基于危险模式理论的新型ＮＩＤＳ模型.docVIP

基于危险模式理论的新型ＮＩＤＳ模型 　　摘要：现有的基于免疫机制的NIDS模型有着诸多缺陷。针对这些缺陷，同时借鉴关于免疫识别的最新理论（危险模式理论），本文提出了一个新型的NIDS模型。其中，改变了自体库的角色，以减轻检测代理的负担；引入了基于异常信号的免疫识别，降低了虚警率，同时增强了系统的适应性；提出了新的亲和力算法，通过“关键基因片段控制串” 提高了识别的效率和准确率。 　　关键词：网络入侵检测；免疫；危险模式理论；亲和力计算 　　中图分类号：TP393文献标识码：A文章编号：1009-3044(2008)10-1pppp-0c 　　 　　 A New NIDS Model based on Dangerous Model Theory 　　YAN Yan 　　(Computer Teaching And Research Section,North Campus,Anyang Institute Of Technology,Anyang 455001,China) 　　Abstract:The NIDS models based on immunity have many deficiencies.For these deficiencies,a new NIDS model in which the new immune recognition theory (Dangerous Model Theory) was used has been put forward in this paper.In this model,role of the self library has been changed to release Detection Agents;Immune recognition mechanism based on abnormal signals has been introduced,the rate of mis-alarm was reduced and the adaptability was advanced; A new affinity algorithm has been put forward,efficiency and veracity has been advanced depend on key gene snippet control string. 　　Key words: Network Intrusion Detection;Immunity;Dangerous Model Theory;Affinity algorithm 　　 　　1 引言 　　 　　入侵检测系统（IDS, Intrusion Detection System）现已成为不可或缺的网络安全基础设施之一。当前投入实际应用的IDS大都基于特征库和模式匹配，能够准确检测出所有的已知入侵。但这种传统的入侵检测方法存在着两个致命的缺陷[1]：一是，随着特征库规模的不断扩大，难以满足对IDS的实时性要求；二是，智能性太低，无法应对日益复杂的网络环境。于是，具备更高适应性和智能性的IDS已成为当前网络安全界的研究热点。 　　关于如何维护系统自身安全和稳定的问题，大自然已给了我们一个几乎完美的例子――自然免疫系统（NIS）。NIS是一个自学习、自适应的“适应性系统”，能够根据环境的变化，依靠众多免疫成员的相互协作，通过各种免疫机制对自身进行调节，以维持机体的安全和稳定[2]。而IDS的研究目标也正是建立这样一种高度自治的适应性系统。于是，许多学者投入到借鉴NIS构建IDS的研究之中。大部分相关研究倾向于完全模拟NIS的运行机制，如基因的高频变异和随机重组、自体耐受、亲合力成熟等等。但这些机制的成功运作是建立在机体的高度并行处理能力基础上的，并不适合在现有的计算机系统中模拟。而且，网络系统的自体行为并不像机体那样稳定[3]，而是随着时间推移和用户习惯的变化而动态变化。 　　关于免疫识别的机制，Matzinger提出了不同于传统的Self/Nonself机制的危险模式理论 [4,5]，认为NIS是根据机体产生的各种危险信号而不是通过简单的Self/Nonself方式来实现对病原体的识别。这为IDS的研究提供了新的启示。 　　应用智能方法解决问题时，相关领域的先验知识对问题的有效解决往往起着重要的作用[3]。经过入侵检测技术多年来的发展，人们已建立了丰富的攻击特征库，而新的攻击方法大都是现有攻击的变种[1]，具有类似的特征。所以，应尽量将这些关于已知攻击特征的先验知识融入到对新型IDS的构建中。 　　本文沿袭了Kim提出的IDS模型[6]，借鉴危险理论的思想，构建了一个新型的NID