朱传华

摘要：互联网技术和计算机技术的蓬勃发展极大地推动了我国高新技术的发展，但是网络安全也受到了极大挑战。人工免疫系统是有效维护互联网安全的重要方式，本文系统地阐述了人工免疫系统在病毒入侵过程中的检测作用，并模仿生物免疫系统建立了一种人工免疫算法，该算法能很好地适应网络变化，具有较强的学习能力，对于丰富人工免疫算法具有重要意义。

关键词：人工免疫算法;网络入侵;检测;应用

doi：10.16083/j.cnki.1671-1580.2019.07.018

中图分类号：TP393 文献标识码：A 文章编号：1671-1580（2019）07-0074-04

随着计算机的普及和科技的不断进步，人们对网络安全的意识不断提高。在保护网络安全方面，计算机网络安全供应商通常采用传统的防火墙技术作为网络安全的第一道防线，但是随着计算机病毒的日益多元化、复杂化、攻击方式多样化及隐蔽化，传统防火墙技术已经很难阻挡其进入计算机网络中，网络安全技术必须朝着多样化、智能化和快速反应化方向发展。在这样的时代背景下，为了保护网络不受病毒的入侵，计算机网络安全供应商提出了入侵检测系统。根据不同的技术原理又将其分为特征检测和异常检测，其中以基于生物免疫系统开发的人工免疫系统的入侵检测技术成为了目前研究的热点。人工免疫系统的概念最早是由Farmer学者于1986年提出的，经过30多年的发展，人工免疫系统技术日益完善、功能日益强大、运用范围也日益扩大。现今，在人工免疫系统入侵检测技术领域，研究人员主要提出了三种算法，分别是：基于网络的入侵检测模型算法，多Agent系统模型算法，基于阴性选择、克隆选择和检测子基因库的分布式检测模式算法。

一、人工免疫算法

（一）人工免疫系統

人工免疫系统，是在生物免疫系统的基本原理和抵抗病毒入侵方法的基础上，通过模仿、借鉴和利用建立起来的一种系统。因此，在介绍人工免疫系统之前，必须了解生物免疫系统的基本原理和工作形式。生物免疫系统是一个具有自学习、自适应、动态平衡、相互协调处理的复杂系统。该系统能识别和排除抗原体，起到保护人类机体不受病毒、细菌等的侵害的作用。生物免疫系统将人体内的细胞分为自身细胞（“自我”）和非自身细胞（“非我”），该系统只对“非我”细胞进行免疫。在免疫时，淋巴细胞充当检测器，对体内细胞进行否定筛选，一旦筛选到“非我”细胞，便对其进行破坏和吞噬，消灭“非我”，起到保护的作用。人工免疫系统也是通过定义“自我”和“非我”来进行免疫的。事先通过特定的模式来抽取特定数据，并采用二进制字符串对这些特定数据构造模式集。该集合包含“自我”和“非我”两种子集。当有非法入侵时，该系统将这些非法入侵与构造的模式集比较，当确认这些是属于“非我”的子集时，将对其进行拦截。

（二）人工免疫系统通用框架

首先是人工免疫系统利用目标函数和约束来识别抗原，进而产生初始抗体;然后初始抗体经过亲和力计算使抗体具有抑制和促进作用同时生成记忆亲和力高的抗体;随后抗体经过学习使得自我更新并增加抗体数量;最后当抗体数量满足要求后便结束，反之继续学习。

（三）人工免疫系统综述

Yang等提出了一种分布式代理入侵检测模型，该模型能动态监视并不断提高系统的学习能力，能很好地监控网络。sobh TS等将混合系统与异常检测、误用检测相结合来研究如何解决网络安全。Visconti等利用带有模糊集的人工免疫系统来模仿自组织免疫系统的运作过程。符海东等根据粗糙集的反向选择法理论，提出了一种粗糙集人工免疫入侵检测算法，但是该算法检测成功率较低，漏报现象频发，实用效果欠佳。为了改进该算法，符海东等人提出了基于模糊控制的人工免疫入侵检测算法。该算法主要是利用模糊控制来浓缩抗体，然后通过遗传算法繁殖抗体种群，这样能在一定程度上提高检测成功率，但种群数量少、漏报率高仍然没有得到有效的解决。从以上关于人工免疫系统的发展现状可知，人工免疫入侵检测系统目前存在的误报率较高、缺乏自适应性成为了制约其发展的两大难题。

二、人工免疫算法的具体流程

图1表示人工免疫算法的具体流程，由图1可知，该算法主要分为检测器生成阶段和检测器识别阶段，首先生成检测器，然后利用检测器检测待检数据，并与事先定义的正常数据进行比较，如果没有发现异常则说明待检数据没有危险，反之则报警提示有异常入侵。

