hào)源作為算法輸入，分為 PAMP (pathogen-associated molecular pattern)、危險(xiǎn)信號(hào)(danger signal)、安全信號(hào)(safe signal)和炎性信號(hào)(inflammation signal)，各信號(hào)的含義如下。

PAMP:表明出現(xiàn)異常行為，此信號(hào)增強(qiáng)與高置信度異常行為的存在密切相關(guān)。

危險(xiǎn)信號(hào):表明可能存在異常行為，此信號(hào)增強(qiáng)表明異常行為存在的可能性增加。

安全信號(hào):表明有正常行為發(fā)生，此信號(hào)增強(qiáng)表明正常行為的可能性增加。安全信號(hào)用于抵消PAMP和危險(xiǎn)信號(hào)的影響。

炎性信號(hào):表明總體狀態(tài)異常。炎性信號(hào)用于放大其他信號(hào)。

實(shí)時(shí)DCA通過式(2)處理輸入信號(hào)得到輸出信號(hào)。輸出信號(hào)包括協(xié)同刺激信號(hào)(csm)、半成熟信號(hào)(semi)和成熟信號(hào)(mat)。

其中，Si是輸入信號(hào)，Oj是輸出信號(hào)，I是炎性信號(hào)，wij是從Si到Oj的轉(zhuǎn)換權(quán)值。

實(shí)時(shí)DCA是在DCA[9]基礎(chǔ)上進(jìn)行改進(jìn)提出的，主要包括2點(diǎn)改進(jìn)。第一，實(shí)時(shí)DCA中增加了樹突狀細(xì)胞在淋巴結(jié)中的生命周期。為簡(jiǎn)化起見，讓樹突狀細(xì)胞在淋巴結(jié)中存活一個(gè)系統(tǒng)周期，執(zhí)行抗原提呈；第二，實(shí)時(shí) DCA提出了動(dòng)態(tài)異常指標(biāo)，在 MAC[9]基礎(chǔ)上提出動(dòng)態(tài) MAC(Cα)，如式(3)所示。

其中，α是所有具有相同值的抗原結(jié)合，mα是抗原類型α被提呈為成熟抗原的數(shù)量，Ai是抗原類型i被提呈的總數(shù)，A是抗原類型總數(shù)。mα和Ai是根據(jù)當(dāng)前淋巴結(jié)中存活的樹突狀細(xì)胞統(tǒng)計(jì)得到的，過期的樹突狀細(xì)胞不在統(tǒng)計(jì)之列。Cα在0到1之間，Cα越靠近1，表明此類抗原異常程度越高。

實(shí)時(shí)DCA偽代碼如算法2所示。組織和T細(xì)胞種群被實(shí)現(xiàn)為2個(gè)串行子系統(tǒng)，樹突狀細(xì)胞負(fù)責(zé)將信息從組織傳送到淋巴結(jié)，T細(xì)胞種群對(duì)信息進(jìn)行分析。

計(jì)算并記錄抗原類型及對(duì)應(yīng)的動(dòng)態(tài)異常指標(biāo)

在組織中，首先初始化樹突狀細(xì)胞種群，為每個(gè)樹突狀細(xì)胞賦予一個(gè)遷移閾值，用于決定其在組織中的生命周期。遷移閾值是指定范圍內(nèi)的隨機(jī)數(shù)，這使得實(shí)時(shí)DCA成為一個(gè)隨機(jī)系統(tǒng)，自然地，IAIS也是一個(gè)隨機(jī)系統(tǒng)。當(dāng)有輸入數(shù)據(jù)的時(shí)候，組織處理數(shù)據(jù)得到信號(hào)和抗原，然后組織中每個(gè)樹突狀細(xì)胞經(jīng)歷一個(gè)累積信號(hào)并走向成熟過程[9]。與DCA不同的是，實(shí)時(shí)DCA中達(dá)到遷移閾值的樹突狀細(xì)胞要遷移到淋巴結(jié)中，并執(zhí)行抗原提呈。

