【導讀】1）目前計算機網(wǎng)絡入侵檢測技術慨述、提出存在不足。疫系統(tǒng)反面算法的計算機網(wǎng)絡入侵檢測安全系統(tǒng)。5）仿真研究，在該計算機局域網(wǎng)進行相關模擬仿真試驗，并給出結論。2）畫出系統(tǒng)程序設計流程圖。體內(nèi)的作用與計算機領域的安全系統(tǒng)有著驚人的相似。從信息學角度來看，生物免疫系統(tǒng)。記憶等機制，具備較強的信息處理能力。

　　

【正文】 一個隨機字符發(fā)生器，由他隨機生成一些長度為 L的二進制字符串，即未成熟檢測元，然后每個二進制字符串采用 R鄰近位字符串匹配算法與 Self集進行匹配比較。如果匹配成功，說明 該未成熟檢測元與網(wǎng)絡系統(tǒng)的正常模式吻合，那么某網(wǎng)絡行為模式與 Nonself集某檢測元匹配 ，則表明異常網(wǎng)絡行為，入侵檢測系統(tǒng)將報警，基于免疫機制的入侵檢測系統(tǒng)的檢測原理如圖 33所示。 圖 33基于免疫機制的入侵檢測系統(tǒng)的檢測原理 Self 集 匹配 丟棄 成熟檢測元 匹配 異常事件 正常事件 是 否 是 否 二進制隨機字符串 網(wǎng)絡流程圖 茂名學院本科畢業(yè)（設計）論文： 基于人工免疫系統(tǒng)反面算法的計算機網(wǎng)絡入侵檢測技術研究 20 （ 2）字符串的匹配方法 ]18[ 由于產(chǎn)生的 Self集都是以二進制來表示的，所以我們所使用的免疫匹配規(guī)則應該是針對二進制字符串的。將網(wǎng)絡連接特性向量轉為二進制字符 串，然后與隨機生成的相同位數(shù)的二進制字符串（未成熟的檢測元）相匹配生成成熟檢測元。 二進制字符串間的匹配規(guī)則有很多，如統(tǒng)計規(guī)則（ Statistical）、海明距離（ HammingDistance）和 R鄰近位匹配算法（ RContiguous）等。采用何種二進制字符串的匹配算法，這是一個關鍵問題。因為只有采用合適的匹配算法，才能有效的構造免疫檢測器集。 R鄰近位匹配算法具有很高的信號噪聲比，因此在本文中采用該匹配規(guī)則。 R鄰近位匹配算法是指如果兩個字符串有 r個連續(xù)對應位字符相同，那么在 R≤ r時認為這 2個字符 串匹配成功。例如有任意兩個字符串 S1=0110100101和 S2=1110111101在 R=4時是匹配的。匹配算法中 r變量相當于免疫系統(tǒng)中免疫細胞的激活門限， R值的大小，決定能檢測出異常行為的多少，當 r是二進制串的長度時該檢測只能是特異性檢測如果令 m為字符集中元素的個數(shù)，本文采用二進制字符串，故 m=2； l為每個字符串的長度； r為如果兩個字符串匹配成功需要具有的連續(xù)相同的字符的個數(shù)。 如令 m=2,l=4,r=2,則應用 R連續(xù)規(guī)則所生成的成熟檢測元如圖 34所示。 圖 34應用 R連續(xù)規(guī)則生成成熟檢測元 假定需要 保護的“自我”字符串為 1011011100110000，將其等分為 4個字節(jié)符串。未成熟檢測集中的“ 1000”和“ 1100”分別與“自我”字符串集中的“ 0000”在 R≤ 2的條件下匹配成功，故拒絕這兩個字符串，接收“ 1101”為成熟檢測元。 并且對于給定的連續(xù)匹配規(guī)則，一旦指定了參數(shù) m， r和 l，其匹配概率也就隨之而定了。 （ 3） 字體 /非字體 “自我”字符串集 1011 0111 0011 0000 利用 R 連續(xù)規(guī)則匹配 拒絕 1000 1100 1000 1100 1101 … 1101 未成熟檢測元集 成熟檢測元集 失敗 第三章 系統(tǒng)設計 21 生物免疫系統(tǒng)講所有的細胞分為兩類：自身的細胞和飛自身的細胞，自身細胞是指對自身健康，沒有被 病毒感染、破壞的細胞。非自身細胞則是指細菌、病毒等有害物質(zhì)和自身被感染、破壞的細胞。 對于網(wǎng)絡安全而言，講自體定義為局域網(wǎng)中正常發(fā)生的連接，而飛自體定義為非正常發(fā)生的連接。