（计算数学专业论文）基于免疫和mobileagent的ids检测器模型.pdf

摘要摘要随着计算机网络技术的不断发展和规模的不断扩大，i n t e m e t 为我们的工作和学习带来了极大的便利，但同时也存在被恶意入侵的风险。随着网络入侵的多样化和智能化，有效地保护系统和网络资源的安全就被放在一个非常重要的地位。入侵检测系统( i d s ：i n t r u s i o nd e t e c t i o ns y s t e m ) 是网络安全体系的重要组成部分。现在存在许多入侵检测系统，但是它们都存在一个共同的问题：难于识别未知的入侵。解决这一问题的根本途径是提高i d s 的智能性，人工免疫系统( a i s ：a r t i f i c i a l1 1 t 1 1 t i l i n es y s t e m ) 模拟生物免疫系统鲁棒性、自适应性、耐受性、分布性、多样性和自组织性等优点，具有较好的智能性，能很好的解决入侵检测系统准确率低，误报漏报率高的缺点，同时对未知入侵行为也有较好的检测能力，已经逐渐成为研究的热点。近年来无论从规模还是方法上入侵技术都发生了很大变化：入侵或攻击的综合化与复杂化、入侵主体对象的间接化、入侵或规模的扩大、入侵或攻击技术的分布化、攻击对象的转移。一些分布式的入侵检测系统只是在数据采集上实现了分布式，而数据的分析、入侵的发现还是由单个程序来完成。这样的结构有如下缺点：单点失效、可扩展性差、系统缺乏灵活性和可配置性、缺乏可适应性、系统比较脆弱。入侵检测技术将朝着智能化入侵检测、分布式入侵检测、全面的安全防御方案发展。目前国际及国内在计算机免疫和m o b i l e a g e n t 技术相结合的研究刚刚起步，还不成熟。针对上述问题，本文做了以下工作：1 基于计算机免疫学的原理，结合移动代理技术提出一个网络化、分布式、智能化的入侵检测系统模型并对它的各个模块进行了详细讨论。2 对免疫克隆选择算法进行了改进并将其应用于入侵检测系统，提出了一种对实际网络数据包进行检测的检测器模型。该算法使系统能识别正常数据和异常数据，能够更加有效的检测实际的网络入侵行为。3 对检测器模型的检测率和误检率这两个主要性能进行了实验分析。获得了较好的结果，明显地提高了系统的检测率和降低了系统的误检率。关键词：免疫算法，移动代理，入侵检测系统，人工免疫系统a b s t r a c tw i t ht h ed e v e l o p m e n to fn e t w o r kt e c h n o l o g ya n ds c a l e ，i n t e m e tb r i n g su so p p o r t u n i t i e sa n dm a n yn e t w o r kr e s o u r c e s b u th o s t i l i t yi n t r u s i o nc o m e st o o h o wt om a k es u r et h es y s t e ma n dn e t w o r k ss e c u r i t ya st h en e t w o r ki n t r u s i o na f f a i r sk e e pg r o w i n gi sb e c o m i n gm o r ei m p o r t a n tn o w i n t r u s i o nd e t e c t i o ns y s t e m ( r d s ) i sa ni m p o r t a n tp a r to fn e t w o r ks e c u r i t ya r c h i t e c t u r e t h e r ea r em a n yc o m m e r c i a li n t r u s i o nd e t e c t i o ns y s t e m sn o w a d a y s ，b u ta l m o s ta l lo ft h e mh a v et h ee o m m o n a l i t i e st h a tm e vc a n n o td e t e c tt h eu n k n o w na t t a c k s t h ew a yo fr e s o l v i n gt h i sp r o b l e mi st oi m p r o v et h ea r t i f i c i a li n t e l l i g e n c eo fi d s t h em e r i t sl i k es e l f - t o l e r a n c e ，d i s t r i b u t e ,r o b u s t ,a u t o - a d a p t a t i o n ,m u l t i f o r m i t y ,a u t o - o r g a n i z a t i o nt h a ts i m u l a t i n gf r o mt h eb i o l o g i ci m m u n es y s t e mm a k ea r t i f i c i a li m m u n es y s t e m ( a i s ) h a sb e t t e ra r t i f i c i a li n t e l l i g e n c et h a tc a nf e t c hu pt h ed i s a d v a n t a g e so fi d ss u c ha sl o wa c c u r a t er a t e , h i g hf a l s en e g a t i v e sa n df a l s ep o s i t i v e sr a t ep e r f e c t l ya n di ti sa b l et od e t e c tu n k a o w ni n t r u s i o n st o o r e c e n t l y , t h ei d sb a s e do na i sh a sb e c o m e st h eh o t s p o to ft h en e wi d st e c h n o l o g y i nr e c e n ty e a r sr e g a r d l e s so fi n v a d e dt h ed e t e c t i o nt e c h n o l o g yf r o mt h es c a l eo rt h em e t h o dt oh a v et h ec h a n g e , d e v e l o p e dt o w a r dt h ef o l l o w i n gd i r e c t i o n ：i n t r u s i o ne i t h e ra t t a c ki n t e g r a t i o na n dc o m p l i c a t i o n , i n t r u s i o nm a i nb o d yo b j e c ti n d i r e c t ，i n t r u s i o no rs c a l ee x p a n s i o n , i n t r u s i o no ra t t a c kt e c h n o l o g yd i s t r i b u t i o n ，a t t a c ko b j e c ts h i f t s o m ed i s t r i b u t i o n a li n t r u s i o nd e t e c t i o ns y s t e m sw e r eo n l yh a v er e a l i z e di nt h ed a t aa c q u i s i t i o nd i s t r i b u t i o n a l ，b u tt h ed a t aa n a l y s i s ，t h ei n v a s i o nd i s c o v e r yc o m p l e t e da l s ob yt h es i n g l ep r o c e d u r e s u c hs t r u c t u r eh a st h ef o l l o w i n gd i s a d v a n t a g e s ：t h ee x t e n d i b i l i t yi sl o w , t h es i n g l ep o me x p i r e ，t h es y s t e mt ol a c kt h ef l e x i b i l i t ya n dc o n f i g u r a b l e ，l a c ko ft h ec o m p a t i b i l i t y , t h es y s t e mi sf r a i l t h ei n t r u t i o nd e t e c t i o nt e c h n o l o g yw i l lf a c et h ed i s t r i b u t i o n a li n t r u t i o nd e t e c t i o n , t h ei n t e l l e c t u a l i z e di n t r u t i o nd e t e c t i o n , t h ec o m p r e h e n s i v es a f ed e f e n s ep l a nd e v e l o p m e n t a tp r e s e n ti n t e r n a t i o n a la n dt h eh o m et h es c h o l a r l yr e s e a r c hw h i c hu n i f i e di nt h ec o m p u t e ri m m u n i t ya n dt h em o b i l e a g e n tt e c h n o l o g yj u s ts t a r t e d ，w a sn o tm a t u r e i nv i e wo ft h ea b o v eq u e s t i o n s ，t h i sa r t i c l ec o n t a i n st h ef o l l o w i n gw o r k