基于免疫的入侵防御模型研究

陶 晶

摘要：本文分析了入侵防御系统与生物免疫系统的相似性，建立了二者之间的映射关系。给出了基}lI免疫的入侵防御系统的设计思想，并给出了其模型。本模型对相关研究具有一定的参考价值。

关键词：人工免疫系统；入侵防御；网络安全

引言

目前，入侵检测系统在网络安全中得到了广泛的应用，但其存在的一个主要问题是只能对入侵进行报警，不采取任何主动防御措施。入侵防御技术是一种既能发现入侵行为、又能实时阻断入侵行为的动态安全防御技术，实时地保护信息系统不受攻击。因此，入侵防御技术是继数据加密、防火墙、VFN、八侵检测等传统安全防护技术之后的新一代防御技术，是现阶段网络安全技术发展的主要方向之一。

1生物免疫系统与入侵防御系统的映射关系

入侵防御系统对所有流经的流量进行深度分析、检测与响应，具备主动的动态防御能力。生物免疫系统能够有效抵御外来入侵并保持生物体内部环境的稳定，与网络安全防御有着很大的相似性。生物免疫系统在抵御外界入侵、保持内部环境稳定方面，承担着与入侵防御系统类似的任务。生物体在生存期间会遇到来自体外的各种病原体的八侵，生物的免疫系统能够有效地识别并清除它们，实现免疫防御的功能。基于生物免疫机理的人工免疫技术的发展为入侵防御技术的研究提供了新的思路。人工免疫系统是对生物免疫系统的模拟。本文通过建立基于人工免疫的入侵防御系统，使得入侵防御系统具有与生物体类似的免疫能力，从而提高了系统的安全性。

2基于人工免疫的入侵防御系统的设计思想

在人工免疫系统中。抗原是指待解决的问题。抗体是指问题的解决方案。在本文中，抗原就是指网络行为，自体抗原是指正常网络行为，非自体抗原是指异常网络行为或入侵行为。抗体是指能识别入侵行为的检测器。入侵防御系统网络行为是正常还是异常的过程，就被映射为生物免疫系统识别抗体是自体或非自体的过程。抗体与抗原之间亲和力的大小在入侵防御系统中可以通过模式匹配、计算相似度等方式来实现。当检测器对网络行为的匹配次数积累到一定数量时，如果系统还不能确定该行为是否是入侵行为，则可以通过挤同刺激信号的方式进行辅助判断。

3基于免疫的入侵防御系统模型

基于人工免疫的入侵防御系统模型包括事件采集、事件分析器、响应单元、规则库和策略库。各部分功能分析如下：

(1)事件采集模块

事件采集模块从系统外部的网络环境中收集事件，并将其转化为系统可处理的模式。事件采集模块收到网络中的数据包后，完成以下两种功能：一是精简数据，减少冗余。以提高处理效率；二是提取事件特征，转换为符合检测规则语法的表示方法，例如二进制编码。事件采集模块实现的功能类似于人工免疫系统中的抗原提呈的功能。

(2)事件分析器

事件分析器根据人工免疫的原理，计算亲和力。区分事件采集模块采集到的网络事件模式是自体还是非自体，即是正常行为还是八侵行为。在分析的过程中，需要利用现有规则库中的各类检测器进行判断，同时事件分析的结果也将反馈给规则库，实现规则库的动态更新。

(3)规则库

规则是入侵防御系统中用于辅助事件分析器对网络事件进行分析的依据。规则库负责组织现有的规则，通过接受外界给出的信息完成规则的激活、克隆、变异和记忆等操作。规则库的另一个重要组成部分是自体库。自体，即正常网络事件，是现阶段系统认为可以接受的网络事件。自体库通过保存历史上认可的正常网络事件，并采集当前的正常网络事件，为未成熟检测器的免疫耐受提供了恰当的自体环境。规则库模块借助人工免疫系统来实现，是保障入侵防御系统多样性和自适应性的重要组成部分。

(4)响应单元

响应单元根据检测器对网络事件的亲和力积累结果，以及策略库中的响应方式和协同刺激信号，对激活的网络事件做出恰当的响应，同时更新规则库中的检测器集、自体集等信息。该模块综合考虑了各方面的信息，对网络事件做出最终的处理。

(5)策略库

策略库为响应单元所执行的动作提供依据，即为响应单元提供协同刺激信号。此外，策略库是系统与管理员交互的主要途径，管理员从策略库中获取系统的动态信息，调整系统的相关参数，给出针对各类入侵的防御方式。

4结束语

本文分析了基于人工免疫的入侵防御系统的优点，给出了其模型。由于免疫系统本身具有的免疫防御、学习、自稳等机制，研究基于免疫的入侵防御系统具有重要的理论价值和实践意义。