（计算机应用技术专业论文）面向网络入侵检测的克隆选择方法.pdf

摘要 一个好的网络入侵检测系统应该是鲁棒的、可扩展的和高效的。人工免疫系统所具 有的分布式、自组织和轻量级特性正好满足了网络入侵检测系统的要求，因此人工免疫 系统在网络入侵检测中具有很大的优势。 基于否定选择算法的网络入侵检测在应用中存在着严重的扩展性问题，它不适合处 理网络环境中的繁重任务。而克隆选择算法能解决该问题，但“自我”( 正常模式) 定义 改变时，它对新规定的自我和非自我模式无法识别，监测到新攻击时产生很高的误报率。 而且为了获得较高的检测率，其记忆检测器需要大量协同刺激，严重耗费系统资源，不 适用于动态变化的网络环境。 本文结合网络入侵检测的上述问题，深入研究了否定选择、亲和力成熟过程以及免 疫记忆机制等，以现有克隆选择算法为主体，将否定选择、克隆选择、记忆检测器基因 库方法融合进来，提出嵌入否定选择的克隆选择算法( e m b e d e dn e g a t i v es e l e c t i o n o p e r a t o rc l o n a ls e l e c t i o na l g o r i t h m ，e n c s a ) 。否定选择算子在e n c s a 运行过程中，不 仅删除了那些新的未成熟检测器中耐受性差的检测器，而且协助记忆检测器实现了动态 更新过程，使得算法整体的检测性能提高。采用基因库进化策略，即将淘汰的记忆检测 器送入基因库备用，提高记忆检测器利用率，避免生成大量无效的未成熟检测器而浪费 系统计算时间。 为了缩短二进制编码表达的数据特征的码长、减少响应耗时，原型试验中采用实数 编码的特征。在遗传算法启发下定义的检测器间的亲和力计算公式，使算法更贴近现实 环境，也便于处理。最后，讨论两个影响e n c s a 性能的重要参数：不成熟检测器的耐 受周期t 和成熟检测器的生命周期l 。通过设置这些参数，可以获得满意的检测率t p 和误报率f p 。在记忆检测器库更新阶段，e n c s a 的亲和力成熟机制，减少了的协同刺 激数量，降低过高的误报率。与c s a 的性能比较中，相同参数和训练环境下，e n c s a 获得了较高的非自我检测率和较低的误报率，整体的检测性能有所提高。 关键词：网络入侵检测；嵌入；否定选择算子；克隆选择算法；免疫记忆：误报率； 检测率 a b s t r a c t a g o o dn e t w o r k - b a s e di n t r u s i o nd e t e c t i o ns y s t e m ( r o d s ) s h o u l db er o b u s t ，s c a l e a b l e a n de f f i c i e n t b u ta tp r e s e n tn i d sn e e d sal o n g d e t e c t i n gt i m e ，c a n n tr e c o g n i z et h eu n k n o w n i n t r u s i o n sa n dh a sh i g hf a l s ep o s i t i v e ( f p ) r a t i o a r t i f i c i a li m m u n es y s t e m ( 越s ) o w n s a d v a n t a g e dp r e d o m i n a n c e i nn e t w o r ki n t r u s i o nd e t e c t i o n s ，b e c a u s ei ts a t i s f i e st h e s e r e q u i r e m e n t s ：b e i n gd i s t r i b u t e d ，s e l f - o r g a n i z e da n dl i g h t w e i g h t e d t h i sp a p e ra d o p t st h e s e f c a t u r e st oc o n s t r u c te f f e c t i v en e t w o r k - b a s e di d s a l t h o u g hp r e v i o u sw o r k s u s e dn e g a t i v es e l e c t i o na l g o r i t h mt oh a n d l et r o u b l e si nn i d s ， i t sm a i nl i m i t a t i o nw a ss e v e r es e a l i n gp r o b l e m t h ej o bo fn e g a t i v es e l e c t i o ns t a g es h o u l db e r e s t r i c t e dt ot a c k l eam o r em o d e s tt a s kr a t h e rt h a ng e n e r a t ec o m p e t e n td e t e c t o r s c l o n a l s