基于免疫優(yōu)化原理的計(jì)算機(jī)網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)

范峻彤

摘要：入侵檢測(cè)系統(tǒng)是指能夠自動(dòng)識(shí)別計(jì)算機(jī)系統(tǒng)內(nèi)的入侵行為的系統(tǒng)，它可以檢測(cè)出內(nèi)部用戶(hù)或外部入侵者的非授權(quán)使用、誤用和惡意攻擊等異常行為模式，保護(hù)計(jì)算機(jī)系統(tǒng)的安全。本文在充分研究了人體免疫系統(tǒng)的工作機(jī)理的基礎(chǔ)上，對(duì)于現(xiàn)有的人工免疫模型進(jìn)行了改進(jìn)，使得該模型更易于實(shí)現(xiàn)。并根據(jù)改進(jìn)后的模型設(shè)計(jì)了一個(gè)基于網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)，該系統(tǒng)以網(wǎng)絡(luò)數(shù)據(jù)包為檢測(cè)數(shù)據(jù)來(lái)源，具有能檢測(cè)未知入侵行為、分布式部署等優(yōu)點(diǎn)。

關(guān)鍵詞：入侵檢測(cè)系統(tǒng)（IDS） 免疫 人工免疫模型 網(wǎng)絡(luò)安全

中圖分類(lèi)號(hào)：TP393.08 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1007-9416（2014）08-0189-01

1 引言

隨著信息技術(shù)的快速發(fā)展，網(wǎng)絡(luò)已成為人們?nèi)粘Ｉ睢⒐ぷ?、學(xué)習(xí)不可或缺的部分，但網(wǎng)絡(luò)安全問(wèn)題也日益嚴(yán)峻。根據(jù)CNCERT發(fā)布的總第44期互聯(lián)網(wǎng)安全威脅報(bào)告顯示2014年8月份境內(nèi)感染網(wǎng)絡(luò)病毒的終端數(shù)量約為217萬(wàn)余個(gè)，被篡改網(wǎng)站數(shù)量為11597個(gè)[1]。面對(duì)網(wǎng)絡(luò)安全威脅與日俱增的現(xiàn)實(shí)，網(wǎng)絡(luò)安全問(wèn)題越來(lái)越被重視，入侵檢測(cè)技術(shù)作為一種積極主動(dòng)防御技術(shù)已成為網(wǎng)絡(luò)安全研究的一個(gè)重要領(lǐng)域。本文對(duì)基于免疫優(yōu)化原理的入侵檢測(cè)系統(tǒng)進(jìn)行了研究，并在研究基礎(chǔ)上設(shè)計(jì)了系統(tǒng)模型。

2 入侵檢測(cè)技術(shù)

入侵檢測(cè)（Intrusion Detection）是通過(guò)收集和分析網(wǎng)絡(luò)中或終端間的網(wǎng)絡(luò)數(shù)據(jù)包，判斷網(wǎng)絡(luò)或終端中是否存在違反安全策略的行為和被攻擊的跡象[2]。從技術(shù)上分為基于特征的檢測(cè)技術(shù)和基于異常的檢測(cè)技術(shù)。兩種檢測(cè)技術(shù)各有特點(diǎn)，基于特征的檢測(cè)技術(shù)的核心是特征庫(kù)維護(hù)，其對(duì)于已知的攻擊行為可以準(zhǔn)確報(bào)告，但缺少對(duì)未知攻擊行為判別的能力；而基于異常的檢測(cè)技術(shù)無(wú)法準(zhǔn)確判別出網(wǎng)絡(luò)攻擊的方法，但可以有效識(shí)別未知的攻擊行為。

3 免疫優(yōu)化原理

免疫學(xué)家認(rèn)為“免疫就是識(shí)別自我（Self）和非我（Non-self），并消滅非我，是為了保證機(jī)體完整性的一種生理學(xué)反應(yīng)”[3]。計(jì)算機(jī)學(xué)者受生物免疫系統(tǒng)的啟發(fā)提出人工免疫系統(tǒng)，通過(guò)模仿生物免疫系統(tǒng)的防御機(jī)制建立計(jì)算機(jī)免疫系統(tǒng)，使計(jì)算機(jī)系統(tǒng)具有克隆選擇、記憶學(xué)習(xí)、免疫遺忘、多樣性遺傳等免疫計(jì)算能力。

