摘　要： 给出了一个入侵免疫系统的结构模型，对目前应用的免疫机制做了简要介绍，在此基础上，对迄今国内外所提出的几种典型的入侵免疫系统模型" title="系统模型">系统模型做了较详尽的描述和分析；提出了影响网络入侵免疫系统的评测因素以及入侵免疫系统今后进一步的研究方向。
　　关键词： 入侵检测" title="入侵检测">入侵检测 免疫机制 NIIS 评测因素

2 入侵免疫系统中应用的免疫机制
　　目前,入侵免疫模型中应用的主要有以下一些免疫机制：
　　(1) 以氨基酸短序列为基础的免疫识别机制
　　不同生物的细胞都会表达(在细胞膜外表面上)或分泌一些具有独特结构的蛋白分子,可以作为不同生物的识别标志。这种蛋白分子上的独特结构是由相邻的氨基酸排成的序列,称为决定簇。淋巴细胞受体能与病原体的抗原决定簇(配体) 互补结合,从而实现对病原体的免疫识别。这种机制为进行模式识别提供了实现方法上的启示。
　　(2) 以受体编码基因库为基础的免疫多样性机制
　　生物体在进化过程中逐渐形成了一组编码淋巴细胞受体的基因库。基因库对几乎任何一种病原体,都能生成可以对其进行特异性识别的受体，这种机制称为免疫多样性。
　　(3) 以阴性选择为基础的免疫耐受机制和分布式检测机制
　　淋巴细胞受体的特性是只结合并识别病原体抗原，而不对自身抗原产生免疫反应(即自身耐受)。免疫学中通过阴性选择来解释成熟淋巴细胞的生成过程：淋巴细胞在表达出识别受体后，要经过一个阴性选择过程，在这个过程中，凡表达自身抗原识别受体的淋巴细胞会程序性死亡；相应地，发育成熟的淋巴细胞就只能识别非自身抗原了。免疫系统在对非自身抗原的免疫反应过程中，是各种免疫细胞通过高度局部化的相互作用而实现，这一机制在入侵检测系统模型中得到了极大的重视和应用。
　　(4) 以记忆B 细胞为基础的免疫记忆机制
　　免疫系统在后天可以被具有某种决定簇的抗原所诱导而产生免疫应答，当再次遇到这种抗原的时候，免疫应答会更敏感、更迅速和更强烈。这种后天通过抗原的诱导而获得的适应性和特异性的免疫反应能力，被称为免疫记忆。免疫记忆的特异性不是一对一的，它不仅使系统对以前遇见过的抗原仍然具有检测能力(更敏感、更迅速和更强烈)，还能对相似结构的其他抗原产生免疫应答。
3 网络入侵免疫系统的研究进展
3.1 国外的研究进展
　　在国外提出基于免疫机制入侵检测模型的代表主要是：新墨西哥大学的Forrest、Hofmeyr小组^[1~4]；University of Memphis的Dasgupta小组^[5~7]和伦敦大学的Kim、Bentley小组^[8~9]。Forrest小组致力于建立一个计算机免疫系统，提出用反向选择算法NSA来产生成熟检测器(类似于达尔文进化论中的优胜劣汰的自然选择算法)，并首次提出“计算机免疫学”一词。Forrest小组提出的基于免疫机制的入侵检测模型是一个基于网络的入侵检测模型,在这个模型中,整个系统由分布在网络中处于监听状态(“混杂”模式)的一组主机构成,每台主机是一个检测检点。在每个检测结点上,用于免疫识别的抗原是由TCP SYN 请求包中的源IP地址、目的IP地址和服务端口三个属性构成的定长为L的二进制符号串。模型中的阴性检测子是免疫系统中B细胞、T细胞和抗体的综合体,数据结构与抗原相同，检测子与抗原的特异性互补结合以定长的连续位匹配函数来模拟。Forrest小组还提出了采用连续位匹配函数时，提高成熟检测子生成效率的方法。
　　Dasgupta小组提出了一种实现入侵检测的免疫遗传模型，并提出了一种新的检测子结构，还提出了一个生成衡量不同危险级别的检测子的思想，这是该小组的主要贡献；不足之处在于其设计只是针对突发异常数据包的一类攻击，这种攻击很容易被发现，因此价值不高。Kim 小组描述了阴性选择、克隆选择和检测子基因库进化三种免疫机制的应用。该模型中，用于免疫识别的抗原是一个聚集结构，模型中检测子的结构与抗原的结构相同，检测子与抗原是否匹配是通过所有各属性的匹配分值之和是否超过某个阈值而判定的。系统由中枢IDS和周围二级IDS组成。在中枢IDS 上存储着一个用于生成未成熟检测子的基因库，基因库最初是根据有关入侵的先验知识建立的，然后再利用成功检测到入侵的有效检测子的信息来进化，周围IDS 以中枢IDS 传送的成熟检测子进行入侵检测。
