1.4　本书组织结构

本书围绕具有免疫功能的自适应入侵检测建模问题展开了深入的研究。共分7章，主要内容如下。

第一章给出了本书研究的背景与意义，接着从入侵检测的概念入手，阐述了入侵检测系统的分类及其体系结构，综述了入侵检测模型的研究进展与概况，给出了当前入侵检测模型所存在的问题，并提出了解决问题的思路。最后给出了全书的主要内容安排。

第二章介绍了免疫学的理论基础，包括免疫的体系结构、免疫识别、受体多样性、免疫系统的适应性及免疫耐受现象等内容，这些免疫原理是本书研究工作的理论基础。最后分析了IDS和自然免疫系统之间的共同之处，以及两者间的差异。

第三章从自然免疫系统的抽象模型研究入手，重点分析了当前IDS免疫模型研究中存在的不足，给出了免疫模型的设计原则、建模思路和目标，并研究一种新的基于免疫原理的自适应入侵检测模型IAIDM（Immune-based Adaptive Intrusion Detection Model），概述了IAIDM的结构和工作原理。最后给出了IAIDM模型的实验数据集，以及特征属性的选择和归一化预处理方法。

第四章类比自然免疫系统中先天B细胞的原理，研究以最小候选检测器集合M的概念来定义覆盖整个入侵检测的问题域所需检测器的最低数量，并对其空间覆盖特性、生成算法和初始化方式进行了深入的研究。在此基础上研究一种新的基于最小候选检测器集的否定选择算法MBNSA（M-Based Negative Selection Algorithm），以避免传统否定选择算法中繁重的迭代过程，详细给出了算法的相关定义和推导过程，并分析了算法的时间和空间复杂度。另外研究了面向行为子集的异常阈值计算方式，引入密度等高线来实现自我空间的模糊划分，使算法MBNSA产生的检测器集更符合当前网络安全的状况。最后分析了训练集的非完备问题对IAIDM模型的影响以更新的策略，研究增量式批量更新算法IMBNSA（Incremental Algorithm of MBNSA），给出了算法的实施步骤，算法IMBNSA能增量式地动态更新发生变化的局部样本空间，使入侵检测系统能迅速适应网络环境的变化。

第五章针对当前入侵检测系统中检测时间与检测空间之间存在的矛盾，进行了深入的研究与分析，基于自然免疫系统中抗原显现的机制提出了“静则勿动，变才需求”的异常呈现与异常触发机制，给出了实现异常呈现的反向判定规则集的遗传算法GAND（Genetic Algorithm of ND）以及由异常触发而产生初始检测器群的方案。在此基础上，将免疫应答、克隆选择、高频突变、免疫细胞间的抑制和激励等免疫机制引入IAIDM模型，设计检测器的演变阶段和形式，并给出和分析检测器的激活和相互间激励或抑制的算法，实现了检测器动态更新和联想记忆的功能。

第六章首先从检测器的角度描述了IAIDM模型的工作特性。从入侵检测的有效性以及系统的适应性和柔性检测几个方面对IAIDM模型的性能进行了测试和评价，测试结果对比于“KDD CUP 1999”大赛中各类入侵检测系统、入侵检测算法以及经典的免疫模型，IAIDM模型在检测效果、适应性和柔性检测等方面的性能表现得更为优越。在性能分析的基础上，对IAIDM模型进行了扩展和优化，使其性能得到了进一步的完善。最后，描述了IAIDM在实际网络中的运行情况，运行测试结果验证了IAIDM建模方法的有效性。

第七章对本书进行了总结，并展望了今后的研究方向。