（计算机软件与理论专业论文）基于人工免疫和模糊关联规则的入侵检测研究.pdf

武汉科技大学 研究生学位论文创新性声明 本人郑重声明：所呈交的学位论文是本人在导师指导下，独立进行研 究所取得的成果。除了文中已经注明引用的内容或属合作研究共同完成的 工作外，本论文不包含任何其他个人或集体已经发表或撰写过的作品成果。 对本文的研究做出重要贡献的个人和集体，均已在文中以明确方式标明。 申请学位论文与资料若有不实之处，本人承担一切相关责任。 论文作者签名：茎旦煎日期：塑! 监鱼目! 旦 研究生学位论文版权使用授权声明 本论文的研究成果归武汉科技大学所有，其研究内容不得以其它单位 的名义发表。本人完全了解武汉科技大学有关保留、使用学位论文的规定， 同意学校保留并向有关部门( 按照武汉科技大学关于研究生学位论文收录 j 1 二作的规定执行) 送交论文的复印件和电子版本，允许论文被查阅和借阅， 同意学校将本论文的全部或部分内容编入学校认可的国家相关数据库进行 检索和对外服务。 论文作者签名： 指导教师签名： 日期： 夺鹂 煎圣至乡 加i o 年6 睁臼 0 武汉科技大学硕士学位论文第1 页 摘要 传统的入侵检测大都基于专家系统，缺乏自适应性，对未知攻击的检测能力较弱。而 人工免疫系统是一类基于生物免疫系统的功能、原理、特征而建立的用于解决各种复杂问 题的计算系统。入侵检测系统与人工免疫系统有着很强的相似性，将人工免疫的众多特性 引入入侵检测可以很好的改善入侵检测的效率。 在详细阐述了人工免疫学的生物机理后， 架，该框架包含三个子系统和一个控制中心， 险理论和模糊关联规则挖掘。 提出了一个基于人工免疫的入侵检测系统框 具有良好的交互能力。子系统的设计基于危 子系统的核心机制是多级检测器和危险信号的协同检测，检测器力求准确，具有自学 习性，自适应性，为此，系统结合了模糊关联规则挖掘算法和免疫记忆原理构建初级检测 器和记忆检测器，并借鉴克隆选择原理提出检测器的淘汰更新机制，有效的解决了免疫s n s 模型自体库过大的问题。同时，提出了一种基于树突状细胞的危险感知算法，通过对系统 中各种信号的关联，定量计算危险信号强度，确定系统是否处于危险，提高了系统对未知 攻击的检测能力。实验表明，新的检测器比基于s n s 的检测器有更好的检测率，自适应性 和自学习性。 关键字：入侵检测；人工免疫系统；模糊关联规则；危险信号 第1 i 页武汉科技大学硕士学位论文 a b s t r a c t m o s tt r a d i t i o n a li n t r u s i o nd e t e c t i o ns y s t e m s ( i d s ) a r eb a s e do ne x p e r ts y s t e m ，l a c ko f a d a p t i v ec a p a b i l i t ya n dc a n td e t e c tu n k n o w n a t t a c k se f f e c t i v e l y a r t i f i c i a li m m u n es y s t e m s ( a i s ) a r ec o m p u t i n gs y s t e m s ，i n s p i r e db yt h e o r e t i c a li m m u n o l o g ya n do b s e r v e di m m u n ef u n c t i o n s ， p r i n c i p l e s a n dm o d e l s ，w h i c ha r ea p p l i e dt op r o b l e ms o l v i n g i d sa n da i sh a v es t r o n g s i m i l a r i t i e si nm a n yf e a t u r e s a p p l y i n ga i st oi n t r u s i o nd e t e c t i o nc a ni m p r o v et h ee f f i c i e n c yo f i n t r u s i o nd e t e c t i o n f o l l o w e db yad e t a i l e de x p l a n a t i o no ft h eb i o l o g i c a lm e c h a n i s m si n a r t i f i c i a li m m u n o l o g y , a l li d sm o d e lb a s e do na i si sp r o p o s e d ，w h i c hc o n s i s t so ft h r e es u b s y s t e m sa n dac