基于免疫原理的入侵檢測技術

◆郝云生

基于免疫原理的入侵檢測技術

◆郝云生

(中國酒泉衛星發射中心 甘肅 732750)

本文詳細介紹了入侵檢測的相關概念、模型、分類和主要的分析技術，生物免疫原理及人工免疫系統模型以及基于免疫原理的入侵檢測關鍵技術。

入侵檢測；人工免疫系統；免疫原理

1 入侵檢測相關概念、模型、分類和分析技術

入侵是指任何企圖危害信息資源的完整性、保密性、可用性的行為集合。入侵檢測是指通過對行為、安全日志或審計數據或其他網絡上可以獲得的信息進行操作，檢測到對系統的闖入或闖入的企圖。入侵檢測系統由入侵檢測的軟件和硬件組合而成，用來檢測來自合法用戶的針對計算機系統的越權使用或訪問和來自外部的非法訪問。

目前，有影響的入侵檢測系統模型有IDES模型、IDM模型以及CIDF模型。IDES模型稱為入侵檢測專家系統，于1984年—1986年由喬治敦大學的Dorothy Denning和SRI/CSL的Peter Neumann提出,該模型通過隨機變量和統計模型來定量描述主體對象的行為活動特征。IDM模型稱為層次化入侵檢測模型，它包括數據、事件、主體、上下文、威脅和安全狀態等6層。該模型通過將收集到的原始數據加工抽象并進行數據關聯，將分布式系統看作一臺虛擬機器，從而簡化了入侵行為的識別過程。CIDF模型稱為公共入侵檢測框架，是一個入侵檢測系統的通用模型。CIDF將一個入侵檢測系統分為事件產生器、事件分析器、響應單元和事件數據庫。CIDF的各個部分之間以GIDO格式進行數據交換，GIDO是事件編碼的標準通用格式。

入侵檢測通常由數據源、分析引擎、響應單元組成。因此通常從這3個角度對入侵檢測系統分類。按照數據源的不同，可以將入侵檢測系統分為基于主機的入侵檢測系統、基于網絡的入侵檢測系統和分布式入侵檢測系統。根據分析引擎的不同可以分為異常檢測模型、誤用檢測模型。從響應的角度，可以將入侵檢測分為報警響應、手工響應和主動響應。

2 生物免疫原理和人工免疫模型

現代免疫學認為：人體內存在一個負責免疫功能的完整解剖系統，即免疫系統。人體免疫系統是由免疫分子、免疫細胞、免疫組織和免疫器官組成的復雜系統。人體免疫系統可以達到免疫防御（排斥外源性抗原）、免疫自穩（識別清除自身衰老殘損組織）、免疫監視（殺傷和清除異常突變細胞）。免疫系統主要通過淋巴細胞來抵抗入侵的病源。淋巴細胞包括B細胞和T細胞。B細胞和T細胞分別在骨髓和胸腺中經過自身耐壓成為成熟B細胞和T細胞。當人體受到病源體攻擊時，吞噬細胞分解病源體細胞表面，并用形成的MHC分子激活T細胞，T細胞識別抗原，并殺死被抗原感染的細胞，同時通過輔助T細胞激活B細胞，B細胞通過克隆分化，形成抗體，抗體與抗原結合并通過吞噬細胞最終消滅病源。在上述過程中，有3個環節需要我們關注：免疫細胞的成熟過程，即自體耐受；免疫細胞對抗原分子的識別、活化、分化、效應過程，稱為免疫應答；免疫系統的學習進化，稱為免疫記憶。免疫細胞在成熟過程進行否定選擇，若與自體細胞結合，則被清除，稱為自體耐受。免疫應答的過程分為以下3個階段：免疫細胞對抗原分子的識別、免疫細胞的活化和分化、效應細胞和效應分子的排異作用。免疫細胞與抗原表面的抗原決定基結合的強度，稱為親和力。免疫細胞的模式識別結果由親和力來決定。能夠識別抗原的免疫細胞通過克隆分化來產生大量高親和力的抗體，這一過程稱為克隆選擇。免疫細胞識別抗原后，部分高親和力的免疫細胞被選擇進生發中心多次被抗原刺激，并通過高頻變異具有更高親和力，最終轉化成記憶細胞。再次遇到相同抗原時，記憶細胞將首先被選擇進行克隆分化，進行免疫應答。免疫系統的進化學習主要通過記憶細胞的生成來實現。

