基于人工免疫原理的入侵檢測模型研究

摘要：本文在研究入侵檢測技術和免疫學原理的基礎上，分析了免疫系統的工作機理，將其和入侵檢測系統的工作原理進行了詳細比較，并在研究當前各種人工免疫算法的基礎上，建立了一個新的基于人工免疫的入侵檢測模型框架，實現了當前智能化入侵檢測系統所要求的自學習、自適應、分布式和可擴展功能，具有一定的現實意義。

關鍵詞：入侵檢測系統(IDS)；人工免疫原理；免疫細胞模塊

中圖分類號：TP393文獻標識碼：A文章編號：1009-3044(2008)28-0078-03

Research on Intrusion Detection model Based on Artificial Immune Theory

ZOU Xiao-hua

(1.East China Jiaotong University，Information Engineering College，Nanchang 330013，China; 2. Science and Technology College of NCHU Information Engineering，Nanchang 330034，China)

Abstract: Based on the study intrusion detection technologies and principles of immunity on the basis of the work of the immune system， and its intrusion detection system works carried out a detailed comparison， the current study and in all kinds of artificial immune algorithm established on the basis of Based on a new artificial immune intrusion detectionmodel framework to achieve the current intelligent intrusion detection system required by the self-learning， adaptive， distributed and scalable features， has a practical significance.

Key words:intrusion detection systems (IDS);artificial immune; principle of immune cells Module

1 引言

入侵檢測是近年來網絡安全研究的熱點，隨著計算機和網絡技術的不斷發展，系統遭受的入侵和攻擊也越來越多。一方面，網絡的規模越大，結構越復雜，軟件的規模和數量越大，系統遭受攻擊的機會就越多；另一方面，隨著計算機和網絡技術的不斷普及，越來越多的漏洞被人們發現，入侵者的水平也越來越高，手段變得更加高明和隱蔽。因此，網絡與信息安全問題顯得越來越突出，研究入侵防御技術很有必要。

傳統的網絡安全防護，是以防火墻和殺毒軟件為主體，再加上身份認證機制等構建的防護體系，這種方法對防止系統被非法入侵有一定的效果。但是某些入侵者會設法尋找防火墻背后可能敞開的通道對其進行攻擊，另一方面防火墻在防止網絡內部襲擊等方面收效甚微，對于企業內部心懷不滿而又技術高超的員工來說，防火墻形同虛設。而且，由于功能有限，防火墻通常不能提供有效的入侵檢測。因此，要構建一個合格的網絡安全保護體系，光靠防火墻是遠遠不夠的，還需要有能夠對網絡進行實時監控、實時報警并且能夠有效識別攻擊手段的網絡安全工具，入侵檢測系統（IDS，Intrusion Detection System）應運而生。入侵檢測系統可通過對計算機網絡或計算機系統中若干關鍵點的信息收集并對其進行分析，發現網絡或系統中違反安全策略的行為和攻擊跡象，產生報警，從而有效防護網絡的安全。入侵檢測系統作為防火墻之后的有益補充，有著不可替代的作用，在網絡安全防護中的地位也越來越突出。作為一個全新的、快速發展的領域，有關入侵檢測的研究已經成為網絡安全中極為重要的一個課題，已經引起了國內外許多專家學者的廣泛重視，對入侵檢測系統的研究具有十分重要的意義。

2 免疫系統的生物原理

生物保護自身免受外來病菌的侵害是通過其免疫系統完成的。免疫系統的物質基礎是淋巴細胞，它們由骨髓產生，分布于全身，種類繁多，各自起著不同的作用。淋巴細胞中重要的有 T 細胞和 B 細胞。在骨髓中產生的未成熟 T 細胞進入另一個中樞免疫器官———胸腺，在其中分化發育為兩大類 T 細胞，不合格的 T 細胞(會產生自體免疫) 被消滅，而成熟的 T 細胞分布在脾和淋巴結中以等待外來入侵。從所有未成熟 T 細胞中選擇符合條件的成熟T 細胞的過程稱為“陰性選擇”。每個 B 細胞產生一種依附于其表面的抗體，用以探測相應的抗原。B 細胞可以產生數百萬不同種類的抗體，每個抗體只對一種抗原有效，這就是免疫系統的多樣性和特定性。當 B 細胞探測到抗原，并收到輔助 T 細胞發來的信號時，便產生免疫應答。其中一部分 B 細胞轉化為漿細胞，產生與抗原相應的抗體，并與抗原結合使之失去活性，從而達到清除抗原的目的，這個過程就是先天免疫。沒有轉化為漿細胞的 B 細胞則變為記憶細胞，記錄下該抗原的特征，以提高將來對同一抗原的反應速度。這一反應是后天形成的，稱為后天免疫。

