6.7　本章小结

本章首先描述了IAIDM模型的工作特性，从检测器的角度将其检测期分为检测初期、检测成熟期和检测记忆期三个阶段，并详细地论述了这三个阶段是IAIDM对当前网络安全环境自我学习和自我适应的过程，在检测记忆期IAIDM处于一个暂稳态，检测效率也趋于稳定。当网络安全环境发生较大变化时，IAIDM能从一个暂稳态转化到另一个暂稳态，体现了IAIDM模型的鲁棒性。

第二部分从入侵检测的有效性以及系统的适应性和柔性检测两个方面对IAIDM模型的性能进行了测试和评价。有效性的测试结果表明，IAIDM能保持在较低误检率的基础上，较好地检测出未知的入侵。由于IAIDM的自学习机制，随着测试的进行，检测效果也越来越好。对比于KDD CUP1999大赛中各类入侵检测系统和RIPPER的检测结果，IAIDM模型的检测能力是较强的。同时针对R2L和U2R两类入侵的测试结果进行了深入的比较分析。而系统适应性和柔性的测试结果表明，IAIDM模型能根据当前网络面临的攻击情况动态调整对系统资源的利用，具有自我平衡和自我平衡调节的功能，即在平时未遭受入侵的情况下，IAIDM能耗费少的系统资源，以便于系统中其他任务的完成；当网络受到攻击时，IAIDM利用了较多的系统资源，便于其能快速有效地检测入侵。与经典的免疫模型比较，IAIDM模型在这一方面的性能表现得尤为优越。

第三部分进一步优化和扩展IAIDM模型的性能，借鉴自然免疫的被动免疫思想，将已知入侵的先验知识“注入”模型，提升其误用检测能力，实验结果显示先验知识的注入能显著提高IAIDM模型对具有隐蔽性入侵行为的检测率，并研究模拟自然免疫系统中的细胞质水平效应机制，建立一个敏化机制以提升IAIDM对隐蔽性入侵行为的检测能力。针对具有无限生命的记忆检测器规模有着不断扩大趋势的问题，我们将记忆检测器进一步划分为自动免疫型记忆检测器和被动免疫型记忆检测器，针对不同类的检测器赋予不同的生命周期，并建立起优先权及变异机制。实验结果显示经过优化和扩展的模型能有效控制记忆检测器的规模，极大消除了检测器间交叠覆盖的现象，并使自动免疫型记忆检测器能实现优胜劣汰，保留最佳的学习结果，提高了整体的检测效率。

最后，描述了IAIDM在实际网络中的运行情况。IAIDM在没有任何先验知识的条件下，测试其对高频率进攻类入侵行为（Smurf和Satan）和隐蔽型进攻类入侵行为（Imap）的检测能力，共进行了三次实验，都得到了近似检测结果。IAIDM对前者的检测率达100%，而对后者的检测率虽较低但能经过学习使其检测效果得到逐步的提高，同时系统产生了少量的自动免疫型记忆检测器和被动免疫型记忆检测器，即IAIDM保留对未知入侵特征的记忆，自动形成了误用检测的能力，体现了IAIDM具有自学习和自适应能力。