范峻彤

摘要：入侵檢測系統(tǒng)是指能夠自動識別計算機系統(tǒng)內(nèi)的入侵行為的系統(tǒng)，它可以檢測出內(nèi)部用戶或外部入侵者的非授權(quán)使用、誤用和惡意攻擊等異常行為模式，保護計算機系統(tǒng)的安全。本文在充分研究了人體免疫系統(tǒng)的工作機理的基礎(chǔ)上，對于現(xiàn)有的人工免疫模型進行了改進，使得該模型更易于實現(xiàn)。并根據(jù)改進后的模型設(shè)計了一個基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)，該系統(tǒng)以網(wǎng)絡(luò)數(shù)據(jù)包為檢測數(shù)據(jù)來源，具有能檢測未知入侵行為、分布式部署等優(yōu)點。

關(guān)鍵詞：入侵檢測系統(tǒng)（IDS） 免疫 人工免疫模型 網(wǎng)絡(luò)安全

中圖分類號：TP393.08 文獻標識碼：A 文章編號：1007-9416（2014）08-0189-01

1 引言

隨著信息技術(shù)的快速發(fā)展，網(wǎng)絡(luò)已成為人們?nèi)粘Ｉ?、工作、學習不可或缺的部分，但網(wǎng)絡(luò)安全問題也日益嚴峻。根據(jù)CNCERT發(fā)布的總第44期互聯(lián)網(wǎng)安全威脅報告顯示2014年8月份境內(nèi)感染網(wǎng)絡(luò)病毒的終端數(shù)量約為217萬余個，被篡改網(wǎng)站數(shù)量為11597個[1]。面對網(wǎng)絡(luò)安全威脅與日俱增的現(xiàn)實，網(wǎng)絡(luò)安全問題越來越被重視，入侵檢測技術(shù)作為一種積極主動防御技術(shù)已成為網(wǎng)絡(luò)安全研究的一個重要領(lǐng)域。本文對基于免疫優(yōu)化原理的入侵檢測系統(tǒng)進行了研究，并在研究基礎(chǔ)上設(shè)計了系統(tǒng)模型。

2 入侵檢測技術(shù)

入侵檢測（Intrusion Detection）是通過收集和分析網(wǎng)絡(luò)中或終端間的網(wǎng)絡(luò)數(shù)據(jù)包，判斷網(wǎng)絡(luò)或終端中是否存在違反安全策略的行為和被攻擊的跡象[2]。從技術(shù)上分為基于特征的檢測技術(shù)和基于異常的檢測技術(shù)。兩種檢測技術(shù)各有特點，基于特征的檢測技術(shù)的核心是特征庫維護，其對于已知的攻擊行為可以準確報告，但缺少對未知攻擊行為判別的能力；而基于異常的檢測技術(shù)無法準確判別出網(wǎng)絡(luò)攻擊的方法，但可以有效識別未知的攻擊行為。

3 免疫優(yōu)化原理

免疫學家認為“免疫就是識別自我（Self）和非我（Non-self），并消滅非我，是為了保證機體完整性的一種生理學反應(yīng)”[3]。計算機學者受生物免疫系統(tǒng)的啟發(fā)提出人工免疫系統(tǒng)，通過模仿生物免疫系統(tǒng)的防御機制建立計算機免疫系統(tǒng)，使計算機系統(tǒng)具有克隆選擇、記憶學習、免疫遺忘、多樣性遺傳等免疫計算能力。

4 基于免疫優(yōu)化原理入侵檢測系統(tǒng)模型設(shè)計

本文運用適應(yīng)性免疫系統(tǒng)的免疫機制、克隆選擇以及多樣性機制和免疫記憶機制來構(gòu)建基于免疫優(yōu)化原理入侵檢測系統(tǒng)模型，主要包括數(shù)據(jù)采集模塊、預(yù)處理模塊、免疫模塊、響應(yīng)模塊。

4.1 數(shù)據(jù)采集和預(yù)處理模塊

（1）數(shù)據(jù)采集模塊是入侵檢測系統(tǒng)捕獲網(wǎng)絡(luò)數(shù)據(jù)包獲得入侵檢測數(shù)據(jù)的主要途徑，是系統(tǒng)工作的底層部分。（2）預(yù)處理模塊主要實現(xiàn)數(shù)據(jù)包的初步篩選及編碼。預(yù)處理模塊需要對IP數(shù)據(jù)包頭中的協(xié)議類型字段進行判斷，防止IP分片重疊攻擊。

