免疫原理在入侵檢測技術中的應用研究

摘要：文章介紹了生物免疫的免疫原理及入侵檢測系統(tǒng)的原理，論述了免疫原理在入侵檢測技術中的應用，著重討論了陰性選擇模型與危險理論及有關算法在入侵檢測系統(tǒng)中的應用。最后在分析入侵檢測方法存在問題的基礎上，探討了基于免疫原理的入侵檢測系統(tǒng)的研究方向。

關鍵詞：免疫原理；入侵檢測；陰性選擇；危險理論

中圖分類號：TP393.08文獻標識碼：A文章編號：1009-3044(2008)31-0852-03

Application Research of Intrusion Detection System Based on Immunological Principle

HUANG Bing-jie， XU Xin-zheng

(School of Computer Science and Technology， China University of Science and Technology， Xuzhou 221008， China)

Abstract: The theory of immunity principle and intrusion detection system were introduced. The application of immunology principle in intrusion detection was reviewed. The research on the application of negative selection model and danger theory and algorithms in intrusion detection system were emphasized. Based on the disadvantages of current methods， the development directions were discussed.

Key words: immunology principle; intrusion detection; negative selection; danger theory

1 引言

近年來，隨著網絡技術的發(fā)展和應用范圍的擴大，特別是互聯(lián)網Internet的迅速發(fā)展，人們越來越依賴于網絡來進行迅速的信息訪問和對不同來源的數(shù)據(jù)進行快速的搜集和整理。一方面，網絡為廣大用戶提供了資源的共享性，但另一方面也恰恰由于資源的共享與分布這些特點，急劇增加了網絡安全的脆弱性和網絡遭受攻擊的可能性和風險性。系統(tǒng)遭受的入侵和攻擊越來越多，網絡與信息安全問題變得越來越突出，而傳統(tǒng)的網絡安全技術已不能滿足計算機安全的需要，因而入侵檢測技術得到了迅猛發(fā)展。

在入侵檢測技術和方法的研究中，人們發(fā)現(xiàn)生物免疫系統(tǒng)(Immune System，IS)與入侵檢測系統(tǒng)(Intrusion Detection System，IDS)具有很大的相似性[1]，前者保護生物體不受諸如病毒、病菌等各種病原體的侵害，而后者保護網絡中的計算機不受或少受入侵事件的威脅，兩者都是使受保護對象在不斷變化的環(huán)境中維持系統(tǒng)的穩(wěn)定性。正是這種相似性使得生物免疫系統(tǒng)成為研究與開發(fā)計算機入侵檢測系統(tǒng)的一個自然的模板。目前，基于免疫原理的入侵檢測技術研究已成為一個研究熱點。研究的目的就是利用生物免疫系統(tǒng)的免疫原理、體系結構以及從中提取的有關算法來更好地解決入侵檢測中的相關問題。

2 生物免疫系統(tǒng)的基本原理

生物免疫系統(tǒng)是由免疫活性分子、免疫細胞、免疫組織和器官組成的復雜系統(tǒng)。其結構本質上是多層次的，由分布在幾個層次的防御系統(tǒng)組成。第一層是皮膚，阻止多數(shù)病原體；第二層是物理性的，即溫度、酸性之類的條件；第三層是固有的免疫系統(tǒng)，由游蕩的細胞組成（噬菌細胞）；最后一層是自適應免疫系統(tǒng)，由淋巴細胞組成，適應病原體結構，可有效地清除病原體。

根據(jù)免疫功能的不同，淋巴細胞可分為T細胞和B細胞兩類。B細胞經過分化，一部分成為能產生抗體的漿細胞。抗體分子分為可變區(qū)和恒定區(qū)，可變區(qū)決定了抗體的特異性，產生的抗體和相應的抗原會發(fā)生特異性結合，將抗原殺死。另一部分發(fā)展為記憶細胞，記憶細胞對抗原十分敏感，能記住入侵過的抗原，當有同樣抗原再次入侵時，記憶細胞能更快地作出反應。這就是適應性免疫反應。T細胞能夠專門識別并直接破壞外來組織，發(fā)生免疫移植排斥反應，稱為細胞免疫。T細胞抗原受體是能直接進入細胞膜內部和特異性抗原結合的蛋白質，以此進行識別，分裂產生大量的新的細胞，這些T細胞能分泌細胞毒素，使移植器官的細胞凋亡[2]。

