毕业设计（论文）基于人工免疫系统反面算法的计算机网络入侵检测技术研究

《毕业设计（论文）基于人工免疫系统反面算法的计算机网络入侵检测技术研究》由会员分享，可在线阅读，更多相关《毕业设计（论文）基于人工免疫系统反面算法的计算机网络入侵检测技术研究（41页珍藏版）》请在装配图网上搜索。

1、茂 名 学 院毕业设计说明书题 目 基于人工免疫系统反面算法的计算机网络入侵检测技术研究 英文并列题目 Based on Artificial Immunization System Intrusion Detection System Design 学院 计算机与电子信息学院 专业 电气工程及其自动化 班级 电气04-2 学生 指导教师（职称） 完成时间 2008 年 3 月 17 日至 2008 年 6 月 20 日茂 名 学 院毕业论文题 目：基于人工免疫系统反面算法的计算机网络入侵检测技术研究英文并列题目：Based on Artificial Immunization System

2、Intrusion Detection System Design学院 信息学院 专业 电气工程及其自动化 班级 电气04-2学生 指导教师（职称）完成时间 2008年3月13日至2008年6月6日 表21系主任批准日期茂 名 学 院毕 业 设 计（论 文）任 务 书 自动化系 系 电气工程 专业 电气04-1 班 学生 一、毕业设计(论文)课题 基于人工免疫系统反面算法的计算机网络入侵检测技术研究 二、毕业设计(论文)工作自 2008 年 03月 14 日起至 2008 年 06 月 20 日止三、毕业设计(论文)进行地点 茂名学院自动化专业实验室 四、毕业设计(论文)的内容要求 1、设计数

3、据： 某计算机局域网。 2、设计内容： 1）目前计算机网络入侵检测技术慨述、提出存在不足。 2）阐述计算机网络组成原理及人工免疫系统反面算法原理。 3）分析免疫反面算法在计算机网络入侵检测方面应用的优点。 4）研究人工免疫系统作用机理（分布性、多样性、鲁棒性等）及反面选择算法，建立基于反面算法的计算机网络入侵检测的免疫系统模型；利用某一局域网构建基于人工免疫系统反面算法的计算机网络入侵检测安全系统。 5）仿真研究，在该计算机局域网进行相关模拟仿真试验，并给出结论。 3、设计书要求： 1）设计书格式按学校要求，并用WORD文档打印 2）画出系统程序设计流程图。 教研室负责人 指导教师 接受设计论

4、文任务开始执行日期 年 月 日学生签名 摘要入侵检测技术是现代计算机系统安全技术中的研究热点。生物免疫系统保护了生物体不受外来病原体（包括病毒、细菌等）的侵袭，它在生物体内的作用与计算机领域的安全系统有着惊人的相似。从信息学角度来看，生物免疫系统实质是一个大规模的信息处理系统，它具有分布性、自适应性、健壮性等良好特性，而这正是目前计算机安全系统所不具备的。本文在分析了各种入侵检测技术及生物免疫系统的工作原理的基础上构建了针对计算机安全的人工免疫系统的模型，该模型模拟了生物免疫系统中的不完全匹配、否定选择、记忆等机制，具备较强的信息处理能力。关键词：入侵检测；人工免疫；否定选择算法Abstrac

5、tIntrusion detection is very important in the defense-in-depth network security framework and a hot topic in computer network security in recent years.Biological immune system prevents the organism from being affected by alien maleficent cells, such as viruses and cells etc. The effect on the inner

6、part of the organism has great resemblance with the security system in the computer field. From the viewpoint of information, biological immune system in fact is a compelling example of massively-parallel in formation-processing system. It is distributed, adaptive, robust that most computer security

7、 system today lack.This paper analyzes various intrusion detection techniques simply and begins with the analyzing of biological immune system, based on which builds an artificial immune system referring to computer security. Artificial immune system which model the principle of imperfect detection,

8、 negative selection memory and so on have the powerful ability of information-processing.Keywords：intrusion detection；artificial immune；negative selection algorithm；I目录摘要IAbstractII目录3第一章入侵检测与免疫技术11.1检测技术的产生和发展现状11.1.1入侵检测技术的产生和发展历史11.1.2入侵检测技术发展现状31.2入侵检测技术分类41.2.1按照检测对象分类41.3现代入侵检测技术的主要功能要求51.4本章小

9、结6第二章入侵检测与免疫系统72.1生物免疫系统72.1.1免疫的定义72.1.2免疫的功能72.1.3生物免疫系统原理与运行机制72.1.4可适应性免疫系统82.2人工免疫系统102.2.1人工免疫系统的基本术语102.2.2基于人工免疫的网络安全研究现状简介102.2.3生物免疫与入侵检测112.5基于免疫机制的入侵检测系统模型122.5.1人工免疫的实现122.5.2Self和Nonself集合的定义和集合的确定132.5.3J.Kim提出的基于人工免疫的网络入侵检测系统模型142.6本章小结16第三章系统设计173.1结构设计173.2人工免疫入侵检测系统模型中的几个概念193.3本章

10、小结22第四章模拟实验及仿真分析234.1实验相关公式234.2实验数据描述234.3实验检测流程264.4实验结果274.5结论284.6本章小结28第五章总结与展望295.1基于免疫机制的入侵检测系统的优缺点295.2人工免疫系统进一步的研究方向和展望30致谢32参考文献33第一章 入侵检测与免疫技术第一章入侵检测与免疫技术1.1检测技术的产生和发展现状入侵检测是计算机系统不可或缺的安全保障技术。入侵（Intrusion）：是指任何试图对系统资源的完整性、保密性或可用性产生危害的行为。入侵检测（Intrusion Detection）：是指如何识别出使用未经授权的计算机系统行为（如黑客）、

