免疫機(jī)制在計(jì)算機(jī)網(wǎng)絡(luò)入侵檢測中的應(yīng)用

陳浩亮

（武漢信息傳播職業(yè)技術(shù)學(xué)院 湖北武漢 430223）

引言

生物免疫系統(tǒng)已成功地保護(hù)人體免受各種外來病原體的侵害。越來越多的計(jì)算機(jī)科學(xué)家仔細(xì)研究了這種有效的自然機(jī)制的成功，并提出了解決各種問題的計(jì)算機(jī)免疫模型，包括故障診斷、病毒檢測和抵押欺詐檢測。在這些領(lǐng)域中，入侵檢測是一個(gè)蓬勃發(fā)展的研究領(lǐng)域，在這一領(lǐng)域中，對人工免疫系統(tǒng)的使用進(jìn)行了檢查。入侵檢測的主要目的是檢測系統(tǒng)內(nèi)部人員和外部入侵者對計(jì)算機(jī)系統(tǒng)的未經(jīng)授權(quán)使用、濫用和濫用。目前，許多基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)（IDS）都是采用多種方法開發(fā)的。然而，建立有效的基于網(wǎng)絡(luò)的身份證仍然存在著尚未解決的問題。作為解決這些問題的一種方法，先前的工作確定了一套成功的基于網(wǎng)絡(luò)的IDS的一般要求和三個(gè)設(shè)計(jì)目標(biāo)。

一、免疫機(jī)制要求

分布式、自組織和輕量級。此外，介紹了滿足這三個(gè)設(shè)計(jì)目標(biāo)的免疫系統(tǒng)的一些顯著特征。預(yù)計(jì)這些特性的采用將有助于構(gòu)建有效的基于網(wǎng)絡(luò)的IDS。提出了一個(gè)用于網(wǎng)絡(luò)入侵檢測的人工免疫模型，該模型由三個(gè)不同的進(jìn)化階段組成：陰性選擇、克隆選擇和基因庫進(jìn)化。該模型并不是開發(fā)用于網(wǎng)絡(luò)入侵檢測的AIS的第一次嘗試。建立人工免疫系統(tǒng)的各種方法主要是通過只實(shí)施一小部分整體人體免疫機(jī)制來嘗試的。這是因?yàn)槊庖呦到y(tǒng)的本質(zhì)是非常復(fù)雜和復(fù)雜的，因此很難在計(jì)算機(jī)上實(shí)現(xiàn)完美的免疫過程。然而，從其他免疫學(xué)文獻(xiàn)中可以看出，整體免疫反應(yīng)是細(xì)胞、化學(xué)信號、酶等多種成分仔細(xì)協(xié)調(diào)的結(jié)果。因此，為了使AIS的發(fā)展更簡單和更適用而省略關(guān)鍵成分可能會(huì)產(chǎn)生不利影響影響AIS的性能。這意味著，只有正確理解免疫系統(tǒng)關(guān)鍵組成部分的作用，并以正確的方式實(shí)施，才能預(yù)期適當(dāng)?shù)娜斯っ庖叻磻?yīng)。在這篇論文中，我們繼續(xù)努力了解人工免疫系統(tǒng)的重要組成部分的作用，特別是提供適當(dāng)?shù)娜斯っ庖叻磻?yīng)，以抵御網(wǎng)絡(luò)入侵。繼我們之前通過廣泛的文獻(xiàn)研究確定AIS的三個(gè)不同進(jìn)化階段：負(fù)選擇、克隆選擇和基因庫進(jìn)化之后，本文重點(diǎn)研究了第一階段：負(fù)選擇的作用。結(jié)合這一階段的實(shí)施細(xì)節(jié)，本文介紹了如何以及哪些方面的負(fù)面影響。選擇有助于開發(fā)有效的基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)[1]。

