论文部分内容阅读
摘要:现有的基于免疫机制的NIDS模型有着诸多缺陷。针对这些缺陷,同时借鉴关于免疫识别的最新理论(危险模式理论),本文提出了一个新型的NIDS模型。其中,改变了自体库的角色,以减轻检测代理的负担;引入了基于异常信号的免疫识别,降低了虚警率,同时增强了系统的适应性;提出了新的亲和力算法,通过“关键基因片段控制串” 提高了识别的效率和准确率。
关键词:网络入侵检测;免疫;危险模式理论;亲和力计算
中图分类号:TP393文献标识码:A文章编号:1009-3044(2008)10-1pppp-0c
A New NIDS Model based on Dangerous Model Theory
YAN Yan
(Computer Teaching And Research Section,North Campus,Anyang Institute Of Technology,Anyang 455001,China)
Abstract:The NIDS models based on immunity have many deficiencies.For these deficiencies,a new NIDS model in which the new immune recognition theory (Dangerous Model Theory) was used has been put forward in this paper.In this model,role of the self library has been changed to release Detection Agents;Immune recognition mechanism based on abnormal signals has been introduced,the rate of mis-alarm was reduced and the adaptability was advanced; A new affinity algorithm has been put forward,efficiency and veracity has been advanced depend on "key gene snippet control string".
Key words: Network Intrusion Detection;Immunity;Dangerous Model Theory;Affinity algorithm
1 引言
入侵检测系统(IDS, Intrusion Detection System)现已成为不可或缺的网络安全基础设施之一。当前投入实际应用的IDS大都基于特征库和模式匹配,能够准确检测出所有的已知入侵。但这种传统的入侵检测方法存在着两个致命的缺陷[1]:一是,随着特征库规模的不断扩大,难以满足对IDS的实时性要求;二是,智能性太低,无法应对日益复杂的网络环境。于是,具备更高适应性和智能性的IDS已成为当前网络安全界的研究热点。
关于如何维护系统自身安全和稳定的问题,大自然已给了我们一个几乎完美的例子——自然免疫系统(NIS)。NIS是一个自学习、自适应的“适应性系统”,能够根据环境的变化,依靠众多免疫成员的相互协作,通过各种免疫机制对自身进行调节,以维持机体的安全和稳定[2]。而IDS的研究目标也正是建立这样一种高度自治的适应性系统。于是,许多学者投入到借鉴NIS构建IDS的研究之中。大部分相关研究倾向于完全模拟NIS的运行机制,如基因的高频变异和随机重组、自体耐受、亲合力成熟等等。但这些机制的成功运作是建立在机体的高度并行处理能力基础上的,并不适合在现有的计算机系统中模拟。而且,网络系统的自体行为并不像机体那样稳定[3],而是随着时间推移和用户习惯的变化而动态变化。
关于免疫识别的机制,Matzinger提出了不同于传统的Self/Nonself机制的危险模式理论 [4,5],认为NIS是根据机体产生的各种危险信号而不是通过简单的Self/Nonself方式来实现对病原体的识别。这为IDS的研究提供了新的启示。
应用智能方法解决问题时,相关领域的先验知识对问题的有效解决往往起着重要的作用[3]。经过入侵检测技术多年来的发展,人们已建立了丰富的攻击特征库,而新的攻击方法大都是现有攻击的变种[1],具有类似的特征。所以,应尽量将这些关于已知攻击特征的先验知识融入到对新型IDS的构建中。
本文沿袭了Kim提出的IDS模型[6],借鉴危险理论的思想,构建了一个新型的NIDS——aiIDS。其中,改变了自体库的角色,以减轻检测代理的负担;引入了基于异常信号的免疫识别,降低了虚警率,同时增强了系统的适应性;提出了新的亲和力算法,通过“关键基因片段控制串” 提高了识别的效率和准确率。
2 aiIDS的总体设计
2.1 传统的基于免疫机制的NIDS
