An Architecure for an Integrated Innate and Adaptive Artificial Immune System Applied to Network Int

来源 :大连理工大学 | 被引量 : 0次 | 上传用户:zdh313
下载到本地 , 更方便阅读
声明 : 本文档内容版权归属内容提供方 , 如果您对本文有版权争议 , 可与客服联系进行内容授权或下架
论文部分内容阅读
人体免疫系统(HIS)为解决复杂问题提供了一种既独特又具有吸引力的计算模型,因而引起了计算机领域科学家的极大兴趣。利用免疫学的基本理论和模型以及迄今为止所观察到的各种免疫功能去解决复杂问题,已经逐步发展成为一个新的研究领域,称之为人工免疫系统(AIS)。基于AIS的算法自从被发明以来已经成功应用到诸多领域,包括计算机安全,聚类与分类,优化问题以及机器人技术等。然而,尽管AIS在某些应用中取得了成功,但是将它们用于解决一些非常困难的真实世界问题或者工业领域的实际问题,成功的案例并不多见。这就需要我们进一步深入研究人体免疫系统,努力理解并充分利用人体免疫系统的特点,以找出它与现有其它方法的不同之处,提升它作为一种问题求解新途径的重要性,最终促进人体免疫系统应用的增长。  人体免疫系统通过消灭被称为病原体的致病个体来保证机体的健康。它具有层结构的形式,由不同级别的多层防御所构成。尽管皮肤以及一些像化学和生物因素之类的生理条件(包括汗水、溶酶体里面的脂肪酸等)起到了阻止病原体进入人体的作用,并且它们也被当作是多层结构中的一部分,但是人体免疫系统通常还是被看作仅由两个子系统组成,一个是由固有免疫子系统(也称为先天免疫系统或天然免疫系统),另一个是适应性免疫子系统(也称为后天免疫系统)。固有免疫子系统主要用作为第一道防线,提供对病原体快速、无特异性的响应。而适应性免疫子系统则可以对具体的病原体进行准确识别和记忆。  以前,对于AIS的研究似乎主要集中在适应性免疫子系统上。直到2005年左右,当AIS的研究陷入僵局时,研究人员才感到必须寻找新的概念和新的途径。如同免疫学研究本身一样,最近的工作已经转去了解固有免疫子系统在HIS功能中的作用。在免疫学研究中已经发表了大量的论文,它们揭示了许多有关固有免疫子系统和适应性免疫子系统相互作用的新机制。研究人员认为,固有免疫子系统的作用是,在感染的初期,通过对病原体的非特异性识别,机体对病原体进行防御,同时诱导出适应性免疫应答,并确定适应性应答的类型。这就说明了固有免疫系统是适应性免疫系统的主要控制者。这一新的理解表明,如果想要得到理想的HIS特性,那么在设计基于AIS的系统时,就必须将固有免疫系统的概念融入到系统的整体设计中。AIS之前的研究之所以陷入僵局,其原因就是因为在研究中只考虑了适应性免疫系统的思想,而忽略了固有免疫系统的作用。  因此,本文的想法是,通过将固有免疫系统的概念结合到人工免疫系统的设计中,就可以在人工免疫系统中实现人体生物免疫系统所具有的大多数功能,从而增强所设计的人工免疫系统的性能。这种思想也是进一步基于这样的观点,即,人工免疫系统是由固有免疫系统和适应性免疫系统这两个相互作用的子系统所构成的,并且固有免疫系统在很大程度上控制着适应性免疫系统。  本文的主要工作是考察固有免疫系统的概念,并研究如何将这些概念运用到人工免疫系统的设计中。同时,也深入研究人体生物免疫系统中与检测和应答入侵病原体相关的几个重要特征,并考察和评估运用这些特征建立一种新的人工免疫系统的可能性和优势。  