基于免疫的多通道入侵防御模型

摘要：提出了一種基于免疫的多通道入侵防御模型，按網(wǎng)絡(luò)協(xié)議類型對數(shù)據(jù)包進(jìn)行分類，利用多過濾器技術(shù)優(yōu)化網(wǎng)絡(luò)流的實(shí)時分析處理，模擬生物免疫系統(tǒng)發(fā)現(xiàn)和殺死病原體的原理，采用免疫細(xì)胞的特殊機(jī)理實(shí)現(xiàn)入侵防御功能，建立受保護(hù)網(wǎng)絡(luò)或主機(jī)的指紋特征庫，減少過濾器分析和處理的數(shù)據(jù)量，提高網(wǎng)絡(luò)入侵防御的效率。實(shí)驗(yàn)結(jié)果表明，本系統(tǒng)提高了入侵防御的智能化程度，能發(fā)現(xiàn)未知攻擊，并能對未知攻擊作出一定的處理。

關(guān)鍵詞：生物免疫系統(tǒng);入侵檢測;入侵防御;指紋特征

中圖分類號：TP309.2

文獻(xiàn)標(biāo)志碼：A

文章編號：1001－3695(2008)06－1846－04

目前，網(wǎng)絡(luò)攻擊事件呈上升趨勢，網(wǎng)絡(luò)入侵對上網(wǎng)用戶造成了巨大的威脅。長期以來，入侵檢測系統(tǒng)（intrusion detection system，IDS）擔(dān)負(fù)著檢測網(wǎng)絡(luò)攻擊的角色，在一定程度上，它為網(wǎng)絡(luò)攻擊的發(fā)現(xiàn)和預(yù)防提供了比較有效的手段[1]。但是，隨著網(wǎng)絡(luò)的飛速發(fā)展，IDS本身暴露出了許多不足之處，最大的缺點(diǎn)就是只能提供報警信息，不能主動對網(wǎng)絡(luò)攻擊作出阻斷操作。IDS雖然不會影響網(wǎng)絡(luò)的流量，但是由于百兆網(wǎng)、千兆網(wǎng)的出現(xiàn)，IDS不能抓取所有的數(shù)據(jù)包，因而存在嚴(yán)重的丟包現(xiàn)象，這會直接影響到網(wǎng)絡(luò)入侵檢測的準(zhǔn)確率。另外，IDS的誤警率和漏報率居高不下，新的攻擊類型出現(xiàn)后，只能在IDS廠商把誤用特征發(fā)布后才能被檢測到，這使得IDS的有效檢測方法總是滯后于新的網(wǎng)絡(luò)入侵。

IDS的種種不足促使了入侵防御系統(tǒng)（intrusion prevention system，IPS）的出現(xiàn)，IPS被放置在網(wǎng)絡(luò)數(shù)據(jù)流的通路中，數(shù)據(jù)包必須經(jīng)過IPS的過濾才能傳給內(nèi)部網(wǎng)絡(luò)。IPS通過高速的硬件技術(shù)檢查網(wǎng)絡(luò)數(shù)據(jù)包中是否含有攻擊特征，如果有則丟棄該數(shù)據(jù)包，否則，讓其進(jìn)入受保護(hù)網(wǎng)絡(luò)。但是，目前的IPS不能檢測出未知攻擊，這使得IPS檢測方法也滯后于新的網(wǎng)絡(luò)攻擊。另外，由于網(wǎng)絡(luò)流必須通過IPS，IPS也容易成為網(wǎng)絡(luò)的瓶頸。

生物免疫系統(tǒng)（biological immune system，BIS）是抗擊病源入侵的首要防御系統(tǒng)，它通過免疫細(xì)胞檢測病原體，并將其消滅。免疫細(xì)胞通過遺傳獲得消滅已知病毒的能力，另外，它通過動態(tài)演化（變異和學(xué)習(xí)）來產(chǎn)生消滅變異病毒或未知病毒的能力。BIS具有良好的學(xué)習(xí)與認(rèn)知性、耐受性、分布性、魯棒性、自適應(yīng)性、免疫反饋性、多樣性和自適應(yīng)性等特征[2]。本文利用BIS的自適應(yīng)性、學(xué)習(xí)性和多樣性等特性[2~4]，提出了基于免疫的入侵防御模型（immunity－based intrusion prevention model，IIPM），模擬BIS的克隆選擇、親和力成熟和自體耐受機(jī)制[5~8]，用攻擊數(shù)據(jù)包的檢測器和處理器實(shí)現(xiàn)了生物免疫細(xì)胞的功能，讓IIPM的檢測器進(jìn)行自我進(jìn)化，發(fā)現(xiàn)新的攻擊并模擬吞噬細(xì)胞[2]（phagocyte）的功能，對入侵?jǐn)?shù)據(jù)包進(jìn)行合理的處理。為了提高IIPM的效率，本文為網(wǎng)絡(luò)內(nèi)的主機(jī)建立了指紋特征庫，讓IIPM有針對性地去發(fā)現(xiàn)并處理攻擊網(wǎng)絡(luò)包，減少IIPM過濾器的負(fù)擔(dān)。