人工免疫模型大致分為兩大類：基于免疫系統理論（主要是克隆選擇理論）的免疫模型和基于免疫網絡理論的免疫網絡模型。前者有代表性的模型有Hofmeyr(1999)提出的ARTIS模型；后者有代表性的模型有Ishida的動態免疫網絡模型。ARTIS模型是一個分布式系統，它由一系列模擬淋巴結的節點構成，每個節點由多個檢測器構成，每個節點都可以獨立完成免疫功能。ARTIS系統的自體耐受訓練采用了否定選擇算法：隨機產生一個檢測器，在一定時間內沒有訓練集合與之匹配，則保留，否則消除。

3 基于免疫原理的入侵檢測關鍵技術

根據人工免疫原理，網絡入侵檢測的實質就是區分自我與非我的過程。免疫系統中自我與非我的通過淋巴細胞的受體綁定抗原決定基來判定。在入侵檢測系統中，同樣需要找到一種特征模式來代表自我與非我。對特征模式的選擇，目前有影響的有r-連續位匹配、對網絡連接異常的模糊綜合評判，特征串漢明距離的統計特征，基于粗糙集的規則特征等。

在使用人工免疫進行入侵檢測時，選擇合適的自體耐受算法和模式間匹配算法非常重要。Forrest在把人工免疫系統運用到入侵檢測系統中提出了否定選擇算法，并使用r-連續位匹配函數來判定模式間的匹配。但是Kim通過實驗證明只有在被檢測對象是網絡通信數據的一個小子集時，否定選擇算法才是有效的, r-連續位匹配函數在對具有多個分離特征區間的網絡數據進行匹配程度進行判定時，其作用不明顯?；诖植诩姆聪蜻x擇算法可以有效地改進該問題。

此外，入侵檢測數據包含了離散屬性和連續屬性。歐幾里德距離可以用來度量連續屬性的差異。對于離散屬性差異的度量，可以通過計算信息熵的方式來度量。

在基于免疫原理的入侵檢測中，檢測器的定義和生成非常重要。檢測器的定義要綜合網絡中正常行為和入侵行為的特征來考慮。

克隆選擇算法和免疫細胞群體的更新方式對于入侵檢測系統的有效性和穩定性具有很大的影響?？寺∵x擇算法和細胞群體更新的設計要考慮以下方面：維持免疫細胞在功能和指令集上的不連貫性；受最大刺激的細胞的選擇和克??；沒有受刺激的細胞死亡；親和力成熟和更高親和力的細胞克隆再選擇；多樣性的生成與維護；與細胞親和力成比例的高頻變異。

4 結束語

本文詳細闡述了入侵檢測的概念、模型、分類、分析技術及與自然免疫系統的相似性。為了將免疫系統的原理應用到入侵檢測中，本文首先介紹了自然免疫系統的運行機制，然后介紹了人工免疫的模型和主要算法，最后論述了將人工免疫應用到入侵檢測中涉及到的關鍵要點。

[1]Divyata Dal, Siby Abraham, Ajith Abraham, Suguata Sanyal, Mukund Sanglikar, “Evolution Induced Secondary Immunity: An Artificial Immune System based Intrusion Detection System”, Proceedings - 7th Computer Information Systems and Industrial Management Applications, CISIM 2008.

[2]Simon T. Powers, Jun He, “A hybrid artificial immune system and Self Organising Map for network intrusion detection”, Information Sciences, v 178, n 15, 1 Aug，2008.

[3]肖鋒，楊樹堂，陸松年，李建華.基于人工免疫的入侵檢測模型研究[J].計算機應用與軟件，2008.

[4]符海東，謝琪，袁細國.基于決策樹及遺傳算法的人工免疫入侵檢測算法[J].微計算機應用，2008.