4 基于免疫優(yōu)化原理入侵檢測(cè)系統(tǒng)模型設(shè)計(jì)

本文運(yùn)用適應(yīng)性免疫系統(tǒng)的免疫機(jī)制、克隆選擇以及多樣性機(jī)制和免疫記憶機(jī)制來(lái)構(gòu)建基于免疫優(yōu)化原理入侵檢測(cè)系統(tǒng)模型，主要包括數(shù)據(jù)采集模塊、預(yù)處理模塊、免疫模塊、響應(yīng)模塊。

4.1 數(shù)據(jù)采集和預(yù)處理模塊

（1）數(shù)據(jù)采集模塊是入侵檢測(cè)系統(tǒng)捕獲網(wǎng)絡(luò)數(shù)據(jù)包獲得入侵檢測(cè)數(shù)據(jù)的主要途徑，是系統(tǒng)工作的底層部分。（2）預(yù)處理模塊主要實(shí)現(xiàn)數(shù)據(jù)包的初步篩選及編碼。預(yù)處理模塊需要對(duì)IP數(shù)據(jù)包頭中的協(xié)議類(lèi)型字段進(jìn)行判斷，防止IP分片重疊攻擊。

4.2 免疫模塊

免疫模塊主要負(fù)責(zé)處理抗原，是入侵檢測(cè)系統(tǒng)的核心。免疫模塊分為基因提取、檢測(cè)系統(tǒng)、基因庫(kù)進(jìn)化、響應(yīng)代理四個(gè)部分。

（1）基因提??；入侵檢測(cè)的一個(gè)重要步驟就是將截取到的網(wǎng)絡(luò)數(shù)據(jù)包進(jìn)行過(guò)濾篩選，區(qū)分出“自我”與“非我”。為了提高系統(tǒng)效率，建立了IP地址信任域。當(dāng)域外計(jì)算機(jī)系統(tǒng)發(fā)送數(shù)據(jù)包時(shí)，域外IP地址和域內(nèi)IP地址完全不匹配，則與域內(nèi)IP地址發(fā)生匹配的IP地址被視為不完全匹配；當(dāng)匹配到兩個(gè)完全相同的數(shù)據(jù)包IP時(shí)則認(rèn)為是完全匹配并進(jìn)行數(shù)據(jù)篩選。信任域的數(shù)據(jù)集是變化的，系統(tǒng)對(duì)來(lái)自域外IP地址的數(shù)據(jù)包的目的性進(jìn)行辨別來(lái)采取添加或刪除處理。（2）檢測(cè)器生成；檢測(cè)系統(tǒng)是由基因庫(kù)的屬性選取、“自我”集合的正向選擇、“非我”集合的克隆選擇三個(gè)部分組成。（3）基因庫(kù)進(jìn)化；基因庫(kù)是“自我”基因所取得值組成的集合。每次檢測(cè)抗原之后，需要對(duì)抗原的基因進(jìn)行分析，如果抗體中包含有基因庫(kù)中沒(méi)有的基因取值，就要將該值添加到基因庫(kù)中。如果一個(gè)基因取值在設(shè)定時(shí)間內(nèi)未出現(xiàn)過(guò)，則將該值從基因庫(kù)中刪除，上述過(guò)程就是基因庫(kù)進(jìn)化。（4）當(dāng)檢測(cè)器在與網(wǎng)絡(luò)數(shù)據(jù)進(jìn)行匹配的過(guò)程中，發(fā)現(xiàn)“非我”基因的存在時(shí)，便激活響應(yīng)模塊，由響應(yīng)模塊處理（告警、記錄、拒阻）入侵行為。