s ：i ia bs t r a c t1 b a s e do nc o m p u t e ri m m u n o l o g y sp r i n c i p l ea n dt h em o b i l ea g e n tt e c h n o l o g yp r o p o s ean e t w o r k ，d i s t r i b u t i o n a l ，t h ei n t e l l e c t u a l i z e di n t m t i o nd e t e c t i o ns y s t e ma n dm a k ead e t a i l sd i s c u s s i o n 2 t h ei m p r o v e dc l o n es e l e c t i o na l g o r i t h mw a sa p p l i e di nt h ei n t r u t i o nd e t e c t i o ns y s t e m ，d e t e c t i o nt ot h en e t w o r kd a t ap a c k a g e ，a n du s i n gt h ec h a r a c t e r i s t i c so ft h ea l g o r i t h mt od i s t i n g u i s ht h en o r m a ld a t aa n dt h eu n u s u a ld a t a ，m a k ei th a v eao r g a n i ci n t e r g r a t i o nt ot h ea c t u a ln e t w o r ki n t r u s i o n 3 w ea l s om a k eae x p e r i m e n t a la n a l y s i sa b o u td e t e c t o r st w om a i n l ya s p e c t s ：d e t e c t i o nr a t ea n dt h er a t eo ff a l s e 1 1 1 er e s u l t ss h o wt h a ti ti m p r o v et h ed e t e c t i o nr a t ea n dl o w e rt h er a t eo ft h ef a l s e k e y w o r d s ：i m m u n ea l g o r i t h m ，m o b i l ea g e n t , i n t r u s i o nd e t e c t i o ns y s t e m ，a r t i f i c i a li m m u n es y s t e mi i i独创性声明本人声明所呈交的学位论文是本人在导师指导下进行的研究工作及取得的研究成果。据我所知，除了文中特别加以标注和致谢的地方外，论文中不包含其他人已经发表或撰写过的研究成果，也不包含为获得电子科技大学或其它教育机构的学位或证书而使用过的材料。与我一同工作的同志对本研究所做的任何贡献均已在论文中作了明确的说明并表示谢意。签名：关于论文使用授权的说明本学位论文作者完全了解电子科技大学有关保留、使用学位论文的规定，有权保留并向国家有关部门或机构送交论文的复印件和磁盘，允许论文被查阅和借阅。本人授权电子科技大学可以将学位论文的全部或部分内容编入有关数据库进行检索，可以采用影印、缩印或扫描等复制手段保存、汇编学位论文。( 保密的学位论文在解密后应遵守此规定)签名：j 之纽导师签名：j 陋醐：彻( 年厂月l 卫目第一章绪论第一章绪论随着计算机网络技术的快速发展和应用，特别是一些机密数据在网络上的传输要确保高度的安全性，因此保持网络安全非常重要。同时网络入侵的方式也是日新月异，更使网络安全面临严峻形势。目前网络的最大威胁来自各种各样的病毒，其入侵手段的不断更新，使得目前的许多防御机制对许多新型攻击无能为力。因此，入侵检测系统( i n t r u s i o nd e t e c t i o ns y s t e m ，i d s ) 作为网络安全的防御体系机制，是网络安全体系的一个重要组成部分。i d s 被设计成为一个专家系统，它检查活动在用户账户上的例程类型并在检测到异常时通知系统管理员。这个概念是a n d e r s o n 于1 9 8 0 年提出的，直到1 9 8 7 年d e n i l i n g 发表了她的第一个入侵检测模型以后才开始发展起来【l 】。早期的 d s 使用一个单一的体系结构，数据在一个单一的主机上收集并在一个中心节点上分析。因为在一个主机上监视账户的活动并不能检测包含多个主机的攻击， d s 的设计者通常使用一个基于网络的i d s ，它能够把以主机为中心的检测转变到以网络为中心的检测。以网络为中心的i d s 解决了大量的性能和完整性问题，这些问题又和于探测轨迹有密切的关系。i d s 通过技术能够被更进一步的刻画来发现一个入侵。通过检查用户或者系统的历史信息和行为就可以检测到一个入侵，包括输入和命令类型等。一个入侵检测系统可以对一种确切的入侵类型做出反应，这是一种典型的基于规则的检测。