基于免疫的網絡安全風險檢測

摘 要：隨著計算機技術發展的不斷深入，互聯網已經在多個方面與人類社會產生了緊密的聯系，并對人們的生活造成了深刻的影響。與此同時，網絡安全防護技術也逐漸引起人們的重視，出現安全問題造成的危害和損失也逐漸擴大。因此，研究有效的網絡安全風險實時檢測技術有著重要意義。本文根據網絡安全與人體免疫的相似性，提出了一種網絡安全風險實時檢測方法。

關鍵詞：網絡安全；免疫；風險檢測

中圖分類號：TP393.08 文獻標識碼：A 文章編號：1674-7712 （2013） 22-0000-01

目前應用于網絡安全風險檢測的技術方法分為實時檢測和靜態評估兩類。靜態評估技術是主要采取CC、TESEC等評估標準來評估網絡的安全風險，也有部分靜態評估技術是由一些對網絡安全漏洞具備較強洞察力的專業網絡安全技術人員完成網絡安全風險的評價。總的來說，靜態評估技術是以網絡的靜態因素作為評估的基礎，只能對網絡系統在很長一段時期內的安全風險做出并不精確的估計。由于缺乏實時性，采用靜態評估技術作為網絡安全風險檢測方法會使得網絡安全防護處于相對被動地局勢，不利于計算機網絡的健康發展。而對于實時檢測技術，目前國內外仍處于探索研究階段，并取得了一些可喜的進展。盡管如此，當前相關研究人員提出的一些應用于網絡安全風險實時檢測的模型或方法，都或多或少的存在局限性。

一、基于免疫的網絡安全研究

近幾年來，國外一些研究人員根據人體免疫系統與計算機安全防護問題的相似性，開發了基于免疫的網絡安全風險檢測技術，為網絡安全防護技術開辟了新戰場。人體免疫系統的主要組成包括、免疫細胞、器官、免疫活性分子和免疫組織等，其主要作用是區分并消滅對人體有害的非自體。其免疫功能主要依靠分布在人體的各種B淋巴細胞和T淋巴細胞實現。B淋巴細胞會與相應的非自體進行匹配，當匹配數達到某一特定極限時，在T淋巴細胞的刺激下，系統會產生大量的抗體來匹配侵入的非自體，表現為系統中的該抗體濃度大幅增長。當非自體被消滅后，免疫系統會抑制該抗體的產生，從而降低系統中該抗體的濃度，免疫系統逐漸進入穩定的狀態。所以，通過檢測人體免疫系統中的各抗體濃度可以直觀地辨識人體的健康程度?；谶@個原理，本文提出一種基于免疫的網絡安全風險檢測方法。通過建立在網絡安全系統中的抗原和抗體的表示方法，模擬人體免疫系統的基本原理。實驗表明，本文提出的方法對于網絡安全風險實時檢測具有較好的適用性。

二、基于免疫的網絡安全風險檢測

本文模擬人體免疫系統的基本原理，提出的基于免疫的網絡安全風險檢測方法與人體免疫系統的映射關系如下：抗原對應IP包進行特征提取后得到的二進制字符串；B、T淋巴細胞對應和抗體在網絡安全環境下用二進制字符串表示；抗體與其相應抗原用r連續位匹配算法綁定；自體耐受用否定選擇算法表示；細胞克隆以抗體的復制表示，抗體濃度增加體現為系統面臨的安全風險增加；人體映射為網絡；淋巴結映射為網絡主機。與實際人體免疫系統不同的是，人體免疫細胞的成熟生長都在胸腺中進行，而網絡中的每臺主機都能夠獨立生產抗體。該檢測方法的基本原理是不成熟的抗體經由自體耐受過程凈化為成熟抗體；成熟抗體在存活周期內若能夠匹配到相應的抗原，則被激活并進化成為記憶抗體，若沒能匹配到相應的抗原，就會死亡。記憶抗體的存活周期無限長，且一旦匹配到相應的抗原，就會克隆自己。

在本文提出的檢測方法中，網絡系統的活動可以理解為一個集合U，U中的元素是二進制字符串，長度為l，即U={0，1}l。集合U由自體集合S和非自體集合組成T，且U、S、T滿足下述關系：U=SUT以及S∩T=·?？乖蠟锳g且Ag?U?？贵w集合為D={d|d=〈s，age，count，ag〉，s，ag∈U，age，count∈N}。式中，s為二進制字符串，代表抗體的基因，age表示抗體元素的年齡，該抗體累計匹配的抗原數目用count表示，ag表示相應的抗原。按照上文所述檢測方法的基本原理，抗體集合D由未成熟抗體I、成熟抗體M和記憶抗體R組成。為了能正確區分網絡系統的自體和非自體，未成熟抗體必須經過自體耐受過程進行自我進化。當抗體的count值達到激活閾值θ，就會激活，成為記憶抗體，存活周期無限延長，并開始自我克隆。在本文所述網絡安全風險檢測方法中，通過優先選擇與抗原匹配度高的抗體抵御網絡攻擊，并借鑒人體免疫系統的原理，使抗體濃度在承受某一攻擊后隨著攻擊強度的增加而提高，從而為網絡安全風險的檢測提供客觀的依據。在整個網絡系統安全監視中，主機在沒承受網絡攻擊時，系統中抗體濃度維持在一個穩定的水平；一旦系統受到攻擊，主機會產生大量抗體，從而抗體濃度快速增長，當攻擊停止后，由于成熟抗體的存活周期有限，系統的抗體濃度會逐漸減少并維持穩定。所以，通過計算主機上記憶抗體集合和成熟抗體集合就可以叫精確的定量分析網絡的安全風險狀態。

三、結束語

本文提出的基于免疫的網絡安全風險檢測方法具有實時性和定量性的特點，能夠及時、精確地分析網絡安全風險，是一種較好的網絡安全風險實時檢測手段。

參考文獻：

[1]陳恢明，陳文，梁剛.一種基于網絡安全風險評估的入侵檢測方法[J].計算機安全，2012.

[2]紀元，蔣玉明，胡大裟.基于免疫的網絡安全風險評估模型[J]，計算機工程與設計，2011.