5 系統(tǒng)實(shí)驗(yàn)及數(shù)據(jù)分析

實(shí)驗(yàn)采用Snort入侵檢測(cè)系統(tǒng)進(jìn)行驗(yàn)證，使用DARPA數(shù)據(jù)集進(jìn)行檢測(cè)分析。實(shí)驗(yàn)中，入侵檢測(cè)系統(tǒng)共處理1，324，243個(gè)數(shù)據(jù)包，共產(chǎn)生報(bào)警1302個(gè)。對(duì)比不同配置下的入侵檢測(cè)系統(tǒng)的報(bào)警信息，采用默認(rèn)規(guī)則的Snort系統(tǒng)產(chǎn)生了240個(gè)報(bào)警信息，但出現(xiàn)多次重復(fù)報(bào)警；而在基于免疫優(yōu)化原理的入侵檢測(cè)系統(tǒng)中沒(méi)有出現(xiàn)重復(fù)報(bào)警情況。兩種系統(tǒng)的性能參數(shù)比較見(jiàn)表1。

實(shí)驗(yàn)結(jié)果表明，基于免疫優(yōu)化原理的入侵檢測(cè)系統(tǒng)在檢測(cè)率和重復(fù)報(bào)警率上均優(yōu)于采用默認(rèn)規(guī)則的入侵檢測(cè)系統(tǒng)。

6 研究結(jié)論

本文系統(tǒng)模型設(shè)計(jì)中采用免疫優(yōu)化原理，在一定程度上模擬生物免疫過(guò)程，具有較高的檢測(cè)率，較低誤警率。在入侵檢測(cè)階段采用信任域篩選計(jì)算，可以有效提高系統(tǒng)檢測(cè)處理效率。在基因提取階段建立基因編碼表，對(duì)捕獲的數(shù)據(jù)包進(jìn)行匹配，區(qū)分出“自我”與“非我”，實(shí)現(xiàn)數(shù)據(jù)篩選功能。最后通過(guò)實(shí)驗(yàn)驗(yàn)證了基于免疫優(yōu)化原理的入侵檢測(cè)系統(tǒng)在性能方面確有優(yōu)勢(shì)。

參考文獻(xiàn)

[1]楊孔雨，王秀峰.入侵檢測(cè)免疫模型中抗體基因庫(kù)的生成和進(jìn)化[J].計(jì)算機(jī)應(yīng)用，2003（7）.

[2]張曉芬，牛少彰.入侵檢測(cè)系統(tǒng)的標(biāo)準(zhǔn)化[J].中國(guó)數(shù)據(jù)通信，2003（7）.

[3]王瑞，沈海斌，楊向榮，沈鈞毅.入侵檢測(cè)系統(tǒng)模型研究與分析[J].計(jì)算機(jī)工程與應(yīng)用，2003（17）.endprint

摘要：入侵檢測(cè)系統(tǒng)是指能夠自動(dòng)識(shí)別計(jì)算機(jī)系統(tǒng)內(nèi)的入侵行為的系統(tǒng)，它可以檢測(cè)出內(nèi)部用戶(hù)或外部入侵者的非授權(quán)使用、誤用和惡意攻擊等異常行為模式，保護(hù)計(jì)算機(jī)系統(tǒng)的安全。本文在充分研究了人體免疫系統(tǒng)的工作機(jī)理的基礎(chǔ)上，對(duì)于現(xiàn)有的人工免疫模型進(jìn)行了改進(jìn)，使得該模型更易于實(shí)現(xiàn)。并根據(jù)改進(jìn)后的模型設(shè)計(jì)了一個(gè)基于網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)，該系統(tǒng)以網(wǎng)絡(luò)數(shù)據(jù)包為檢測(cè)數(shù)據(jù)來(lái)源，具有能檢測(cè)未知入侵行為、分布式部署等優(yōu)點(diǎn)。

關(guān)鍵詞：入侵檢測(cè)系統(tǒng)（IDS） 免疫 人工免疫模型 網(wǎng)絡(luò)安全

中圖分類(lèi)號(hào)：TP393.08 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1007-9416（2014）08-0189-01

