免疫机制在计算机网络入侵检测中的应用研究

刘欢笑

摘要：随着现代科技的不断发展，人类已经步入一个网络化的时代，伴随短时间内计算机网络的迅速扩大，信息安全面临着不断增多的非法入侵等巨大考验。免疫机制的出现，改变了传统的防火墙和权限管理对网络信息安全的保护不足的问题，是一种全新的网络安全保障措施。该文针对免疫机制在计算机网络入侵检测中的应用展开讨论，对免疫机制在目前计算机网络中应用的现状进行分析，并提出改进意见。

关键词：免疫机制；计算机网络；网络入侵；应用研究

中图分类号：TP393 文献标识码：A 文章编号：1009-3044（2014）27-6293-03

Abstract： With the development of modern science and technology， mankind has entered a network era， with the rapid expansion of computer network in a short period of time， information security is faced with the increasing illegal intrusion huge test. The presence of immune mechanism， changes the problem of the lack of protection for network information security of traditional firewall and permissions management， is a kind of new measures to protect the security of network. This article in view of the immune system in the application of intrusion detection in computer networks is discussed， the analysis of the immune mechanism of current situation of the application of computer network at present， and put forward some suggestions for improvement.

Key words： immune mechanism； computer network； network intrusion； application research

自然免疫机制是存在人类生活中的一种免疫系统，人类生活环境中存在着大量对人类有害的微生物。然而人类也在进化史上慢慢形成了抵御这些有害生物的健康机体，这就是自身免疫系统。计算机病毒具有长久潜伏性和破坏性等特征，能悄无声息地潜入计算机进行信息的破坏行为。随着计算机网络的飞速发展，计算机安全一直是研究者们重点关注的环节，和人类自然免疫系统相似，计算机网络入侵检测也是计算机安全的一个重要部分，主要作用就是检测计算机网络中的威胁，保障网络系统的完整性、信息的安全性和有效性。当入侵者入侵同时收集证据，为管理员恢复数据和处理事故提供依据。

1 免疫机制引入计算机网络入侵检测的必要性

入侵在计算机网络中是指一种破坏计算机资源和计算机信息的保密性、完整性和有效性的违法行为，入侵的主要特征就是违反计算机安全策略，冒充其他用户企图进入计算机系统，泄露、恶意使用或占有资源。而入侵检测系统则是由计算机网络的硬件和软件组合而成的安全系统，它的作用就是对计算机系统进行监控，通过对系统中的网络数据同审计数据进行分析，判断是否出现了异常行为，当检测系统发现异常时，发出报警提示并及时采取保护措施。计算机网络中的免疫机制则是为弥补传统技术的缺陷，对未知病毒的防御，并对系统环境做出相应变化的机制。

另外，计算机免疫机制所含的学习和认知能力、分布性、多样性、适应性和自组织性等特征，是受自然免疫系统的启发产生的。计算机免疫机制不仅能为计算机网络入侵检测系统提供安全的防御体系，还能处理计算机病毒入侵计算机，保障计算机的安全运行。如下图图解入侵检测系统的结构框架：

2 免疫机制在目前计算机网络中的应用现状

目前，对免疫机制运用在计算机网络入侵检测的研究主要集中于国防、军事以及安全部门上。在国际上，主要有三小组致力于研究免疫机制入侵检测系统的研究：1） 美国新墨西哥大学Forrest&Hofmeyr研究小组；2） 美国孟菲斯大学的Dasgupta小组；3） 英国伦敦大学的KIM&Bentley小组。

最早将免疫原理应用到计算机安全和病毒检测的是S.Forrest，她将计算机系统的安全防护问题和免疫系统分为自体和非自体来比较，提出了一种算法——否定选择算法。结果显示，这种方法在发现对未知病毒感染方面相对传统的计算机防护具有很高的安全性。但它的问题就在于难以建立有效地检测方法和正常行为模式，1999年，她和学生Hofmeyr再次提出一种包括多样性、分布式计算、错误耐受、动态学习、适应性和自我监测等特征的人工免疫系统模型。

Dasgupta在1999年第一次提出建立免疫入侵检测系统框架，这个系统模型具有分布型、流动性、合作性和适应性等特征。利用网络级、系统级、用户级和进程级的Agent技术，通过相互协作建立的计算机的入侵检测。为解决系统负载大的问题，他们在2001年又提出免疫遗传模型。

Kim&Bentley小组提出的模型是通过否定选择算法、克隆选择算法和检测抗体基因库生成的3种免疫细胞来建立的。从工作原理来看，相比生物免疫系统的工作原理有很大的差异，计算机入侵只是小概率事件，而自然免疫系统是每时每刻都在防御病毒的攻击。Kim&Bentley小组的模型适应性和进化过程都有不足的地方，因此后期，在2002年他们再次提出动态克隆选择算法，该算法是把免疫细胞生命周期和未成熟、成熟和记忆检测三个检测器互相协调，使系统更加适应。Kim小组模型的具体结构示意图如下图所示：

我国在计算机网络入侵检测的研究方面起步比较晚，主要研究成果包括：

1） 武汉大学在2002年利用免疫原理对网络入侵检测和预警技术进行了深入研究，基于多代理技术的计算机免疫系统模型，通过提取规则建立位串识别器并与北交大合作提出计算机免疫系统检测。2） 2003年，四川大学提供了基于免疫原理的大规模网络入侵的取证，以及网络安全风险检测和控制技术等。同年中国科技学术大学创建了基于人工免疫的预警系统，该系统具有较好的预警能力。3） 2004年，深圳大学的入侵检测系统项目也逐步完成。4） 北京理工大自动控制系从控制论出发，提出计算机免疫系统和生物免疫系统的相似性，利用多代理的控制技术构建可行性和实用性的仿生物免疫系统的计算机免疫机制。