由此我們可以看出自適應性免疫系統(tǒng)主要有以下重要工作機制：

1) 識別機制。免疫系統(tǒng)能夠識別體內分子與外來分子，將所有的細胞分為兩類：人體“自我(Self)”細胞和“非自我(Non-self)”細胞，免疫系統(tǒng)只對“非自我”細胞具有免疫作用。

2) 受體多樣性。免疫系統(tǒng)通過綁定外來的“非自我”細胞來進行檢測，因此免疫系統(tǒng)必須有足夠多的淋巴細胞才能確保檢測出任意給出的抗原。

3) 自適應網絡。免疫網絡學說[6]表明，免疫系統(tǒng)中的B細胞通過識別與被識別組成一個網絡，對抗原的識別是網絡中的B細胞相互作用的結果，免疫網絡與神經網絡一樣，是一個能夠學習和記憶的自適應網絡。

4) 記憶機制。免疫系統(tǒng)消滅抗原后，產生記憶細胞，當與該抗原相似的抗原再次入侵機體時，免疫系統(tǒng)能產生更快速、更強烈的二次應答。

5) 并行的分布系統(tǒng)。免疫系統(tǒng)中的淋巴細胞分布于全身， 根據(jù)周圍的環(huán)境自適應地確定自身的行為，整個免疫系統(tǒng)是一個沒有控制中心的并行的分布自治系統(tǒng)。

3 入侵檢測系統(tǒng)原理

入侵檢測系統(tǒng)(Intrusion Detection System， IDS)是一種能自動檢測計算機系統(tǒng)入侵行為的系統(tǒng)。入侵檢測本質上是一種電子數(shù)據(jù)處理過程，按照預先確定的方法對收集到的安全審計數(shù)據(jù)進行分析處理，根據(jù)分析結果做出系統(tǒng)是否被入侵的結論。收集到的數(shù)據(jù)一般是系統(tǒng)日志或網絡事件日志，預先確定的方法一般是某種模式匹配技術或者統(tǒng)計學分析技術，或者是二者的結合。

根據(jù)監(jiān)視的對象，入侵檢測系統(tǒng)可分為網絡入侵檢測系統(tǒng)、主機入侵檢測系統(tǒng)和應用入侵檢測系統(tǒng)三種。入侵監(jiān)測系統(tǒng)執(zhí)行的主要功能包括：監(jiān)視、分析用戶和系統(tǒng)活動；識別已知的攻擊模式，并做出響應；統(tǒng)計分析異常行為模式；評估重要系統(tǒng)和數(shù)據(jù)文件的完整性。一般由信息收集、數(shù)據(jù)分析和響應三個功能模塊組成。

入侵檢測基于的一個重要前提是：入侵行為和合法訪問行為是可區(qū)分的，也就是說可以通過提取網絡行為的數(shù)字特征來分析判斷該行為的合法性。一個基本的入侵檢測系統(tǒng)需要解決兩個問題：一是如何充分并可靠地提取包含關鍵行為特征的數(shù)據(jù)；二是如何高效并準確地判定行為的合法性。通常情況下的入侵檢測系統(tǒng)分析方法可以分為兩類：異常檢測模型和誤用檢測模型[3]。

基于異常的入侵檢測方法主要來源于這樣的思想：任何人的正常行為都是有一定的規(guī)律的，分析這些行為產生的日志信息總結出這些規(guī)律。而入侵和濫用行為則通常和正常的行為存在嚴重的差異，通過比較這些差異來檢測出入侵。此外，不屬于入侵的異常用戶行為，比如濫用自己的權限，也能被檢測到。異常入侵檢測方法主要有：1)概率統(tǒng)計方法；2)神經網絡方法；3)生物免疫學方法。

基于誤用的入侵檢測方法通過使用某種模式或者信號標識表示攻擊，進而發(fā)現(xiàn)相同的攻擊，這種方式可以檢測許多甚至全部已知的攻擊行為，但是對于未知的攻擊手段卻無能為力。

4 免疫原理在入侵檢測系統(tǒng)中的應用

生物免疫系統(tǒng)與入侵檢測系統(tǒng)有著功能上的相似之處，如表1所示[4]。免疫系統(tǒng)的分布性、多樣性、自組織性、完備性和精簡性使它精確有效地保護著生物個體。這使得人們希望借助于前者的原理更好地實現(xiàn)后者的功能．在合法的“自己”行為中判別出非法的“異己”行為。