1模型介紹

1．1系統(tǒng)框架

本文提出的IIPM如圖1所示。在IIPM中，網(wǎng)絡(luò)數(shù)據(jù)流首先流入分類器，分類器按照網(wǎng)絡(luò)數(shù)據(jù)包的報頭信息將數(shù)據(jù)包進(jìn)行分類，本文按照協(xié)議進(jìn)行分類。為了保證所有的數(shù)據(jù)包都能按要求進(jìn)行分類，分類器采用高速的硬件設(shè)備，即使網(wǎng)絡(luò)帶寬過高，也可以設(shè)置并行分類器。

為防止漏包現(xiàn)象，采用了多個并行過濾器的方法，讓單個過濾器專注于分析和處理某種或某幾種協(xié)議的網(wǎng)絡(luò)數(shù)據(jù)包，過濾器采用了生物免疫學(xué)的自體耐受、克隆選擇與親和力成熟等機(jī)制，利用模擬了抗體（antibody）的檢測器分析網(wǎng)絡(luò)數(shù)據(jù)包，同時過濾器還采用了模擬吞噬細(xì)胞的處理器來處理被發(fā)現(xiàn)的攻擊數(shù)據(jù)包。為了避免過濾器分析和處理沒有危害的攻擊數(shù)據(jù)包，系統(tǒng)為內(nèi)部網(wǎng)絡(luò)或主機(jī)建立了指紋信息特征庫（參見1.5節(jié)），過濾器根據(jù)指紋信息判斷攻擊數(shù)據(jù)包是否會給受保護(hù)的主機(jī)帶來危害，如果不會，則不對該攻擊數(shù)據(jù)包作任何處理。經(jīng)過過濾器分析和處理的數(shù)據(jù)流變?yōu)檎５臄?shù)據(jù)包，通過高速數(shù)據(jù)合并器的合并，最終傳給受保護(hù)的主機(jī)或網(wǎng)絡(luò)。

1．2過濾器

過濾器是IIPM的核心設(shè)備，它負(fù)責(zé)將網(wǎng)絡(luò)數(shù)據(jù)包進(jìn)行分析和處理，如圖2所示。過濾器中部署了網(wǎng)絡(luò)數(shù)據(jù)包檢測器（簡稱檢測器，參見1.3節(jié)）和網(wǎng)絡(luò)攻擊處理器（簡稱處理器，參見1.4節(jié)）。

檢測器模擬了BIS的抗體[2，9]，它負(fù)責(zé)檢測數(shù)據(jù)包中是否存在攻擊數(shù)據(jù)。送進(jìn)過濾器的數(shù)據(jù)包已按協(xié)議進(jìn)行分類，它必須經(jīng)過檢測器的過濾分析后才能繼續(xù)往下傳輸，如果數(shù)據(jù)包被檢測器確定為攻擊，數(shù)據(jù)包將被交給處理器。檢測器使用了主機(jī)指紋信息庫，通過主機(jī)指紋信息可以判斷攻擊數(shù)據(jù)包是否會對被保護(hù)主機(jī)產(chǎn)生影響，如果對其沒有破壞作用，則不對其進(jìn)行處理，以節(jié)約系統(tǒng)資源。

處理器模擬了生物免疫系統(tǒng)的吞噬細(xì)胞，根據(jù)攻擊數(shù)據(jù)包的特征，處理器可以將攻擊數(shù)據(jù)包進(jìn)行丟棄和修復(fù)等操作，經(jīng)過處理器處理的攻擊包有兩種結(jié)果：從網(wǎng)絡(luò)流中刪除或清除攻擊數(shù)據(jù)后恢復(fù)為正常數(shù)據(jù)包。處理器調(diào)用專門的攻擊處理程序來處理攻擊數(shù)據(jù)包，攻擊處理程序的出現(xiàn)會滯后于新攻擊的出現(xiàn)。因此，如果處理器沒有找到合適的網(wǎng)絡(luò)入侵處理程序，直接將此攻擊包進(jìn)行丟棄。