T細(xì)胞種群對(duì)淋巴結(jié)中的樹突狀細(xì)胞進(jìn)行實(shí)時(shí)分析，并生成異常閾值的時(shí)間序列，逐代記錄與抗原類型對(duì)應(yīng)的動(dòng)態(tài)異常指標(biāo)。

2) NSA

實(shí)現(xiàn)的 NSA采用二進(jìn)制表示法，算法包括 2個(gè)階段:檢測(cè)器生成階段和檢測(cè)階段。檢測(cè)器生成階段如算法3所示，隨機(jī)生成候選檢測(cè)器，匹配自我樣本的候選檢測(cè)器被清除，否則加入檢測(cè)器集合，當(dāng)檢測(cè)器數(shù)目達(dá)到預(yù)設(shè)值的時(shí)候算法終止。

在檢測(cè)階段，計(jì)算輸入樣本和所有檢測(cè)器的親和度，如果樣本在某一個(gè)檢測(cè)器的自我半徑之內(nèi)，則將此樣本判為異常。

3.3 使用過程

在實(shí)驗(yàn)之前，首先介紹如何使用IAIS，其一般過程包括4個(gè)部分。

1) 定義抗原:抗原就是目標(biāo)系統(tǒng)中運(yùn)行的實(shí)體。IAIS需要身份標(biāo)識(shí)來表示這些實(shí)體，通常用數(shù)字和字符串形式的唯一標(biāo)識(shí)符表示一個(gè)抗原或者一類抗原。

2) 抽取信號(hào):通過各種信號(hào)表示系統(tǒng)狀態(tài)。用戶需要根據(jù)先驗(yàn)知識(shí)和分析抽取有用信號(hào)來代表整個(gè)系統(tǒng)狀態(tài)，包括PAMP、危險(xiǎn)信號(hào)、安全信號(hào)和炎性信號(hào)。

3) 數(shù)據(jù)預(yù)處理:將原始信號(hào)轉(zhuǎn)化為無量綱的數(shù)字，再對(duì)每類信號(hào)進(jìn)行歸一化處理，例如，將指定信號(hào)區(qū)間映射到[0,100]，常用的歸一化函數(shù)包括線性函數(shù)，階梯函數(shù)和Sigmoid函數(shù)，最后將抗原流和信號(hào)流提交給IAIS。

4) 數(shù)據(jù)處理:IAIS處理提交的抗原流和信號(hào)流，并輸出每類抗原的動(dòng)態(tài)異常指標(biāo)。

4 實(shí)驗(yàn)測(cè)試

在KDD99數(shù)據(jù)集上進(jìn)行實(shí)驗(yàn)，研究IAIS的屬性，并通過與其他方法的比較來評(píng)估系統(tǒng)性能。

4.1 測(cè)試集

KDD99數(shù)據(jù)集是一個(gè)用于入侵檢測(cè)領(lǐng)域的基準(zhǔn)數(shù)據(jù)集。實(shí)驗(yàn)采用10%子集，它包括494021個(gè)數(shù)據(jù)項(xiàng)（實(shí)例或樣本）。10%子集與完整數(shù)據(jù)集具有類似統(tǒng)計(jì)特性，保持了類似的正常連接和攻擊比。KDD99數(shù)據(jù)集本身沒有時(shí)間戳，為了測(cè)試 IAIS，每秒采樣10個(gè)抗原來模擬實(shí)際情況，在數(shù)據(jù)集中加入時(shí)間戳，假設(shè)數(shù)據(jù)集以1s為間隔采集。KDD99數(shù)據(jù)集的數(shù)據(jù)項(xiàng)是41維（特征或?qū)傩裕┫蛄?。根?jù)文獻(xiàn)[10]介紹的數(shù)據(jù)域含義，對(duì)數(shù)據(jù)集進(jìn)行預(yù)處理，得到抗原和信號(hào)。抗原代表結(jié)構(gòu)特征，信號(hào)代表行為特征。

1) 抗原

將選擇的數(shù)據(jù)域轉(zhuǎn)換為 24bit的二進(jìn)制串，用來表示抗原，如表2所示。

表2 抗原構(gòu)造

2) 信號(hào)

