摘　要： 給出了一個入侵免疫系統(tǒng)的結(jié)構(gòu)模型，對目前應用的免疫機制做了簡要介紹，在此基礎上，對迄今國內(nèi)外所提出的幾種典型的入侵免疫系統(tǒng)模型" title="系統(tǒng)模型">系統(tǒng)模型做了較詳盡的描述和分析；提出了影響網(wǎng)絡入侵免疫系統(tǒng)的評測因素以及入侵免疫系統(tǒng)今后進一步的研究方向。
　　關鍵詞： 入侵檢測" title="入侵檢測">入侵檢測 免疫機制 NIIS 評測因素

2 入侵免疫系統(tǒng)中應用的免疫機制
　　目前,入侵免疫模型中應用的主要有以下一些免疫機制：
　　(1) 以氨基酸短序列為基礎的免疫識別機制
　　不同生物的細胞都會表達(在細胞膜外表面上)或分泌一些具有獨特結(jié)構(gòu)的蛋白分子,可以作為不同生物的識別標志。這種蛋白分子上的獨特結(jié)構(gòu)是由相鄰的氨基酸排成的序列,稱為決定簇。淋巴細胞受體能與病原體的抗原決定簇(配體) 互補結(jié)合,從而實現(xiàn)對病原體的免疫識別。這種機制為進行模式識別提供了實現(xiàn)方法上的啟示。
　　(2) 以受體編碼基因庫為基礎的免疫多樣性機制
　　生物體在進化過程中逐漸形成了一組編碼淋巴細胞受體的基因庫。基因庫對幾乎任何一種病原體,都能生成可以對其進行特異性識別的受體，這種機制稱為免疫多樣性。
　　(3) 以陰性選擇為基礎的免疫耐受機制和分布式檢測機制
　　淋巴細胞受體的特性是只結(jié)合并識別病原體抗原，而不對自身抗原產(chǎn)生免疫反應(即自身耐受)。免疫學中通過陰性選擇來解釋成熟淋巴細胞的生成過程：淋巴細胞在表達出識別受體后，要經(jīng)過一個陰性選擇過程，在這個過程中，凡表達自身抗原識別受體的淋巴細胞會程序性死亡；相應地，發(fā)育成熟的淋巴細胞就只能識別非自身抗原了。免疫系統(tǒng)在對非自身抗原的免疫反應過程中，是各種免疫細胞通過高度局部化的相互作用而實現(xiàn)，這一機制在入侵檢測系統(tǒng)模型中得到了極大的重視和應用。
　　(4) 以記憶B 細胞為基礎的免疫記憶機制
　　免疫系統(tǒng)在后天可以被具有某種決定簇的抗原所誘導而產(chǎn)生免疫應答，當再次遇到這種抗原的時候，免疫應答會更敏感、更迅速和更強烈。這種后天通過抗原的誘導而獲得的適應性和特異性的免疫反應能力，被稱為免疫記憶。免疫記憶的特異性不是一對一的，它不僅使系統(tǒng)對以前遇見過的抗原仍然具有檢測能力(更敏感、更迅速和更強烈)，還能對相似結(jié)構(gòu)的其他抗原產(chǎn)生免疫應答。
3 網(wǎng)絡入侵免疫系統(tǒng)的研究進展
3.1 國外的研究進展
　　在國外提出基于免疫機制入侵檢測模型的代表主要是：新墨西哥大學的Forrest、Hofmeyr小組^[1~4]；University of Memphis的Dasgupta小組^[5~7]和倫敦大學的Kim、Bentley小組^[8~9]。Forrest小組致力于建立一個計算機免疫系統(tǒng)，提出用反向選擇算法NSA來產(chǎn)生成熟檢測器(類似于達爾文進化論中的優(yōu)勝劣汰的自然選擇算法)，并首次提出“計算機免疫學”一詞。Forrest小組提出的基于免疫機制的入侵檢測模型是一個基于網(wǎng)絡的入侵檢測模型,在這個模型中,整個系統(tǒng)由分布在網(wǎng)絡中處于監(jiān)聽狀態(tài)(“混雜”模式)的一組主機構(gòu)成,每臺主機是一個檢測檢點。在每個檢測結(jié)點上,用于免疫識別的抗原是由TCP SYN 請求包中的源IP地址、目的IP地址和服務端口三個屬性構(gòu)成的定長為L的二進制符號串。模型中的陰性檢測子是免疫系統(tǒng)中B細胞、T細胞和抗體的綜合體,數(shù)據(jù)結(jié)構(gòu)與抗原相同，檢測子與抗原的特異性互補結(jié)合以定長的連續(xù)位匹配函數(shù)來模擬。Forrest小組還提出了采用連續(xù)位匹配函數(shù)時，提高成熟檢測子生成效率的方法。