　　在以上三个模型中，Forrest小组的模型较为新颖，研究最为实际、完整和深入。由于应用了免疫耐受机制(阴性选择) ,该模型采用分布式检测方式，由此带来了系统的健壮性、多样性、轻量级和可扩展性。不过该模型也有一些不足，主要是模型中参数较多，且各参数之间的相互关系，与具体应用环境、系统的资源、数据特点、检测率和效率等因素的关系都不确定，对怎样确定的一组参数值才能获得较好的检测效果有待进一步研究。Dasgupta小组研究的内容只是其中的一个方面，即阴性检测子和阳性检测子的比较以及阴性检测子的遗传生成算法。Kim小组提出的模型从原理和结构上看尚不存在问题，有待实验验证。
3.2 国内的研究进展
　　国内关于入侵免疫系统的研究，目前正如火如荼，采用了神经网络^[10]、数据挖掘^[11]、模糊逻辑和遗传算法^[12]、Agent^[18～19]、对象免疫^[17]等多项技术，并已经有了相当研究成果。主要有：
　　赵俊忠等^[13]结合多Agent和数据挖掘技术提出了一个基于免疫机制的入侵检测系统模型，该模型在数据挖掘技术的应用上与别人有所不同，强调不同用户行为的个体差异。挖掘不同用户个体行为的规律性和不同服务器的配置信息，因此，获得了较高的检测率和准确性，并将检测范围扩充到了UDP 数据包的检测。
　　潘志松等^[14]提出了一个基于自然免疫和疫苗接种机制相结合的入侵检测系统模型以及相关算法, 该算法充分考虑了数据包负载部分包含的入侵信息, 建立反馈机制, 并将疫苗接种机制引入入侵检测中, 使入侵检测系统增强了对未知攻击的识别能力，并使系统具有自组织性, 高效性和分布性。
　　邓贵仕等^[15]对检测子的生成机制和匹配算法进行了较为深入的探讨，建立了一个基于免疫原理和Agent 技术的三层分布式网络入侵检测系统模型，但该模型存在不足的地方,例如如何缩短阴性选择过程的时间，寻找更加高效的字符串匹配方法等。这些都是关系到系统效率的核心问题，需要做进一步的研究。
　　孙美凤等^[16]针对的流量特征，提出了对Hofmeyr自适应免疫系统模型的一种改进，新的模型保留了Hofmeyr模型的优点，可用于企业园区网，具有更强的能力，能为园区网提供全局的检测和保护。但对用报文内容刻画的攻击无能为力，如各种特洛伊木马攻击，它以报文中具有某个子串为攻击特征。
　　胡翔等^[17]基于对象免疫思想，提出了一个入侵免疫系统的构建方法，其核心是围绕对象行为模型定制免疫规则，使每个对象受到针对性的保护。
　　吴作顺等^[18]提出了一个基于免疫学的多代理入侵免疫系统模型，该模型中，基于免疫学的安全代理能在联网节点之间漫游, 监视网络状态。这些代理相互识别对方的活动行为，以等级方式进行合作, 并根据底层安全规则采取相应的行动。移动代理具有自我学习能力, 能动态适应周围环境, 检测出已知与未知的入侵。多代理检测系统同时在不同层次监视联网计算机的活动情况, 包括用户级、系统级、进程级和数据包级。
　　张勇等^[19]提出了一个基于免疫原理的多代理网络入侵检测系统模型，该系统是一个分布式的，各个检测代理之间也是松耦合的，可以相互代替，并在本地保存了入侵日志，安全性较高，但只能根据单个网络包来实现检测。
吴泽俊等^[20]提出一个基于免疫的克隆选择算法，对入侵检测的免疫模型做了一些改进。
马建伟等^[21]提出一个生成“检测体”具有动态平衡的计算机免疫系统。
刘赛等^[22]提出了一种免疫遗传算法，能检测较大范围内的网络入侵并能产生较好的模式识别器。
　　国内上述模型虽应用了免疫系统的原理和机制，但有的只用了一部分，缺乏完整性，并且还主要停留在理论研究和探索阶段，所做的工作较为零散未能形成连续的和系统性的研究，特别是距离在工程层面上的应用还有一定差距。
4 入侵免疫系统的评测因素
