（计算机应用技术专业论文）基于人工免疫的电力信息网络入侵检测系统的研究.pdf

迅 j ， k l ， f 、 声明尸明 本人郑重声明：此处所提交的硕士学位论文基于人工免疫的电力 侵检测系统的研究，是本人在华北电力大学攻读硕士学位期间，在导 行的研究工作和取得的研究成果。据本人所知，除了文中特别加以标注 外，论文中不包含其他人已经发表或撰写过的研究成果，也不包含为获 大学或其他教育机构的学位或证书而使用过的材料。与我一同工作的同 所做的任何贡献均已在论文中作了明确的说明并表示了谢意。 学位论文作者签名：三遮e l 期： 学位论文作者签名：丝饧婴 期： 关于学位论文使用授权的说明 本人完全了解华北电力大学有关保留、使用学位论文的规定，即：学校有权 保管、并向有关部门送交学位论文的原件与复印件；学校可以采用影印、缩印或 其它复制手段复制并保存学位论文；学校可允许学位论文被查阅或借阅：学校 可以学术交流为目的，复制赠送和交换学位论文；同意学校可以用不同方式在不同 媒体上发表、传播学位论文的全部或部分内容。 ( 涉密的学位论文在解密后遵守此规定) 作者签名： 日 期： 。，1卜 华北电力大学硕士学位论文摘要 摘要 将人工免疫系统原理应用于入侵检测，形成了基于人工免疫的入侵检测系统。 设计了一种基于遗传算法的动态克隆选择算法，该算法对r - 连续位匹配规则进行改 进，并应用遗传算法原理对记忆检测器集合进行优化。实验证明该算法能够生成检 测率更高的检测器集。在对电力市场运营系统的功能和结构进行分析的基础上，针 对电力市场运营系统存在的入侵问题，设计了基于人工免疫的电力市场运营系统入 侵检测模型。实验证明该入侵检测模型能够有效地检测到对电力市场运营系统的各 种攻击。 关键字：入侵检测，动态克隆选择，否定选择，检测器，电力市场运营系统 a b s t r a c t a p p l yt h ep r i n c i p l eo fa r t i f i c i a li m m u n es y s t e mt oi n t r u s i o nd e t e c t i o na n df o r m i n t r u s i o nd e t e c t i o ns y s t e mb a s e do na r t i f i c i a li m m u n es y s t e m ad y n a m i cc l o n es e l e c t i o n a l g o r i t h mb a s e do ng e n e t i ca l g o r i t h mi sp r o p o s e d t h em a t c h i n gr u l eo fr - c o n t i n u o u s b i t i si m p r o v e da n dt h em e m o r yd e t e c t o rs e ti so p t i m i z e db a s e do ng e n e t i ca l g o r i t h m i ti t p r o v e dt h a td e t e c t o rs e tg e n e r a t e db yt h i sa l g o r i t h mw i t hh i g h e rd e t e c t i o nr a t e a n a l y z e t h es t r u c t u r ea n df u n c t i o no fe l e c t r i c i t ym a r k e to p e r a t i o ns y s t e m a i m e da tt h ei n t r u s i o n i s s u ee x i s t e di ne l e c t r i c i t ym a r k e to p e r a t i o ns y s t e m ，a ni n t r u s i o nd e t e c t i o nm o d e lb a s e d o na r t if i c i a li m m u n ei sp r o p o s e d i ti sp r o v e db ye x p e r i m e n tt h a tt h ei n t r u s i o nd e t e c t i o n m o d e lc o nd e t e c tk i n d so fa t t a c k si ne l e c t r i c i t ym a r k e to p e r a t i o ns y s t e me f f e c t i v e l y z h o n gf e n g ( c o m p u t e ra p p l i e dt e c h n o l o g y ) l l i d l 1 t t , u