EEPW论坛

摘要：给出了一个入侵免疫系统的结构模型，对目前应用的免疫机制做了简要介绍，在此基础上，对迄今国内外所提出的几种典型的入侵免疫系统模型做了较详尽的描述和分析；提出了影响网络入侵免疫系统的评测因素以及入侵免疫系统今后进一步的研究方向。

    关键词：入侵免疫 免疫机制 NIIS 评测因素

随着攻击者知识的积累以及攻击手法的日趋复杂和隐蔽，被动的安全策略已经无法满足网络安全的需求。在这种情况下，人们开始进一步采用入侵检测等主动防御技术，在网络中布署入侵检测系统IDS（Intrusion Detection System）作为第二道防线。入侵检测，顾名思义是对入侵行为的发现，它通过在计算机网络或计算机系统中的若干关键点收集信息并对其进行分析，从中发现网络或系统中是否有违反安全策略的行为和被攻击的迹象。但由于传统的入侵检测系统大多采用基于规则的检测方法，最终用户需要经常更新规则，在入侵规则的获取、更新方面存在瓶颈，缺乏有效性、自适应性和可扩展性，不易检测入侵变体。为此，近几年人们把入侵检测技术与生物免疫系统相结合，通过对自然免疫系统的模拟研究，力图使计算机网络系统获得更多理想的安全特性，这就导致了一种新型、智能化的入侵检测系统——网络入侵免疫系统（Network Intrusion Immune System。简称NIIS）的诞生，并成为当今的研究热点之一。

本文对当前的入侵免疫系统中应用的免疫机制做了简要介绍，并对国内外一些关于入侵免疫系统模型研究的新进展做了比较分析。

1 网络入侵免疫系统NIIS的结构模型

免疫系统是一个复杂的多代理系统。将免疫系统应用到入侵检测当中，本质上是设计和实现一个分布式智能多代理系统。免疫的基本原理是分辨本体（正常）和异体（异常）。在入侵检测领域，本体是被监控网络的正常行为，异体是网络的异常行为。NIIS主要由两部分组成，抗体培育中心和免疫代理，见图1。

2 入侵免疫系统中应用的免疫机制

目前入侵免疫模型中应用的主要有以下一些免疫机制：

（1）以氨基酸短序列为基础的免疫识别机制

不同生物的细胞都会表达（在细胞膜外表面上）或分泌一些具有独特结构的蛋白分子，可以作为不同生物的识别标志。这种蛋白分子上的独特结构是由相邻的氨基酸排成的序列，称为决定簇。淋巴细胞受体能与病原体的抗原决定簇（配体）互补结合，从而实现对病原体的免疫识别。这些机制为进行模式识别提供了实现方法上的启示。

（2）以受体编码基因库为基础的免疫多样性机制

生物体在进化过程中逐渐形成了一组编码淋巴细胞受体的基因库。基因库对几乎任何一种病原体，都能生成可以对基进行特性异性识别的受体，这种机制称为免疫多样性。

（3）以阴性选择为基础的免疫耐受机制和分布式检测机制

淋巴细胞受体的特性是只结合并识别病原体抗原，而不对自身抗原产生免疫反应（即自身耐受）。免疫学中通过阴性选择来解释成熟淋巴细胞的生成过程：淋巴细胞在表达出识别受体后，要经过一个阴性选择过程，在这个过程中，凡表达自身抗原识别受体的淋巴细胞会过程性死亡；相应地，发育成熟的淋巴细胞就只能识别非自身抗原了。免疫系统在对非自身抗原的免疫反应过程中，是各种免疫细胞通过高度局部化的相互作用而实现，这一机制在入侵检测系统模型中得到了极大的重视和应用。

（4）以记忆B细胞为基础的免疫记忆机制

免疫系统在后天可以被具有某种决定簇的抗原所诱导而产生免疫应答，当再次遇到这种抗原的时候，免疫应答会更敏感、更迅速和更强烈。这种后天通过抗原的诱导而获得的适应性和特异性的免疫反应能力，被称为免疫记忆。免疫记忆的特异性不是一对一的，它不仅使系统对以前遇见过的抗原仍然具有检测能力（更敏感、更迅速和更强烈），还能对相似结构的其他抗原产生免疫应答。