3 免疫机制在当前应用于计算机网络入侵检测的不足

伴随现代信息社会逐步网络化，我们完全步入了一个网络化的时代，因此，保障网络的安全是当前行业重要的目标。虽然目前研究人员已经研制和实施的防御手段多样，但对于日渐增多和花样繁多的病毒攻击，这些措施也是远远不够的。一般的防御系统只提供简单的防御和保护措施，大多数防御手段只是停留在被动防护上，没有主动检测攻击和异常事件的功能。

3.1 病毒日益繁多

计算机技术的普及使得我们的生活越来越轻松快捷，不管是在生活上、交际上还是工作上都带来了翻天覆地的变化。科技的发展带来的不仅是新事物的出现，日益繁多的病毒攻击也在不断更新，并且病毒自身的隐藏性和潜发性也给计算机防御工作带来了很大的困难。网络攻击背后带来的强大商业利益也是众所周知的，因此，一些有组织、有规划的团队利用病毒研究工作招揽人才。这些组织目的就是侵入用户电脑，恶意篡改信息，盗取资源。当前一般的免疫机制对于日渐繁多的病毒攻击已力不从心，未来，免疫机制在计算机网络入侵检测中的发展还需要不断加强，要达到在同一个系统下使用不同的办法达到同样的效果这样的目标。

3.2 完善计算机入侵检测系统

要防范病毒的攻击、及时发现攻击对象，有效保护计算机，计算机入侵检测系统的定期完善是不容忽视的环节。对计算机网络入侵的防范研究时间并不是很长，完善计算机系统的关键就是定期分析系统。虽然病毒类型繁多，但深入来说都是以往的病毒演变而来，监测系统的作用就是针对以往的病毒数据和特征进行收集、分析，根据所得的数据建立模式，还要同时保持该模式的长久有效，对模式里的数据不断更新。

3.3 免疫机制的滞后性

为了保障网络安全，上面提到的模式匹配方法，只能在病毒还没有严重变异以前对计算机防御提供信息帮助，当入侵检测到的病毒是特征库里面没有的数据是，系统将会允许病毒在计算机中运行，从而带来严重的后果。特征库里的病毒数据没有及时更新，那么检测系统就不可能用最短的时间识别出最新入侵者，免疫机制的作用也就不能体现，只有不断更新特征库的数据，改善策略，才能进一步提高免疫机制的防御能力。

4 免疫机制在入侵检测中的发展和应用

4.1 免疫机制的来源

免疫机制的灵感是来源于对生物免疫系统的研究，病毒的发现是通过生物免疫机制的辨别模式发现的。免疫系统具有的排外性，就计算机安全来说是一样的道理。在当前种类繁多的计算机软件环境下，使得计算机用户在不知情的情况下就会感染病毒，另外，使用盗版软件也是感染病毒的重要途径。病毒正是通过这些方式被带到计算机中，从而达到目的。免疫机制的产生就是为了抵御病毒入侵。

4.2 免疫机制的最终目标

计算机的兴起并不久远，所以注重计算机网络安全的时间就更加短暂了，所以，是不可能提出一劳永逸的安全防护体系。对计算机的安全防护只有通过不断完善和更新自身数据，减少入侵者入侵的机会，降低计算机数据被篡改的机率。免疫机制追求的是计算机系统的安全，让每一台计算机都能避免病毒入侵。要实现这个目标，必须建立以抗体为中心互相作用的网络模型，利用网络结构生成、连接。

4.3 增强免疫机制的功能

根据相关资料显示，目前的免疫机制在计算机网络入侵检测系统中存在着很高的误报率，当检测系统在发现入侵者时，只能做出简单的报警提示，无法将受到的攻击和计算机中的安全产品等软件联系起来。而且，目前免疫机制的功能有所局限，对此，我们还必须加强研究免疫机制功能，降低误报率，开发出既准确又高效的入侵检测系统，提高计算机的免疫能力。

4.4 免疫机制的研究发展

在生物免疫机制的基础下，要寻找新型计算机网络免疫机制就要依靠强大的人工免疫机制，从而提高入侵检测和网络安全。适当融入现代智能技术，结合多种算法，采用多种方式，将人工免疫机制模型和其他智能技术结合，开发出全新、高效的入侵检测系统。例如，通过检测自动生成的基因码判断数据，当数据相吻合时才能进行数据操作行为，人为干预无效，这种方法的安全性能是非常高的。由此，未来基于基因计算机免疫系统的发展将会成为一种趋势。

5 结束语

总之，免疫机制在计算机网络入侵检测中，完美的把计算机入侵检测和免疫机制结合在一起，也在研究过程中建立起多种模型，提出多种方法，但其存在的误报率等问题仍然需要研究人员不断改进。为了将免疫机制更好地运用在计算机网络入侵检测中，解决一些未知病毒对计算机进行的攻击入侵，真正实现保护计算机网络安全的目标，在免疫机制的研究道路上，还需要不断的探索。

参考文献：

[1] 李涛.计算机网络入侵检测中免疫机制的应用分析[J].佳木斯教育学院学报，2012（12）：446.

[2] 潘大胜.数据挖掘技术在计算机网络入侵检测中的应用[J].湖北科技学院学报，2012（12）：58-59.

[3] 周红东.免疫机制在计算机网络入侵检测中的应用分析[J].信息与电脑，2012（12）：19-20.

[4] 谢婧.基于免疫机制的入侵检测系统研究与应用[D].上海：上海海洋大学，2012.

[5] 杨志彬.试论计算机网络入侵检测中对免疫机制的有效应用[J].电脑编程技巧与维护，2010，24：131-132.

[6] 张国富.基于免疫机制的网络入侵检测系统研究[D].广州：广东工业大学，2008.