3.3.2　建模思路和目标

3.3.2　建模思路和目标

入侵检测系统的免疫建模目的是充分体现自然免疫系统的先天优势。自然在免疫系统中起检测作用的是抗体，抗体的生成演化和工作过程是其核心机制，即如何模拟抗体的免疫响应、动态更新、否定选择和克隆变异等过程来产生高效的检测器集是免疫建模的关键。借助免疫系统的抽象模型，针对现有免疫模型存在的不足，本章的建模思路为：

（1）改进现有网络免疫安全系统在可靠性、知识性方面缺陷带来的问题，研究重点是结构和表示问题。

（2）改进现有网络免疫系统中算法的效率，发展新的算法，比如否定选择算法和动态克隆选择算法。

（3）解决因检测时间和检测空间之间的矛盾而导致检测器规模无法管理的问题，发展新的检测机制和自我调节与平衡机制。

（4）改进现有网络免疫系统中自我集合和非我集合的尖锐划分问题，引入模糊技术来正确反应网络安全自身模糊的特性。

将免疫系统的较成熟的原理运用到网络安全系统中，提升网络安全系统的性能。结合建模思路和入侵检测技术自身的特点，IDS的免疫建模实现的目标为：

❖具有自学习性和自适应性：能识别与学习未知入侵，并能够快速适应曾检测到的或相似的入侵模式即具有检测异常入侵和误用入侵的能力。

❖具有分布性：最小化检测过程的集中控制程度。

❖具有扩展性：能够根据检测入侵的需要增加相应的检测构件。

❖具有健壮性：检测器呈集群（Cluster）状分布，具有冗余特征，少量检测器的损失对IDS的性能不产生大的影响。

❖具有柔性：根据网络系统面临的攻击情况和系统本身的计算负荷，动态调整对系统资源的利用。