選擇作為信號(hào)的數(shù)據(jù)域與文獻(xiàn)[11]相同。10個(gè)數(shù)據(jù)域分為3類（不包括炎性信號(hào)）。

PAMP:數(shù)據(jù)域25、26、29、38和40。

危險(xiǎn)信號(hào):數(shù)據(jù)域23和24。

安全信號(hào):數(shù)據(jù)域12、31和32。

設(shè)x為數(shù)據(jù)域的值，如果x∈[m,n]時(shí)表現(xiàn)異常，這個(gè)域?yàn)镻AMP或者危險(xiǎn)信號(hào)；如果表現(xiàn)正常，則為正常信號(hào)。將這些數(shù)據(jù)域的指定區(qū)間按照式(4)歸一化到[0,100]。

對(duì)數(shù)據(jù)域12，感興趣的指定區(qū)間為[0, 0.99]，其他數(shù)據(jù)域的指定區(qū)間按照[min, max]構(gòu)造。每類信號(hào)的均值作為此類信號(hào)的值。

4.2 實(shí)驗(yàn)設(shè)置

IAIS代碼通過MATLAB R2009a實(shí)現(xiàn)，所有實(shí)驗(yàn)在Windows 7(Intel Pentium Dual CPU T2330,4GB RAM)平臺(tái)下運(yùn)行。除非特別指出，實(shí)驗(yàn)使用表3中給出的參數(shù)。樹突狀細(xì)胞數(shù)量的選擇是精度和代價(jià)之間的平衡，考慮計(jì)算開銷，設(shè)為10；細(xì)胞周期率(cell cycle rate)根據(jù)數(shù)據(jù)集中信號(hào)采樣率設(shè)置，設(shè)為1采樣/s；檢測(cè)器長(zhǎng)度(L)為抗原位數(shù)，L=24。實(shí)驗(yàn)對(duì)系統(tǒng)性能有顯著影響的主要參數(shù)進(jìn)行了敏感性分析。信號(hào)處理通過式(2)進(jìn)行，權(quán)值與DCA[3]中使用的一樣，如表4所示。為了模擬實(shí)時(shí)運(yùn)行環(huán)境，通過一段代碼讀取數(shù)據(jù)集并提交給IAIS。因?yàn)镮AIS是隨機(jī)系統(tǒng)，每個(gè)實(shí)驗(yàn)運(yùn)行10次，結(jié)果取平均值。利用ROC曲線來評(píng)估IAIS的性能。

實(shí)驗(yàn)分為3部分進(jìn)行。

E1:自我半徑實(shí)驗(yàn)。

E2:異常閾值實(shí)驗(yàn)。

E3:與其他方法的比較。

E1，E2使用10%子集的前10000個(gè)項(xiàng)，記為S1；E3使用完整10%子集，記為SC。

表3 IAIS參數(shù)

表4 式(2)推薦權(quán)值

5 結(jié)果和分析

5.1 E1:自我半徑實(shí)驗(yàn)

自我半徑(ε)決定單個(gè)檢測(cè)器的覆蓋范圍，如果ε=0，則要求檢測(cè)器和抗原完美匹配，即結(jié)構(gòu)完全相同。當(dāng)檢測(cè)器和抗原之間的親和度大于L?ε時(shí)，認(rèn)為兩者匹配。為研究自我半徑對(duì) IAIS性能的影響，在子集S1上測(cè)試了如下自我半徑ε = 0, 1, 2, …,12。圖3給出改變自我半徑時(shí)的ROC曲線。

圖3 E1的ROC曲線

由圖可知，自我半徑的取值對(duì)TP率和FP率有影響，隨著自我半徑增加，TP率和FP率都隨之增加。ROC曲線上越靠近左上角表示性能越好，即TP率高，F(xiàn)P率低。在TP率和FP率之間進(jìn)行平衡，下面的實(shí)驗(yàn)將自我半徑設(shè)為ε=4。

5.2 E2:異常閾值實(shí)驗(yàn)

異常閾值(δ)用于決定抗原是正常還是異常，動(dòng)態(tài)MAC值高于異常閾值的抗原認(rèn)為是異?？乖?。在子集 S1上應(yīng)用不同的異常閾值來計(jì)算檢測(cè)率和誤報(bào)率，測(cè)試的異常閾值包括δ=0.1,0.2,…,1，實(shí)驗(yàn)結(jié)果如表5所示。

