论文部分内容阅读
[摘要] 通过把人工免疫机理引入到网络入侵检测技术中,出现了一个新兴的研究方向:基于人工免疫的网络入侵检测。在概述生物免疫原理的基础上,详细讨论了目前基于人工免疫的入侵检测中的关键技术。
[关键词] 入侵检测免疫原理
一、引言
自然界中,生物的免疫系统成功地保护了生物自身免受外来病原体的侵害,入侵检测是计算机安全研究中的一个新领域,目前已有许多网络的入侵检测系统被开发出来,免疫原理在入侵检测领域的应用是一个刚刚兴起的研究,它的目的是使检测系统具有分布性、多样性、自适应性、自动应答和自我修复的特点,具有检测异常现象、利用不完备信息进行检测的能力。
二、人类免疫系统的原理
人类肌体总是处于大量微小有机体例如细菌、寄生虫、病毒、真菌或由这些组成的病菌的不断的入侵中,这些病菌往往就是很多疾病的来源。人类的免疫系统就是用来防御这些入侵的系统,由具有免疫功能的器官、组织、细胞、免疫效应分子与有关基因组成。而其中很重要的一部分就是淋巴细胞,淋巴细胞主要有T细胞和B细胞两类。T细胞在面对外来入侵的时候,担任协调免疫系统各部分功能的作用。而B细胞通过其表面的抗体和抗原结合,来消灭抗原。抗体的主要工作就是区分本体细胞和异体细胞。其中本体细胞指的是正常的人体细胞;异体细胞是指有害的异质细胞,也称抗原。每个B淋巴细胞可以产生一种抗体,并通过绑定机制识别一定数量结构相似的抗原细胞。免疫系统面对各种不同的外界入侵抗原,各种B细胞产生了数百万种不同种类的抗体,利用抗体上有特定的物质和它的特殊功能,可以结合、粘附或消除入侵的抗原,增强其它吞噬细胞吞噬病原体的功能,以维持免疫平衡。同时免疫系统具有记忆能力,对曾经入侵过的抗原,能够比新入侵抗原更迅速的识别。
三、人工免疫原理在IDS上的应用
合格的入侵检测系统(IDS)要具有准确性、完整性、可扩展性、可适应性和自身的健壮性等特点。这就要求它达到以下的设计目标:(1)完备的;(2)分布式的;(3)自组织的和精简的。
生物免疫系统与IDS有着功能上的相似之处。免疫系统的分布性、多样性、自成体系、完备性和精简性使它精确有效地保护着生物个体。如何模拟基因库更新、阴性选择、克隆选择等抗体生成过程建立入侵检测器是建立基于人工免疫原理的入侵检测系统的关键。
1.模拟基因库
人体免疫系统有着多层保护机制,包括: 皮肤、生理条件、先天免疫和适应免疫。适应免疫主要是由B细胞和T细胞来完成的免疫反应。B细胞和T细胞分别在骨髓和胸腺中产生。在骨髓和胸腺中有专门用于生成B细胞和T细胞的基因库,基因库中包含了用于构成这两种细胞的基因片段。通过对基因库中的基因片段进行重组、突变等操作来产生新的不同的细胞,这就使它们能够识别各种病毒。人体免疫系统利用基因库来产生免疫细胞,使产生合格免疫细胞的概率增大,人们把基因库的机制引入到人工免疫系统中,用来产生更有效的检测器集。但是对于如何构建基因库还没有确定的方法,有2种新提出的构建基因库的方法: 一种为直接应用非我样本来构建基因库,另一种方法是通过统计所有非我样本的分布来构建基因库。这2种方法都能够产生检测率更高的检测器集。
2.阴性选择算法
阴性选择算法是基于免疫系统的自体—非自体识别原理。它可以总结为以下三个步骤:(1)定义自我集:首先根据实际应用环境定义合适的自我集合。自我集合通常是由代表自我状态的字符串组成的集合;(2)产生检测器:首先随机产生字符串,如果该字符串集合与自我集合中的任一字符匹配则删除,否则保留来作为检测器;如此循环迭代,直到产生足够大小的检测器集为止;(3)监视要保护的数据:如果需要保护的数据跟检测器集合中的任何一个检测器匹配,则表明要保护的数据发生了异常变化,从而起到了检测异常变化的效果。该算法描述如下:(1)定义一组长度为L的有限字符串S表示“自己”;(2)产生检测器集R,R中每个检因器与S中的串都不匹配;(3)通过不断地将R中的检测器与S比较来监控S的改变。