先前的i d s 遵循了两个组成部分的体系结构【2 】。从用户的活动日志和内部接口来收集数据，或者是检测网络通信的数据包。这些信息需要进行集中分析，这需要一种或者更多的检测技术。这种体系结构在小型网络时是高效的，但对大规模的网络检测来说效果却不理想。最近的i d s 大都采用一种继承的体系结构，它可以有效的缓解这种状况。目前的入侵检测系统普遍存在以下问题：1 检测率较低。i d s 常常需要及时地处理事件，这种需求在遇到大数据量的时候会变得非常困难。基于主机的i d s 会降低系统的效率，而基于网络的i d s 会把来不及处理的数据包丢弃。电子科技大学硕士学位论文2 误报率高。由于对入侵的规则要求比较严格，导致许多正常的数据被认为是异常而被丢弃，改善这种状况是目前i d s 面临的一个主要问题。3 缺乏灵活性。由于很多入侵检测系统都是为一个特定的环境来制定的，当被用到另外一种环境中时会显得比较困难。特定的检查机制也很难使用不同的检查用途。除了上述的几个主要的缺点，i d s 继续面临着它必须克服的一些新的障碍，包括如下几个方面：1 高速通信。高速的通信率直接影响了系统处理数据包的效率和分析数据包的内容，否则会导致丢包。2 宽度攻击。当一个新的攻击被发现时，i d s 就必须更新数据库来检查它们。当新的攻击被不断的加进来，而旧的攻击却很少被丢弃。典型的，包含越多的攻击类型，检测算法就需要更多的处理时间。3 技术限制。用一个程序来检查所有的攻击类型和有害的代码是不可能的。由于存在服务进化和新的服务例程的出现，入侵检测技术需要克服这些问题。出现以上问题的根本原因是存在多种类型的数据。不确定性和入侵手段的不断更新，使得对网络数据的编码和其特征的分析方法难以适应现实需求。如何找到一种解决以上问题的根本途径是入侵检测技术的关键基础性问题，也受到了国内外专家学者的高度关注。提高入侵检测系统的智能性是一个有效的途径，神经网络方法和遗传免疫算法在这方面已经获得了一些研究成果，但仍有很多不足【3 1 。免疫算法作为一种新兴的智能算法，虽然起步晚，但已和神经网络，遗传算法并称为三大生物计算模型。从系统行为的角度上，生物体免疫系统与入侵检测系统表现出很多相似性，免疫系统的信息处理方式也为研究者在入侵检测研究方面提供了新的启示。生物免疫系统是生物体信息处理系统的重要组成部分，它所具有的许多信息处理机制和功能特点，如自体非自体的抗原识别机制、学习和记忆能力、自适应环境能力以及能与体内其他系统和组织进行协调共处的特点等，在许多工程领域中具有很大的应用潜力。因此抽取生命免疫系统独有的计算机制，建立人工免疫模型是目前人工生命研究中的重要课题之一，它对开发新型的计算智能和建立新型人工智能系统，特别是在优化控制、机器人仿真和网络安全研究中具有重要的应用价值。近年来，移动代理( m o b i l e a g e n t ) 作为网络软件发展的一个新的范例，已经成为一种可以获得的技术。这种技术有以下几个潜在的好处：减少网络带宽和反应延时。这种优点在学术界和工业界都引起了广泛的关注。一个移动代理实际上是2第一章绪论一个程序，它代表用户来执行智能决策任务。它能够在一个通信网络中从一个节点自动地移动到另一个节点。最近，很多基于智能移动代理的网络管理技术已经被设计和实现。当一个移动代理被分配一个任务时，它能够被派遣到一个比较远的节点。当完成任务时，一些重要的信息被发送回源节点。由于在查找的过程中移动代理和源节点的通信比较少，所以由移动代理产生的网络开销非常小。因此移动代理是改善网络状况的一个有效的方式m 】。一个移动代理是一个自治的实体，在一个计算机网络中可以自动地从一个节点移动到另一个节点。移动代理有自治性、移动性、智能性等优点。通常，一个移动代理的主要任务是由用户的特殊应用来决定的，因此可以把移动代理分为不同的类别来执行不同的任务p 】。本文所研究的基于免疫理论和m o b i l e - a g e n t 的检测器模型在一定程度上弥补了传统检测器存在的诸多弱点，检测器借鉴免疫系统中免疫算法机制，在检测器生成阶段和入侵监视阶段使检测器进化。检测器主动更新入侵行为检测库，起到了防御未知攻击的目的，同时提高了检测器的生成效率以及检测效率。文中还对这种算法进行了数据实验，结果表明，它能将人工免疫系统和实际的网络入侵行为有机地结合起来，具有更好的现实意义。电子科技大学硕士学位论文2 1 入侵检测系统概述第二章入侵检测概述随着计算机网络技术的快速发展和应用，特别是一些机密数据在网络上的传输要确保高度的安全性，因此保持网络安全非常重要。同时网络入侵的方式和种类也是日新月异，更使网络安全面临严峻形势【8 】。目前人们对入侵检测系统的作用还没有非常深刻的了解，但对传统的防火墙机制却非常熟悉。入侵检测系统对网络中传输的数据包进行实时的监控，如果发现异常数据就会像系统管理员发出告警信息或者采取相应的措施来保证网络的正常运行。而防火墙由于受到网络传输性能方面的限制，只是对一些数据进行初步的处理，很少做出更深层次的检查。相对于防火墙这种近乎被动的防御检测，入侵检测系统表现的更为积极主动。这就决定了入侵检测系统是防火墙机制的一个强有力的补充，成为保护系统安全的第二道防线。它们相互协作，共同守护着系统免受外来非法程序的入侵。2 2 入侵检测系统的检测原理及分类入侵检测系统检测入侵的方式可以有很多中，其检测入侵的原理一般是通过比较以及以往的经验来确定一个程序是不是一个入侵。