（计算数学专业论文）基于免疫记忆的rbf群在入侵检测中的应用.pdf

摘要 摘要 现代大型网络的结构日趋复杂，规模快速增长。利用传统的基于模糊推理或 规则匹配的专家系统对其进行入侵检测已不能满足系统的实时性和准确度要求。 需要研究新的智能检测技术，其中神经网络方法和人工免疫方法是研究的热点。 神经网络具有优良的非线性逼近特性，学习和归纳能力，但是神经网络存储信息 容量有限，学习速度慢，容易陷入局部极小等缺点。人工免疫方法具有全局收敛， 联想记忆，自组织，自学习和动态调解等优良特性，因此将人工神经网络与人工 免疫技术结合成为入侵检测技术的新的研究方向。 但目前的研究主要是用免疫算法训练神经网络，优化网络参数，结合的程度 不够高，导致人工免疫系统中学多优良的特性如联想记忆、自组织、自学习和动 态调解等特性无法应用到神经网络当中。如何将人工神经网络与人工免疫技术的 结合，发挥各自的优势，提高入侵检测的效率，成为本文探索研究的主要内容。 本论文的主要研究工作如下： 1 将免疫记忆机制引入到神经网络方法当中，其主要思想是：先通过聚类将 待学习数据划分为若干个类，然后对每个类用一个小的神经网络来学习，这样整 体上形成了一个具有很多小神经网络的网络群，每个小的网络相当与一个免疫细 胞。这个过程相当于免疫记忆中的一次应答。将训练好的网络群用于检测的过程 相当于免疫机制中的二次应答。如果有新的数据类，可增加一个新的神经网络来 学习新数据。小的神经网络可以动态增加，这样就解决了神经网络应用中网络容 量的限制，同时由于网络规模的减小，也提高了网络的学习速度。 2 将免疫网络机制与在线核聚类方法相结合，提出了基于免疫网络的在线核 聚类算法，该算法解决了一些聚类算法中出现的聚类中心漂移，及类间边界模糊和 类间数据密度分布不均匀无法聚类的问题。同时由于采用在线聚类算法，在聚类时 间上明显快于自适应半径的免疫网络聚类算法，在人工数据集和i r i s 数据集上得 到了仿真验证。并将该算法作为入侵检测系统中划分r b f 网络的核心算法。 3 构建了一种基于免疫记忆的r b f 群的入侵检测系统，给出了基本的设计思 想和算法，及学习数据的预处理方法。最后在k d d c u p 9 9 数据集上的仿真实验表 明，检测率达到9 8 5 7 ，误报率为4 5 6 ，取得很好效果，在一定程度上证明了 该方法的有效性。 摘要 4 r b f 网络的学习算法是决定网络性能的重要因素，本文讨论了几种不同的 r b f 网络的学习算法的性能，并指出其优点和不足，同时也做了仿真实验。最后选 择改进的次胜者受罚竞争学习算法做为本文中r b f 的学习算法。 关键词：入侵检测系统，径向基函数，神经网络，免疫记忆 a b s t r a ( 了r a b s t r a c t m o d e r nl a r g e - s c a l es t r u c t u r eo ft h en e t w o r kb e c o m ei n c r e a s i n g l yc o m p l e x ，a n di t s s c a l eg r o wf a s t l y s i m p l y 嘲t h et r a d i t i o n a lt e c h n i q u eb a s e do nf u z z yr e a s o n i n go r e x p e r ts y s t e mi ni n t r u s i o nd e t e c t i o ns y s t e mc a nn o ts a t i s f yr e a l t i m ea n da c c u r a c y r e q u i r e m e n t s n e c e s s a r yt os t u d yn e wi n t e l l i g e n td e t e c t i o nt e c h n o l o g y , n e u r a ln e t w o r k a n da r t i f i c i a li m m u n em e t h o da r e t h es t u d yh o t n e u r a ln e t w o r kh a sa l le x c e l l e n t n o n l i n e a ra p p r o x i m a t i o np r o p e r t i e s ，a b i l i t yt os t u d ya n ds u m m a r i z e d ，b u tt h en e u r a l n e t w o r k 诵也l i m i t e dc a p a c i t yt os t o r ei n f o r m a t i o n ，s t u d ys l o w ，a n de a s yt of a l li n t ol o c a l m i n i m u m a r t i f i c i a li m m u n em e t h o dh a sg l o b a lc o n v e r g e n c e ，a s s o c i a t e i v em e m o r y , s e l f - o r g a n i z a t i o n ，s e l f - l e a r n i n g , d y n a m i cm e d i a t i o na n do t h e re x c e l l e n tp r o p e r t i e s t h e r e f o r e ，t h ec o m b i n a t i o no fn e u r a ln e t w o r km e t h o da n da r t i f i c i a li m m u n e m e t h o di sag o o dr e s e a r c hd i r e c t i o n ，b u tt h ec u r r e n ts t u d ys i m p l yu s ei m m u n ea l g o r i t h m t r a i nn e u r a ln e t w o r k ，r e m a i no nt h es t a g eo fo p t i m i s en e t w o r kp a r a m e t e r s ，t h e c o m b i n a t i o ni sn o th i g he n o u g h ，c a u s em a n yg o o dp r o p e r t i e so fa r t i f i c i a li m m u n es y s t e m ， s u c ha sa s s o c i a t i v em e m o r y , s e l f - o r g a n i z a t i o n , s e l f - l e a r n i n ga n dd y n a m i cc h a r a c t e r i s t i c s c a nn o tb ea p p l i e dt ot h en e u r a ln e t w o r k t h e r e f o r ee o m b i nt h en e u r a ln e t w o r km e t h o d w i ma r t i f i c i a li m m u n em e t h o d , p l a yt h e i rr e s p e c t i v ea d v a n t a g e sa n dc o m eu pw i ma b e t t e ri n t r u s i o nd e t e c t i o nt e c h n o l o g yi st h i sp a p e r sm a i nw o r ka n dt h er e s e a r c hc a nb e s u m m a r i z e d 嬲f o l l o w s ： 11 1 1 ei m m u n em e m o r ym e c h a n i s mi n t ot h en e u r a ln e t w o r km e t h o d , t h em a i ni d e a i s ：f i r s to fa l l ，t h r o u g ht h ec l u s t e r i n g , t h ed a t aw i l lb ed i v i d e di n t oan u m b e ro fc l u s t e r s ， t h e nf o re a c hc l u s t e r , u s eas m a l ln e u r a ln e t w o r kt ol e a r n , s ot h a to nt h ew h o l ef o r ma n e t w o r kg r o u p s ，e a c hc o n s i d e rai m m u n ec e l l t h i sp r o c e s si se q u i v a l e n tt of i r s tt i m e i r f l m u n er e s p o n s e t h ep r o c e s so fd e t e c t i o ni se q u i v a l e n tt ot h es e c o n d a r yi m m u n e r e s p o n s e i ft h e r ei san e wd a t a , c a l la d dan e w n e u r a ln e t w o r kt ol e a r nt h ed a t a s m a l l n e u r a ln e t w o r k sc a nb ed y n a m i c a l l yi n c r e a s e d ，s ot h a ts o l v et h en e u r a ln e t w o r kc a p a c i t y c o n s t r a i n t s a tt h es a m et i m e , b e c a u s eo ft h er e d u c e dn e t w o r ks i z e , a l s oi n c r e a s et h e n e t w o r kl e a r n i n gs p e e d i i i a b s t r a c t 2c o m b i ni m m u n en e t w o r km e c h a n i s ma n dt h eo n - l i n en u c l e a rc l u s t e r i n g m e t h o d ，p r o p o s e do n l i n en u c l e a rc l u s t e r i n ga l g o r i t h mb a s e do ni m m u n en e t w o r k i tc a l l s o l v ep r o b l e m ss u c ha san u m b e ro fc l u s t e r i n ga l g o r i t h m sa p p e a rc e n t e rd r i f t i nt h e c l u s t e r , t h ef u z z yb o u n d a r yb e t w e e n c l a s sa n dn o n - - u n i f o r md e n s i t yd i s t r i b u t i o no fd a t a b e t w e e nt h ed a t ac l u s t e r s b e c a u s ei t so n l i n ec l u s t e r i n ga l g o r i t h m ，s oi t sf a s t e rt h a nt h e a d a p t i v er a d i u si m m u n en e t w o r kc l u s t e r i n ga l g o r i t h m s i m u l a t i o nh a sb e e nd o n eo i lt h e a r t i f i c i a ld a t as e t sa n di r i s ，t h er e s u l ti s g o o d f i n a l l yt h ea l g o r i t h ma st h ec o r e a l g o r i t h mb eu s e di nt h ei n t r u s i o n d e t e c t i o ns y s t e m 。 3i nt h i sp a p e r , c o n s t r u c tai n t r u s i o nd e t e c t i o ns y s t e mb a s e do ni m m u n em e m o r y r b fg r o u p g i v e nt h eb a s i ci d e aa n da l g o r i t h md e s i g n , a sw e l la st h es t u d yo fd a t a p r e p r o c e s s i n gm e t h o d s t h i sp a p e rd oas i m u l a t i o nt e s to nd a t as e t so fk d d c u p 9 9 ，g e t d e t e c t i o nr a t eo f9 8 5 7 ，f a l s ep o s i t i v er a t eo f4 5 6 ，a n da c h i e v e dg o o de f f e c t ，p r o v e t h ee f f e c t i v e n e s so ft h em e t h o di nac e r t a i nd e g r e e 4r b fn e t w o r kl e a r n i n ga l g o r i t h mi sa ni m p o r t a n tf a c t o rt on e t w o r kp e r f o r m a n c e t h i sp a p e rd i s c u s s e ss e v e r a ld i f f e r e n tk i n d so fr b fn e t w o r kl e a r n i n ga l g o r i t h m ，a n d p o i n to u ti t ss t r e n g t h sa n dw e a k n e s s e s ，a n da l s od oas i m u l a t i o nt e s t f i n a l l ys e l e c t e x t e n d e dr i v a lp e n a l i z e dc o m p e t i t i v el e a r n i n ga l g o r i t h ma st h ep a p e r sr b f l e a r n i n g a l g o r i t h m k e y w o r d s ：i n t r u s i o nd e t e c t i o ns y s t e m ，r a d i a lb a s i sf u n c t i o n , n e u r a ln e t w o r k ， i m m u n em e m o r y i v 独创性声明 本人声明所呈交的学位论文是本人在导师指导下进行的研究工 作及取得的研究成果。