基于免疫的入侵防御模型研究

陶 晶

摘要：本文分析了入侵防御系統與生物免疫系統的相似性，建立了二者之間的映射關系。給出了基}lI免疫的入侵防御系統的設計思想，并給出了其模型。本模型對相關研究具有一定的參考價值。

關鍵詞：人工免疫系統；入侵防御；網絡安全

引言

目前，入侵檢測系統在網絡安全中得到了廣泛的應用，但其存在的一個主要問題是只能對入侵進行報警，不采取任何主動防御措施。入侵防御技術是一種既能發現入侵行為、又能實時阻斷入侵行為的動態安全防御技術，實時地保護信息系統不受攻擊。因此，入侵防御技術是繼數據加密、防火墻、VFN、八侵檢測等傳統安全防護技術之后的新一代防御技術，是現階段網絡安全技術發展的主要方向之一。

1生物免疫系統與入侵防御系統的映射關系

入侵防御系統對所有流經的流量進行深度分析、檢測與響應，具備主動的動態防御能力。生物免疫系統能夠有效抵御外來入侵并保持生物體內部環境的穩定，與網絡安全防御有著很大的相似性。生物免疫系統在抵御外界入侵、保持內部環境穩定方面，承擔著與入侵防御系統類似的任務。生物體在生存期間會遇到來自體外的各種病原體的八侵，生物的免疫系統能夠有效地識別并清除它們，實現免疫防御的功能。基于生物免疫機理的人工免疫技術的發展為入侵防御技術的研究提供了新的思路。人工免疫系統是對生物免疫系統的模擬。本文通過建立基于人工免疫的入侵防御系統，使得入侵防御系統具有與生物體類似的免疫能力，從而提高了系統的安全性。

2基于人工免疫的入侵防御系統的設計思想

在人工免疫系統中。抗原是指待解決的問題。抗體是指問題的解決方案。在本文中，抗原就是指網絡行為，自體抗原是指正常網絡行為，非自體抗原是指異常網絡行為或入侵行為。抗體是指能識別入侵行為的檢測器。入侵防御系統網絡行為是正常還是異常的過程，就被映射為生物免疫系統識別抗體是自體或非自體的過程。抗體與抗原之間親和力的大小在入侵防御系統中可以通過模式匹配、計算相似度等方式來實現。當檢測器對網絡行為的匹配次數積累到一定數量時，如果系統還不能確定該行為是否是入侵行為，則可以通過擠同刺激信號的方式進行輔助判斷。

3基于免疫的入侵防御系統模型

基于人工免疫的入侵防御系統模型包括事件采集、事件分析器、響應單元、規則庫和策略庫。各部分功能分析如下：

(1)事件采集模塊

事件采集模塊從系統外部的網絡環境中收集事件，并將其轉化為系統可處理的模式。事件采集模塊收到網絡中的數據包后，完成以下兩種功能：一是精簡數據，減少冗余。以提高處理效率；二是提取事件特征，轉換為符合檢測規則語法的表示方法，例如二進制編碼。事件采集模塊實現的功能類似于人工免疫系統中的抗原提呈的功能。

(2)事件分析器

事件分析器根據人工免疫的原理，計算親和力。區分事件采集模塊采集到的網絡事件模式是自體還是非自體，即是正常行為還是八侵行為。在分析的過程中，需要利用現有規則庫中的各類檢測器進行判斷，同時事件分析的結果也將反饋給規則庫，實現規則庫的動態更新。

(3)規則庫

規則是入侵防御系統中用于輔助事件分析器對網絡事件進行分析的依據。規則庫負責組織現有的規則，通過接受外界給出的信息完成規則的激活、克隆、變異和記憶等操作。規則庫的另一個重要組成部分是自體庫。自體，即正常網絡事件，是現階段系統認為可以接受的網絡事件。自體庫通過保存歷史上認可的正常網絡事件，并采集當前的正常網絡事件，為未成熟檢測器的免疫耐受提供了恰當的自體環境。規則庫模塊借助人工免疫系統來實現，是保障入侵防御系統多樣性和自適應性的重要組成部分。

(4)響應單元

響應單元根據檢測器對網絡事件的親和力積累結果，以及策略庫中的響應方式和協同刺激信號，對激活的網絡事件做出恰當的響應，同時更新規則庫中的檢測器集、自體集等信息。該模塊綜合考慮了各方面的信息，對網絡事件做出最終的處理。

(5)策略庫

策略庫為響應單元所執行的動作提供依據，即為響應單元提供協同刺激信號。此外，策略庫是系統與管理員交互的主要途徑，管理員從策略庫中獲取系統的動態信息，調整系統的相關參數，給出針對各類入侵的防御方式。

4結束語

本文分析了基于人工免疫的入侵防御系統的優點，給出了其模型。由于免疫系統本身具有的免疫防御、學習、自穩等機制，研究基于免疫的入侵防御系統具有重要的理論價值和實踐意義。