e l e c t i o na l g o r i t h m ( c s a ) c a nb eu s e dt ot a c k l es u c hp r o b l e mf o rn i d s ，b u tc s ac o u l d n t i d e n t i f yn e ws e l f - a n t i g e n sw h e nl e a r n e ds e l fa n dn o n - s e l fb e h a v i o r ss u d d e n l ya l t e r e dd u et o l e g a l ”s e w c h a n g e d t h i sr e s u l t e di ni t i g hf a l s ep o s i t i v ei f p ) r a t i ow h e nn e wa n t i g e n sw e r e m o n i t o r e d c s ap r e s e r v e sm e m o r yd e t e c t o r sf o ri n f m i t el i f e ，l a r g ea m o u n to fc o - s t i m u l a t i o n s r e q u k e d i fi ty i e l d e d h i g ht pr a t i o s oi tc o u l d n tf i td y n a m i cn e t w o r ke n v i r o n m e n t ss o u n d l y a f t e ri n v e s t g n t i n go fn e g a t i v es e l e c t i o n ，a f f i n i t ym a t u r ea n dm e m o r yd e t e c t o re v o l u t i o n m e c h a n i s m s ，i ti s e m b e d d e dn e g a t i v es e l e c t i o no p e r a t o rc l o n a ls e l e c t i o na l g o r i t h m ( e n c s a ) p r e s e n t e dc o m b i n e dw i t hn e g a t i v es e l e c t i o n ，c l o n a ls e l e c t i o na n dm e m o r yd e t e c t o r g e n el i b r a r ye v o l u t i o n n e g a t i v e s e l e c t i o no p e r a t o r i m p r o v e s t h ew h o l ed e t e c t i o n p e r f o r m a n c e ；i tn o to n l yd e l e t e si m m a t u r ed e t e c t o r ss h o w e dp o o rs e l f - t o l e r a n c et on e w d e t e c t o r ，b u ta l s oi sg o o df o rt h ec o n s t r u c t i o no fe f f e c t i v em a t u r ed e t e c t o r s g e n el i b r a r y e v o l u t i o np o l i c i e sa v o i dw a s t i n gs y s t e mc a l c u l a t i o nr e s o u r c e sa n de n h a n c em e m o r yd e t e c t o r s u t i l i z a t i o nb yd e l i v e r i n ge l i m i n a t e dm e m o r yd e t e c t o r st og e n el i b r a r yf o rs t a n d b y i no r d e rt os h o r t e nb i n a r yc o d e dd a t af e a t u r e s c o d el e n g t ha n dc u td e t e c t i o nr e s p o n s e t i m e ，r e a lc o d e dd a t af o r mw a sa d o p t e di np r o t o t y p ee x p e r i m e n t s e n l i g h t e nb yg e n e t i c a l g o r i t h m ，n e wa f f i n i t y c a l c u l a t i o n e x p r e s s i o n i s d e f i n e d ，w h i c hi sc l o s e r t or e a l e n v