据我所知，除了文中特别加以标注和致谢的地 方外，论文中不包含其他人已经发表或撰写过的研究成果，也不包含 为获得电子科技大学或其它教育机构的学位或证书而使用过的材料。 与我一同工作的同志对本研究所做的任何贡献均已在论文中作了明 确的说明并表示谢意。 签名：勰区lf 瞧日期：劫口7 年争月胆日 关于论文使用授权的说明 本学位论文作者完全了解电子科技大学有关保留、使用学位论文 的规定，有权保留并向国家有关部门或机构送交论文的复印件和磁 盘，允许论文被查阅和借阅。本人授权电子科技大学可以将学位论文 的全部或部分内容编入有关数据库进行检索，可以采用影印、缩印或 扫描等复制手段保存、汇编学位论文。 ( 保密的学位论文在解密后应遵守此规定) 签名：黎i 虱峻导师签名：造丞盔 日期即c 年厂月f 加 第一章绪论 1 1 研究背景 第一章绪论 随着科技的发展，计算机网络在人们生活中占有重要位置，网络游戏、电子 商务、电子政务、虚拟社区等基于i n t e r n e t 网络的在线服务呈快速增长的趋势，并 且还有许多未知的需要探索的领域将不断出现，计算机网络成为现代社会发展的 基础平台。 随着计算机网络的庞大化和复杂化，网络威胁也呈现日益严重化的发展趋势。 计算机网络用户经常受到不同程度的干扰和破坏，从而对安全产品的需求更加迫 切，这种需求将带动网络安全产品市场的快速增长。计世资讯( c c wr e s e a r c h ) 调查研究数据显示，中国的网络安全产品市场正处于快速增长的成长阶段，2 0 0 5 年中国安全产品的市场规模达到3 6 5 亿元，比2 0 0 4 年增长2 7 3 。预计2 0 0 6 - - 2 0 0 9 年的复合增长率为2 2 1 ，2 0 0 9 年中国安全产品市场规模将比2 0 0 5 年翻一倍以上， 达到8 l 亿元i i j 。 网络作为一种国家战略资源，科技信息的应用也从原来的军事、科技、文化 和商业渗透到社会的各个领域，在生产、生活中的作用同益显著。传播、共享和 自增殖是信息的固有属性，与此同时，又要求信息的传播是可以控的，信息的共 享是必须授权的，信息的增殖是必须确认的。因此在任何情况下，信息的安全和 可靠是必须保证的。i n t e r n e t 是一种开放面向所有用户的技术，其资源通过网络共 享。资源共享和安全是一对矛盾的统一体。从i n t e m e t 问世以来，资源共享和信息 安全一直作为一对矛盾体而存在，与计算机网络资源共享随之而来的信息安全问 题，各种计算机病毒和网上黑客( h a c k e r s ) 对i n t e r n e t 的攻击越来越激烈，许多网 站遭受破坏的事例数不胜数【2 1 。 我国信息化事业能否正常顺利发展，一个非常重要的因素便是网络信息的安 全问题，已成为制约网络发展的首要因素。所以，重视网络安全问题的研究和技 术开发具有重要意义。 电子科技大学硕+ 学位论文 1 2 入侵检测的研究概述 入侵检测研究是计算机安全研究的一个重要领域，目的是检测出未经授权的 使用、滥用计算机资源的行为，保护资源的完整性、机密性和可用性，它应该是 一个自动化的过程，是一个检测系统与入侵攻击者之间对抗的分析过程。入侵检 测系统作是构成网络安全测防体系的重要方面之一。 1 2 1 入侵检测系统概念 入侵检测系统( i n t r u s i o nd e t e c t i o ns y s t e m ，下称i d s ) 是一种对网络传输 进行的即时监视系统，是一种在发现可疑的传输时发出警报或者采取主动反 应措施的网络安全设备【3 1 。它与其它网络安全系统的不同之处在于i d s 是一 种积极主动的安全防护技术。 1 2 2 入侵检测系统分类 ( 一) 根据i d s 的体系结构划分，可分为三类： ( 1 ) 集中式：这种结构的i d s 在多个不同主机上分柿有检查程序，但需 要一个中央检测服务器。检查程序把自己主机上收集到的数据发送给服务器 进行综合分析检查【4 1 。 ( 2 ) 等级式：等级式i d s 为了监控大型网络，划分了若干个分等级的监 控区，每个i d s 负责一个监控区，每一级的i d s 只负责所在监控区的检测分 析，然后将当地的分析结果传送给上一级i d s 。 ( 3 ) 分布式：中央检测服务器将一些任务分配给多个基于主机的i d s ， 这些i d s 是相互独立的，只负责监控当地网络活动。所以，这种结构的可伸 缩性得到了很大的提高，但维护成本也相应的提高了。 ( 二) 根据检测数据源，i d s 可分为两类： ( 1 ) 基于主机：基于主机检测数据来自主机系统，大多数情况下是系统同志 和审计记录。这种i d s 只监视单台主机，所以需要在主机上安装专门的软件，软 件通过对系统同志和审计记录的分析来发现攻击或误操作。 ( 2 ) 基于网络：基于网络的i d s 通过监听计算机网络中的通信数据包来获得 必要的数据，并通过各种技术手段检测入侵。 ( 三) 根据检测方法，可分为三类： 2 第一章绪论 ( 1 ) 异常( a n o m a l y ) l i d s ：异常检测是利用统计的方法来检测系统的异常行为。 异常检测前提假设是：系统的入侵和误操作都会导致系统的异常。首先建立系统 的统计模型，定义正常情况，然后决定在什么程度上将一个行为判定为异常，再 通过检测系统的一些变化来完成对异常检测。异常检测只能对那些与正常过程有 较大偏差的行为进行判定，对各种网络环境的适应性不强和缺乏精确的判定标准， 异常检测会出现误报。 ( 2 ) 误用( m i s u s c ) i d s ：误用检测是指运用已知的攻击方法，根据已知的入 侵模式，通过模式匹配来检测入侵。因为这种方法依据特征库进行判断，所以对 已知攻击非常有效；又因为检测结果有明确的信息，也为系统管理员采取措施提 供了依据。但这种方法无法检测已知攻击的变种或未知攻击无效； ( 3 ) 混合型( h y b r i d ) i d s ：混合型入侵检测系统采用基于误用的i d s 和基于 异常的i d s 技术，称为混合型i d s 。因为异常检测难以克服其固有局限性，因而 许多商用i d s 大都采用基于误用的入侵检测方法。 ( 四) 根据i d s 采用的响应方式，可将其分为两类【5 】： ( 1 ) 被动响应i d s - 检测系统检测到入侵后，记录所检测到的活动信息，并 报告给系统管理员，系统管理员接下来采取应对措施。早期的i d s 一般采取这种 方法。 ( 2 ) 主动响应i d s ：检测系统检测到入侵后，采取一系列的响应手段或措施 阻塞攻击的进程或改变攻击的网络环境配置，以减小危害或阻止入侵。主动响应 采取的主要措施有：追踪入侵源、切断攻击发起网络连接、反向攻击入侵主机等， 更为先进的主动响应手段有自动修补系统安全漏洞、动态调整系统的检测规则等 方法。 1 2 3 主要的入侵检测技术 ( 1 ) 统计的方法【6 1 统计分析技术根据历史数据建立统计模式，这些模式被定期更新，以反映系 统动态的变化。该方法的前提是提取模式能正确地反映系统的证常活动。提取的 模式模式反映了系统的长期的统计特征，如果选择正确合适的训练数据，这些特 征则是稳定的。这种稳定性使系统维护起来相对容易，即不需要频繁地模式的更 新。 3 电子科技大学硕十学位论文 ( 2 ) 专家系统基于规n t 7 】 专家系统是现今主要的入侵检测手段。专家系统既能用于异常检测又能用于 误用检测。基于专家系统的主要优点是：时序性很强、灵敏度高、很好地处理变 化行为。其主要缺点是：规则必须人工创建。 ( 3 ) 模式匹配哺j 模式匹配主要是将己知的网络入侵和系统误用模式数据库与收集到的信息进 行模式匹配，从而发现入侵行为。该过程可以通过模式匹配等简单形式，也可以 利用数学表达式来表示安全状态的变化等复杂手段。该方法的优点是只需收集相 关的数据集合，非常明显减少系统负担，并且技术已经非常成熟。该方法存在的 弱点是需要不断地升级数据库，以及不能检测到从未出现过的攻击手段。目前， 模式匹配技术仍然是大多成熟商用i d s 使用的主要检测技术。 ( 4 ) 神经网络【9 j 神经网络方法是利用它的高度泛化，高度并行，自统计和优秀的拟合能力对 训练数据进行分析的一种方法。神经网络的知识是储存在隐藏单元和它们权值间 连接组成网络结构上的，学习过程实质上是通过改变权值和加入或移去连接进行 的。神经网络技术的检测过程分为两个阶段：首先，通过正常或异常系统行为数 据对该网络进行训练，调整结构和权值；然后将数据输入网络，通过计算判别这 些数据正常还是异常。系统也可以利用这些收集到的数据进行训练，从而使网络 可以学习数据行为的一些变化，达到自动更新的目的，这种自动更新与人工免疫 的自动更新有些类似。目前主要的基于人工神经网络的入侵检测系统使用最多的 是多层反向传播前馈网络b p 和r b f 神经网络。该方法的优点是：能够以非线 性方式处理不完备的、失真的或有噪声的数据；具有识别未见过模式的能力。 该方法不足有：其结构、隐节点数、连接权值等要通过训练确定；其识别 能力过多依赖于大量准确的训练数据和训练方法；结果难于理解，而且不合适 的训练数据还将导致建立无法解释的、不稳定的结构。 ( 5 ) 遗传算法【l o 】 遗传算法( g e n e t i ca l g o r i t h m ，g a ) 是进化算法的一种，根据自达尔文自然选 择原理研究出来的算法。遗传算法有能力处理多维优化问题。在入侵检测中，对 事件数据的假设矢量被定义和测试以决定其是否有效，然后根据测试的结果设计 和测试一个改进的假设。这个过程一直重复直到找到一个解决方案。遗传算法涉 及两步：一是对问题串位编码，二是用适应函数评价群体中的每个个体。该方法 的不足有：不能检测新的攻击；不能检测到协同攻击；计算复杂度高； 4 第一章绪论 容易导致局部收敛。 ( 6 ) 状态转换分析【l l 】 状态转换分析经常用在误用检测系统中。状态转换图用来表示一个事件发生 序列。每个入侵标签被标定为一个模式，该模式表达了行为和它们的内容之间的 关系。关系模式准确的表达了入侵。入侵模式有一个前提条件及关联于它们的其 下的行为。