o n t r o lc e n t e r , a n dh a sg o o di n t e r a c t i o n t h ed e s i g no fs u b s y s t e mi sb a s e do ni m m u n ed a n g e rt h e o r ya n df u z z y a s s o c i a t i o nr u l e sm i n i n g t h ec o r em e c h a n i s mo fs u b s y s t e mi sc o l l a b o r a t i v ed e t e c t i o nw i t hm u l t i l e v e ld e t e c t o r sa n d d a n g e rs i g n a l s i no r d e rt oc o n s t r u c ta c c u r a t e ，s e l f - l e a m i n g ，a d a p t i v ed e t e c t o r s ，t h i ss y s t e m c o m b i n e st h ef u z z ya s s o c i a t i o nr u l e sm i n i n ga n di m m u n em e m o r yt h e o r yt oc o n s t r u c tp r i m a r y i m m u n ed e t e c t o ra n dm e m o r yd e t e c t o r s ，a n da l s ot h ee l i m i n a t i n ga n du p d a t i n gm e c h a n i s mo f d e t e c t o r si sg i v e nb yl e a r n i n gf r o mc l o n a ls e l e c t i o nt h e o r y , w h i c he f f e c t i v e l ys o l v e st h ep r o b l e m o fe x c e s s i v es e l fl i b r a r yi ns n sm o d e l m e a n w h i l e ，ad e n d r i t i cc e l lb a s e da l g o r i t h mt os e n s e d a n g e ri sp r e s e n t e d t h r o u g hs i g n a l sc o r r e l a t i o na n dq u a n t i t a t i v ec a l c u l a t i o no f t h ei n t e n s i t yo f d a n g e rs i g n a l s ，t h es y s t e mc a nd e t e r m i n ew h e t h e r i ti si nd a n g e r i ti m p r o v e st h ed e t e c t i o na b i l i t y o fu n k n o w na t t a c k s e x p e r i m e n t ss h o wt h a tt h en e wd e t e c t o r sh a v eab e t t e rd e t e c t i o nr a t ew i t h h i g ha d a p t a b i l i t ya n ds e l f - l e a r n i n ga b i l i t yt h a nt h es n s d e t e c t o r s k e yw o r d s ：i n t r u s i o nd e t e c t i o n ；a r t i f i c i a l i m m u n es y s t e m ；f u z z ya s s o c i a t i o nr u l e s ；d a n g e r s i g n a l s ， 嘹 j k f 穸 l 武汉科技大学硕士学位论文第1 i i 页 目录 摘要i a b s t r a c t i i 第一章绪论1 1 1 本课题的研究背景和意义l 1 2 国内外研究现状。l 1 3 本文的主要研究工作2 1 4 论文结构安排3 第二章入侵检测概述：4 2 1 入侵检测概念和分类4 2 2 入侵检测原理和框架4 2 3 入侵检测方法5 2 3 1 误用入侵检测5 2 3 2 异常入侵检测6 2 3 3 基于数据挖掘的入侵检测7 2 4 入侵检测不足和趋势7 2 5 本章小结8 第三章人工免疫系统9 3 1 人工免疫系统的生物机理9 3 1 1 免疫细胞及其功能9 3 1 2 免疫应答原理1 0 3 1 3 免疫记忆1 0 3 2 人工免疫系统1 l 3 2 1 人工免疫系统的设计和一般步骤1 l 3 2 2 基本免疫算法分析。