由于NIS和IDS所面临问题的天然相似性,近年来已有许多学者和机构投入到相关的研究中,并取得了一些成功。最具代表性的是S. Forrest、J. Kim、P. Bentley、D. Dasgupta等人的研究成果。这些成果大都倾向于完全模拟机体的免疫机制。但这些免疫机制的成功运作是建立在机体高度并行处理能力基础上的,并不适合当前计算机的运算水平。为了提高检测器的生成效率,人们提出了基因库进化[7]的策略,将逝去的成熟检测器的基因片段收入基因库,通过变异和重组生成新的检测器。但该策略仍然存在着盲目性的问题,几个成熟检测器的基因片段重组后仍是有效检测器的概率很低;另外,攻击行为一般只在一段时间内集中发生,那么,即使利用基因库生成的检测器是有效的,相应攻击再次发生的概率一般也是很低的,因而检测代理中的检测器的使用率很低,不利于提高系统的适应性;而且,一个曾经有效的检测器在一段时间后可能恢复为正常行为(这在当前的分布式攻击中是很常见的),那么,基于基因库生成的检测器可能影响这些正常通信。
现有的识别算法也不适于入侵检测问题。大多相关文献将检测器和抗原进行二进制编码,利用各种亲和力算法进行识别。常用的亲和力算法有[8]:r-连续位匹配、欧氏距离、海明距离等。然而,对于不同的检测器,其个基因片段的重要性是不同的。例如,对于Land攻击,待检流量的源IP和目的IP是否相同便成为确定流量是否为入侵行为的关键片断,其他的属性则无关紧要。许多文献还提出了各种加权的亲和力算法,但权值需要根据检测器的不同及网络的当前状况动态变化,故这些算法仍未解决根本问题。
总结上面的分析,我们知道了当前基于免疫机制的IDS所存在的一些缺陷:(1)生成检测器的有效率低,检测代理的负荷较重,难以满足实时性要求;(2)生成的检测器不能反映网络系统当前所处的状况,适应性差;(3)现有识别算法无法准确高效的识别入侵行为。
2.2 aiIDS中引入的新型免疫算子
针对前面总结的缺陷,我们在aiIDS中引入了几个新型的免疫算子,来克服这些缺陷。首先介绍aiIDS的总体架构(Figure 1)。aiIDS主要由三个部件组成:初级IDS、异常监视器和检测代理。
(1)初级IDS(Primary IDS, PIDS)
不同于Kim的模型[6],PIDS的主要作用不再是生成成熟的检测器,PIDS维护着一个动态更新的自体库,其中记录着近期发生的正常流量。PIDS利用自体库对待检测流量进行过滤,而后交于检测代理进行检测。这样做有两个好处,一是减轻了检测代理的负荷,提高了整个系统的实时性;二是在网络系统受到DDoS攻击时,在进行应急处理的同时不影响已知的正常服务。
(2)异常监视器(Abnormal Monitor)
异常监视器是系统的核心,是借鉴危险模式理论而引入的部件。负责对网络中的流量进行统计分析,以一些事先定义的规则判断是否出现异常。一方面将出现的异常以异常信号的形式送至检测代理;另一方面将正常的网络行为反馈至PIDS更新自体库。这样做降低了虚警率,同时提高了系统的适应性。异常监视器中统计项和异常规则都是根据关于攻击特征的先验知识选取和定义的。
(3)检测代理(Detection Agent)
检测代理是负责检测的部件,接收PIDS发来的待检流量,根据自身维护的检测器集合以及来自异常监视器的异常信号来确定是否发生入侵。当有检测器识别某一流量,但未出现相应的异常信号时,该检测器将被删除;而在检测代理收到了异常信号,但没有相应的检测器时,会根据异常信号提供的信息自动生成相应的检测器,我们称此过程为疫苗的制作和注射。这样,检测代理中始终维护着一个足以应付当前环境的轻量级检测器集合,使得检测代理处于轻量级水平,提高了系统的实时性和适应性。也正是由于检测代理的轻量级特点,我们可以以很小的代价增加检测代理以提高系统的鲁棒性。
在aiIDS中,我们引入了自体库动态更新、待检流量的否定选择、基于异常信号协同刺激的免疫识别、疫苗的自动制作和注射以及根据先验知识的异常统计分析等新型免疫算子。图2显示了aiIDS的详细组成。
3 检测器和异常信号的设计
3.1 检测器的设计及新型亲和力算法
NIDS主要负责对网络中的流量进行实时的检测,以发现针对各层网络协议漏洞的入侵行为。简单起见,我们把检测对象限制在运输层的流量。在运输层,主要流量有三种:TCP、UDP和ICMP。为了提高检测的效率和准确性,我们设计三种类型的检测器。检测器的结构应在能够充分反应流量特异性的基础上尽可能的简单。于是,我们对三种检测器的基因结构作如下设计(图3)。
其中,src_ip和dst_ip分别为源IP和目的IP,src_port和dst_port分别为源端口号和目的端口号,type和code分别为ICMP报文的类型和代码(ICMP包头的字段)。mark的结构如图4所示。
