基于免疫優化原理的計算機網絡入侵檢測系統

范峻彤

摘要：入侵檢測系統是指能夠自動識別計算機系統內的入侵行為的系統，它可以檢測出內部用戶或外部入侵者的非授權使用、誤用和惡意攻擊等異常行為模式，保護計算機系統的安全。本文在充分研究了人體免疫系統的工作機理的基礎上，對于現有的人工免疫模型進行了改進，使得該模型更易于實現。并根據改進后的模型設計了一個基于網絡的入侵檢測系統，該系統以網絡數據包為檢測數據來源，具有能檢測未知入侵行為、分布式部署等優點。

關鍵詞：入侵檢測系統（IDS） 免疫 人工免疫模型 網絡安全

中圖分類號：TP393.08 文獻標識碼：A 文章編號：1007-9416（2014）08-0189-01

1 引言

隨著信息技術的快速發展，網絡已成為人們日常生活、工作、學習不可或缺的部分，但網絡安全問題也日益嚴峻。根據CNCERT發布的總第44期互聯網安全威脅報告顯示2014年8月份境內感染網絡病毒的終端數量約為217萬余個，被篡改網站數量為11597個[1]。面對網絡安全威脅與日俱增的現實，網絡安全問題越來越被重視，入侵檢測技術作為一種積極主動防御技術已成為網絡安全研究的一個重要領域。本文對基于免疫優化原理的入侵檢測系統進行了研究，并在研究基礎上設計了系統模型。

2 入侵檢測技術

入侵檢測（Intrusion Detection）是通過收集和分析網絡中或終端間的網絡數據包，判斷網絡或終端中是否存在違反安全策略的行為和被攻擊的跡象[2]。從技術上分為基于特征的檢測技術和基于異常的檢測技術。兩種檢測技術各有特點，基于特征的檢測技術的核心是特征庫維護，其對于已知的攻擊行為可以準確報告，但缺少對未知攻擊行為判別的能力；而基于異常的檢測技術無法準確判別出網絡攻擊的方法，但可以有效識別未知的攻擊行為。

3 免疫優化原理

免疫學家認為“免疫就是識別自我（Self）和非我（Non-self），并消滅非我，是為了保證機體完整性的一種生理學反應”[3]。計算機學者受生物免疫系統的啟發提出人工免疫系統，通過模仿生物免疫系統的防御機制建立計算機免疫系統，使計算機系統具有克隆選擇、記憶學習、免疫遺忘、多樣性遺傳等免疫計算能力。

4 基于免疫優化原理入侵檢測系統模型設計

本文運用適應性免疫系統的免疫機制、克隆選擇以及多樣性機制和免疫記憶機制來構建基于免疫優化原理入侵檢測系統模型，主要包括數據采集模塊、預處理模塊、免疫模塊、響應模塊。

4.1 數據采集和預處理模塊

（1）數據采集模塊是入侵檢測系統捕獲網絡數據包獲得入侵檢測數據的主要途徑，是系統工作的底層部分。（2）預處理模塊主要實現數據包的初步篩選及編碼。預處理模塊需要對IP數據包頭中的協議類型字段進行判斷，防止IP分片重疊攻擊。

4.2 免疫模塊

免疫模塊主要負責處理抗原，是入侵檢測系統的核心。免疫模塊分為基因提取、檢測系統、基因庫進化、響應代理四個部分。

（1）基因提??；入侵檢測的一個重要步驟就是將截取到的網絡數據包進行過濾篩選，區分出“自我”與“非我”。為了提高系統效率，建立了IP地址信任域。當域外計算機系統發送數據包時，域外IP地址和域內IP地址完全不匹配，則與域內IP地址發生匹配的IP地址被視為不完全匹配；當匹配到兩個完全相同的數據包IP時則認為是完全匹配并進行數據篩選。信任域的數據集是變化的，系統對來自域外IP地址的數據包的目的性進行辨別來采取添加或刪除處理。（2）檢測器生成；檢測系統是由基因庫的屬性選取、“自我”集合的正向選擇、“非我”集合的克隆選擇三個部分組成。（3）基因庫進化；基因庫是“自我”基因所取得值組成的集合。每次檢測抗原之后，需要對抗原的基因進行分析，如果抗體中包含有基因庫中沒有的基因取值，就要將該值添加到基因庫中。如果一個基因取值在設定時間內未出現過，則將該值從基因庫中刪除，上述過程就是基因庫進化。（4）當檢測器在與網絡數據進行匹配的過程中，發現“非我”基因的存在時，便激活響應模塊，由響應模塊處理（告警、記錄、拒阻）入侵行為。

