[摘要]在研究生物免疫原理和入侵檢測(cè)技術(shù)的基礎(chǔ)上,分析免疫系統(tǒng)的工作機(jī)理,指出目前入侵檢測(cè)系統(tǒng)的局限性,并建立一個(gè)基于生物免疫的入侵檢測(cè)模型,討論陰性選擇算法在入侵檢測(cè)系統(tǒng)中的應(yīng)用。

[關(guān)鍵詞]生物免疫原理 入侵檢測(cè) 陰性選擇算法

中圖分類號(hào):Q819文獻(xiàn)標(biāo)識(shí)碼:A文章編號(hào):1671-7597(2009)0910132-01

生物免疫系統(tǒng)是一種具有高度分布性的自適應(yīng)學(xué)習(xí)系統(tǒng),具有完善的機(jī)制來(lái)保護(hù)肌體免受病毒、細(xì)菌和毒素等侵害,網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)保護(hù)網(wǎng)絡(luò)內(nèi)的計(jì)算機(jī)不受外來(lái)入侵或威脅,這兩者所遇到的問(wèn)題具有驚人的相似性,兩者都要在不斷變化的環(huán)境中維持系統(tǒng)的穩(wěn)定性、安全性[1],因此基于免疫原理的入侵檢測(cè)技術(shù)能夠克服傳統(tǒng)入侵檢測(cè)系統(tǒng)的缺陷,是一個(gè)具有巨大應(yīng)用前景的研究方向。

一、生物免疫原理

傳統(tǒng)免疫概念是指機(jī)體免疫系統(tǒng)具有識(shí)別“自我”的功能,對(duì)外來(lái)的“非我”抗原性物質(zhì)產(chǎn)生免疫應(yīng)答并清除,借以保護(hù)機(jī)體內(nèi)環(huán)境的相對(duì)穩(wěn)定。機(jī)體的免疫應(yīng)答功能特異性免疫指的是個(gè)體在發(fā)育過(guò)程中與“非我”物質(zhì)接觸后所產(chǎn)生的、針對(duì)某一特定抗原所具有的抵抗能力。

免疫系統(tǒng)由免疫器官、免疫細(xì)胞和免疫分子等組成。免疫細(xì)胞主要有兩種:T細(xì)胞和B細(xì)胞,其中T細(xì)胞又分為Th細(xì)胞和Ts細(xì)胞兩個(gè)子類。B細(xì)胞的主要功能是檢測(cè)抗原并分泌抗體,T細(xì)胞根據(jù)其子類的不同實(shí)現(xiàn)對(duì)B細(xì)胞的激活或抑制作用。B細(xì)胞通過(guò)依附于其表面的受體去檢測(cè)抗原,但僅僅依靠B細(xì)胞本身并不能引發(fā)檢測(cè)事件,也不能進(jìn)行擴(kuò)散增殖,只有在Th細(xì)胞分泌出淋巴激活素的時(shí)候才能引發(fā)檢測(cè)事件和B細(xì)胞才能進(jìn)行擴(kuò)散增殖。而Th細(xì)胞分泌出淋巴激活素來(lái)激活B細(xì)胞的條件是Th細(xì)胞與病原體發(fā)生綁定并超過(guò)一定閾值,同時(shí)B細(xì)胞的激活也可能會(huì)被Ts細(xì)胞所抑制。被激活的B細(xì)胞和T細(xì)胞遷移到淋巴節(jié)點(diǎn)皮層的小囊中,在那里發(fā)生著擴(kuò)散增生、突變、選擇等復(fù)雜的基礎(chǔ)的細(xì)胞交互活動(dòng),B細(xì)胞也釋放出抗體?？贵w的主要功能就是綁定并清除病原體[2]。

二、入侵檢測(cè)技術(shù)