　　Dasgupta小組提出了一種實現(xiàn)入侵檢測的免疫遺傳模型，并提出了一種新的檢測子結(jié)構(gòu)，還提出了一個生成衡量不同危險級別的檢測子的思想，這是該小組的主要貢獻；不足之處在于其設計只是針對突發(fā)異常數(shù)據(jù)包的一類攻擊，這種攻擊很容易被發(fā)現(xiàn)，因此價值不高。Kim 小組描述了陰性選擇、克隆選擇和檢測子基因庫進化三種免疫機制的應用。該模型中，用于免疫識別的抗原是一個聚集結(jié)構(gòu)，模型中檢測子的結(jié)構(gòu)與抗原的結(jié)構(gòu)相同，檢測子與抗原是否匹配是通過所有各屬性的匹配分值之和是否超過某個閾值而判定的。系統(tǒng)由中樞IDS和周圍二級IDS組成。在中樞IDS 上存儲著一個用于生成未成熟檢測子的基因庫，基因庫最初是根據(jù)有關入侵的先驗知識建立的，然后再利用成功檢測到入侵的有效檢測子的信息來進化，周圍IDS 以中樞IDS 傳送的成熟檢測子進行入侵檢測。
　　在以上三個模型中，F(xiàn)orrest小組的模型較為新穎，研究最為實際、完整和深入。由于應用了免疫耐受機制(陰性選擇) ,該模型采用分布式檢測方式，由此帶來了系統(tǒng)的健壯性、多樣性、輕量級和可擴展性。不過該模型也有一些不足，主要是模型中參數(shù)較多，且各參數(shù)之間的相互關系，與具體應用環(huán)境、系統(tǒng)的資源、數(shù)據(jù)特點、檢測率和效率等因素的關系都不確定，對怎樣確定的一組參數(shù)值才能獲得較好的檢測效果有待進一步研究。Dasgupta小組研究的內(nèi)容只是其中的一個方面，即陰性檢測子和陽性檢測子的比較以及陰性檢測子的遺傳生成算法。Kim小組提出的模型從原理和結(jié)構(gòu)上看尚不存在問題，有待實驗驗證。
3.2 國內(nèi)的研究進展
　　國內(nèi)關于入侵免疫系統(tǒng)的研究，目前正如火如荼，采用了神經(jīng)網(wǎng)絡^[10]、數(shù)據(jù)挖掘^[11]、模糊邏輯和遺傳算法^[12]、Agent^[18～19]、對象免疫^[17]等多項技術，并已經(jīng)有了相當研究成果。主要有：
　　趙俊忠等^[13]結(jié)合多Agent和數(shù)據(jù)挖掘技術提出了一個基于免疫機制的入侵檢測系統(tǒng)模型，該模型在數(shù)據(jù)挖掘技術的應用上與別人有所不同，強調(diào)不同用戶行為的個體差異。挖掘不同用戶個體行為的規(guī)律性和不同服務器的配置信息，因此，獲得了較高的檢測率和準確性，并將檢測范圍擴充到了UDP 數(shù)據(jù)包的檢測。
　　潘志松等^[14]提出了一個基于自然免疫和疫苗接種機制相結(jié)合的入侵檢測系統(tǒng)模型以及相關算法, 該算法充分考慮了數(shù)據(jù)包負載部分包含的入侵信息, 建立反饋機制, 并將疫苗接種機制引入入侵檢測中, 使入侵檢測系統(tǒng)增強了對未知攻擊的識別能力，并使系統(tǒng)具有自組織性, 高效性和分布性。
　　鄧貴仕等^[15]對檢測子的生成機制和匹配算法進行了較為深入的探討，建立了一個基于免疫原理和Agent 技術的三層分布式網(wǎng)絡入侵檢測系統(tǒng)模型，但該模型存在不足的地方,例如如何縮短陰性選擇過程的時間，尋找更加高效的字符串匹配方法等。這些都是關系到系統(tǒng)效率的核心問題，需要做進一步的研究。