具体而言,本文所提出的架构也即本文的重点是,将以下人体生物免疫系统的概念结合在一起:(1)固有层细胞产生的“危险信号”的表征和运用;(2)固有层细胞产生的模式识别受体(PRRs)和病原体相关分子模式(PAMPs)的性质及相互作用方式;(3)固有免疫系统中抗原的树状突细胞(DCs)加工与提呈;(4)适应层细胞的初次和二次应答机制。这些都被认为有助于检测并清除人体生物免疫系统中入侵的病原体。  本文的工作概括如下。  详细回顾了与上述人体生物免疫系统概念相关的生物学知识,并对这些概念进行了简单的抽象化。然后,利用这些经过抽象化的概念设计了固有免疫和适应性免疫集成系统(Integrated Innate and AdaptiveImmune System-INIAIS)的构架。该构架将上述概念合并到一个单一的构架中,其中每一个组件可提供与人体生物免疫系统中对应组件相似的功能。INIAIS系统的具体结构如下:它具有两个相互作用的层,一个是固有层,另一个是适应层。固有层提供系统与环境之间的交互接口,它包含三个关键过程,即危险信号的检测与应答机制,病原体相关分子模式(PAMP)的检测与应答机制以及树状突细胞(DC)抗原加工与提呈。适应层只包含两个过程,即初次应答和二次应答机。  假设有这样的一个二类识别问题:自我与非我(自己与非己)或正常与异常,这里系统的任务是要从一类中辨别出另一类是否出现。识别过程涉及以下诸多方面。  危险信号可给系统提供一个指示,表明可能有异常情况出现。本质上,一个异类物质(非自我或非己类物质)的出现必然会触发一些危险信号,而一个正常类物质(自我类或己类物质)的出现可能会也可能不会触发任何危险信号。这背后的逻辑是双重的,通过限制只对含有危险信号的非己类物质的出现进行应答,从而可以使系统对动态变化中的不具有任何危险信号的己类物质的出现无需应答。危险信号这一概念也可用来过滤某些数据,减少传递到系统后续各层做进一步处理的数据量,从而改善系统的可扩展性,并促进系统中各模块的“轻量化”。利用“对不断变化的自我具备完全的适应性”这一概念,有助于克服以前采用自我-非我(自己-非己)辨识原理的人工免疫系统的局限性。自我-非我辨识原理,是假设已知一组己类物质,通过训练检测器去检测先前没有遇到过的任何非己类物质。对于一个很少发生改变的环境,自我-非我辨识原理的应用效果非常好;但是对于一个不断变化的动态环境,就非常有必要保持对己类集的不断更新,以减少误警报。  病原体相关分子模式(PAMP)信号的检测与应答机制,给固有免疫和适应性免疫集成系统INIAIS在固有层提供了一种探测与应答能力。人体生物免疫系统的固有层细胞利用模式识别受体(PRRs)对进化保守的病原体相关分子模式的特征进行识别,已经识别出很多类病原体。这就给予了固有层细胞非常好的能力,使之可以检测到那些意图进入机体的细菌或病毒并且在它们有机会繁殖与扩散之前就将它们消灭掉,从而在病原体入侵之初就能为机体提供有效保护。类似地,在设计固有免疫和适应性免疫集成系统INIAIS时,也赋予了它同样的能力,即它可以对具有病原体相关分子模式的异类物质进行检测并立即启动应答机制。与人体生物免疫系统相似,病原体相关分子模式被定义为仅被异常事件所拥有的信号。因此,病原体相关分子模式为输入数据提供了一个次级的过滤点,进一步改进了INIAIS系统的可扩展性、鲁棒性、自组织性和轻量性。以前的AIS系统仅仅只采用单层结构对异类物质进行检测,而我们设计的固有免疫和适应性免疫集成系统INIAIS则是采用双层结构进行检测,该结构由两个性质截然不同的层组成,因而INIAIS系统具有更好的鲁棒性和容错能力。如果一个异常事件触发了某种应答,那么病原体相关分子模式就会给INIAIS系统提供一个机制去自动完成这种应答,而无需干扰正常事件的发生。