12 3 3 免疫危险模型1 4 3 3 1 免疫危险理论的提出1 4 3 3 2 危险理论在入侵检测中的应用15 3 4 本章小结1 6 第四章基于人工免疫的入侵检测系统架构1 7 4 1 基于人工免疫的入侵检测系统架构设计1 7 4 2 入侵检测子代理的框架1 9 4 3 本章小结2 l 第五章系统具体设计2 2 5 1 抗原和抗体的表示2 2 5 2 初级检测器的构造2 2 5 2 1 基于f c m 的模糊关联规则库构建2 2 5 2 2 初级检测器的挖掘过程2 4 5 3 免疫识别过程2 5 5 4 危险信号表示2 6 5 5 检测器的淘汰和记忆检测器的f l 成2 7 第1 v 页武汉科技大学硕士学位论文 5 6 系统检测流程2 8 5 7 本章小结2 8 第六章实验结果与分析3 0 6 1 数据源选取3 0 6 2 参数选取和性能分析3l 第七章结束语3 4 参考文献3 6 致谢。3 9 附录攻读硕士期间发表的论文4 0 武汉科技大学硕士学位论文第1 页 1 1 本课题的研究背景和意义 第一章绪论 随着计算机技术的高速发展和网络应用的日益广泛，网络系统的安全性和可靠性也成 为世界各国共同关注的焦点。面对种类众多的攻击和病毒入侵，如何建立准确、高效、响 应迅速的入侵检测系统，直接关系到国家和个人的利益。传统的入侵检测系统大多基于单 一检测模式，依靠专家系统建立异常行为规则库，通过简单的模式匹配来检测攻击。虽然 准确率高，但并不能检测未知攻击，且规则库的更新仍然是人工的，实时性比较差。另外， 计算机系统和网络环境是动态的，正常行为模式在不断改变，网络攻击花样也层出不穷等。 一个有效的入侵检测系统应该是一个自适应系统，能够适应环境的变化。那么如何建立能 识别已知和未知攻击的自适应检测系统呢? 人工免疫系统的出现为上述问题提供了解决办法。发源于生物免疫系统的人工免疫系 统，是一种高度进化的生物信息处理系统，能够识别和抵御有害抗原，具有良好的分布式 检测能力，自适应性，并且具有免疫记忆能力，它是一种非线性系统，因此可以借鉴其信 息处理机制解决复杂的工程和科学问题。目前，人工免疫系统已引起国内外众多学者的关 注，在人工智能，机器学习，计算机安全，图像处理，异常和故障诊断，控制和优化等应 用领域和学科中都有所应用，但由于人工免疫的研究起步较晚，人工免疫系统的研究还处 在一个较低的水平。 而入侵检测系统和免疫系统的目标和复杂性有着惊人的相似性，都需要具有从动态的 周围环境中区分“有害”和“无害”的能力，因此，研究人工免疫系统并将其引入到入侵 检测中，具有十分重要的意义。 1 2 国内外研究现状 虽然生物免疫学的历史可追溯至1 j 3 0 0 多年前，但人工免疫系统的起步较晚，其历史仅 有二十余年，最早可追溯至j j l 9 8 6 年f a r m e r 1 】提出的基于免疫网络学说的免疫动态模型的构 造。人工免疫系统的兴起源于1 9 9 6 年在日本首次召开的基于人工免疫的国际专题讨论会。 目前，绝大多数人工免疫系统的研究成果都出自美国，日本，英国，巴西等国。其中，最 著名的是巴西c a m p i n a s 大学的d ec a s t r o 2 】【3 】博士，他最早在其博士论文中对人工免疫系统 进行了总结，并试图建立人工免疫系统的统一框架结构。 由于人工免疫系统发源于生物免疫系统，伴随着生物免疫学说的不断研究和发展，人 工免疫系统也不断改善，日趋成熟。早期的人工免疫系统都是基于传统s n s 的模型。最典 型的就是基于克隆选择学说的阴性选择模型，已经广泛用于建立入侵检测系统，涉及到的 免疫机制包括免疫应答、免疫系统的特异谚 剔、模式识别、克降选择学说和扩增、免疫记 第2 页武汉科技大学硕士学位论文 忆和自体与非自体区分等。与此对应的免疫算法也很成熟，1 9 9 4 年，美国学者f o r r e s t l 4 j 等人提出了阴性选择算法用于构造自体检测器，开展了基于a i s 的网络安全方面的研究， 致力于构建自适应的讨算机与网络免疫系统，其成果已应用于i n t e l ，i b m 等公司相关软 件。2 0 0 2 年，d ec a s t r o 和英国的t i m m s t 5 】对阴性选择算法做了一定的改进，引入了变异 因子。同年，b e n t l e y 和k i m 提出了一种动态克隆选择算法【6 】，主要用于网络入侵检测中。 