1.3.3 基于免疫原理的自适应入侵检测模型
生物的免疫系统是一种自适应的、自组织的、分布式的系统,是一种能够抵挡外来病原体的具有复杂功能的防御系统。人工免疫系统是一种灵感来源于生物免疫系统,用于解决计算机领域问题的新兴算法。生物免疫系统是哺乳动物抵御外来病毒侵害的防御系统,动物的生命过程中会遇到各种伤害可能,免疫系统为其正常的活动起着重要的作用。生物免疫系统的一大特点就是用有限的资源有效地应对了数量庞大且种类多变的病毒入侵。受此特性的启发,人们设计了一种具有对多峰值函数进行多峰值搜索和全局寻优的新型算法。这种算法称为免疫算法(Immune Algorithm)。人工免疫系统的研究结果已涉及控制、故障诊断、模式识别、图像识别、优化设计、机器学习、联想记忆和计算机安全性等许多领域。因此将生物免疫机制引入入侵检测的研究领域具有广阔的发展前景。
入侵检测的免疫模型是模拟自我/非自我的识别、抗体的耐受过程、抗原显现、先天B细胞克隆选择和突变、免疫细胞间的抑制和激励等免疫机制,实现有效的异常入侵检测保障计算机和网络系统的安全。由于基于生物免疫原理的入侵检测模型具有先天的优势,因此本书在深入研究生物免疫机制的基础上,结合入侵检测系统自身的特点,研究一种基于免疫原理的自适应入侵检测模型IAIDM(Immune-based Adaptive Intrusion Detection Model),体现以下的特点。
1.3.3.1 有较高的检测性能
引入了模糊技术,平滑处理正常与异常之间的严格界限,更灵活地处理攻击和合法的判断。利用异常呈现与异常触发机制,有效地解决检测系统中检测时间与检测空间的矛盾问题,将漏检率最小化,动态检测和记忆检测相配合,使检测系统结合了异常入侵检测和误用入侵检测的优点,具有较高的检测率。
1.3.3.2 具有较强的自适应性
针对网络环境的变迁和网络行为方式的改变,具有增量式更新的机制,并对未知入侵行为具有较强的学习能力,能记忆学习的结果而自动形成误用入侵检测的能力。模型能依据当前网络的安全环境,动态和灵活地调整检测策略,即当网络的安全环境恶劣时,利用较多的系统和网络资源,进行快速有效的检测入侵;而在平时未遭受入侵的情况下,尽可能少的耗费系统资源。
1.3.3.3 可扩展性强
不对检测环境进行预先假设,因此不依赖于任何系统而存在,当检测环境变化时检测系统不需要做过多的改动。
1.3.3.4 较好的健壮性
模型的收集和分析组件分布于多个检测节点上,最小化了检测过程的集中控制程度,同时模型中的检测器呈集群分布,具有冗余特征,少量检测器的损失对模型的检测性能不产生大的影响。