　　孫美鳳等^[16]針對的流量特征，提出了對Hofmeyr自適應免疫系統(tǒng)模型的一種改進，新的模型保留了Hofmeyr模型的優(yōu)點，可用于企業(yè)園區(qū)網(wǎng)，具有更強的能力，能為園區(qū)網(wǎng)提供全局的檢測和保護。但對用報文內(nèi)容刻畫的攻擊無能為力，如各種特洛伊木馬攻擊，它以報文中具有某個子串為攻擊特征。
　　胡翔等^[17]基于對象免疫思想，提出了一個入侵免疫系統(tǒng)的構(gòu)建方法，其核心是圍繞對象行為模型定制免疫規(guī)則，使每個對象受到針對性的保護。
　　吳作順等^[18]提出了一個基于免疫學的多代理入侵免疫系統(tǒng)模型，該模型中，基于免疫學的安全代理能在聯(lián)網(wǎng)節(jié)點之間漫游, 監(jiān)視網(wǎng)絡狀態(tài)。這些代理相互識別對方的活動行為，以等級方式進行合作, 并根據(jù)底層安全規(guī)則采取相應的行動。移動代理具有自我學習能力, 能動態(tài)適應周圍環(huán)境, 檢測出已知與未知的入侵。多代理檢測系統(tǒng)同時在不同層次監(jiān)視聯(lián)網(wǎng)計算機的活動情況, 包括用戶級、系統(tǒng)級、進程級和數(shù)據(jù)包級。
　　張勇等^[19]提出了一個基于免疫原理的多代理網(wǎng)絡入侵檢測系統(tǒng)模型，該系統(tǒng)是一個分布式的，各個檢測代理之間也是松耦合的，可以相互代替，并在本地保存了入侵日志，安全性較高，但只能根據(jù)單個網(wǎng)絡包來實現(xiàn)檢測。
吳澤俊等^[20]提出一個基于免疫的克隆選擇算法，對入侵檢測的免疫模型做了一些改進。
馬建偉等^[21]提出一個生成“檢測體”具有動態(tài)平衡的計算機免疫系統(tǒng)。
劉賽等^[22]提出了一種免疫遺傳算法，能檢測較大范圍內(nèi)的網(wǎng)絡入侵并能產(chǎn)生較好的模式識別器。
　　國內(nèi)上述模型雖應用了免疫系統(tǒng)的原理和機制，但有的只用了一部分，缺乏完整性，并且還主要停留在理論研究和探索階段，所做的工作較為零散未能形成連續(xù)的和系統(tǒng)性的研究，特別是距離在工程層面上的應用還有一定差距。
4 入侵免疫系統(tǒng)的評測因素
　　迄今提出的入侵免疫系統(tǒng)模型已有很多，毫無疑問存在一個評測的標準，本文稱之為評測因素。值得注意的是這些評測因素的存在影響著未來的入侵免疫系統(tǒng)的發(fā)展方向。影響一個入侵免疫系統(tǒng)的性能及應用的廣泛性的因素很多，但最主要的有以下幾個方面：
　　(1) 檢測抗原入侵的全面性程度
　　全面性程度是一個最重要的參數(shù)，若入侵免疫系統(tǒng)能檢測、免疫的抗原數(shù)越多，則其普及性越好、漏檢率越低。
　　(2) 檢測模型的自適應程度
　　自適應模型結(jié)合自學習系統(tǒng)的優(yōu)點，能體現(xiàn)特征系統(tǒng)的檢測效率。
　　(3) 可配置性
　　系統(tǒng)能夠容易地根據(jù)網(wǎng)絡或計算機的不同需求進行配置。網(wǎng)絡環(huán)境中的個體主機都是異構(gòu)的，可能有不同的安全需求、不同的網(wǎng)絡組件，例如：路由器、DNS、防火墻等及各種不同的網(wǎng)絡服務可能有不同的安全需求。
　　(4) 健壯性(魯棒性)
　　系統(tǒng)必須有多個檢測點，這樣才能足夠健壯，以對抗攻擊以及系統(tǒng)的任何差錯。NIIS最大的弱點就是遭受黑客攻擊從而導致系統(tǒng)失效。
　　(5) 互操作性
　　指NIIS部件之間以及與其他安全系統(tǒng)之間的互操作性，應從體系結(jié)構(gòu)、API、通信機制、語言格式等方面規(guī)范NIIS。
　　(6) 輕量級