11、或有合法访问权限但滥用权力的人（如内部攻击者）的技术。对任何试图在未经授权情况下使用计算机系统或滥用特权的行为的识别。入侵检测系统（Intrusion Detection System）：任何试图实现对未经授权使用计算机系统或滥用特权的入侵检测行为的识别的计算机系统（可能既包括软件也包括硬件），称为入侵检测系统。1.1.1入侵检测技术的产生和发展历史1890年4月，James Anderson在他的技术报告“Computer Security Thread Monitoring and Surveillance”中首次提出了入侵的概念：“入侵是指在非授权情况下，试图存取信息、处理信息或破坏系统

12、，导致系统不可靠、不可用的故意行为”，这被认为是有关入侵检测研究的开创之作。1894年到1968年，Drothy Denning和Peter Neumann研究和发展了一种命名为入侵检测专家系统（IDES，Intrusion Detection Expert System）的实时入侵检测系统，该模型由6个部分组成：主体、对象、审计记录、轮廓特征、异常记录、活动记录。1956年，Denning发表的论文，“An Intrusion Detection Model是ID领域的另一篇开山之作。1897年，Dorothy Denning发表的文章An Intrusion Detection Model

13、提出了IDS的抽象模型。该文首次将入侵检测作为一种计算机系统安全防范的措施提出，与系统的加密、识别与认证、访问控制相比，入侵检测是一种全新的计算机安全措施。这是一个基于用户特征轮廓的入侵检测通用模型，该模型被后来的许多入侵检测系统采用，被认为是入侵检测研究的又一里程碑。1898年的Morris Internet蠕虫事件使Internet在近五天无法使用，网络安全真正引起了军方、学术界和企业的高度重视，于是展开了对分布式入侵检测系统（DIDS，Distributed IDS）的研究。DIDS将基于主机和基于网络的检测方法集成到一起，它综合收集网络和网络中其他主机的日志事件来检测入侵行为。1995

14、年开发了IDES的新的版本NIDES（Next-Generation Intrusion Detection System）可以检测多个主机的入侵。另外，在1988年为了协助美国空军安全官员检测误用空军基地使用的Unisys大型主机开了Haystack系统；同时，出现了为美国国家计算机安全中心开发的MIDAS（Multics Intrusion Detection Alerting System）。1989年，Los Alamos美国国家实验室开发了W&S（Wisdom and Sense）系统，Planning Research公司开发了ISOA（Information Security O

15、fficers Assistant）。入侵检测发展历史上又一个具有重要意义的里程碑就是NSM（Network security Monitor）的出现，它是由L。Todd Heberlen在1990年提出。NSM与此前的IDS系统最大的不同在于它并不检查主机系统得审计记录，它可以通过在局域网上主动地监视网络信息流量来追踪可疑的行为。1991年，NADIR（Network Anomaly Detection and Intrusion Reporter）与DIDS（Distribute Intrusion Detection System）提出了采集和合并处理来自多个主机的审计信息以检测协同攻击

16、。1994年,Mark Crosbie和Gene Spafford提出使用自治代理（Autonomous agents）以便提高IDs的可伸缩性、可维护性、效率和容错性。该理念非常符合正在进行的计算机科学其他领域（如软件代理，software agent）的研究，这使得入侵检测的研究又向着更高层次发展了一步。1969年GRIDPS（Graph base Instrusion Detection System）的设计和实现大大弥补了绝大多数的入侵检测系统伸缩性不足的问题，使得对大规模自动或协同攻击的检测更为便利。关于入侵检测的其它的创新有：Stephanie Forrest等人将免疫学原理应用到

17、入侵检测中；Wenke Lee等人将数据挖掘和信息论测度引入到入侵检测中；ROSS Anderson和Abida Khattak将信息检索技术引入到入侵检测中。虽然很多都只是处在实验研究阶段，但是这些新思路的开创为入侵检测领域打开了新的研究前景。近年来，人们对入侵检测的研究仍如火如荼，1989年国际上启动了一个以入侵检测最新进展为主题的研讨会（RAID：Recent Advances Intrusion Detection），这里所涉及的入侵检测研究的涉猎面很广，可见入侵检测将是今后计算机安全研究领域的热点。1.1.2入侵检测技术发展现状自二十世纪八十年代以来，入侵检测技术已经过了二十多年的发

18、展，现在已经到比较成熟的阶段。有了多种检测策略和手段、多种检测产品。新的检测方法也在不断出现，目前计算机系统安全已经是研究热点，而对入侵检测的研究则是这个热点中的热点。最早资助这方面研究的是美国国防部高级研究计划署，这是启动计算机网络研究的开山鼻祖。早期的研究只是一种实验阶段，产品的针对性强，即为了保护专门的网络而进行研究设计的。而且系统多以基于主机的检测系统为主。进入九十年代，随着基于网络的入侵检测系统的问世，给入侵检测研究领域注入了新的活力。很多的网络公司开始开发商业化的产品。而且对于入侵检测的研究己进入很高涨的阶段，在其他领域的一些算法被引入到该领域。像人工智能、数据挖掘、免疫学、甚至包

19、括信号处理领域的信息论测度也被考虑到。近几年来，从国外的研究态势看，各种可能的检测算法差不多都为人们所想到，对于入侵检测的研究似乎处于一种无法打开新局面的境地。从最新的文章来看，这里的文章有偏重于工程时间的倾向，这可能是未来入侵检测研究领域的一个发展方向。但是，国外对入侵检测的研究热度仍然居高不下。因为网络的日益普及，人们对网络的依赖性日益增强，使得网络安全成了人们一直关注的焦点。国外对入侵检测的研究已经很具体细致，包括从对进攻手段研究到入侵数据预处理的研究、从算法的理论分析到具体的工程应用、从产品开发到产品的评估，以及对入侵检测的一些标准化问题的研究，几乎面面俱到。而且从参与的机构来看，包括

