生物免疫原理在入侵檢測技術中的應用

[摘要]在研究生物免疫原理和入侵檢測技術的基礎上,分析免疫系統的工作機理,指出目前入侵檢測系統的局限性,并建立一個基于生物免疫的入侵檢測模型,討論陰性選擇算法在入侵檢測系統中的應用。

[關鍵詞]生物免疫原理 入侵檢測 陰性選擇算法

中圖分類號:Q819文獻標識碼:A文章編號:1671-7597(2009)0910132-01

生物免疫系統是一種具有高度分布性的自適應學習系統,具有完善的機制來保護肌體免受病毒、細菌和毒素等侵害,網絡入侵檢測系統保護網絡內的計算機不受外來入侵或威脅,這兩者所遇到的問題具有驚人的相似性,兩者都要在不斷變化的環境中維持系統的穩定性、安全性[1],因此基于免疫原理的入侵檢測技術能夠克服傳統入侵檢測系統的缺陷,是一個具有巨大應用前景的研究方向。

一、生物免疫原理

傳統免疫概念是指機體免疫系統具有識別“自我”的功能,對外來的“非我”抗原性物質產生免疫應答并清除,借以保護機體內環境的相對穩定。機體的免疫應答功能特異性免疫指的是個體在發育過程中與“非我”物質接觸后所產生的、針對某一特定抗原所具有的抵抗能力。

免疫系統由免疫器官、免疫細胞和免疫分子等組成。免疫細胞主要有兩種:T細胞和B細胞,其中T細胞又分為Th細胞和Ts細胞兩個子類。B細胞的主要功能是檢測抗原并分泌抗體,T細胞根據其子類的不同實現對B細胞的激活或抑制作用。B細胞通過依附于其表面的受體去檢測抗原,但僅僅依靠B細胞本身并不能引發檢測事件,也不能進行擴散增殖,只有在Th細胞分泌出淋巴激活素的時候才能引發檢測事件和B細胞才能進行擴散增殖。而Th細胞分泌出淋巴激活素來激活B細胞的條件是Th細胞與病原體發生綁定并超過一定閾值,同時B細胞的激活也可能會被Ts細胞所抑制。被激活的B細胞和T細胞遷移到淋巴節點皮層的小囊中,在那里發生著擴散增生、突變、選擇等復雜的基礎的細胞交互活動,B細胞也釋放出抗體。抗體的主要功能就是綁定并清除病原體[2]。

二、入侵檢測技術

入侵檢測就是對企圖入侵、正在進行或者已經發生的入侵進行識別的過程[3]。它通過對計算機網絡或計算機系統中的若干關鍵點收集信息并對其進行分析,從中發現網絡或系統中是否有違反安全策略的行為和被攻擊的跡象。入侵檢測的軟件與硬件的組合便是入侵檢測系統。與其他安全產品不同的是,入侵檢測系統需要更多的智能,它必須可以將得到的數據進行分析,并得出有用的結果。入侵檢測系統是對傳統的安全產品的合理補充,它幫助系統對付網絡攻擊,提高了信息安全基礎結構的完整性。入侵檢測技術自20世紀80年代早期提出以來,經過20多年的不斷發展,成為計算機網絡安全領域內不可缺少的一種重要的安全技術。但隨著網絡技術的迅速發展,當前的入侵檢測產品暴露出了很多不足,特別是對未知攻擊和變形攻擊的檢測,幾乎無能為力。因此將生物免疫機制引入到網絡入侵檢測研究領域很有必要。這為入侵檢測注入了新的活力。

三、免疫原理在入侵檢測系統中的研究

(一)概述。免疫系統有效地保護著生物個體,這使得人們希望借助于生物免疫的原理更好地實現入侵檢測的功能。在合法的“自我”行為中判別出非法的“非我”行為。在免疫系統中起檢測作用的是抗體,抗體的生成演化和工作過程是關鍵。如何模擬基因庫更新、陰性選擇、克隆選擇等抗體生成過程建立入侵檢測器是建立免疫入侵檢測系統的關鍵。

(二)基于生物免疫的入侵檢測模型概念及描述。根據生物免疫的原理,我們提出了一個基于生物免疫的入侵檢測模型。模型的概念及描述如圖1所示。首先,根據模擬數據挖掘出正常模式行為特征,產生初始“自我”集合;然后根據包含入侵行為的模擬數據挖掘出異常“非我”模式,并以先驗知識補充,以這些模式作為父代抗原,經編碼后利用遺傳算法對它們進行變異和增殖,生成一個大的候選抗體庫。對其中每一個個體進行適應度測定,計算與現有抗原的相似度。再進行陰性選擇,即刪除其中的“自我”模式。最后生成一個較完備的成熟檢測器組。當系統工作時成熟檢測器與實時數據的提取特征進行模式匹配,如果檢測到“非我”串則將警報信息送入決策系統,等待安全管理員返回決策指示。如果確認是入侵行為,則產生免疫記憶,將抗體送入記憶檢測器組。這樣,當同類抗原再次入侵時,可縮短反應時間。

(三)陰性選擇原理及算法。免疫識別是免疫系統的主要功能,同時也AIS的核心之一,而識別的本質是區分“自我”和“非我”。免疫識別是通過淋巴細胞上的抗原識別受體與抗原的結合實現的,結合的強度稱為親合度。未成熟的T細胞首先要經歷一個審查環節,只有那些不能與“自我”發生應答的T細胞才可以離開胸腺,執行免疫應答的任務,從而防止免疫細胞對機體造成錯誤攻擊。該過程稱為陰性選擇。

基于陰性選擇原理,D'haeseleer給出了一種陰性選擇算法,用于監測數據改變。其中抗體(問題解答)與抗原(問題)的匹配采用S.Forrest

提出的部分匹配規則,如圖2所示。

該算法的流程如下:步驟1:定義一組長度為L的字符串集合S來代表“自我”,用于檢測。步驟2:產生檢測器集合R,依據陰性選擇原理,對每個檢測器進行審查。審查采用部分匹配規則,即兩個字符串匹配當且僅當至少有r個連續位相同,其中r為參數。步驟3:通過連續地將R中的檢測器與S比較來監測S的改變。如果檢測器發生匹配,則有改變發生。

這些成熟的檢測子監視網絡中的數據,如果匹配到的異常超過預先設定的閾值,檢測子被激活,這時會向決策系統報告并由其決定這是否是一次真正的入侵,如果是,檢測子通過克隆選擇提升為記憶檢測子。

四、小結

本文對生物免疫系統原理進行了闡述,分析比較了免疫系統與入侵檢測的相似性,給出了一個基于生物免疫原理的入侵檢測系統模型和相關算法,該系統具有分布性,自組織性、自適應性和高效性。

免疫原理在入侵檢測系統中的應用剛剛開始,基于免疫原理的入侵檢測技術是現在研究的熱點,還需要做進一步研究。

參考文獻:

[1]Steven Andrew Hofmeyr.An Immulogical Model of Distributed Detection and Its Application to Computer Security[M].Phd thesis.University of New Mexico.

[2]何球藻、吳厚生,醫學免疫學[M].上海:上海醫科大學出版社,2000.

[3]唐正軍、李建華,入侵檢測技術[M].北京:清華大學出版社,2004.

作者簡介:

吳大勝(1981-),男,漢族,江蘇邗江人,本科學士,助教。