二、免疫機(jī)制在計(jì)算機(jī)網(wǎng)絡(luò)入侵檢測中的應(yīng)用

（一）免疫系統(tǒng)的負(fù)選擇

免疫系統(tǒng)的一個(gè)重要特征是其保持多樣性和通用性的能力。它能用少量抗體檢測大量抗原。為了實(shí)現(xiàn)這一點(diǎn)，它配備了幾個(gè)有用的功能。其中一個(gè)功能是通過基因表達(dá)過程產(chǎn)生成熟抗體。免疫系統(tǒng)利用胸腺和骨髓兩種器官中的基因庫。當(dāng)產(chǎn)生新抗體時(shí)，隨機(jī)選擇不同基因庫的基因片段，并按隨機(jī)順序連接。這種基因表達(dá)機(jī)制的主要思想是，基因庫中的基因片段的新組合可以產(chǎn)生大量的新抗體。本文采用負(fù)選擇算法構(gòu)建了一個(gè)異常檢測器。這是通過生成包含非自模式的檢測器來實(shí)現(xiàn)的。該算法的概述。本文所使用的網(wǎng)絡(luò)入侵檢測的否定選擇算法遵循前一節(jié)中描述的的算法?！癝elf”是通過分析每個(gè)網(wǎng)絡(luò)連接的活動(dòng)而構(gòu)建的。下一節(jié)將詳細(xì)介紹自評測。

檢測器有一個(gè)基數(shù)為10的字母表，其值從“0”到“9”，該基因的等位基因表示對應(yīng)的圖譜區(qū)域的“簇?cái)?shù)”。如下一節(jié)所示，從第一個(gè)數(shù)據(jù)集構(gòu)建的自我輪廓有33個(gè)字段，這個(gè)數(shù)字決定了檢測器中相應(yīng)基因的總數(shù)。從這33個(gè)字段中，28個(gè)字段的值是連續(xù)的，其他5個(gè)字段的值是離散的。具體來說，28個(gè)字段的連續(xù)值顯示了廣泛的值范圍。為了處理這些不同且廣泛的值范圍，將對每個(gè)字段的實(shí)際值的總體范圍進(jìn)行排序。然后，將該范圍離散為預(yù)定義數(shù)量的簇[2]。

通過確保每個(gè)集群包含相同數(shù)量的記錄來確定每個(gè)集群的下限和上限。為了節(jié)省編碼檢測器的長度，這種修改是必要的。此外，我們在表型水平上測量產(chǎn)生的檢測器和自我輪廓之間的相似性，而在基因型水平上進(jìn)行。為了測量一個(gè)檢測器和一個(gè)自我之間的相似性，檢測器的基因型被映射到一個(gè)表型上[3]。

從進(jìn)化基因型映射的表型以檢測器模式的形式表示。檢測器表型的場由具有下限和上限的區(qū)間表示，而自我表型的場由一個(gè)特定值描述。因此，測量相似性的第一步檢查自模式的每個(gè)場的值是否屬于檢測器表型的對應(yīng)間隔。當(dāng)一個(gè)自模式場的任何值不包括在檢測器表型的相應(yīng)間隔中時(shí)，這兩個(gè)場就不匹配。類似地，對于標(biāo)稱類型的字段，當(dāng)字段值相同時(shí)，兩個(gè)字段匹配。給定檢測器和自樣本之間的最終相似度遵循Forrest等人的相同匹配函數(shù)，即r-鄰接匹配函數(shù)。因此，簡單地通過計(jì)算匹配的對應(yīng)字段來度量相似度。例如，如果激活閾值r設(shè)置為2，則檢測器表型和自身表型將匹配，因?yàn)閮蓚€(gè)相鄰字段“包數(shù)”和“持續(xù)時(shí)間”匹配，并且該相鄰匹配字段的數(shù)目等于激活閾值。然而，如果這個(gè)閾值設(shè)置為3，則認(rèn)為兩個(gè)表型不匹配[4]。

三、結(jié)束語

這一結(jié)果指導(dǎo)本研究重新定義負(fù)選擇算法在我們整個(gè)人工免疫系統(tǒng)框架中的作用。目前正在研究克隆選擇階段的入侵檢測機(jī)制。對克隆選擇階段的任務(wù)有了新的理解，現(xiàn)在在一種新的克隆選擇算法中，負(fù)選擇作為一種算子的使用更為合適。