国内的有关人工免疫学的研究刚起步，最早的是中国科技大学的王煦法【7 】教授，他领导的 课题组在智能优化方面取得了不少成果，随后在2 0 0 2 年，武汉大学的梁意文教授将免疫 原理应用于大规模网络入侵检测和预警技术，至此，基于s n s 的人工免疫学已经相当成熟， 但该模式只能解决规模较小的问题，且自身存在缺陷，对某些免疫现象不能很好解释，例 如并不是所有的非自体就是有害的。 随着免疫学说的发展，危险理论成为大家关注的焦点。1 9 9 4 年，美国免疫学专家p o l l y m a t z i n g e r 8 】提出了免疫危险模式理论，该理论认为引起免疫应答的决定因素并不在于自体 和非自体的识别上，而在于细胞坏死或组织损伤发出的危险信号。危险理论上对免疫学的 很多问题进行了新的解释，为研究免疫学指明了新方向。近年来，英国u n i v e r s i t yo f n o t t i n g h a m 的u w ea i c k e l i n 领导的d a n g e rp r o j e c t 9 】小组一直致力于将危险模式理论应 用于入侵检测中，目标是为危险模式理论建立一个计算模型，以定义、研究和发现危险信 号，并根据该模型建立一些新的算法，用于构造具有较低误报率的入侵检测系统。目前， 该小组已经提出了一种基于d e s i o 】( 树突状细胞) 的检测算法，并用于s y n 检测【l ，取得了 不错的效果。在国内，武汉大学的梁意文教授【1 2 1 于2 0 0 6 年提出了人工免疫系统中危险信 号的云方法定义，郭晨、梁家荣【1 3 】【1 4 】等人提出了基于免疫危险理论的异常检测模型。到目 前为止，这些模型算法大都处于理论研究阶段，尚没有与实际网络环境相结合，有待进一 步研究和完善。 1 3 本文的主要研究工作 ( 1 ) 将免疫学的最新理论一危险理论和各种免疫机理引入到人工免疫系统中，通过比较免 疫危险理论与入侵检测系统，提出了把危险理论应用在入侵检测中时应该模拟的组件， 根据这些组件的相互作用，设计了本文的基于免疫危险理论的入侵检测系统结构，提 出危险信号感知方法，通过危险信号的协同检测提高对未知攻击的检测能力。 ( 2 ) 抗体库的生成引入模糊关联规则挖掘方法，由于正常和异常之间并没有明显的界限， 通过构建模糊关联规则，基于模糊识别来辨别有害抗原，构造合适的阀值来解决正常 和异常之间的界限问题。同时，模糊规则库与以往规则库相比，其规模较小，减少了 计算量。 武汉科技大学硕士学位论文第3 页 1 4 论文结构安排 本文共分为七章，各章的组织如下： 第一章：介绍了本课题的研究背景，通过分析目前入侵检测技术的不足，人工免疫系 统的优势和国内外研究现状，说明了本课题研究工作的目的和意义。 第二章：简要介绍了入侵检测的概念，分类，通用框架和常用的入侵检测技术及不足， 给出了入侵检测技术的发展趋势。 第三章：首先介绍了生物免疫系统的相关机理，包括免疫系统的组成、功能、免疫响 应机制和过程，免疫记忆机制等。然后介绍了基本生物免疫的人工免疫系统，包括人工免 疫系统的设计，常用免疫算法等，并对免疫危险理论的发展和应用做了具体研究。 第四章：结合人工免疫和入侵检测的相似性，建立了一个多层检测系统，给出了系 统的数学表示。系统包含多个子系统，子系统的设计基于模糊关联规则挖掘和免疫危险理 论，包含多个模块，本章对系统各模块功能做了详细说明。 第五章：首先重点介绍了入侵检测子系统中检测器的生成过程，该检测器由基于f c m 的模糊关联规则挖掘生成。然后对危险信号给出了定义，提出了一种基于d c 的感知算法， 协同检测。 第六章：实验结果和分析。介绍了实验数据集的选取，数据集的预处理，然后对实验 结果进行了分析。 第七章：对论文的工作进行了总结，指出了论文的创新点和不足，并对未来的工作做 了展望。 第4 页武汉科技大学硕士学位论文 第二章入侵检测概述 入侵检测的研究始于2 0 世纪8 0 年代，早在1 9 8 5 年，d e n n i n g 1 5 】就提出了一个基于统计 量和用户行为轮廓的实时入侵检测专家系统模型。近些年来，随着网络技术的高速发展， 入侵检测技术得到重视，各种入侵检测模型和技术也不断涌现。 2 1 入侵检测概念和分类 入侵检测是最近十几年发展起来的一种动态的监控、预防和抵御系统入侵行为的安全 机制。它主要通过监控主机和网络的状态、行为，来检测网络或系统中是否有违反安全策 略的行为和被攻击的迹象，并且对其做出反应，以保证网络系统资源的机密性，可用性和 完整性。 按照入侵检测系统保护的对象不同，可以分为基于主机的入侵检测和基于网络的入侵 检测。前者用于保护单个主机不受网络攻击行为的侵害，需要安装在被保护的主机上。后 者通常是作为一个独立的个体放置于被保护的网络上，它使用原始的网络分组数据包作为 进行攻击分析的数据源，一般利用一个网络适配器来实时监视和分析所有通过网络进行传 输的通信。一旦检测到攻击，入侵检测系统应答模块通过通知、报警以及中断连接等方式 来对攻击做出反应。 2 2 入侵检测原理和框架 入侵检测一般分为三个阶段：数据源采集，入侵分析和入侵响应。 