除了基因型外,检测器还有生成时间、生存期、浓度以及指向处理函数的指针等结构成员。为了克服当前亲和力算法的缺陷,我们在检测器中加入了“关键基因片段控制串”。控制串中的每一位代表一个基因片段,当某一位为1时,相应的基因片段即为关键基因片断。识别时只进行关键基因片段的匹配。当检测器中有不止一个关键基因片段时,这些基因位都需匹配,才能发生识别。
例如,对应于Land攻击的检测器基因片段LAND位对应的控制串位为1,在识别时,只需对该基因片段进行匹配即可。而在IPsweep攻击对应的检测器中,src_ip、type和code均为关键基因片断,所以,在识别时这些基因片段都需匹配。
3.2 异常统计项的选取及异常信号的结构
aiIDS的成功运行依赖于准确的异常信号以及异常信号所反映的信息。根据现已掌握的攻击特征,是可以选取一组能够全面反映网络状况的统计项的。异常信号的结构分两部分:异常信号类型和异常信号的特征描述串。下面选取3种常见的攻击,举例说明如何选取统计项和异常信号。
(1)IPsweep
攻击者向子网中各可能的IP地址发送ICMP回显请求,寻找网络中的有效IP地址。当出现这种攻击时,网络中在短时间内会出现大量的来自同一源IP地址的ICMP回显请求。于是,选取统计项same_src_ip(过去2s内源IP地址相同的数据报个数)。
相应的异常信号为{ICMP_TOOMANY_ECHO_REQ,”src_ip=x.x.x.x”}。
(2)smurf
攻击者以目标机的IP为源IP向大量的网络地址发送ICMP回显请求,使得攻击目标会因收到大量的ICMP回显应答而无法正常工作。选取统计项same_dst_ip(过去2s内目的IP地址相同的数据包数目)。
相应的异常信号为{ICMP_TOOMANY_ECHO_REP,”dst_ip=x.x.x.x”}
(3)SYNflood
攻击者利用大量的半连接来耗尽目标机的资源。目标机会在短时间内收到大量的SYN请求,可选取统计项same_srv_syn(过去2s内向相同服务的SYN请求)。
异常信号为{TCP_TOOMANY_ERRSYN,”dst_ip=x.x.x.x and dst_port=x”}。
4 总结与展望
本文通过对现有基于免疫机制的IDS的分析,指出了其中的缺陷。根据这些缺陷,借鉴最新的免疫识别理论,提出了一种新型的NIDS架构。该架构创新点有三:(1)改变了自体库的作用,将否定选择算法的对象改为待检流量,从而极大减轻了检测代理的负荷;(2)借鉴危险模式理论的思想,提出了基于危险信号的免疫识别,降低了虚警率,同时提高了系统对当前网络环境的适应性;(3)在识别算法中引入了“关键基因片段控制串”,克服了现有亲和力计算方法的缺陷,使识别的效率和准确率都得到了很大提升。这些改进使得基于免疫机制的IDS更加贴近实际应用。
在aiIDS中,异常监视器是核心部件,其性能关系到整个系统的实用性。如何更加有效地从关于攻击特征的先验知识中提取统计项,如何进行统计分析以及如何确定异常阈值是今后的研究重点。
参考文献:
[1]罗守山.入侵检测[M].北京:北京邮电大学出版社,2003.ISBN 7-5635-0649-7.
[2]L.Sompayrac. How the Immune System Works: 2nd Edition[M].Oxford: Blackwell Science Limited.ISBN: 0-632-04702-X,2003.
[3]焦李成,杜海峰.人工免疫系统进展与展望[J].电子学报,2003,31(10)1540-1548.
[4]P.Matzinger.The danger model in it s historical context[J].Scandinavian Journal of Immunology,2001(4):4-9.
[5]P.Matzinger.The danger model:A renewed sense of self[J].Science,2002,296:301-305.
[6]J.Kim,J.P.Bentley.The Artificial Immune Model for Network Intrusion Detection[C].7th European Conference on Intelligent Techniques and Soft Computing (EUFIT’99), Aachen, Germany,1999.
[7]J.Kim, J.P.Bentley.A Model of Gene Library Evolution in the Dynamic Clonal Selection[C].In: Proceedings of the first International Conference on Artificial Immune Systems (ICARIS) Canterbury,2002:175-182.