我們要借鑒的就是生物的后天免疫機制。免疫應答有幾個重要的特征: 1) 特異性。免疫活性細胞僅能與相應的抗原起反應，而與無關的抗原不發生反應；2) 排它性。免疫系統能識別“自己”和“非已”抗原，對“非已”的外來抗原產生免疫應答，對“自己”抗原一般沒有反應；3) 多樣性。免疫系統具有龐大的T 細胞和B 細胞庫，可與幾乎所有的外界抗原發生應答；4) 記憶性。初次接觸的抗原被排除后，機體可長期保留這種抗原信息，形成特異性記憶免疫活性細胞，當再次接觸同一抗原時，就會產生迅速而更強的免疫應答；5) 分布性。成熟的免疫活性細胞分布于全身的淋巴，各自完成檢測異己抗原的功能，不需要集中控制。生物免疫系統具有的分布式、自適應和平衡動態能力，正是現有網絡系統所不具備的，我們可以應用生物系統的免疫原理，構造用于進行網絡入侵檢測的人工免疫，解決現有入侵檢測系統的不足，改進其性能。

3 一個人工免疫的入侵檢測系統模型框架

本模型框架主要分為三個模塊，即：未成熟免疫細胞模塊、成熟免疫細胞模塊和記憶免疫細胞模塊。三個模塊對應前面定義的三個免疫細胞結合，并且在每個模塊中分別實現相應的免疫功能。系統根據所要處理的信息的不同，可分為兩個工作流向：一個是免疫細胞處理流向，另一個是抗原的處理流向。

模型整體上分為3個階段：

1) 耐受階段：從開始到耐受期結束時刻 T。首先初始化自體集合以及未成熟免疫細胞集合，在時間T內，如果未成熟免疫細胞與自體集合中任何一個自體發生匹配，則將被刪除并重新產生一個新的未成熟免疫細胞，并再次進入上述過程。如果未成熟免疫細胞在耐受周期內耐受成功，就變為成熟免疫細胞。

2) 學習階段：從T+1時刻開始，成熟的免疫細胞通過克隆選擇，生成能識別大量不同非自體抗原的記憶細胞，添加到記憶免疫細胞集合中。那些通過記憶免疫細胞模塊和成熟免疫細胞模塊檢測被分類為自體的抗原最后被送到未成熟免疫細胞集合再進行耐受。成熟免疫細胞與未知的抗原進行匹配，如果在成熟免疫細胞生命周期內，它的累積匹配次數超過了激活闔值，就會激活，最后這個成熟免疫細胞也就變成了一個記憶免疫細胞。

3) 檢測階段：抗原由系統進行獲取，然后按照前面介紹的免疫細胞和抗原的工作流程不斷循環運行，系統動態運行監視當時網絡狀況，直到系統結束運行。

未成熟免疫細胞模塊、成熟免疫細胞模塊和記憶免疫細胞模塊具有動態性，保持自動更新，使系統具有良好的自適應性和自學習能力。

2.1 記憶免疫細胞模塊

該模塊主要是對輸入的抗原進行檢測，以達到二次應答的目的，并將無法檢測的抗原提交給成熟免疫細胞模塊。本模型中我們認為記憶免疫細具有無限長的生命周期，除非它檢測出自體細胞被刪除或系統結束運行。因此，記憶免疫細胞模塊需要實現以下幾個工作步驟：

1) 抗原與記憶免疫細胞模塊中的抗體進行匹配。如果匹配成功，則進行第2步，否則，將抗原提交給成熟免疫細胞模塊處理。

2) 判斷該抗原是否屬于當前自體集合。如果屬于當前自體集合，則進行第3步；否則，認為該抗原是入侵抗原，將其刪除。

3) 由系統管理員給出協同刺激信號。如果系統管理員認為該抗原是自體，則刪除與該抗原匹配的記憶免疫細胞模塊中的記憶免疫細胞，并將該抗原放入當前自體集合中；否則，刪除該抗原和當前自體集合中對應的自體。

2.2 成熟免疫細胞模塊

該模塊檢測記憶免疫細胞模塊無應答的抗原，對成功檢測出的抗原執行免疫應答，同時將無法檢測的抗原提交給未成熟免疫細胞模塊處理。因此，成熟免疫細胞模塊需要實現以下幾個工作步驟：