图2 1 入侵检测的三个阶段 数据源采集：入侵检测系统的准确性和效率很大程度上依赖于数据源的正确性和可靠 性。根据入侵检测位置类型的不同，数据源有基于主机的，也有基于网络的，比如网络的 数据包、操作系统的系统调用同志或者应用同志，系统调用序列等。数据采集模块除了收 挺信息外，还负责刈采集到的信息进行预处理，包括对属性的约简，属性的转换。这样可 武汉科技大学硕士学位论文第5 页 以减少问题的维数，减小计算量，提高系统的检测性能；预处理后的信息一般都先存放到 f l 志数据库中，然后提交给入侵分析模块进行检测。 入侵分析：入侵分析是入侵检测的核心。通过建立合适的检测算法，比如最简单的字 符串匹配，基于统计方法的分析，基于专家系统的分析，基于神经网络的分析等，最终判 定一个行为是异常的还是正常的。入侵分析模块在对数据源做出入侵判断后将判断的结果 发给响应模块进行处理。 响应模块：根据预先定义的响应策略，进行不同的响应处理。一般来说，常见的响应 行为包括：切断网络连接，隔离，弹出窗口报警，记录入侵事件等。一个高效的入侵响应 模块在做出报警后还能够动态的更新规则库。 最早的通用入侵检测模型由d i ) e n n i n 9 1 9 8 7 年提出，如图2 2 所示。该模型包含主体， 对象，审计记录，活动简档，异常记录，活动规则六个部分，它是一个基于主机的入侵 检测模型。首先对主机事件按照一定的规则学习产生用户行为模型，然后将当前的事 件和模型进行比较，如果不匹配则认为异常。 2 3 入侵检测方法 入侵检测按照检测技术可分为两大类：基于已知攻击的误用检测和基于正常行为的异 常检测。 2 3 1 误用入侵检测 误用入侵检测系统一般都是先利用专家系统建立可以描述系统异常行为模式的规则 库，然后根掘这些规则来检测系统中的入侵和攻击。误用入侵检测主要的局限性是仅仅可 检测已知的弱点，对脸测未知的入侵用处4 i 大。 第6 页武汉科技大学硕士学位论文 误用检测系统最常用的技术是模式匹配，通过把待检测的模式与已知的网络入侵 和系统误用模式数据库进行比较，从而发现违反系统安全策略的行为。由于异常行为 往往少于正常行为，误用检测系统的一大优点就是模式库要比异常检测系统小，且技 术已经相当成熟。 误用检测技术有以下优点： ( 1 ) 由于和已知攻击库精确匹配，检测准确度高。 ( 2 ) 技术相对成熟。 ( 3 ) 便于进行系统防护。 误用检测技术有以下缺点： ( 1 ) 由于是和已知的攻击模式匹配，不能检测出新的入侵行为。 ( 2 ) 特征规则库需要不断更新和维护以应付黑客层出不穷的新攻击。 ( 3 ) 由于完全依赖于入侵特征库的有效性，漏报率高，不能适应系统和网络环境的变化。 2 3 2 异常入侵检测 异常检测系统是通过收集系统正常行为的信息来作为检测系统中入侵行为和异常活 动的依据。建立异常检测原理的入侵检测系统，首先要建立系统或用户的正常行为模式库， 不属于该库的行为被视为异常行为。 常见的异常检测系统可以分为两大类：基于传统统计分析方法的异常检测和基于人工 智能的异常检测。 传统的统计分析方法首先给系统对象，如用户，进程，文件等，创建一个统计描 述，统计这些对象在j 下常使用时的一些测量属性，如登陆失败次数、文件大小变化和 网络流量等。通过测量属性的平均值，将某个待检测的样本值与其作比较，如果两者 之间的距离超过了正常值范围，就认为有入侵发生。其优点是可检测到未知的入侵和 更为复杂的入侵，缺点是入侵模式和正常行为模式并不是线性可分的，且误报、漏报 率高，不适应用户正常行为的突然改变。 随着人工智能技术的成熟，各种人工智能技术，如神经网络，免疫学，遗传算法， 数据挖掘等，已经和异常检测技术结合起来。 异常检测系统的优点： ( 1 ) 可以检测未知攻击； ( 2 ) 对于内部合法用户的越权违法行为的检测能力较强。 异常检测系统的缺点： ( 1 ) 误报率高； ( 2 ) 正常行为往往比异常行为多很多，模式库较难配置； ( 3 ) 难以对入侵行为进行分类和命名。 武汉科技大学硕士学位论文 第7 页 2 3 3 基于数据挖掘的入侵检测 由于后续章节涉及到数据挖掘算法，这单简要介绍基于数据挖掘的入侵检测。 数据挖掘具有从大量数据中学习隐含在其中有用的信息和知识的能力。这种能力 f 是入侵检测系统所需要的，即从数据源中抽象出能够反应正常行为或异常行为的轮 廓特征。 数据挖掘算法有多种，常见的运用到入侵检测中的方法有关联分析，聚类分析两 种。其中关联分析方法主要通过关联算法，常用的如a p r i o r i 算法，发现所有超过规定 支持度和可信度的关联规则，从而找出数据库记录中数据项属性问隐含的关联关系。 在学习到上述的关联规则后，利用模式匹配便可检测入侵或异常。 聚类分析运用到入侵检测中，一般是基于这样的假设：异常行为数目远远少于正 常行为，且两者之间有着很明显的不同。