[8]Stephanie Forrest,A.S.Perelson,L Allen, R Cherukuri.Self-Nonself Discrimination in a Computer[C].Proceedings of IEEE Symposium on Research in Security an Privacy,Oakland,1994.5.
收稿日期:2008-01-29
关键词:网络入侵检测;免疫;危险模式理论;亲和力计算
中图分类号:TP393文献标识码:A文章编号:1009-3044(2008)10-1pppp-0c
A New NIDS Model based on Dangerous Model Theory
YAN Yan
(Computer Teaching And Research Section,North Campus,Anyang Institute Of Technology,Anyang 455001,China)
Abstract:The NIDS models based on immunity have many deficiencies.For these deficiencies,a new NIDS model in which the new immune recognition theory (Dangerous Model Theory) was used has been put forward in this paper.In this model,role of the self library has been changed to release Detection Agents;Immune recognition mechanism based on abnormal signals has been introduced,the rate of mis-alarm was reduced and the adaptability was advanced; A new affinity algorithm has been put forward,efficiency and veracity has been advanced depend on "key gene snippet control string".
Key words: Network Intrusion Detection;Immunity;Dangerous Model Theory;Affinity algorithm
1 引言
入侵检测系统(IDS, Intrusion Detection System)现已成为不可或缺的网络安全基础设施之一。当前投入实际应用的IDS大都基于特征库和模式匹配,能够准确检测出所有的已知入侵。但这种传统的入侵检测方法存在着两个致命的缺陷[1]:一是,随着特征库规模的不断扩大,难以满足对IDS的实时性要求;二是,智能性太低,无法应对日益复杂的网络环境。于是,具备更高适应性和智能性的IDS已成为当前网络安全界的研究热点。
关于如何维护系统自身安全和稳定的问题,大自然已给了我们一个几乎完美的例子——自然免疫系统(NIS)。NIS是一个自学习、自适应的“适应性系统”,能够根据环境的变化,依靠众多免疫成员的相互协作,通过各种免疫机制对自身进行调节,以维持机体的安全和稳定[2]。而IDS的研究目标也正是建立这样一种高度自治的适应性系统。于是,许多学者投入到借鉴NIS构建IDS的研究之中。大部分相关研究倾向于完全模拟NIS的运行机制,如基因的高频变异和随机重组、自体耐受、亲合力成熟等等。但这些机制的成功运作是建立在机体的高度并行处理能力基础上的,并不适合在现有的计算机系统中模拟。而且,网络系统的自体行为并不像机体那样稳定[3],而是随着时间推移和用户习惯的变化而动态变化。
关于免疫识别的机制,Matzinger提出了不同于传统的Self/Nonself机制的危险模式理论 [4,5],认为NIS是根据机体产生的各种危险信号而不是通过简单的Self/Nonself方式来实现对病原体的识别。这为IDS的研究提供了新的启示。
应用智能方法解决问题时,相关领域的先验知识对问题的有效解决往往起着重要的作用[3]。经过入侵检测技术多年来的发展,人们已建立了丰富的攻击特征库,而新的攻击方法大都是现有攻击的变种[1],具有类似的特征。所以,应尽量将这些关于已知攻击特征的先验知识融入到对新型IDS的构建中。
本文沿袭了Kim提出的IDS模型[6],借鉴危险理论的思想,构建了一个新型的NIDS——aiIDS。其中,改变了自体库的角色,以减轻检测代理的负担;引入了基于异常信号的免疫识别,降低了虚警率,同时增强了系统的适应性;提出了新的亲和力算法,通过“关键基因片段控制串” 提高了识别的效率和准确率。
2 aiIDS的总体设计
2.1 传统的基于免疫机制的NIDS