20、国防部门、政府的研究机构、科研单位、大学和网络公司等等，涉及到各个层次的不同需求。由于网络登陆国内较晚，而且刚开始人们对它的认识还不够，所以普及面很窄。随着信息化进程不断推进，人们对网络有了全新的认识，越来越多的人在使用网络，使得它成为人们生活的一部分。在人们对网络的优越性产生认可的同时，安全问题不得不为人们所关注。近几年来，国内的网络的发展速度是有目共睹的，而对网络安全的研究也日益被重视。当然对入侵检测的研究也受到各方面的关注。但是由于一些客观原因，同国外的差距还是很大。虽然一些网络安全公司也相继推出自己的入侵检测产品，但是很多都是在借鉴国外的技术手段。另外，国家对这方面研究的投入也在加大，

21、而且启动了信息安全的863紧急应急计划。各科研单位和大专院校都有从事这方面的研究和开发的队伍。总之，国内的水平同国外的差距还是很大，但是随着更多的人的关注和投入到这方面的研究，相信在不久的将来，国内的水平将赶超国外并占有领先位置的一席之地。1.2入侵检测技术分类1.2.1按照检测对象分类入侵检测系统按照检测对象一般分为以下几类：首先是基于网络的产品和基于主机的产品：另为还有二者的综合一一混合的入侵检测系统；此外，基于文件的检查工具也可看作是一类入侵检测产品，这里不作详细叙述。（一）基于网络的入侵检测基于网络的入侵检测产品（NIDS）放置在比较重要的网段内，不停地监视网段中的各种数据包。对每一个

22、数据包或可疑的数据包进行特征分析。如果数据包与产品内置的某些规则吻合，入侵检测系统就会发出警报甚至直接切断网络连接。目前，大部分入侵检测产品是基于网络的，NIDS通常安装在联入网络内的专门的检测主机上，通过将检测主机的网络适配器设置为混杂模式而捕获到所有经过检测主机的原始网络数据，并对这些数据进行分析而发现检测主机所在网段内发生的入侵。NIDS有其特有的优点：首先，网络入侵检测系统能够检测那些来自网络的攻击，它能够检测到超过授权的非法访问。其次，它安装在联入受保护网段内的专门的检测主机上，因而不会占用受保护网段内其他主机的资源，也就不会影响这些主机上的应用系统的效率，同时，由于其安装在专门的检

23、测主机上，可以是操作系统无关的，也就是说不存在系统的移植性问题：最后，它能够检测到整个网段内发生的入侵，而不仅仅限于检测发生在一台主机上的入侵。但NIDS也有自己的弱点：只能检查它直接连接网段的通信，不能检测在不同网段的网络数据包，因而需要在所有重要网段内都接入专门的检测系统；其次，它处理加密的会话过程比较困难。最后，网络入侵检测系统可能会将大量的数据传回分析系统中。在一些系统中监听特定的数据包会产生大量的分析数据流量。（二）基于主机的入侵检测基于主机的入侵检测产品（RIDS）通常是安装在被重点检测的主机之上，主要是对该主机的网络实时连接以及系统审计日志进行智能分析和判断。如果其中主体活动十分

24、可疑（特征或违反统计规律），入侵检测系统就会采取相应措施。RIDS的优点：首先，主机入侵检测系统对分析“可能的攻击行为”非常有用；其次，主机入侵检测系统通常情况下比网络入侵检测系统误报率要低；最后，主机入侵检测系统可部署在那些不需要广泛的入侵检测，或者如果使用网络入侵检测会有传感器与控制台之间的通信带宽不足的限制的情况下。RIDS也有其弱点：首先，主机入侵检测系统安装在需要保护的设备上。其次，主机入侵检测系统除了检测自身的主机以外，根本不也不能检测到网络上的情况；另外，由于NIDS安装在受保护的主机上，必然要和主机的操作系统匹配，也就是说其在不同主机上安装时，存在移植性差的问题。（三）混合入侵

25、检测基于网络的入侵检测产品和基于主机的入侵检测产品都有不足之处，单纯使用一类产品会造成主动防御体系不全面。但是，它们的缺憾是互补的。如果这两类产品能够无缝结合起来部署在网络内，则会构架成一套完整立体的主动防御体系，综合了基于网络和基于主机两种结构特点的入侵检测系统，既可发现网络中的攻击信息，也可从系统日志中发现异常情况。1.2.2按所采用的技术分类入侵检测系统所采用的技术可分为特征检测与异常检测两种。特征检测（Signature-Based Detection）又称误用检测（Misuse Detection），这一检测假设入侵者活动可以用一种模式来表示，系统的目标是检测主体活动是否符合这些模式

26、。它可以将已有的入侵方法检查出来，但对新的入侵方法无能为力。其难点在于如何设计模式既能够表达“入侵”现象又不会将正常的活动包含进来。其优点是对已知攻击的检测率高，误警率低。缺点是它的检测能力依赖于特征库的更新，不能检测到未知的攻击类型。异常检测（Anomaly Detection）的假设是入侵者活动异常于正常主体的活动。根据这一理念建立主体正常活动的“活动模型”，将当前主体的活动状况与“活动模型”相比较，当违反其统计规律时，认为该活动可能是“入侵”行为。异常检测的难题在于如何建立“活动模型”以及如何设计统计算法，从而不把正常的操作作为“入侵”或忽略真正的“入侵”行为。其优点是能及时检测到未知入