3 网络入侵免疫系统的研究进展

3．1 国外的研究进展

在国外提出基于免疫机制入侵检测模型的代表主要是：新墨西哥大学的Forrest、Hofmeyr小组；University of Memphis的Dasgupta小组和伦敦大学的Kim、Bentley小组。Forrest小组致力于建立一个计算机免疫系统，提出用反向选择算法NSA来产生成熟检测器（类似于达尔文进化论中的优胜劣汰的自然选择算法），并首次提出“计算机免疫学”一词。Forrest小组基于免疫机制的入侵检测模型是一个基于网络的入侵检测模型，在这个模型中，整个系统由分布在网络中处于监听状态（“混杂”模式）的一组主机构成，每台主机是一个检测检点。在每个检测给点上，用于免疫识别的抗原是由TCPSYN请求包中的源IP地址、目的IP地址和服务端口三个属性构成的定长为L的二进制符号串。模型中的阴性检测子是免疫系统中B细胞、T细胞和抗体的综合体，数据结构与抗原相同，检测子与抗原的特导体互补结合以定长的连续位匹配函数来模拟。Forrest小组还提出了采用连续位匹配函数时，提高成熟检测子生成效率的方法。

Dasgupta小组提出了一种实现入侵检测的免疫遗传模型，并提了一种新的检测子结构，还提出了一个生成衡量不同危险级别的检测子的思想，这是该小组的主要贡献；不足之处在于其设计只是针对突发异常数据包的一类攻击，这种攻击很容易被发现，因此价值不高。Kim小组描述了阴性选择、克隆选择和检测子基因库进化三种免疫机制的应用。该模型中，用于免疫识别的抗原是一种聚集结构，模型中检测子的结构与抗原的结构相同，检测子与抗原是否匹配是通过所有各属性的匹配分值之和是否超过某个阈值而判定的。系统由中枢IDS和周围二级IDS组成。在中枢IDS上存储着一个用于生成未成熟检测子的基因库，基因库最初是根据有关入侵的先验知识建立的，然后再利用成功检测到入侵的有效检测子的信息来进化，周围IDS以中枢IDS传送的成熟检测子进行入侵检测。

    在以上三个模型中，Forrest小组的模型较为新颖，研究最为实现、完整和深入。由于应用了免疫耐受机制（阴性选择），该模型采用分布式检测方式，由此带来了系统的健壮性、多样性、轻量级和可扩展性。不过该模型也有一些不足，主要是模型中参数较多，且各参数之间的相互关系，与具体应用环境、系统的资源、数据特点、检测率和效率等因素的关系都不确定，对怎样确定的一组参数值才能获得较好的检测效果有待进一步研究。Dasgupta小组研究的内容只是其中的一个方面，即阴性检测子和阳性检测子的比较以及阴性检测子的遗传生成算法。Kim小组提出的模型从原理和结构上看尚不存在问题，有待实验验证。

3．2 国内的研究进展

国内关于入侵免疫系统的研究，目前正如火如荼，采用了神经网络、数据挖掘、模糊逻辑和遗传算法、Agent、对象免疫等多项技术，并已经有了相当研究成果。主要有：

赵俊忠等结合多Agent和数据挖掘技术提出了一个基于免疫机制的入侵检测系统模型，该模型在数据挖掘技术的应用上与别人有所不同，强调不同用户行为的个体差异。挖掘不同用户个体行为的规律性和不同服务器的配置信息，因此，获得了较高的检测率和准确性，并将检测范围扩充到了UDP数据包的检测。

潘志松等提出了一个基于自然免疫和疫苗接种机制相结合的入侵检测系统模型以及相关算法，该算法充分考虑了数据包负载部分包含的入侵信息，建立反馈机制，并将疫苗接种机制引入入侵检测中，使入侵检测系统增强了对未知攻击的识别能力，并使系统具有自组织性，高效性和分布性。

邓贵仕等对检测子的生成机制和匹配算法进行了较为深入的探讨，建立了一个基于免疫原理和Agent技术的三层分布式网络入侵检测系统模型，但该模型存在不足的地方，例如如何缩短阴性选择过程的时间，寻找更加高效的字符串匹配方法等。这些都是关系到系统效率的核心问题，需要做进一步的研究。

孙美凤等针对的流量特征，提出了对Hofmeyr自适应免疫系统模型的一种改进，新的模型保留了Hofmeyr模型的优点，可用于企业园区网，具有更强的能力，能为园区网提供全局的检测和保护。但对用报文内容刻画的攻击无能为力，如各种特洛伊木马攻击，它以报文中具有某个子串为攻击特征。