4.2 免疫模塊

免疫模塊主要負責處理抗原，是入侵檢測系統(tǒng)的核心。免疫模塊分為基因提取、檢測系統(tǒng)、基因庫進化、響應(yīng)代理四個部分。

（1）基因提取；入侵檢測的一個重要步驟就是將截取到的網(wǎng)絡(luò)數(shù)據(jù)包進行過濾篩選，區(qū)分出“自我”與“非我”。為了提高系統(tǒng)效率，建立了IP地址信任域。當域外計算機系統(tǒng)發(fā)送數(shù)據(jù)包時，域外IP地址和域內(nèi)IP地址完全不匹配，則與域內(nèi)IP地址發(fā)生匹配的IP地址被視為不完全匹配；當匹配到兩個完全相同的數(shù)據(jù)包IP時則認為是完全匹配并進行數(shù)據(jù)篩選。信任域的數(shù)據(jù)集是變化的，系統(tǒng)對來自域外IP地址的數(shù)據(jù)包的目的性進行辨別來采取添加或刪除處理。（2）檢測器生成；檢測系統(tǒng)是由基因庫的屬性選取、“自我”集合的正向選擇、“非我”集合的克隆選擇三個部分組成。（3）基因庫進化；基因庫是“自我”基因所取得值組成的集合。每次檢測抗原之后，需要對抗原的基因進行分析，如果抗體中包含有基因庫中沒有的基因取值，就要將該值添加到基因庫中。如果一個基因取值在設(shè)定時間內(nèi)未出現(xiàn)過，則將該值從基因庫中刪除，上述過程就是基因庫進化。（4）當檢測器在與網(wǎng)絡(luò)數(shù)據(jù)進行匹配的過程中，發(fā)現(xiàn)“非我”基因的存在時，便激活響應(yīng)模塊，由響應(yīng)模塊處理（告警、記錄、拒阻）入侵行為。

5 系統(tǒng)實驗及數(shù)據(jù)分析

實驗采用Snort入侵檢測系統(tǒng)進行驗證，使用DARPA數(shù)據(jù)集進行檢測分析。實驗中，入侵檢測系統(tǒng)共處理1，324，243個數(shù)據(jù)包，共產(chǎn)生報警1302個。對比不同配置下的入侵檢測系統(tǒng)的報警信息，采用默認規(guī)則的Snort系統(tǒng)產(chǎn)生了240個報警信息，但出現(xiàn)多次重復(fù)報警；而在基于免疫優(yōu)化原理的入侵檢測系統(tǒng)中沒有出現(xiàn)重復(fù)報警情況。兩種系統(tǒng)的性能參數(shù)比較見表1。

實驗結(jié)果表明，基于免疫優(yōu)化原理的入侵檢測系統(tǒng)在檢測率和重復(fù)報警率上均優(yōu)于采用默認規(guī)則的入侵檢測系統(tǒng)。

6 研究結(jié)論

本文系統(tǒng)模型設(shè)計中采用免疫優(yōu)化原理，在一定程度上模擬生物免疫過程，具有較高的檢測率，較低誤警率。在入侵檢測階段采用信任域篩選計算，可以有效提高系統(tǒng)檢測處理效率。在基因提取階段建立基因編碼表，對捕獲的數(shù)據(jù)包進行匹配，區(qū)分出“自我”與“非我”，實現(xiàn)數(shù)據(jù)篩選功能。最后通過實驗驗證了基于免疫優(yōu)化原理的入侵檢測系統(tǒng)在性能方面確有優(yōu)勢。

參考文獻

[1]楊孔雨，王秀峰.入侵檢測免疫模型中抗體基因庫的生成和進化[J].計算機應(yīng)用，2003（7）.

[2]張曉芬，牛少彰.入侵檢測系統(tǒng)的標準化[J].中國數(shù)據(jù)通信，2003（7）.