1) 抗原與成熟免疫細胞模塊中的抗體進行匹配。如果匹配成功，則進行第2步；否則，將抗原提交給未成熟免疫細胞模塊處理。

2) 判斷該抗原是否屬于當前自體集合。如果屬于當前自體集合，則進行第3步;否則，認為該抗原是入侵抗原，將其刪除，同時對應的成熟的免疫細胞中的計數器加1。

3) 由系統管理員給出協同刺激信號。如果系統管理員認為該抗原是自體，則刪除與該抗原匹配的成熟免疫細胞模塊中的成熟免疫細胞，并將該抗原放入當前自體集合中；否則，刪除該抗原和當前自體集合中對應的自體，同時對應的成熟的免疫細胞中的計數器加1。

4) 判斷成熟免疫細胞的生存周期。如果超過系統設定的生存周期，則刪除該免疫細胞；否則進行第5步。

5) 判斷成熟免疫細胞是否被激活。如果計數器的值達到系統預先設置的閥值，則將成熟免疫細胞提交給記憶免疫細胞，并從成熟免疫細胞模塊中刪除該成熟免疫細胞。

2.3 未成熟免疫細胞模塊

該模塊主要是對經由記憶免疫細胞模塊和成熟免疫細胞模塊檢測后剩下的抗原進行自體耐受，這時我們認為這些抗原已通過檢測，是自體抗原。在這里我們主要利用否定選擇算法，所以在耐受周期內，如果對自體不耐受，則刪除對應的未成熟免疫細胞；否則當年齡超過耐受周期，則把未成熟免疫細胞放入成熟免疫細胞集合中，并從未成熟免疫細胞集合中刪除它。如下圖所示：

■

圖3 未成熟免疫細胞模塊工作原理

2.4 該模型的特點

1) 動態性

由于自體定義并不一定在初始時刻就比較完備，而是在系統實際運行中通過學習和自體耐受不斷地修改添加，逐步完善；另外，引入協同刺激機制后，記 J 區免疫細胞和成熟免疫細胞也會根據條件不斷地變化，使得系統具有很好的動態性。這符合真實的網絡環境：在通信網絡中，大多數的行為具有不定性，在特定的環境中可能是正常的，當環境發生變化時就可能成為一種入侵行為。

2) 自適應性

傳統的入侵檢測方法都是從定義入侵模式開始，而后把采樣的模式與這些入侵模式進行匹配來進行檢測，從而使系統失去了自適應性，無法檢測出己知攻擊的變種和未知攻擊。同時，計算機系統是動態變化的，并且正常的網絡連接或系統通信與異常的網絡連接或系統通信在一定的情況下可以相互轉化，所以在動態變化的系統中很難采用靜態的方法來接決問題。本模型中保持了記憶、成熟和未成熟細胞的動態變化，所以即使某個時候系統中發生了錯誤，模型也能通過內部進化和外部的人為協同刺激等機制有效的解決問題。

3) 多樣性

由于該模型使用二進制字符串來描述問題以及采用r連續位規則作為匹配規則，使得模型中的各個檢測模塊中的檢測器與抗原相匹配時，只需要 r 連續位匹配就匹配成功，而不需要完全匹配，所以表現出一個檢測器能檢測出多個抗原的特性，這與受體多樣性的特點相類似。

4) 準確性

本模型引入了外部協同刺激機制，外部協同刺激類似于生物免疫系統中的協同刺激信號，另外，這種機制也有效的實現了系統與管理人員之間的互動通信，從而大大降低了入侵檢測的誤檢率。

3 結束語

利用免疫系統的原理進行入侵檢測的研究是一個熱門方向，從生物免疫學的原理出發，對基于免疫學的入侵檢測實現方法作了介紹，重點分析了人工免疫的入侵檢測系統模型框架的三個模塊。未成熟免疫細胞模塊、成熟免疫細胞模塊和記憶免疫細胞模塊具有動態性，保持自動更新，使系統具有良好的自適應性和自學習能力。該系統同時具有誤用檢測和異常檢測的優點，具有很好的自我適用能力。該系統檢測器模塊的具體實現和在實際網絡環境中的應用是需要進一步研究的問題。

參考文獻：

[1] 李濤.計算機免疫學[M].北京:電子工業出版社，2004.

[2] 羅守山.入侵檢測[M].北京:北京郵電大學出版社，2004.

[3] 梁可心，李濤.一種基于人工免疫理論的新型入侵檢測模型[J].計算機工程與應用，2005，(2):129-132.

[4] Frank J.Artificial intelligece and tursion dection:Current and future directions.Computer and Security[J].1995，14(1):31.

[5] Hofmeyr A，Forrest S.Architecture for an Artificial Immnune System.Evolutionary Computation Journal[J].2000，8(4):443-473.