摘要：給出了一個(gè)入侵免疫系統(tǒng)的結(jié)構(gòu)模型,，對(duì)目前應(yīng)用的免疫機(jī)制做了簡(jiǎn)要介紹,，在此基礎(chǔ)上,，對(duì)迄今國(guó)內(nèi)外所提出的幾種典型的入侵免疫系統(tǒng)模型做了較詳盡的描述和分析,；提出了影響網(wǎng)絡(luò)入侵免疫系統(tǒng)的評(píng)測(cè)因素以及入侵免疫系統(tǒng)今后進(jìn)一步的研究方向。  

 

        關(guān)鍵詞：入侵免疫  免疫機(jī)制  NIIS  評(píng)測(cè)因素

 

隨著攻擊者知識(shí)的積累以及攻擊手法的日趨復(fù)雜和隱蔽,，被動(dòng)的安全策略已經(jīng)無(wú)法滿(mǎn)足網(wǎng)絡(luò)安全的需求,。在這種情況下，人們開(kāi)始進(jìn)一步采用入侵檢測(cè)等主動(dòng)防御技術(shù),，在網(wǎng)絡(luò)中布署入侵檢測(cè)系統(tǒng)IDS（Intrusion  Detection  System）作為第二道防線(xiàn)。入侵檢測(cè),，顧名思義是對(duì)入侵行為的發(fā)現(xiàn),，它通過(guò)在計(jì)算機(jī)網(wǎng)絡(luò)或計(jì)算機(jī)系統(tǒng)中的若干關(guān)鍵點(diǎn)收集信息并對(duì)其進(jìn)行分析，從中發(fā)現(xiàn)網(wǎng)絡(luò)或系統(tǒng)中是否有違反安全策略的行為和被攻擊的跡象,。但由于傳統(tǒng)的入侵檢測(cè)系統(tǒng)大多采用基于規(guī)則的檢測(cè)方法,，最終用戶(hù)需要經(jīng)常更新規(guī)則，在入侵規(guī)則的獲取,、更新方面存在瓶頸,，缺乏有效性、自適應(yīng)性和可擴(kuò)展性,，不易檢測(cè)入侵變體,。為此，近幾年人們把入侵檢測(cè)技術(shù)與生物免疫系統(tǒng)相結(jié)合,，通過(guò)對(duì)自然免疫系統(tǒng)的模擬研究,，力圖使計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)獲得更多理想的安全特性，這就導(dǎo)致了一種新型,、智能化的入侵檢測(cè)系統(tǒng)——網(wǎng)絡(luò)入侵免疫系統(tǒng)（Network  Intrusion  Immune  System,。簡(jiǎn)稱(chēng)NIIS）的誕生，并成為當(dāng)今的研究熱點(diǎn)之一。

 

本文對(duì)當(dāng)前的入侵免疫系統(tǒng)中應(yīng)用的免疫機(jī)制做了簡(jiǎn)要介紹,，并對(duì)國(guó)內(nèi)外一些關(guān)于入侵免疫系統(tǒng)模型研究的新進(jìn)展做了比較分析,。

 

1  網(wǎng)絡(luò)入侵免疫系統(tǒng)NIIS的結(jié)構(gòu)模型

 

免疫系統(tǒng)是一個(gè)復(fù)雜的多代理系統(tǒng)。將免疫系統(tǒng)應(yīng)用到入侵檢測(cè)當(dāng)中,，本質(zhì)上是設(shè)計(jì)和實(shí)現(xiàn)一個(gè)分布式智能多代理系統(tǒng),。免疫的基本原理是分辨本體（正常）和異體（異常）。在入侵檢測(cè)領(lǐng)域,，本體是被監(jiān)控網(wǎng)絡(luò)的正常行為,，異體是網(wǎng)絡(luò)的異常行為。NIIS主要由兩部分組成,，抗體培育中心和免疫代理,，見(jiàn)圖1。

 

2  入侵免疫系統(tǒng)中應(yīng)用的免疫機(jī)制

 