聚类分析通过聚类算法，常用的如k m e a n s 算法，将数据集按相似度距离划分为几类，发现数据集的分布规律。 2 4 入侵检测不足和趋势 目前，入侵检测系统普遍存在以下问题： ( 1 ) 误警率和漏警率高：误警率和漏警率是评价入侵检测系统的重要指标。误警率 是指被监控系统在未受到入侵攻击时，检测系统错误的报警的概率。漏警率是指 入侵检测系统在检测时对攻击未能识别的概率。入侵检测系统需要建立攻击知识 库或正常行为知识库，而攻击行为和正常行为本身就存在一定的不确定性，模糊 性，先验知识的不确定性和不完整性必然导致采用确定的知识表达方式建立的入 侵检测系统产生误警和漏警。同时，入侵检测系统中一些参数和阀值的设定也直 接关系到系统的误警率和漏警率。 ( 2 ) 实时性差：基于网络的入侵检测系统要求具有实时性，但是面对庞大的网络数据 流，必然需要复杂的计算和消耗大量的资源，目前大多数入侵检测系统都还无法 做到较高的实时性。 ( 3 ) 自我保护能力不足。如果入侵检测系统自身被攻击，不能正常欲行，即便具有再 好的检测能力，也无处发挥。 入侵检测系统的趋势： ( 1 ) 分布式入侵检测 目前的网络架构是分布式的，采用分布式的多层检测系统，通过各个节点的相互 合作以及与中心的交互，可以有效的提高系统的处理能力，检测针对分布式网络的复 杂攻击，保证系统的实时性。 ( 2 ) 智能化入侵检测 智能计算能够处理复杂的问题，目自，j ，很多人工智能技术已经应用于入侵检测中， 第8 页武汉科技大学硕士学位论文 比如现阶段常用的有神经网络、遗传算法、模糊技术、免疫原理等的方法，以后入侵 检测系统的目标是具有更高的智能性，自适应性和学习能力。 ( 3 ) 入侵检测系统的自身保护。 目前入侵检测面临自身安全性的挑战，一旦系统中的入侵检测部分被入侵者控 制，整个系统的安全防线将面临崩溃的危险。如何防止入侵者对入侵检测系统功能的 削弱乃至破坏的研究将在很长时间内持续下去。 ( 4 ) 各种入侵检测技术的结合。比如说异常检测与误用检测结合起来，从而可以检测 已知的和未知的攻击。 2 5 本章小结 入侵检测实际上是一个模式识别分类问题，识别出当前模式是正常还是攻击。本 章首先介绍了入侵检测的基本原理，框架结构，然后分析了目前各种入侵检测技术的 优缺点，介绍了数据挖掘在入侵检测中的应用，为后续章节免疫检测器的构造提供了 理论基础，最后指明了入侵检测技术向智能化，分布式发展的趋势。 武汉科技大学硕士学位论文第9 页 3 1 人工免疫系统的生物机理 第三章人工免疫系统 免疫系统是生物系统保护机体，抵抗病毒，细菌和其它病原体入侵的基本防御系统。 它由执行免疫功能的各种器官、组织、细胞和分子组成。其中，免疫器官包括胸腺，骨 髓，淋巴结等。免疫细胞主要包括淋巴细胞和吞噬细胞。免疫分子t 细胞表面的受体，组 织相容性分子等膜型分子和免疫球蛋白、补体分子等参与机体免疫应答的物质分泌型分 子。 3 1 1 免疫细胞及其功能 免疫细胞( i m m u n ec e l l ) 主要是指能识别有害抗原，产生特异性免疫应答的淋 巴细胞等各种细胞。除淋巴细胞外，参与免疫应答的细胞还有浆细胞、粒细胞、肥大 细胞、抗原呈递细胞及单核吞噬细胞系统的细胞。本节重点介绍抗原提呈细胞和淋巴 细胞。 抗原提呈细胞( a n t i g e n p r e s e n t i n gc e l l ，a p e ) 是指能摄取，加工处理抗原，并将 抗原信息提呈给淋巴细胞的一类免疫细胞，在机体免疫应答过程中发挥重要作用。常见的 抗原提呈细胞包括巨噬细胞和树突状细胞( d c ) 。 抗原提呈细胞的主要功能包括加工和提呈抗原两个方面： ( 1 ) 加工抗原( a n t i g e np r o c e s s i n g ) ：a p c 摄入细胞内或自身产生的抗原消化降解为一 定大小的抗原肽片段，与胞内m h c 分子结合成抗原肽- m h c 分子复合物，表达在细胞表 面的过程。 ( 2 ) 提呈抗原( a n t i g e np r e s e n t i n g ) -a p c 将其表面表达的抗原肽一m h c 分子复合物提呈 给b 和t 细胞，供b c r 和t c r 识别，诱导b 和t 细胞活化的过程。 淋巴细胞是生物体中起主要作用的免疫细胞，在体内分布很广泛。它有两种主要类 型：b 淋巴细胞和t 淋巴细胞。每个b 和t 淋巴细胞都能够识别特定的抗原，因为在它们 的表面都可以表达对于特定抗原高度特异的抗原识别受体，t 细胞的称t 细胞受体( tc e l l r e c e p t o r ，t c r ) ，b 细胞的称b 细胞受体( bc e l lr e c e p t o r ，b c r ) 。 b 细胞在骨髓中发育成熟，存在于血液、淋巴结、扁桃体等组织和器官中。它的主要 功能是产生和分泌抗体，对细菌、病毒等病原体进行应答。