入侵检测系统实时监控用户以及系统的活动，如果发现异常马上采取相应的措施来解决。利用系统构造和弱点的审计，能够高效识别己知模式的攻击并及时向相关人员发出警报，对异常行为的统计分析也是一个重要的手段p j 。入侵检测系统还会检测系统和数据文件的完整性，如果发现文件被非法篡改就会立即发出告警信息。对操作系统日志的跟踪管理，检测用户违反安全策略的行为。现代入侵检测系统都会拥有自己的数据分析库，用于记录曾经遭受过的攻击类型，当这种攻击再次出现时，便会更快更准的来检测到这个入侵。目前的入侵检测系统基本可以分为两大类：基于主机的入侵检测系统和基于网络的入侵检测系统，这两类检测系统都由自己的特点和特长。基于主机的入侵4第二章入侵检测概述检测系统在系统性能上可能比不上基于网络的入侵检测系统，但是它也有自己固有的许多优点，最主要的优点就是和对和主机关系密切的事件反映及时，并具有比较廉价的成本【1 0 1 。基于网络的入侵检测系统虽然效率高，但是成本也高，表2 1是这两类检测系统比较：表2 1 基于主机和基于网络的入侵检测系统的比较基于主机的入侵检测系统基于网络的入侵检测系统可以检测到不经过网络的攻击和网络检测可以检测到主机检测不到的攻击，并对网所忽略的攻击络攻击效果显著比较快的响应速度对入侵有非常快的响应速度可以事后对比攻击的是否成功可以获取攻击证据具有很好的加密效果基于网络的，和操作系统无关停止用户登陆断开网络连接停用账号重设防火墙只能保护主机保护整个网络只能查看本机日志能够查看网络连接日志花费低廉代价昂贵速度较快速度很快2 3 入侵检测系统目前存在的问题入侵检测系统虽然较以前有了很大的进步，各个方面也有了很大改善，但是仍然存在很多缺陷：( 1 ) 现有的入侵检测系统的检查速度相对于网络的传输速度来说太慢，直接导致误报率和漏报率偏高。( 2 ) 入侵检测系统和别的软件的交互问题显得比较严重，在进行检测时要求密切的信息交流，相互协作来共同保证网络系统的安全。( 3 ) 基于网络的入侵检测系统比较容易受到来自网络的分布式攻击，并且对加密的数据流不进行检测。( 4 ) 入侵检测系统的体系结构问题也显得比较突出，黑客可以利用其中的缺陷来进行攻击。电子科技大学硕士学位论文2 4 入侵检测的发展方向随着入侵的不断发展，传统的入侵检测系统受到了前所未有的挑战。这使得入侵检测系统不得不寻求自身的发展来应对网络入侵的威胁【1 1 】。人们不断进行探索和研究，使得入侵检测系统朝着以下几个方面发展：( 1 ) 检测条件标准化，由于现在各种产品都遵循自己的一套标准，使得入侵检测的标准缺乏统一。( 2 ) 把传统的入侵检测系统和基于移动代理的分布式系统相结合，创建一种新型的入侵检测系统来应对分布式攻击。( 3 ) 对网络入侵的反应能力比较迟缓，所以要尽量提高网络传输速度，来保证对网络入侵的实时检测。( 4 ) 结合一些智能的结构体，来使得系统具有一定的智能处理能力。以上提出了入侵检测系统的一些发展方向，但是随着网络技术的发展，一些新的攻击方式会出现，相应的新的解决方案也会被提出来。因此紧密关注最新的技术发展状况才能紧跟技术前沿，使得入侵检测系统得到更大的发展。6第三章人工免疫网络概述第三章人工免疫系统概述人工免疫系统是模仿生物免疫系统功能的一种智能方法。二十世纪八十年代末，f a r m e r 等人率先基于免疫网络学说给出了免疫系统的动态模型，并探讨了免疫系统与其它人工智能方法的联系，开始了人工免疫系统的研究【1 2 1 。其研究成果涉许多的应用领域。3 1 基本概念及免疫机理在人工免疫系统中有许多概念，下面我们先来熟悉一下它们：免疫性、抗体、抗原、免疫应答、克隆选择、免疫记忆，我们来分别解释一下这些概念。( 1 ) 免疫特性指生物体识别与排除外来的和内在的非己抗原以维持机体相对稳定的一种生理功能，又称为免疫。免疫性通常是指对感染疾病有高度的抗性。( 2 ) 抗体机体在抗原的物质刺激下，由b 细胞分化成的浆细胞所产生的、可以相应抗原发生特异性结合反应的免疫球蛋白。可以说所有的抗体都是免疫球蛋白，但并非所有的免疫球蛋白都是抗体。( 3 ) 抗原抗原是一类能刺激人或动物产生抗体的物质，可以和抗体产生反应，抗原的基本能力是免疫原性和反应原性。( 4 ) 免疫应答是机体免疫系统对抗原刺激所产生的以排除抗原为目的的生理过程，这个过程是免疫系统各部分生理功能的综合体现。通过有效的免疫应答，机体的内环境得以保持相对稳定。( 5 ) 克隆选择免疫球蛋白的基因都是成段排列的，这样通过片段重新组合就可以产生大量的不同的抗体，克隆选择就发生在片段基因重组的过程当中。( 6 ) 免疫记忆在获得性免疫方面，抗体一度对某种抗原发生特异反应，则在下一次遇见同7电子科技大学硕士学位论文样的抗原时，会发生更为剧烈的反应。专家学者普遍认为动物和人体内存在一个免疫系统，它控制机体的各部分免疫功能，是机体发生免疫应答的基础 13 1 。免疫系统是生命体在长期进化中与各种致病因子的不断斗争中逐渐形成的，在个体发育中也需要抗原的刺激才能发育完善。近代医学认为免疫是指机体对自我或非自我的识别并排除非自我的功能。当抗原进入机体后，免疫系统能将其识别并消除。