[3]王瑞，沈海斌，楊向榮，沈鈞毅.入侵檢測系統(tǒng)模型研究與分析[J].計算機工程與應(yīng)用，2003（17）.endprint

摘要：入侵檢測系統(tǒng)是指能夠自動識別計算機系統(tǒng)內(nèi)的入侵行為的系統(tǒng)，它可以檢測出內(nèi)部用戶或外部入侵者的非授權(quán)使用、誤用和惡意攻擊等異常行為模式，保護計算機系統(tǒng)的安全。本文在充分研究了人體免疫系統(tǒng)的工作機理的基礎(chǔ)上，對于現(xiàn)有的人工免疫模型進行了改進，使得該模型更易于實現(xiàn)。并根據(jù)改進后的模型設(shè)計了一個基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)，該系統(tǒng)以網(wǎng)絡(luò)數(shù)據(jù)包為檢測數(shù)據(jù)來源，具有能檢測未知入侵行為、分布式部署等優(yōu)點。

關(guān)鍵詞：入侵檢測系統(tǒng)（IDS） 免疫 人工免疫模型 網(wǎng)絡(luò)安全

中圖分類號：TP393.08 文獻標識碼：A 文章編號：1007-9416（2014）08-0189-01

1 引言

隨著信息技術(shù)的快速發(fā)展，網(wǎng)絡(luò)已成為人們?nèi)粘Ｉ?、工作、學習不可或缺的部分，但網(wǎng)絡(luò)安全問題也日益嚴峻。根據(jù)CNCERT發(fā)布的總第44期互聯(lián)網(wǎng)安全威脅報告顯示2014年8月份境內(nèi)感染網(wǎng)絡(luò)病毒的終端數(shù)量約為217萬余個，被篡改網(wǎng)站數(shù)量為11597個[1]。面對網(wǎng)絡(luò)安全威脅與日俱增的現(xiàn)實，網(wǎng)絡(luò)安全問題越來越被重視，入侵檢測技術(shù)作為一種積極主動防御技術(shù)已成為網(wǎng)絡(luò)安全研究的一個重要領(lǐng)域。本文對基于免疫優(yōu)化原理的入侵檢測系統(tǒng)進行了研究，并在研究基礎(chǔ)上設(shè)計了系統(tǒng)模型。

2 入侵檢測技術(shù)

入侵檢測（Intrusion Detection）是通過收集和分析網(wǎng)絡(luò)中或終端間的網(wǎng)絡(luò)數(shù)據(jù)包，判斷網(wǎng)絡(luò)或終端中是否存在違反安全策略的行為和被攻擊的跡象[2]。從技術(shù)上分為基于特征的檢測技術(shù)和基于異常的檢測技術(shù)。兩種檢測技術(shù)各有特點，基于特征的檢測技術(shù)的核心是特征庫維護，其對于已知的攻擊行為可以準確報告，但缺少對未知攻擊行為判別的能力；而基于異常的檢測技術(shù)無法準確判別出網(wǎng)絡(luò)攻擊的方法，但可以有效識別未知的攻擊行為。

3 免疫優(yōu)化原理

免疫學家認為“免疫就是識別自我（Self）和非我（Non-self），并消滅非我，是為了保證機體完整性的一種生理學反應(yīng)”[3]。計算機學者受生物免疫系統(tǒng)的啟發(fā)提出人工免疫系統(tǒng)，通過模仿生物免疫系統(tǒng)的防御機制建立計算機免疫系統(tǒng)，使計算機系統(tǒng)具有克隆選擇、記憶學習、免疫遺忘、多樣性遺傳等免疫計算能力。

4 基于免疫優(yōu)化原理入侵檢測系統(tǒng)模型設(shè)計

本文運用適應(yīng)性免疫系統(tǒng)的免疫機制、克隆選擇以及多樣性機制和免疫記憶機制來構(gòu)建基于免疫優(yōu)化原理入侵檢測系統(tǒng)模型，主要包括數(shù)據(jù)采集模塊、預(yù)處理模塊、免疫模塊、響應(yīng)模塊。

4.1 數(shù)據(jù)采集和預(yù)處理模塊

（1）數(shù)據(jù)采集模塊是入侵檢測系統(tǒng)捕獲網(wǎng)絡(luò)數(shù)據(jù)包獲得入侵檢測數(shù)據(jù)的主要途徑，是系統(tǒng)工作的底層部分。（2）預(yù)處理模塊主要實現(xiàn)數(shù)據(jù)包的初步篩選及編碼。預(yù)處理模塊需要對IP數(shù)據(jù)包頭中的協(xié)議類型字段進行判斷，防止IP分片重疊攻擊。