1．3網(wǎng)絡(luò)數(shù)據(jù)包的分析

數(shù)據(jù)包被定義為P:〈source IP address， target IP address， Protocol， TTL， Content〉。其中：source IP address為數(shù)據(jù)包的源IP地址，target IP address為數(shù)據(jù)包的目的IP地址，Protocol為數(shù)據(jù)包的協(xié)議名；TTL為數(shù)據(jù)包的生命周期；Content為數(shù)據(jù)包的內(nèi)容。

抗體被定義為A:〈gene， type， lifecycle， count〉，gene為抗體識別攻擊的特征碼；type為抗體的類型；lifecycle為抗體的生命周期；count為抗體發(fā)現(xiàn)的攻擊數(shù)。抗體分析數(shù)據(jù)包的過程被定義為Γ(A，P)=0，數(shù)據(jù)包P為正常數(shù)據(jù)包1，數(shù)據(jù)包P為攻擊數(shù)據(jù)包，Γ為網(wǎng)絡(luò)入侵檢測函數(shù)。

檢測器模擬了BIS抗體的機(jī)制，檢測器中的抗體分為記憶抗體、成熟抗體和非成熟抗體[9]。記憶抗體可以直接判定網(wǎng)絡(luò)數(shù)據(jù)包是否為攻擊，它由被攻擊數(shù)據(jù)包激活的成熟抗體進(jìn)化而來；成熟抗體對自體耐受[10~13]（不能被正常數(shù)據(jù)包匹配），但在其生命周期范圍內(nèi)，其親和力還未達(dá)到一定閾值，即成熟抗體還沒有識別到足夠多的攻擊數(shù)據(jù)包，它還需要繼續(xù)進(jìn)化才能成為記憶抗體，如果成熟抗體在其生命周期內(nèi)未進(jìn)化為記憶抗體，則其將走向死亡；非成熟抗體由記憶抗體通過克隆選擇機(jī)制，經(jīng)過變異得來或隨機(jī)地產(chǎn)生，它必須在一定時間（耐受期）內(nèi)通過自體耐受才能進(jìn)化為成熟抗體[2]。

從成熟抗體到記憶抗體這一過程模擬了BIS的抗體親和力成熟過程，使抗體能逐漸進(jìn)化，最終能識別未知的網(wǎng)絡(luò)攻擊。

1．4攻擊數(shù)據(jù)包的處理

吞噬細(xì)胞是生物防止病毒的第二道天然防線，吞噬細(xì)胞監(jiān)控入侵的病毒，一旦發(fā)現(xiàn)病毒，則將其吞入吞噬細(xì)胞內(nèi)，再釋放出溶解酶（dissolving enzyme）把病原體溶解和消化[2]，達(dá)到消除生物病毒的目的。處理器模擬了BIS中的吞噬細(xì)胞功能，它接收由檢測器發(fā)來的攻擊數(shù)據(jù)包并對其進(jìn)行適當(dāng)?shù)奶幚怼Ｔ贗IPM中，處理器被模擬成更加適合對網(wǎng)絡(luò)攻擊數(shù)據(jù)包的處理，它的功能與吞噬細(xì)胞既有相似之處，又有細(xì)微差別，表1顯示了IIPM和生物免疫系統(tǒng)處理外來非法抗原的對應(yīng)關(guān)系。

處理器被定義為T:〈operation，fre，time〉。其中，operation表示處理器處理數(shù)據(jù)包的操作，它是集合〈丟棄，部分刪除，修改，記錄日志，報警，取證〉的子集；fre表示處理器最近被調(diào)用的次數(shù)；time表示第一次被調(diào)用的時間。處理器處理攻擊數(shù)據(jù)包被定義為Ψ(T，P)，T表示處理器；P表示待處理的攻擊數(shù)據(jù)包。