该方法优点是：可以独立于审计的入侵情节的表示；会检测到相 同入侵的不同变体；在时间和空间上可扩展。该方法的不足之处在于需要人工 编码，使得它不能检测到未知的攻击。 ( 7 ) 数据挖掘方法【1 2 l 数据挖掘是在海量的数据中挖掘有用知识的过程，瞅el e e 首先提出，并将 其用于入侵检测。近年来数据挖掘技术一些算法己被用于入侵检测，如：分类算 法、关联分析算法、序列分析算法等。 1 2 4 入侵检测( i d s ) 存在的问题及发展趋势 ( - - ) i d s 存在的问题【1 3 】 1 误漏报率高 大多数的i d s 采用的检测方法有特征检测、异常检测、状态检测、协议分析 等。这些检测方式都存在这样那样的缺陷。如异常检测采用统计方法来进行检测， 而统计方法中的阈值难以确定，太小会产生大量的误报，太大又会产生大量的漏 报。在基于协议分析的检测方式中，一般的i d s 只简单地处理了常用协议，其余 大量的协议报文可能造成i d s 漏报，如果考虑支过多多的协议类型，网络的维护 成本将无法承受。 2 没有主动防御能力 一般的i d s 技术采用了一种预设置式、特征分析式工作原理，所以检测规则 的更新总是落后于攻击手段的更新。 3 缺乏准确定位和处理机制 i d s 不能识别数据来源。i d s 系统在发现攻击事件的时候，只能关闭网络少数 端口，这样会影响其他正常用户的使用。因而缺乏更有效的响应机制。 4 性能普遍不足 目前市场上的i d s 产品大多采用特征检测技术，这种i d s 产品已不适应交换 技术和高带宽环境的发展，在大流量的冲击、多口分片情况下会造成i d s 瘫痪或 5 电子科技大学硕十学位论文 丢包，形成所谓的d o s 攻击。 ( 二) 入侵检测技术的发展趋势 ( 1 ) 改进分析技术 入侵检测误报和漏报的解决最终依靠分析技术的发展。目前入侵检测分析方 法主要有：统计分析、模式匹配、数据重组、协议分析、行为分析等。统计分析 是用统计网络中相关事件发生的次数，以达到判别攻击的目的。模式匹配利用对 攻击特征字符进行匹配对攻击的进行检测。数据重组是对网络连接的数据流进行 重组再加以分析，而不仅仅分析单个数据包。协议分析技术是在对网络数据流进 行重组的基础上理解应用协议，再利用模式匹配和统计分析的技术来判断攻击。 ( 2 ) 引入内容恢复和网络审计功能 入侵检测的最好方法是行为分析，但行为分析还不是很成熟，因此，需要引 入内容恢复和网络审计功能。内容恢复在协议分析的基础上，对网络中发生的行 为加以完整的重组和记录，网络中发生的所有行为都逃不过它的监视。网络审计 对网络中所有的连接事件进行记录。入侵检测的接入方式决定入侵检测系统中的 网络审计不仅类似防火墙可以记录网络进出信息，还可以记录网络内部连接情况， 该功能对无法恢复的加密连接尤其有用。内容恢复和网络审计使管理员看到网络 的真正运行状况，实质上就是调动管理员参与行为分析过程。 ( 3 ) 集成网络分析 和管理功能 入侵检测不仅是一个检测，同时，侵检测可以接收到网络中的任何数据，对 网络的管理也可起到非常重大作用。当发现某台主机有问题时，也希望能立刻对 其进行响应。入侵检测最好能和主动分析结合。所以，入侵检测产品集成网管功 能，扫描器，嗅探器等功能是以后发展的方向。 ( 4 ) 提高安全性和易用性 入侵检测自身安全非常重要。因此，目前主要的入侵检测产品采用硬件结构， 黑洞式接入，加强自身安全。同时，对易用性的要求也同益增加，例如：中文的 图形界面，全自动的维护数据库，多样性的报表输出。这些都是优秀入侵检测产 品的特性和以后继续发展的趋势。 ( 5 ) 改进大网络数据量处理技术 入侵检测的性能随着对大数据量处理的要求，出现了千兆入侵检测等产品。 但如果入侵检测检测产品不仅具备攻击分析和内容恢复和网络审计功能，很难完 全在千兆环境下工作。在此情况下，分流网络数据也是一个很好的解决方案，性 价比也较好。这也是国际上通用的一种作法。 6 第一章绪论 ( 6 ) 防火墙联动功能的引入 入侵检测发现攻击后自动发送给放火墙，防火墙拦截入侵，称为防火墙的联 动功能。当前该功能还没有到完全实用的阶段，主要是一种概念。随便使用会导 致很多问题。目前主要应用于自动传播的攻击。如果无限制的使用联动，如未充 分测试，对防火墙的稳定和网络应用会造成负面影响。但随着检测产品检测准确 度的提高，联动功能同益趋向完善化。 现代大型网络结构中单纯地利用传统的基于模糊推理或规则匹配的专家系统 对其进行入侵检测已不能满足系统的实时性和准确度要求。基于人工神经网络检 测技术在所有这些新技术方法中的发展非常突出。基于生物界免疫系统原理提出 的新兴智能计算技术免疫算法( i m m u n ea l g o r i t h m ) 近几年逐渐成为新的理论研 究热点。神经网络具有优良的非线性逼近特性，大量的并行分布结构以及学习和 归纳能力，但是神经网络学习速度较慢，容易陷入局部极小的缺点，而免疫算法 具有全局收敛特性，并且人工免疫系统具有进化学习能力，抗燥声干扰能力，自 学习能力，记忆能力和自组织特性，将免疫和神经网络的结合，开发新的入侵检 测算法，成为一个有价值的研究方向。 1 3 基于人工免疫的入侵检测 人工免疫系统受生物免疫系统的启发，利用生物免疫系统各种原理和机制而 发展的各类模型和算法，及其在工程和科学中应用而产生的各种智能系统的统称。 