4.2 免疫模塊

免疫模塊主要負責處理抗原，是入侵檢測系統(tǒng)的核心。免疫模塊分為基因提取、檢測系統(tǒng)、基因庫進化、響應(yīng)代理四個部分。

（1）基因提??；入侵檢測的一個重要步驟就是將截取到的網(wǎng)絡(luò)數(shù)據(jù)包進行過濾篩選，區(qū)分出“自我”與“非我”。為了提高系統(tǒng)效率，建立了IP地址信任域。當域外計算機系統(tǒng)發(fā)送數(shù)據(jù)包時，域外IP地址和域內(nèi)IP地址完全不匹配，則與域內(nèi)IP地址發(fā)生匹配的IP地址被視為不完全匹配；當匹配到兩個完全相同的數(shù)據(jù)包IP時則認為是完全匹配并進行數(shù)據(jù)篩選。信任域的數(shù)據(jù)集是變化的，系統(tǒng)對來自域外IP地址的數(shù)據(jù)包的目的性進行辨別來采取添加或刪除處理。（2）檢測器生成；檢測系統(tǒng)是由基因庫的屬性選取、“自我”集合的正向選擇、“非我”集合的克隆選擇三個部分組成。（3）基因庫進化；基因庫是“自我”基因所取得值組成的集合。每次檢測抗原之后，需要對抗原的基因進行分析，如果抗體中包含有基因庫中沒有的基因取值，就要將該值添加到基因庫中。如果一個基因取值在設(shè)定時間內(nèi)未出現(xiàn)過，則將該值從基因庫中刪除，上述過程就是基因庫進化。（4）當檢測器在與網(wǎng)絡(luò)數(shù)據(jù)進行匹配的過程中，發(fā)現(xiàn)“非我”基因的存在時，便激活響應(yīng)模塊，由響應(yīng)模塊處理（告警、記錄、拒阻）入侵行為。

5 系統(tǒng)實驗及數(shù)據(jù)分析

實驗采用Snort入侵檢測系統(tǒng)進行驗證，使用DARPA數(shù)據(jù)集進行檢測分析。實驗中，入侵檢測系統(tǒng)共處理1，324，243個數(shù)據(jù)包，共產(chǎn)生報警1302個。對比不同配置下的入侵檢測系統(tǒng)的報警信息，采用默認規(guī)則的Snort系統(tǒng)產(chǎn)生了240個報警信息，但出現(xiàn)多次重復(fù)報警；而在基于免疫優(yōu)化原理的入侵檢測系統(tǒng)中沒有出現(xiàn)重復(fù)報警情況。兩種系統(tǒng)的性能參數(shù)比較見表1。

實驗結(jié)果表明，基于免疫優(yōu)化原理的入侵檢測系統(tǒng)在檢測率和重復(fù)報警率上均優(yōu)于采用默認規(guī)則的入侵檢測系統(tǒng)。

6 研究結(jié)論

本文系統(tǒng)模型設(shè)計中采用免疫優(yōu)化原理，在一定程度上模擬生物免疫過程，具有較高的檢測率，較低誤警率。在入侵檢測階段采用信任域篩選計算，可以有效提高系統(tǒng)檢測處理效率。在基因提取階段建立基因編碼表，對捕獲的數(shù)據(jù)包進行匹配，區(qū)分出“自我”與“非我”，實現(xiàn)數(shù)據(jù)篩選功能。最后通過實驗驗證了基于免疫優(yōu)化原理的入侵檢測系統(tǒng)在性能方面確有優(yōu)勢。

參考文獻

[1]楊孔雨，王秀峰.入侵檢測免疫模型中抗體基因庫的生成和進化[J].計算機應(yīng)用，2003（7）.

[2]張曉芬，牛少彰.入侵檢測系統(tǒng)的標準化[J].中國數(shù)據(jù)通信，2003（7）.