目前入侵免疫模型中應(yīng)用的主要有以下一些免疫機(jī)制：

 

（1）以氨基酸短序列為基礎(chǔ)的免疫識(shí)別機(jī)制

 

不同生物的細(xì)胞都會(huì)表達(dá)（在細(xì)胞膜外表面上）或分泌一些具有獨(dú)特結(jié)構(gòu)的蛋白分子,，可以作為不同生物的識(shí)別標(biāo)志,。這種蛋白分子上的獨(dú)特結(jié)構(gòu)是由相鄰的氨基酸排成的序列，稱(chēng)為決定簇,。淋巴細(xì)胞受體能與病原體的抗原決定簇（配體）互補(bǔ)結(jié)合,，從而實(shí)現(xiàn)對(duì)病原體的免疫識(shí)別。這些機(jī)制為進(jìn)行模式識(shí)別提供了實(shí)現(xiàn)方法上的啟示,。

 

（2）以受體編碼基因庫(kù)為基礎(chǔ)的免疫多樣性機(jī)制

 

生物體在進(jìn)化過(guò)程中逐漸形成了一組編碼淋巴細(xì)胞受體的基因庫(kù),。基因庫(kù)對(duì)幾乎任何一種病原體,，都能生成可以對(duì)基進(jìn)行特性異性識(shí)別的受體,，這種機(jī)制稱(chēng)為免疫多樣性。

 

（3）以陰性選擇為基礎(chǔ)的免疫耐受機(jī)制和分布式檢測(cè)機(jī)制

 

淋巴細(xì)胞受體的特性是只結(jié)合并識(shí)別病原體抗原,，而不對(duì)自身抗原產(chǎn)生免疫反應(yīng)（即自身耐受）,。免疫學(xué)中通過(guò)陰性選擇來(lái)解釋成熟淋巴細(xì)胞的生成過(guò)程：淋巴細(xì)胞在表達(dá)出識(shí)別受體后，要經(jīng)過(guò)一個(gè)陰性選擇過(guò)程,，在這個(gè)過(guò)程中,，凡表達(dá)自身抗原識(shí)別受體的淋巴細(xì)胞會(huì)過(guò)程性死亡；相應(yīng)地,，發(fā)育成熟的淋巴細(xì)胞就只能識(shí)別非自身抗原了,。免疫系統(tǒng)在對(duì)非自身抗原的免疫反應(yīng)過(guò)程中，是各種免疫細(xì)胞通過(guò)高度局部化的相互作用而實(shí)現(xiàn),，這一機(jī)制在入侵檢測(cè)系統(tǒng)模型中得到了極大的重視和應(yīng)用,。

 

（4）以記憶B細(xì)胞為基礎(chǔ)的免疫記憶機(jī)制

 

免疫系統(tǒng)在后天可以被具有某種決定簇的抗原所誘導(dǎo)而產(chǎn)生免疫應(yīng)答，當(dāng)再次遇到這種抗原的時(shí)候,，免疫應(yīng)答會(huì)更敏感,、更迅速和更強(qiáng)烈。這種后天通過(guò)抗原的誘導(dǎo)而獲得的適應(yīng)性和特異性的免疫反應(yīng)能力，被稱(chēng)為免疫記憶,。免疫記憶的特異性不是一對(duì)一的,，它不僅使系統(tǒng)對(duì)以前遇見(jiàn)過(guò)的抗原仍然具有檢測(cè)能力（更敏感、更迅速和更強(qiáng)烈）,，還能對(duì)相似結(jié)構(gòu)的其他抗原產(chǎn)生免疫應(yīng)答,。

 

3  網(wǎng)絡(luò)入侵免疫系統(tǒng)的研究進(jìn)展

 

3．1  國(guó)外的研究進(jìn)展

 