生物免疫系统的组织结构如图3 1所示【1 4 】：3 2 免疫算法免疫系统免疫细胞干细胞系淋巴细胞系单核吞噬细胞系其它免疫细胞图3 1 生物免疫系统的组织结构传统人工免疫系统由相对独立的一序列基本算法组成1 5 1 ，对主要算法分别描述如下：3 2 1 否定选择算法否定选择算法【1 6 】是对自适应免疫细胞( b 细胞和t 细胞) 成熟过程的模拟，用经历过耐受的检测器模拟成熟的免疫细胞。算法主要包括了两个阶段：耐受和检测。a 、耐受。耐受阶段主要负责检测器的生成。b 、检测。在检测阶段，检测器检测受保护系统是否发生异常。检测过程如图3 2 所示：否定选择算法( n a g t i v es e l e c ta l g r i t h e m ，n s ) 是人工免疫学中比较受关注的理论。1 9 9 4 年，美国学者f o r r e s t ，p e r e l s o n 等人率先提出，用该算法来生成检测官官子器器子分疫疫分型免免型泌枢周模分中外r，、l，l子官分器疫疫免免第三章人工免疫网络概述器集，完成检测器的耐受，并提出了计算机免疫系统这一概念。最初的n s 算法检测器生成效率低，大部分研究人员都把注意力集中在检测器的生成算法上。也有一部分研究人员更注重n s 算法的基本理论，在n s 算法的基础上提出了肯定选择算法( p o s i t i v es e l e c ta l g o r i t h m ，p s ) 。2 0 0 2 年e b n e r 提出把检测器的空间提升到连续空间中，提出了实值否定选择算法( r e a l v a l u e dn e g a t i v es e l e c t i o n ，r v n s )和实值肯定选择算法( r e a l v a l u e x ip o s i t i o ns e l e c t i o n ) 。之后，主要研究n s 算法性能，增大检测器的覆盖面积，缩小检测器覆盖漏洞【1 7 1 。2 0 0 4 年d a s g u p t a 提出了检测器大小可变的实值否定选择算法，可以算是当前最新的n s 算法。n s 算法取得了广泛的应用，但由于有自身无法克服的缺陷，使得一部分研究人员开始寻找新的算法。3 2 2 克隆选择算法图3 - 2 否定选择算法的检测过程1 9 5 8 年，澳大利亚学者b u m e t 率先提出了克隆选择原理【1 8 】。1 9 8 4 年他本人对该理论作了进一步完整。1 9 9 9 年，h u n t 进一步发展了克隆选择理论，并且提出了高频变异学说。克隆选择原理被用来解释免疫系统是怎么与抗原作战的。当外部细菌或病毒侵入机体后，b 细胞开始大量克隆并消灭入侵者，那些能够识别抗原的细胞根据识别的程度通过无性繁殖达到增生的目的：与抗原具有越高的亲和力，该细胞就能产生更多的后代。在细胞分裂的过程中，个体细胞还经历了一个变异的过程，其结果使它们与抗原具有更高的亲和力：父代细胞与抗原具有越高的亲和力，则它们就经历越小的变异。9电子科技大学硕士学位论文如图3 3 所示，针对于动态克隆选择算法，标准的克隆选择算法【1 8 】包含如下几个方面：维持免疫细胞在功能上与指令集的不连贯性；受最大刺激的细胞的选择与克隆；没有受刺激的细胞的死亡；亲和力成熟和更高亲和力克隆的再选择；多样性的生成和维护：与细胞亲和力成比列的高频变异。图3 3 标准克隆选择算法标准克隆选择算法分6 部完成，每执行完6 步，生成新一代的免疫细胞。生成候选方案的一个集合( p ) ，它由记忆细胞( m ) 的子集和加上剩余群体( e ) ( 尸= e + m ) 。选择n 个具有较高亲和力的个体。克隆这n 个最好的个体，组成一个临时的克隆群体( c ) 。与抗原亲和力越高，个体在克隆时的规模也就越大。把克隆群体提交到高频变异，根据亲和力的大小决定变异。产生一个成熟的抗体群体( c 。) 。l o，_l，、l厂、l厂、l、第三章人工免疫网络概述对c + 进行再选择，组成记忆细胞集合m 。p 中的一些成员可以被，中的其它一些改进的成员替换掉。生成d 个新的抗体取代p 中d 个低亲和力的抗体，保持多样性。3 2 3 动态克隆选择算法( d y n a m i c s )1 9 9 9 年，h o f i n e y r 2 0 】提出可以通过三种不同类型检测器的相互协调作用使得人工免疫系统具有更好的自适应性。这三类检测器分别是：未成熟检测器、成熟检测器和记忆检测器。2 0 0 2 年k i m 和b e n t l e y 根据h o f m e y r 的理论提出了动态克隆选择算法( d y n a m i ce l o n a ls e l e c t i o na l g o r i t h m ，d y n a m i c s ) 。动态克隆选择算法的主要目的是使人工免疫系统具有更高的自适应性并减少需要人工确定的参数。