6.5.1　自动免疫与被动免疫机制

自然免疫系统的特异性免疫包括两种类型的免疫，一类称作自动免疫，是指通过感染而生成抗体的免疫；另一类称作被动免疫，是指通过遗传或外部注射等途径获得抗体的免疫。IAIDM模型中由异常呈现而触发检测器产生的方式源于自然免疫系统中的自动免疫机制，表现模型具有自我学习和自我适应的特性。

在网络安全业界内，为了检测网络异常，许多机构做了大量的努力，建立了丰富的攻击特征库，使得对于很多已知攻击可以利用简单的模式匹配技术检测到入侵。这种方法不仅能够可靠的检测已知的入侵，而且还能够判断出已知入侵的类型。对于大量的水平较低的仅使用已知攻击工具脚本的攻击者这种检测非常有效，而根据估计这类攻击占据了攻击总数的一半以上，所以大量的商用入侵检测系统都采用这种基于特征匹配的方法进行检测，例如国外典型的有：ISS的RealSecure，Cisco的NetRanger，CyberSafe的Centrax，CA的eTrust IDS，NAI的CyberCops Monitor，Symantec的NetProwler，Network Flight Recoder的NFR IDS，Network Security Wizards公司的Dragon IDS等，而国内典型的有中科网威的“天眼”入侵侦测系统，东大阿尔派的NetEye IDS，上海金诺网安公司的KIDS，启明星辰公司的SkyBell（天阗）黑客入侵检测与预警系统等。

借鉴自然免疫的被动免疫思想，在模型的进入检测前，首先进行“抗体注入”。如前所述，入侵行为的特征模式不是随机分布在模式空间中任何一处，而是有规律地聚集分布在模式空间中某几个区域内，抗体注入即在已知入侵行为所在的特征空间上安排相应的记忆型检测器，使得模型在开始工作时就具有一定的误用入侵检测能力。抗体注入的机制能对已知入侵进行可靠的检测，有利于误检率的降低，并且能够了解到入侵的类别，这对于如何采取相应的响应方法非常有用。

表6-2的实验结果显示IAIDM模型对具有隐蔽性入侵行为的检测表现不佳，可以通过抗体注入的机制加以改善。实验中从评估数据集合中收集部分R2L和U2R类的入侵行为记录，经过归一化处理后映射到模式空间，将其聚集中心区域即N（c）大于一定阈值的空间网格设为记忆型检测器，然后依次检测实验一中的8个Etest，其结果如表6-4所示。

表6-4　检测结果表（%）

表6-4的实验结果与表6-2相比较，IAIDM模型对R2L和U2R的检测率有了显著的提高（表6-2中R2L最佳检测率为57.32%，而U2R为50.40%），同时随着数据子集的依次输入模型的检测效果也越来越好。

自然免疫系统具有细胞质水平效应的机制，所谓细胞质水平效应是指当免疫系统中的某些免疫细胞检测到可疑的病菌入侵活动时，免疫系统释放细胞质，细胞质能够增加免疫系统中其他免疫细胞对病菌抗原的敏感化程度。而隐蔽性的网络入侵行为其突出特点是其相续的异常记录发生的间隔时间较长，使检测器不可能在有限的时间内识别到足够数量且相似度较高的异常事件，这是导致针对该类入侵行为的检测效果不高的原因。当系统获取隐蔽性入侵行为的某些先验知识时，通过“抗体注入”方式形成对应的记忆型检测器，因此可以模拟该免疫机制，建立一个敏化机制，即提高在这些记忆型检测器的一定区域内初始或成熟检测器的激活概率，如提高调节系数α或延长检测器和异常记录在模式空间中驻留的时间。