表5 E2的檢測(cè)率和誤報(bào)率

表中給出的檢測(cè)率和誤報(bào)率的方差相對(duì)較小，表明算法性能穩(wěn)定。從均值來看，異常閾值的取值對(duì) IAIS的性能具有顯著的影響，高異常閾值導(dǎo)致低檢測(cè)率和低誤報(bào)率。實(shí)際應(yīng)用的時(shí)候要在檢測(cè)率和誤報(bào)率之間進(jìn)行平衡。當(dāng)異常閾值介于0.3和0.4之間時(shí)，檢測(cè)率介于0.8968和0.8883之間，誤報(bào)率介于0.0158和0.0122之間。下面的實(shí)驗(yàn)將異常閾值設(shè)為δ=0.35。

5.3 E3:比較

在數(shù)據(jù)集SC上進(jìn)行實(shí)驗(yàn)，測(cè)試IAIS的性能，并與其他方法進(jìn)行比較，如表6所示。IAIS的實(shí)驗(yàn)結(jié)果是10次實(shí)驗(yàn)的平均值。表中包括NSA和DCA的實(shí)驗(yàn)結(jié)果，此外還列出了其他智能方法的實(shí)驗(yàn)結(jié)果，包括人工神經(jīng)網(wǎng)絡(luò)，進(jìn)化計(jì)算，支持向量機(jī)等。表中各種方法具有各自的特性，實(shí)驗(yàn)設(shè)置不盡相同，具體細(xì)節(jié)可參見各種方法的相關(guān)文獻(xiàn)。

表6 KDD99數(shù)據(jù)集上的性能比較

首先，將IAIS與NSA和DCA進(jìn)行比較。與DCA進(jìn)行比較，IAIS 的檢測(cè)率比 DCA有明顯提高，但與此同時(shí)，誤報(bào)率也提高了，但是幅度不大。相對(duì)而言，DCA的檢測(cè)率太低，因此IAIS更可取。與 NSA進(jìn)行比較，IAIS的檢測(cè)率和誤報(bào)率都比NSA高，但幅度有限。需要指出的是，文獻(xiàn)[12]中NSA有個(gè)訓(xùn)練過程，需隨機(jī)選擇80%的正常樣本進(jìn)行訓(xùn)練，剩余20%的正常樣本和異常樣本一起作為測(cè)試集。而 IAIS 定義各種信號(hào)之后，不需要訓(xùn)練集來訓(xùn)練檢測(cè)器，訓(xùn)練檢測(cè)器的自我集合是根據(jù)危險(xiǎn)信號(hào)在線生成的，也就是說，IAIS 可以以實(shí)時(shí)或近實(shí)時(shí)的模式運(yùn)行。

其次，將IAIS 與其他方法進(jìn)行比較。IAIS 具有次于SVM 的檢測(cè)率，但是SVM誤報(bào)率太高，綜合檢測(cè)率和誤報(bào)率，IAIS性能更好。IAIS誤報(bào)率與 LGP 相當(dāng)，檢測(cè)率比后者高。其他方法雖然誤報(bào)率低，檢測(cè)率比IAIS 要低超過5個(gè)百分點(diǎn)。通過比較可知，IAIS具有良好的綜合性能。

6 結(jié)束語

本文對(duì)危險(xiǎn)模型進(jìn)行了分析，根據(jù)新的關(guān)于危險(xiǎn)模型和否定選擇機(jī)制之間關(guān)系的理解，提出結(jié)合實(shí)時(shí)DCA和NSA來建立IAIS，用于執(zhí)行實(shí)時(shí)入侵檢測(cè)。系統(tǒng)中實(shí)時(shí)DCA利用行為特征，NSA利用結(jié)構(gòu)特征。在KDD99數(shù)據(jù)集上對(duì)IAIS進(jìn)行驗(yàn)證，并與其他方法進(jìn)行比較。IAIS檢測(cè)性能與經(jīng)典分類算法相當(dāng)，其特點(diǎn)包括:可結(jié)合結(jié)構(gòu)特征和行為特征進(jìn)行檢測(cè)，不依賴明確標(biāo)識(shí)的數(shù)據(jù)集來訓(xùn)練檢測(cè)器，以實(shí)時(shí)或者近實(shí)時(shí)的模式運(yùn)行。