最早將自然免疫的一些思想引人信息安全領域的是S．Forrest。l994年，New Mexico大學的S．Forrest和她所在的研究小組將免疫學的原理應用于計算機安全領域。他們設計了一個用來保護計算機系統(tǒng)的人工免疫系統(tǒng)。S.Forrest首先對人工免疫系統(tǒng)的體系結構進行了詳細描述，包括問題定義，識別器，訓練和識別系統(tǒng)，記憶，敏感度，共同激活，生命周期，表達形式和免疫反應等九個方面的內容，并建立與該體系結構相符合的LISYS系統(tǒng)。該系統(tǒng)最突出的特點就是繼承了人體免疫系統(tǒng)中區(qū)分自我(Self)和非我(Non-self)的機制，與人體免疫系統(tǒng)不同的是計算機系統(tǒng)中自我是指合法用戶行為、未被壞的數(shù)據(jù)等，而非我是指非授權用戶的行為、病毒和惡意代碼等[5]。

目前，在免疫學中比較成熟并占主導地位的學說有抗體克隆選擇學說和免疫網絡學說[6]，基于這兩個學說提出的人工免疫系統(tǒng)(Artificial Immune System， AIS)模型大致分為網絡模型和陰性選擇模型，其中后一模型廣泛用于建立入侵檢測系統(tǒng)，涉及到的免疫機制包括免疫應答、免疫系統(tǒng)的特異識別、模式識別、克隆選擇和擴增、免疫記憶和自我與非自我區(qū)分等。最近，隨著生物免疫學的豐富和完善，一個新的免疫理論——危險模式理論已經引起人們的興趣，它在入侵檢測中的應用研究已經展開。

4.1 基于抗體克隆選擇學說的陰性選擇模型

抗體克隆選擇學說的特點是：外來抗原選擇出原先處于靜止狀態(tài)的互補細胞克隆，被選擇細胞克隆的激活、增殖和效應功能是免疫應答的細胞學過程，而針對自身抗原的細胞克隆則被抑制或消除，因而對外來抗原的識別是關鍵的因素[6]。基于該學說的入侵檢測技術通常要建立一個檢測子集合用以匹配抗原，檢測子是隨機生成的，然后要經過陰性選擇階段得到成熟的檢測子。

4.1.1 陰性選擇原理

免疫識別是免疫系統(tǒng)的主要功能，同時也是AIS的核心之一，而識別的本質是區(qū)分“自我”和“非自我”。免疫識別是通過淋巴細胞上的抗原識別受體與抗原的結合實現(xiàn)的，結合的強度稱為親合度(Affinity)。未成熟的T細胞首先要經歷一個審查環(huán)節(jié)，只有那些不能與“自我(即機體本身組織)” 發(fā)生應答的T細胞才可以離開胸腺，執(zhí)行免疫應答的任務，從而防止免疫細胞對機體造成錯誤攻擊。該過程稱為陰性選擇(Negative Selection)。

4.1.2 陰性選擇算法[7]

基于陰性選擇原理，D’haeseleer給出了一種陰性選擇算法，用于監(jiān)測數(shù)據(jù)改變。其中抗體(問題解答)與抗原(問題) 的匹配采用Forrest提出的部分匹配規(guī)則，如圖1所示。

■

圖1 陰性選擇的R連續(xù)匹配規(guī)則

該算法的流程如下：

Step1 定義一組長度為L的字符串集合S來代表自我，用于檢測。

Step2 產生檢測器集合R，依據(jù)陰性選擇原理，對每個檢測器進行審查。審查采用部分匹配規(guī)則，即兩個字符串匹配當且僅當至少有r個連續(xù)位相同，其中r為參數(shù)。

Step3 通過連續(xù)地將R中的檢測器與S比較來監(jiān)測S的改變。如果檢測器發(fā)生匹配，則有改變發(fā)生。

這些成熟的檢測子監(jiān)視網絡中的數(shù)據(jù)，如果匹配到的異常超過預先設定的閾值，檢測子被激活，這時會向人工操作員報告并由其決定這是否是一次真正的入侵，如果是，檢測子通過克隆選擇提升為記憶檢測子。