这一点解释了系统的自组织能力。在固有层这个层级上减少数据量,确保了只有输入数据的一个子集被传送到适应层作进一步处理,在一定程度上使系统实现了“轻量”的特性。  近来,在建立检测器辅助识别过程时,大多数人工免疫系统都包含了输入数据的所有属性。对于具有非常多属性的输入数据,这将产生高度复杂的搜索空间。树状突细胞抗原加工,给固有免疫和适应性免疫集成系统INIAIS提供了一种特征提取机制。对一个给定问题来说,通过合理减少输入数据的属性,可以减少特征,从而有助于减小搜索空间和计算复杂度,使得对某些给定异常事件的检测更加容易。这样处理其背后的逻辑是,仅仅使用输入数据属性的一个子集,就可以很容易地检测出不同种类的异常事件。这一点特别适合检测这样的异常事件:它们可以归类到结构和行为都显著不同的更小的子类。在这种情况下,树状突细胞抗原加工有助于建立不同的特征向量,这些向量可以被适应层上不同检测器组使用,以逐个识别各种异常事件是否发生。所以,适应层上不同的检测器组各自可以专门检测特定种类的异常事件是否发生。与采用全部属性而仅建立一组检测器的设计方案相比,采用上述方案设计的INIAIS系统拥有更强的容错能力,即使一组检测器出现故障也不会导致整个系统失效。树状突细胞的提呈仅要求所需的那组检测器参与检测过程,具体是哪组取决于所出现的危险信号的种类。在检测过程中,仅使用全部检测器中的一个子集,意味着在适应层所做的任何处理所包含的操作会更少,因而可显著提高系统的工作效率。  于是,适应层的操作只需要处理输入数据的一个子集,即经过固有层过滤之后的剩余数据,可根据危险信号的类型选择相应的检测器组进行检测。初次应答机制用于适应层检测器学习处理以前未曾出现过的异常事件,而二次应答机制则用于记忆以前遇到过的异常事件。正如前面所指出的,与以前那些要求把全部的检测器都用于检测的系统不同,INIAIS系统使用经过训练的不同检测器组去检测不同种类的异常事件,这就大大减少了检测过程需要执行的操作,从而提高了检测效率。它也确保了适应层这一级的检测器具有多样性,即存在有多组不同种类的检测器,各自负责检测不同种类的异常入侵行为。  为了评估和验证INIAIS系统之构架的有效性,我们可以采用一个现实世界中的问题作为例子,当然,要求该问题是适合于运用人体免疫系统的概念和原理来解决的。人体免疫系统可以被看作是一种非常有效和强大的信息处理系统,它工作在动态和无法预知的环境中,必须对环境中所产生的变化做出迅速及时的反应。这一特点也指明了免疫系统模型潜在的应用领域,比如说,对于一些动态环境中的问题,要求找出它们的鲁棒且足够好的解,使系统能够持续且令人满意地正常运行。在现实世界中,很多领域中的问题都符合这一特征。具体到本文,我们选择了网络入侵检测作为研究主题。  作为计算机安全的一个领域,入侵检测的目标是监控一个信息系统的活动以防止恶意攻击行为的发生,这些恶意攻击意图侵犯系统的安全策略,对服务及数据的保密性、完整性和可得性造成重大影响。显然,入侵检测所面临的问题,非常类似于免疫系统在一个相对较短的时段内去识别和消灭病原体的情形。一个有效的、基于网络的入侵检测系统(IDS)必须拥有多个检测点,它们相互充分配合,以抵御恶意攻击对IDS的入侵以及系统出现的任何故障。IDS应该是可配置的,即它能够很容易地对自身进行配置,以满足各台宿主机和各个网络组件的本地需求。它也应该很方便容易地被新的宿主机或者为新的宿主机扩展IDS的监控范围,且与操作系统无关。它也要能实现可靠的扩展,以便正确地从分布式宿主机中搜集和分析海量的审计数据。IDS要具有动态调整功能,以实现对动态变化的网络入侵行为进行有效监控。