5 系統實驗及數據分析

實驗采用Snort入侵檢測系統進行驗證，使用DARPA數據集進行檢測分析。實驗中，入侵檢測系統共處理1，324，243個數據包，共產生報警1302個。對比不同配置下的入侵檢測系統的報警信息，采用默認規則的Snort系統產生了240個報警信息，但出現多次重復報警；而在基于免疫優化原理的入侵檢測系統中沒有出現重復報警情況。兩種系統的性能參數比較見表1。

實驗結果表明，基于免疫優化原理的入侵檢測系統在檢測率和重復報警率上均優于采用默認規則的入侵檢測系統。

6 研究結論

本文系統模型設計中采用免疫優化原理，在一定程度上模擬生物免疫過程，具有較高的檢測率，較低誤警率。在入侵檢測階段采用信任域篩選計算，可以有效提高系統檢測處理效率。在基因提取階段建立基因編碼表，對捕獲的數據包進行匹配，區分出“自我”與“非我”，實現數據篩選功能。最后通過實驗驗證了基于免疫優化原理的入侵檢測系統在性能方面確有優勢。

參考文獻

[1]楊孔雨，王秀峰.入侵檢測免疫模型中抗體基因庫的生成和進化[J].計算機應用，2003（7）.

[2]張曉芬，牛少彰.入侵檢測系統的標準化[J].中國數據通信，2003（7）.

[3]王瑞，沈海斌，楊向榮，沈鈞毅.入侵檢測系統模型研究與分析[J].計算機工程與應用，2003（17）.endprint

摘要：入侵檢測系統是指能夠自動識別計算機系統內的入侵行為的系統，它可以檢測出內部用戶或外部入侵者的非授權使用、誤用和惡意攻擊等異常行為模式，保護計算機系統的安全。本文在充分研究了人體免疫系統的工作機理的基礎上，對于現有的人工免疫模型進行了改進，使得該模型更易于實現。并根據改進后的模型設計了一個基于網絡的入侵檢測系統，該系統以網絡數據包為檢測數據來源，具有能檢測未知入侵行為、分布式部署等優點。

關鍵詞：入侵檢測系統（IDS） 免疫 人工免疫模型 網絡安全

中圖分類號：TP393.08 文獻標識碼：A 文章編號：1007-9416（2014）08-0189-01

1 引言

隨著信息技術的快速發展，網絡已成為人們日常生活、工作、學習不可或缺的部分，但網絡安全問題也日益嚴峻。根據CNCERT發布的總第44期互聯網安全威脅報告顯示2014年8月份境內感染網絡病毒的終端數量約為217萬余個，被篡改網站數量為11597個[1]。面對網絡安全威脅與日俱增的現實，網絡安全問題越來越被重視，入侵檢測技術作為一種積極主動防御技術已成為網絡安全研究的一個重要領域。本文對基于免疫優化原理的入侵檢測系統進行了研究，并在研究基礎上設計了系統模型。

2 入侵檢測技術

入侵檢測（Intrusion Detection）是通過收集和分析網絡中或終端間的網絡數據包，判斷網絡或終端中是否存在違反安全策略的行為和被攻擊的跡象[2]。從技術上分為基于特征的檢測技術和基于異常的檢測技術。兩種檢測技術各有特點，基于特征的檢測技術的核心是特征庫維護，其對于已知的攻擊行為可以準確報告，但缺少對未知攻擊行為判別的能力；而基于異常的檢測技術無法準確判別出網絡攻擊的方法，但可以有效識別未知的攻擊行為。

3 免疫優化原理

免疫學家認為“免疫就是識別自我（Self）和非我（Non-self），并消滅非我，是為了保證機體完整性的一種生理學反應”[3]。計算機學者受生物免疫系統的啟發提出人工免疫系統，通過模仿生物免疫系統的防御機制建立計算機免疫系統，使計算機系統具有克隆選擇、記憶學習、免疫遺忘、多樣性遺傳等免疫計算能力。

4 基于免疫優化原理入侵檢測系統模型設計

本文運用適應性免疫系統的免疫機制、克隆選擇以及多樣性機制和免疫記憶機制來構建基于免疫優化原理入侵檢測系統模型，主要包括數據采集模塊、預處理模塊、免疫模塊、響應模塊。

4.1 數據采集和預處理模塊

（1）數據采集模塊是入侵檢測系統捕獲網絡數據包獲得入侵檢測數據的主要途徑，是系統工作的底層部分。（2）預處理模塊主要實現數據包的初步篩選及編碼。預處理模塊需要對IP數據包頭中的協議類型字段進行判斷，防止IP分片重疊攻擊。