胡翔等基于对象免疫思想，提出了一个入侵免疫系统的构建方法，其核心是围绕对象行为模型定制免疫规则，使每个对象受到针对性的保护。

吴作顺等提出了一个基于免疫学的多代理入侵免疫系统模型，该模型中，基于免疫学的安全代理能在联网节点之间漫游，监视网络状态。这些代理相互识别对方的活动行为，以等级方式进行合作，并根据底层安全规则采取相应的行动。移动代理具有自学学习能力，能动态适应周围环境，检测出已知与未知的入侵。多代理检测系统同时在不同层次监视联网计算机的活动情况，包括用户级、系统级、进程级和数据包级。

张勇等提出了一个基于免疫原理的多代理网络入侵检测系统模型，该系统是一个分布式的，各个检测代理之间也是松耦合的，可以相互代替，并在本地保存了入侵日志，安全性较高，但只能根据单个网络包来实现检测。

吴泽俊等提出了一个基于免疫的克隆选择算法，对入侵检测的免疫模型做了一些改进。

马建伟等提出一个生成“检测体”具有动态动态平衡的计算机免疫系统。

刘赛等提出了一种免疫遗传算法，能检测较大范围内的网络入侵并能产生较好的模式识别器。

国内上述模型虽应用了免疫系统的原理和机制，但有的只用了一部分，缺乏完整性，并且还主要停留在理论研究和探索阶段，所做的工作较为零散未能形成连续的和系统性的研究，特别是距离在工程层面上的应用还有一定差距。

4 入侵免疫系统的评测因素

迄今提出的入侵免疫系统模型已有很多，毫无疑问存在一个评测的标准，本文称之为评测因素。值得注意的是这些评测因素的存在影响着未来的入侵免疫系统的发展方向。影响一个入侵系统的性能及应用的广泛性的因素很多，但最主要的有以下几个方面：

（1）检测抗原入侵的全面性程度

全面性程度是一个最重要的参数，若入侵免疫系统能检测、免疫的抗原数越多，则其普及性越好、漏检率越低。

（2）检测模型的自适应程度

自适应模型结合自学习系统的优点，能体现特征系统的检测效率。

（3）可配置性

系统能够容易地根据网络或计算机的不同需求进行配置。网络环境中的个体主机都是异构的，可能有不同的安全需求、不同的网络组件，例如：路由器、DNS、防火墙等及各种不同的网络服务可能有不同的安全需求。

（4）健壮性（鲁棒性）

系统必须有多个检测点，这样才能足够健壮，以对抗攻击以及系统的任何差错。NIIS最大的弱点就是遭受黑客攻击从而导致系统失效。

（5）互操作性

指NIIS部件之间以及与其他安全系统之间的互操作性，应从体系结构、API、通信机制、语言格式等方面规范NIIS。

（6）轻量级

轻量级的NIIS不会给系统造成过大的负担。如果NIIS是轻量级的，就能提高工作效率，因为每一组件完成的任务很小，本地主机需执行的主要任务应是有限的。

5 今后进一步的研究方向

入侵免疫系统的研究发展方兴未艾，入侵免疫技术作为当前网络安全研究的热点，还需要做进一步深入、细致和长期原研究。今后可以在以下几方面开展进一步的研究：

（1）生成高效、多功能的检测子

现有NIIS中的检测子仅仅基于单个网络包检测，具产生有效检测子的效率也不高。因此，未来的入侵免疫系统若采用包含关于网络流量及连接的停息的多功能检测子，其检测功能将大大增加。

（2）采用自动免疫应答、响应机制

IDS的入侵响应方式和响应能力往往受到一定限制，而NIIS的响应机制接近最新出现的自动入侵响应系统。所以，NIIS在响应机制方面将朝着自动入侵响应系统AIRS方向发展。

（3）进一步完善系统功能

NIIS系统的一些重要功能尚未完成，例如免疫反应功能、基因库的演化等。

（4）扩展输入源

目前的数据源是网络数据包，下一步可以扩展输入源，使NIIS能够检测到更多种类、更多层级上的入侵。

脑神经系统（神经网络）、免疫系统和遗传系统（演化计算）是生物体中三个具有重大研究意义的系统。其中，免疫系统的研究正成为新的研究热点。免疫系统具有一些复杂系统所共有的特性，这些特性的研究无论从理论上还是工程应用上都有深远意义。不过应明确，入侵检测系统和免疫系统面对的总是并不完全一致。例如：免疫系统并不提供对机密性的保护。另外自身免疫性疾病也使我们看到自然免疫系统并不是一个非常完善的保护系统。因此，这说明了研究和构建入侵免疫系统工作的艰巨性和长期性。