同时,IDS应该能够同时监控各种宿主机上发生的多起事件,收集足够的证据去辨别多起事件之间的相互关系。此外,IDS的结构应该简洁,以降低监控各种主机系统和网络的开销。  以固有免疫和适应性免疫集成系统(INtegrated Innate and AdaptiveImmune System-INIAIS)构架为基础,我们设计并开发了一个称之为“INIAIS-NIDS”的原型系统,即“基于固有免疫和适应性免疫集成的网络入侵检测系统”,将其应用于网络入侵检测之中。我们对该原型系统的性能进行了评估,也对源自人体免疫系统并应用到INIAIS系统的每一个概念的重要性进行了分析。具体而言,我们构想出了以下几个假设,并对它们进行了实验验证。  假设一:“是否可以建立一组危险信号,它们可以对所有可能的攻击行为向网络入侵系统发出警报”。换句话说,将危险信号应用到INIAIS系统中是否可行呢?我们将对危险信号在INIAIS系统中的应用效果做出评估。至于如何确定是什么引发了危险信号,我们是基于这样一个指导原则:“危险信号的出现,可能表明、也可能并不表明发生了一个异常事件(一次攻击),但是发生了攻击行为的可能性比正常情况下的要高”。然后,我们使用粒计算的概念建立了各类不同的危险信号。从本质上来说,与正常情况相比具有更高攻击概率的任何粒子(代表入侵行为)都被认定为是一个候选的危险信号。我们的实验结果提供的证据支持了该假设的正确性。利用危险信号,在初期就可以过滤掉根本无需作进一步检测的大量正常数据流。在初期采取这样的处理方法,不仅有助于减少系统的误警率,而且有助于系统对高流量数据输入环境的可扩展性。在实际系统的设置中,我们希望仅有很小部分的数据或许具有危险信号,因为这样的话,大部分正常的输入数据都会在前期就被网络入侵检测系统NIDS过滤掉,由此可以避免因NIDS系统的使用而产生数据流阻塞的问题。  假设二,它与病原体相关分子模式(PAMP)信号有关,可以陈述为:“是否可以建立一组PAMP信号,它们仅用于对攻击行为进行识别,或者说,将PAMP信号用到INIAIS系统中可行吗?”。我们采用危险信号和粒计算概念建立PAMP信号。本质上,对应于危险信号的PAMP信号被表达在更好的粒度级上,即将它们仅限定到攻击事件。或者说,PAMP信号是与危险信号特定关联的。我们的实验结果证实了该假设的有效性。此外,使用PAMP,提供了一种更紧凑和更有效的方式去检测并在初期就可以消除大多数(90%以上)攻击系统的行为。一般来说,PAMP信号可以类比到基于误用的入侵检测系统中所使用的那些非常独特的规则或签名,它们提供的模式更加适应于检测组攻击(或群攻击)而不是单一攻击。因此,有理由认为它们可以更有效地在初期就消灭掉系统中绝大多数的攻击行为。PAMP信号不仅具有密实的特征而且可以很好地检测与其密切相关的攻击,因而赋予了系统一定程度的入侵检测能力。举一个PAMP信号的应用实例,将由训练数据产生的PAMP信号应用到以前未曾见过的测试数据时,检测效果非常好,成功检测到90%以上的攻击行为。PAMP信号也给INIAIS-NIDS系统提供了对检测到的攻击进行自动应答的能力,并确保这种应答行为不会产生任何意外的影响。因此,PAMP信号更加有助于在检测过程的初期就对数据进行过滤,从而降低了INIAIS-NIDS系统在对网络进行监控的同时产生数据流阻塞的可能性。INIAIS-NIDS系统可以很好地扩展以应对巨量的数据流。  假设三,它与树状突细胞(DC)抗原加工与提呈概念有关,它不仅涉及到这一概念的可行性,而且也涉及到设计网络入侵检测系统时如何利用这一概念。