4.2 免疫模塊

免疫模塊主要負責處理抗原，是入侵檢測系統的核心。免疫模塊分為基因提取、檢測系統、基因庫進化、響應代理四個部分。

（1）基因提??；入侵檢測的一個重要步驟就是將截取到的網絡數據包進行過濾篩選，區分出“自我”與“非我”。為了提高系統效率，建立了IP地址信任域。當域外計算機系統發送數據包時，域外IP地址和域內IP地址完全不匹配，則與域內IP地址發生匹配的IP地址被視為不完全匹配；當匹配到兩個完全相同的數據包IP時則認為是完全匹配并進行數據篩選。信任域的數據集是變化的，系統對來自域外IP地址的數據包的目的性進行辨別來采取添加或刪除處理。（2）檢測器生成；檢測系統是由基因庫的屬性選取、“自我”集合的正向選擇、“非我”集合的克隆選擇三個部分組成。（3）基因庫進化；基因庫是“自我”基因所取得值組成的集合。每次檢測抗原之后，需要對抗原的基因進行分析，如果抗體中包含有基因庫中沒有的基因取值，就要將該值添加到基因庫中。如果一個基因取值在設定時間內未出現過，則將該值從基因庫中刪除，上述過程就是基因庫進化。（4）當檢測器在與網絡數據進行匹配的過程中，發現“非我”基因的存在時，便激活響應模塊，由響應模塊處理（告警、記錄、拒阻）入侵行為。

5 系統實驗及數據分析

實驗采用Snort入侵檢測系統進行驗證，使用DARPA數據集進行檢測分析。實驗中，入侵檢測系統共處理1，324，243個數據包，共產生報警1302個。對比不同配置下的入侵檢測系統的報警信息，采用默認規則的Snort系統產生了240個報警信息，但出現多次重復報警；而在基于免疫優化原理的入侵檢測系統中沒有出現重復報警情況。兩種系統的性能參數比較見表1。

實驗結果表明，基于免疫優化原理的入侵檢測系統在檢測率和重復報警率上均優于采用默認規則的入侵檢測系統。

6 研究結論

本文系統模型設計中采用免疫優化原理，在一定程度上模擬生物免疫過程，具有較高的檢測率，較低誤警率。在入侵檢測階段采用信任域篩選計算，可以有效提高系統檢測處理效率。在基因提取階段建立基因編碼表，對捕獲的數據包進行匹配，區分出“自我”與“非我”，實現數據篩選功能。最后通過實驗驗證了基于免疫優化原理的入侵檢測系統在性能方面確有優勢。

參考文獻

[1]楊孔雨，王秀峰.入侵檢測免疫模型中抗體基因庫的生成和進化[J].計算機應用，2003（7）.

[2]張曉芬，牛少彰.入侵檢測系統的標準化[J].中國數據通信，2003（7）.

[3]王瑞，沈海斌，楊向榮，沈鈞毅.入侵檢測系統模型研究與分析[J].計算機工程與應用，2003（17）.endprint

摘要：入侵檢測系統是指能夠自動識別計算機系統內的入侵行為的系統，它可以檢測出內部用戶或外部入侵者的非授權使用、誤用和惡意攻擊等異常行為模式，保護計算機系統的安全。本文在充分研究了人體免疫系統的工作機理的基礎上，對于現有的人工免疫模型進行了改進，使得該模型更易于實現。并根據改進后的模型設計了一個基于網絡的入侵檢測系統，該系統以網絡數據包為檢測數據來源，具有能檢測未知入侵行為、分布式部署等優點。

關鍵詞：入侵檢測系統（IDS） 免疫 人工免疫模型 網絡安全

中圖分類號：TP393.08 文獻標識碼：A 文章編號：1007-9416（2014）08-0189-01

1 引言

隨著信息技術的快速發展，網絡已成為人們日常生活、工作、學習不可或缺的部分，但網絡安全問題也日益嚴峻。根據CNCERT發布的總第44期互聯網安全威脅報告顯示2014年8月份境內感染網絡病毒的終端數量約為217萬余個，被篡改網站數量為11597個[1]。面對網絡安全威脅與日俱增的現實，網絡安全問題越來越被重視，入侵檢測技術作為一種積極主動防御技術已成為網絡安全研究的一個重要領域。本文對基于免疫優化原理的入侵檢測系統進行了研究，并在研究基礎上設計了系統模型。