每個過濾器里存儲了特定攻擊的處理方法表（處理特征表），用于標(biāo)志攻擊對應(yīng)的處理方法。當(dāng)過濾器中的檢測器發(fā)現(xiàn)攻擊數(shù)據(jù)包，它就將其傳遞給處理器，處理器在處理方法表中搜索此攻擊的特征，并采用處理特征表中的方法對入侵?jǐn)?shù)據(jù)包進(jìn)行處理。處理器處理數(shù)據(jù)包的動作包括：

a)丟棄數(shù)據(jù)包。被檢測的數(shù)據(jù)包完全是攻擊網(wǎng)絡(luò)流；

b)部分刪除數(shù)據(jù)包。入侵?jǐn)?shù)據(jù)插入在正常的數(shù)據(jù)包中，只需將攻擊部分刪除即可；

c)修改數(shù)據(jù)包。有些攻擊對正常數(shù)據(jù)包的某些包頭信息進(jìn)行了修改，如偽裝IP地址、修改數(shù)據(jù)包長度等，對這些被竄改了的信息進(jìn)行復(fù)原后，數(shù)據(jù)包就還原為正常的網(wǎng)絡(luò)流；

d)記錄。將攻擊的特征記入日志庫，以作為審計的數(shù)據(jù)源；

e)報警。通知管理員發(fā)生攻擊事件；

f)取證。如果有條件配置取證服務(wù)器，處理器可以將攻擊數(shù)據(jù)包及其特征等電子證據(jù)通過保密通道傳送給取證服務(wù)器，作為日后起訴攻擊者的法律證據(jù)。

1．5主機(jī)指紋信息特征庫

部分網(wǎng)絡(luò)入侵具有針對性，它們針對目標(biāo)主機(jī)的系統(tǒng)特性（軟件、操作系統(tǒng)和協(xié)議等漏洞）進(jìn)行攻擊，如果目標(biāo)主機(jī)不具有這種特征，則攻擊數(shù)據(jù)包就不能達(dá)到攻擊的目的。因此，如果網(wǎng)絡(luò)內(nèi)的主機(jī)系統(tǒng)不具備被入侵的特征，即使網(wǎng)絡(luò)流中有攻擊數(shù)據(jù)包，也不會對目標(biāo)主機(jī)造成破壞。當(dāng)出現(xiàn)這種情況時，IIPM會利用主機(jī)指紋信息特征庫進(jìn)行檢測，檢測器獲得網(wǎng)絡(luò)數(shù)據(jù)包時，首先將數(shù)據(jù)包的特征與主機(jī)指紋信息特征庫的記錄進(jìn)行比較，如果存在一條記錄與之匹配，則說明此數(shù)據(jù)包不能被目標(biāo)主機(jī)識別，其對目標(biāo)主機(jī)不會產(chǎn)生影響，模型不再對此數(shù)據(jù)包作分析和處理，讓其通過，這節(jié)約了寶貴的過濾器資源。

主機(jī)指紋信息特征庫存儲了主機(jī)的特征信息。其中包括操作系統(tǒng)類型、版本、運(yùn)行的協(xié)議情況、特定軟件及其版本等信息，它以數(shù)據(jù)庫的形式存儲在受保護(hù)的網(wǎng)絡(luò)或主機(jī)中，過濾器在處理數(shù)據(jù)包之前，都必須對主機(jī)指紋信息特征庫進(jìn)行遍歷性的搜索，查找是否有與之相匹配的記錄。

1．6防止報警和處理泛濫

對多次重復(fù)的同一種網(wǎng)絡(luò)攻擊進(jìn)行反復(fù)的報警和處理，就會造成報警或處理泛濫，這種泛濫會造成過濾器的性能下降。為了避免這種泛濫現(xiàn)象，本文采取了以下措施。

在目前的IDS中，報警信息繁多，使得管理員不能兼顧，造成了警報的泛濫。IIPM的處理器根據(jù)自己被調(diào)用的時間和次數(shù)進(jìn)行綜合判斷，如果同一種處理方式被頻繁調(diào)用，則只進(jìn)行單次報警，從而減少對管理員的干擾。

檢測器提取攻擊數(shù)據(jù)包的特征標(biāo)志符，并將這種標(biāo)志符及其處理程序存入緩存中，下次如果重復(fù)檢測到此種入侵?jǐn)?shù)據(jù)包，直接照上次的方法進(jìn)行處理，不必再去作復(fù)雜的搜索處理程序的操作，這樣可以防止重復(fù)搜索處理程序的動作。

