免疫故障诊断.ppt

龚涛 智能系统控制 基于人体免疫系统的自体和异体识别机理的异常数据检测系统，可有效地检测正常数据和异常数据。具体做法是：运用阴性选择算法，随机产生检测器串，将那些能识别自体的串消除，不能识别自体的串保留。再用保留下来的检测器串来保护文件，检测出异体。此时，自体是指需被保护的文件；异体是指任何对自体的改变。 免疫思想在计算机安全防护中的应用 龚涛 智能系统控制 算法可分为两个阶段： （1）生成一套检测器，每个检测器是一个字符串，它与被保护文件不相匹配，其过程如图11所示。 （2）用被保护的文件与检测器相比较，监控被保护的数据。如果一个检测器被激活，则可知被保护的文件发生了变化，该检测过程如图12所示。 免疫思想在计算机安全防护中的应用 龚涛 智能系统控制 图11 有效检测器的产生过程 图12 需保护字符串的监控过程 免疫思想在计算机安全防护中的应用 龚涛 智能系统控制 Forrest等将区分自体与异体的思想进一步延伸，建立了UNIX特权进程自身的定义。他们通过大量试验说明运行进程的系统调用的短序列有稳定的正常行为特征。当异常事件发生时，该特征会发生变化。 免疫思想在基于主机的入侵检测中的应用 龚涛 智能系统控制 在他们所提出的时延嵌入序列（TIDE）的方法中，通过列举出现在训练数据中所有唯一的，预先给定长度为K的连续序列来构造程序正常行为轮廓数据库。当选择序列长度为K时，他们将长度为K的窗口通过每个正常轨迹，一次滑动一个系统调用，向正常轮廓库中添加唯一的序列。建立这样的数据库轮廓只需要一次遍历数据。为了节省存储空间和加速比较，将序列树状存储 免疫思想在基于主机的入侵检测中的应用 龚涛 智能系统控制 检测时，来自检测轨迹的序列与正常数据库轮廓中的序列相比较，在数据库中找不到同样的序列叫做不匹配。任何一次不匹配都说明该序列是没有包括在正常训练数据库轮廓中的序列，它可能是异常行为。通过计数不匹配的次数，并求出不匹配次数占数据库中总序列的百分比，再将这个百分比与预先给定的阈值相比较，就可以判断程序每次执行是正常还是异常。该项技术对UNIX的程序SENDMAIL、LPR、FTPD等都很有效。 免疫思想在基于主机的入侵检测中的应用 龚涛 智能系统控制 该方法采用短序列的完全匹配方法，具有自然免疫系统的多样性特点。每一个站点都有基于本地软件的独特的正常轮廓，因此利用同一弱点的一个入侵很难在多个站点同时得逞。 免疫思想在基于主机的入侵检测中的应用 龚涛 智能系统控制 在分析研究人类免疫系统工作原理的基础上，借鉴其基因选择、阴性选择、抗体检测及克隆选择等机制，有人在网络入侵检测系统中引入一种基于免疫系统的新模型。在该模型中，自体定义为计算机间正常的TCP/IP连接集合，可用表征TCP/IP连接特性的多元组，如（源IP地址，目的IP地址，服务端口，协议类型）来表示。根据实际需要，还可以对该多元组进行扩充。与之相反，异体是计算机间反常的TCP/IP连接集合。在具体表现形式上，一个连接可以通过某种规则映射为一个唯一的表征该连接的长度为的二进制字符串。模型中引入了检测元（detector）的概念用于区分自体和异体，检测元也用一个长度为的二进制字符串d来表示。 免疫思想在基于网络入侵检测中的应用 龚涛 智能系统控制 免疫模型的总体物理结构如图13所示。假定该入侵检测系统用于检测一个局域网，该局域网由一个或多个子网组成，模型由一个主系统和分布在子网中的多个检测代理组成，其中主系统可位于任一子网中，在一个子网中可以有一个或多个检测代理。检测代理检测子网的TCP/IP连接，负责子网的入侵检测工作。主系统和检测代理之间可采用代理通信机制进行通信。 免疫思想在基于网络入侵检测中的应用 龚涛 智能系统控制 免疫思想在基于网络入侵检测中的应用 图13 模型的物理结构 龚涛 智能系统控制 模型的工作原理如图14所示。主系统首先通过一个随机过程产生候选的未成熟检测元，然后通过阴性选择过程产生有效的成熟检测元。这些成熟检测元分组传送到每个检测代理中，从事实际的入侵检测工作。在检测代理中，从主系统传来的成熟检测元进入实际的检测阶段。在测试阶段，检测元利用适当的字符串匹配算法执行检测任务。 免疫思想在基于网络入侵检测中的应用 龚涛 智能系统控制 如果一个成熟的检测元在时间内能够匹配到足够数量的分组，就会被启动；反之，如果在时间内检测元没有被启动，该检测元被认为是无效检测元而被删除。当一个检测元被启动后，检测代理通过邮件或消息等其它方式向主系统发出警告，由管理员决定是否为异常行为。如果在给定的时间内，管理员将该次告警判断为异常行为，那么该检测元将进入下面所述的克隆