毕业设计论文-基于人工免疫系统反面算法的计算机网络入侵检测技术研究

毕业设计论文-基于人工免疫系统反面算法的计算机网络入侵检测技术研究内容摘要：

有效性 有效性 ： 是指根据某一设计所建立的入侵检测系统是切实有效的，对攻击事件的误报与漏报能够控制在一定范围内。 （ 3） 可扩展性 ： 一个好的入侵检测系统应该能够根据其应用环境进行灵活配 置， 检测茂名学院本科毕业（设计）论文： 基于人工免疫系统反面算法的计算机网络入侵检测技术研究 6 方法不应该对检测系统的环境做 出假设，否则将会影响检测系统的可扩展性。 这包括对增加的主机 IDS 应该易于扩展而不管主机上运行的是什么操作系统。 及对其它一些环境的良好适应。 （ 4） 安全与可用性 ： 是指入侵检测系统自身 要足够的完善和健壮，不能向其宿主计算机及所属环境引入新的安全问题和安全隐患。 （ 5） 适应性 ： 指入侵检测系统必须能够适用于多种不同的环境，比如高速大容量网络计算环境，并且在系统环境发生改变、比如增加环境中的计算机系统数量、改变计算机系统类型时，入侵检测系统应该依然能够不做改变而正常工作。 适应性也包括入侵检测系统本身对其宿主平台的适应性，即跨平台工作的能力， 适应其宿主平台软硬件配置的各种不同情况。 本章小结 本章主要讲述了入侵检测技术的产生、发展历史、现状，以及入侵检测技术的分类和主要功能。 第二章 入侵检测与免疫系统 7 第二章 入侵检测与 免疫系统 生物免疫系统 免疫的定义 免疫 ]6[ 是机体的免疫系统识别自我与非我，排斥抗原异物，用以维护内环境的生理平衡和稳定的一种生物学功能，通常表现为对机体有利的生理性保护作用，在一定条件下也可表现为对机体有害的病理损伤作用。 简而言之，免疫是免疫系统识别排斥抗原异物的生物学功能阔。 免疫的功能 免疫功能是免疫系统在识别和清除“非己”抗原的过程中所产生的各种生物学作用的总称。 主要包括 ： 1． 免疫防御 ： 是机体排斥外来抗原性异 物的一种免疫保护功能。 正常时可产生抗感染免疫的作用，防御功能过强会产生超敏反应过弱则产生免疫缺陷 （ 后两种情况均属异常反应 ） ； 2． 免疫自稳 ： 是机体免疫系统维持内环境相对稳定的一种生理功能。 正常时 ： 机体可及时清除体内损伤、衰老、变性的血细胞 和抗原 抗体复合物，而对自身成份保持免疫耐受 ；异常时 ： 发生生理功能紊乱、自身免疫病等 ； 3． 免疫监视 ： 是机体免疫系统及时识别、清除体内突变、畸变和病毒干扰细胞的一种生理保护作用。 如机体突变细胞失控，有可能导致肿瘤发生或出现病毒的持续感染。 生物免疫系统原理 ]7[ 与运行机制 生物界中的病原体存在于各个角落，有些病原体一旦进入生物体，便会造成致命性的损害，生物体是怎样防御自然界中的入侵者的呢 ?原来它们是靠一套完善的免疫系统。 生物茂名学院本科毕业（设计）论文： 基于人工免疫系统反面算法的计算机网络入侵检测技术研究 8 免疫系统一般通过几道屏障来防御外来入侵者，最外层是皮肤粘膜及其附属物，它可以将某些类型的抗原拒之门外，这是生物体预防传染病的第一道屏障，一旦病原体微生物通过第一道屏障进入机体，这时就要由第二道屏障来保护，即物理环境的保护，也就是提供不利于病原体存活的 PH值和温度 ； 第三层是先天性免疫系统，先天性免疫又称为非 特异性免疫，是机体在长期发育进化过程中逐渐形成的一种天然防御功能，经遗传获得 ； 最后一层是可适应性免疫又称特异性免疫，它的名称来源于它具有可适应性，能随外界环境的变化适应或学会识别特定种类的抗原，并且保留对这些抗原的记忆以便加快未来的反应。 