面向入侵检测的人工免疫模型和算法

2014-07-24 17:37朱振立
现代电子技术 2014年14期
关键词:入侵检测网络安全

朱振立

摘 要: 互联网的发展既给人们的工作、生活、交际等带来了便利,同时也带来了一定的安全隐患,其中就包括个人隐私、商业秘密甚至国家安全等问题。因此,当前的网络安全环境是人们所关心的问题,由于社会经济的不断发展带动了多项科学技术的改革创新,网络免疫系统安全技术发展得到了前所未有的一个质跃性发展,人工免疫系统就是其中一项关键技术。针对目前互联网中存在的安全问题进行研究,现有人工免疫系统为基础提出一种改进后的入侵检测方案,旨在提升我国互联网的安全性,保障人们在上网过程中时刻处于安全的环境中,防止黑客利用病毒侵入受保护网络。

关键词: 入侵检测; 人工免疫系统; 计算方式; 网络安全

中图分类号: TN911?34 文献标识码: A 文章编号: 1004?373X(2014)14?0008?03

Artificial immune models and algorithms for intrusion detection

ZHU Zhen?li

(Hebei Fire Fighting Corps, 050000, China)

Abstruct: The rapid development of Internet brings about not only the convenience of people work, live, contact, but also some security risks, including personal privacy, trade secret and even national security. Therefore, the current network security environment is an issue that people are concerned. Because the continuous development of social economy has led to a number of reform and innovation of science and technology, the security technologies of network immune system have achieved an unprecedented qualitative leap. The artificial immune system is one of them. The security problems existing in Internet are researched in this paper. An improved intrusion detection program based on the existing artificial immune system is proposed to enhance the security of the Internet, to ensure the people surfing the Internetin in Internet Security environment, and prevent hackers to intrude into the network by using viruses.

Keywords: intrusion detection; artificial immune system; calculation mode; network security

人工免疫系统(Artificial Immune System)是一种基于人体免疫系统的运作原理开发出的一种新型计算机信息处理系统,该系统应用于入侵检测方面能实现对非法入侵的有效识别,对计算机网络起到了保护作用。该系统中充分利用了人体免疫系统中的自适应性、自学习性以及发展性等原理,与传统入侵检测技术相比更智能,应用后能有效解决目前互联网系统中存在的安全问题,提升用户的系统安全指数。

1 人工免疫系统综述

1.1 自然生物免疫机制概述

人工免疫系统是由自然生物免疫机制发展而来的。文献资料表明,在自然生物免疫系统中,使用了模式识别(DNA编码)方式实现对病原体等各类有害物质的防御。以人体为例,通常情况下人体中存在两类细胞,人体自身细胞和非人体自身细胞。在免疫系统的运作下,人体在面对非自身细胞时会产生一定的排异反应,这就是人体免疫系统的运转方式。由此可以得出,人体免疫机制的核心部分是负选择算法,这种方式在人工免疫系统中也有所体现。最重要的是在人体中各类免疫细胞与免疫分子在运作过程中各司其职,并形成相互制约之势,这种情况下免疫工作的进行既能取得良好的成效,同时也能保证免疫系统运作的适度性。

1.2 人工免疫系统具体功能

由于目前社会发展阶段对于互联网的安全方面的问题存在较高的要求,所以构建的人工免疫体系需要满足下列条件:

(1) 多样性。即人工免疫系统中应当存储有各类网络病毒的样本,使其在运转过程中能对入侵的病毒进行快速处理。

(2) 容错性。目前网络环境的发展日趋复杂化,人工免疫系统在运作过程中难免发生误判的现象,容错性的设置使其在发生错误后不会造成严重后果,留有挽回的余地。

(3) 智能性。人工免疫系统中免疫单元的分布十分广泛且分散,使用集中控制的方式不能完全实现其效果,构建智能化的免疫系统,实现其中各单元的自发性、自主性控制对于实现入侵检测的高效率有积极影响。