1．7網(wǎng)絡(luò)數(shù)據(jù)包的高速采集和分析

網(wǎng)絡(luò)數(shù)據(jù)包的采集與分析是普通IDS的瓶頸，特別是對于百兆網(wǎng)絡(luò)和千兆網(wǎng)絡(luò)，IDS幾乎不可能將網(wǎng)絡(luò)流中的數(shù)據(jù)包進(jìn)行全部采集和分析，這會引起嚴(yán)重的丟包現(xiàn)象，造成IDS發(fā)生漏報。IIPM借鑒市場上通用的IPS產(chǎn)品的多過濾器技術(shù)，將過濾器固化在專門的硬件系統(tǒng)上，各個過濾器分別處理不同類型的數(shù)據(jù)包。IIPM按照網(wǎng)絡(luò)協(xié)議將過濾器進(jìn)行分類，即不同的過濾器分析和處理不同協(xié)議的數(shù)據(jù)包。系統(tǒng)將捕獲的數(shù)據(jù)包按協(xié)議進(jìn)行分類，然后分別將不同協(xié)議的數(shù)據(jù)包分發(fā)給不同的過濾器。進(jìn)入過濾器的數(shù)據(jù)包針對特定協(xié)議，可減少其處理的數(shù)據(jù)量，并可以讓部署在其中的免疫系統(tǒng)更多地關(guān)注某種（或幾種）協(xié)議數(shù)據(jù)包的檢測與處理，提高檢測的準(zhǔn)確性。過濾器對數(shù)據(jù)包分析完后，交由特定處理設(shè)備進(jìn)行數(shù)據(jù)包的合并，合并后的網(wǎng)絡(luò)流就是過濾了網(wǎng)絡(luò)攻擊的正常數(shù)據(jù)包。

為了節(jié)約過濾器的系統(tǒng)資源，本文還引入了主機(jī)指紋信息特征庫，過濾器將數(shù)據(jù)包的特殊標(biāo)志符與主機(jī)指紋信息特征庫中的記錄進(jìn)行比對，如果存在匹配的記錄，則說明該數(shù)據(jù)包雖然是攻擊數(shù)據(jù)包，但它不會對被保護(hù)主機(jī)造成影響，因此不對它作任何處理，任其通過。

2模擬實(shí)驗(yàn)

2．1實(shí)驗(yàn)環(huán)境

由于架設(shè)固化的過濾器需要一定的物理支持，存在難度，本模型使用個人計算機(jī)模擬過濾器及其他設(shè)備。整個實(shí)驗(yàn)環(huán)境的框架如圖3所示，其中，采用計算機(jī)1模擬數(shù)據(jù)的發(fā)送端，它發(fā)送的數(shù)據(jù)包含有正常的數(shù)據(jù)和部分攻擊數(shù)據(jù)包，如Ping of death、SynFlood、Selfping和其他針對Windows和UNIX的攻擊，計算機(jī)2模擬數(shù)據(jù)的采集模塊，它將計算機(jī)1發(fā)來的數(shù)據(jù)包按協(xié)議類型進(jìn)行分類，分別發(fā)送給過濾器，計算機(jī)3、4、5模擬過濾器，它們基本不會形成數(shù)據(jù)傳輸?shù)钠款i，在其上運(yùn)行著本文提出的過濾器模型；計算機(jī)6模擬了數(shù)據(jù)流的合并器，它將分類數(shù)據(jù)進(jìn)行合并并發(fā)往網(wǎng)絡(luò)數(shù)據(jù)流的目的地。

2．2實(shí)驗(yàn)結(jié)果

本文的實(shí)驗(yàn)主要是為了檢驗(yàn)IIPM捕獲數(shù)據(jù)包的能力、識別未知攻擊的能力和分析處理攻擊數(shù)據(jù)包的效率。在實(shí)驗(yàn)中，筆者收集了部分經(jīng)典攻擊的特征碼，并建立了記憶抗體庫，讓檢測器中的記憶抗體去自我演化，最終識別未知的攻擊。受保護(hù)主機(jī)安裝了Windows 2000 professional SP4操作系統(tǒng)，并根據(jù)此建立了指紋特征庫。過濾器中部署了少量的攻擊處理程序，如果被捕獲的攻擊沒有相應(yīng)的處理程序，則采用丟棄操作。