i i l c ；i , , l l l l v i u d i r e c t e db yp r o f w a n gb a o y i k e yw o r d s ：i n t r u s i o nd e t e c t i o n ，d y n a m i cc l o n es e l e c t i o n ，n e g a t i v es e l e c t i o n ， d e t e c t o r e l e c t r i c i t ym a r k e to p e r a t i o ns y s t e m 、 _ y 华北电力大学硕士学位论文目录 目录 中文摘要 英文摘要 第一章引言_ 1 1 1 研究工作的背景及意义1 1 2 国内外研究现状2 1 2 1 国外的研究现状2 1 2 2 国内的研究现状。3 1 2 3 入侵检测技术在电力信息网络中的应用研究3 1 3 论文的主要研究内容4 1 4 论文的组织安排4 第二章入侵检测及人工免疫理论。5 2 1 入侵检测的相关概念5 2 2 入侵检测系统的分类5 2 2 1 根据数据源分类5 2 2 2 根据入侵检测的方法分类6 2 2 3 根据系统结构分类6 2 3 入侵检测系统的体系结构7 2 4 生物免疫的相关理论8 2 4 1 免疫与免疫系统8 2 4 2 免疫系统的机制8 2 4 3 生物免疫系统的特点l o 2 5 入侵检测系统与生物免疫系统的比较1 l 2 6 基于人工免疫的入侵检测发展方向1 2 2 7 人工免疫算法：1 3 2 7 1 匹配规则1 3 2 7 2 否定选择算法1 4 2 7 3 克隆选择算法1 5 2 8 本章小结1 6 第三章基于遗传算法的动态克隆选择算法的设计1 7 3 1 问题描述1 7 3 2 传统的动态克隆选择算法1 7 3 3 动态克隆选择算法的设计1 9 3 3 1 匹配规则的设计1 9 3 3 2 遗传算法简介1 9 3 3 3 适应度的计算方法2 0 3 3 4 基于遗传算法的动态克隆选择算法2 1 华北电力大学硕士学位论文目录 3 4 仿真实验2 6 3 4 1 实验目的2 6 3 4 2 数据集的选择及参数设定2 6 3 4 3 实验过程及结果2 7 3 4 4 结果分析2 9 3 5 本章小结2 9 第四章入侵检测系统在电力市场运营系统中的应用研究3 0 4 1 电力市场运营系统介绍3 0 4 1 1 电力市场运营系统的体系结构及功能3 0 4 1 2 电力市场运营系统的工作流程3 l 4 1 3 电力市场运营系统的分区结构3 2 4 2 电力市场运营系统的入侵问题3 3 4 2 1 电力市场运营系统的数据通信3 3 4 2 2 电力市场运营系统的入侵3 4 4 3 入侵检测系统在电力市场运营系统中的应用3 5 4 3 1 入侵检测系统的内部结构3 5 4 3 1 1 数据处理模块3 5 4 3 1 2 入侵检测模块3 6 4 3 1 3 报警模块3 7 4 3 2 入侵检测系统的部署3 7 4 4 本章小结3 8 第五章电力市场运营系统入侵检测的实验与分析3 9 5 1 实验目的3 9 5 2 系统数据结构的设计3 9 5 3 实验环境搭建4 0 5 4 数据来源4 0 5 5 实验过程及结果4 l 5 6 实验分析及结论4 2 5 7 本章小结4 3 第六章总结4 4 参考文献4 5 致谢i 4 9 在学期间发表的学术论文和参加科研情况5 0 i i 华北电力大学硕士学位论文 1 1 研究工作的背景及意义 第一章引言 随着计算机和网络技术的飞速发展，信息化建设已经成为我国各类型企业降低 成本、提高效率以及增强竞争力的有效武器。近年来，电力信息网络的建设加快了 电力企业信息化的步伐。它将电力行业的各种相对独立的业务系统，包括各种电力 自动化系统、信息管理系统、通信系统等通过专用网络数据线进行互联，形成了一 个覆盖面广、速度快的广域网络，实现数据通信和资源共享，提高了电力企业的工 作效率和管理水平。 然而，电力企业在享受信息技术带来便利的同时，也不得不面对信息安全的严 峻考验。由于电力系统涉及国计民生的各个方面，所以任何细微的网络安全问题都 有可能带来灾难性后果，造成巨大的政治和经济影响。2 0 0 0 年1 0 月1 3 日，四川i 二 滩水电厂控制系统因收到异常信号而停机，7 秒甩出力8 9 万k w 的电量，川渝电网 几乎瓦解；2 0 0 1 年1 0 月1 日，银山公司生产的故障录波装置出现“时间逻辑炸弹 ， 全国共1 4 6 套；2 0 0 3 年1 2 月3 0 日，龙泉、政平、鹅城换流站控制系统发现病毒， 经调查是由外国技术人员在系统调试中使用笔记本电脑上网所致托1 。由于电力系统 的特殊性以及产生后果的严重性，因此我们有必要对电力信息网络的入侵问题进行 研究。 目前，防火墙技术作为防范网络攻击最基本的手段已经相当成熟，是防御攻击 的第一道防线。