　　輕量級的NIIS不會給系統(tǒng)造成過大的負擔。如果NIIS是輕量級的，就能提高工作效率，因為每一組件完成的任務很小，本地主機需執(zhí)行的主要任務應是有限的。
5 今后進一步的研究方向
　　入侵免疫系統(tǒng)的研究發(fā)展方興未艾，入侵免疫技術作為當前網(wǎng)絡安全研究的熱點，還需要做進一步深入、細致和長期的研究。今后可在以下幾方面開展進一步的研究：
　　(1) 生成高效、多功能的檢測子
　　現(xiàn)有NIIS中的檢測子僅僅基于單個網(wǎng)絡包檢測，且產(chǎn)生有效檢測子的效率也不高。因此，未來的入侵免疫系統(tǒng)若采用包含關于網(wǎng)絡流量及連接的信息的多功能檢測子，其檢測功能將大大增加。
　　(2) 采用自動免疫應答、響應機制
　　IDS的入侵響應方式和響應能力往往受到一定限制，而NIIS的響應機制接近最新出現(xiàn)的自動入侵響應系統(tǒng)[23]。所以，NIIS在響應機制方面將朝著自動入侵響應系統(tǒng)AIRS方向發(fā)展。
　　(3) 進一步完善系統(tǒng)功能
　　NIIS系統(tǒng)的一些重要功能尚未完成，例如免疫反應功能、基因庫的演化等。
　　(4) 擴展輸入源
　　目前的數(shù)據(jù)源是網(wǎng)絡數(shù)據(jù)包，下一步可以擴展輸入源，使NIIS能夠檢測到更多種類、更多層級上的入侵。
　　腦神經(jīng)系統(tǒng)(神經(jīng)網(wǎng)絡)、免疫系統(tǒng)和遺傳系統(tǒng)(演化計算)是生物體中三個具有重大研究意義的系統(tǒng)。其中，免疫系統(tǒng)的研究正成為新的研究熱點。免疫系統(tǒng)具有一些復雜系統(tǒng)所共有的特性，這些特性的研究無論從理論上還是工程應用上都有深遠意義。不過應明確，入侵檢測系統(tǒng)和免疫系統(tǒng)面對的問題并不完全一致。例如：免疫系統(tǒng)并不提供對機密性的保護。另外自身免疫性疾病也使我們看到自然免疫系統(tǒng)并不是一個非常完善的保護系統(tǒng)。因此，這說明了研究和構(gòu)建入侵免疫系統(tǒng)工作的艱巨性和長期性。
參考文獻
1 Forrest，Hofmeyr.Computer Immunology.Communications of the ACM.1997；40(10):88～96
2 Hofmeyr, Forrest,D’Haeseleer An immunological approach to distributed network intrusion detection. RAID’98 ,Belgium,1998.http://www.raid-symposium.org/raid98
3 Hofmeyr,Somayaji,Forrest.Intrusion detection using sequencesof system calls1 Journal of Computer Security,1998；6(3): 151～180
4 Hofmeyr,Forrest.Immunity by design:An artificial immune system. GECCO’99,San Francisco, CA,1999
5 Dasgupta.An immune agent architecture for intrusion detec-tion.GECCO 2000 ,Las Vegas , Nevada,USA,2000
6 Dasgupta.Immunity-based intrusion detection systems:A gen-era.framework.The 22nd National Information Systems Security
