[摘要] 通過把人工免疫機(jī)理引入到網(wǎng)絡(luò)入侵檢測技術(shù)中，出現(xiàn)了一個(gè)新興的研究方向:基于人工免疫的網(wǎng)絡(luò)入侵檢測。在概述生物免疫原理的基礎(chǔ)上，詳細(xì)討論了目前基于人工免疫的入侵檢測中的關(guān)鍵技術(shù)。

[關(guān)鍵詞] 入侵檢測免疫原理

一、引言

自然界中，生物的免疫系統(tǒng)成功地保護(hù)了生物自身免受外來病原體的侵害，入侵檢測是計(jì)算機(jī)安全研究中的一個(gè)新領(lǐng)域，目前已有許多網(wǎng)絡(luò)的入侵檢測系統(tǒng)被開發(fā)出來，免疫原理在入侵檢測領(lǐng)域的應(yīng)用是一個(gè)剛剛興起的研究，它的目的是使檢測系統(tǒng)具有分布性、多樣性、自適應(yīng)性、自動應(yīng)答和自我修復(fù)的特點(diǎn)，具有檢測異?，F(xiàn)象、利用不完備信息進(jìn)行檢測的能力。

二、人類免疫系統(tǒng)的原理

人類肌體總是處于大量微小有機(jī)體例如細(xì)菌、寄生蟲、病毒、真菌或由這些組成的病菌的不斷的入侵中，這些病菌往往就是很多疾病的來源。人類的免疫系統(tǒng)就是用來防御這些入侵的系統(tǒng)，由具有免疫功能的器官、組織、細(xì)胞、免疫效應(yīng)分子與有關(guān)基因組成。而其中很重要的一部分就是淋巴細(xì)胞，淋巴細(xì)胞主要有T細(xì)胞和B細(xì)胞兩類。T細(xì)胞在面對外來入侵的時(shí)候，擔(dān)任協(xié)調(diào)免疫系統(tǒng)各部分功能的作用。而B細(xì)胞通過其表面的抗體和抗原結(jié)合，來消滅抗原?？贵w的主要工作就是區(qū)分本體細(xì)胞和異體細(xì)胞。其中本體細(xì)胞指的是正常的人體細(xì)胞;異體細(xì)胞是指有害的異質(zhì)細(xì)胞，也稱抗原。每個(gè)B淋巴細(xì)胞可以產(chǎn)生一種抗體，并通過綁定機(jī)制識別一定數(shù)量結(jié)構(gòu)相似的抗原細(xì)胞。免疫系統(tǒng)面對各種不同的外界入侵抗原，各種B細(xì)胞產(chǎn)生了數(shù)百萬種不同種類的抗體，利用抗體上有特定的物質(zhì)和它的特殊功能，可以結(jié)合、粘附或消除入侵的抗原，增強(qiáng)其它吞噬細(xì)胞吞噬病原體的功能，以維持免疫平衡。同時(shí)免疫系統(tǒng)具有記憶能力，對曾經(jīng)入侵過的抗原，能夠比新入侵抗原更迅速的識別。

三、人工免疫原理在IDS上的應(yīng)用

合格的入侵檢測系統(tǒng)(IDS)要具有準(zhǔn)確性、完整性、可擴(kuò)展性、可適應(yīng)性和自身的健壯性等特點(diǎn)。這就要求它達(dá)到以下的設(shè)計(jì)目標(biāo):(1)完備的;(2)分布式的;(3)自組織的和精簡的。

生物免疫系統(tǒng)與IDS有著功能上的相似之處。免疫系統(tǒng)的分布性、多樣性、自成體系、完備性和精簡性使它精確有效地保護(hù)著生物個(gè)體。如何模擬基因庫更新、陰性選擇、克隆選擇等抗體生成過程建立入侵檢測器是建立基于人工免疫原理的入侵檢測系統(tǒng)的關(guān)鍵。