[3]王瑞，沈海斌，楊向榮，沈鈞毅.入侵檢測系統(tǒng)模型研究與分析[J].計算機工程與應(yīng)用，2003（17）.endprint

摘要：入侵檢測系統(tǒng)是指能夠自動識別計算機系統(tǒng)內(nèi)的入侵行為的系統(tǒng)，它可以檢測出內(nèi)部用戶或外部入侵者的非授權(quán)使用、誤用和惡意攻擊等異常行為模式，保護計算機系統(tǒng)的安全。本文在充分研究了人體免疫系統(tǒng)的工作機理的基礎(chǔ)上，對于現(xiàn)有的人工免疫模型進行了改進，使得該模型更易于實現(xiàn)。并根據(jù)改進后的模型設(shè)計了一個基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)，該系統(tǒng)以網(wǎng)絡(luò)數(shù)據(jù)包為檢測數(shù)據(jù)來源，具有能檢測未知入侵行為、分布式部署等優(yōu)點。

關(guān)鍵詞：入侵檢測系統(tǒng)（IDS） 免疫 人工免疫模型 網(wǎng)絡(luò)安全

中圖分類號：TP393.08 文獻標識碼：A 文章編號：1007-9416（2014）08-0189-01

1 引言

隨著信息技術(shù)的快速發(fā)展，網(wǎng)絡(luò)已成為人們?nèi)粘Ｉ睢⒐ぷ?、學習不可或缺的部分，但網(wǎng)絡(luò)安全問題也日益嚴峻。根據(jù)CNCERT發(fā)布的總第44期互聯(lián)網(wǎng)安全威脅報告顯示2014年8月份境內(nèi)感染網(wǎng)絡(luò)病毒的終端數(shù)量約為217萬余個，被篡改網(wǎng)站數(shù)量為11597個[1]。面對網(wǎng)絡(luò)安全威脅與日俱增的現(xiàn)實，網(wǎng)絡(luò)安全問題越來越被重視，入侵檢測技術(shù)作為一種積極主動防御技術(shù)已成為網(wǎng)絡(luò)安全研究的一個重要領(lǐng)域。本文對基于免疫優(yōu)化原理的入侵檢測系統(tǒng)進行了研究，并在研究基礎(chǔ)上設(shè)計了系統(tǒng)模型。

2 入侵檢測技術(shù)

入侵檢測（Intrusion Detection）是通過收集和分析網(wǎng)絡(luò)中或終端間的網(wǎng)絡(luò)數(shù)據(jù)包，判斷網(wǎng)絡(luò)或終端中是否存在違反安全策略的行為和被攻擊的跡象[2]。從技術(shù)上分為基于特征的檢測技術(shù)和基于異常的檢測技術(shù)。兩種檢測技術(shù)各有特點，基于特征的檢測技術(shù)的核心是特征庫維護，其對于已知的攻擊行為可以準確報告，但缺少對未知攻擊行為判別的能力；而基于異常的檢測技術(shù)無法準確判別出網(wǎng)絡(luò)攻擊的方法，但可以有效識別未知的攻擊行為。

3 免疫優(yōu)化原理

免疫學家認為“免疫就是識別自我（Self）和非我（Non-self），并消滅非我，是為了保證機體完整性的一種生理學反應(yīng)”[3]。計算機學者受生物免疫系統(tǒng)的啟發(fā)提出人工免疫系統(tǒng)，通過模仿生物免疫系統(tǒng)的防御機制建立計算機免疫系統(tǒng)，使計算機系統(tǒng)具有克隆選擇、記憶學習、免疫遺忘、多樣性遺傳等免疫計算能力。

4 基于免疫優(yōu)化原理入侵檢測系統(tǒng)模型設(shè)計

本文運用適應(yīng)性免疫系統(tǒng)的免疫機制、克隆選擇以及多樣性機制和免疫記憶機制來構(gòu)建基于免疫優(yōu)化原理入侵檢測系統(tǒng)模型，主要包括數(shù)據(jù)采集模塊、預(yù)處理模塊、免疫模塊、響應(yīng)模塊。

4.1 數(shù)據(jù)采集和預(yù)處理模塊

（1）數(shù)據(jù)采集模塊是入侵檢測系統(tǒng)捕獲網(wǎng)絡(luò)數(shù)據(jù)包獲得入侵檢測數(shù)據(jù)的主要途徑，是系統(tǒng)工作的底層部分。（2）預(yù)處理模塊主要實現(xiàn)數(shù)據(jù)包的初步篩選及編碼。預(yù)處理模塊需要對IP數(shù)據(jù)包頭中的協(xié)議類型字段進行判斷，防止IP分片重疊攻擊。