27、侵。但目前尚未有统一的模型能很好地描述各种复杂系统的正常行为。而且在现有的技术下，误警率普遍较高。1.3现代入侵检测技术的主要功能要求一个优秀的入侵检测系统应该满足实时性、有效性、可扩展性、安全与可用性和适应性等方面的功能要求。（1）实时性：是指系统能够尽快地发现任何攻击或攻击企图以进一步查出攻击者的位置，阻止进一步的攻击活动，把破坏控制在最小限度。（2）有效性有效性：是指根据某一设计所建立的入侵检测系统是切实有效的，对攻击事件的误报与漏报能够控制在一定范围内。（3）可扩展性：一个好的入侵检测系统应该能够根据其应用环境进行灵活配置，检测方法不应该对检测系统的环境做出假设，否则将会影响检测系统的

28、可扩展性。这包括对增加的主机IDS应该易于扩展而不管主机上运行的是什么操作系统。及对其它一些环境的良好适应。（4）安全与可用性：是指入侵检测系统自身要足够的完善和健壮，不能向其宿主计算机及所属环境引入新的安全问题和安全隐患。（5）适应性：指入侵检测系统必须能够适用于多种不同的环境，比如高速大容量网络计算环境，并且在系统环境发生改变、比如增加环境中的计算机系统数量、改变计算机系统类型时，入侵检测系统应该依然能够不做改变而正常工作。适应性也包括入侵检测系统本身对其宿主平台的适应性，即跨平台工作的能力，适应其宿主平台软硬件配置的各种不同情况。1.4本章小结本章主要讲述了入侵检测技术的产生、发展历史、

29、现状，以及入侵检测技术的分类和主要功能，。33第二章 入侵检测与免疫系统第二章入侵检测与免疫系统2.1生物免疫系统2.1.1免疫的定义免疫是机体的免疫系统识别自我与非我，排斥抗原异物，用以维护内环境的生理平衡和稳定的一种生物学功能，通常表现为对机体有利的生理性保护作用，在一定条件下也可表现为对机体有害的病理损伤作用。简而言之，免疫是免疫系统识别排斥抗原异物的生物学功能阔。2.1.2免疫的功能免疫功能是免疫系统在识别和清除“非己”抗原的过程中所产生的各种生物学作用的总称。主要包括：1免疫防御：是机体排斥外来抗原性异物的一种免疫保护功能。正常时可产生抗感染免疫的作用，防御功能过强会产生超敏反应过弱

30、则产生免疫缺陷（后两种情况均属异常反应）；2免疫自稳：是机体免疫系统维持内环境相对稳定的一种生理功能。正常时：机体可及时清除体内损伤、衰老、变性的血细胞和抗原-抗体复合物，而对自身成份保持免疫耐受；异常时：发生生理功能紊乱、自身免疫病等；3免疫监视：是机体免疫系统及时识别、清除体内突变、畸变和病毒干扰细胞的一种生理保护作用。如机体突变细胞失控，有可能导致肿瘤发生或出现病毒的持续感染。2.1.3生物免疫系统原理与运行机制生物界中的病原体存在于各个角落，有些病原体一旦进入生物体，便会造成致命性的损害，生物体是怎样防御自然界中的入侵者的呢?原来它们是靠一套完善的免疫系统。生物免疫系统一般通过几道屏障

31、来防御外来入侵者，最外层是皮肤粘膜及其附属物，它可以将某些类型的抗原拒之门外，这是生物体预防传染病的第一道屏障，一旦病原体微生物通过第一道屏障进入机体，这时就要由第二道屏障来保护，即物理环境的保护，也就是提供不利于病原体存活的PH值和温度；第三层是先天性免疫系统，先天性免疫又称为非特异性免疫，是机体在长期发育进化过程中逐渐形成的一种天然防御功能，经遗传获得；最后一层是可适应性免疫又称特异性免疫，它的名称来源于它具有可适应性，能随外界环境的变化适应或学会识别特定种类的抗原，并且保留对这些抗原的记忆以便加快未来的反应。从免疫系统的各个层次来看，可适应性免疫系统是整个免疫系统中最为复杂的一层，从信息

32、学角度来看，它实际是一个大规模的分布式信息处理系统，它对于计算机安全来说也最具有研究价值；这里要借鉴的就是生物体的可适应性免疫（即后天免疫）。2.1.4可适应性免疫系统可适应性免疫系统能学会识别特定种类的抗原，并且保留对它们的记忆以便加快未来的识别速度。可适应性免疫系统主要由淋巴细胞构成，机体的免疫功能主要来自淋巴细胞，根据免疫功能的不同，淋巴细胞主要有两类：B细胞与T细胞，B细胞是抗体分泌细胞，在骨髓中发育；T细胞在胸腺中发育，作用是杀死抗原或抑制B细胞的过度繁殖。T细胞是一种重要的淋巴细胞，成熟的T细胞在抵御外来攻击时，起着协调免疫系统各部分功能的作用。当还处于胚胎阶段时，在骨髓中产生的未

33、成熟的T细胞进入另一个中枢免疫器宫-胸腺，在其中分化发育为两大类T细胞，不合格的T细胞（会产生自体免疫）被消灭，而成熟的T细胞分布在脾和淋巴结中以等待外来人侵。另一种重要的淋巴细胞是B细胞，B细胞在骨髓中发育成熟后，进入脾和淋巴结中。每个B细胞产生一种依附于其表面的抗体，用以探测相应的抗原，B细胞可以产生很多种抗体存在于体液中，识别、排斥和杀灭病原体微生物，称为体液免疫；B细胞继续分化，一部分成为能产生抗体的浆细胞，产生与抗原相应的抗体，并与抗原结合使之失去活性，从而达到消除抗原的目的，这个过程就是先天免疫。另一部分没有转化为浆细胞的B细胞发展为记忆细胞，记忆细胞对抗原非常敏感，能记住入侵过的