该假设可以陈述为:“树状突细胞抗原加工与提呈提供了一种机制,可以在基于人工免疫系统的网络入侵检测系统(AIS-based NIDS)的适应层提高检测过程的有效性和效率”。这是与现有的基于AIS的检测方法进行对比。在基于AIS的检测方法中,不仅使用的检测器要用到输入数据(抗原)的所有属性,而且所有的检测器在检测过程中都会被使用到。而在我们的方法中,每一种危险信号都对应到一种给定的攻击种类,所以每一种入侵行为都由其对应的危险信号进行检测。然后,在全体危险信号中,用于检测某种攻击行为的一个子集会被用来识别这种攻击行为的相关属性,而辨识出的属性可以作为建立与该类攻击相对应的特征向量(抗原肽)的基础。最终,如果每一种检测器都只使用输入数据中与其对应的特征子集,那么系统中各种不同的检测器都将只依据属性的最大关联度去检测各自对应的攻击行为。另一方面,被一种给定危险信号报警的入侵行为只会触发适应层上与其关联的那一组检测器,启动检测过程,从而可以避免动用所有的检测器对输入数据进行检测所带来的巨大数据操作工作。我们对所提出的这种方法进行了实验,并将实验结果与目前使用的其他两种不同的入侵检测机制进行了比对,一种称为“超立方体”检测机制,另一种称为“部分匹配”检测机制,检测过程中它们都使用全属性检测器,即检测器需要使用输入数据的全部属性。比对结果表面,利用我们的方法所建立的检测器对入侵行为具有更好的鉴别能力,与现有的方法相比检测过程能更全面地覆盖到所有的入侵行为,漏检率较低。此外,单独使用时,系统中的各组检测器也能相当好地覆盖所有的入侵行为,这就提高了我们设计的INIAIS-NIDS系统的鲁棒性。与现有方法相比,我们提出的方法也有助于降低搜索空间的复杂度,因为系统中的每一组检测器都只关注输入数据中一小部分的特征向量。只使用适应层上一个检测器子集意味着在此阶段所做的任何处理都将只包含很少的操作,检测期间只需要用到很少的存储空间,因此显著提高了系统的工作效率。实验结果表明,这一假设如同所陈述的那样是正确的。  在适应层所建立的检测器具有高度的专属性,有助于尽可能减少误警率。然而,当把这些专属性极强的检测器用于检测以前未曾见过的入侵类型时,其性能就非常不好,这一点与人体适应性免疫系统中的细胞很相似。遇到这种情况,就需要将检测过程与初次应答机制相结合,以帮助检测器去适应或者应对之前不曾知道的攻击类型。对于一种给定的抗原肽(即入侵攻击),通过实验找到与其亲和力最大(具有最高匹配值)的检测器与之适应、与之匹配。“适应”过程要使用一个变异算子。一旦匹配成功,匹配检测器就会经历一次克隆操作,生成该检测器的多个克隆体(副本)。其中的一个克隆体会被提升为记忆检测器,而其余的克隆体将会进一步变异。我们的实验结果表明,一旦根据训练数据创建了一个检测器集,就可以生成这些检测器的多个克隆体,并对克隆体执行变异操作,提高所创建的检测器对异常行为的检测能力。这一点与人体免疫系统中B细胞的超变异很相似。如果借用搜索空间的术语,这里的超变异很像对一个给定检测器的邻近区域进行探索,可以到达这样的效果:尽管在适应层建立的检测器是高度特异的,具有很强的专属性或针对性,但它们仍然有能力对已知攻击的一定程度的变种进行有效检测。值得指出的是,随机作用于克隆体的变异操作并非特别有效(具体到检测器,变异是指对其特征向量执行变异操作)。我们的实验结果提供的一些证据表明,作为训练阶段的最后一步,应该对每一组能够覆盖足够多已知攻击的检测器进行克隆和变异操作,使它们对未知攻击有更好的检测能力。但是,这也暗示我们,要想创建有效的检测器,就需要引导好变异过程,同时也需要好的方法去指导识别异常入侵,特别是当整个过程持续进行而没有任何人为干预时。