但是，防火墙技术主要是阻止来自外部网络的攻击，对于系统内部 的攻击则无计可施，同时防火墙自身也有可能被攻破。因此为了保证网络系统的安 全，就需要一种能够对系统的运行状态进行实时监控，发现并阻止各种攻击行为的 系统，即入侵检测系统( i n t r u s i o nd e t e c t i o ns y s t e m ，简称i d s ) 。 入侵检测系统是防火墙之后的第二道安全防线，是近十多年来发展起来的新一 代主动安全防范技术。它从计算机网络的若干关键点收集数据，对其进行分析，从 而发现违反安全策略的行为并及时做出处理。传统的入侵检测方法一般是先定义网 络数据的正常模式或异常模式，然后把采样的模式与正常模式或异常模式进行匹配 来检测入侵，这样使系统失去了多样性和自适应性。目前的入侵检测技术中，无论 是基于异常的入侵检测还是基于误用的入侵检测都普遍存在两个问题：高误报率和 缺乏自适应性。高误报率会占用系统管理员大量的时间进行协同处理，同时也会耗 费大量的系统资源；缺乏自适应性是指系统无法根据网络数据的变化做出相应的变 化，不能很好地检测出未知入侵行为或已知入侵行为的变种。生物免疫系统的基本 原理给解决上述两个问题提供了一种可行的借鉴方法。 1 华北电力大学硕士学位论文 生物免疫系统是一个高度进化的、多层次生物系统，它具有“自我识别 的功 能，对“非我”抗原会产生免疫应答并将其清除。从计算机的角度来看，生物免疫 系统是一个高度并行、分布式和自适应的系统，具有很强的学习、识别、记忆和特 征提取能力。人们从生物免疫系统的运行机制中获取灵感，开发出了人工免疫系统 ( a r t i f i c i a li m m u n es y s t e m ，简称a i s ) ，用于解决工程中的实际问题。免疫系统在 防御抗原入侵的过程中表现出的分布性、多样性、记忆性、自适应性等良好特性， 正是当前入侵检测领域所期望得到的，有利于克服当前入侵检测系统所面临的问 题，因此基于人工免疫的入侵检测技术已成为一个热门的研究方向。 1 2 国内外研究现状 人工免疫系统是生命科学和计算机科学相互交叉而产生的一个新的研究热点， 具有非常广阔的应用前景，吸引了许多研究人员以及专家学者对其进行数学建模、 算法设计以及应用研究。 1 2 1 国外的研究现状 目前在基于人工免疫的入侵检测研究领域，比较有代表性的研究团队有：新墨 西哥大学的s t e p h a n i ef o r r e s t 和s t e v e n a h o f m e y r 等人口 5 6 l ，孟菲斯大学的d i p a n k a r d a s g u p t a ，f a b i og o n z a l e z ，j o n a t a ng o m e z 和z h o uj i 等人口一一1 0 j h1 2 1 副，伦敦大学的 j u n g w o nk i m 和p e t e rb e n t l e y 等人n 4 1 5 ，协j7 1 8 j 9 2 仉2 ，诺丁汉大学的u w ea i c k e l i n ，j u l i e g r e e n s m i t h 和j a m i et w y c r o s s 等人他2 矗3 _ t2 钉。 新墨西哥大学的f o r r e s t 等人在文献 3 中最先将免疫原理引入到入侵检测领 域，1 9 9 4 年她首次提出可将信息安全问题看成一个更加普遍的问题，即如何区分自 我和非我的问题。其中自我指正常的行为，非我指入侵行为。 孟菲斯大学的d a s g u p t a 等人，在文献 7 中提出实值逆向选择算法，并对实值 逆向选择和二进制逆向选择算法进行了比较说明，指出了他们各种的优缺点。在文 献 1 0 ，1 1 中用模糊方法划分自我和非我的边界，减少了检测器数量，提高了检测 的准确率。在文献 1 3 中，提出了半径可变检测器生成算法，该算法能够生成更有 效的检测器集。 ， 伦敦大学的k i m 和b e n t l e y 致力于研究网络入侵检测系统，提出了基于免疫的 入侵检测模型，并指出该免疫模型由3 个截然不同的进化阶段组成：( 1 ) 阴性选择； ( 2 ) 克隆选择：( 3 ) 基因库进化n 5 j 们。k i m 于2 0 0 2 年提出了动态克隆选择算法， 是对静态克隆选择算法的改进，解决了网络动态变化的问题。 诺丁汉大学的u w ea i c k e l i n 等人的研究焦点主要是危险理论。在文献 2 2 中， u w ea i c k e l i n 等人详细介绍了危险理论。在文献 2 3 中提出将危险理论应用于入侵 2 华北电力大学硕士学位论文 检测可能对当前的入侵检测技术做出重大改进，当前的主要问题是如何正确地定义 危险信号。 在文献 2 6 中，s l a v i s as r a r a f i j a n o v i e 等人提出了许多新观点。