(4) 稳定性。想要对特定互联网系统进行持续性的监控与保护,首先需要保证人工免疫系统运转的稳定性,所以在进行系统构建时需要注意当前对系统稳定性的要求,以保证系统在实现对病毒不断处理的同时能长期稳定运转。

(5) 自适应性与鲁棒性。当今网络环境变幻莫测,在构建人工免疫系统时需要保证其良好的自适应性与鲁棒性,在使用过程中能跟随病毒的不断升级而完成对自身能力的提升,形成其对环境良好的适应性。

1.3 基于免疫特异性原理的负选择算法

人体免疫计算机系统的运作过程与自然生物免疫学原理从根本上来说具有统一性,自然生物中存在的免疫系统需要在多变的生物自身环境下不断变化发展才能更好的适应生物环境,而人工免疫系统则需要在不断变化发展过程中更好的对网络环境进行适应,最终实现自身的稳定性。生物免疫系统为了达成这一目标采用的方式是广泛分布、灵活运转以及保证系统本身良好的自适应性与鲁棒性,将这些优点应用在人工免疫系统中能使该系统更好地保障用户的计算机系统安全。人体免疫系统在计算机中的运作原理概述如下:在有需要的情况下对计算机系统进行全面检测,在检测过程中发现的部分无非两类,自我与非自我。将自我部分删除,剩余的则是非自我部分。否定选择算法的先进性使其在保障用户安全方面更有效果。

2 如何改进现有人工免疫入侵检测模型

2.1 现有人工免疫入侵检测系统中存在的问题

据相关研究表明,目前使用的人工免疫系统中主要存在四个方面的问题:

(1) 检测器生成问题。在目前使用的人工免疫系统中,由于检测器生成环节对检测器设置的字符长度相同,对于计算机中各方面存在的差异性没有进行全面考虑,使得初始生成的检测器质量普遍存在问题,这会导致之后生成的成熟检测器质量不高,并且由于字符的限制,成熟检测器不能完成字符的自由组合,使其在检测过程中可能发生遗漏。

(2) 人工免疫系统模型性能问题。由于在检测器生成阶段考虑因素的不全面使得最终形成的人工免疫系统模型中的检测器质量存在较大问题,其中的记忆检测器与成熟检测器使用效果不能达到预期,同时字符的限制使其中存储的信息不能做到细致的分类,当特定网络环境遭到规模较大的入侵时不能将自身功能良好地体现,使计算机性能整体下降,不能实现预期的用户保护功能。

(3) 二进制串的长度问题。生物免疫系统中抗体与抗原中存在的用户“DNA信息”是十分详细的,在人工免疫系统中由于空间的限制使二进制串的长度不能达到较高的水平,所以在进行识别时产生误差的可能性比生物免疫系统中产生误差的可能性高得多。

(4) 自动化问题。目前免疫系统的运行总是需要网络安全专家实施手动操作,对于人工的依赖性较强,系统自动化程度有待提升。

2.2 人工免疫系统检测模型的完善

对当前人工免疫系统模型进行深入研究后对其中存在的问题进行了改善,在上述免疫系统模型的基础上制定出了一种新型的人工免疫系统模型。改进后的系统与从前系统相比协同刺激部分、免疫系统部分与检测器生成部分均有所改善,同时还添加了从前人工免疫模型中未设置的防火墙部分,提升了系统的整体性能。改进后的人工免疫系统构造如图1所示。

图1 改进后的人工免疫构造图

在该系统中,数据包充当生物免疫系统运转中的“抗原”,当其进入受保护区域,则会首先经过系统中设置的防火墙部分,防火墙对其进行初步检测,若检测结果为与自身“细胞”匹配则会直接将其过滤,不匹配则会将其递交给免疫模块;此时系统中的免疫模块开始运作,首先对其进行匹配,符合则会将其直接过滤,不符则会利用生成的检测器对其开展检测,若其与成熟检测器不匹配,则会给予其一定的权限,使其完成对计算机系统的访问。若其与成熟检测器匹配相符,则会将其提交至协同刺激部分,利用该部分完成对其的分析,分析结果若认定其中存在安全隐患,则会将其直接删除;若为正常数据包则会使系统产生一次整体的进步,删除前面步骤中与其匹配的数据包,并且添加一个初始数据包至成熟数据包部分。