记忆检测器用来提供二次应答机制,这一点与人体免疫系统中的细胞非常相似,当相同的抗原(外来细菌、病毒)再次出现时,这些细胞会很迅速地产生应答。在入侵检测时,记忆检测器可以为INIAIS-NIDS系统在适应层建立和提供对入侵攻击的第一道防御。  假设四,它被用来评估一种新的人工免疫系统的性能,该系统的特点是将固有层机制结合到仅含有适应层机制的人工免疫系统中。该假设可陈述为:“总的来说,基于固有免疫和适应性免疫集成的网络入侵检测系统(INIAIS-NIDS)的性能要比仅有适应层机制而没有结合固有层机制的人工免疫系统好”。通过实验,我们将INIAIS-NIDS原型系统的性能与采用阴性选择算法(Negative Selection Algorithm-NSA)的检测系统进行了比较。NSA算法仍然是目前应用最为广泛的、基于AIS的一种入侵检测机制。正因为如此,NSA算法经常被作为参考比较对象,用来检验大多数旨在提高基于AIS的解决方案的性能。我们进行了多次实验,并采用不同的性能指标对系统的性能进行了评估。从实验结果可以看出,正如所陈述的那样,假设四是正确的。我们也要注意到单层(单级)检测方法存在的一些问题,比如,想在检测器的泛化与专属之间做出严格区分比较困难;在一个高度动态变化的环境中,很难消除所有对自体抗原起反应的检测器,这意味着单层检测方法总是会有比较高的误警率;当数据量很大且维数很高时,如果想要达到很好的检测性能,那么检测器的数目就会呈指数增加。以上这些都是单层检测方法难以解决好的问题。但我们设计的INIAIS-NIDS系统可以为这些问题提供一些解决方案,比如,通过两层检测结构,可将检测器明确区分为泛化检测器和专属检测器两大类;使用危险信号去激活检测过程,不再需要将自我-非我识别作为检测过程的中心概念,因而允许系统隐式地适应正常的动态环境;早期在系统中使用危险信号和泛化的病原体相关分子模式信号可以显著减少事件的数量,因此在下一步的处理中就只涉及到一小部分的原始数据,并且树状突细胞抗原加工有助于减少高维度,大大降低目标搜索空间的复杂度。  总的来说,虽然同属基于人工免疫系统原理的网络入侵检测系统,但我们设计的基于固有免疫和适应性免疫集成的网络入侵检测系统INIAIS-NIDS,与文献中介绍的其它入侵检测系统相比,在结构和功能上都有很大的改变。INIAIS-NIDS系统可以进行实时监测,在该系统中人体免疫系统的大多数特征都得以实现,这些特征一直被认为是有利于设计和建立新型入侵检测系统的。对实际的网络入侵检测系统中一些突出的特征进行再评估,可以发现以下事实:INIAIS-NIDS系统在其三个不同的组件中都包含有“传感器”,而每一种传感器都有其独特的功能,这就使得每个组件在INIAIS-NIDS系统的整体功能中都有其定义好的作用。在每个组件中,确实发生了对输入数据的过滤,因而减少了后续组件的数据处理量。这也使得INIAIS-NIDS系统具有“轻量”的特性。INIAIS-NIDS系统的固有层和适应层,两者都被设计成具有检测并应答某些非己抗原的功能,因此该系统具有多层检测与应答能力。如果仅使用固有层或仅使用适应层,尽管能力有限,但INIAIS-NIDS系统仍然可以工作。与大多数基于AIS原理的系统只在适应层进行检测相比,真正具有多层结构和多个处理组件的INIAIS-NIDS系统具有更好的鲁棒性。  将危险信号的概念应用于固有层的检测机制中,要求异常事件的发生必须提供某种或某些危险信号,以便触发检测系统。一个事件,一个特征值,或者它们的组合,都可以被看作是一个危险信号,它很可能代表一次入侵行为。