动态克隆选择算法的伪码【2 1 1 如下所示：b e g i n创建初始的未成熟检测器集合，大小随机；g e n e r a t i o n n u m b e r = 1 ；w h i l e ( g e n e r a t i o n _ n u m b e r m a x _ g e n e r a t i o n )b e g i n用记忆检测器去提呈抗原检测是否有记忆检测器匹配非自体抗原；检测是否有记忆检测器匹配自体抗原；e n d用成熟检测器去提呈抗原检测是否有成熟检测器匹配非自体抗原；检测是否有成熟检测器匹配自体抗原；生成新的记忆检测器；删除原有的成熟检测器；用未成熟检测器去提呈抗原检测是否有未成检测器匹配自体抗原；删除任何匹配自体抗原的未成熟检测器；生成新的成熟检测器；电子科技大学硕七学位论文补充新的未成熟检测器w h i l e ( 未成熟和成熟检测器个数之和小于指定值)b e g i n随机生成一个检测器：将生成的检测器加入到未成熟检测器集合；e n de n d动态克隆选择算法首先通过随机方式生成初始的未成熟检测器，然后用否定选择算法对未成熟检测器进行耐受，删除那些匹配自体抗原的检测器，直到非记忆检测器的数目达到算法的指定值( 算法的输入) 。每次迭代使得未成熟的检测器年龄加1 ，当未成熟检测器的年龄为t ( 算法的输入) 时，该检测器就进化为成熟检测器。对应t + 1 代的检测器都是刚刚进化而来的成熟检测器，用这些检测器去提呈一个全新的抗原集合。如果检测器能正确识别一个抗原那么该检测器的匹配数加l ，当所以的抗原都被提呈过后，需要检查检测器的两个指标：a 、检测器的匹配数是否大于指定值a ( 算法输入) 。b 、检测器的年龄是否大于l ( 算法输入) 。匹配数大于指定值a 的成熟检测器进化为记忆检测器，年龄大于l 的成熟检测器被删除系统。当系统运行到t + 2 代的时候，抗原通过记忆细胞检测，如果被记忆细胞检测为异常数据则发出警告，如果被确认为异常数据，从抗原集合中删除该抗原。剩下的抗原将通过成熟检测器检测，被成熟检测器提呈后的剩下的抗原将用于对未成熟检测器的耐受作用。3 2 4 基于网络的免疫算法根据免于网络理论，免疫细胞的一部分抗体分子能像入侵的抗原一样被其它免疫细胞识别。这就使系统中的免疫细胞相互联系起来。当一个免疫细胞识别出一个抗原或者另一个免疫细胞时，那么它就被激活。另一方面，当免疫细胞被其它的免疫细胞所识别时，它将被抑制。来自于网络中的细胞的刺激和抑制的总和，再加上对抗原的识别，就可以计算出一个免疫细胞的受刺激程度s 。如式( 3 1 )所示s = 虬一s u d + 4( 3 - 1 )1 2第三章人工免疫网络概述式中，m ，代表网络刺激，叱代表网络抑制，而4 代表抗原刺激，一个细胞的受刺激程度决定了它再生和遗传变异的几率。一般来说，有两种不同的免疫网络模型：连续的和离散的。连续的免疫网络模型基于常微分方程，比较典型的模型有f a r m e r r 】等人于1 9 8 6 年提出的模型和v a r e l a 与c o u t i n h o 于1 9 9 1 年提出的模型。这些连续模型已经成功应用于自动导航系统、优化问题和自动控制领域。但是这些微分方程不是总能找到解析方法的，而且通常情况下还需要数值积分来学习系统的行为。现在a i n e t 是免疫网络的研究热点，它在数据挖掘、数据分类、数据聚类、优化问题上都有广泛的应用。3 3 生物免疫系统和基于免疫机理的人工免疫系统的比较由于人工免疫系统是模仿生物免疫系统而建立的，所以它们之间存在着非常紧密的联系。下面将从主要概念和主要流程入手来对二者进行比裂2 3 1 。3 3 1 基本概念的比较表3 1 是基于免疫算法的i d s 原型( 触h i s ) 和生物免疫系统的各个部分详细的比较，从各个部分比较两者的相同点和不同点。3 3 2 基本流程的比较图3 - 4 是生物免疫系统( 左) 和人工免疫系统( 右) 主要流程的比较。图3 - 4 生物免疫系统和人工免疫系统主要流程的比较电子科技大学硕士学位论文表3 1 基于人工免疫的分布式i d s 原型和生物免疫系统的对比免疫系统a r t i s抗体决定基蛋白质抗原决定基二进制字符串受体二进制字符串淋巴细胞( b ，t )抗原检测器抗体可变区检测器字符串抗体恒定区位字符串编码应答记忆细胞记忆检测器病原体非自体二进制字符串结合字符串大致匹配位置图像中的顶点循环流动检测器中心耐受无胸腺无m h c表示法参数细胞因子敏感水平外围耐受分布式负检测信号1匹配超过活化阈值淋巴细胞克隆检测器复制病原体检测检测事件信号2操作员病原体清除响应亲合度成熟记忆检测器竞争从上表可以很清晰的看出这两个系统之间的区别和联系。1 4第四章基于免疫原理的入侵检测系统的设计第四章基于免疫原理的入侵检测系统的设计自然免疫系统具有很多优异的特性可以用于入侵检测系统中。对比了自然免疫系统与入侵检测系统的相同点和不同点，提出了基于免疫机理的入侵检测系统的设计思路，并从理论上证明了所提出的系统具有比传统的入侵检测系统更好的检测性能，同时还具有健壮性、自适应性和动态防护性1 2 4 j 。i d s 被设计成为一个专家系统，它检查活动在用户账户上的例程类型并在检测到异常时通知系统管理员。这个概念是a n d e r s o n 于1 9 8 0 年提出的，直到1 9 8 7 年d e n n i n g 发表了她的第一个入侵检测模型以后才开始发展起来。早期的1 d s 使用一个单一的体系结构，数据在一个单一的主机上收集并在一个中心节点上分析。因为在一个主机上监视账户的活动并不能检测包含多个主机的攻击，i d s 的设计者通常使用一个基于网络的i d s ，它能够把以主机为中心的检测转变到以网络为中心的检测。以网络为中心的i d s 解决了大量的性能和完整性问题，这些问题又和于探测轨迹有密切的关系。