4.1.3 克隆選擇原理

其大致內容為：當淋巴細胞實現(xiàn)對抗原的識別(即抗體與抗原的親和度超過一定閾值)后，B細胞被激活并增殖復制產生B細胞克隆，隨后克隆細胞經歷變異過程，產生對抗原具有特異性的抗體。

克隆選擇的主要特征是免疫細胞在抗原刺激下產生克隆增殖， 隨后通過遺傳變異分化為多樣性效應細胞(如抗體細胞) 和記憶細胞。克隆選擇對應著一個親合度成熟(Affinity Maturation)的過程，即對抗原親合度較低的個體在克隆選擇機制的作用下，經歷增殖復制和變異操作后，其親合度逐步提高而“成熟”的過程。因此親合度成熟本質上是一個達爾文式的選擇和變異的過程，克隆選擇原理是通過采用交叉、變異等遺傳算子和相應的群體控制機制實現(xiàn)的。

4.1.4 克隆選擇算法[7]

基于克隆選擇原理，DeCastro提出了一種克隆選擇算法，核心是比例復制和比例變異算子。

該算法流程如下：

Step1：產生候選方案的集合S(P)，該集合為內存細胞子集(M)和剩余群體(Pr)的總和(P=Pr+M)。

Step2：基于親和度度量確定群體P中的N個最佳個體Pn。

Step3：對群體中的這N個最佳個體進行克隆(復制)，生成臨時克隆群體C。克隆規(guī)模是抗原親和度度量的單調遞增函數(shù)。

Step4：對克隆生成的群體施加變異操作，變異概率反比于抗體的親和度，從而生成一個成熟的抗體群體(C*)。

Step5：從C*中重新選擇改進個體組成記憶集合，P集合的一些成員可以由C*的其他改進成員加以替換。

Step6：將群體中的d個低親和度的抗體予以替換，從而維持抗體的多樣性。

該算法成功應用到了二進制字符識別、多峰函數(shù)優(yōu)化和組合優(yōu)化中，取得了良好效果。對比遺傳算法，克隆選擇算法在編碼機制和評價函數(shù)的構造上基本一致，但搜索的策略和步驟有所不同；而且通過免疫記憶機制，該算法可以保存各個局部最優(yōu)解，這對于多峰函數(shù)優(yōu)化十分重要。

4.2 基于危險理論模式的入侵檢測模型

4.2.1 危險理論思想

危險理論(Danger Theory， DT) 認為誘發(fā)機體免疫應答的關鍵因素是入侵者產生的危險信號的程度而不是入侵者的異己性，因而不論是自體因素發(fā)生改變，還是外界因素產生影響，只要出現(xiàn)供機體識別的危險信號就可以誘發(fā)效應細胞的活化。Matzinger認為[8]，危險的外來入侵者會啟動細胞應激或細胞死亡而導致危險信號的產生，危險信號由抗原提呈細胞(Antigen Presenting Cells ， APCs)識別，此時產生信號1，同時危險信號在其周圍建立一個危險區(qū)域，在該區(qū)域之內的B細胞產生與抗原相匹配的抗體，并被活化，同時開始克隆增殖過程。在同時具備信號1和危險信號的情況下，APCs 提供第二信號給免疫殺死T細胞，產生免疫應答，清除抗原。

在Matzinger的觀點中，危險模式理論涉及三種信號：危險信號是受損細胞發(fā)出的，用來激活靜息APCs提呈抗原；信號1 是綁定免疫細胞到抗原模式或者被一個APC提呈的抗原片斷；信號2或者通過T幫助細胞給的“幫助”信號來激活B細胞，或者通過一個APC給定的協(xié)同刺激信號來激活T細胞。通過三種信號分工協(xié)作，共同完成免疫應答過程從而清除有害病原體，保護機體自身安全[9]。

4.2.2 基于危險理論的入侵檢測系統(tǒng)模型

根據(jù)危險理論框架，可以提出基于危險理論的入侵檢測系統(tǒng)模型，在這個系統(tǒng)中，檢測器的產生是其中的關鍵環(huán)節(jié)，只有產生了有效的檢測器，才能提高檢測率，降低誤報率。文獻[9]提出了動態(tài)的檢測器的生成過程：當計算機系統(tǒng)中出現(xiàn)危險信號時，抗原提呈組件就進行數(shù)據(jù)分析，把與危險信號相關的數(shù)據(jù)組織成便于識別的模式進行抗原提呈，這種抗原就叫抗體，也即初始的檢測元。初始檢測器中具有一定數(shù)量的檢測元。初始的檢測元個數(shù)達到一定閾值后，就可以進行抗體的克隆和變異，形成成熟的檢測器。