實(shí)驗(yàn)表明，過濾器一般都能完全處理分配的網(wǎng)絡(luò)數(shù)據(jù)包。在24 h的模擬實(shí)驗(yàn)中，IIPM捕獲的網(wǎng)絡(luò)攻擊數(shù)量如圖4所示。分析和處理攻擊的準(zhǔn)確率如圖5所示。

在圖5中，由于設(shè)置了記憶抗體庫，剛開始能識別所有的攻擊；但在4點(diǎn)左右，由于未知攻擊開始入侵，導(dǎo)致檢測率急劇下降。但是，集成在檢測器中的抗體在不斷地學(xué)習(xí)和自我進(jìn)化，所以檢測率會慢慢上升。由于IIPM中只集成了少量的攻擊處理程序，處理攻擊數(shù)據(jù)包的準(zhǔn)確率還不高，還有待于進(jìn)一步地改善。

3結(jié)束語

本文利用生物免疫系統(tǒng)發(fā)現(xiàn)和消滅病毒的機(jī)制，建立了基于免疫的入侵防御模型。通過設(shè)立多個固化的過濾器和主機(jī)指紋信息特征庫，提高了系統(tǒng)檢測和處理網(wǎng)絡(luò)攻擊數(shù)據(jù)包的速度。IIPM的網(wǎng)絡(luò)入侵?jǐn)?shù)據(jù)包檢測器和處理器模擬了BIS的抗體和吞噬細(xì)胞，利用BIS的自適應(yīng)性、學(xué)習(xí)性和多樣性特點(diǎn)，起到了發(fā)現(xiàn)和處理未知攻擊的目的。本文模擬了IIPM的實(shí)驗(yàn)環(huán)境，實(shí)驗(yàn)結(jié)果表明，IIPM能有效提高網(wǎng)絡(luò)數(shù)據(jù)包的分析和處理速度，能檢測到未知入侵?jǐn)?shù)據(jù)包，并能對網(wǎng)絡(luò)攻擊進(jìn)行處理，達(dá)到入侵防御的目的。但是，本文的入侵檢測和防御性能還不能達(dá)到實(shí)用目的，特別是網(wǎng)絡(luò)攻擊處理器還有待于進(jìn)一步優(yōu)化。

參考文獻(xiàn):

［1］李濤. 網(wǎng)絡(luò)安全概論[M]. 北京: 電子工業(yè)出版社， 2004.

［2］李濤. 計算機(jī)免疫學(xué)[M]. 北京: 電子工業(yè)出版社， 2004.

［3］肖人彬，王磊. 人工免疫系統(tǒng)：原理、模型、分析及展望[J]. 計算機(jī)學(xué)報， 2002，25(12):1281－1293.

［4］FORREST S， HOFEYR S A， SOMAYAJI A. Computer Immunology[J]. Communications of the ACM， 1997， 40(10):88－96.

［5］FORREST S， PERELSON A S. Self－nonself discrimination in a computer[C] //IEEE Symposium on Security and Privacy.Oakland: IEEE， 1994:202－213.

［6］HOFMEYR S A， FORREST S. Architecture for an artificial immune system[J]. Evolutionary Computation， 2000， 8(4):443－473.

［7］HOFMEYR S A， FORREST S. Immunity by design:an artificial immune system[C] //Proc of Genetic Evolutionary Computation Conf. San Francisco: [s.n.]， 1999:1289－1296.

［8］HOFMEYR S A. An immunological model of distributed detection and its application to computer security[D]. Mexico: Department of Computer Sciences， University of New Mexico， 1999.

［9］LI T. An immune based dynamic intrusion detection model[J]. Chinese Science Bulletin， 2005， 50(22):2650－2657.

［10］DASGUPTA D. An immunity－based technique to characterize intrusions in computer networks[J]. IEEE Trans on Evolutionary Computation， 2002， 6(3):281－291.

［11］DASGUPTA D. Immunity－based intrusion detection system:a general framework[C] //Proc of the 22nd National Information Systems Security Conference (NISSC). 1999.

［12］KIM J， BENTLEY P J. An evaluation of negative selection in an artificial immune system for network intrusion detection[C] //Proc of Genetic and Evolutionary Computation Conference. 2001.

［13］KIM J， BENTLEY P J. Towards an artificial immune system for network intrusion detection: an investigation of dynamic clonal selection[C] //Proc of Congress on Evolutionary Computation.2002:1015－1020.

注：本文中所涉及到的圖表、注解、公式等內(nèi)容請以PDF格式閱讀原文