从 免疫 系统的各个层次来看，可适应性免疫系统是整个免疫系统中最为复杂的一层，从信息学角度来看，它实际是一个大规模的分布式信息处理系统，它对于计算机安全来说也最具有研究价值 ； 这里要借鉴的就是生物体的可适应性免疫 （ 即后天免疫 ）。 可适应性免疫系统 ]8[ 可适应性免疫系统能学会识别特定种类的抗原，并且保留对它们的记忆以便加快未来的识别速度。 可适应性免疫系统主要由淋巴细胞构成，机体的免疫功能主要来自淋巴细胞，根据免疫功能的不同，淋巴细胞主要有两类 ： B细胞与 T细胞， B细胞是抗体分泌细胞，在骨髓中发育 ； T细胞在胸腺中发育，作用是杀死抗原或抑制 B细胞的过度繁殖。 T细胞是一种重要的淋巴细胞，成熟的 T细胞在抵御外来攻击时，起着协调免疫系统各部分功能的作用。 当还处于胚胎阶段时，在骨髓中产生的未成熟的 T细胞进入另一个中枢免疫器宫 胸腺，在其中 分化发育为两大类 T细胞，不合格的 T细胞 （ 会产生自体免疫 ） 被消灭，而成熟的 T细胞分布在脾和淋巴结中以等待外来人侵。 另一种重要的淋巴细胞是 B细胞， B细胞在骨髓中发育成熟后，进入脾和淋巴结中。 每个 B细胞产生一种依附于其表面的抗体，用以探测相应的抗原， B细胞可以产生很多种抗体存在于体液中，识别、排斥和杀灭病原体微生物，称为体液免疫 ； B细胞继续分化，一部分成为能产生抗体的浆细胞，产生与抗原相应的抗体，并与抗原结合使之失去活性，从而达到消除抗原的目的，这个过程就是先天免疫。 另一部分没有转化为浆细胞的 B细胞发展为记忆细 胞，记忆细胞对抗原非常敏感，能记住入侵过的抗原，当有同样的抗原再次入侵时，记忆细胞就能很快地作出反应，这就是后天免疫或适应性免疫。 生物体内的这些淋巴细胞并不是静止不动的，它们随着血液和淋巴系统在人体内不断循环。 淋巴细胞在检测抗原时相互协作并对抗原的清除起到辅助作用。 淋巴细胞可以被抽象的看作可以移动的、独立的检测器。 生物体内成千上万的淋巴细胞就形成了一个分布式检测系统，在这个系统中没有指挥中心，抗原的检测 和消灭都是靠这些检测器 淋巴细胞通过局部的规则相互作用的结果。 第二章 入侵检测与免疫系统 9 具体分析，可适应性免疫系统主要包括识别 机制、受体多样性机制、亲密度变异机制、记忆机制、容忍机制等。 （ 1） 识别机制 ： 现代免疫学认为，机体免疫功能是对抗原 刺激 的应答，而免疫应答又表现为免疫系统识别自己和排除非己的能力。 免疫系统在发挥免疫功能的过程中，识别是重要的前提。 一切生物都具有这种能力。 单细胞生物只具有分辨食物、入侵微生物和本身细胞成分等低级的识别功能。 脊椎动物的机体免疫系统逐渐完善，不仅具有完整的免疫器官和免疫细胞，而且免疫活性细胞还能产生特异性抗体和淋巴因子，从而准确地识别自己，排除异物以达到机体内环境的相对稳定，这对保护自己、延续种族和 生物进化都有重大意义。 高等生物充分发展的免疫系统，对内外环境的各种抗原异物刺激既表现出多样性和适应性，又表现出特异性和记忆性，这对生物的进化过程、生物种系的生存和适应具有重大影响。 （ 2） 应答机制 ： 免疫应答是指免疫细胞对抗原分子的识别、活化、分化和产生免疫应答的全过程。 免疫应答可表现为两种类型 ： 其一为正向免疫应答，即正常情况下对非己抗原的排异效应 ； 其二为负向免疫应答，即正常情况下机体对自身成分的宽容状态。 免疫应答一般可分为如图分 2所示的三个阶段，即感应阶段，指抗原激活、递呈的一系列过程，体现了抗原分子与免疫 细胞间的相互作用 ； 反应阶段，指 T、 B细胞接受相应抗原激活、增殖和分化的阶段，体现了免疫细胞间的相互作用 ； 效应阶段，指产生特异性抗体或效应细胞而发挥免疫效应的阶段。 （ 3） 记忆机制 ： 记忆机制是免疫系统的一个重要特点，当机体接触过某种抗原后再次接触相同抗原时，则抗体出现的潜伏期较初次应答明显缩短，抗体含量大幅度上升，而且维持时间长，这种当同一种抗原再次入侵机体时，引起的比初次免疫更强的、高亲和度的抗体产生的现象称为免疫记忆。 无论在体液免疫或细胞免疫中均可发生免疫记忆现象。 （ 4） 容忍机制 ： 是指免疫活性细胞接触抗 原性物质时所表现的一种特异性的无应答状态，它是免疫应答的另一种重要类型，也是机体免疫调节的内容之一，其表现与正向免疫应答相反，也与各种非特异性的免疫机制不同，后者无抗原特异性，对各种抗原均呈现应答或低应答。 （ 5） 调节机制 ： 免疫调节是指免疫应答过程中免疫系统内部各细胞之间、免疫细胞与免疫分子之间、免疫系统与其它如神经、内分泌、遗传系统之间的相互作用，从而构成了一个相互协助又相互制约的网络结构，使免疫应答维持合适的强度以保证内环境的稳定。 免疫作为维持生物体的防御和自身稳定的重要功能必然要受机体的调节，免疫系统 各调节因素之间关系也错综复杂，有正的调节，也有负的调节。 一旦失去调节，免疫系统便会失去平衡而导致免疫性疾病、感染及肿瘤等的发生。 茂名学院本科毕业（设计）论文： 基于人工免疫系统反面算法的计算机网络入侵检测技术研究 10 人工免疫系统 人工免疫系统的基本术语 人工免疫系统 ]9[ 主要是借鉴生物免疫系统的信息处理机制，发展新的算法，因而很多术语都直接借用了生物免疫系统的术语。 然而在人工免疫系统中完全套用生物学定义，照生物学过程，是不可能也不必要的。 为了更好地描述人工免疫系统算法，以下将简要阐述几个常用的免疫学术语及其在人工免疫系统中的含义。 表 21生物体免疫系统和网络入侵检测系统概念对比 生物免疫系统概念 网络入侵检测系统概念 缩氨酸 被检测的行为模式串 受体 检测模式串 单克隆淋巴细胞（ T细胞 B细胞） 检测器 抗原 异己模式串 绑定 检测模式串与异己模式串的匹配 耐受性（隐形选择） 否定选择 抗原检测 入侵检测系统的检测 抗原清除 检测器的响应 基于人工免疫的网络安全研究现状简介 当前基 于 人工免疫的网络安全研究内容主要包括反病毒和抗入侵两个面。 针对反病毒和抗入侵等网络安全问题，国内外人员设计了大量的算法 、模型和原型系统。 这里简单介绍当前较有代表性的两个工作。 其一是 IBM公司的研究人员工 反病毒的计算机免疫系统 ； 其二是 定选择算法 ]10[。 （ 1） 通过模拟生物免疫系统的各个功能部件以及对外来抗原的识别、分析和清除过程， IBM第二章 入侵检测与免疫系统 11 公司的 ，用于计算机病毒的识别和清除。 