入侵檢測(cè)就是對(duì)企圖入侵、正在進(jìn)行或者已經(jīng)發(fā)生的入侵進(jìn)行識(shí)別的過(guò)程[3]。它通過(guò)對(duì)計(jì)算機(jī)網(wǎng)絡(luò)或計(jì)算機(jī)系統(tǒng)中的若干關(guān)鍵點(diǎn)收集信息并對(duì)其進(jìn)行分析,從中發(fā)現(xiàn)網(wǎng)絡(luò)或系統(tǒng)中是否有違反安全策略的行為和被攻擊的跡象。入侵檢測(cè)的軟件與硬件的組合便是入侵檢測(cè)系統(tǒng)。與其他安全產(chǎn)品不同的是,入侵檢測(cè)系統(tǒng)需要更多的智能,它必須可以將得到的數(shù)據(jù)進(jìn)行分析,并得出有用的結(jié)果。入侵檢測(cè)系統(tǒng)是對(duì)傳統(tǒng)的安全產(chǎn)品的合理補(bǔ)充,它幫助系統(tǒng)對(duì)付網(wǎng)絡(luò)攻擊,提高了信息安全基礎(chǔ)結(jié)構(gòu)的完整性。入侵檢測(cè)技術(shù)自20世紀(jì)80年代早期提出以來(lái),經(jīng)過(guò)20多年的不斷發(fā)展,成為計(jì)算機(jī)網(wǎng)絡(luò)安全領(lǐng)域內(nèi)不可缺少的一種重要的安全技術(shù)。但隨著網(wǎng)絡(luò)技術(shù)的迅速發(fā)展,當(dāng)前的入侵檢測(cè)產(chǎn)品暴露出了很多不足,特別是對(duì)未知攻擊和變形攻擊的檢測(cè),幾乎無(wú)能為力。因此將生物免疫機(jī)制引入到網(wǎng)絡(luò)入侵檢測(cè)研究領(lǐng)域很有必要。這為入侵檢測(cè)注入了新的活力。

三、免疫原理在入侵檢測(cè)系統(tǒng)中的研究

(一)概述。免疫系統(tǒng)有效地保護(hù)著生物個(gè)體,這使得人們希望借助于生物免疫的原理更好地實(shí)現(xiàn)入侵檢測(cè)的功能。在合法的“自我”行為中判別出非法的“非我”行為。在免疫系統(tǒng)中起檢測(cè)作用的是抗體,抗體的生成演化和工作過(guò)程是關(guān)鍵。如何模擬基因庫(kù)更新、陰性選擇、克隆選擇等抗體生成過(guò)程建立入侵檢測(cè)器是建立免疫入侵檢測(cè)系統(tǒng)的關(guān)鍵。

(二)基于生物免疫的入侵檢測(cè)模型概念及描述。根據(jù)生物免疫的原理,我們提出了一個(gè)基于生物免疫的入侵檢測(cè)模型。模型的概念及描述如圖1所示。首先,根據(jù)模擬數(shù)據(jù)挖掘出正常模式行為特征,產(chǎn)生初始“自我”集合;然后根據(jù)包含入侵行為的模擬數(shù)據(jù)挖掘出異?！胺俏摇蹦Ｊ?并以先驗(yàn)知識(shí)補(bǔ)充,以這些模式作為父代抗原,經(jīng)編碼后利用遺傳算法對(duì)它們進(jìn)行變異和增殖,生成一個(gè)大的候選抗體庫(kù)。對(duì)其中每一個(gè)個(gè)體進(jìn)行適應(yīng)度測(cè)定,計(jì)算與現(xiàn)有抗原的相似度。再進(jìn)行陰性選擇,即刪除其中的“自我”模式。最后生成一個(gè)較完備的成熟檢測(cè)器組。當(dāng)系統(tǒng)工作時(shí)成熟檢測(cè)器與實(shí)時(shí)數(shù)據(jù)的提取特征進(jìn)行模式匹配,如果檢測(cè)到“非我”串則將警報(bào)信息送入決策系統(tǒng),等待安全管理員返回決策指示。如果確認(rèn)是入侵行為,則產(chǎn)生免疫記憶,將抗體送入記憶檢測(cè)器組。這樣,當(dāng)同類抗原再次入侵時(shí),可縮短反應(yīng)時(shí)間。