　　迄今提出的入侵免疫系统模型已有很多，毫无疑问存在一个评测的标准，本文称之为评测因素。值得注意的是这些评测因素的存在影响着未来的入侵免疫系统的发展方向。影响一个入侵免疫系统的性能及应用的广泛性的因素很多，但最主要的有以下几个方面：
　　(1) 检测抗原入侵的全面性程度
　　全面性程度是一个最重要的参数，若入侵免疫系统能检测、免疫的抗原数越多，则其普及性越好、漏检率越低。
　　(2) 检测模型的自适应程度
　　自适应模型结合自学习系统的优点，能体现特征系统的检测效率。
　　(3) 可配置性
　　系统能够容易地根据网络或计算机的不同需求进行配置。网络环境中的个体主机都是异构的，可能有不同的安全需求、不同的网络组件，例如：路由器、DNS、防火墙等及各种不同的网络服务可能有不同的安全需求。
　　(4) 健壮性(鲁棒性)
　　系统必须有多个检测点，这样才能足够健壮，以对抗攻击以及系统的任何差错。NIIS最大的弱点就是遭受黑客攻击从而导致系统失效。
　　(5) 互操作性
　　指NIIS部件之间以及与其他安全系统之间的互操作性，应从体系结构、API、通信机制、语言格式等方面规范NIIS。
　　(6) 轻量级
　　轻量级的NIIS不会给系统造成过大的负担。如果NIIS是轻量级的，就能提高工作效率，因为每一组件完成的任务很小，本地主机需执行的主要任务应是有限的。
5 今后进一步的研究方向
　　入侵免疫系统的研究发展方兴未艾，入侵免疫技术作为当前网络安全研究的热点，还需要做进一步深入、细致和长期的研究。今后可在以下几方面开展进一步的研究：
　　(1) 生成高效、多功能的检测子
　　现有NIIS中的检测子仅仅基于单个网络包检测，且产生有效检测子的效率也不高。因此，未来的入侵免疫系统若采用包含关于网络流量及连接的信息的多功能检测子，其检测功能将大大增加。
　　(2) 采用自动免疫应答、响应机制
　　IDS的入侵响应方式和响应能力往往受到一定限制，而NIIS的响应机制接近最新出现的自动入侵响应系统[23]。所以，NIIS在响应机制方面将朝着自动入侵响应系统AIRS方向发展。
　　(3) 进一步完善系统功能
　　NIIS系统的一些重要功能尚未完成，例如免疫反应功能、基因库的演化等。
　　(4) 扩展输入源
　　目前的数据源是网络数据包，下一步可以扩展输入源，使NIIS能够检测到更多种类、更多层级上的入侵。
　　脑神经系统(神经网络)、免疫系统和遗传系统(演化计算)是生物体中三个具有重大研究意义的系统。其中，免疫系统的研究正成为新的研究热点。免疫系统具有一些复杂系统所共有的特性，这些特性的研究无论从理论上还是工程应用上都有深远意义。不过应明确，入侵检测系统和免疫系统面对的问题并不完全一致。例如：免疫系统并不提供对机密性的保护。另外自身免疫性疾病也使我们看到自然免疫系统并不是一个非常完善的保护系统。因此，这说明了研究和构建入侵免疫系统工作的艰巨性和长期性。
参考文献
1 Forrest，Hofmeyr.Computer Immunology.Communications of the ACM.1997；40(10):88～96
2 Hofmeyr, Forrest,D’Haeseleer An immunological approach to distributed network intrusion detection. RAID’98 ,Belgium,1998.http://www.raid-symposium.org/raid98
3 Hofmeyr,Somayaji,Forrest.Intrusion detection using sequencesof system calls1 Journal of Computer Security,1998；6(3): 151～180
4 Hofmeyr,Forrest.Immunity by design:An artificial immune system. GECCO’99,San Francisco, CA,1999
