基于生物免疫机理分布式agent入侵检测系统模型.docVIP

基于生物免疫机理分布式agent入侵检测系统模型 　　摘要：在剖析生物免疫机理的基础上并受其启示，提出了一种基于生物免疫机理的分布式agent入侵检测系统的新模型。该模型系统通过多层次分布式代理的相互协作实现主机/网络的实时入侵检测，其具有多样性、分布性、自适应性、容错性、动态性和可扩展性等特性。在整个设计过程中，充分考虑了最适合生物免疫特性的算法和模型，将agent机制作为一个通信和监测的手段，尽量少地占用系统的开销，提高了系统的效率，保证了较高的安全水平。同时也给网络安全领域提出了一种新的研究思路。 　　关键词：入侵检测； 生物免疫； 免疫机理； 信息安全； 代理； 分布式 　　中图分类号：TP393.08文献标志码：A 　　文章编号：1001－3695(2008)03－0895－04 　　 　　0引言 　　 　　近年来，生物免疫系统已成为一个新兴的生物信息研究课题。网络入侵检测系统与生物免疫系统所遇到的问题具有惊人的相似性，两者均要在不断变化的环境中维持系统的稳定性。生物免疫系统天生具有很强的自我保护能力，特别是它能够识别并消灭外来病原体的能力。免疫系统在信息处理中表现出了分布式保护、多样性、自组织性、健壮性、可扩展性、记忆能力、容错能力、动态稳定性以及异常检测等良好特性。这些正是当前入侵检测研究领域中所期望得到的，有利于克服当前入侵检测系统的缺陷，极具挑战性、发展性和广阔的应用前景。因此借鉴生物免疫系统的免疫原理进行入侵检测技术研究具有得天独厚的优势[1~3]。 　　本文在剖析生物免疫机理的基础上受其启示，结合计算机网络入侵检测系统自身的特点，提出了基于生物免疫机理的分布式agent入侵检测系统模型。该模型具有较强的容错能力、自适应性、动态性和可扩展性。 　　 　　1生物免疫机理 　　 　　生物体的免疫系统能够识别并消除绝大多数的病原体。生物体的免疫系统具有分层结构，能够在多个层次上起到防护作用。最外层的是皮肤，它可以将某些类型的抗原拒之门外；第二层是生理环境，一般生物体内的pH值和温度等方面提供了不适于外界有机体生存的环境，这将使某些抗原难以存活；第三层是先天性免疫系统，又称为非特异性免疫，是机体在长期种系发育和进化过程中逐渐形成的一种天然防御功能，这种经遗传获得的防御功能有防御多种病菌的能力，但对病菌无特殊针对性；最后一层是适应性免疫系统，又称为特异性免疫，它通过学习可以适应并识别特定种类的抗原，并且保留对此类抗原的记忆以便将来快速反应[4]。 　　先天性免疫系统主要包括具有吞噬病原体功能的噬菌细胞，并负责清除体内残骸和病原体。适应性免疫系统主要包括若干类型的白血细胞，称为淋巴细胞(lymphocyte)。淋巴细胞分为两类，即B细胞和T细胞。成熟B细胞来源于骨髓(bone marrow)，成熟T细胞来源于胸腺(thymus)。淋巴细胞可以看做是移动的独立检测器，随着血液和淋巴系统在生物体内循环。生物体有上百万个淋巴细胞，组成了一个分布式检测系统，随时动员并聚集于病原体入侵处，进行免疫应答。 　　适应性免疫系统还能够学习和识别特殊种类的病原体，并保持记忆，从而加速未来的免疫应答。免疫系统在遭遇新类型病原体时发生初次应答(primary response)，初次应答是缓慢的。当初次免疫应答清除感染后，免疫系统对引起感染的病原体保留了记忆。如果生物体下次再遭遇同样病原体的感染，由于免疫系统已经记住了病原体的特殊性状，于是就能够进行更加快速有效的二次应答。适应性免疫系统也称做获得性免疫系统(acquired immune system)，因为它是生物体在一生中动态获得的免疫功能。 　　免疫系统是自组织的、高度分布式的系统，它没有中心控制节点或者层次式结构，众多检测器通过简单的、本地化的规则相互联系，共同检测和清除入侵抗原。免疫系统的特征特别适合于处理大规模数据的模式分类，并为网络入侵检测与防御机制提供了有力的借鉴[5]。 　　 　　2生物免疫机理对网络入侵检测的启示 　　 　　一个优秀的网络入侵检测系统（network intrusion detection system，NIDS）应该是鲁棒的、可配置的、可扩展和高效的，而生物免疫系统所具有的分布式、自组织和轻量级特性正好满足了网络入侵检测系统的要求，因此生物免疫系统在网络入侵检测中的应用具有得天独厚的优势。 　　生物免疫系统与网络入侵检测系统具有本质的相似性：生物免疫系统负责识别生物体的self（自体）与nonself（非自体）细胞，并清除异常细胞；网络入侵检测系统则辨别正常与异常行为模式，并采取适当的措施阻止对系统的入侵行为。 　　生物免疫学与计算机科学的交叉渗透也非常有益。通过研究和借鉴生物免疫系统的运行机制有助于设计更