5.5　本章小结

本章首先论述了当前入侵检测系统中检测时间与检测空间之间的矛盾问题，指出了一定的时间并不能换取有效的空间，而是大量无效的空间。针对该问题，我们基于免疫系统中抗原显现的机制提出了“静则勿动，变才需求”异常呈现与异常触发机制，保证了入侵检测系统能实现检测的时间加上响应的时间小于攻击的时间。深入分析了实现异常呈现的两种判定法则（正向判定和反向判定）的判别效率，结果显示反向判定优于正向判定，并提出了反向判定的遗传算法GAND来产生反向判断规则集B，作为通用的、非专门化的检测器，其功能类似于免疫系统中的T细胞。给出了算法GAND的实现步骤，通过实验结果验证了算法GAND的可行性。在此基础上，给出了由异常触发而产生初始检测器的方案，并通过实验确定了异常刺激的半径，使产生的初始检测器呈集群分布，其可以视为免疫系统中B细胞进化阶段和形式。设计了检测器的产生方式、演变阶段和形式，将检测器分为初始检测器、成熟检测器和记忆检测器三种类型，并赋予其不同的生命周期。初始检测器由异常触发而产生，成熟检测器和记忆检测器是由活化后的初始检测器经克隆选择转化而来，该转化过程实际上是IAIDM模型对未知入侵行为的一个自我学习和自我适应的过程，使模型的性能得到逐步的提高。为了防止活化响应发生链式反应，制定了优先权机制和率先活化机制。检测器的响应激励机制实现了检测器动态更新和联想记忆的功能，使得模型检测未知入侵的同时，能够自动形成对已知入侵的快速检测能力，即IAIDM模型具有同时检测异常入侵和误用入侵的能力。

本章最后分析了检测器响应激励机制的相关参数对模型的学习速度以及学习结果有效性的影响，并进行了测试实验。实验结果进一步验证了初始检测器向成熟检测器和记忆检测器转化过程，是IAIDM模型对未知入侵行为特征自学习和自适应的过程，是模型区分自我和非我能力逐步提高的过程。