在算法上，提出 了动态生成自我集的方法，将危险理论和自我非我方法相结合、将先天免疫和适应 性免疫结合、各个部件间的相互合作和终身学习等观点。在方法上，提出了应以面 向问题的观点去应用人工免疫系统，而且不应局限在人工免疫系统的严格框架下。 1 2 2 国内的研究现状 中国科技大学的王煦法、曹先彬的研究小组进行了免疫算法和基于免疫的入侵 检测系统的研究乜7 1 。 2 0 0 2 年，武汉大学的梁意文研究小组对基于免疫的入侵检测系统的实现进行了 研究，合生物免疫的原理，研究人工免疫的机理，提出一个计算机网络安全免疫的 模型。该模型弥补了传统安全模型中在环境独立性、自适应性、系统多样性、分 布性、群体协同性上的不足。 2 0 0 3 年，四川大学的李涛教授提出了基于免疫的大规模网络入侵的动态取证， 以及网络安全风险检测与控制等技术心9 。在2 0 0 4 年出版的计算机免疫学一书 中，作者对生物免疫的机理，计算机免疫学的基本概态、原理及应用技术进行了较 为深入的研究d 刖。 1 2 3 入侵检测技术在电力信息网络中的应用研究 针对电力信息网络进行入侵检测研究的团队比较少，主要在国内。文献 3 1 提出 了在省级电力信息网络中部署入侵检测系统的结构。文献 3 2 提出了入侵检测系统在 电力调度系统中的应用方法，要进行分布式部署和集中式安全管理。 在针对电力信息网络的入侵检测研究领域，主要是采用数据挖掘的方法进行研 究。文献 3 3 构建了一个基于数据挖掘的电力系统网络入侵检测系统的模型。该模型 由主机探测器、网络探测器和基于数据挖掘的控制台3 大部件组成。探测器用于数据 包捕获和特征提取，控制台接收各个探测器传来的记录，通过数据挖掘找出关联规则， 加入规则库。将用户行为特征与规则库中的入侵规则进行匹配来检测是否为入侵。该 方法能够满足电力系统网络数据量大，数据来源差别大以及安全性高的特点。 文献 4 9 设计了一个包括传感器、分析器和中心控制台的三层分布式体系结构的 入侵检测系统，在中心控制台采用基于数据挖掘和粗糙集的入侵检测技术。通过粗糙 集约简删除其中不必要的属性，减小数据挖掘原始数据的维度，然后利用数据挖掘算 法对数据进行分析，生成关联规则，最后通过特征匹配判断是否是入侵。 针对电力信息网络的入侵检测系统必须能够处理大量的数据，并且应该具有实时 3 华北电力大学硕士学位论文 性、自适应性和较高的检测率。基于数据挖掘的入侵检测系统在处理大量数据方面表 现出了较大优势，但在其它方面略有不足。基于人工免疫的入侵检测系统能够很好地 满足以上要求，首先它将异常检测技术和误用检测技术相结合，具有较高的检测率， 其次它能够对检测器集合进行动态更新以适应不断变化的网络环境，具有较强的自适 应性。因此，本文采用人工免疫的方法对电力信息网络的入侵检测进行研究。 1 3 论文的主要研究内容 本论文研究的主要内容具体分解如下： ( 1 ) 研究入侵检测系统和人工免疫系统的基本理论，为基于人工免疫的入侵 检测系统研究打好基础。 ( 2 ) 研究动态克隆选择算法，对传统的动态克隆选择算法进行改进，并设计 一个基于遗传算法的动态克隆选择算法，用于生成检测效率更高的检测器。 ( 3 ) 研究电力市场运营系统的功能和结构，分析其存在的入侵问题，并构建一个 基于人工免疫的电力市场运营系统入侵检测模型。 1 4 论文的组织安排 依照课题研究和设计的总体思路，安排本论文的组织方式如下： 第一章为引言部分，介绍论文研究工作的背景及意义，国内外相关领域研究现 状，论文的主要研究内容，以及论文的组织安排。 第二章介绍入侵检测系统和人工免疫系统的相关理论。包括入侵检测系统的概 念、分类和体系结构，生物免疫系统的组成、各种免疫机制和特点，并对入侵检测 系统和生物免疫系统进行比较，最后对人工免疫的相关算法进行介绍。 第三章在分析传统动态克隆选择算法的基础上，对匹配规则进行了改进并实现 了记忆检测器的优化，设计了一个基于遗传算法的动态克隆选择算法，并通过实验 验证其有效性。 第四章介绍基于人工免疫的入侵检测系统在电力市场运营系统中的应用。在分 析电力市场运营系统的结构、功能和数据通信的基础上，针对其存在的入侵问题， 构建了一个基于人工免疫的电力市场运营系统入侵检测模型。 第五章在前面工作的基础上，对电力市场运营系统中的入侵检测进行仿真实 验，并给出实验结果。 第六章对本文所做的工作进行总结，并展望以后的研究方向。 其中，第三章和第四章是本文的重点。 4 华北电力大学硕士学位论文 第二章入侵检测及人工免疫理论 2 1 入侵检测的相关概念 入侵是指任何试图危害资源的完整性、保密性和可用性的活动集合引。入侵包 括企图或者实际攻入到一个信息系统。入侵者的目的可能是滥用系统或系统所包含 的数据，使系统不可靠或不稳定或无法为正常使用服务，或者试图访问系统所包含 的数据或试图改变或操纵数据。 入侵检测就是对入侵行为的检测。它通过收集和分析计算机网络或计算机系统 中若干关键点的信息，检查网络或系统中是否存在违反安全策略的行为和被攻击的 迹象。