1 引言

隨著信息技術(shù)的快速發(fā)展，網(wǎng)絡(luò)已成為人們?nèi)粘Ｉ?、工作、學(xué)習(xí)不可或缺的部分，但網(wǎng)絡(luò)安全問(wèn)題也日益嚴(yán)峻。根據(jù)CNCERT發(fā)布的總第44期互聯(lián)網(wǎng)安全威脅報(bào)告顯示2014年8月份境內(nèi)感染網(wǎng)絡(luò)病毒的終端數(shù)量約為217萬(wàn)余個(gè)，被篡改網(wǎng)站數(shù)量為11597個(gè)[1]。面對(duì)網(wǎng)絡(luò)安全威脅與日俱增的現(xiàn)實(shí)，網(wǎng)絡(luò)安全問(wèn)題越來(lái)越被重視，入侵檢測(cè)技術(shù)作為一種積極主動(dòng)防御技術(shù)已成為網(wǎng)絡(luò)安全研究的一個(gè)重要領(lǐng)域。本文對(duì)基于免疫優(yōu)化原理的入侵檢測(cè)系統(tǒng)進(jìn)行了研究，并在研究基礎(chǔ)上設(shè)計(jì)了系統(tǒng)模型。

2 入侵檢測(cè)技術(shù)

入侵檢測(cè)（Intrusion Detection）是通過(guò)收集和分析網(wǎng)絡(luò)中或終端間的網(wǎng)絡(luò)數(shù)據(jù)包，判斷網(wǎng)絡(luò)或終端中是否存在違反安全策略的行為和被攻擊的跡象[2]。從技術(shù)上分為基于特征的檢測(cè)技術(shù)和基于異常的檢測(cè)技術(shù)。兩種檢測(cè)技術(shù)各有特點(diǎn)，基于特征的檢測(cè)技術(shù)的核心是特征庫(kù)維護(hù)，其對(duì)于已知的攻擊行為可以準(zhǔn)確報(bào)告，但缺少對(duì)未知攻擊行為判別的能力；而基于異常的檢測(cè)技術(shù)無(wú)法準(zhǔn)確判別出網(wǎng)絡(luò)攻擊的方法，但可以有效識(shí)別未知的攻擊行為。

3 免疫優(yōu)化原理

免疫學(xué)家認(rèn)為“免疫就是識(shí)別自我（Self）和非我（Non-self），并消滅非我，是為了保證機(jī)體完整性的一種生理學(xué)反應(yīng)”[3]。計(jì)算機(jī)學(xué)者受生物免疫系統(tǒng)的啟發(fā)提出人工免疫系統(tǒng)，通過(guò)模仿生物免疫系統(tǒng)的防御機(jī)制建立計(jì)算機(jī)免疫系統(tǒng)，使計(jì)算機(jī)系統(tǒng)具有克隆選擇、記憶學(xué)習(xí)、免疫遺忘、多樣性遺傳等免疫計(jì)算能力。

4 基于免疫優(yōu)化原理入侵檢測(cè)系統(tǒng)模型設(shè)計(jì)

本文運(yùn)用適應(yīng)性免疫系統(tǒng)的免疫機(jī)制、克隆選擇以及多樣性機(jī)制和免疫記憶機(jī)制來(lái)構(gòu)建基于免疫優(yōu)化原理入侵檢測(cè)系統(tǒng)模型，主要包括數(shù)據(jù)采集模塊、預(yù)處理模塊、免疫模塊、響應(yīng)模塊。

4.1 數(shù)據(jù)采集和預(yù)處理模塊

（1）數(shù)據(jù)采集模塊是入侵檢測(cè)系統(tǒng)捕獲網(wǎng)絡(luò)數(shù)據(jù)包獲得入侵檢測(cè)數(shù)據(jù)的主要途徑，是系統(tǒng)工作的底層部分。（2）預(yù)處理模塊主要實(shí)現(xiàn)數(shù)據(jù)包的初步篩選及編碼。預(yù)處理模塊需要對(duì)IP數(shù)據(jù)包頭中的協(xié)議類(lèi)型字段進(jìn)行判斷，防止IP分片重疊攻擊。