三、基于免疫原理的入侵检测模型建立

本节将基于生物免疫原理建立人工免疫系统入侵检测模型，主要内容分为：模型原理介绍、算法选择以及模型的构建。

（一）模型原理

基于生物免疫工作原理，人工免疫系统入侵检测就是检测和判断“自我”和“非我”的过程。在网络系统中，“自我”表示合法的正常的网络行为;“非我”则表示不正常的不合法的网络行为。在计算机中，数据是利用二进制算法来表述的。因此为了能区分“自我”和“非我”，需要利用二进制算法来构建一个特定模式集。具体的做法是将所有的字符串划分为长度为L的等长字符串，将这些等长字符串组成的集合命名为U。U中包含“自我”和“非我”2个子集，分别用Y和N表示。模式集建立好后，相应的检测规则也建立，即对于任意等长字符串Q，如Q∈Y且QN，则说明该字符串Q是合法的;若QY且Q∈N，则说明该字符串Q是非法的，这样就能对任意的网络数据进行判断。但是为了快速判断且提高成功率需要对算法进行有效选择和优化。

（二）算法选择

经过30多年的发展，人工免疫系统入侵检测算法主要包括阴性选择、克隆选择和遗传算法等三种，并广泛地运用于网络安全保护中。本模型采用的人工免疫系统入侵检测算法是r连续位匹配算法，这种算法较简单且能快速进行匹配计算，具体的算法如下：

假设任意字符串a和b在其对应位置上都存在至少r位连续相同，则称a和b是r连续位匹配，记做M（a，b） | =true。如a=“000101000”，b=“001101011”，由于其在相应位置4—7位都为“1010”所以他们是4连续位匹配。基于该算法，r越小，匹配概率越高，则检验精度越低。选择合适的r值，就可构建检测器，如果检测器的字符串与待检字符串发生r连续位匹配，则认为该检测器对待检字符串存在免疫功能。

（三）模型构建

根据上述原理构建如图2的入侵检测模型。由图2可知，该模型包括自我集生成模块、入侵模块、检测器生成模块、中心控制模块和管理模块等，现分别进行简要叙述：

1.自我集生成模块

根据TCP/IP协议特点，通过研究数据生成过程和特征，可以定义自我模式。定义完成后通过分析和提取正常流动数据便可以获得“自我集”，由于网络信息随时随地都在变化，所以需要“自我集”不断更新内容。

2.入侵模块

该模块由若干检测器集群构成。首先，检测器收到来自控制模块的检测集并组建特征库从而形成单个检测器。检测器具有独立运作、互不通信的功能。然后，各个检测器捕捉网络中的数据，通过模式提取形成待检字符串。之后，检测器运用r连续位匹配算法来对待检字符串进行计算和分析。如果比对结果能在事先设置特征库中的自我集中找到，则将其删除;如果比对结果不能在自我集中找到，反而在特征库中的记忆型字符集（“非我”）中找到，则表明系统受到入侵;若不匹配则是新的攻击，提取异常字符串，進入免疫状态。

3.检测器生成模块

该模块的功能是采用阴性选择法和“自我集”来审查异常字符串，完成免疫耐受。如果匹配则将该字符归类为“自我集”中，反之则将其视为新的攻击，将该攻击升级为记忆型字符串，并让系统进行自我学习。“自我集”和“记忆型集”共同生成成熟的检测集——抗体，并送入特征库。

4.中心控制模块

该模块是控制上述三个模块的核心部分，主要有以下几项功能：（1）定期向“自我集”模块发送更新、不断学习的命令，确保“自我集”跟上网络的发展，避免错报;（2）更新检测器群，提高检测器的响应特性和检测速度;（3）记录入侵并根据危害程度进行报警。

5.管理模块

该部分主要是由人来完成相应的操作，即当发生报警后，管理人员应采取相应的措施，对入侵进行处理，并做好相应的记录。

四、系统测试与性能分析

为了检测入侵检测系统的性能，对r连续位匹配算法进行仿真实验，主要研究r连续位对检测器数、生成时间、漏检率、CPU利用情况和使用性能进行分析。

（一）对检测器数和生成时间的影响

在相同的输入条件下，随着r的增大，检测器数量增大相应的生成时间也增长。因此，在采用这种方法时，应合理选择r值，提高检测的精确性和快速相应性。

（二）对捡漏率的影响

由图3可知，随着r的增大，捡漏率也越大。这表明r越大，检测器的匹配程度也越高，生成的检测器数量也越少，越有可能漏掉与检测器相匹配的入侵。当r越小，检测器的匹配程度越低，生成的检测器越多，但是捡漏率降低。对此，应合理寻找r值使得检测器数量和捡漏率达到折中。

（三）对CPU利用情况的影响

众所周知，自我集越大，则检测效率越高。但是自我集过于庞大又会增加系统时间，使得检测时间变长。由图4可知，随着自我集的增大，CPU利用率增大，但是增大趋势逐渐放缓。

（四）使用性能分析

通过采用r连续位匹配算法，人工免疫入侵检测系统能检测出udpflood、Teardrop、synflood等攻击方法。由此可见该人工免疫入侵检测系统具有强大的入侵识别能力，此外该系统还能够自我学习，不断丰富特征库，能很好地适应快速变化的网络环境，具有非常强大的自适应、自组织和自学习能力。

五、结论

随着科技的不断提高，互联网安全防护迫在眉睫，基于生物免疫系统开发的人工免疫检测系统能很好地保护网络安全。本文详细介绍了人工免疫系统的识别、检测等工作原理，并采用r连续位匹配计算方法，组建了人工免疫入侵检测模型。该模型能很好地适应快速变化的网络环境，对维护我国互联网安全以及丰富入侵检测算法具有重要的意义。