基于免疫機理的入侵檢測技術(shù)研究.pdf

1、入侵檢測系統(tǒng)（IDS）的主要目標是檢測計算機系統(tǒng)內(nèi)部或外部入侵者的非授權(quán)使用、誤用和濫用。IDS獨特的作用使它在網(wǎng)絡安全體系中占有不可替代的地位。生物免疫系統(tǒng)與入侵檢測系統(tǒng)有著許多相似之處，這些相似性使免疫系統(tǒng)為入侵檢測系統(tǒng)提供了一個自然的研究模板。特別是免疫系統(tǒng)在信息處理中表現(xiàn)出的分布式保護、多樣性、自適應性、健壯性、記憶能力、容錯能力、動態(tài)穩(wěn)定性等良好特性，正是當前入侵檢測領(lǐng)域中所期望得到的，以克服當前IDS所面臨的問題。在傳統(tǒng)方法

2、還不能解決網(wǎng)絡安全問題之時，借鑒生物免疫系統(tǒng)的免疫原理進行入侵檢測技術(shù)研究已引起計算機安全研究人員的高度重視，目前這方面的研究已成為一個熱門方向。 本論文在研究生物免疫機制的基礎上，為提高入侵檢測系統(tǒng)自學習、自適應技術(shù)，在以下方面作了一些有創(chuàng)造性的研究與探索： （1）基于抗原／抗體多樣性，提出“特征元素－特征因子－特征基－特征”的多層次、多特征融合的特征表述方法。該方法具有多樣性。一組特征因子，通過不同的組合，可產(chǎn)生多樣

3、的特征基。一組特征基，通過不同的組合，可表征不同入侵行為的特征；該方法具有開放性。新的特征基可能是已有特征因子的新組合，實際可識別空間取決于特征因子的可組合數(shù)，這個數(shù)目遠遠大于現(xiàn)有的特征基數(shù)。 （2）基于抗體基本功能及結(jié)構(gòu)特點，設計了融檢測與自動響應于一體的檢測器。檢測器由檢測特征基、攻擊標識和效應函數(shù)指針三者構(gòu)成。檢測特征基，形式上與入侵特征基一致，因此也具有開放性和多樣性。檢測特征基的多樣性，決定了檢測器的多樣性，是檢測器可

4、進化的基礎。攻擊標識是對入侵特征基識別后的分類結(jié)果。效應函數(shù)指針鏈接響應措施，特別是主動響應措施，一方面提高系統(tǒng)的防御能力，另一方面為檢測器進化提供必要的時間。 （3）基于免疫danger theory，提出以危險信號作為攻擊檢測協(xié)同作用的思想。本文以被保護對象發(fā)出的可測的極小受損跡象作為“危險信號”，以此作為攻擊檢測的協(xié)同作用信號。旨在通過該協(xié)同檢測，提高對未知攻擊的檢測能力、克服由于“正?！迸c“異?！苯缇€模糊引起的誤報與漏報

5、、引導檢測器進化，從而提高IDS的自適應能力。 （4）基于粗糙集理論，實現(xiàn)了對危險信號的測定。本文主要以易測量且又能直接反映系統(tǒng)工作狀態(tài)，與系統(tǒng)可用資源相關(guān)的參數(shù)及受保護對象屬性等為危險信號來源。在多個危險因子共同作用時，基于粗糙集理論，用各個危險因子對危險決策的重要性確定各自的權(quán)值，危險信號值是各危險因子的加權(quán)和。 （5）提出了一種危險信號協(xié)同作用下檢測器進化策略。按作用時間的先后，將檢測器分為當前檢測器、可用檢測器和