i r o n m e n t sa n dc o n v e n i e n tf o re n c s at oc o p ew i t h f i n a l l y ，w ed i s c u s st w oi m p o r t a n t p a r a m e t e r s ，n a m e l y ，i m m a t u r ed e t e c t o r s t o l e r a t i o np e r i o dc i ) a n dm a t u r ed e t e c t o r s l i f e s p a n ( l ) ，w h i c ha f f e c te n c s a sb e h a v i o r s s a t i s f a c t o r yt pa n df pr a t i oa r eo b t a i n e db ys e t t i n g t h e s ep a r a m e t e r st oa p p r o p r i a t ev a l u e s o nm e m o r yd e t e c t o rl i b r a r yu p d a t i n gs t a g e , e n c s a u s e sa f f i n i t ym a t u r em e c h a n i s m st or e d u c et h ea m o u n to fc o s t i m u l a t i o n s ，a n dc u t sd o w nh i g h f pr a t i o w i t ht h es a m ep a r a m e t e r sa n dt r a i n i n gc o n d i t i o n s ，c o m p a r i n gw i t hc s a , t h er e s u l t s s h o wt h a te n c s a g a i n sh i g h e rt pr a t i oa n dl o w e rf pr a t i o e n c s ac o n t r i b u t e st ot h eo v e r a i l d e t e c t i o np e r f o r m a n c e k e yw o r d s ：n e t w o r ki n t r u s i o nd e t e c t i o n ：e m b e d d e d ；n e g a t i v es e l e c t i o no p e r a t o r ： c l o n a ls e l e c t i o na l g o r i t h m ：i m m u n em e m o r y ：f a l s ep o s i t i v e ：t r u ep o s i t i v e 长沙理工大学 学位论文原创性声明 本人郑重声明：所呈交的论文是本人在导师的指导下独立进行研究所 取得的研究成果。除了文中特别加以标注引用的内容外，本论文不包含任 何其他个人或集体已经发表或撰写的成果作品。对本文的研究做出重要贡 献的个人和集体，均已在文中以明确方式标明。本人完全意识到本声明的 法律后果由本人承担。 作者签名：秭碉建日期：。加z 年上月，。日 学位论文版权使用授权书 本学位论文作者完全了解学校有关保留、使用学位论文的规定，同意 学校保留并向国家有关部门或机构送交论文的复印件和电子版，允许论文 被查阅和借阅。本人授权长沙理工大学可以将本学位论文的全部或部分内 容编入有关数据库进行检索，可以采用影印、缩印或扫描等复制手段保存 和汇编本学位论文。 本学位论文属于 1 、保密口，在年解密后适用本授权书。 2 、不保密团。 ( 请在以上相应方框内打“4 ”) 作者签名：桶硐慧 日期：山形年，月7 。日 导师签名： f 机 日期：钞彳年于月fd 日 第一章绪论 互联网技术在过去的几十年中得到了飞速发展，网络应用在全球得到推广，人们可 以方便地进行资源共享、信息交换、网上购物等，极大地促进了生产的发展。但由于网 络连接形式的多样性、终端分布的不均匀性和网络的开放互联性等特点，它面临着层出 不穷的安全威胁。传统的网络安全技术，如防火墙、防病毒软件、加密等，已难以应对 层出不穷的入侵。网络入侵检测( n i d ，n e t w o r ki n t r u s i o nd e t e c t i o n ) ，作为新一代的主动 网络安全防护技术，实时地全面监控网络和应用程序的运行状态，检测来自外部的入侵 行为和内部用户的未授权活动【1 】。 免疫系统利用不同类型的防御细胞的共同努力，能够高效地、用最短的响应时间、 最大限度的利用有限的资源来区分“自我”与“有害的非自我”，保证正常生理活动的 进行1 2 。基于人工免疫原理的网络入侵检测技术，借鉴了免疫系统的多种隐喻机制 ( m e t a p h o r s ) ，通过正常行为样本的学习来识别出不符合常规概念的行为，实现对入侵行 为的发现和反应。受这种思路的激励，本文对克隆选择算法在网络入侵检测中的应用进 行了研究分析。 