入侵检测作为一种积极主动的安全防护技术，提供了对内部攻击、外部攻击 和误操作的实时保护，在网络系统受到危害之前拦截和响应入侵。通常用来分析的 信息包括系统日志、审计数据，网络流量以及网络数据等。 入侵检测系统就是能够完成入侵检测任务的软件与硬件的组合。它可以对网络 的运行状态进行实时监控，当发现入侵行为时可以发出报警或者直接对其处理。入 侵检测系统是防火墙之后的第二道安全防线，可以有效地保护计算机资源的完整 性、机密性和可用性。 1 + 2 2 入侵检测系统的分类 根据不同的分类标准，入侵检测系统可以有不同的类别。本文根据数据源、入 侵检测的方法和系统结构对入侵检测系统进行分类。 2 2 1 根据数据源分类 根据入侵检测的数据源可将入侵检测系统分为基于主机的入侵检测系统和基 于网络的入侵检测系统。 ( 1 ) 基于主机的入侵检测系统 基于主机的入侵检测系统一般使用主机的审计数据和系统日志作为数据源。它 可以监视操作系统中的各个进程、事件、安全记录以及系统记录，一旦发现这些文 件发生任何变化，系统就会将新的记录条目与攻击特征进行比较，看它们是否匹配。 如果匹配，系统就会向管理员报警并采取相应的措施。 基于主机的入侵检测系统的优点是性价比比较高，误检率较低，而且对网络流 量不敏感。缺点是由于系统要安装在主机上，因此对主机的性能会有影响。 ( 2 ) 基于网络的入侵检测系统 5 华北电力大学硕士学位论文 基于网络的入侵检测系统一般使用网络数据包作为数据源。通常是在网络中的 几个关键网段安装监控系统来实时监测和分析所有通过网络进行传输的各种数据。 一旦检测到了攻击行为，系统的响应模块会立即中断连接、报警并及时通知系统管 理员。 基于网络的入侵检测系统的优点是不需要在每台主机上都安装软件，只需要在 网络中的几个关键点进行安装就可以保证整个网络的安全。另外通过对数据包的分 析，可以知道攻击者的攻击方法和攻击者的身份。 2 2 2 根据入侵检测的方法分类 根据入侵检测方法的实现技术可以将入侵检测系统分为误用检测系统和异常 检测系统。 ( 1 ) 误用检测系统( m i s u s ed e t e c t i o ns y s t e m ) 误用检测系统首先要收集大量的已知攻击行为，对这些攻击行为进行编码并存 入特征数据库( 又称规则库) 。在进行实时检测过程中，当用户行为或网络数据与 规则库中的某条记录匹配时，它就被标记为入侵行为。误用检测技术的关键是如何 表达入侵的模式，以正确区分入侵行为与正常行为。这种技术的优点是效率高，能 够快速地检测出已知的入侵行为，误检率低。缺点是对未知的入侵行为或已知入侵 行为的变种无能为力，且攻击特征提取困难，需要系统管理员不断地更新规则库。 ( 2 ) 异常检测系统( a n o m a l yd e t e c t i o ns y s t e m ) 异常检测系统是目前入侵检测系统的主要研究方向。它首先需要大量地收集系 统或网络未受攻击时的正常工作模式，构建正常规则库。在进行实时检测过程中， 判断用户行为或网络数据是否与正常规则库中的某条记录相匹配，如果匹配就认为 是正常行为，否则就认为是入侵行为。异常检测的特点是“学习正常发现异常”， 主要表现在学习过程中，常用的学习方法有神经网络、人工免疫、数据挖掘等。它 的优点是可以检测出以前从未出现过的攻击行为。但是异常检测系统依赖于正常数 据的收集情况，而每个用户的行为是经常变化的，其正常数据往往难以收集充分， 所以它的误检率比较高。 2 2 3 根据系统结构分类 根据系统结构可以将入侵检测系统分为集中式入侵检测系统和分布式入侵检 测系统。 ( 1 ) 集中式入侵检测系统 集中式入侵检测系统是由一个位于中央的服务器和分布在各地的若干主机组 成。本地主机将其收集的审计数据传送到入侵检测服务器上，由服务器对这些数据 6 华北电力大学硕士学位论文 进行分析。这种方法的好处是易于管理和协调，缺点是可扩展性、健壮性和设置性 都存在严重的缺陷，如果中央服务器出现故障，整个系统就会陷入瘫痪。 ( 2 ) 分布式入侵检测系统 分布式入侵检测系统将单个中央服务器的职责分配给若干相互协作的入侵检 测系统，每个入侵检测系统只负责监测本地主机的某一方面的情况。所有的入侵检 测系统并发执行并且相互协作。分布式入侵检测系统中没有全局控制中心，所以分 布性和容错性较好，任意一个局部入侵检测系统的失效不会影响其它入侵检测系统 的检测。 2 3 入侵检测系统的体系结构 美国国防高级研究计划署( d a r p a ) 提出的公共入侵检测框架( c o m m o n i n t r u s i o nd e t e c t i o nf r a m e w o r k ，简称c i d f ) 阐述了一个入侵检测系统的通用模型， 如图2 1 所示。它将一个入侵检测系统分为4 个组件：事件产生器( e v e n tg e n e r a t o r ) 、 事件分析器( e v e n ta n a l y z e r ) 、响应单元( r e s p o n s eu n i t ) 、事件数据库( e v e n t d a t a b a s e ) 。 