该免疫反病毒 模型可以说是一个初步完整的免疫反病毒模型，具有一定的影响。 对已知 病 毒， 该系统依据已知病毒特征和相应的病毒清除程序来识别和消灭计算机病毒。 对未知病毒，该系统主要是涉及“饵 ” 片程序来捕获病毒样本，在“饵”程序受感染后对其进行自动分析并提取病毒特征，涉及相应的病毒清除程序。 当计算机发现并分析了未知病毒特征时，可将所产生的病毒特征和宿主程序恢复信息传到网上临近计算机中，从而使得网络上的其它计算机很快就具有了对付该病毒的能力。 综合来看，该原型系统可以是一个病毒自动分析系统，它仅仅是从结构和功能上来模拟生物免疫系统 ，而没有深入研究生物免疫系统完成这些功能的具体机制并建立和设计相应的模型和算法。 （ 2） 否定选择算法 S． Forrest ]11[ 等人在分析 T细胞产生和作用的基础上，提出了一个否定选择算法。 T细胞在成熟过程中必须经过阴性选择，使得可导致自身免疫反应的 T细胞克隆死亡并被清除，这样，成熟的 T细胞将不会识别“自我”，而与成熟 T细胞匹配的抗原性异物则被识别并清除。 否定选择算法可以总结为以下三个步骤 ： （ a） 定义自我集 ： 首先根据实际应用环境定义适合的自我集合 ： 自我集通常是由代表自我 状态的字符串组成的集合。 （ b） 产生检测器 ：首先随机产生字符串，如果该字符串集合与自我集合中的任一字符匹配则删除，否则保留下来作为检测器 ： 如此循环迭代，直到产生足够大小的检测器集为止。 （ c） 监视要保护的数据 ： 如果需要保护的数据跟检测器集合中的任何一个检测器匹配，则表明要保护的数据发生了异常变化，从而起到了检测异常变化的效果。 否定 选 择算法是一个变化检测算法，具有不少优点，但它不是一个自适应学习算法。 否定选择算法自提出后就受到众多研究人员的关注并对其进一步研究。 目前，在否定选择算法和免疫系统中的学习机制相结合方 面己有了一定的进展。 （ 3） 其它 以上仅仅简单介绍了两个较有影响的工作，此外还有其它很多具有相当影响的相关模型、算法和原型系统，如 型和系统，。 生物免疫与入侵检测 生物体免疫系统 ]12[ 最基本的功能是识别 Self/Nonself的能力。 机体连续不断地产生称作抗体的检测器细胞，并将其分布到整个机体中。 这些分布式的抗原监视所有的活 性细胞，试图检测入侵机体的 Nonself细胞，也就是抗原。 然而，新生成的抗体不仅能检测出入侵抗茂名学院本科毕业（设计）论文： 基于人工免疫系统反面算法的计算机网络入侵检测技术研究 12 原，而且有可能绑定自身的 Self细胞，发生自免疫反应。 为了避免这种灾难性后果，机体实现了负选择过程。 在抗体生成时，机体消除那些绑定 5心细胞的不成熟抗体。 对于所有新生成的抗体，只有那些不绑定任何 Self细胞的抗体才能够成为有效的检测器细胞，分布到机体各个部分，行使检测功能。 将免疫学应用于入侵检测需要三个步骤 ： 定义 Self、生成检测器和监视入侵。 在第一个阶段，定义系统正常模式为 SeI6在第二阶段，根据前面生成的 Self模式生成一定数目的随机模式 （ 抗原 ） ，如果随机生成的模式匹配了任何 self模式，则该随机模式将不能成为检测器。 在监视阶段，如果检测器匹配任何新出现的模式，则被匹配的模式反应了系统可能正在被入侵。 此时，系统可以采取自动反应措施，也可以报警。