每一种b 细胞都能产生一种特 异的抗体( a n t i b o d y ，a b ) ，但其发挥免疫作用要受到t 辅助细胞的刺激。 t 细胞在胸腺中成熟，它的功能主要包括直接袭击宿主感染细胞和调节其它细胞的活 动。不同于b 细胞分泌抗体，t 细胞是通过其自身分化为效应细胞后直接执行免疫功能的。 按功能分为毒性t 细胞和调节t 细胞。毒性t 细胞通过向其它细胞注入有毒化学物质来清 第1 0 页武汉科技大学硕士学位论文 除病毒或癌细胞。调节t 细胞又分为辅助性细胞( t hc e l l ) 和抑制性细胞( t sc e l l ) 。 t h 细胞的本质作用是产生激励信号，诱导b 细胞免疫应答。 3 1 2 免疫应答原理 免疫应答是机体免疫系统对抗原刺激所产生的以排除抗原为目的的生理过程。免 疫系统有两种应答方式：固有免疫应答( i n n a t ei m m u n er e s p o n s e ) 和适应性免疫应答 ( a d a p t iv ei m m u n er e s p o n s e ) 。 其中，前者是指机体在种系发生和进化过程中逐渐形成的一种天然免疫防御功 能，它构成了机体抵御病原生物入侵的第一道防线。执行固有免疫功能靠的是皮肽额 和黏膜的物理阻挡作用，当病原体穿过皮肤和黏膜时，免疫系统中的吞噬细胞即刻移 至病原体入侵处，迅速吞噬并清除病原体，它可以消灭多种病原体，不具有抗原特异 性。 适应性免疫也叫特异获得性免疫，它是后天学习得到的，是t 和b 细胞对特定抗 原的应答过程。t 和b 细胞在遇到抗原前并不表达功能，只有在经过抗原提呈，抗原 识别亲和力大过一定阀值激活后，经分化，发育及效应细胞才具有免疫功能。 3 1 3 免疫记忆 图3 1 免疫应答的一般过程 生物体在经历了某种微生物感染之后短时间内一般不会再次被同一种微生物感染， 这种现象称为免疫记忆。免疫系统在首次遭遇某种病原体入侵时，会有一个产生抗击 抗原感染的抗体的初始化学习过程，这个过程很慢，一般几天甚至几周，在这个过程中， 免疫系统能将部分产生抗体的淋巴细胞作为记忆细胞保留下来，这个过程叫初次应答。当 免疫系统再次遇到此种抗原的入侵时，相应的记忆细胞被激活并快速对有害抗原做出免疫 应答，这个过程叫二次应答。二次应答比初次应答响应更迅速，更猛烈。 武汉科技大学硕士学位论文第1 1 页 3 2 人工免疫系统 人工免疫系统是人工智能领域的重要分支，它作为一种新兴的智能计算方法，已经受 到越来越多的关注。2 0 0 2 年，在英国k e n t 大学召开的第一届国际人工免疫系统大会上， t i n s 给出了人工免疫系统的定义：“人工免疫系统是一种由理论生物学启发而来的计算范 式，借鉴了一些免疫系统的功能，原理和模型并用于复杂问题的解决。 它通过类似于生物免疫系统的机能，构造具有动态性和自适应性的信息防御体系，以 此来抵制外部无用、有害信息的侵入，从而保证接受信息的有效性与无害性。 3 2 1 人工免疫系统的设计和一般步骤 人工免疫系统的设计一般分为三个步骤，如图3 2 所示： s t e p l ：问题的提出和定义 s t e p 2 ：把要解决的问题映射到人工免疫系统 ( 1 ) 定义要使用的免疫细胞和分子类型； ( 2 ) 借鉴需要使用的免疫原理和免疫算法； ( 3 ) 定义人工免疫系统各部件的数学表示； ( 4 ) 评估各部件之间的相互作用。 s t e p 3 ：从人工免疫系统反射到实际问题。 图3 2 人工免疫解决工程问题的一般框架 第1 2 页武汉科技大学硕士学位论文 3 2 2 基本免疫算法分析 免疫算法的设计一般遵循以下六个步骤： ( 1 ) 抗原编码：在免疫算法中，抗原是输入数据包括目标和约束的表示。目前一般免 疫算法中抗体抗原，即求解问题的编码方式主要有二进制编码、实数编码和字符编码三种。 其中，二进制编码因简单而得到广泛使用。编码后亲和力的计算一般是比较抗体抗原字符 串之间的异同，根据上述亲和力计算方法计算。 ( 2 ) 产生初始抗体群体。 ( 3 ) 计算亲和力：计算抗体和抗原之间的亲和力。 ( 4 ) 生成记忆细胞：选取与抗原有最大亲和力的抗体作为记忆细胞。由于记忆细胞数 目有限，新产生的与抗原具有更高亲和力的抗体替换较低亲和力的抗体。 ( 5 ) 抗体的变异：抗体的变异能力与抗体的亲和力成反比，具有低亲和力的抗体优先 变异。 ( 6 ) 对新产生的抗体群体进行评价。 具体流程图如图3 3 所示： 图3 3 免疫算法的一般步骤 表3 1 给出了免疫系统与免疫算法的比较，如下： 武汉科技大学硕士学位论文第1 3 页 表3 1 免疫系统与免疫算法的对比 免疫系统免疫算法 抗原要解决的问题 抗体最佳解向量 抗原识别问题识别 从记忆细胞产生抗体联想过去的成功 淋巴细胞分化优良解( 记忆) 的保持 细胞抑制剩余候选解的消除 抗体增加利用遗传算子产生新抗体 目前很多免疫算法已相当成熟，其中比较有代表性的是阴性选择算法和克隆选择算 法。 