它是模仿生物免疫系统功能的智能方法，通过学习外界物质的自然防御机理的学 习技术，提供噪声忍耐、自学习、自组织、联想记忆等学习机理，同时结合了分 类器、神经网络和机器推理等系统的优点，因此提供了新的解决问题方法的潜力。 1 9 9 4 年，f o r r e s t 等人在分析生物免疫中t 细胞产作用机制的基础上提出了阴性选 择算法，将免疫原理引入计算机安全领域，将信息安全问题看成是如何区分自我 与非我的问题训。 1 9 9 9 年，与h o f m e y r 等【l 副建立了轻量级的入侵检测系统，是人工免疫系统 a i s ( a r t i f i c i a li m m u n es y s t e m ) 在网络安全中的典型实现，这是第一个较为完整 基于免疫机理的网络入侵检测原型系统。该模型存在人工干预不是完全自治的， 缺乏对异常行为的检测能力只能检测t c p 数据包，有待于改进。英国伦敦大学的 k i m 、b e n t l e y 等人在f o r r e s t 理论的研究的基础上，把基因库进化、静态克隆选择 算法、动态克隆选择算法用于入侵检测系统研究，取得了一定得实验效果。但该 7 电子科技火学硕士学位论文 系统模型从原理和结构上还存在一定问题，有待于进一步实验验i i e t l 6 , 1 7 】。 2 0 0 2 年m a t z i n g e r 提出了危险理论的观点，打破了长期以来对免疫耐受的认 识，认为免疫是对各种危险的响应，a i c k e l i n 讨论了危险理论在入侵检测方面的应 用。d a s g u p t a 在2 0 0 3 年提出了多层次免疫学习算法，它可以生成不同类型的检测 器，同时用于不同的问题域空间，从而将多种检测技术融合起来，解决了阴性选 择算法产生的检测器类型比较单一的问题，s a n k a l pb a l a c h a n d r a n 等人对多形态检 测器的生成和匹配效率问题进行了研究。f a b i og o n z a l e z 、j iz h o u 等人在2 0 0 4 年 前后提出了实数向量型阴性选择算法，目的是改善检测器的覆盖空间。目前研究 人员对基于免疫原理的入侵检测系统的研究更多的是集中在对已有模型的改善、 实验验证以及对算法的改进上【1 8 , 1 9 1 。 1 4 本文的研究内容及组织结构 人工免疫的入侵检测系统的研究是信息安全研究领域的研究热点和方向，本 文旨在将人工免疫的联想记忆机制引入到入侵检测当中，探究对入侵检测有借鉴 意义的算法和机制，从而为入侵检测技术的发展提供新侧思路。主要研究内容如 下： l 研究基于免疫网络的核聚类算法 针对核聚类算法与免疫网络聚类算法的不足，将免疫网络机制与核理论相结 合，提出了基于人工免疫网络的在线核聚类算法。通过用核理论导出的核距离函 数代替普遍采用的欧拉距离函数，设置反映抗体识别抗原数量的权重和人工免疫 网络机制解决样本类边界模糊和类问数据密度分布不均匀问题。最后通过人工数 据集和i r i s 数据集上的仿真实验，验证了算法的有效性。 2 分析比较不同r b f 神经网络的学习算法性能 本文对每个类型的入侵数据采用r b f 神经网络进行学习，所以学习算法的好 坏直接影响到检测结果的好坏，针对不同的r b f 学习算法，本文进行了对比性分 析研究，以找到性能最好的学习算法，并应用到入侵检测系统当中。 3 研究基于免疫记忆的r b f 的入侵检测系统原型的实现 在上面算法的基础上，本文采用本文提出的核聚类算法，免疫记忆机制和r b f 神经网络结合，引入了r b f 群的检测方法；方法主要内容是：首先用聚类算法将 神经网络要学习的的样本进行聚类，然后对每一个类用一个r b f 网进行学习，这 样得到的是r b f 网络群，最用用训练得到的r b f 网络群进行入侵检测，由于采用 8 第一章绪论 群体的机制，随着新种类的网络数据的增加，r b f 的个数也可以随之增加，这样 解决了单一神经网络储存容量有限的限制。最后研究了基于免疫记忆的r b f 的入 侵检测系统原型的实现方法，包括系统框架模型设计，实验数据集的选取和处理， 仿真实现等。 本文安排如下： 第一章为绪论部分，包括论文的研究背景和意义，入侵检测的分类，技术， 研究现状和存在的问题等。 第二章为理论基础部分，主要包括介绍人工免疫系统的生物学基础、研究现 状，以及人工免疫系统的模型算法等。 第三章将免疫机制与核聚类算法相结合，提出了基于免疫网络的核聚类算法， 并进行了仿真实验，验证了算法的有效性。 第四章针对文章中用到的r b f 神经网络，对其学习算法进行了研究，并进行 了仿真实验，以找到更好的学习算法，提高r b f 网络在检测系统中的性能。 第五章采用上述研究的算法，引入了免疫记忆机制得到群体r b f 检测机制， 解决了神经网络储存容量有限的限制，基于这一思想设计了入侵检测系统的模型， 并在k d d 数据集上进行了仿真实验。 最后一章是结束语。对本文的主要工作及贡献进行了总结，为下一步的工作 进行了展望。 9 电子科技人学硕士学位论文 第二章生物免疫系统与人工免疫系统 生物系统中有四种类型的信息处理系统：脑神经系统、遗传系统、免疫系统 和内分泌系统。