2.3 改进后的入侵检测计算方式

系统采用的是累计计算方式进行流量的监控,依照TCP,UDP和ICMP等法则对异常流量进行判断并明确攻击行为是否发生,同时利用防火墙实现对异常流量的处理。这种算法的核心思想就是利用统计学原理对攻击前的流量异常情况进行预估,预估的结果决定了其是否采取防护措施,在这一系统中防火墙的运转规则由预估结果决定。

利用累计计算方式对流量情况进行预判时,会采集到多个系统正常流量数据,利用这些数据可以形成如下公式:

[C+i=max0,xi-u+k+C+i-1]

式中:[xi]是对流量实施检测过程中第i次的监测结果,且此时计算机网络系统处于正常运转状态,则可以得出一个流量的均匀分布值u,u是其标准差[σ]的正态分布,若此时[σ]的具体数值为已知条件,则将u作为流量监测的目标值,当网络流量值在计算机运转过程中产生了一定的偏差时,就可以得出上述公式。公式中k的值通常取监测过程中发现的流量异常均值[u′]与[u]的中间值。

3 结 语

综上所述,本文利用生物免疫机制对当前人工免疫系统中存在的问题进行了分析,并以这些问题为出发点对其进行了关键部分的改进,使其与生物免疫系统的运作原理更相符,同时完成了对系统效率与系统准确性的统一,使其在运转过程中更高效地实现对计算机系统的保护。

参考文献

[1] 胡亮,王程明,赵阔,等.基于人工免疫模型的入侵检测系统中检测器生成算法的分析与改进[J].吉林大学学报:理学版,2010(1):67?72.

[2] 张玉芳,熊忠阳,孙桂华,等.基于人工免疫的网络入侵检测模型的研究[J].计算机科学,2009(12):108?110.

[3] 王一川,张仕斌.基于人工免疫的入侵检测改进模型研究[J].昆明理工大学学报:理工版,2009(1):52?56.

[4] 范荣真,杨东勇.基于人工免疫的入侵检测模型研究[J].福建电脑,2010(4):1?3.

[5] 周豫苹,郑荔萍.基于免疫机理和遗传算法的自适应入侵检测系统[J].福建电脑,2009(10):5?6.

[6] 严宣辉.应用疫苗接种策略的免疫入侵检测模型[J].电子学报,2009(4):780?785.

(5) 自适应性与鲁棒性。当今网络环境变幻莫测,在构建人工免疫系统时需要保证其良好的自适应性与鲁棒性,在使用过程中能跟随病毒的不断升级而完成对自身能力的提升,形成其对环境良好的适应性。

1.3 基于免疫特异性原理的负选择算法

人体免疫计算机系统的运作过程与自然生物免疫学原理从根本上来说具有统一性,自然生物中存在的免疫系统需要在多变的生物自身环境下不断变化发展才能更好的适应生物环境,而人工免疫系统则需要在不断变化发展过程中更好的对网络环境进行适应,最终实现自身的稳定性。生物免疫系统为了达成这一目标采用的方式是广泛分布、灵活运转以及保证系统本身良好的自适应性与鲁棒性,将这些优点应用在人工免疫系统中能使该系统更好地保障用户的计算机系统安全。人体免疫系统在计算机中的运作原理概述如下:在有需要的情况下对计算机系统进行全面检测,在检测过程中发现的部分无非两类,自我与非自我。将自我部分删除,剩余的则是非自我部分。否定选择算法的先进性使其在保障用户安全方面更有效果。

2 如何改进现有人工免疫入侵检测模型

2.1 现有人工免疫入侵检测系统中存在的问题

据相关研究表明,目前使用的人工免疫系统中主要存在四个方面的问题:

(1) 检测器生成问题。在目前使用的人工免疫系统中,由于检测器生成环节对检测器设置的字符长度相同,对于计算机中各方面存在的差异性没有进行全面考虑,使得初始生成的检测器质量普遍存在问题,这会导致之后生成的成熟检测器质量不高,并且由于字符的限制,成熟检测器不能完成字符的自由组合,使其在检测过程中可能发生遗漏。

(2) 人工免疫系统模型性能问题。由于在检测器生成阶段考虑因素的不全面使得最终形成的人工免疫系统模型中的检测器质量存在较大问题,其中的记忆检测器与成熟检测器使用效果不能达到预期,同时字符的限制使其中存储的信息不能做到细致的分类,当特定网络环境遭到规模较大的入侵时不能将自身功能良好地体现,使计算机性能整体下降,不能实现预期的用户保护功能。

(3) 二进制串的长度问题。生物免疫系统中抗体与抗原中存在的用户“DNA信息”是十分详细的,在人工免疫系统中由于空间的限制使二进制串的长度不能达到较高的水平,所以在进行识别时产生误差的可能性比生物免疫系统中产生误差的可能性高得多。

(4) 自动化问题。目前免疫系统的运行总是需要网络安全专家实施手动操作,对于人工的依赖性较强,系统自动化程度有待提升。

2.2 人工免疫系统检测模型的完善

对当前人工免疫系统模型进行深入研究后对其中存在的问题进行了改善,在上述免疫系统模型的基础上制定出了一种新型的人工免疫系统模型。改进后的系统与从前系统相比协同刺激部分、免疫系统部分与检测器生成部分均有所改善,同时还添加了从前人工免疫模型中未设置的防火墙部分,提升了系统的整体性能。改进后的人工免疫系统构造如图1所示。

图1 改进后的人工免疫构造图

在该系统中,数据包充当生物免疫系统运转中的“抗原”,当其进入受保护区域,则会首先经过系统中设置的防火墙部分,防火墙对其进行初步检测,若检测结果为与自身“细胞”匹配则会直接将其过滤,不匹配则会将其递交给免疫模块;此时系统中的免疫模块开始运作,首先对其进行匹配,符合则会将其直接过滤,不符则会利用生成的检测器对其开展检测,若其与成熟检测器不匹配,则会给予其一定的权限,使其完成对计算机系统的访问。若其与成熟检测器匹配相符,则会将其提交至协同刺激部分,利用该部分完成对其的分析,分析结果若认定其中存在安全隐患,则会将其直接删除;若为正常数据包则会使系统产生一次整体的进步,删除前面步骤中与其匹配的数据包,并且添加一个初始数据包至成熟数据包部分。

2.3 改进后的入侵检测计算方式

系统采用的是累计计算方式进行流量的监控,依照TCP,UDP和ICMP等法则对异常流量进行判断并明确攻击行为是否发生,同时利用防火墙实现对异常流量的处理。这种算法的核心思想就是利用统计学原理对攻击前的流量异常情况进行预估,预估的结果决定了其是否采取防护措施,在这一系统中防火墙的运转规则由预估结果决定。

利用累计计算方式对流量情况进行预判时,会采集到多个系统正常流量数据,利用这些数据可以形成如下公式:

[C+i=max0,xi-u+k+C+i-1]

式中:[xi]是对流量实施检测过程中第i次的监测结果,且此时计算机网络系统处于正常运转状态,则可以得出一个流量的均匀分布值u,u是其标准差[σ]的正态分布,若此时[σ]的具体数值为已知条件,则将u作为流量监测的目标值,当网络流量值在计算机运转过程中产生了一定的偏差时,就可以得出上述公式。公式中k的值通常取监测过程中发现的流量异常均值[u′]与[u]的中间值。

3 结 语

综上所述,本文利用生物免疫机制对当前人工免疫系统中存在的问题进行了分析,并以这些问题为出发点对其进行了关键部分的改进,使其与生物免疫系统的运作原理更相符,同时完成了对系统效率与系统准确性的统一,使其在运转过程中更高效地实现对计算机系统的保护。

参考文献

[1] 胡亮,王程明,赵阔,等.基于人工免疫模型的入侵检测系统中检测器生成算法的分析与改进[J].吉林大学学报:理学版,2010(1):67?72.