析 图2 - 1c i d f 体系结构图 c i d f 将入侵检测系统需要分析的数据统称为事件( e v e n t ) ，它可以是网络中的 数据包，也可以是从系统日志等其它途径得到的信息。 事件产生器通过传感器从整个计算机环境中收集事件数据，并将数据传送给事 件分析器。事件分析器分析得到的事件，并产生分析结果提交给响应单元。响应单 元则是根据分析结果做出相应的处理措施，比如中断连接、发出警报，通知系统管 理员等。事件数据库存放各种中间和最终数据，它可以是复杂的数据库，也可以是 7 华北电力大学硕士学位论文 简单的文本文件。这四个组件之间的数据通信是基于通用入侵检测对象( g e n e r a l i z e d i n t r u s i o nd e t e c t i o no b j e c t s ，简称g i d o ) 和通用入侵规范语言( c o m m o ni n t r u s i o n s p e c i f i c a t i o nl a n g u a g e ，简称c i s l ) 的。 2 4 生物免疫的相关理论 2 4 1 免疫与免疫系统 在自然界中，免疫是指机体对病原体具有抵抗能力从而免除疾病的发生。凡能 引起机体产生一系列免疫反应的物质都称为抗原，如细菌、病毒等。当抗原进入机 体后，会刺激机体产生一种与该抗原相结合的特殊蛋白质，叫做抗体，如免疫球蛋 白。 免疫系统是由免疫器官、免疫细胞和免疫分子组成的复杂系统。它能够区分“自 我 与“非我 成分，对“自我”成分形成免疫耐受，对“非我 成分发生排斥反 应，以维持机体自身的稳定性。 淋巴器官是免疫系统的一个重要组成部分。它分为中枢淋巴器官与周围淋巴器 官。中枢淋巴器官主要由骨髓和胸腺组成，具有生成免疫细胞的功能，造血干细胞 在这些部位能发育成熟为免疫细胞。周围淋巴器官由淋巴结、脾、扁桃体等组成， 成熟免疫细胞在这些部位执行免疫应答。 免疫细胞是实现免疫功能的主要执行者，主要有两种类型：b 细胞和t 细胞。 b 细胞是免疫系统的本质部分，一般是在骨髓中发育成熟的。b 细胞存在于血 液、淋巴结、脾、扁桃体等组织和器官中，b 细胞是体内产生抗体的细胞，在清除 病原体过程中受到刺激，分泌抗体结合抗原，但其发挥免疫作用要受t 辅助细胞的 帮助。b 细胞主要有三个功能：产生抗体，提呈抗原和分泌细胞因子参与免疫调节。 t 细胞在胸腺中产生，它的功能主要是调节其它细胞的活动以及直接袭击宿主 感染细胞。t 细胞分为两类：毒性t 细胞和调节t 细胞。毒性t 细胞能够清除细菌、 病毒等病原体。t 细胞一旦被激活，就会向病原体注入毒素，杀死病毒细胞。调节 t 细胞又分为辅助性t 细胞和抑制性t 细胞。辅助性t 细胞的功能主要是刺激b 细 胞，传递当前病原体入侵的信息，并将b 细胞激活。抑制性t 细胞的功能主要是抑 制b 细胞的分裂，防止免疫过度的现象。 2 4 2 免疫系统的机制 ( 1 ) 免疫识别 免疫识别是通过免疫细胞表面的受体与抗原表面的抗原决定基发生化学绑定 来完成的。一个淋巴细胞的表面有数万个受体，这些受体都是结构相似的。受体和 8 华北电力大学硕士学位论文 抗原决定基之间的绑定能力称作亲和力，受体和抗原决定基的形状越互补，亲和力 越大，如图2 - 2 所示。当淋巴细胞表面的受体绑定的抗原定基超过一定的阈值，淋 巴细胞将被激活。该阈值称为亲和力阈值。 蹙体 索鹈力 褥力低 图2 2 免疫识别示意图 一： ( 2 ) 免疫耐受 由于免疫细胞的受体是随机产生的，并且在细胞进行分裂增生过程中会发生高 频突变，使得受体有可能绑定自身细胞，从而发生自身免疫反应。实际上，在正常 情况下不会发生自身免疫反应，这是因为免疫系统存在着免疫耐受机制。 免疫耐受是由t 细胞完成的，它负责辅助b 细胞完成免疫应答。t 细胞在发育 过程中完全暴露于胸腺中的自我抗原决定基之中，如果一个未成熟的t 细胞由于绑 定自我抗原决定基而被激活，它就会被检测出来，并自动死亡。最后能够通过亲和 力成熟过程并离开胸腺的t 细胞，肯定能够耐受绝大多数自我抗原决定基。b 细胞 在分裂增生过程中进行高频突变，这有可能导致新生成的b 细胞会发生自身免疫反 应。由于成熟的t 细胞是经过免疫耐受的，因此可以使用t 细胞来检验b 细胞的变 异是否正确，保证b 细胞不会发生自身免疫反应。 ( 3 ) 免疫应答 抗原进入机体以后，免疫细胞对抗原分子的识别、活化、分化和排除抗原的过 程，称之为免疫应答。免疫应答分为固有免疫应答和适应性免疫应答。当遇到病原 体后，固有免疫应答会立即进行防卫。适应性免疫应答能够进行学习以识别特异抗 原，并对其保持记忆，以便下次更加快速地应答。按照抗原出现的次序可以把适应 性免疫应答分为初次应答和二次应答。 