3.克隆选择算法
克隆选择是免疫系统的一种自然选择的型式。当B细胞被激活,它就开始大量的复制克隆自己。在这个复制的过程中,突变的概率是平常的9倍。这么高的概率将使得子代的所附着的抗体会与父代的不同,从而加强了对不同抗原的亲和力。如果这些新B细胞能够与超过激活门限的抗原结合,它们将被激活,继续克隆复制下一代。因此,具有高亲和力的B细胞更可能被克隆。换言之,在B细胞与病原体的竞争中,具有较高亲和力的B细胞就具有更高的适应性,也就更容易被复制到下一代中,这个过程就是克隆选择过程。
一个完整的免疫响应是由三个进化阶段组成的:通过基因库进化产生有效的抗体;通过阴性选择消灭不适合的抗体;通过克隆选择复制大量高效的抗体。这三个阶段是自组织的,而不是由某一个中心器官预先下达指令来指导它们执行。可以将人体免疫系统的三个进化阶段运用于IDS,在该系统中,将正常的网络行为定义为“自我”,将异常的行为定义为“非我”,通过识别“自我”和“非我”来检测入侵。首先,通过基因表达将产生大量的不成熟检测器;接着,通过阴性选择,只有那些成熟的检测器会保留下来,这些成熟的检测器就是高效检测器;然后,这些成熟的检测器一方面通过克隆选择被大量复制后,传送到网络上用于检测“非我”的入侵行为,另一方面,这些成熟的检测器被基因优化后送到基因库,形成基因库进化。
四、结束语
生物免疫系统拥有许多值得借鉴的显著特征,借鉴生物免疫系统的计算机免疫系统将成为解决入侵检测问题的有效手段。
参考文献:
倪长健丁晶李柞泳:基于优秀抗体的免疫算法及其收敛性问题的研究[J].系统工程,2002,20
[关键词] 入侵检测免疫原理
一、引言
自然界中,生物的免疫系统成功地保护了生物自身免受外来病原体的侵害,入侵检测是计算机安全研究中的一个新领域,目前已有许多网络的入侵检测系统被开发出来,免疫原理在入侵检测领域的应用是一个刚刚兴起的研究,它的目的是使检测系统具有分布性、多样性、自适应性、自动应答和自我修复的特点,具有检测异常现象、利用不完备信息进行检测的能力。
二、人类免疫系统的原理
人类肌体总是处于大量微小有机体例如细菌、寄生虫、病毒、真菌或由这些组成的病菌的不断的入侵中,这些病菌往往就是很多疾病的来源。人类的免疫系统就是用来防御这些入侵的系统,由具有免疫功能的器官、组织、细胞、免疫效应分子与有关基因组成。而其中很重要的一部分就是淋巴细胞,淋巴细胞主要有T细胞和B细胞两类。T细胞在面对外来入侵的时候,担任协调免疫系统各部分功能的作用。而B细胞通过其表面的抗体和抗原结合,来消灭抗原。抗体的主要工作就是区分本体细胞和异体细胞。其中本体细胞指的是正常的人体细胞;异体细胞是指有害的异质细胞,也称抗原。每个B淋巴细胞可以产生一种抗体,并通过绑定机制识别一定数量结构相似的抗原细胞。免疫系统面对各种不同的外界入侵抗原,各种B细胞产生了数百万种不同种类的抗体,利用抗体上有特定的物质和它的特殊功能,可以结合、粘附或消除入侵的抗原,增强其它吞噬细胞吞噬病原体的功能,以维持免疫平衡。同时免疫系统具有记忆能力,对曾经入侵过的抗原,能够比新入侵抗原更迅速的识别。
三、人工免疫原理在IDS上的应用
合格的入侵检测系统(IDS)要具有准确性、完整性、可扩展性、可适应性和自身的健壮性等特点。这就要求它达到以下的设计目标:(1)完备的;(2)分布式的;(3)自组织的和精简的。