在國(guó)外提出基于免疫機(jī)制入侵檢測(cè)模型的代表主要是：新墨西哥大學(xué)的Forrest、Hofmeyr小組,；University  of  Memphis的Dasgupta小組和倫敦大學(xué)的Kim,、Bentley小組。Forrest小組致力于建立一個(gè)計(jì)算機(jī)免疫系統(tǒng),，提出用反向選擇算法NSA來(lái)產(chǎn)生成熟檢測(cè)器（類(lèi)似于達(dá)爾文進(jìn)化論中的優(yōu)勝劣汰的自然選擇算法）,，并首次提出“計(jì)算機(jī)免疫學(xué)”一詞。Forrest小組基于免疫機(jī)制的入侵檢測(cè)模型是一個(gè)基于網(wǎng)絡(luò)的入侵檢測(cè)模型,，在這個(gè)模型中,，整個(gè)系統(tǒng)由分布在網(wǎng)絡(luò)中處于監(jiān)聽(tīng)狀態(tài)（“混雜”模式）的一組主機(jī)構(gòu)成，每臺(tái)主機(jī)是一個(gè)檢測(cè)檢點(diǎn),。在每個(gè)檢測(cè)給點(diǎn)上,，用于免疫識(shí)別的抗原是由TCPSYN請(qǐng)求包中的源IP地址、目的IP地址和服務(wù)端口三個(gè)屬性構(gòu)成的定長(zhǎng)為L(zhǎng)的二進(jìn)制符號(hào)串,。模型中的陰性檢測(cè)子是免疫系統(tǒng)中B細(xì)胞,、T細(xì)胞和抗體的綜合體，數(shù)據(jù)結(jié)構(gòu)與抗原相同,，檢測(cè)子與抗原的特導(dǎo)體互補(bǔ)結(jié)合以定長(zhǎng)的連續(xù)位匹配函數(shù)來(lái)模擬,。Forrest小組還提出了采用連續(xù)位匹配函數(shù)時(shí)，提高成熟檢測(cè)子生成效率的方法,。

 

Dasgupta小組提出了一種實(shí)現(xiàn)入侵檢測(cè)的免疫遺傳模型，并提了一種新的檢測(cè)子結(jié)構(gòu),，還提出了一個(gè)生成衡量不同危險(xiǎn)級(jí)別的檢測(cè)子的思想,，這是該小組的主要貢獻(xiàn)；不足之處在于其設(shè)計(jì)只是針對(duì)突發(fā)異常數(shù)據(jù)包的一類(lèi)攻擊,，這種攻擊很容易被發(fā)現(xiàn),，因此價(jià)值不高。Kim小組描述了陰性選擇,、克隆選擇和檢測(cè)子基因庫(kù)進(jìn)化三種免疫機(jī)制的應(yīng)用,。該模型中，用于免疫識(shí)別的抗原是一種聚集結(jié)構(gòu),，模型中檢測(cè)子的結(jié)構(gòu)與抗原的結(jié)構(gòu)相同,，檢測(cè)子與抗原是否匹配是通過(guò)所有各屬性的匹配分值之和是否超過(guò)某個(gè)閾值而判定的。系統(tǒng)由中樞IDS和周?chē)?jí)IDS組成。在中樞IDS上存儲(chǔ)著一個(gè)用于生成未成熟檢測(cè)子的基因庫(kù),，基因庫(kù)最初是根據(jù)有關(guān)入侵的先驗(yàn)知識(shí)建立的,，然后再利用成功檢測(cè)到入侵的有效檢測(cè)子的信息來(lái)進(jìn)化，周?chē)鶬DS以中樞IDS傳送的成熟檢測(cè)子進(jìn)行入侵檢測(cè),。

 

