5.1　引言

入侵检测虽然是分类正常或异常的简单两类问题。但这两类是非常不均匀的，入侵数据分散在广泛的正常记录的背景噪声中，而正常记录的数据量特别巨大。假设一个计算机网络有几十台工作站、几台服务器，几十个用户，那么每天的审计记录一般约为10万个，而典型情况每天能遇到的入侵1～2个，影响10～20个审计记录，所以入侵与正常数据的比例一般为10-5～2×10-5，为此常常将入侵检测问题说成是在稻草堆中找针的问题。这种问题既对应海量样本的数据集，又需要模式识别算法具有良好的鲁棒性，即算法性能不因与假设模型有小的偏离而受到显著的影响，并且不会因噪声或孤立点的影响而显著恶化。

自然免疫系统面临着与入侵检测类似的问题，比如“自身”与“有害的非自身”也不是线性可分的，区分“自身”与“有害的非自身”也需要采用高维特征，并且“自身”蛋白质的量非常巨大，而少量的“非自身”毫无规律地分布在“自身”蛋白质中。但是自然免疫系统利用不同类型的防御细胞的共同努力，能够高效地、用最短的响应时间、最大限度地利用有限的资源来区分“自身”与“有害的非自身”，保证生物体的存活和正常生理活动的进行。基于自然免疫系统的原理，将抗原显现、免疫应答及免疫刺激和增殖分化等机制引入IAIDM模型，使其具备自适应性和自学习能力。