9 厦 华北电力大学硕士学位论文 初次应答是指机体初次接触某种抗原之后，系统需要经过一个产生抗体的初始 化过程才开始产生抗体。但是，几天之后，抗体的浓度水平开始下降，直到再次遇 到抗原。初次应答是对以前未见过的病原体的应答过程，其学习的过程非常缓慢。 二次应答由于有了初次应答的记忆，所以反应更加迅速，无需重新学习。在初 次应答发生之后免疫系统中保留一定数量的b 细胞作为免疫记忆细胞，当免疫系统 再次遭遇同种抗原的时候，系统不用重新生成抗体，而是快速做出反应并排除抗原。 ( 4 ) 克隆选择 当抗原入侵机体后，淋巴细胞能够识别抗原并分泌抗体。当抗体和抗原的亲和 力超过一定阈值后，b 细胞被激活并大量地复制自己，在自我复制的过程中会经历 变异过程，产生对抗原具有特异性的抗体。经过克隆选择的b 细胞一部分变成浆细 胞，另一部分变成记忆细胞。 克隆选择过程使得与当前抗原亲合力高的b 细胞不断被克隆增生，并且通过变 异产生具有更高亲合力的b 细胞，同时消除与抗原的亲合力低于某个阈值的b 细胞， 从而使得整个b 细胞集合对当前的病原体的检测更加有效。 2 4 3 生物免疫系统的特点 生物免疫系统的最大特点是免疫记忆、抗体的自我识别能力和免疫多样性。免 疫系统是自组织的、高度分布式的系统，它没有中心控制节点或者层次式结构。免 疫系统的特征特别适合于处理大规模数据的模式分类。免疫系统具有多样性、分布 性和健壮性、鲁棒性和自适应性、可扩展性等特征口鲥。 ( 1 ) 多样性 免疫系统的多样性是指免疫细胞通过克隆选择和随机变异，确保少量的抗体能 够均匀分布在整个抗原空间中，并且在一段时间内，免疫系统具有数量巨大的抗体， 能够覆盖整个抗原空间，完成对所有抗原的识别。多样性是免疫系统的基础特性， 对其它特性的形成都有重要的影响。 ( 2 ) 分布性和健壮性 免疫系统是由免疫器官、免疫细胞和免疫分子组成的复杂系统，这些组成部分 分布在生物体的全身各处，通过局部各个部分的相互作用实现对整个生物体的保 护。免疫细胞之间没有中央控制机制，整个免疫系统是一个并行的分布式自治系统， 大量的免疫细胞随血液和淋巴系统在体内循环，遍布全身，某个免疫细胞的失效甚 至死亡都不会导致整个免疫系统的失效，即免疫系统不存在单点失效的问题，所以 生物免疫系统具有很强的健壮性。 ( 3 ) 鲁棒性和自适应性 1 0 华北电力大学硕士学位论文 免疫系统强大的学习能力使之成为随环境改变而不断完善的一个自适应鲁棒 进化系统。鲁棒性是免疫系统具有多样性、分布性和动态性的结果。免疫系统拥有 从免疫识别到免疫应答的免疫机制，具有免疫记忆功能，通过体细胞高频变异，能 识别初次出现的抗原并产生更高的亲和力。 生物免疫系统类似一个自组织存储器，可以随着机体环境的变化进行动态更 新。免疫系统能够学习识别和应答新的抗原，并保留对这些抗原特征的记忆，以便 于下一次对该抗原的快速反应，因此具有适应性。 ( 4 ) 可扩展性 从分布式处理的角度来看，免疫系统是可扩展的。免疫系统组织间的通信与交 互作用都是局部化的，因此增加一定数量的组织只有很少的开销。在可扩展方面可 能存在一定的结构上的约束，但在单个组织层次上，可预测资源的支出对于组织的 数量将是线性变化的。 ( 5 ) 自治性 生物免疫系统不需要外部系统的管理，它能够自动地区分和清除病原体，而且 也能通过新陈代谢来修复自身和被损害的免疫细胞。同时，免疫具有自我调节的能 力。当有病原体入侵时，破坏了原有系统的平衡，免疫系统通过克隆选择产生大量 与该病原体相匹配的淋巴细胞，来识别和消灭病原体：当病原体消灭后，除了保留一 部分记忆细胞外，这些细胞又会逐渐消亡，以避免这种细胞的无限扩大，使得系统 重新达到一个新的平衡。 2 5 入侵检测系统与生物免疫系统的比较 根据前面对入侵检测系统和生物免疫系统相关理论的分析可以得出，入侵检测 系统和生物免疫系统在很大程度上具有相似性。入侵检测系统是为了防止计算机系 统遭受黑客的攻击，免疫系统是为了保护生物体免受病原体的侵害，两者都是在不 断变化的环境中维持系统的稳定性。 ( 1 ) 功能相似 生物免疫系统的功能主要是区分自体抗原与非自体抗原，能够排斥和清除非自 体抗原，对自体抗原形成免疫耐受，以维持机体自身的稳定性。而入侵检测系统的 任务是对计算机系统进行实时监测，能够准确地检测到黑客的入侵行为，并采取适 当的响应措施，而对计算机系统的正常变化能够形成耐受。 ( 2 ) 所处的环境相似 生物免疫系统所处的环境存在着各种各样的细菌、病毒、寄生虫等病原体，而 入侵检测系统所处的环境存在着各种各样的计算机病毒、木马程序和黑客攻击，它 11 华北电力大学硕士学位论文 们分别是生物免疫系统和入侵检测系统所要检测和清除的对象。 ( 3 ) 检测方法相似 生物免疫系统通过比较免疫细胞与抗原之间的亲和力来判断是否是病原体，入 侵检测系统通过比较当前行为是否与正常库或者异常库中的规则相匹配来确定是 否是入侵。二者都是先定义好规则库，然后将当前模式与规则库比较来判断是否为 入侵的。 ( 4 ) 特性表现相似 一个成功的网络入侵检测系统必须具备的系统特性有：健壮性、可配置性、可 扩展性、分布性、自适应性和鲁棒性。从生物免疫系统的工作机制和特点可以看出， 这些特性正是生物免疫系统所具有的。 生物免疫系统和网络入侵检测系统的这些相似性为基于人工免疫的入侵检测 研究提供了充分的理论依据。表2 - 1 对两种系统的相关概念做了对比。 表2 1 生物免疫系统与入侵检测系统的对比 生物免疫系统入侵检测系统 抗原决定基被检测的行为模式 耐受性否定选择性 免疫细胞检测器 抗体正常模式 抗原入侵模式 化学绑定r 连续位匹配规则 免疫细胞的克隆选择检测器的更新及优化 抗原消除中断连接并报警 2 6 基于人工免疫的入侵检测发展方向 受到生物免疫系统与入侵检测系统之间存在相似性的启发，新墨西哥大学的 f o r r e s t 等人最早提出了利用免疫原理研究入侵检测技术的方法，将机体免疫系统的 免疫原理、体系结构以及从中抽象提取的有关算法运用于入侵检测技术的研究。基 于人工免疫的入侵检测技术的发展方向概括地说，主要有以下一些发展方向： ( 1 ) 自动响应机制 至今为止，利用人工免疫进行入侵检测技术研究主要侧重于检测方面，而在响 应机制方面只是依靠系统管理员的操作。入侵检测系统将检测到的异常事件以电子 邮件的方式发送给系统管理员，管理员对该异常事件进行判断，若确定该事件为入 侵事件，就进行相应的处理，若为错误报告的事件，则不采取任何处理。入侵检测 1 2 华北电力大学硕士学位论文 系统以这种方式来模仿免疫系统的刺激信号。而在免疫系统中，不论是初次应答， 还是二次应答都是自动完成的。因此，若能在入侵检测系统中模仿免疫应答机制而 实现自动响应，就可以克服现今的入侵检测系统中通过管理员来模仿协同刺激信号 这种方式在自动响应方面的不足。 ( 2 ) 更精确的自体集构造算法和演化算法 利用人工免疫进行入侵检测研究的一个基础就是自体集的构造，根据否定选择 算法的思想，检测器的生成依据就是自体集。在目前的研究中，自体集的构造是静 态的，未考虑其动态演化，而且构造方法主要是在假定自体集的构造阶段不存在入 侵事件的基础上，通过观察来定义。这就导致构造的白体集存在局限性，因此，对 更精确的自体集构造算法和演化算法的研究有利于提高入侵检测系统的整体性能。 ( 3 ) 更高效的检测器生成方法 在检测器的生成方法方面，使用最多的就是f o r r e s t 提出的否定选择算法。该算 法适用于所有的匹配规则，从原理上实现了检测器的生成，但该算法生成的检测器 仍存在冗余和互相匹配，导致算法生成的检测器整体检测能力不高。检测器的生成 方法是基于人工免疫的网络入侵检测系统中的核心部分，因此对更高效的检测器生 成方法的研究将成为研究的重点。 2 7 人工免疫算法 人工免疫中常用到的算法有匹配规则算法、否定选择算法、克隆选择算法等， 下面对这些算法做简单介绍。 2 7 1 匹配规则 匹配规则在基于人工免疫的网络入侵检测中非常关键。入侵检测的过程包括两 个阶段，第一个阶段是检测器的生成，第二个阶段是使用检测器进行入侵检测。在 这两个阶段中都需要用到匹配规则，第一个阶段需要比较随机字符串与自我集合是 否匹配，第二个阶段需要比较检测器与网络数据是否匹配，因此匹配规则的选择和 设计对入侵检测系统的性能好坏起到至关重要的作用。由于最终能被计算机识别的 语言只能是二进制字符串，因此我们使用二进制形式来表示网络中的数据。目前， 针对二进制字符串的匹配规则使用最多的是r 连续位匹配规则，因此，本文中使用 的也是r - 连续位匹配规则，其具体的匹配过程如下： 设x 和y 分别为两个长度相等的字符串序列，若x 和y 连续匹配的位数大于等 于r ，则称x 和y 是r 连续位匹配的，否则不是r 连续位匹配的。其中，r 是系统设 定的用来判断两个字符串是否匹配的阈值，对r 的选择至关重要。例如： 1 3 华北电力大学硕士学位论文 x ：010l01o1 oo 0 ol 1 l1 1o10010100l10011 当r 6 时，x 和y 不匹配。 当r = o 时，为无条件匹配；当r = l 时，只要有一位相同就算匹配；当r - - 字符串 的长度时，只有两个字符串对应位置的字符全部相同时才匹配。 使用r - 连续位匹配规则时，假设任意两个等长字符串的匹配概率为p m ，符号表 中的符号数目为i n ，字符串的长度为n 。 对于字符串每一个位置上的符号，从符号表中选取符号与之匹配的概率是三， m 1 而与之不匹配的概率是1 二。当两个长度为n 的字符串进行比较时，如果至少有连 ，” 续r 个对应位置上的符号相同，则这两个串匹配。 如果两个字符串匹配，并且这种匹配是从字符串的最左端开始，则匹配的概率 为： p m i = 1 1 1 m - r 朋m，l 如果两个字符串匹配，并且匹配的起始位置是从字符串左边的第二位到第( n r + 1 ) 位( 这样的起始位置可以有( n r ) 个) ，那么在每次匹