1 1 网络入侵检测概述 网络入侵检测能主动对入侵行为进行识别和响应，提供了对内部攻击、外部攻击和 误操作的实时检测，有效弥补了传统安全防护技术的不足。 1 1 1 网络入侵检测的天然模板免疫系统 从广义上讲，网络入侵检测属于模式识别和分类的范畴；从方法上讲它包含了两种 检测方法：误用检测和异常检测。误用检测，通过在被监控数据中发现已知的攻击签名 来判定是否存在攻击，主要采用模式匹配的方法。异常检测，试图建立系统正常行为模 式，然后通过发现与正常行为模式的偏离来发现攻击。误用检测的核心是，攻击模式的 正确表达和快速识别：异常检测的核心是，用户正常行为模式的建立以及正常模式与入 侵行为模式的识别和分类。这些都是典型的模式识别问题1 3 4 1 。免疫系统的各种隐喻机制 作为模式识别中的新兴技术，必然可以在入侵检测领域中找到其应用领域。 网络入侵检测可以看作是一种模式分类问题，如果仅要求将当前活动分成正常和异 常，就可以看作是一种两类_ 自勺模式分类问题。检测中要解决两个主要问题：一是应该从 输入模式中提取什么样的特征；二是如何根据所选择的特征的度量进行分类 5 1 。 对于分类问题，模式识别技术已做了深入研究，但具体到网络入侵检测问题，存在 下面一些特点，使得采用传统的模式识别方法具有一定的困难。这些特点是： ( 1 ) 为了判别当前活动的正常和异常，提取的特征往往是高维的，比如在检测网络 数据包时，常用的特征就包括源地址、目的地址、源端口、目的端口等数十个特征。而 传统的模式识别方法应用于高维数据时都会存在一定困难。 ( 2 ) 由于入侵模式和正常模式并不遵从一定的分布，而且不是线性可分的，所以使 用传统的分类方法，如贝叶斯分类方法，需要估计类间概率密度；正常类或异常类类间 的概率密度是随时间随机变化，难以估计。所以，统计分类方法存在很多困难1 3 l 。 ( 3 ) 虽然正常、异常的分类是简单的两类问题，但这两类是非常不均匀的。正常通 信的数据量特别巨大，入侵数据分散在广泛的正常网络连接记录的背景噪声中。假设一 个计算机网络有几十台工作站、几台服务器，一般每天c 2 级审计记录约为10 0 00 0 0 个，能遇到的入侵约l 2 个，影响1 0 - - 2 0 个审计记录，所以入侵与海量的正常样本数据 的比例约为1 0 2 1 0 ，为此常将入侵检测问题视为大海捞针问题1 4 1 。 正是由于入侵检测问题具有上述的一些固有特点，使得直接使用传统的模式识别方 法进行攻击分类时比较困难。 免疫系统的生理功能就是识别区分自我( s e l f ) 与非我( n o ns e l f ) 细胞。生物的适 应性免疫系统( a d a p t i v ei m m u n es y s t e m ) 能够学习识别特殊种类的病原体，并保持记忆， 从而加速未来的免疫应答。在遭遇新类型病原体时发生初次应答( p r i m a r yr e s p o n s e ) ， 初次应答是缓慢的。当初次免疫应答清除感染后，免疫系统对引起感染的病原体保留了 记忆。如果生物体下次再遭遇同样病原体的感染，由于免疫系统己经记住了病原体的特 殊性状，于是就能够进行更加快速有效的二次应答( s e c o n d a r yr e s p o n s e ) 2 1 。从入侵检测 角度看，适应性免疫系统通过一次免疫应答和二次免疫应答，能够分别检测异常入侵和 误用入侵。因此将免疫机制应用到入侵检测领域是可行的。 从计算角度来看，免疫系统是一个分布的具有自适应性和自学习能力的分类器，它 通过学习、记忆和联想提取来解决识别和分类任务。比如“自我”与“有害的非自我” 也不是线性可分的。“自我”的数量非常巨大，而少量的“非自我”毫无规律地分布在 “自我”中。但是免疫系统利用不同类型的防御细胞的共同努力，能够高效地、用最短 的响应时间、最大限度的利用有限的资源来区分“自我”与“有害的非自我”，保证生 物体的存活和正常生理活动的进行。 一个好的n i d s 应该是鲁棒的、可配置的、可扩展和高效的。人工免疫系统( a j s ) 所具有的分布式、自组织和轻量级特性正好满足了n i d s 的要求，因此，免疫系统为我 们解决基于网络的入侵检测问题提供了一个天然的模版。 1 1 2 网络入侵检测算法的评估标准 要验证网络入侵检测算法是否可行并比较不同的检测算法的检测效果，需要有一个 入侵检测评估的标准。一般，网络入侵检测评估的指标主要包括3 类，即准确性指标、 效率指标和系统指标。 2 准确性指标 准确性指标很大程度上取决于检测时的样本集和检测环境。样本集和环境不同，准 确性也不相同。主要包括三方面，即检测率、误报率和漏报率。 检测率t p ( t m ep o s i t i v e ) ，是指被监视网络在受到入侵时，系统能够正确报警的比 率。通常利用已知入侵攻击的实验数据集合来测试系统的检测率。检测率= 入侵报警的 数量，入侵攻击的数量。 误报率f p ( f a l s ep o s i t i v e ) ，是指系统把正常行为作为入侵攻击而进行报警的比率和 把一种周知的攻击错误报告为另一种攻击的概率。误报率= 错误报警数量( 总体正常行 为样本数量+ 总体攻击样本数量) 。 漏报率是指网络受到入侵攻击时，系统不能正确报警的概率。通常利用己知入侵攻 击的实验数据集合来测试系统的漏报率。