[2] 张玉芳,熊忠阳,孙桂华,等.基于人工免疫的网络入侵检测模型的研究[J].计算机科学,2009(12):108?110.

[3] 王一川,张仕斌.基于人工免疫的入侵检测改进模型研究[J].昆明理工大学学报:理工版,2009(1):52?56.

[4] 范荣真,杨东勇.基于人工免疫的入侵检测模型研究[J].福建电脑,2010(4):1?3.

[5] 周豫苹,郑荔萍.基于免疫机理和遗传算法的自适应入侵检测系统[J].福建电脑,2009(10):5?6.

[6] 严宣辉.应用疫苗接种策略的免疫入侵检测模型[J].电子学报,2009(4):780?785.

(5) 自适应性与鲁棒性。当今网络环境变幻莫测,在构建人工免疫系统时需要保证其良好的自适应性与鲁棒性,在使用过程中能跟随病毒的不断升级而完成对自身能力的提升,形成其对环境良好的适应性。

1.3 基于免疫特异性原理的负选择算法

人体免疫计算机系统的运作过程与自然生物免疫学原理从根本上来说具有统一性,自然生物中存在的免疫系统需要在多变的生物自身环境下不断变化发展才能更好的适应生物环境,而人工免疫系统则需要在不断变化发展过程中更好的对网络环境进行适应,最终实现自身的稳定性。生物免疫系统为了达成这一目标采用的方式是广泛分布、灵活运转以及保证系统本身良好的自适应性与鲁棒性,将这些优点应用在人工免疫系统中能使该系统更好地保障用户的计算机系统安全。人体免疫系统在计算机中的运作原理概述如下:在有需要的情况下对计算机系统进行全面检测,在检测过程中发现的部分无非两类,自我与非自我。将自我部分删除,剩余的则是非自我部分。否定选择算法的先进性使其在保障用户安全方面更有效果。

2 如何改进现有人工免疫入侵检测模型

2.1 现有人工免疫入侵检测系统中存在的问题

据相关研究表明,目前使用的人工免疫系统中主要存在四个方面的问题:

(1) 检测器生成问题。在目前使用的人工免疫系统中,由于检测器生成环节对检测器设置的字符长度相同,对于计算机中各方面存在的差异性没有进行全面考虑,使得初始生成的检测器质量普遍存在问题,这会导致之后生成的成熟检测器质量不高,并且由于字符的限制,成熟检测器不能完成字符的自由组合,使其在检测过程中可能发生遗漏。

(2) 人工免疫系统模型性能问题。由于在检测器生成阶段考虑因素的不全面使得最终形成的人工免疫系统模型中的检测器质量存在较大问题,其中的记忆检测器与成熟检测器使用效果不能达到预期,同时字符的限制使其中存储的信息不能做到细致的分类,当特定网络环境遭到规模较大的入侵时不能将自身功能良好地体现,使计算机性能整体下降,不能实现预期的用户保护功能。

(3) 二进制串的长度问题。生物免疫系统中抗体与抗原中存在的用户“DNA信息”是十分详细的,在人工免疫系统中由于空间的限制使二进制串的长度不能达到较高的水平,所以在进行识别时产生误差的可能性比生物免疫系统中产生误差的可能性高得多。

(4) 自动化问题。目前免疫系统的运行总是需要网络安全专家实施手动操作,对于人工的依赖性较强,系统自动化程度有待提升。

2.2 人工免疫系统检测模型的完善

对当前人工免疫系统模型进行深入研究后对其中存在的问题进行了改善,在上述免疫系统模型的基础上制定出了一种新型的人工免疫系统模型。改进后的系统与从前系统相比协同刺激部分、免疫系统部分与检测器生成部分均有所改善,同时还添加了从前人工免疫模型中未设置的防火墙部分,提升了系统的整体性能。改进后的人工免疫系统构造如图1所示。