由于NIS和IDS所面临问题的天然相似性,近年来已有许多学者和机构投入到相关的研究中,并取得了一些成功。最具代表性的是S. Forrest、J. Kim、P. Bentley、D. Dasgupta等人的研究成果。这些成果大都倾向于完全模拟机体的免疫机制。但这些免疫机制的成功运作是建立在机体高度并行处理能力基础上的,并不适合当前计算机的运算水平。为了提高检测器的生成效率,人们提出了基因库进化[7]的策略,将逝去的成熟检测器的基因片段收入基因库,通过变异和重组生成新的检测器。但该策略仍然存在着盲目性的问题,几个成熟检测器的基因片段重组后仍是有效检测器的概率很低;另外,攻击行为一般只在一段时间内集中发生,那么,即使利用基因库生成的检测器是有效的,相应攻击再次发生的概率一般也是很低的,因而检测代理中的检测器的使用率很低,不利于提高系统的适应性;而且,一个曾经有效的检测器在一段时间后可能恢复为正常行为(这在当前的分布式攻击中是很常见的),那么,基于基因库生成的检测器可能影响这些正常通信。
现有的识别算法也不适于入侵检测问题。大多相关文献将检测器和抗原进行二进制编码,利用各种亲和力算法进行识别。常用的亲和力算法有[8]:r-连续位匹配、欧氏距离、海明距离等。然而,对于不同的检测器,其个基因片段的重要性是不同的。例如,对于Land攻击,待检流量的源IP和目的IP是否相同便成为确定流量是否为入侵行为的关键片断,其他的属性则无关紧要。许多文献还提出了各种加权的亲和力算法,但权值需要根据检测器的不同及网络的当前状况动态变化,故这些算法仍未解决根本问题。
总结上面的分析,我们知道了当前基于免疫机制的IDS所存在的一些缺陷:(1)生成检测器的有效率低,检测代理的负荷较重,难以满足实时性要求;(2)生成的检测器不能反映网络系统当前所处的状况,适应性差;(3)现有识别算法无法准确高效的识别入侵行为。
2.2 aiIDS中引入的新型免疫算子
针对前面总结的缺陷,我们在aiIDS中引入了几个新型的免疫算子,来克服这些缺陷。首先介绍aiIDS的总体架构(Figure 1)。aiIDS主要由三个部件组成:初级IDS、异常监视器和检测代理。
(1)初级IDS(Primary IDS, PIDS)
不同于Kim的模型[6],PIDS的主要作用不再是生成成熟的检测器,PIDS维护着一个动态更新的自体库,其中记录着近期发生的正常流量。PIDS利用自体库对待检测流量进行过滤,而后交于检测代理进行检测。这样做有两个好处,一是减轻了检测代理的负荷,提高了整个系统的实时性;二是在网络系统受到DDoS攻击时,在进行应急处理的同时不影响已知的正常服务。
(2)异常监视器(Abnormal Monitor)
异常监视器是系统的核心,是借鉴危险模式理论而引入的部件。负责对网络中的流量进行统计分析,以一些事先定义的规则判断是否出现异常。一方面将出现的异常以异常信号的形式送至检测代理;另一方面将正常的网络行为反馈至PIDS更新自体库。这样做降低了虚警率,同时提高了系统的适应性。异常监视器中统计项和异常规则都是根据关于攻击特征的先验知识选取和定义的。
(3)检测代理(Detection Agent)
检测代理是负责检测的部件,接收PIDS发来的待检流量,根据自身维护的检测器集合以及来自异常监视器的异常信号来确定是否发生入侵。当有检测器识别某一流量,但未出现相应的异常信号时,该检测器将被删除;而在检测代理收到了异常信号,但没有相应的检测器时,会根据异常信号提供的信息自动生成相应的检测器,我们称此过程为疫苗的制作和注射。这样,检测代理中始终维护着一个足以应付当前环境的轻量级检测器集合,使得检测代理处于轻量级水平,提高了系统的实时性和适应性。也正是由于检测代理的轻量级特点,我们可以以很小的代价增加检测代理以提高系统的鲁棒性。
在aiIDS中,我们引入了自体库动态更新、待检流量的否定选择、基于异常信号协同刺激的免疫识别、疫苗的自动制作和注射以及根据先验知识的异常统计分析等新型免疫算子。图2显示了aiIDS的详细组成。
3 检测器和异常信号的设计
3.1 检测器的设计及新型亲和力算法
NIDS主要负责对网络中的流量进行实时的检测,以发现针对各层网络协议漏洞的入侵行为。简单起见,我们把检测对象限制在运输层的流量。在运输层,主要流量有三种:TCP、UDP和ICMP。为了提高检测的效率和准确性,我们设计三种类型的检测器。检测器的结构应在能够充分反应流量特异性的基础上尽可能的简单。于是,我们对三种检测器的基因结构作如下设计(图3)。
其中,src_ip和dst_ip分别为源IP和目的IP,src_port和dst_port分别为源端口号和目的端口号,type和code分别为ICMP报文的类型和代码(ICMP包头的字段)。mark的结构如图4所示。
除了基因型外,检测器还有生成时间、生存期、浓度以及指向处理函数的指针等结构成员。为了克服当前亲和力算法的缺陷,我们在检测器中加入了“关键基因片段控制串”。控制串中的每一位代表一个基因片段,当某一位为1时,相应的基因片段即为关键基因片断。识别时只进行关键基因片段的匹配。当检测器中有不止一个关键基因片段时,这些基因位都需匹配,才能发生识别。