當(dāng)前 IAIS參數(shù)較多，文中僅對(duì)主要參數(shù)進(jìn)行了敏感性分析。為了簡(jiǎn)化起見，部分參數(shù)設(shè)為常數(shù)。人工免疫系統(tǒng)的優(yōu)點(diǎn)之一就是它能夠動(dòng)態(tài)地維持細(xì)胞種群數(shù)量，因此有待改進(jìn)，后續(xù)工作中可以引入反饋機(jī)制讓參數(shù)根據(jù)外部環(huán)境的變化進(jìn)行自適應(yīng)調(diào)整。

[1]DASGUPTA D.Advances in artificial immune systems[J].Theoretical Computer Science, 2006, 403(1):11-32.

[2]MATZINGER P.Tolerance, danger and the extended family[J].Annual Review of Immunology, 1994, 12:991-1045.

[3]GREENSMITH J, AICKELIN U, CAYZER S.Introducing dendritic cells as a novel immune-inspired algorithm for anomaly detection[A].International Conference on Artificial Immune Systems[C].Banff,Canada, 2005.153-167.

[4]LI M.An approach to reliably identifying signs of DDOS flood attacks based on LRD traffic pattern recognition[J].Computers & Security,2004, 23(7):549-558.

[5]LI M.Change trend of averaged hurst parameter of traffic under DDOS flood attacks[J].Computers & Security, 2006, 25 (3):213-220.

[6]JANEWAY C.The immune system evolved to discriminate infectious nonself from non-infectious self[J].Immunology Today, 1992,13:11-16.

[7]SARAFIJANOVI? S, BOUDEC J L.An artificial immune system for misbehavior detection in mobile ad-hoc networks with virtual thymus,clustering, danger signal, and memory detectors[A].International Conference on Artificial Immune Systems[C].Catania, Italy,2004.342-356.

[8]CHEN Y B, FENG C, ZHANG Q, et al.Negative selection algorithm with variable-sized r-contiguous matching rule[A].International Conference on Progress in Informatics and Computing[C].Shanghai,China, 2010.150-154.

[9]GREENSMITH J.The Dendritic Cell Algorithm[D].Nottingham, UK:School of Computer Science, University of Nottingham, 2007.

[10]KAYACIK H G, ZINCIR-HEYWOOD A N, HEYWOOD M I.Selecting features for intrusion detection:a feature relevance analysis on KDD 99 intrusion detection datasets[A].Third Annual Conference on Privacy, Security and Trust[C].New Brunswick,Canada, 2005.

[11]GU F, GREENSMITH J, AICKELIN U.Further exploration of the dendritic cell algorithm[A].International Conference on Artificial Immune Systems[C].Phuket, Thailand, 2008.142-153.

[12]GONZáLEZ F A, DASGUPTA D.Anomaly detection using real-valued negative selection[J].Genetic Programming and Evolvable Machine, 2003, 4(4):383-403.

[13]ESKIN E, ARNOLD A, PRERAU M, et al.Applications of Data Mining in Computer Security[M].Boston, Kluwer, 2002.

[14]FOLINO G, PIZZUTI C, SPEZZANO G.GP ensemble for distributed intrusion detection systems[A].Third International Conference on Advances in Pattern Recognition[C].Bath, UK, 2005.54-62.

[15]AGARWAL R, JOSHI M V.PNrule:a new framework for learning classifier models in data mining (a case-study in network intrusion detection)[A].First SIAM Conference on Data Mining[C].Chicago,2001.1-17.

[16]SONG D, HEYWOOD M I, ZINCIR-HEYWOOD A N.Training genetic programming on half a million patterns:an example from anomaly detection[J].IEEE Trans on Evolutionary Computation,2005,9(3):225-239.