图1 改进后的人工免疫构造图

在该系统中,数据包充当生物免疫系统运转中的“抗原”,当其进入受保护区域,则会首先经过系统中设置的防火墙部分,防火墙对其进行初步检测,若检测结果为与自身“细胞”匹配则会直接将其过滤,不匹配则会将其递交给免疫模块;此时系统中的免疫模块开始运作,首先对其进行匹配,符合则会将其直接过滤,不符则会利用生成的检测器对其开展检测,若其与成熟检测器不匹配,则会给予其一定的权限,使其完成对计算机系统的访问。若其与成熟检测器匹配相符,则会将其提交至协同刺激部分,利用该部分完成对其的分析,分析结果若认定其中存在安全隐患,则会将其直接删除;若为正常数据包则会使系统产生一次整体的进步,删除前面步骤中与其匹配的数据包,并且添加一个初始数据包至成熟数据包部分。

2.3 改进后的入侵检测计算方式

系统采用的是累计计算方式进行流量的监控,依照TCP,UDP和ICMP等法则对异常流量进行判断并明确攻击行为是否发生,同时利用防火墙实现对异常流量的处理。这种算法的核心思想就是利用统计学原理对攻击前的流量异常情况进行预估,预估的结果决定了其是否采取防护措施,在这一系统中防火墙的运转规则由预估结果决定。

利用累计计算方式对流量情况进行预判时,会采集到多个系统正常流量数据,利用这些数据可以形成如下公式:

[C+i=max0,xi-u+k+C+i-1]

式中:[xi]是对流量实施检测过程中第i次的监测结果,且此时计算机网络系统处于正常运转状态,则可以得出一个流量的均匀分布值u,u是其标准差[σ]的正态分布,若此时[σ]的具体数值为已知条件,则将u作为流量监测的目标值,当网络流量值在计算机运转过程中产生了一定的偏差时,就可以得出上述公式。公式中k的值通常取监测过程中发现的流量异常均值[u′]与[u]的中间值。

3 结 语

综上所述,本文利用生物免疫机制对当前人工免疫系统中存在的问题进行了分析,并以这些问题为出发点对其进行了关键部分的改进,使其与生物免疫系统的运作原理更相符,同时完成了对系统效率与系统准确性的统一,使其在运转过程中更高效地实现对计算机系统的保护。

参考文献

[1] 胡亮,王程明,赵阔,等.基于人工免疫模型的入侵检测系统中检测器生成算法的分析与改进[J].吉林大学学报:理学版,2010(1):67?72.

[2] 张玉芳,熊忠阳,孙桂华,等.基于人工免疫的网络入侵检测模型的研究[J].计算机科学,2009(12):108?110.

[3] 王一川,张仕斌.基于人工免疫的入侵检测改进模型研究[J].昆明理工大学学报:理工版,2009(1):52?56.

[4] 范荣真,杨东勇.基于人工免疫的入侵检测模型研究[J].福建电脑,2010(4):1?3.

[5] 周豫苹,郑荔萍.基于免疫机理和遗传算法的自适应入侵检测系统[J].福建电脑,2009(10):5?6.

[6] 严宣辉.应用疫苗接种策略的免疫入侵检测模型[J].电子学报,2009(4):780?785.

猜你喜欢
入侵检测网络安全
网络安全知多少?
网络安全
网络安全人才培养应“实战化”
上网时如何注意网络安全?
基于入侵检测的数据流挖掘和识别技术应用
艺术类院校高效存储系统的设计
基于关联规则的计算机入侵检测方法
基于Φ—OTDR的分布式入侵检测系统的应用综述
我国拟制定网络安全法
“4.29首都网络安全日”特别报道