34、抗原，当有同样的抗原再次入侵时，记忆细胞就能很快地作出反应，这就是后天免疫或适应性免疫。生物体内的这些淋巴细胞并不是静止不动的，它们随着血液和淋巴系统在人体内不断循环。淋巴细胞在检测抗原时相互协作并对抗原的清除起到辅助作用。淋巴细胞可以被抽象的看作可以移动的、独立的检测器。生物体内成千上万的淋巴细胞就形成了一个分布式检测系统，在这个系统中没有指挥中心，抗原的检测和消灭都是靠这些检测器-淋巴细胞通过局部的规则相互作用的结果。具体分析，可适应性免疫系统主要包括识别机制、受体多样性机制、亲密度变异机制、记忆机制、容忍机制等。（1）识别机制：现代免疫学认为，机体免疫功能是对抗原刺激的应答，而免疫应答又

35、表现为免疫系统识别自己和排除非己的能力。免疫系统在发挥免疫功能的过程中，识别是重要的前提。一切生物都具有这种能力。单细胞生物只具有分辨食物、入侵微生物和本身细胞成分等低级的识别功能。脊椎动物的机体免疫系统逐渐完善，不仅具有完整的免疫器官和免疫细胞，而且免疫活性细胞还能产生特异性抗体和淋巴因子，从而准确地识别自己，排除异物以达到机体内环境的相对稳定，这对保护自己、延续种族和生物进化都有重大意义。高等生物充分发展的免疫系统，对内外环境的各种抗原异物刺激既表现出多样性和适应性，又表现出特异性和记忆性，这对生物的进化过程、生物种系的生存和适应具有重大影响。（2）应答机制：免疫应答是指免疫细胞对抗原分子

36、的识别、活化、分化和产生免疫应答的全过程。免疫应答可表现为两种类型：其一为正向免疫应答，即正常情况下对非己抗原的排异效应；其二为负向免疫应答，即正常情况下机体对自身成分的宽容状态。免疫应答一般可分为如图分2所示的三个阶段，即感应阶段，指抗原激活、递呈的一系列过程，体现了抗原分子与免疫细胞间的相互作用；反应阶段，指T、B细胞接受相应抗原激活、增殖和分化的阶段，体现了免疫细胞间的相互作用；效应阶段，指产生特异性抗体或效应细胞而发挥免疫效应的阶段。（3）记忆机制：记忆机制是免疫系统的一个重要特点，当机体接触过某种抗原后再次接触相同抗原时，则抗体出现的潜伏期较初次应答明显缩短，抗体含量大幅度上升，而且

37、维持时间长，这种当同一种抗原再次入侵机体时，引起的比初次免疫更强的、高亲和度的抗体产生的现象称为免疫记忆。无论在体液免疫或细胞免疫中均可发生免疫记忆现象。（4）容忍机制：是指免疫活性细胞接触抗原性物质时所表现的一种特异性的无应答状态，它是免疫应答的另一种重要类型，也是机体免疫调节的内容之一，其表现与正向免疫应答相反，也与各种非特异性的免疫机制不同，后者无抗原特异性，对各种抗原均呈现应答或低应答。（5）调节机制：免疫调节是指免疫应答过程中免疫系统内部各细胞之间、免疫细胞与免疫分子之间、免疫系统与其它如神经、内分泌、遗传系统之间的相互作用，从而构成了一个相互协助又相互制约的网络结构，使免疫应答维持

38、合适的强度以保证内环境的稳定。免疫作为维持生物体的防御和自身稳定的重要功能必然要受机体的调节，免疫系统各调节因素之间关系也错综复杂，有正的调节，也有负的调节。一旦失去调节，免疫系统便会失去平衡而导致免疫性疾病、感染及肿瘤等的发生。2.2人工免疫系统2.2.1人工免疫系统的基本术语人工免疫系统主要是借鉴生物免疫系统的信息处理机制，发展新的算法，因而很多术语都直接借用了生物免疫系统的术语。然而在人工免疫系统中完全套用生物学定义，照生物学过程，是不可能也不必要的。为了更好地描述人工免疫系统算法，以下将简要阐述几个常用的免疫学术语及其在人工免疫系统中的含义。表2-1生物体免疫系统和网络入侵检测系统概念

39、对比生物免疫系统概念网络入侵检测系统概念缩氨酸被检测的行为模式串受体检测模式串单克隆淋巴细胞（T-细胞B-细胞）检测器抗原异己模式串绑定检测模式串与异己模式串的匹配耐受性（隐形选择）否定选择抗原检测入侵检测系统的检测抗原清除检测器的响应2.2.2基于人工免疫的网络安全研究现状简介当前基于人工免疫的网络安全研究内容主要包括反病毒和抗入侵两个面。针对反病毒和抗入侵等网络安全问题，国内外人员设计了大量的算法、模型和原型系统。这里简单介绍当前较有代表性的两个工作。其一是IBM公司的研究人员工J.O.Kephart等人提出的用于反病毒的计算机免疫系统；其二是S.Forrest等人提出的可用于反病毒和抗入