漏报率= 不能报警的数量入侵攻击的数量。 效率指标 效率指标根据用户系统的实际需求，以保证检测质量为准；同时取决于不同的设备 级别，如百兆网络入侵检测系统和千兆网络入侵检测系统的效率指标一定有很大差别。 一系统指标 系统指标主要表征系统本身运行的稳定性和使用的方便性。系统指标主要包括最大 规则数、平均无故障间隔等。最大规则数，系统允许配置的入侵检测规则条目的最大数 目。平均无故障间隔，是指系统无故障连续工作的时间。 检测率和误报率，是两个常用来衡量入侵检测算法性能好坏的参数。显然，有效的 入侵检测系统中误报和漏报应越小越好。为了更精确的评估算法的检测性能，本文对参 数进行了量化，作者定义了t p 和f p 的计算公式： t p = ( 攻击实例个数测试实例总数) + 1 0 0 f p = ( 正常通信实例被认为攻击实例个数实例总数) * 1 0 0 1 1 3 网络入侵检测的研究现状及存在的问题 国外对网络入侵检测的研究开展较早、发展较快。麻省理工学院、哥伦比亚大学、 普度大学、加州大学戴维斯分校和新墨西哥大学等的研究工作具有代表性，主要研究内 容涉及入侵检测方法( 模型) 、i d s 体系结构和i d s 测评等方面，如l e e 等人提出了基 于数据挖掘技术的入侵检测方法嗍。将关联规则挖掘和频繁模式挖掘应用到入侵检测研 究中，通过规则学习器来表述入侵特征，并构建了第一个基于数据挖掘的入侵检测系统 i 舢订系统；h a r m e r 等人将生物免疫机制引入计算机系统，提出了安全保护框架的 概念嘲；普度大学开发的a a f i d ( a u t o n o m o u sa g e n t sf o ri n t r u s i o nd e t e c t i o n ) 系统采用自 治a g e n t s 的分层1 d s ( i n t r u s i o nd e t e c t i o ns y s t e r m1 体系结构，代表了i d s 体系结构研究 的创新u 1 ；m i t 时l a r i a t ( l i n c o i na d a p t i v er e a lt i m ei n f o r m a t i o na s s u r a n c et e s tb e m 是 目前较为完善的i d s 测评方法l b 】。 国内对n i d s 的研究开展较晚，从文献看，所做工作以提出系统框架和入侵检测算 法等居多，主要是利用现有技术f 9 1 5 开发应用系统为主。商业上以误用检测技术为主， 主流产品有：联想的网御、方正的方通s n i p e r 、东软的n e te y e 、中科网威的天眼、冠 群金辰的e t m s t 等1 1 6 l 。 千兆位及以上高速网络的普及，使得网络数据超出了服务器的处理能力；拒绝服务 攻击( d o s ) 和分布式拒绝服务攻击( d d o s ) 等暴力类型攻击以其操作简单，效果显著的特 点，逐渐成为i n t e r a c t 上的主要攻击手段。目前n i d s 主要存在以下问题： 夸检测准确性差 由于网络安全是一个动态发展的过程，未知的入侵和复杂的入侵不断出现给网络入 侵检测系统准确性提出挑战。另外，由于n i d s 数据收集的准确性和攻击特征数据库的 完整性和升级时间等因素的限制，也导致了误报和漏报的产生，致使检测准确性差。 专检测的速度慢 检测的速度慢是影响网络入侵检测系统的技术难题。为了实时对网络进行入侵侦 测，每个基于网络入侵检测系统的吞吐量是一定的，普通的网络入侵检测系统或许可以 应付一般规模的企业检测要求，但对于运营商级的大型企业检测速度远远不够。 专检测模块的稳定性差 目前n i d s 大多是基于特征检测的，计算量比较大，通常的系统若在大流量数据的 冲击下，其入侵检测模块将自身瘫痪或丢失报文，形成d o s 攻击。 复杂的网络环境和多样化的攻击方段，要求一个有效的n s ： _ 检测的误报率一定要控制在可以接受的范围之内。 由于n 1 d s 系统会根据入侵检测的结果实时对网络进行阻断，大量的误报会严重影 响网络的可用性。而攻击手段的多变性和复杂性，导致现有检测方法存在着较高的误报 率和漏报率。智能化检测方法，如数据挖掘、人工免疫系统、支持向量机等，能较好克 服这种的缺陷，因此成为n i d s 研究的重点旧。 _ 分布式的、通用的入侵检测体系结构。 分布并行的体系结构，能有效地缓解数据特征库过于庞大的问题，更快地发现网络 入侵，对抗d d o s 攻击，避免单点实效，使n i d s 具备更高的安全风险承担能力。围绕 分布式结构，重点解决数据标准、通信协议、数据分析等关键技术1 1 8 。 入侵事件关联分析与报警信息融合。 根据单一的入侵检测手段常常只能得到不完善的信息，而入侵行为是一个非常复杂 且具有个性化的行为，仅依据某一方面的检测信息得出的结论，其可靠性、准确性都无 法得到保证。利用入侵事件关联分析与报警信息融合，可以将多个入侵检测器的检测结 果进行组合和相互验证，达到精简入侵事件报告、提高检测率的作用。 因此，为了解决或缓解n i d s 存在的一些主要问题，可采用智能检测方法，分布式 的体系结构，来加强系统的协作能力和集成度，提高检测效果。 