基于免疫原理的网络入侵检测

摘要：在对人体免疫原理进行分析的基础上，从中抽取与入侵检测相关的隐喻机制进行深入研究。继而构建基于免疫机制的入侵检测系统，并详细阐释了该系统自体和非自体的定义、免疫匹配规则的设置以及检测器的生成和生命周期，最后通过仿真实验对模型进行了验证。免疫入侵检测系统的建立以及仿真实验的开展是深入研究的基石。

关键词：入侵检测；免疫原理；r连续位匹配；检测集生成

中图分类号：TP18文献标识码：A文章编号：1009-3044(2012)26-6348-03

Network Intrusion Detection Based on Immune Theory

WU Xiang1, HAN Liang2

(1.Naval Headquarters, Beijing 100841, China; 2.The East China Sea Fleet of Navy, Ningbo 315122, China)

Abstract: After analysis of the immune algorithm characteristics, the metaphor mechanism which is associated with the intrusion detection is extracted and studied in-depth. And then on the basis of artificial immune system, intrusion Detection system based on immune mechanism is built and the definition of system self and system non-self, immune matching rules set, and also the generation and life cycle of the immune detector are explained. Finally, the model is validated by the simulation experiments. The establishment of the immune intrusion detection system and the simulation work is the cornerstone of this research.

Key words: intrusion detection; immune theory; r contiguous bits matching; detector set generation

人体的免疫系统功能是通过大量不同类型的细胞之间的相互作用实现的[1-2]。在这些不同类型的细胞主要作用是区分“自体”和“非自体”。“自体”是指人体自身的细胞，而“非自体”是指病原体、毒性有机物和内源的突变细胞或衰老细胞。淋巴细胞能对“非自体”成分产生应答，以消除它们对机体的危害；但对“自体”成分，则不产生应答，以保持内环境动态稳定，维持机体健康。

可以看出入侵检测系统和免疫系统具有一定程度的相似性。对于一个入侵检测系统，特别是网络入侵检测系统，免疫系统的组成、结构、特征、免疫机理、算法等都为入侵检测系统设计有着重要的借鉴意义。它们要解决的问题都可以被描述为：识别“自体”和“非自体”，并消除“非自体”。

1自体和非自体的定义

计算机安全的免疫系统保护的是计算机系统的数据文件，所以将“自体”定义为计算机中合法的数据，这些数据包括合法用户、授权活动、原始源代码、未被欺诈的数据等；将“非自体”定义为其它一切非法数据，这些数据包括自身遭受非法篡改的数据、病毒感染的数据以及外来数据等。

2免疫匹配规则

在计算机中，所有的数据都是以二进制来表示的，这就表明在进行仿真的过程中，使用免疫匹配规则的对象都应该是针对二进制字符串的，因此需要采用二进制的匹配算法。采用何种二进制字符串的匹配算法，这是一个十分关键的问题，因为只有采用了合适的匹配算法，才能有效的构造免疫检测器集[4]。目前有很多的近似匹配算法，如r连续位的匹配算法、海明距离匹配算法等。r连续位匹配规则能更好地反映抗体绑定的真实提取，即能更真实地反映检测器字符串与被检测字符串的匹配情况，所以它比海明匹配规则更常用，因此文章采用r连续位的匹配算法。

r连续位的匹配规则可以描述如下：对于任意的两个字符串x，y，如果两个字符串x，y在相应位置上至少连续r位相同，那么这两个字符串是r连续位匹配的，即Match(x,y)|r=true。例如，如果设定r=5，字符串x=“10111010”和字符串y=“11011010”，由于它们在相应位置4-8位上都为“11010”，因此这两个字符串是匹配的。

在训练阶段，首先随机生成候选检测器集合，然后让候选检测器与自体集进行匹配，这个过程也叫阴性选择过程。在匹配的过程中，那些与与自体集相匹配的候选检测器就被丢弃，而不与自体集匹配的候选检测器则作为成熟检测器，存储于检测器集合中。

[1] Oscar A,Fabio A G, Fernando N,et al.Search and Optimization：A Solution Concept for Artificial Immune Networks: A Coevo? lutionary Perspective [C].Proceedings of 6th international conference on Artificial Immune systems，Brazil，2007：26-29.

[2] Hofmeyr, S, Forrest, S. Immunity by Design: An Artificial Immune System[C]//Proceedings of the 1999 Genetic and Evolution? ary Computation Conference,1999:1289-1296.

[3]杨进,刘晓洁,李涛,等.人工免疫中匹配算法研究[J].四川大学学报:工程科学版，2008,40(3):126-131.

[4]马莉.基于免疫原理的网络入侵检测器生成算法的研究[D].南京:南京理工大学硕士论文, 2006.

[5]卿斯汉,蒋建春,马恒太,等.入侵检测技术研究综述[J].通信学报,2004,25(7):19-29.

[6]焦李成,杜海峰,刘芳,等.免疫优化计算、学习与识别[M].北京:科学出版社, 2006.

[7] Dasgupta D，Gonzalez F.An Immunity-Based Technique to Characterize Intrusions in, Computer Networks [J].Special Issue on Artificial Immune Systems of the Journal IEEE Transactions on Evolutionary Comput- ation.2002，6(3)：281-291.

[8] Cantu-Paz E. Feature subset selection, class separability, and genetic algorithms[C]//Proceedings of the Genetic and Evolution? ary Computation Conf, 2004:959-970.

[9] KDD cup 1999 data[EB/OL]. .