        在以上三個(gè)模型中,，F(xiàn)orrest小組的模型較為新穎，研究最為實(shí)現(xiàn),、完整和深入,。由于應(yīng)用了免疫耐受機(jī)制（陰性選擇），該模型采用分布式檢測(cè)方式,，由此帶來(lái)了系統(tǒng)的健壯性,、多樣性、輕量級(jí)和可擴(kuò)展性,。不過(guò)該模型也有一些不足,，主要是模型中參數(shù)較多，且各參數(shù)之間的相互關(guān)系,，與具體應(yīng)用環(huán)境,、系統(tǒng)的資源、數(shù)據(jù)特點(diǎn),、檢測(cè)率和效率等因素的關(guān)系都不確定,，對(duì)怎樣確定的一組參數(shù)值才能獲得較好的檢測(cè)效果有待進(jìn)一步研究。Dasgupta小組研究的內(nèi)容只是其中的一個(gè)方面,，即陰性檢測(cè)子和陽(yáng)性檢測(cè)子的比較以及陰性檢測(cè)子的遺傳生成算法,。Kim小組提出的模型從原理和結(jié)構(gòu)上看尚不存在問(wèn)題，有待實(shí)驗(yàn)驗(yàn)證,。

 

3．2  國(guó)內(nèi)的研究進(jìn)展

 

國(guó)內(nèi)關(guān)于入侵免疫系統(tǒng)的研究,，目前正如火如荼，采用了神經(jīng)網(wǎng)絡(luò),、數(shù)據(jù)挖掘,、模糊邏輯和遺傳算法、Agent,、對(duì)象免疫等多項(xiàng)技術(shù),，并已經(jīng)有了相當(dāng)研究成果。主要有：

 

趙俊忠等結(jié)合多Agent和數(shù)據(jù)挖掘技術(shù)提出了一個(gè)基于免疫機(jī)制的入侵檢測(cè)系統(tǒng)模型,，該模型在數(shù)據(jù)挖掘技術(shù)的應(yīng)用上與別人有所不同,，強(qiáng)調(diào)不同用戶(hù)行為的個(gè)體差異。挖掘不同用戶(hù)個(gè)體行為的規(guī)律性和不同服務(wù)器的配置信息,，因此,，獲得了較高的檢測(cè)率和準(zhǔn)確性,，并將檢測(cè)范圍擴(kuò)充到了UDP數(shù)據(jù)包的檢測(cè)。

 

潘志松等提出了一個(gè)基于自然免疫和疫苗接種機(jī)制相結(jié)合的入侵檢測(cè)系統(tǒng)模型以及相關(guān)算法,，該算法充分考慮了數(shù)據(jù)包負(fù)載部分包含的入侵信息,，建立反饋機(jī)制，并將疫苗接種機(jī)制引入入侵檢測(cè)中,，使入侵檢測(cè)系統(tǒng)增強(qiáng)了對(duì)未知攻擊的識(shí)別能力,，并使系統(tǒng)具有自組織性，高效性和分布性,。

 

鄧貴仕等對(duì)檢測(cè)子的生成機(jī)制和匹配算法進(jìn)行了較為深入的探討,，建立了一個(gè)基于免疫原理和Agent技術(shù)的三層分布式網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)模型，但該模型存在不足的地方,，例如如何縮短陰性選擇過(guò)程的時(shí)間,，尋找更加高效的字符串匹配方法等。這些都是關(guān)系到系統(tǒng)效率的核心問(wèn)題,，需要做進(jìn)一步的研究,。

 

孫美鳳等針對(duì)的流量特征，提出了對(duì)Hofmeyr自適應(yīng)免疫系統(tǒng)模型的一種改進(jìn),，新的模型保留了Hofmeyr模型的優(yōu)點(diǎn),，可用于企業(yè)園區(qū)網(wǎng)，具有更強(qiáng)的能力,，能為園區(qū)網(wǎng)提供全局的檢測(cè)和保護(hù),。但對(duì)用報(bào)文內(nèi)容刻畫(huà)的攻擊無(wú)能為力，如各種特洛伊木馬攻擊,，它以報(bào)文中具有某個(gè)子串為攻擊特征,。

 

胡翔等基于對(duì)象免疫思想，提出了一個(gè)入侵免疫系統(tǒng)的構(gòu)建方法,，其核心是圍繞對(duì)象行為模型定制免疫規(guī)則,，使每個(gè)對(duì)象受到針對(duì)性的保護(hù)。

 