Conf(NISSC),19991 ftp://ftp.msci.memphis.edu/comp/dasgupta/papers/Immune-IDS.pdf
7 Dasgupta,Gonzalez. An immunogenetic approach to intrusion detection. The University of Memphis,Tech Rep:CS-01-001,2001
8 Kim,Bentley. Investigating the roles of negative selection and clonal selection in an artificial immune system for network intrusion detection. The Special Issue on Artificial Immune Systems in IEEE Transactions of Evolutionary Computation, 2001
9 Kim,Bentley. Evaluating negative selection in an artificial immune system for network intrusion detection.GECCO₂001, 2001.http://www.cs.ucl.ac.uk/staff/J.Kim/pub/ RW254.ps
10 撖書良，蔣嶷川等.基于神經(jīng)網(wǎng)絡的高效智能入侵檢測系統(tǒng)[J].計算機工程" title="計算機工程">計算機工程,2004；30(10)：69～70
11 李慶華，童健華等. 基于數(shù)據(jù)挖掘的入侵特征建模[J]. 計算機工程，2004；30(8)：51～53
12 王永杰，鮮明等.模糊邏輯和遺傳算法在IIDS中的應用 [J]. 計算機工程，2004；30(9)：134～135
13 趙俊忠等.免疫機制在計算機網(wǎng)絡入侵檢測中的應用研究[J].計算機研究與發(fā)展,2003；40(9):1293～1299
14 潘志松等.一種基于人工免疫原理的入侵檢測系統(tǒng)模型[J].數(shù)據(jù)采集與處理,2003；18(1):22～26
15 鄧貴仕等.基于免疫原理的網(wǎng)絡入侵檢測系統(tǒng)的研究[J].計算機應用研究，2004；(9)：139～141
16 孫美鳳等.一種基于免疫學的園區(qū)網(wǎng)入侵檢測模型[J].計算機工程與科學，2004；26(10)：34～37
17 胡 翔等.基于對象免疫的入侵檢測系統(tǒng)及其在網(wǎng)上銀行的應用[J].系統(tǒng)安全,2002；10:37～39
18 吳作順等. 基于免疫學的多代理入侵檢測系統(tǒng)[J].國防科技大學學報,2002；24(4):42～47
19 張 勇等.基于免疫原理的多代理網(wǎng)絡入侵檢測系統(tǒng)的設計[J]. 計算機應用與軟件，2004；21(9)：1～2
20 吳澤俊等.入侵檢測系統(tǒng)中基于免疫的克隆選擇算法[J].計算機工程，2004；30(6)：50～52
21 馬建偉等.生物免疫思想在計算機安全中的應用[J].計算機工程，2004；30(6)：120～123
22 劉賽等.入侵檢測系統(tǒng)中的一種免疫遺傳算法[J]. 計算機工程，2004，30(8)：63～64
23 張運凱，張玉清等.自動入侵響應系統(tǒng)的研究[J].計算機工程, 2004；30(11):1～3
24 龍振洲等.醫(yī)學免疫學[M]. 北京：(第二版)人民衛(wèi)生出版社，1999，7
25 唐正軍.網(wǎng)絡入侵檢測系統(tǒng)的設計與實現(xiàn)[M]. 北京：電子工業(yè)出版社，2002，8