例如,对应于Land攻击的检测器基因片段LAND位对应的控制串位为1,在识别时,只需对该基因片段进行匹配即可。而在IPsweep攻击对应的检测器中,src_ip、type和code均为关键基因片断,所以,在识别时这些基因片段都需匹配。
3.2 异常统计项的选取及异常信号的结构
aiIDS的成功运行依赖于准确的异常信号以及异常信号所反映的信息。根据现已掌握的攻击特征,是可以选取一组能够全面反映网络状况的统计项的。异常信号的结构分两部分:异常信号类型和异常信号的特征描述串。下面选取3种常见的攻击,举例说明如何选取统计项和异常信号。
(1)IPsweep
攻击者向子网中各可能的IP地址发送ICMP回显请求,寻找网络中的有效IP地址。当出现这种攻击时,网络中在短时间内会出现大量的来自同一源IP地址的ICMP回显请求。于是,选取统计项same_src_ip(过去2s内源IP地址相同的数据报个数)。
相应的异常信号为{ICMP_TOOMANY_ECHO_REQ,”src_ip=x.x.x.x”}。
(2)smurf
攻击者以目标机的IP为源IP向大量的网络地址发送ICMP回显请求,使得攻击目标会因收到大量的ICMP回显应答而无法正常工作。选取统计项same_dst_ip(过去2s内目的IP地址相同的数据包数目)。
相应的异常信号为{ICMP_TOOMANY_ECHO_REP,”dst_ip=x.x.x.x”}
(3)SYNflood
攻击者利用大量的半连接来耗尽目标机的资源。目标机会在短时间内收到大量的SYN请求,可选取统计项same_srv_syn(过去2s内向相同服务的SYN请求)。
异常信号为{TCP_TOOMANY_ERRSYN,”dst_ip=x.x.x.x and dst_port=x”}。
4 总结与展望
本文通过对现有基于免疫机制的IDS的分析,指出了其中的缺陷。根据这些缺陷,借鉴最新的免疫识别理论,提出了一种新型的NIDS架构。该架构创新点有三:(1)改变了自体库的作用,将否定选择算法的对象改为待检流量,从而极大减轻了检测代理的负荷;(2)借鉴危险模式理论的思想,提出了基于危险信号的免疫识别,降低了虚警率,同时提高了系统对当前网络环境的适应性;(3)在识别算法中引入了“关键基因片段控制串”,克服了现有亲和力计算方法的缺陷,使识别的效率和准确率都得到了很大提升。这些改进使得基于免疫机制的IDS更加贴近实际应用。
在aiIDS中,异常监视器是核心部件,其性能关系到整个系统的实用性。如何更加有效地从关于攻击特征的先验知识中提取统计项,如何进行统计分析以及如何确定异常阈值是今后的研究重点。
参考文献:
[1]罗守山.入侵检测[M].北京:北京邮电大学出版社,2003.ISBN 7-5635-0649-7.
[2]L.Sompayrac. How the Immune System Works: 2nd Edition[M].Oxford: Blackwell Science Limited.ISBN: 0-632-04702-X,2003.
[3]焦李成,杜海峰.人工免疫系统进展与展望[J].电子学报,2003,31(10)1540-1548.
[4]P.Matzinger.The danger model in it s historical context[J].Scandinavian Journal of Immunology,2001(4):4-9.
[5]P.Matzinger.The danger model:A renewed sense of self[J].Science,2002,296:301-305.
[6]J.Kim,J.P.Bentley.The Artificial Immune Model for Network Intrusion Detection[C].7th European Conference on Intelligent Techniques and Soft Computing (EUFIT’99), Aachen, Germany,1999.
[7]J.Kim, J.P.Bentley.A Model of Gene Library Evolution in the Dynamic Clonal Selection[C].In: Proceedings of the first International Conference on Artificial Immune Systems (ICARIS) Canterbury,2002:175-182.
[8]Stephanie Forrest,A.S.Perelson,L Allen, R Cherukuri.Self-Nonself Discrimination in a Computer[C].Proceedings of IEEE Symposium on Research in Security an Privacy,Oakland,1994.5.
收稿日期:2008-01-29