吳作順等提出了一個(gè)基于免疫學(xué)的多代理入侵免疫系統(tǒng)模型,，該模型中,，基于免疫學(xué)的安全代理能在聯(lián)網(wǎng)節(jié)點(diǎn)之間漫游，監(jiān)視網(wǎng)絡(luò)狀態(tài),。這些代理相互識(shí)別對(duì)方的活動(dòng)行為，以等級(jí)方式進(jìn)行合作,，并根據(jù)底層安全規(guī)則采取相應(yīng)的行動(dòng),。移動(dòng)代理具有自學(xué)學(xué)習(xí)能力，能動(dòng)態(tài)適應(yīng)周?chē)h(huán)境,，檢測(cè)出已知與未知的入侵,。多代理檢測(cè)系統(tǒng)同時(shí)在不同層次監(jiān)視聯(lián)網(wǎng)計(jì)算機(jī)的活動(dòng)情況,，包括用戶(hù)級(jí)、系統(tǒng)級(jí),、進(jìn)程級(jí)和數(shù)據(jù)包級(jí),。

 

張勇等提出了一個(gè)基于免疫原理的多代理網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)模型，該系統(tǒng)是一個(gè)分布式的,，各個(gè)檢測(cè)代理之間也是松耦合的,，可以相互代替，并在本地保存了入侵日志,，安全性較高,，但只能根據(jù)單個(gè)網(wǎng)絡(luò)包來(lái)實(shí)現(xiàn)檢測(cè)。

 

吳澤俊等提出了一個(gè)基于免疫的克隆選擇算法,，對(duì)入侵檢測(cè)的免疫模型做了一些改進(jìn),。

 

馬建偉等提出一個(gè)生成“檢測(cè)體”具有動(dòng)態(tài)動(dòng)態(tài)平衡的計(jì)算機(jī)免疫系統(tǒng)。

 

劉賽等提出了一種免疫遺傳算法,，能檢測(cè)較大范圍內(nèi)的網(wǎng)絡(luò)入侵并能產(chǎn)生較好的模式識(shí)別器,。

 

國(guó)內(nèi)上述模型雖應(yīng)用了免疫系統(tǒng)的原理和機(jī)制，但有的只用了一部分,，缺乏完整性,，并且還主要停留在理論研究和探索階段，所做的工作較為零散未能形成連續(xù)的和系統(tǒng)性的研究,，特別是距離在工程層面上的應(yīng)用還有一定差距,。

 

4  入侵免疫系統(tǒng)的評(píng)測(cè)因素

 

迄今提出的入侵免疫系統(tǒng)模型已有很多，毫無(wú)疑問(wèn)存在一個(gè)評(píng)測(cè)的標(biāo)準(zhǔn),，本文稱(chēng)之為評(píng)測(cè)因素,。值得注意的是這些評(píng)測(cè)因素的存在影響著未來(lái)的入侵免疫系統(tǒng)的發(fā)展方向。影響一個(gè)入侵系統(tǒng)的性能及應(yīng)用的廣泛性的因素很多,，但最主要的有以下幾個(gè)方面：

 

（1）檢測(cè)抗原入侵的全面性程度

 

全面性程度是一個(gè)最重要的參數(shù),，若入侵免疫系統(tǒng)能檢測(cè)、免疫的抗原數(shù)越多,，則其普及性越好,、漏檢率越低。

 

（2）檢測(cè)模型的自適應(yīng)程度

 

自適應(yīng)模型結(jié)合自學(xué)習(xí)系統(tǒng)的優(yōu)點(diǎn),，能體現(xiàn)特征系統(tǒng)的檢測(cè)效率,。

 

（3）可配置性

 

系統(tǒng)能夠容易地根據(jù)網(wǎng)絡(luò)或計(jì)算機(jī)的不同需求進(jìn)行配置。網(wǎng)絡(luò)環(huán)境中的個(gè)體主機(jī)都是異構(gòu)的,，可能有不同的安全需求,、不同的網(wǎng)絡(luò)組件，例如：路由器,、DNS,、防火墻等及各種不同的網(wǎng)絡(luò)服務(wù)可能有不同的安全需求,。

 

（4）健壯性（魯棒性）

 