4.2 免疫模塊

免疫模塊主要負責處理抗原，是入侵檢測系統(tǒng)的核心。免疫模塊分為基因提取、檢測系統(tǒng)、基因庫進化、響應(yīng)代理四個部分。

（1）基因提?。蝗肭謾z測的一個重要步驟就是將截取到的網(wǎng)絡(luò)數(shù)據(jù)包進行過濾篩選，區(qū)分出“自我”與“非我”。為了提高系統(tǒng)效率，建立了IP地址信任域。當域外計算機系統(tǒng)發(fā)送數(shù)據(jù)包時，域外IP地址和域內(nèi)IP地址完全不匹配，則與域內(nèi)IP地址發(fā)生匹配的IP地址被視為不完全匹配；當匹配到兩個完全相同的數(shù)據(jù)包IP時則認為是完全匹配并進行數(shù)據(jù)篩選。信任域的數(shù)據(jù)集是變化的，系統(tǒng)對來自域外IP地址的數(shù)據(jù)包的目的性進行辨別來采取添加或刪除處理。（2）檢測器生成；檢測系統(tǒng)是由基因庫的屬性選取、“自我”集合的正向選擇、“非我”集合的克隆選擇三個部分組成。（3）基因庫進化；基因庫是“自我”基因所取得值組成的集合。每次檢測抗原之后，需要對抗原的基因進行分析，如果抗體中包含有基因庫中沒有的基因取值，就要將該值添加到基因庫中。如果一個基因取值在設(shè)定時間內(nèi)未出現(xiàn)過，則將該值從基因庫中刪除，上述過程就是基因庫進化。（4）當檢測器在與網(wǎng)絡(luò)數(shù)據(jù)進行匹配的過程中，發(fā)現(xiàn)“非我”基因的存在時，便激活響應(yīng)模塊，由響應(yīng)模塊處理（告警、記錄、拒阻）入侵行為。

5 系統(tǒng)實驗及數(shù)據(jù)分析

實驗采用Snort入侵檢測系統(tǒng)進行驗證，使用DARPA數(shù)據(jù)集進行檢測分析。實驗中，入侵檢測系統(tǒng)共處理1，324，243個數(shù)據(jù)包，共產(chǎn)生報警1302個。對比不同配置下的入侵檢測系統(tǒng)的報警信息，采用默認規(guī)則的Snort系統(tǒng)產(chǎn)生了240個報警信息，但出現(xiàn)多次重復(fù)報警；而在基于免疫優(yōu)化原理的入侵檢測系統(tǒng)中沒有出現(xiàn)重復(fù)報警情況。兩種系統(tǒng)的性能參數(shù)比較見表1。

實驗結(jié)果表明，基于免疫優(yōu)化原理的入侵檢測系統(tǒng)在檢測率和重復(fù)報警率上均優(yōu)于采用默認規(guī)則的入侵檢測系統(tǒng)。

6 研究結(jié)論

本文系統(tǒng)模型設(shè)計中采用免疫優(yōu)化原理，在一定程度上模擬生物免疫過程，具有較高的檢測率，較低誤警率。在入侵檢測階段采用信任域篩選計算，可以有效提高系統(tǒng)檢測處理效率。在基因提取階段建立基因編碼表，對捕獲的數(shù)據(jù)包進行匹配，區(qū)分出“自我”與“非我”，實現(xiàn)數(shù)據(jù)篩選功能。最后通過實驗驗證了基于免疫優(yōu)化原理的入侵檢測系統(tǒng)在性能方面確有優(yōu)勢。

參考文獻

[1]楊孔雨，王秀峰.入侵檢測免疫模型中抗體基因庫的生成和進化[J].計算機應(yīng)用，2003（7）.

[2]張曉芬，牛少彰.入侵檢測系統(tǒng)的標準化[J].中國數(shù)據(jù)通信，2003（7）.

[3]王瑞，沈海斌，楊向榮，沈鈞毅.入侵檢測系統(tǒng)模型研究與分析[J].計算機工程與應(yīng)用，2003（17）.endprint