基于免疫原理网络入侵检测.doc

基于免疫原理网络入侵检测摘要：在对人体免疫原理进行分析的基础上，从中抽取与入侵检测相关的隐喻机制进行深入研究。继而构建基于免疫机制的入侵检测系统，并详细阐释了该系统自体和非自体的定义、免疫匹配规则的设置以及检测器的生成和生命周期，最后通过仿真实验对模型进行了验证。免疫入侵检测系统的建立以及仿真实验的开展是深入研究的基石。 关键词：入侵检测；免疫原理；r连续位匹配；检测集生成 中图分类号：TP18文献标识码：A文章编号：1009-3044(2012)26-6348-03 Network Intrusion Detection Based on Immune Theory WU Xiang1, HAN Liang2 (1.Naval Headquarters, Beijing 100841, China; 2.The East China Sea Fleet of Navy, Ningbo 315122, China) Abstract: After analysis of the immune algorithm characteristics, the metaphor mechanism which is associated with the intrusion detection is extracted and studied in-depth. And then on the basis of artificial immune system, intrusion Detection system based on immune mechanism is built and the definition of system self and system non-self, immune matching rules set, and also the generation and life cycle of the immune detector are explained. Finally, the model is validated by the simulation experiments. The establishment of the immune intrusion detection system and the simulation work is the cornerstone of this research. Key words: intrusion detection; immune theory; r contiguous bits matching; detector set generation 人体的免疫系统功能是通过大量不同类型的细胞之间的相互作用实现的[1-2]。在这些不同类型的细胞主要作用是区分”自体”和“非自体”。“自体”是指人体自身的细胞，而“非自体”是指病原体、毒性有机物和内源的突变细胞或衰老细胞。淋巴细胞能对“非自体”成分产生应答，以消除它们对机体的危害；但对“自体”成分，则不产生应答，以保持内环境动态稳定，维持机体健康。 可以看出入侵检测系统和免疫系统具有一定程度的相似性。对于一个入侵检测系统，特别是网络入侵检测系统，免疫系统的组成、结构、特征、免疫机理、算法等都为入侵检测系统设计有着重要的借鉴意义。它们要解决的问题都可以被描述为：识别“自体”和“非自体”，并消除“非自体”。 1自体和非自体的定义 计算机安全的免疫系统保护的是计算机系统的数据文件，所以将“自体”定义为计算机中合法的数据，这些数据包括合法用户、授权活动、原始源代码、未被欺诈的数据等；将“非自体”定义为其它一切非法数据，这些数据包括自身遭受非法篡改的数据、病毒感染的数据以及外来数据等。 2免疫匹配规则 在计算机中，所有的数据都是以二进制来表示的，这就表明在进行仿真的过程中，使用免疫匹配规则的对象都应该是针对二进制字符串的，因此需要采用二进制的匹配算法。采用何种二进制字符串的匹配算法，这是一个十分关键的问题，因为只有采用了合适的匹配算法，才能有效的构造免疫检测器集[4]。目前有很多的近似匹配算法，如r连续位的匹配算法、海明距离匹配算法等。r连续位匹配规则能更好地反映抗体绑定的真实提取，即能更真实地反映检测器字符串与被检测字符串的匹配情况，所以它比海明匹配规则更常用，因此文章采用r连续位的匹配算法。 r连续位的匹配规则可以描述如下：对于任意的两个字符串x，y，如果两个字符串x，y在相应位置上至少连续r位相同，那么这两个字符串是r连续位匹配的，即Match(x,y)|r=true。例如，如果设定r=5，字符串x=“10111