系統(tǒng)必須有多個(gè)檢測(cè)點(diǎn)，這樣才能足夠健壯,，以對(duì)抗攻擊以及系統(tǒng)的任何差錯(cuò),。NIIS最大的弱點(diǎn)就是遭受黑客攻擊從而導(dǎo)致系統(tǒng)失效。

 

（5）互操作性

 

指NIIS部件之間以及與其他安全系統(tǒng)之間的互操作性,，應(yīng)從體系結(jié)構(gòu),、API、通信機(jī)制,、語(yǔ)言格式等方面規(guī)范NIIS,。

 

（6）輕量級(jí)

 

輕量級(jí)的NIIS不會(huì)給系統(tǒng)造成過(guò)大的負(fù)擔(dān)。如果NIIS是輕量級(jí)的,，就能提高工作效率,，因?yàn)槊恳唤M件完成的任務(wù)很小，本地主機(jī)需執(zhí)行的主要任務(wù)應(yīng)是有限的,。

 

5  今后進(jìn)一步的研究方向

 

入侵免疫系統(tǒng)的研究發(fā)展方興未艾,，入侵免疫技術(shù)作為當(dāng)前網(wǎng)絡(luò)安全研究的熱點(diǎn)，還需要做進(jìn)一步深入,、細(xì)致和長(zhǎng)期原研究,。今后可以在以下幾方面開(kāi)展進(jìn)一步的研究：

 

（1）生成高效、多功能的檢測(cè)子

 

現(xiàn)有NIIS中的檢測(cè)子僅僅基于單個(gè)網(wǎng)絡(luò)包檢測(cè),，具產(chǎn)生有效檢測(cè)子的效率也不高,。因此，未來(lái)的入侵免疫系統(tǒng)若采用包含關(guān)于網(wǎng)絡(luò)流量及連接的停息的多功能檢測(cè)子,，其檢測(cè)功能將大大增加,。

 

（2）采用自動(dòng)免疫應(yīng)答、響應(yīng)機(jī)制

 

IDS的入侵響應(yīng)方式和響應(yīng)能力往往受到一定限制,，而NIIS的響應(yīng)機(jī)制接近最新出現(xiàn)的自動(dòng)入侵響應(yīng)系統(tǒng),。所以，NIIS在響應(yīng)機(jī)制方面將朝著自動(dòng)入侵響應(yīng)系統(tǒng)AIRS方向發(fā)展,。

 

（3）進(jìn)一步完善系統(tǒng)功能

 

NIIS系統(tǒng)的一些重要功能尚未完成,，例如免疫反應(yīng)功能、基因庫(kù)的演化等,。

 

（4）擴(kuò)展輸入源

 

目前的數(shù)據(jù)源是網(wǎng)絡(luò)數(shù)據(jù)包,，下一步可以擴(kuò)展輸入源，使NIIS能夠檢測(cè)到更多種類(lèi),、更多層級(jí)上的入侵,。

 

腦神經(jīng)系統(tǒng)（神經(jīng)網(wǎng)絡(luò)）、免疫系統(tǒng)和遺傳系統(tǒng)（演化計(jì)算）是生物體中三個(gè)具有重大研究意義的系統(tǒng),。其中,，免疫系統(tǒng)的研究正成為新的研究熱點(diǎn)。免疫系統(tǒng)具有一些復(fù)雜系統(tǒng)所共有的特性,，這些特性的研究無(wú)論從理論上還是工程應(yīng)用上都有深遠(yuǎn)意義,。不過(guò)應(yīng)明確，入侵檢測(cè)系統(tǒng)和免疫系統(tǒng)面對(duì)的總是并不完全一致,。例如：免疫系統(tǒng)并不提供對(duì)機(jī)密性的保護(hù),。另外自身免疫性疾病也使我們看到自然免疫系統(tǒng)并不是一個(gè)非常完善的保護(hù)系統(tǒng)。因此,，這說(shuō)明了研究和構(gòu)建入侵免疫系統(tǒng)工作的艱巨性和長(zhǎng)期性,。