i d s 通过技术能够被更进一步的刻画来发现一个入侵。通过检查用户或者系统的历史信息和行为就可以检测到一个入侵，包括输入和命令类型等。一个入侵检测系统可以对一种确切的入侵类型做出反应，这是一种典型的基于规则的检测4 1 免疫机理在入侵检测系统中的应用入侵检测处理问题可用图4 1 来表示。输入。特征入侵输出。提取检测图4 1 入侵检测图图中输入是被检测系统当前活动的某种表现形式，它可能是一些命令输入或者是一些网络数据包，而输出是是对输入的一种总结和分类。这中间有两个问题值得我们去注意：( 1 ) 特征提取在输入中能得到什么信息。电子科技大学硕士学位论文( 2 ) 依靠输入，经过中间的各个步骤，输出的结果是什么。但是最后应用n i d s 中，依然存在以下几个问题：( 1 ) 系统往往需要提取多维的数据才能够判断一个行为是不是入侵。( 2 ) i e 常数据和异常数据并没有明显的界线，并且它们都是动态更新的，所以很难用传统的方法来对数据进行分类。( 3 ) 虽然模式分类只是把数据分为正常和非正常，但这两类数据的分布通常是随机的，往往只是少量异常数据参杂在大量的正常数据当中，这使得分类非常难以进行，同时有要求算法具有很强的稳定性。上面这些特点同样也发生在自然免疫系统身上。自体和非自体也是没有固有的界线，并且自体大量存在，所以区分自体和非自体也是一件非常困难的事情。但是它的防御结构非常多，它会利用它们来进行分布式的防御，尽可能高效的来区分自我和非自我来保证自己的正常活动顺利进行。从免疫算法的角度来看，自然免疫系统是一个分布式的、具有自我学习能力和自我适应能力的分类器【2 5 1 。所以本论文后面的主要工作就是根据各种免疫机理的启发来设计一个入侵检测系统。4 2 自然免疫系统和入侵检测系统定义一个具有普遍性的系统，该系统可以用一个四元组来描述= ( x ，q ，y ，g )( 4 - 1 )式中，x 为输入，y 为输出，q 为系统的内部组成，g 为输出与输入之间的关系函数即】，= g ( x )( 4 2 )根据此定义自然免疫系统可以表示为z m s = ( ，q 船，)( 4 - 3 )式中，石鹏为自然免疫系统的输入。它可能为各种类型的抗原，该抗原可能是自身蛋白，也可能是某种病原体，若令e 表示抗原全体，则整个抗原全体包括两个互斥的集合即自身蛋白集合和病原体的集合，若用s 表示自身蛋白集合，n s 表示病原体集合则有s u n s = e ，s n n s = a( 4 4 )1 6第四章基于免疫原理的 侵检测系统的设计而输八j e( 4 - 5 )，为自然免疫系统的输出，这里仅考虑免疫系统对病原体的识别而忽略免疫效应( 即免疫系统消灭病原体的反应) ，则k 可以取0 或者1 ，分别表示自然免疫系统判别输入是自身或非自身。g 腑表示自然免疫系统输入与输出之间的非线性关系函数有= c ，= 怯翥麓；：8，n 孵为自然免疫系统的组成结构。免疫细胞识别抗原实际上是通过免疫细胞表面的接收器c p 眈 与抗原表面的抗原决定基( c p i t o p e ) 发生不精确的粘台( b i n d ) 反应来完成的，如n 4 - 2 所示。接收器和抗原决定基都具有复杂的三维结构，当它们的结构越互补时，粘合的强度越大。粘合的强度也称作亲合度( a f f i n i t y ) 。黼! 骥图42 免疫细胞表面的接收器与抗原表面的抗原决定基发生粘台反应而根据系统的定义，入侵检测可以表示为脚5 ( 如s ，n 一s ，s )( 4 7 )式中，j 肼为 侵检测系统的输入，它可能是操作系统日志已录或者是网络数据包。令w 表示输入的整个论域，则整个论域可以划分为两个互斥的集合即入侵的集合，表示为i 和正常的集合表示为1 ，则有，u 、= w ，n 一，= o( 4 - 8 )输入一k ，?电子科技大学硕士学位论文形( 4 9 )为入侵检测系统的输出，这里入侵检测系统具有报警a 和不报警卅两种状态，报警用1 来表示，不报警用0 来表示。表示自然免疫系统输入与输出之间的非线性关系函数，有”嘣，= ：i ，鞘急三二。睁mq 。为自然免疫系统的内部组成。不同类型的入侵检测系统，般有不同的f 2 。，从而产生不同的将输入向量映射到输出的两类中。对与一个入侵检测系统，我们最关心的是它的检测性能、健壮性、自适应性和动态防护性，下面给出这些指标的数学描述。我们用符号表示检测率，则入侵检测系统s 的检测率可以表示为( ，d s ) ，根据检测率的定义有( s ) = p ( = 1 x z n s i )( 4 - 1 1 )用符号表示漏警率，则入侵检测系统，d 。的漏警率可以表示为( s ) ，根据漏警率的定义有尺肋( j 【d s ) 2p ( 艺附= 0 工0 s i ) = 1 一r r d ( 。)( 4 - 1 2 )我们用符号r 肋表示虚警率，则入侵检测系统，d s 的虚警率可以表示为r r o ( ，d s ) ，根据虚警率的定义有( z d s ) = p ( = l 如s - - - , i )( 4 - 1 3 )定义4 2 1 入侵检测系统的测试性能：用符号d a 表示检测性能的好坏，则入侵检测系统，d 。的检测性能可以表示为d a ( z 。) 。衡量入侵检测系统的性能可以从很多方面考虑，因此也可以制定许多相应指标，我们在