4 1 2 本文的主要工作 运用免疫学原理研究入侵检测技术，目的在于模拟免疫系统的隐喻机制，抽象提取 免疫算法，解决用统计和模式匹配方法无法解决的网络入侵检测问题。克隆选择算法作 为人工免疫系统应用的一个重要分支，在网络连接数据检测方面具有广泛的应用前景。 但是目前它在n i d s 应用中还有存在一些缺点，如误报率较高，难识别攻击的变化类型 等。本文的主要工作如下： 1 在网络安全领域，针对使用a i s 方法的研究小组，总结了他们的工作发展情况。 2 结合网络入侵检测目前存在的问题，将否定选择、克隆选择、亲和力成熟以及 记忆检测器进化这些理论融合了在一起，以现有的克隆选择算法作为主体，提出了嵌入 否定选择算子的克隆选择算法e n c s a ( n e g a t i v es e l e c t i o no p e r a t o re m b e d d e dc l o n a l s e l e c t i o n a l g o d t h m ，e n c s a ) ，具体如下： 采用实数编码描述数据特征，与二进制编码表达相比，缩短了编码长度，更适 合抗原间亲和力判定，便于算法处理，减少响应时间。 受免疫遗传操作研究的启发，来选择新的亲和力函数计算公式。 未成熟检测器的一方面通过随机生成，保持各检测器集合的多样性；另一方面 来自淘汰的记忆检测器，提高可用性，避免生成大量无效的未成熟检测器而浪 费检测器空间以及系统计算时间。 在记忆检测器更新中嵌入否定选择算予，控制未成熟和记忆检测器质量，以减 少误报率。在一次进化迭代过程中，否定选择算子对那些新的检测器耐受性差 的未成熟检测器删除，这有助于生成高效的成熟检测器，改善检测效率。 3 分析了d o s 类攻击的原理和实现机制。依据其攻击特征来提取对其影响较大的 属性，进行数据预处理。这不仅减轻了系统计算开销，也能限制抗原的长度，有助于提 高检测的准确性，加快检测速度。 4 通过算法的原型试验，讨论两个影响e n c s a 性能的敏感参数：不成熟检测器 的耐受周期t 和成熟检测器的生命周期l 。通过恰当设置这些参数，可获得满意的检测 率t p 和误报率f p 。e n c s a 在记忆检测器更新阶段的否定选择算子及亲和力成熟机制， 减少了协同刺激数量，降低了过高的误报率。 5 在试验验证的基础上，比较e n c s a 与c s a 的性能。相同参数和训练条件下， e n c s a 获得了较高的非自我检测率t p 和较低的f p ，检测速度有所改善。 本文通过编码验证了e n c s a 的检测性能，否定选择算子作为其组件，有助于提高 检测器性能，缩短检测耗时；较高检测率和较低误报率，也说明e n c s a 能识别未知入 侵手段，更适应动态的网络环境，是一种优秀的网络入侵检测算法，值得推广应用。 1 3 本文的组织结构 文章的组织结构如下： 第一章绪论。主要介绍了网络入侵检测的研究现状以及目前存在主要的问题。 第二章人工免疫系统及其免疫学理论。本章是论文的理论基础，介绍了用到的免疫学 概念、隐喻机制。人工免疫系统模型、应用领域，以及目前在网络入侵检测方面 的主要研究小组。 第三章e n c s a 的技术路线。分析了否定选择的作用，将其作为一个操作算子嵌入克 隆选择算法，提出论文使用的算法一嵌入否定选择的克隆选择算法e n c s a 。 描述了e n c s a 的主要设计，比如否定选择算子嵌入的位置、作用，成熟检测器 的淘汰过程，记忆检测器基因库进化机制，并分析了它们对算法性能的影响。 第四章e n c s a 的算法设计。在对基本克隆选择算法的研究以及相关入侵检测方面研 究的基础上，本章描述了主要的算法模块的具体设计。 第五章一原型实验及进一步工作：主要通过试验选择敏感参数，然后在相同条件下进行 算法的原型验证，对比了e n c s a 与c s a 的检测效果。 6 第二章免疫学及人工免疫系统 人工免疫系统己经发展成为软计算方法的一个重要分支，在控制、机器人、故障检 测与恢复以及优化等方面取得了广泛应用【9 1 。近几年来免疫方法是网络入侵检测领域的 研究热点，它是利用生物免疫系统的原理、规则，实现对入侵行为的发现和响应。目前 国内外许多研究学者都针对这一领域开展了深入的、富有成效的研究2 1 2 2 侧。本章主 要是为论文的工作提供整体的理论基础。 2 1 免疫学原理 在人类生活的自然环境中，存在着各种有害的、甚至是致命的微生物和较大的生物， 包括病毒、细菌、寄生虫和蠕虫等，它们被统称为病原体。病原体可通过呼吸、饮食、 创口和接触等多种渠道进入人体。在病原体带来的生存压力和自然界的遗传、变异、选 择作用下，人类进化出了适应的、分布的、高效的、多样的和多层次的维持生存和保持 健康的机制，即免疫系统( i m m u n i t ys y s t e m ，i s ) t 2 ”。 免疫系统的结构是多层次的，由分布在几个层次的防御系统组成】。 最外层是人体的物理屏障，可以将某些抗原拒之门外。如皮肤、粘膜、呼吸系统等。 第二层是生理屏障。如唾液、汗液、眼泪、胃酸、生物体内的温度。第三层是固有性免 疫系统。它是机体的天然防御功能，经遗传获得，有辨别和防御多种病菌的能力，没有 特殊针对性，是生物在长期进化中而固化下来的对环境的适应能力，且不随病原体变化。 