然后進入入侵檢測階段，對于數(shù)據(jù)源，抗原提呈組件等待計算機系統(tǒng)的反應，如果收到危險信號，即把數(shù)據(jù)源中與危險信號相關的信息組織成抗原，與成熟的檢測器進行相似性驗證，同時，根據(jù)危險信號的強度計算危險區(qū)域，如果在危險區(qū)域之內，則清除抗原，否則，交由其他的檢測器進行處理。

將危險模式理論引入入侵檢測，不但可以檢測已知和未知的攻擊，而且可以降低誤報率和解決陰性選擇模型的規(guī)模問題。

5 未來研究方向

由于生物免疫所具有的分布性、多樣性、魯棒性、適應性和特異識別等特性，正是入侵檢測系統(tǒng)所希望具有的特性，因此一些免疫機制和免疫算法被用來實現(xiàn)入侵檢測。目前對抗體克隆選擇學說的研究已比較成熟，對其在入侵檢測技術中的應用研究也最多，取得的成果也最豐富，但由于陰性選擇算法只能處理簡單問題，克隆選擇算法處理動態(tài)問題的能力有限，因此基于自我—非我識別的入侵檢測模型與實際入侵檢測的要求還有一定差距，危險模式理論在生物免疫學界也屬于較新的理論，發(fā)展還不完善，其中的一些原理還沒有完全弄清，因此對其在入侵檢測中的應用研究尚處于起步階段，將是今后研究的方向[10]。

除此之外，關于入侵檢測系統(tǒng)適用范圍的研究，例如它適用于什么樣的數(shù)據(jù)源，什么樣的工作環(huán)境，這一點非常重要；非二進制字符集的研究，大字符集雖然會帶來一些問題，如參數(shù)選擇更加困難，但它有它的適用場合；對降低漏洞的負面影響的研究；其他匹配規(guī)則(如海明距離、編輯距離)及其檢測項產生算法的研究等也是今后研究的方向[11]。

免疫原理在入侵檢測系統(tǒng)中的應用發(fā)展方興未艾，基于免疫原理的入侵檢測技術作為當前計算機安全研究的熱點，還需要做進一步深入、細致和長期的研究。

參考文獻：

[1] 連潔，王杰，李素敏，等.人工免疫原理在入侵檢測系統(tǒng)中的應用研究[J].計算機工程與設計，2006，27(19):3552-3554.

[2] 沈劍賢，沈炯，李益國，等.人工免疫系統(tǒng)原理及其應用[J].汽輪機技術，2005，47(4):248-256.

[3] 楊智君，田地，馬駿驍，等.入侵檢測技術研究綜述[J].計算機工程與設計，2006，27(12):2119-2123.

[4] 楊向榮，沈鈞毅，羅浩.人工免疫原理在網絡入侵檢測中的應用[J].計算機工程，2003，29(6):27-29.

[5] 魯云平，陳蜀宇，姚雪梅.免疫原理在入侵檢測技術中的研究[J].計算機應用研究，2004，(3):228-232.

[6] 焦李成，杜海峰.人工免疫系統(tǒng)進展與展望[J].電子學報，2003，31(10):1540-1548.

[7] 肖人彬，王磊.人工免疫系統(tǒng)原理、模型、分析及展望[J].計算機學報，2002，25(12):1281-1293.

[8] MATZINGER P.The Danger Model:A Renewed Sense of Self[J].Science，2002，296:301-305.

[9] 張玉寧.基于危險理論的入侵檢測系統(tǒng)的檢測器生成過程研究[J].固原師專學報(自然科學)，2006，11.

[10] 趙林惠，戴亞平，徐立新.免疫學原理在入侵檢測中的應用研究[J].計算機應用，2005，8(8):1726-1729.

[11] 李靜，劉雁，張然.免疫機制在網絡入侵檢測中的應用[J].網絡與應用，2005，5:29-31.