1.模擬基因庫

人體免疫系統(tǒng)有著多層保護(hù)機(jī)制，包括: 皮膚、生理?xiàng)l件、先天免疫和適應(yīng)免疫。適應(yīng)免疫主要是由B細(xì)胞和T細(xì)胞來完成的免疫反應(yīng)。B細(xì)胞和T細(xì)胞分別在骨髓和胸腺中產(chǎn)生。在骨髓和胸腺中有專門用于生成B細(xì)胞和T細(xì)胞的基因庫，基因庫中包含了用于構(gòu)成這兩種細(xì)胞的基因片段。通過對基因庫中的基因片段進(jìn)行重組、突變等操作來產(chǎn)生新的不同的細(xì)胞，這就使它們能夠識別各種病毒。人體免疫系統(tǒng)利用基因庫來產(chǎn)生免疫細(xì)胞，使產(chǎn)生合格免疫細(xì)胞的概率增大，人們把基因庫的機(jī)制引入到人工免疫系統(tǒng)中，用來產(chǎn)生更有效的檢測器集。但是對于如何構(gòu)建基因庫還沒有確定的方法，有2種新提出的構(gòu)建基因庫的方法: 一種為直接應(yīng)用非我樣本來構(gòu)建基因庫，另一種方法是通過統(tǒng)計(jì)所有非我樣本的分布來構(gòu)建基因庫。這2種方法都能夠產(chǎn)生檢測率更高的檢測器集。

2.陰性選擇算法

陰性選擇算法是基于免疫系統(tǒng)的自體—非自體識別原理。它可以總結(jié)為以下三個(gè)步驟:(1)定義自我集:首先根據(jù)實(shí)際應(yīng)用環(huán)境定義合適的自我集合。自我集合通常是由代表自我狀態(tài)的字符串組成的集合;(2)產(chǎn)生檢測器:首先隨機(jī)產(chǎn)生字符串，如果該字符串集合與自我集合中的任一字符匹配則刪除，否則保留來作為檢測器;如此循環(huán)迭代，直到產(chǎn)生足夠大小的檢測器集為止;(3)監(jiān)視要保護(hù)的數(shù)據(jù):如果需要保護(hù)的數(shù)據(jù)跟檢測器集合中的任何一個(gè)檢測器匹配，則表明要保護(hù)的數(shù)據(jù)發(fā)生了異常變化，從而起到了檢測異常變化的效果。該算法描述如下:(1)定義一組長度為L的有限字符串S表示“自己”;(2)產(chǎn)生檢測器集R，R中每個(gè)檢因器與S中的串都不匹配;(3)通過不斷地將R中的檢測器與S比較來監(jiān)控S的改變。

3.克隆選擇算法

克隆選擇是免疫系統(tǒng)的一種自然選擇的型式。當(dāng)B細(xì)胞被激活，它就開始大量的復(fù)制克隆自己。在這個(gè)復(fù)制的過程中，突變的概率是平常的9倍。這么高的概率將使得子代的所附著的抗體會與父代的不同，從而加強(qiáng)了對不同抗原的親和力。如果這些新B細(xì)胞能夠與超過激活門限的抗原結(jié)合，它們將被激活，繼續(xù)克隆復(fù)制下一代。因此，具有高親和力的B細(xì)胞更可能被克隆。換言之，在B細(xì)胞與病原體的競爭中，具有較高親和力的B細(xì)胞就具有更高的適應(yīng)性，也就更容易被復(fù)制到下一代中，這個(gè)過程就是克隆選擇過程。

一個(gè)完整的免疫響應(yīng)是由三個(gè)進(jìn)化階段組成的:通過基因庫進(jìn)化產(chǎn)生有效的抗體;通過陰性選擇消滅不適合的抗體;通過克隆選擇復(fù)制大量高效的抗體。這三個(gè)階段是自組織的，而不是由某一個(gè)中心器官預(yù)先下達(dá)指令來指導(dǎo)它們執(zhí)行?？梢詫⑷梭w免疫系統(tǒng)的三個(gè)進(jìn)化階段運(yùn)用于IDS，在該系統(tǒng)中，將正常的網(wǎng)絡(luò)行為定義為“自我”，將異常的行為定義為“非我”，通過識別“自我”和“非我”來檢測入侵。首先，通過基因表達(dá)將產(chǎn)生大量的不成熟檢測器;接著，通過陰性選擇，只有那些成熟的檢測器會保留下來，這些成熟的檢測器就是高效檢測器;然后，這些成熟的檢測器一方面通過克隆選擇被大量復(fù)制后，傳送到網(wǎng)絡(luò)上用于檢測“非我”的入侵行為，另一方面，這些成熟的檢測器被基因優(yōu)化后送到基因庫，形成基因庫進(jìn)化。

四、結(jié)束語

生物免疫系統(tǒng)擁有許多值得借鑒的顯著特征，借鑒生物免疫系統(tǒng)的計(jì)算機(jī)免疫系統(tǒng)將成為解決入侵檢測問題的有效手段。

參考文獻(xiàn):

倪長健丁晶李柞泳:基于優(yōu)秀抗體的免疫算法及其收斂性問題的研究[J].系統(tǒng)工程，2002，20