阴性选择算法借鉴了免疫学的阴性选择原理。该原理认为，t 细胞在成熟过程中首先 要经历一个自我否定环节：只有那些不与自身机体组织产生应答的t 细胞才能离开胸腺执 行免疫应答的任务；否则一个未成熟的t 细胞被自身组织激活，则会被清除，这个耐受过 程称为阴性选择。 图3 4 阴性选择算法 克隆选择算法： 克隆选择算法基于免疫学说中的克隆选择原理，该原理最先由j e r n e 提出，后由b u r n e t 给予完整阐述。其基本思想为：在免疫细胞识别抗原的过程中，如果抗体和抗原的亲和度 累积超过一定阈值，免疫细胞便被激活并分裂增殖，其中一部分分化为记忆细胞。随后克 隆细胞经历高频变异过程。 第1 4 页武汉科技大学硕士学位论文 3 3 免疫危险模型 3 3 1 免疫危险理论的提出 图3 5 克隆选择算法 免疫学的核心问题就是研究免疫识别和免疫响应的诱导机制。目前，在免疫识别问题 上，具有代表性的两种免疫模型是：自体一非自体模型和基于危险理论的模型。自体一非自 体模型的建立一般基于上节提到的阴性选择算法，它认为免疫系统的响应是建立在自体和 非自体的识别上，该模型的优点是简单，便于实现，但只能解决小规模问题，因为其计算 复杂度呈指数级增长。 图3 6 基于阴性选择的s n s 模型检测 新兴的免疫危险理论认为，免疫系统的响应是由于机体组织感受到危险信号的刺激。 只有当系统感受到危险时，免疫系统爿会对t h 细胞发出协同刺激信多，诱发t 细胞和b 武汉科技大学硕士学位论文 第1 5 页 细胞免疫响应。随着危险理论的研究不断深入，免疫学家发现树突状细胞在危险信号的感 知中起到至关重要的作用。树突状细胞( d e n d r i t i cc e l l ，d c ) 是一种常见的抗原提呈 细胞。按照d c 在机体中的分布位置和功能，它可以以三种形态存在：未成熟o c 、半成熟 d c 、成熟d c 。未成熟状态的d c 处于机体组织罩面，它除了提呈抗原信息外，还可以感应 到周围组织和细胞发出的各种信号。安全信号会对d c 的成熟起到抑制作用，危险信号会 对d c 的成熟起到激励作用，当危险信号的强度累计到一定程度时，就会激活未成熟的d c 细胞，释放激励因子，使d c 细胞从组织转移到淋巴结中转化为成熟的d c ，诱导免疫应答 过程。图1 描述了d c 从未成熟状态开始的发育分化过程。 图3 7 危险信号诱导的d c 成熟过程 3 3 2 危险理论在入侵检测中的应用 目前，由英国诺丁山大学学者u w ea i c k e l i n 和j u l i eg r e e n s m i t h 领导的d a n g e r p r o j e c t 小组对危险理论做了大量的研究，提出了一种d c a 算法，该算法模拟d c 细胞的 成熟过程，将免疫系统中的信号分为三种：p ( p a m p ，与病原体相关的信号) ，d ( d a n g e r s i g n a l ，可能引起行为变化的信号) ，s ( s a f es i g n a l ，正常信号) 。其中，p 和d 都是危险 信号，对d c 的成熟都起着激励作用，s 则对d c 的成熟起着抑制作用。系统某一时刻的危 险度为三种信号的强度叠加。d c a 算法创建一个d c 群，对每个抗原用1 0 个d c 提呈信号， 计算每个d c 感应到的信号强度，若大于一定阀值，则该d c 成熟。若1 0 个d c 中有半数以 上的成熟，则认为该抗原是有害的。随后，d c a 算法被用在s y n 检测中，针对s y nf l o o d 攻击设定了相应的信号，实验证明，算法取得了不错的效果。图3 8 给出了具体的d c a 算 法。 国内武汉大学的梁意文教授于2 0 0 6 年对单机系统中的危险信号结合云模型给出了数 学定义。通过计算某个危险因子样本点和云中心的距离得到样本点隶属于正常的程度，决 定危险因子特征值是否异常。但该定义也存在一定的缺陷，未考虑危险因子之间的关联， 且特征值并不一定满足云模型分布。 第1 6 页武汉科技大学硕士学位论文 c r e a t ed cp o o l1 0 0c e l1 s f o re a c h d a t a i t e m p i c k1 0d c sf r o mp o o l f o re a c hd c a d da n t i g e nt oa n t i g e nc o l l e c t e dl i s t u p d a t ai n p u ts i g n a lc o n c e n t r a t i o n s c a l c u t a t ec o n c e n t r a t i o n sf o ro u p u tc y t o k i n e s u p d a