4.2 免疫模塊

免疫模塊主要負(fù)責(zé)處理抗原，是入侵檢測(cè)系統(tǒng)的核心。免疫模塊分為基因提取、檢測(cè)系統(tǒng)、基因庫(kù)進(jìn)化、響應(yīng)代理四個(gè)部分。

（1）基因提??；入侵檢測(cè)的一個(gè)重要步驟就是將截取到的網(wǎng)絡(luò)數(shù)據(jù)包進(jìn)行過(guò)濾篩選，區(qū)分出“自我”與“非我”。為了提高系統(tǒng)效率，建立了IP地址信任域。當(dāng)域外計(jì)算機(jī)系統(tǒng)發(fā)送數(shù)據(jù)包時(shí)，域外IP地址和域內(nèi)IP地址完全不匹配，則與域內(nèi)IP地址發(fā)生匹配的IP地址被視為不完全匹配；當(dāng)匹配到兩個(gè)完全相同的數(shù)據(jù)包IP時(shí)則認(rèn)為是完全匹配并進(jìn)行數(shù)據(jù)篩選。信任域的數(shù)據(jù)集是變化的，系統(tǒng)對(duì)來(lái)自域外IP地址的數(shù)據(jù)包的目的性進(jìn)行辨別來(lái)采取添加或刪除處理。（2）檢測(cè)器生成；檢測(cè)系統(tǒng)是由基因庫(kù)的屬性選取、“自我”集合的正向選擇、“非我”集合的克隆選擇三個(gè)部分組成。（3）基因庫(kù)進(jìn)化；基因庫(kù)是“自我”基因所取得值組成的集合。每次檢測(cè)抗原之后，需要對(duì)抗原的基因進(jìn)行分析，如果抗體中包含有基因庫(kù)中沒(méi)有的基因取值，就要將該值添加到基因庫(kù)中。如果一個(gè)基因取值在設(shè)定時(shí)間內(nèi)未出現(xiàn)過(guò)，則將該值從基因庫(kù)中刪除，上述過(guò)程就是基因庫(kù)進(jìn)化。（4）當(dāng)檢測(cè)器在與網(wǎng)絡(luò)數(shù)據(jù)進(jìn)行匹配的過(guò)程中，發(fā)現(xiàn)“非我”基因的存在時(shí)，便激活響應(yīng)模塊，由響應(yīng)模塊處理（告警、記錄、拒阻）入侵行為。

5 系統(tǒng)實(shí)驗(yàn)及數(shù)據(jù)分析

實(shí)驗(yàn)采用Snort入侵檢測(cè)系統(tǒng)進(jìn)行驗(yàn)證，使用DARPA數(shù)據(jù)集進(jìn)行檢測(cè)分析。實(shí)驗(yàn)中，入侵檢測(cè)系統(tǒng)共處理1，324，243個(gè)數(shù)據(jù)包，共產(chǎn)生報(bào)警1302個(gè)。對(duì)比不同配置下的入侵檢測(cè)系統(tǒng)的報(bào)警信息，采用默認(rèn)規(guī)則的Snort系統(tǒng)產(chǎn)生了240個(gè)報(bào)警信息，但出現(xiàn)多次重復(fù)報(bào)警；而在基于免疫優(yōu)化原理的入侵檢測(cè)系統(tǒng)中沒(méi)有出現(xiàn)重復(fù)報(bào)警情況。兩種系統(tǒng)的性能參數(shù)比較見(jiàn)表1。

實(shí)驗(yàn)結(jié)果表明，基于免疫優(yōu)化原理的入侵檢測(cè)系統(tǒng)在檢測(cè)率和重復(fù)報(bào)警率上均優(yōu)于采用默認(rèn)規(guī)則的入侵檢測(cè)系統(tǒng)。