40、侵两个方面的否定选择算法。（1）J.O.Kephart等人提出的计算机免疫系统通过模拟生物免疫系统的各个功能部件以及对外来抗原的识别、分析和清除过程，IBM公司的J.O.Kephart等研究人员设计了一种计算机免疫模型和系统，用于计算机病毒的识别和清除。该免疫反病毒模型可以说是一个初步完整的免疫反病毒模型，具有一定的影响。对已知病毒，该系统依据已知病毒特征和相应的病毒清除程序来识别和消灭计算机病毒。对未知病毒，该系统主要是涉及“饵”片程序来捕获病毒样本，在“饵”程序受感染后对其进行自动分析并提取病毒特征，涉及相应的病毒清除程序。当计算机发现并分析了未知病毒特征时，可将所产生的病毒特征和宿主程序

41、恢复信息传到网上临近计算机中，从而使得网络上的其它计算机很快就具有了对付该病毒的能力。综合来看，该原型系统可以是一个病毒自动分析系统，它仅仅是从结构和功能上来模拟生物免疫系统，而没有深入研究生物免疫系统完成这些功能的具体机制并建立和设计相应的模型和算法。（2）否定选择算法SForrest等人在分析T细胞产生和作用的基础上，提出了一个否定选择算法。T细胞在成熟过程中必须经过阴性选择，使得可导致自身免疫反应的T细胞克隆死亡并被清除，这样，成熟的T细胞将不会识别“自我”，而与成熟T细胞匹配的抗原性异物则被识别并清除。否定选择算法可以总结为以下三个步骤：（a）定义自我集：首先根据实际应用环境定义适合的

42、自我集合：自我集通常是由代表自我状态的字符串组成的集合。（b）产生检测器：首先随机产生字符串，如果该字符串集合与自我集合中的任一字符匹配则删除，否则保留下来作为检测器：如此循环迭代，直到产生足够大小的检测器集为止。（c）监视要保护的数据：如果需要保护的数据跟检测器集合中的任何一个检测器匹配，则表明要保护的数据发生了异常变化，从而起到了检测异常变化的效果。否定选择算法是一个变化检测算法，具有不少优点，但它不是一个自适应学习算法。否定选择算法自提出后就受到众多研究人员的关注并对其进一步研究。目前，在否定选择算法和免疫系统中的学习机制相结合方面己有了一定的进展。（3）其它以上仅仅简单介绍了两个较有影

43、响的工作，此外还有其它很多具有相当影响的相关模型、算法和原型系统，如R.E.Marmelstein等人提出的用于反病毒的计算机病毒免疫分层模型和系统，D.Dasgupt等人提出的基于免疫自主体的入侵检测系统框架等等。2.2.3生物免疫与入侵检测生物体免疫系统最基本的功能是识别Self/Nonself的能力。机体连续不断地产生称作抗体的检测器细胞，并将其分布到整个机体中。这些分布式的抗原监视所有的活性细胞，试图检测入侵机体的Nonself细胞，也就是抗原。然而，新生成的抗体不仅能检测出入侵抗原，而且有可能绑定自身的Self细胞，发生自免疫反应。为了避免这种灾难性后果，机体实现了负选择过程。在抗体

44、生成时，机体消除那些绑定5心细胞的不成熟抗体。对于所有新生成的抗体，只有那些不绑定任何Self细胞的抗体才能够成为有效的检测器细胞，分布到机体各个部分，行使检测功能。将免疫学应用于入侵检测需要三个步骤：定义Self、生成检测器和监视入侵。在第一个阶段，定义系统正常模式为SeI6在第二阶段，根据前面生成的Self模式生成一定数目的随机模式（抗原），如果随机生成的模式匹配了任何self模式，则该随机模式将不能成为检测器。在监视阶段，如果检测器匹配任何新出现的模式，则被匹配的模式反应了系统可能正在被入侵。此时，系统可以采取自动反应措施，也可以报警。入侵检测是用来发现外部攻击与合法用户滥用特权的一种方

45、法，入侵检测是根据用户的历史行为，基于用户的当前操作，完成对入侵的检测。入侵检测系统中用户的当前操作行为主要表现为数据形式，也就是入侵检测系统得数据源。它分为两类：一类是来自操作系统的审计数据；另一类是来自网络中的数据包。入侵检测通过对这些数据进行处理和分析，然后检测是否有入侵行为发生。通过上述介绍可以知道，生物免疫是保护人体不受细菌、病毒等外来病毒的侵害，而入侵检测是负责保护计算机网络系统不受来自外部与内部的入侵行为的侵害。因此，入侵检测在网络中所扮演的角色类似于免疫于人体。我们可以借助对生物的免疫系统的研究，实现一个仿生的基于免疫系统的入侵检测系统。2.5基于免疫机制的入侵检测系统模型2.

46、5.1人工免疫的实现人工免疫系统保护生物体，抵御来自病原体的侵袭和感染，有效地保护了生物体的健康。生物免疫系统由这许多目前计算机安全系统不具有的优良特性，它利用了少量免疫细胞来检测数量巨大的Nonself集合，并且实现了很多的免疫效果。这在很大程度上归功于免疫策略。因此如果能过借鉴生物免疫原理实现累死针对计算机安全的人工免疫系统，这必将大大提高计算机系统的安全性和可靠性。免疫系统所有的细胞分为两大类：自身细胞（Self）和非自身细胞（Nonself），免疫系统只对Nonself细胞具有免疫作用。在免疫系统中，淋巴细胞充当免疫探测器的作用（如图2-1所示），这些细胞在相应的免疫器官中随即产生的，

