2.9.3　入侵检测免疫模型研究

本书在深入研究免疫系统原理的基础上，结合网络安全自身的特点，研究一种基于免疫原理的自适应入侵检测模型IAIDM（Immune-based Adaptive Intrusion Detection Model），并给出了详细的设计原则、设计思路及其模型结构，具有以下研究特点。

（1）将B细胞进化、抗原显现、B细胞的克隆选择与高频突变、抗体间抑制与激励等重要的免疫机制运用到入侵检测的建模研究中，使IAIDM具有较强的自学习性和自适应性，结合了异常入侵检测和误用入侵检测的优点，同时IAIDM摒弃以二进制串定义抗体和抗原结构的传统方式，采用多维实向量来表示网络行为的特征模式，极大地弥补了现有计算机免疫安全系统在可靠性、知识性方面的缺陷。

（2）类比自然免疫系统中先天B细胞产生的原理，研究最小候选检测器集合M的概念来确定覆盖整个入侵检测的问题域所需检测器的最低数量，对其空间覆盖特性、生成算法和初始化与存储方式进行了深入的研究，建立了整数索引空间的机制，使其产生算法的时间复杂度与集合大小无关，很好地解决了由于高维特征数据而造成检测器集合尺寸巨大以致无法初始化与存储的问题。在此基础上，研究一种基于最小候选检测器集合的否定选择算法（M-Based Negative Selection Algorithm，MBNSA），给出了实现步骤并分析了其时间和空间复杂度。MBNSA将候选检测器的识别空间内包含自我样本的数量作为判定其是否有效的标准，使否定选择过程不敏感于噪声数据和异常数据的干扰。通过对自我空间的快速界定，利用已建起的整数索引空间机制，使有效检测器集的产生避免了传统否定选择算法中繁重的迭代过程。

（3）针对传统的免疫模型中存在自我模式集和非我模式集尖锐划分的问题，研究面向行为子集的异常阈值设定方法来体现自我空间的模糊性，并引入密度等高线的概念对各个自我子空间进行多层次的划分，更精细地调整各个自我子空间的界定，使整个自我空间能更好地反映当前的网络安全状况，进而产生高效的检测器。面向行为子集的异常阈值设定有助于消除因训练集的非完备性而导致不同类型的网络行为数据在采集方面存在的不平衡性，即某一网络行为的异常程度衡量只是对应它属于的类而言，而不是针对整个网络行为集。

（4）深入分析了因训练时间有限而导致训练集非完备性问题，引入离散随机过程的分析方法来估计了误检错误发生概率，分析结果显示训练集非完备性问题对IAIDM的影响主要体现在自我空间的边界上。鉴于此，研究增量式批量更新算法（Incremental Algorithm of MBNSA，IMBNSA），给出了算法的相关定义和实现步骤，其突出特点是即排除了偶然事件对有效检测器的影响，又使入侵者企图诱导训练模型的恶意行为变得更加困难。算法IMBNSA增量式地动态地更新变化了的局部样本空间，而不必更新整个样本空间，使IAIDM能迅速适应网络环境的变化。

（5）研究当前入侵检测系统中检测时间与检测空间之间存在的矛盾问题，结合了自然免疫系统中抗原显现的机制，同时依据某一攻击行为所引发的异常记录一般都以临时集束形式而出现的情况，提出了“静则勿动，变才需求”异常呈现与异常触发机制，深入分析了实现异常呈现的两种判定法则的判别效率：正向判定（Positive Distinguish）和反向判定（Negative Distinguish），并提出了反向判定法则的遗传算法（Genetic Algorithm of Negative Distinguish，GAND）产生反向判断规则集B（其功能类似于免疫系统中的T细胞），以及由异常触发初始检测器群产生的方案。该机制使IAIDM能实时捕获网络中任一异常的事件，有针对性地产生检测器群，摒弃了盲目地随机地产生检测器的传统方式，一方面有利于使漏检率最小化，另一方面使系统能根据网络安全状况调整自身的检测策略，实现柔性检测的功能。

（6）类比自然免疫系统中B细胞的进化过程，设计了检测器的克隆选择、高频突变、抑制与激励等演变形式和机制，将检测器分为初始检测器、成熟检测器、自动免疫型记忆检测器和被动免疫型记忆检测器4种类型，赋予其不同的生命周期和行为属性，并给出了各类检测器激活和相互间激励或抑制的算法。初始检测器由异常触发而产生，成熟检测器和自动免疫型记忆检测器是由活化后的初始检测器经克隆选择转化而来，而被动免疫型记忆检测器是由已知入侵的先验知识“注入”模型后形成的。IAIDM建立了优先权、率先活化及变异机制，解决了活化响应发生链式反应、检测器间交叠覆盖以及检测器的规模等问题。

（7）IAIDM模型的性能评价结果以及实际网络中的运行情况，表明IAIDM在检测效果、适应性和柔性检测等方面拥有很好的表现。