6 研究結(jié)論

本文系統(tǒng)模型設(shè)計(jì)中采用免疫優(yōu)化原理，在一定程度上模擬生物免疫過(guò)程，具有較高的檢測(cè)率，較低誤警率。在入侵檢測(cè)階段采用信任域篩選計(jì)算，可以有效提高系統(tǒng)檢測(cè)處理效率。在基因提取階段建立基因編碼表，對(duì)捕獲的數(shù)據(jù)包進(jìn)行匹配，區(qū)分出“自我”與“非我”，實(shí)現(xiàn)數(shù)據(jù)篩選功能。最后通過(guò)實(shí)驗(yàn)驗(yàn)證了基于免疫優(yōu)化原理的入侵檢測(cè)系統(tǒng)在性能方面確有優(yōu)勢(shì)。

參考文獻(xiàn)

[1]楊孔雨，王秀峰.入侵檢測(cè)免疫模型中抗體基因庫(kù)的生成和進(jìn)化[J].計(jì)算機(jī)應(yīng)用，2003（7）.

[2]張曉芬，牛少彰.入侵檢測(cè)系統(tǒng)的標(biāo)準(zhǔn)化[J].中國(guó)數(shù)據(jù)通信，2003（7）.

[3]王瑞，沈海斌，楊向榮，沈鈞毅.入侵檢測(cè)系統(tǒng)模型研究與分析[J].計(jì)算機(jī)工程與應(yīng)用，2003（17）.endprint

摘要：入侵檢測(cè)系統(tǒng)是指能夠自動(dòng)識(shí)別計(jì)算機(jī)系統(tǒng)內(nèi)的入侵行為的系統(tǒng)，它可以檢測(cè)出內(nèi)部用戶(hù)或外部入侵者的非授權(quán)使用、誤用和惡意攻擊等異常行為模式，保護(hù)計(jì)算機(jī)系統(tǒng)的安全。本文在充分研究了人體免疫系統(tǒng)的工作機(jī)理的基礎(chǔ)上，對(duì)于現(xiàn)有的人工免疫模型進(jìn)行了改進(jìn)，使得該模型更易于實(shí)現(xiàn)。并根據(jù)改進(jìn)后的模型設(shè)計(jì)了一個(gè)基于網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)，該系統(tǒng)以網(wǎng)絡(luò)數(shù)據(jù)包為檢測(cè)數(shù)據(jù)來(lái)源，具有能檢測(cè)未知入侵行為、分布式部署等優(yōu)點(diǎn)。

關(guān)鍵詞：入侵檢測(cè)系統(tǒng)（IDS） 免疫 人工免疫模型 網(wǎng)絡(luò)安全

中圖分類(lèi)號(hào)：TP393.08 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1007-9416（2014）08-0189-01

1 引言

隨著信息技術(shù)的快速發(fā)展，網(wǎng)絡(luò)已成為人們?nèi)粘Ｉ睢⒐ぷ?、學(xué)習(xí)不可或缺的部分，但網(wǎng)絡(luò)安全問(wèn)題也日益嚴(yán)峻。根據(jù)CNCERT發(fā)布的總第44期互聯(lián)網(wǎng)安全威脅報(bào)告顯示2014年8月份境內(nèi)感染網(wǎng)絡(luò)病毒的終端數(shù)量約為217萬(wàn)余個(gè)，被篡改網(wǎng)站數(shù)量為11597個(gè)[1]。面對(duì)網(wǎng)絡(luò)安全威脅與日俱增的現(xiàn)實(shí)，網(wǎng)絡(luò)安全問(wèn)題越來(lái)越被重視，入侵檢測(cè)技術(shù)作為一種積極主動(dòng)防御技術(shù)已成為網(wǎng)絡(luò)安全研究的一個(gè)重要領(lǐng)域。本文對(duì)基于免疫優(yōu)化原理的入侵檢測(cè)系統(tǒng)進(jìn)行了研究，并在研究基礎(chǔ)上設(shè)計(jì)了系統(tǒng)模型。

2 入侵檢測(cè)技術(shù)