基于免疫系统原理建立的人工免疫系统具有与神经网络类似的特 性，基于免疫的免疫算法具有与遗传算法类似的机制，但是它全局收敛的，能实 现控制群体多样性。生物免疫系统任务在于区分外部有害抗原和自身组织，清除 病原并保持有机体的稳定。从计算的角度看，生物免疫系统是一个高度并行、分 布、自适应、自组织的系统，具有很强的学习、识别、记忆和特征提取能力，具 有强大的信息处理能力。美国的f o r r e s t 认为，免疫系统具有的信息处理能力有： 系统层次识别；存储信息；学习；产生多样性；能够区分自我和非我。免疫系统 是复杂程度不亚于大脑的系统。在医学上，免疫学是一门独立的学科，目前免疫 学已经发展出基础免疫学、临床免疫学、分子和细胞免疫学等学科，但关于免疫 系统工作的机理以及许多免疫现象还有没有弄清楚的地方，很多的研究停留在理 论研究阶段，现有的免疫学的相关成果还存在较大的争论。目前获得公认的一些 研究成果也只能解释部分免疫现象。本章概括介绍目前人工免疫系统最常的生物 免疫机制以及与入侵检测有关的人工免疫机制和算法。 2 1 生物免疫系统 2 1 1 生物免疫系统简介 免疫学是是研究机体免疫系统的组织结构和生理功能的科学。免疫系统的主 要生理功能就是对“自己 和“非己 的识别及应答。免疫系统在免疫功能正常 的条件下，对“非己 抗原产生排异效应，发挥免疫保护作用，如抗感染免疫和 抗肿瘤免疫。但是在免疫功能失调的情况下，免疫应答可造成机体组织损伤，产 生过敏性疾病。因此免疫系统以它能识别和区分“自己一和“非己 抗原分子的 能力，起着排导和维持自身耐受的作用。 2 1 2 生物免疫系统组成 免疫系统由免疫器官、免疫细胞、免疫分子和淋巴循环网络组成。免疫器官 1 0 第二章生物免疫系统与人 i 免疫系统 包括中枢免疫和外周免疫器官。中枢免疫器官包括骨髓和胸腺，是免疫细胞发育 成熟的场所。外周免疫器官是成熟淋巴细胞居住和产生免疫应答的场所，包括淋 巴结、脾脏等系统。免疫细胞指包括t 细胞、b 细胞、吞噬细胞，自然杀伤细胞等 与免疫响应有关的执行免疫功能的各种细胞，免疫细胞由造血千细胞的发育分化 而来。免疫分子包括抗体、补体、细胞因子、主要组织相容性复合体等免疫细胞 合成和分泌的执行免疫功能的各种分子的统称。淋巴循环为免疫细胞和分子进行 免疫响应提供了环境，它与血液循环系统联系紧密。首先介绍一下免疫系统几个 重要概念。 ( 1 ) 抗原( a n t i g e n ) ：抗原包括多肤、寡糖、脂质酸等小分子是一组能被淋巴 细胞识别的有机物质。抗原由载体和抗原决定簇。抗原决定簇决定了抗原的特异 性。抗原决定簇是能被免疫细胞识别的，它能激活淋巴细胞引起免疫响应；它也 能与抗体等分子发生特异性结合，导致抗原被清除。 ( 2 ) 抗体( a n t i b d o y ) ：抗体是一种能特异识别、结合和清除抗原的免疫球蛋 白分子。b 细胞识别抗原后，活化和克隆扩增，一部分分化成为浆细胞，浆细胞大 量地分泌具有相同特异性的抗体。抗体也具有抗原性，可将抗体作为免疫原，引 发免疫响应，抗体的抗原性是j e r n e 提出免疫网络理论的理论基础。 ( 3 ) b 淋巴细胞( bl y m p h o c y t ec e l l ) ：b 淋巴细胞是体液免疫的主要免疫细 胞。b 细胞表面有各种各样识别和结合抗原的主要受体。 ( 4 ) t 淋巴细胞( tl y m p h o c y t ec e l l ) ：t 淋巴细胞是机体细胞免疫的主要免疫 细胞。从功能上看，t 细胞可以分为几类：细胞毒性t 细胞，能够杀伤受感染的宿 主细胞和肿瘤细胞、辅助性t 细胞，功能是正反馈调节各种免疫细胞功能和抑制 性t 细胞，功能负反馈调节免疫细胞的功能。 ( 5 ) 其它免疫细胞：其它参与免疫响应的主要免疫细胞有n k 细胞和抗原提 呈细胞等。n k 细胞是一种有激励和抑制两种受体效应细胞，被激活后，n k 细胞 可以杀伤被病原体感染的细胞。抗原提呈细胞的作用是能够摄取抗原。 ( 6 ) 组织相容性复合体( m h c ) ：m h c 是一种多肤受体，能引发机体排斥反 应的抗原，主要功能是收集细胞内需要被处理的多肤运送到细胞表面，从而引起 免疫反应。 淋巴循环它使淋巴细胞在淋巴组织和器官中的分布更为合理，免疫组织不断 地从循环系统中补充新的淋巴细胞，有利于增强机体的免疫功能，有利于淋巴细 胞和抗原细胞接触，有利于免疫记忆细胞参与再循环，产生二次免疫响应。 电子科技人学硕士学位论文 2 1 3 生物免疫机制 ( 一) 免疫应答 免疫系统分为固有免疫性免疫应答和适应性免疫应答。固有免疫性免疫应答 是遇病原体后首先并迅速起防卫作用，适应性免疫应答是通过免疫细胞作用清除 抗原。执行固有免疫功能的有皮肤和勃膜的物理阻挡作用和局部细胞分泌的杀菌 物质的化学作用。 适应性免疫应答的执行者是t 及b 免疫细胞。这些细胞在免疫过程中帮助识 别和破坏一些特定物质。这些特定物质被称为抗原，t 细胞及b 细胞就是由于被 这些抗原刺激后才能成长为效应细胞，才具有免疫功能。 适应性免疫应答又分为两种类型：初次免疫应答及二次免疫应答。 初次免疫应答发生在免疫系统遭遇某种病原体首次入侵时。此时免疫系统通 过克隆变异等机制产生大量抗体，几天之内