47、由于产生的随机性，这些细胞可能会对自生产生免疫，而这是不允许发生的。因此未成熟的淋巴细胞必须进入接受负选择，凡是自身免疫的细胞，系统都将会将它杀死。经过负选择存活下来的淋巴细胞被施放到全身各处参与生物体的免疫作用。通过负选择的淋巴细胞就会被释放到血液中从事抗原检测工作，如果在有限的时间内能够绑定到数量超过某一个阀值的抗原，淋巴细胞就会被启动以杀死抗原。反之，如果淋巴细胞在一定的时间内没有被启动，那么淋巴细胞就会死掉而代之以新的细胞。图2-1自然界否定选择示意图当淋巴细胞被激活以后，接着就要进行克隆选择，在这个阶段，被激活的淋巴细胞巴细胞被大量的进行复制，这些被复制出来的细胞被称作记忆细胞，它们

48、具有母体细胞相同的绑定抗原的特性但具有较小的阐值和较长的生命周期。这样，当人体中出现以前被绑定的抗原时，这些复制细胞可以加速抗原的识别过程。这样通过随机生成淋巴细胞，负选择，克隆选择三个阶段生成大量的抗体实现了生物免疫功能。根据生物免疫系统的工作原理，如果要对计算机中进行模拟，实现人工免疫。类似于生物免疫系统，人工免疫的实现也分为三个阶段：（1）确定self和Nonself集合；（2）集合的构造：（3）根据负选择算法构造检侧集（生成检测代理）。2.5.2Self和Nonself集合的定义和集合的确定生物免疫系统将所有的细胞分为两类：自身的细胞（self细胞）和非自身的细胞（Nonself细胞）

49、。5比细胞指对自身健康，没有特别病毒感染、破坏的细胞。Nonself细胞则是指病毒、细菌等有害物质和自身被感染、破坏的细胞。同样，对于网络安全而言，正常的用户为self为自身集合，而非正常的行为与入侵活动视为Nonsdf集合。而针对Nonself集合生成的检测器可以看成是免疫系统中的抗体，它用来识别特定的攻击。其中本体细胞被认为是人体内的细胞和分子等，异体细胞（Nonself）是任何一种异物（特别是有害的细菌、病毒和微生物等），也称为抗原（Antigen）。按照生物学的观点，免疫系统的主要目标是识别Nonself和Sdf，对于任意一个外来物，免疫系统通过淋巴细胞能够识别它们是属于哪一个集合，淋

50、巴细胞也称为抗体（Antibody）。自然免疫系统是由多个部分组成的异常复杂的系统，它应用特意性（后天学习获得）和非特异性（先天具备）的免疫机制的多级别防御来防备入侵者，免疫系统的主要目标是识别体内的所有细胞或分子，并将他们区分为自我self和非我Nonself，但是这两个集合均异常庞大，不可能得到任何一个集合的全集。免疫学家认为通过一个小的Self的子集，在胸腺中训练出来若干B细胞（淋巴细胞），识别一个相应范围的Nonself集，如图2-2所示： 训练B-Cell 识别器集合 Nonself已知的Self可识别的Nonself图2-2人工免疫的目标2.5.3J.Kim提出的基于人工免疫的网络

51、入侵检测系统模型J.Kim提出了一种分布式入侵检测的人工免疫模型，该模型的概念结构如图2-3所示。基因库基因表达预检测器非选择自我自动提取器自我成熟检测器 1 来自IDS的检测器通信单元 2来自路由器的网络数据修改适应度登记新基因基因库进化检测器检测器检测器从IDS克隆选择图2-3Kim的人工免疫模型的概念结构主IDS负责生成规则基因库和筛选检测规则集。在生成规则基因阶段，主IDS的任务是获取检测规则集的共同属性，生成并维护一个规则基因库。基因是指在深刻理解网络协议的机制以及他们安全漏洞的基础上，对异常网络通信模式的描述。规则基因库中存储的是用于生成检测规则集的基因。最初的基因可以通过对已知的

52、入侵方式的仿真获得。通常他们是由特定的区域或特定时刻的典型网络服务的数据包的数量或特殊错误等来描述。一旦一耳光新的检测规则已经被传送到从IDS，组成该规则的集的基因就会被添加到规则基因库中。如果库中已经存储有该基因，则表征他们的适用性的值就会增加。为避免规则基因库过大，可以事先设置一个最大值。当他的长度超过这个最大值时，就根据基因的适用性的值的大小，从中删除适用性低的基因。人工免疫模型可以对现存的所有入侵方式进行知识学习并且把所学的知识自动组织起来，而不管该入侵方式是否曾经被检测到的。由于它不需要包含入侵方式所有信息，而只是从入侵方式中提取数量有限的基因，所以他不会占用太多的系统资源。在筛选检

53、测规则集的阶段，主IDS生成若干不同的检测规则集，并把他们传送到各个从IDS。上一个阶段中生成的基因在基因表达过程通过重组，不同连接点的选择和突变生成各种预定义检测规则集。其中，发生突变的基因是从规则基因库中随机选取的。基因表达过程使得人工免疫模型只用很少规则基因就可以检测众多的入侵方式。特征提取过程负责对经过第一个路由器的大量未加工网络通信数据包进行过滤并生成自我通信特征集。自我通信特征集中包含的是正常网络行为的特征，而预定义检测规则集的定义域中包含的是异常网络行为特征。由于基因突变会导致的某些预定义检测规则集无效，筛选过程负责把无效的预定义检测规则删除。删除的方法是把预定义检测规则集与自我