入侵檢測(cè)（Intrusion Detection）是通過(guò)收集和分析網(wǎng)絡(luò)中或終端間的網(wǎng)絡(luò)數(shù)據(jù)包，判斷網(wǎng)絡(luò)或終端中是否存在違反安全策略的行為和被攻擊的跡象[2]。從技術(shù)上分為基于特征的檢測(cè)技術(shù)和基于異常的檢測(cè)技術(shù)。兩種檢測(cè)技術(shù)各有特點(diǎn)，基于特征的檢測(cè)技術(shù)的核心是特征庫(kù)維護(hù)，其對(duì)于已知的攻擊行為可以準(zhǔn)確報(bào)告，但缺少對(duì)未知攻擊行為判別的能力；而基于異常的檢測(cè)技術(shù)無(wú)法準(zhǔn)確判別出網(wǎng)絡(luò)攻擊的方法，但可以有效識(shí)別未知的攻擊行為。

3 免疫優(yōu)化原理

免疫學(xué)家認(rèn)為“免疫就是識(shí)別自我（Self）和非我（Non-self），并消滅非我，是為了保證機(jī)體完整性的一種生理學(xué)反應(yīng)”[3]。計(jì)算機(jī)學(xué)者受生物免疫系統(tǒng)的啟發(fā)提出人工免疫系統(tǒng)，通過(guò)模仿生物免疫系統(tǒng)的防御機(jī)制建立計(jì)算機(jī)免疫系統(tǒng)，使計(jì)算機(jī)系統(tǒng)具有克隆選擇、記憶學(xué)習(xí)、免疫遺忘、多樣性遺傳等免疫計(jì)算能力。

4 基于免疫優(yōu)化原理入侵檢測(cè)系統(tǒng)模型設(shè)計(jì)

本文運(yùn)用適應(yīng)性免疫系統(tǒng)的免疫機(jī)制、克隆選擇以及多樣性機(jī)制和免疫記憶機(jī)制來(lái)構(gòu)建基于免疫優(yōu)化原理入侵檢測(cè)系統(tǒng)模型，主要包括數(shù)據(jù)采集模塊、預(yù)處理模塊、免疫模塊、響應(yīng)模塊。

4.1 數(shù)據(jù)采集和預(yù)處理模塊

（1）數(shù)據(jù)采集模塊是入侵檢測(cè)系統(tǒng)捕獲網(wǎng)絡(luò)數(shù)據(jù)包獲得入侵檢測(cè)數(shù)據(jù)的主要途徑，是系統(tǒng)工作的底層部分。（2）預(yù)處理模塊主要實(shí)現(xiàn)數(shù)據(jù)包的初步篩選及編碼。預(yù)處理模塊需要對(duì)IP數(shù)據(jù)包頭中的協(xié)議類(lèi)型字段進(jìn)行判斷，防止IP分片重疊攻擊。

4.2 免疫模塊

免疫模塊主要負(fù)責(zé)處理抗原，是入侵檢測(cè)系統(tǒng)的核心。免疫模塊分為基因提取、檢測(cè)系統(tǒng)、基因庫(kù)進(jìn)化、響應(yīng)代理四個(gè)部分。