最重要的是它诱导抗原提呈细胞( a p c ) 发出协同刺激信号，促使适应性免疫应答产生， 导致淋巴细胞的否定选择( n e g a t i v es e l e c t i o n ) 。最后一层是自适应免疫系统( a d a p t i v e i m m u l l es y s t e m ) ，它能适应并学会识别未知的入侵者，并有效地清除掉它们。它由免疫 器官、免疫细胞和免疫分子组成。其层次结构如图2 1 。 白适应免疫系统 胸腺淋巴结骨髓 t 细胞 粒细胞自然杀伤 调节t 细胞b 细胞 毒性t 细胞细胞因子细胞 辅助性抑制性 抗原分子抗体分子m h c 分子 免疫器官 免疫细胞 免疫分子 图2 1 自适应免疫系统的层次结构 免疫器官分布全身的各个部位，产生和培育免疫细胞，如骨髓、胸腺、淋巴结等。 骨髓和胸腺是免疫细胞产生、分化和成熟的场所。骨髓不仅是造血器官，也是各种免疫 细胞产生和分化的地方。骨髓中产生的淋巴干细胞一部分分化为前体t 细胞，随血液进 入胸腺，再发育为成熟t 细胞；另一部分则分化为前体b 细胞，继续在骨髓中发育为成熟 b 细胞。成熟的t 和b 细胞受抗原刺激后发生免疫应答。胸腺主要是培育和输入t 细胞， 是执行“否定选择”的场所。淋巴结过滤和清除异物，产生免疫应答。 免疫细胞主要是各种淋巴细胞群，其中t 细胞和b 细胞是最重要淋巴细胞。 免疫分子包括由各种免疫器官或免疫细胞分泌出的蛋白质分子，起着免疫调节、清除异 物的作用。各种免疫细胞和免疫分子通过血液在体内各处巡游，持续地执行识别和排除 抗原异物的功能。它们之间相互协作，又相互制约，使免疫应答有效有序地进行着。 2 1 1免疫细胞 免疫细胞包括淋巴细胞、自然杀伤细胞、巨噬细胞、树突状细胞、粒细胞、血细胞、 血小板等。免疫分子包括体液中的免疫分子( 免疫球蛋白、补体、细胞因子) 和膜表面免 疫分子r 分化抗原j 膜受体等) 。 抗体( a n t i b o d y ) ，是最重要的免疫淋巴细胞，主要有骨髓产生的b 细胞和胸腺产生 的t 细胞两种类型。主要作用是区分自我细胞( s e l f ) 与非我细胞( n o ns e l f ) 。自我细胞是 指正常的人体细胞；非我细胞是指有害的细胞，也称抗原( a n t i g e n ) 。抗体通过绑定机制 与相应抗原产生特异性的反应，识别和清除抗原删。 淋巴细胞是从骨髓和胸腺的基因库中随机选择一些基因片段并进行组合产生的。由 于过程的随机性，可能会与自我细胞的绑定，所以由骨髓和胸腺产生的b 、t 细胞在被传 送到人体的各个部分去绑定抗原之前，必须经过否定选择筛选。否定选择就是将与自我 细胞结合的淋巴细胞杀死，防止对自我免疫。通过否定选择的b 、t 细胞被释放到血液中 从事抗原检测工作，若在有限时间内能够绑定到数量超过某个阀值的抗原，b 、t 淋巴细 胞被启动，杀死抗原。反之，若淋巴细胞在一定时间内没有被启动，那么就会死掉而以 新的细胞代之。 当淋巴细胞被激活以后，接着就要进行克隆选择i 蚓( c l o n a ls e l e c t i o n ) ，在这个阶段， 被激活的淋巴细胞被大量的进行复制，这些被复制出来的细胞被称作记忆细胞( m e m o r y c e l l s ) ，他们具有母体细胞相同的绑定抗原的特性，但具有较小的阀值和较长的生命周 期。这样，当人体中出现以前被绑定的抗原时，这些复制细胞可以加速抗原的识别过程。 这样通过随机生成淋巴细胞，否定选择，克隆选择三个阶段生成大量的抗体实现了生物 的免疫功能。 2 1 1 1b 细胞 b 细胞在骨髓中发育成熟，与t 细胞相互作用，并在t 细胞的辅助下激活。活化 的b 细胞进一步分化为分泌抗体的浆细胞和记忆细胞1 2 6 1 。 b 细胞有三个主要功能：产生抗体，提呈抗原和分泌细胞因子参与免疫调节。每 个b 细胞都被设定( 基因编码) 产生一种特异的抗体，抗体是b 细胞识别抗原后增殖 分化为浆细胞所产生一种特异蛋白质( 免疫球蛋白) ，从而能识别并结合其他特异蛋白 质( 抗原) ，造成抗原的死亡，消灭抗原达到保护目的。每天大量的b 细胞产生和死 亡，只有b 细胞受到t 细胞的一定水平的刺激作用下，才开始分裂，并千百次地克隆 自己，以非常高的频率在基因中产生点变异，即基因对抗体进行特异性编码，该机制称 为体细胞高频变异( h y p e r m u t a t i o n ) 。经过重复变异和选择过程，免疫系统通过学习对抗 原产生更高的亲和力。 2 1 1 2t 细胞 t 细胞在胸腺中发育成熟，用于调节其他细胞的活动及直接袭击感染细胞闭。t 细 胞是经其自身分化为效应细胞后直接执行免疫功能的，按功能不同分为两类，即毒性t 细胞和调节t 细胞。毒性t 细胞能够清除微生物、病毒和癌细胞，在激活后能在其 他细胞膜表面打孔，向其内注入毒素，使其死亡。调节t 细胞又分为辅助性的和抑制 性的：辅助性t 细胞与抗原结合时，帮助刺激b 细胞进行大量繁殖；抑制性t 细胞 在对抗原成功地实施了免疫袭击后，抑制b 细胞的繁殖，从而达到体内免疫平衡。 总而言之，t 细胞的主要作用是在体内巡游，检查细胞，识别抗原，非自体耐受。 b 细胞的主要作用是执行高频变异，适应特异的病原体，并在t 细胞的控制下实施免 疫应答过程。 