5 Dasgupta.An immune agent architecture for intrusion detec-tion.GECCO 2000 ,Las Vegas , Nevada,USA,2000
6 Dasgupta.Immunity-based intrusion detection systems:A gen-era.framework.The 22nd National Information Systems Security
Conf(NISSC),19991 ftp://ftp.msci.memphis.edu/comp/dasgupta/papers/Immune-IDS.pdf
7 Dasgupta,Gonzalez. An immunogenetic approach to intrusion detection. The University of Memphis,Tech Rep:CS-01-001,2001
8 Kim,Bentley. Investigating the roles of negative selection and clonal selection in an artificial immune system for network intrusion detection. The Special Issue on Artificial Immune Systems in IEEE Transactions of Evolutionary Computation, 2001
9 Kim,Bentley. Evaluating negative selection in an artificial immune system for network intrusion detection.GECCO₂001, 2001.http://www.cs.ucl.ac.uk/staff/J.Kim/pub/ RW254.ps
10 撖书良，蒋嶷川等.基于神经网络的高效智能入侵检测系统[J].计算机工程" title="计算机工程">计算机工程,2004；30(10)：69～70
11 李庆华，童健华等. 基于数据挖掘的入侵特征建模[J]. 计算机工程，2004；30(8)：51～53
12 王永杰，鲜明等.模糊逻辑和遗传算法在IIDS中的应用 [J]. 计算机工程，2004；30(9)：134～135
13 赵俊忠等.免疫机制在计算机网络入侵检测中的应用研究[J].计算机研究与发展,2003；40(9):1293～1299
14 潘志松等.一种基于人工免疫原理的入侵检测系统模型[J].数据采集与处理,2003；18(1):22～26
15 邓贵仕等.基于免疫原理的网络入侵检测系统的研究[J].计算机应用研究，2004；(9)：139～141
16 孙美凤等.一种基于免疫学的园区网入侵检测模型[J].计算机工程与科学，2004；26(10)：34～37
17 胡 翔等.基于对象免疫的入侵检测系统及其在网上银行的应用[J].系统安全,2002；10:37～39
18 吴作顺等. 基于免疫学的多代理入侵检测系统[J].国防科技大学学报,2002；24(4):42～47
19 张 勇等.基于免疫原理的多代理网络入侵检测系统的设计[J]. 计算机应用与软件，2004；21(9)：1～2
20 吴泽俊等.入侵检测系统中基于免疫的克隆选择算法[J].计算机工程，2004；30(6)：50～52
21 马建伟等.生物免疫思想在计算机安全中的应用[J].计算机工程，2004；30(6)：120～123
22 刘赛等.入侵检测系统中的一种免疫遗传算法[J]. 计算机工程，2004，30(8)：63～64
23 张运凯，张玉清等.自动入侵响应系统的研究[J].计算机工程, 2004；30(11):1～3
24 龙振洲等.医学免疫学[M]. 北京：(第二版)人民卫生出版社，1999，7
25 唐正军.网络入侵检测系统的设计与实现[M]. 北京：电子工业出版社，2002，8