2 入侵檢測技術

入侵檢測（Intrusion Detection）是通過收集和分析網絡中或終端間的網絡數據包，判斷網絡或終端中是否存在違反安全策略的行為和被攻擊的跡象[2]。從技術上分為基于特征的檢測技術和基于異常的檢測技術。兩種檢測技術各有特點，基于特征的檢測技術的核心是特征庫維護，其對于已知的攻擊行為可以準確報告，但缺少對未知攻擊行為判別的能力；而基于異常的檢測技術無法準確判別出網絡攻擊的方法，但可以有效識別未知的攻擊行為。

3 免疫優化原理

免疫學家認為“免疫就是識別自我（Self）和非我（Non-self），并消滅非我，是為了保證機體完整性的一種生理學反應”[3]。計算機學者受生物免疫系統的啟發提出人工免疫系統，通過模仿生物免疫系統的防御機制建立計算機免疫系統，使計算機系統具有克隆選擇、記憶學習、免疫遺忘、多樣性遺傳等免疫計算能力。

4 基于免疫優化原理入侵檢測系統模型設計

本文運用適應性免疫系統的免疫機制、克隆選擇以及多樣性機制和免疫記憶機制來構建基于免疫優化原理入侵檢測系統模型，主要包括數據采集模塊、預處理模塊、免疫模塊、響應模塊。

4.1 數據采集和預處理模塊

（1）數據采集模塊是入侵檢測系統捕獲網絡數據包獲得入侵檢測數據的主要途徑，是系統工作的底層部分。（2）預處理模塊主要實現數據包的初步篩選及編碼。預處理模塊需要對IP數據包頭中的協議類型字段進行判斷，防止IP分片重疊攻擊。

4.2 免疫模塊

免疫模塊主要負責處理抗原，是入侵檢測系統的核心。免疫模塊分為基因提取、檢測系統、基因庫進化、響應代理四個部分。

（1）基因提??；入侵檢測的一個重要步驟就是將截取到的網絡數據包進行過濾篩選，區分出“自我”與“非我”。為了提高系統效率，建立了IP地址信任域。當域外計算機系統發送數據包時，域外IP地址和域內IP地址完全不匹配，則與域內IP地址發生匹配的IP地址被視為不完全匹配；當匹配到兩個完全相同的數據包IP時則認為是完全匹配并進行數據篩選。信任域的數據集是變化的，系統對來自域外IP地址的數據包的目的性進行辨別來采取添加或刪除處理。（2）檢測器生成；檢測系統是由基因庫的屬性選取、“自我”集合的正向選擇、“非我”集合的克隆選擇三個部分組成。（3）基因庫進化；基因庫是“自我”基因所取得值組成的集合。每次檢測抗原之后，需要對抗原的基因進行分析，如果抗體中包含有基因庫中沒有的基因取值，就要將該值添加到基因庫中。如果一個基因取值在設定時間內未出現過，則將該值從基因庫中刪除，上述過程就是基因庫進化。（4）當檢測器在與網絡數據進行匹配的過程中，發現“非我”基因的存在時，便激活響應模塊，由響應模塊處理（告警、記錄、拒阻）入侵行為。

5 系統實驗及數據分析

實驗采用Snort入侵檢測系統進行驗證，使用DARPA數據集進行檢測分析。實驗中，入侵檢測系統共處理1，324，243個數據包，共產生報警1302個。對比不同配置下的入侵檢測系統的報警信息，采用默認規則的Snort系統產生了240個報警信息，但出現多次重復報警；而在基于免疫優化原理的入侵檢測系統中沒有出現重復報警情況。兩種系統的性能參數比較見表1。

實驗結果表明，基于免疫優化原理的入侵檢測系統在檢測率和重復報警率上均優于采用默認規則的入侵檢測系統。

6 研究結論

本文系統模型設計中采用免疫優化原理，在一定程度上模擬生物免疫過程，具有較高的檢測率，較低誤警率。在入侵檢測階段采用信任域篩選計算，可以有效提高系統檢測處理效率。在基因提取階段建立基因編碼表，對捕獲的數據包進行匹配，區分出“自我”與“非我”，實現數據篩選功能。最后通過實驗驗證了基于免疫優化原理的入侵檢測系統在性能方面確有優勢。

參考文獻

[1]楊孔雨，王秀峰.入侵檢測免疫模型中抗體基因庫的生成和進化[J].計算機應用，2003（7）.

[2]張曉芬，牛少彰.入侵檢測系統的標準化[J].中國數據通信，2003（7）.

[3]王瑞，沈海斌，楊向榮，沈鈞毅.入侵檢測系統模型研究與分析[J].計算機工程與應用，2003（17）.endprint