生物免疫系统与IDS有着功能上的相似之处。免疫系统的分布性、多样性、自成体系、完备性和精简性使它精确有效地保护着生物个体。如何模拟基因库更新、阴性选择、克隆选择等抗体生成过程建立入侵检测器是建立基于人工免疫原理的入侵检测系统的关键。
1.模拟基因库
人体免疫系统有着多层保护机制,包括: 皮肤、生理条件、先天免疫和适应免疫。适应免疫主要是由B细胞和T细胞来完成的免疫反应。B细胞和T细胞分别在骨髓和胸腺中产生。在骨髓和胸腺中有专门用于生成B细胞和T细胞的基因库,基因库中包含了用于构成这两种细胞的基因片段。通过对基因库中的基因片段进行重组、突变等操作来产生新的不同的细胞,这就使它们能够识别各种病毒。人体免疫系统利用基因库来产生免疫细胞,使产生合格免疫细胞的概率增大,人们把基因库的机制引入到人工免疫系统中,用来产生更有效的检测器集。但是对于如何构建基因库还没有确定的方法,有2种新提出的构建基因库的方法: 一种为直接应用非我样本来构建基因库,另一种方法是通过统计所有非我样本的分布来构建基因库。这2种方法都能够产生检测率更高的检测器集。
2.阴性选择算法
阴性选择算法是基于免疫系统的自体—非自体识别原理。它可以总结为以下三个步骤:(1)定义自我集:首先根据实际应用环境定义合适的自我集合。自我集合通常是由代表自我状态的字符串组成的集合;(2)产生检测器:首先随机产生字符串,如果该字符串集合与自我集合中的任一字符匹配则删除,否则保留来作为检测器;如此循环迭代,直到产生足够大小的检测器集为止;(3)监视要保护的数据:如果需要保护的数据跟检测器集合中的任何一个检测器匹配,则表明要保护的数据发生了异常变化,从而起到了检测异常变化的效果。该算法描述如下:(1)定义一组长度为L的有限字符串S表示“自己”;(2)产生检测器集R,R中每个检因器与S中的串都不匹配;(3)通过不断地将R中的检测器与S比较来监控S的改变。
3.克隆选择算法
克隆选择是免疫系统的一种自然选择的型式。当B细胞被激活,它就开始大量的复制克隆自己。在这个复制的过程中,突变的概率是平常的9倍。这么高的概率将使得子代的所附着的抗体会与父代的不同,从而加强了对不同抗原的亲和力。如果这些新B细胞能够与超过激活门限的抗原结合,它们将被激活,继续克隆复制下一代。因此,具有高亲和力的B细胞更可能被克隆。换言之,在B细胞与病原体的竞争中,具有较高亲和力的B细胞就具有更高的适应性,也就更容易被复制到下一代中,这个过程就是克隆选择过程。
一个完整的免疫响应是由三个进化阶段组成的:通过基因库进化产生有效的抗体;通过阴性选择消灭不适合的抗体;通过克隆选择复制大量高效的抗体。这三个阶段是自组织的,而不是由某一个中心器官预先下达指令来指导它们执行。可以将人体免疫系统的三个进化阶段运用于IDS,在该系统中,将正常的网络行为定义为“自我”,将异常的行为定义为“非我”,通过识别“自我”和“非我”来检测入侵。首先,通过基因表达将产生大量的不成熟检测器;接着,通过阴性选择,只有那些成熟的检测器会保留下来,这些成熟的检测器就是高效检测器;然后,这些成熟的检测器一方面通过克隆选择被大量复制后,传送到网络上用于检测“非我”的入侵行为,另一方面,这些成熟的检测器被基因优化后送到基因库,形成基因库进化。
四、结束语
生物免疫系统拥有许多值得借鉴的显著特征,借鉴生物免疫系统的计算机免疫系统将成为解决入侵检测问题的有效手段。
参考文献:
倪长健丁晶李柞泳:基于优秀抗体的免疫算法及其收敛性问题的研究[J].系统工程,2002,20