如果假定每种入侵行为都必须展现出某种模式,对于一个基于误用的入侵检测系统来说,这或将导致检测结果与真实情况发生很大偏离;而对于一个基于异常的入侵检测系统来说,从逻辑上而言,这一要求显然是必需的。这种解释允许将非己空间限定到由全体属性值所创建的空间中的一个子空间,这些属性值用来定义危险信号。通过进一步将这个有界区域限制到仅仅只包含非己实例的那些子集,就可以得到一个更小的子集。用来定义这个更小子集的每个属性值或者一组属性值,都可以作为病原体相关分子模式,我们可以确定这些模式只会出现在非己抗原中。这在危险信号与病原体相关分子模式之间建立了一种关系,基于这种关系可以建立一种更高效的入侵检测处理方法。这种关系也形成了一个基础,使得系统可以完全自动地对在这个更小子集中发现的、由病原体相关分子模式定义的抗原进行应答,从而使系统具有一定程度的自组织性。然后,用于表示难以识别抗原集合的最少数据量被传递到适应层作进一步处理,这大大改进了系统的可扩展性。不具有任何危险征兆的抗原总是被视为自我的一部分,不触发任何免疫反应。在这种情况下,自我的空间并不局限于正常抗原所在的那个子空间,后者一直是以前的人工免疫系统所具有的特点。我们设计的系统能更好地适应动态变化的环境,在此环境中自我抗原处于持续不断的变化之中,但并不一定导致误警率的增加。通过配置适应层细胞的不同子集专属到不同的攻击类型,保证了检测的多样性。  与应用在同一领域现有的AIS系统相比,INIAIS-NIDS系统有着更好的性能。特别是,所建立的危险信号可以检测到所有的入侵事件,而病原体相关分子模式信号可以提供很好的早期检测和应答性能。与现有的AIS系统相比,抗原处理与表达组件在性能上也得到显著的改进。与初次应答机制结合在一起,有助于适应层的检测器检测出以前未曾见过的攻击行为,因此可减少攻击的漏检机率,提高系统的整体性能,这也为如何解决适应性问题提供了一个思考方向。  综上所述,本文研究的总体目标是详细研究人体免疫系统HIS的本质特性,深入理解和利用这些特性,这样有助于我们找出人工免疫系统与现有的其他一些方法的差别,从而提高人工免疫系统作为一种问题求解机制的重要性和吸引力,最终增强人工免疫系统在众多领域中的适应性。INIAIS-NIDS系统在入侵检测问题中的成功,证明了本文所建立的这个系统的有效性。特别是,本文提供的证据证明了将固有免疫系统与适应性免疫系统相结合的机制,可以显著改进现有人工免疫系统的性能。  最后,我们将本文的主要贡献概括如下:  (1)提出了基于固有免疫和适应性免疫集成的网络入侵检测系统(INIAIS-NIDS)。与大多数目前使用的人工免疫系统不同,INIAIS-NIDS的设计兼顾了人体生物免疫系统HIS中的固有免疫系统和适应性免疫系统,这两个系统在INIAIS-NIDS中相互交流相互作用,使得入侵检测系统的总体目标可以实现。INIAIS-NIDS系统具有一个真正的分层架构,可以将任务分解到各层,并使各层之间在功能上实现互补。实验结果证明了分层架构是一种改进系统可扩展性和鲁棒性的有效方法。  (2)提出将危险信号的概念引入到网络入侵检测中,使得所设计的INIAIS-NIDS系统可以隐式地适应变化的自我而不会错误地发出警报,这克服了现有人工免疫系统的一个主要缺点。此外,危险信号也可以给INIAIS-NIDS系统提供某种过滤机制,有助于减少往下传递做进一步处理的数据量,从而改进了系统的可扩展性。  (3)提出将病原体相关分子模式(PAMPs)的概念引入到网络入侵检测中,可为给定的入侵检测问题提供一种紧凑和有效的方式去建立和提出泛化的模式。这些模式可被用来进一步消除传递给后续层进行处理的数据量,从而改进了系统的可扩展性。