免疫机制在计算机网络入侵检测中的应用

陈浩亮

（武汉信息传播职业技术学院 湖北武汉 430223）

引言

生物免疫系统已成功地保护人体免受各种外来病原体的侵害。越来越多的计算机科学家仔细研究了这种有效的自然机制的成功，并提出了解决各种问题的计算机免疫模型，包括故障诊断、病毒检测和抵押欺诈检测。在这些领域中，入侵检测是一个蓬勃发展的研究领域，在这一领域中，对人工免疫系统的使用进行了检查。入侵检测的主要目的是检测系统内部人员和外部入侵者对计算机系统的未经授权使用、滥用和滥用。目前，许多基于网络的入侵检测系统（IDS）都是采用多种方法开发的。然而，建立有效的基于网络的身份证仍然存在着尚未解决的问题。作为解决这些问题的一种方法，先前的工作确定了一套成功的基于网络的IDS的一般要求和三个设计目标。

一、免疫机制要求

分布式、自组织和轻量级。此外，介绍了满足这三个设计目标的免疫系统的一些显著特征。预计这些特性的采用将有助于构建有效的基于网络的IDS。提出了一个用于网络入侵检测的人工免疫模型，该模型由三个不同的进化阶段组成：阴性选择、克隆选择和基因库进化。该模型并不是开发用于网络入侵检测的AIS的第一次尝试。建立人工免疫系统的各种方法主要是通过只实施一小部分整体人体免疫机制来尝试的。这是因为免疫系统的本质是非常复杂和复杂的，因此很难在计算机上实现完美的免疫过程。然而，从其他免疫学文献中可以看出，整体免疫反应是细胞、化学信号、酶等多种成分仔细协调的结果。因此，为了使AIS的发展更简单和更适用而省略关键成分可能会产生不利影响影响AIS的性能。这意味着，只有正确理解免疫系统关键组成部分的作用，并以正确的方式实施，才能预期适当的人工免疫反应。在这篇论文中，我们继续努力了解人工免疫系统的重要组成部分的作用，特别是提供适当的人工免疫反应，以抵御网络入侵。继我们之前通过广泛的文献研究确定AIS的三个不同进化阶段：负选择、克隆选择和基因库进化之后，本文重点研究了第一阶段：负选择的作用。结合这一阶段的实施细节，本文介绍了如何以及哪些方面的负面影响。选择有助于开发有效的基于网络的入侵检测系统[1]。

二、免疫机制在计算机网络入侵检测中的应用

（一）免疫系统的负选择

免疫系统的一个重要特征是其保持多样性和通用性的能力。它能用少量抗体检测大量抗原。为了实现这一点，它配备了几个有用的功能。其中一个功能是通过基因表达过程产生成熟抗体。免疫系统利用胸腺和骨髓两种器官中的基因库。当产生新抗体时，随机选择不同基因库的基因片段，并按随机顺序连接。这种基因表达机制的主要思想是，基因库中的基因片段的新组合可以产生大量的新抗体。本文采用负选择算法构建了一个异常检测器。这是通过生成包含非自模式的检测器来实现的。该算法的概述。本文所使用的网络入侵检测的否定选择算法遵循前一节中描述的的算法。“Self”是通过分析每个网络连接的活动而构建的。下一节将详细介绍自评测。

检测器有一个基数为10的字母表，其值从“0”到“9”，该基因的等位基因表示对应的图谱区域的“簇数”。如下一节所示，从第一个数据集构建的自我轮廓有33个字段，这个数字决定了检测器中相应基因的总数。从这33个字段中，28个字段的值是连续的，其他5个字段的值是离散的。具体来说，28个字段的连续值显示了广泛的值范围。为了处理这些不同且广泛的值范围，将对每个字段的实际值的总体范围进行排序。然后，将该范围离散为预定义数量的簇[2]。

通过确保每个集群包含相同数量的记录来确定每个集群的下限和上限。为了节省编码检测器的长度，这种修改是必要的。此外，我们在表型水平上测量产生的检测器和自我轮廓之间的相似性，而在基因型水平上进行。为了测量一个检测器和一个自我之间的相似性，检测器的基因型被映射到一个表型上[3]。

从进化基因型映射的表型以检测器模式的形式表示。检测器表型的场由具有下限和上限的区间表示，而自我表型的场由一个特定值描述。因此，测量相似性的第一步检查自模式的每个场的值是否属于检测器表型的对应间隔。当一个自模式场的任何值不包括在检测器表型的相应间隔中时，这两个场就不匹配。类似地，对于标称类型的字段，当字段值相同时，两个字段匹配。给定检测器和自样本之间的最终相似度遵循Forrest等人的相同匹配函数，即r-邻接匹配函数。因此，简单地通过计算匹配的对应字段来度量相似度。例如，如果激活阈值r设置为2，则检测器表型和自身表型将匹配，因为两个相邻字段“包数”和“持续时间”匹配，并且该相邻匹配字段的数目等于激活阈值。然而，如果这个阈值设置为3，则认为两个表型不匹配[4]。

三、结束语

这一结果指导本研究重新定义负选择算法在我们整个人工免疫系统框架中的作用。目前正在研究克隆选择阶段的入侵检测机制。对克隆选择阶段的任务有了新的理解，现在在一种新的克隆选择算法中，负选择作为一种算子的使用更为合适。