免疫系统除b 、t 细胞外，还包括细胞因子、自然杀伤细胞、噬菌细胞、粒细胞等 m 。细胞因子通常由b 细胞分泌而来，携带功能不同的重要信号，主要是诱导炎症应 答和与发烧有关的体温增加，以刺激和强化免疫应答。自然杀伤细胞是具备强大功能的 化学物质颗粒，它们主要是袭击肿瘤，保护自身不受感染微生物的伤害，具有一定免疫 调节能力。噬菌细胞是能够摄取和消化微生物并迁移进其组织内部的白细胞，一些还具 有抗原提呈能力，它们在免疫应答中起着重要的作用。 2 1 2 抗原和抗体 抗原、抗体是主要的免疫分子。抗原( a n t i g e n ) 是一类能刺激机体的免疫系统使之产 生特异性应答，并能与相应的免疫应答产物在体内或体外产生特异性结合的物质 2 s l 。 抗原的特异性由抗原分子中的特殊化学基因( 抗原决定簇) 决定m 1 。抗原决定簇存在 于抗原分子表面，是决定抗原特异性的特殊化学基团，是能够被免疫系统抗体识别的与 抗体决定基互补的分子形状。一个抗原分子具有一种或多种不同的抗原决定簇，每种抗 原决定簇仅有一种抗原特异性。功能性抗原决定簇位于抗原分子表面，易被识别，可启 动免疫应答。而隐藏性抗原决定簇位于抗原分子内部。天然抗原一般由多种、多个抗原 决定簇组成，可和多个抗体分子交互结合。在人体出现免疫功能障碍的时候，人体内本 9 身带有的蛋白质物质也会诱发免疫应答，因此免疫系统必须能够区分哪些是自身携带的 正常自我抗原，哪些是外界侵入人体的非我抗原。 抗体( a n t i b o d y l 是b 细胞识别抗原后，克隆扩增分化为浆细胞所产生的一种蛋白质 分子，也称为免疫球蛋白分子( i g ) 【2 8 1 。免疫球蛋白是化学结构的概念，而抗体是生物学 功能的概念。 抗体结合抗原，然后依靠自己或借助免疫系统其他元素( t 细胞等) 帮助破坏这些 抗原。它对抗原的破坏作用主要表现在抗体分子可以结合病原体表面的分子相结合，干 扰病原体的生长与繁殖，或消灭掉病原体。作为蛋白质分子，抗体并不和整个入侵抗原 结合，而是与抗原表面许多分子中的一个结合。而抗体和抗原结合的依据是抗原决定簇。 2 1 3 免疫应答 免疫应答( i n q n l l l n cr e s p o n s e ) 是指特异性淋巴细胞对抗原分子的识别、活化、增 殖、分化以及产生免疫效应的全过程渊。在此过程中，抗原对淋巴细胞起了选择与触发 作用? 因此抗原是启发免疫应答的始动因素。免疫系统有两种免疫应答类型：。种是 遇到病原体能迅速地起作用的固有性免疫应答，另一种是能识别未知病原体的反应较为 缓慢的适应性免疫应答。 这里主要关注适应性免疫应答的过程，它分为初次及二次免疫应答两步。 初次免疫应答发生在免疫系统遭遇到某种未知的病原体的第一次入侵时，免疫系统 的学习过程很慢，发生在初次感染的前几天，要用几周的时间来对感染产生大量抗体并 消灭抗原，之后抗体的浓度逐步下降，但免疫系统中仍保留了一定数量的b 细胞作为 免疫记忆细胞( m e m o r yc e l l ) ：在第二次遭遇到同样的病原体后，根据记忆b 细胞保留 的信息，二次应答更迅速，无须再重新学习。出现在记忆应答中的抗体比早期初次应答 出现的抗体具有更高的亲和力，这种受到t 细胞独立应答限制的现象，称为亲和力成 熟( a f f i n i t ym a t u r a t i o n ) 哪! 。 抗体结合它们能够识别的抗原，通过抗体的抗体决定簇和抗原决定簇之间的模式互 补匹配进行，其结合强度取决于匹配模式的接近程度。当抗体具有单一种类的受体 ( r e c e p t o r ) 时，抗原可以有多个抗原决定簇，意味着单个抗原能够被不同抗体分子识别。 b 细胞和t 细胞最重要的特征是在其细胞膜表面都有能够识别抗原的受体分子， 一个t 细胞及b 细胞对抗原具有严格的特异性，而整个t 及b 细胞的群体中，则 能识别各种各样的抗原分子。t 及b 细胞与抗原结合后，就开始进行克隆选择( c l o n a l s e l e c t i o n ) 与扩增( e x p a n s i o n ) 。 2 2 生物免疫的隐喻机制 生物免疫系统是一个高度复杂的分布协调自适应系统，它能自适应地识别和排除侵 1 0 入机体的抗原性异物，并且具有学习、记忆和自适应调节能力。生物免疫系统具有如下 的一些隐喻机$ 1 ( m e t a p h o r s ) 值得计算机研究人员借鉴。 自我与非我的识别 生物的细胞都会在细胞膜表面表达或者分泌一些具有独特结构的蛋白分子，作为不 同生物的识别特征( d i s c r i m i n a t i o n ) 。这种蛋白分子上的独特结构是由相邻的氨基酸排成 的序列，称为决定簇1 2 9 1 。 决定簇具有两种表现形式：由原本就相邻的氨基酸所形成的序列称为线性决定簇； 由原本不相邻的氨基酸通过三维空间的自然折叠而变得相邻所构成的序列称为构像决 定簇【抻】。 淋巴细胞受体能与病原体的抗原决定簇互补而结合，实现对病原体的免疫识别。这 种机制为我们进行自我与非自我特征识别提供了实现方法上的启示。在计算机领域中， 程序和数据是以0 和1 二进制方式编码，可以表达无穷无尽的含义。 抗体的多样性 生物体在进化过程逐渐形成了一组编码淋巴细胞