从入侵检测的角度来看,使用病原体相关分子模式,也证明了可为入侵检测系统提供某种自动应答机制,去响应所检测到的攻击行为。  (4)提出将树状突细胞(DC)抗原加工与提呈的概念引入到网络入侵检测中,为所设计的INIAIS-NIDS系统提供了源自人工免疫系统的特征选择机制。特征选择能力是一个重要的概念,它有助于减小搜索空间和操作的复杂性,尤其是针对输入数据维度很大的情况。这一概念给固有层提供了控制适应层的方式,它可以为适应层确定出哪类应答应该被调用。这个概念也给系统提供了固有层与适应层之间的交互机制,允许固有层去指导适应层在后续过程中的操作行为,从而提高了INIAIS-NIDS系统的有效性和效率。  (5)证明了这样一种思想:如果要建立一种鲁棒性更好的入侵检测系统,那么在适应层使用多组检测器就极为必要。这样做的好处是,一组检测器出现故障不至于导致整个检测系统失效。将检测器分成多组,对于专属化的目标也很必要,这样做可使每组检测器只专注于检测特定的一类入侵行为,因而可以减少检测的复杂性,同时也可以减少覆盖所有入侵检测所需的检测器数目。这种方式使得在适应层进行的处理更加高效。  (6)阴性选择、克隆原理和危险理论是人工免疫系统的三种基本理论,但到目前为止这三种理论很少在同一个框架中一起实现。我们设计的INIAIS-NIDS系统提供了一种方式将所有这三种理论结合在一起,它们在系统内各自用于不同的任务,这有助于提高系统的整体性能。我们的研究提供了一个范例,阐述了如何将人工免疫系统的这三种理论结合在一起,以建立更有效和更高效的基于人工免疫系统的解决方案,而不是继续按现在的方式单独使用它们。  以上所提出的这些方法均通过实验验证了它们的正确性和有效性。
其他文献
本论文从理论和实验上详细研究了利用激光光折射原理快速测量牛乳乳糖质量分数的技术研究。He-Ne 激光器发出的单色激光从盛乳糖溶液的三角形(“△”形)试样盒中透射后,出射
图像处理是可视化领域的重要组成部分,近年来图像数据的规模和复杂程度不断加大,给图像处理和目标分析带来了很大难度。而图像显著性区域检测技术可以解决这一问题,它在减少
汽车导航系统是在全球卫星定位系统GPS基础上发展起来的新型技术。驾车者只要将目的地输入汽车导航系统,系统就会根据电子地图自动计算出最合适的路线,并在车辆行驶过程中(例如
多媒体计算机的发展趋势要求计算机能与人进行交流,而人脸传递着人类最广泛的信息,如情感、精神状态等,虽然每个人脸特征很相似,但却有不同的表情特征,于是人脸成为计算计算机视觉
随着网络故障的日益复杂,构建一个具有自我管理、自律特征的网络故障管理系统,不断提高网络故障管理的灵活性和易管理性,就显得更加迫切.本文引入自律计算(Autonomic Computi
随着运动控制技术日益在工业生产中显露出其重要作用,国内外对此技术的重视程度日益加大,投入了相当的财力人力,也逐渐创造了许多新的技术产品。在其发展过程中,百家齐鸣,大
本文对电信行业的运营和服务特点进行分析,将制造业结构化产品的概念和产品数据管理(ProductDataManagement,PDM)技术引入到电信行业,参考普通产品的材料清单(BillofMaterials,BO
安全电子交易协议(Secure Electronic Transaction,简称SET)是Visa和MasterCard两大信用卡公司在1997年联合推出的一个在开放网络上使用信用卡支付的安全电子支付协议。现在,
随着计算机网络技术的飞速发展,从网络所获得的各种形式的资源呈爆炸性增长。电子商务的不断发展使得用户对汇总信息和决策信息的需求更加迫切。面对如此境况,人们的注意力逐