（1）基因提??；入侵檢測(cè)的一個(gè)重要步驟就是將截取到的網(wǎng)絡(luò)數(shù)據(jù)包進(jìn)行過(guò)濾篩選，區(qū)分出“自我”與“非我”。為了提高系統(tǒng)效率，建立了IP地址信任域。當(dāng)域外計(jì)算機(jī)系統(tǒng)發(fā)送數(shù)據(jù)包時(shí)，域外IP地址和域內(nèi)IP地址完全不匹配，則與域內(nèi)IP地址發(fā)生匹配的IP地址被視為不完全匹配；當(dāng)匹配到兩個(gè)完全相同的數(shù)據(jù)包IP時(shí)則認(rèn)為是完全匹配并進(jìn)行數(shù)據(jù)篩選。信任域的數(shù)據(jù)集是變化的，系統(tǒng)對(duì)來(lái)自域外IP地址的數(shù)據(jù)包的目的性進(jìn)行辨別來(lái)采取添加或刪除處理。（2）檢測(cè)器生成；檢測(cè)系統(tǒng)是由基因庫(kù)的屬性選取、“自我”集合的正向選擇、“非我”集合的克隆選擇三個(gè)部分組成。（3）基因庫(kù)進(jìn)化；基因庫(kù)是“自我”基因所取得值組成的集合。每次檢測(cè)抗原之后，需要對(duì)抗原的基因進(jìn)行分析，如果抗體中包含有基因庫(kù)中沒(méi)有的基因取值，就要將該值添加到基因庫(kù)中。如果一個(gè)基因取值在設(shè)定時(shí)間內(nèi)未出現(xiàn)過(guò)，則將該值從基因庫(kù)中刪除，上述過(guò)程就是基因庫(kù)進(jìn)化。（4）當(dāng)檢測(cè)器在與網(wǎng)絡(luò)數(shù)據(jù)進(jìn)行匹配的過(guò)程中，發(fā)現(xiàn)“非我”基因的存在時(shí)，便激活響應(yīng)模塊，由響應(yīng)模塊處理（告警、記錄、拒阻）入侵行為。

5 系統(tǒng)實(shí)驗(yàn)及數(shù)據(jù)分析

實(shí)驗(yàn)采用Snort入侵檢測(cè)系統(tǒng)進(jìn)行驗(yàn)證，使用DARPA數(shù)據(jù)集進(jìn)行檢測(cè)分析。實(shí)驗(yàn)中，入侵檢測(cè)系統(tǒng)共處理1，324，243個(gè)數(shù)據(jù)包，共產(chǎn)生報(bào)警1302個(gè)。對(duì)比不同配置下的入侵檢測(cè)系統(tǒng)的報(bào)警信息，采用默認(rèn)規(guī)則的Snort系統(tǒng)產(chǎn)生了240個(gè)報(bào)警信息，但出現(xiàn)多次重復(fù)報(bào)警；而在基于免疫優(yōu)化原理的入侵檢測(cè)系統(tǒng)中沒(méi)有出現(xiàn)重復(fù)報(bào)警情況。兩種系統(tǒng)的性能參數(shù)比較見(jiàn)表1。

實(shí)驗(yàn)結(jié)果表明，基于免疫優(yōu)化原理的入侵檢測(cè)系統(tǒng)在檢測(cè)率和重復(fù)報(bào)警率上均優(yōu)于采用默認(rèn)規(guī)則的入侵檢測(cè)系統(tǒng)。

6 研究結(jié)論

本文系統(tǒng)模型設(shè)計(jì)中采用免疫優(yōu)化原理，在一定程度上模擬生物免疫過(guò)程，具有較高的檢測(cè)率，較低誤警率。在入侵檢測(cè)階段采用信任域篩選計(jì)算，可以有效提高系統(tǒng)檢測(cè)處理效率。在基因提取階段建立基因編碼表，對(duì)捕獲的數(shù)據(jù)包進(jìn)行匹配，區(qū)分出“自我”與“非我”，實(shí)現(xiàn)數(shù)據(jù)篩選功能。最后通過(guò)實(shí)驗(yàn)驗(yàn)證了基于免疫優(yōu)化原理的入侵檢測(cè)系統(tǒng)在性能方面確有優(yōu)勢(shì)。

參考文獻(xiàn)

[1]楊孔雨，王秀峰.入侵檢測(cè)免疫模型中抗體基因庫(kù)的生成和進(jìn)化[J].計(jì)算機(jī)應(yīng)用，2003（7）.

[2]張曉芬，牛少彰.入侵檢測(cè)系統(tǒng)的標(biāo)準(zhǔn)化[J].中國(guó)數(shù)據(jù)通信，2003（7）.

[3]王瑞，沈海斌，楊向榮，沈鈞毅.入侵檢測(cè)系統(tǒng)模型研究與分析[J].計(jì)算機(jī)工程與應(yīng)用，2003（17）.endprint