(三)陰性選擇原理及算法。免疫識(shí)別是免疫系統(tǒng)的主要功能,同時(shí)也AIS的核心之一,而識(shí)別的本質(zhì)是區(qū)分“自我”和“非我”。免疫識(shí)別是通過(guò)淋巴細(xì)胞上的抗原識(shí)別受體與抗原的結(jié)合實(shí)現(xiàn)的,結(jié)合的強(qiáng)度稱為親合度。未成熟的T細(xì)胞首先要經(jīng)歷一個(gè)審查環(huán)節(jié),只有那些不能與“自我”發(fā)生應(yīng)答的T細(xì)胞才可以離開胸腺,執(zhí)行免疫應(yīng)答的任務(wù),從而防止免疫細(xì)胞對(duì)機(jī)體造成錯(cuò)誤攻擊。該過(guò)程稱為陰性選擇。

基于陰性選擇原理,D'haeseleer給出了一種陰性選擇算法,用于監(jiān)測(cè)數(shù)據(jù)改變。其中抗體(問(wèn)題解答)與抗原(問(wèn)題)的匹配采用S.Forrest

提出的部分匹配規(guī)則,如圖2所示。

該算法的流程如下:步驟1:定義一組長(zhǎng)度為L(zhǎng)的字符串集合S來(lái)代表“自我”,用于檢測(cè)。步驟2:產(chǎn)生檢測(cè)器集合R,依據(jù)陰性選擇原理,對(duì)每個(gè)檢測(cè)器進(jìn)行審查。審查采用部分匹配規(guī)則,即兩個(gè)字符串匹配當(dāng)且僅當(dāng)至少有r個(gè)連續(xù)位相同,其中r為參數(shù)。步驟3:通過(guò)連續(xù)地將R中的檢測(cè)器與S比較來(lái)監(jiān)測(cè)S的改變。如果檢測(cè)器發(fā)生匹配,則有改變發(fā)生。

這些成熟的檢測(cè)子監(jiān)視網(wǎng)絡(luò)中的數(shù)據(jù),如果匹配到的異常超過(guò)預(yù)先設(shè)定的閾值,檢測(cè)子被激活,這時(shí)會(huì)向決策系統(tǒng)報(bào)告并由其決定這是否是一次真正的入侵,如果是,檢測(cè)子通過(guò)克隆選擇提升為記憶檢測(cè)子。

四、小結(jié)

本文對(duì)生物免疫系統(tǒng)原理進(jìn)行了闡述,分析比較了免疫系統(tǒng)與入侵檢測(cè)的相似性,給出了一個(gè)基于生物免疫原理的入侵檢測(cè)系統(tǒng)模型和相關(guān)算法,該系統(tǒng)具有分布性,自組織性、自適應(yīng)性和高效性。

免疫原理在入侵檢測(cè)系統(tǒng)中的應(yīng)用剛剛開始,基于免疫原理的入侵檢測(cè)技術(shù)是現(xiàn)在研究的熱點(diǎn),還需要做進(jìn)一步研究。

參考文獻(xiàn):

[1]Steven Andrew Hofmeyr.An Immulogical Model of Distributed Detection and Its Application to Computer Security[M].Phd thesis.University of New Mexico.

[2]何球藻、吳厚生,醫(yī)學(xué)免疫學(xué)[M].上海:上海醫(yī)科大學(xué)出版社,2000.

[3]唐正軍、李建華,入侵檢測(cè)技術(shù)[M].北京:清華大學(xué)出版社,2004.

作者簡(jiǎn)介:

吳大勝(1981-),男,漢族,江蘇邗江人,本科學(xué)士,助教。