54、通信特征集进行匹配，如果相同，则认为该筛选规则集是无效的。最后，通过筛选的预定义检测规则集成为检测规则集。在把检测规则集传送到从IDS之前，要在规则基因库中注册组成这些规则集的基因。为了保证检测规则集的唯一性，每一个检测规则集只能被传送到一个本地主机。在本地主机层，这些唯一的检测规则集独立的进行网络入侵检测。一个网络行为是否是入侵行为，最终要由几个本地主机共同来判断。某个从IDS在异常检测过程中发现可疑行为后，就会通知通信组件。然后，通信组件增大代表网络安全程度的危险系数的值，并通知其他从IDS的通信组件和主IDS。如果在很短的时间内几个主机都发现可疑行为，那么危险系数将会迅速增大。当危险系数

55、超过某个给定的界限时，入侵监测系统就会通过一个用户界面来提醒网络安全管理人员有网络入侵发生。2.6本章小结本章主要讲述了免疫的的相关定义与功能，并且分别阐述了人工免疫与生物免疫的工作原理和运行机制。最后结合人工免疫，阐述了基于人工免疫的网络安全现状。第三章 系统设计第三章系统设计3.1结构设计借鉴人工免疫系统，设计基于人工免疫系统的入侵检测系统，如图3-1所示。该系统是一个异常入侵检测系统，其组成为：（1）产生检测器。异常入侵检测系统的一个重要功能是提取系统的正常行为特征，而基于生物免疫系统的入侵检测系统检测器的产生过程，实际就是提取系统正常行为特征的过程。检测器不能检测“正常”，只能检测“异

56、常”，因此检测器所不能检测的行为特征就是“正常”，由此完成对系统正常行为特征的提取。这里“正常”指正常行为特征，“异常”指异常行为特征。（2）检测入侵。检测器与“正常”是互相关联的，因此用检测器可以检测出那些与“正常”不符的行为，即是“异常”。（3）输出检测结果。向系统管理员报告检测结果。基于生物免疫系统的入侵检测系统的关键在于检测器的产生，它利用生物免疫系统的阴性选择原则，产生“合格”的检测器，来识别“正常”和“异常”。它可以检测出已知和未知的各种“异常”，克服了现有各种入侵检测技术不能检测未知入侵的不足。“正常”产生检测器检测“异常”输出检测结果图3-1侵检测系统免疫模型的物理结构包括一个

57、主IDS和若干个从IDS。主IDS扮演人体免疫系统中骨髓和胸腺的角色，负责生成若干检测规则集。检测规则集描述了网络数据包的异常通信模式。每一个检测规则都是唯一的，并且被传送给一个从IDS。从IDS位于本地主机上。他使用检测规则集来发现非己的网络通信模式。主IDS和所有的从IDS之间不断地进行信息相互传输。在人体中，骨髓和胸腺不断地产生各种被称为抗体的检测细胞并将这些细胞送到淋巴结。抗体在淋巴结处对所有的活细胞进行监视，从而发现被称为抗原的入侵淋巴结的细胞。在人工免疫模型中，本地主机、检测规则集和网络入侵行为分别被看做人体的淋巴结点、抗体和抗原。检测规则集在本地主机上对网络通信模式进行监视，以便

58、及时识别并防止网络入侵。图3-2给出了该模型的概念体系结构。主IDS首先通过随即二进制字符串发生器产生候选的未成熟检测元，然后通过否定选择过程产生有效的成熟检测元。这些成熟检测元分组传送到各从IDS中，从事实际的入侵检测工作。从IDS中，从主IDS传来的成熟检测元进入实际的测试阶段。在测试阶段，监测元利用适当的字符串匹配算法执行检测任务。如果一个成熟的检测元能够匹配到足够数量的分组（启动阀值），就会启动；反之，如果检测元没有启动，该检测元被认为是无效检测元而被丢弃。当一个检测元启动后，从IDS通过消息等方式向主IDS发出警告，由管理员决定是否异常行为。如果在给定的时间内，管理员将该次警告判断为

59、异常行为，那么该检测元讲进入下面所述的克隆选择阶段；否则，该次警告被认为是误报，相应的检测元死亡而代之以新产生的检测元。模型的最后一个阶段是克隆选择阶段，实际测试阶段中被证明有效的检测元将被复制并分发到各从IDS中。预处理程序随机二进制字符串发生器未成熟检测器集合否定选择成熟检测器成熟检测器成熟检测器正常环境网络数据包Self集主IDS从IDS成熟检测器集合克隆选择克隆选择克隆选择图3-2基于人工免疫原理的入侵检测系统模型3.2人工免疫入侵检测系统模型中的几个概念（1）检测元的构造新墨西哥大学的Forrest最早将免疫系统的免疫原理引入到入侵检测领域，她提出可将信息安全问题看成一个更加普遍的问

60、题，即如何区分自我与非我。也就是说，入侵检测问题多数情况下也可以归结为对自我模式（合法用户、授权用户的行为模式等）和非我模式（非法用户或入侵的行为模式等）的识别。Forrest提出利用否定检测法来处理各种异常检测问题。否定检测方法的核心就是否定选择算法（这个算法又称为产生-试验算法），否定选择算法定义Self为网络系统的正常模式，即网络系统中的正常网络连接。在具体的表现形式上，通过提取网络上的传输IP包中的连接特征进而构成长度为L的二进制字符串来表示，如字符串（源IP地址、源端口、目的IP地址、目的端口、协议类型、生存期），所有这些字符串组成Self集。在入侵检测系统中设计一个随机字符发生器，由他随机生成一些长度为L的二进制字符串，即未成熟检测元，然后每个二进制字符串采用R-邻近位字符串匹配算法与Self集进行匹配比较。如果匹配成功，说明该未成熟检测元与网络系统的正常模式吻合，那么某网络行为模式与Nonself集某检测元匹配，则表明异常网络行为，入侵检测系统将报警，基于免疫机制的入侵检测系统的检测原理如图3-3所示。