由于在計算機中所有的數(shù)據(jù)都是以二進制的形式存放的，所以，可以基于二進制字符串來構造是 Self集，長度為 L,步長也為 L的滑動窗口來掃描正常的網(wǎng)絡傳輸（這些長度為 L的二進制字符串就是 Self樣本），將他們加入到 self集中去。這樣網(wǎng)絡傳輸就被定義為在一個域 U上， U是一個所有長度為 L的二進制字符串的有限集合，他包含有 self和 nonself，一 個字符串 s屬于 self集或屬于 nonself集。這樣，網(wǎng)絡安全問題就可以定義為判斷長度 L的字符串 s屬于哪個集合。為題的關鍵在于看題（檢測器）的產(chǎn)生機制上，因為它決定了問題的復雜程度。 （ 4）抗體 /抗原 免疫系統(tǒng)中，抗體是 B細胞識別抗原后克隆擴增分化為漿細胞時所產(chǎn)生的一種蛋白質(zhì)分子。抗體時 B細胞主要是載體， B細胞的功能主要通過抗體來實現(xiàn)。 同樣，對于網(wǎng)絡安全系統(tǒng)而言，由于講自體和非自體定義為長度為 L的二進制符串，相對應的抗體和抗原的基因也表示成二進制形式。每一個數(shù)據(jù)路徑對應著網(wǎng)絡連接，采用二進制字符串表示。每 次連接中字符串都是唯一的。 （ 5）親和力的計算 親和力即抗體和抗原之間的結合能力，可定義為抗體基因和抗原基因的匹配度。由于抗體和抗原已定義為二進制字符串，他們之間的匹配可采用 r鄰近位匹配算法 ? 其他親和力 ,0 ,,1),( jkiyxrijjiryxg kk ???????（ 31） 式（ 31）描述的式親和力的計算方法，式中 x， y代表抗體或抗原的基因組合。 （ 6）檢測器的生命周期 ]19[ 網(wǎng)絡環(huán)境中，網(wǎng)絡的狀態(tài)在不斷發(fā)生變化，所以檢測器必須對此作出及時的反應。在人工免疫檢測模型中，檢測器主要有三種狀 態(tài)：未成熟的檢測器、成熟的檢測器、記憶檢測器。 每個檢測器的生命周期主要包括：生成階段；成熟階段；免疫檢測階段；死亡階段。使用隨機二進制發(fā)生器產(chǎn)生新的檢測器，這些沒有進過否定選擇的檢測器處于不成熟狀態(tài)，這些生成的候選檢測器與自體集合中的字符串進行 r鄰近位匹配比較，如果候選檢測器與體集合字符串匹配，則殺死這個候選檢測器，如果不匹配規(guī)則將該候選檢測器加入到成熟檢測器集合中。 茂名學院本科畢業(yè)（設計）論文： 基于人工免疫系統(tǒng)反面算法的計算機網(wǎng)絡入侵檢測技術研究 22 使用 r鄰近位匹配規(guī)則計算兩個字符串之間的匹配性。每一個檢測器可累計匹配數(shù)（親和力）用一個計數(shù)器 m表示， m的值在一定時間內(nèi)會自動消亡（清 零）。 要激活一個檢測器，必須在一定時間周期內(nèi)匹配至少δ個字符串，δ稱為活化閥值。一旦激活檢測器，匹配數(shù)m就重置為 0。每個檢測節(jié)點都有局部靈敏度ω，局部靈敏度越高，局部活化閥值就越低。這種機制能保證當不同的非自體在短時間內(nèi)出現(xiàn)時，它們還是能夠被檢測到。 當一個數(shù)據(jù)包流經(jīng)網(wǎng)絡，不同的檢測器用不同程度的匹配值激活其中匹配最好的檢測器稱為記憶檢測器。記憶檢測器復制自身，并擴展到網(wǎng)絡中的鄰節(jié)點。最終，記憶檢測器分不到整個系統(tǒng)中。 檢測器的生命周期如圖 35所示 圖 35檢測器生命周期示意圖 本章小結 本章節(jié)主要講述了基于人工免疫系統(tǒng)發(fā)面算法，提出設計模型構造，并且對相關概念進行詳細解釋闡述。 隨機產(chǎn)生的二進制字符串 未成熟 成熟 死亡 激活 記憶 耐受期發(fā)生匹配 耐受期無匹配 匹配 未達到閥值 超過激活閥值 協(xié)同刺激失敗 協(xié)同刺激 匹配 第四章 模擬實驗及仿真分析 23 第四章 模擬 實驗 及仿真分析 實驗相關公式 實驗中參數(shù)定義如下： 0RN未成熟檢測元的個數(shù) RN 成熟檢測元的個數(shù) SN “自我”字符串，即被保護字符串個數(shù) MP 任意 兩個字符串匹配成功的概率 f 未成熟檢測元沒有與 SN 中任意一個字符串匹配成功的概率，顯然 SNMpf )1( ?? （ 41） 如果 MP 很小而 SN 很大（事情情況也是如此），那么有 SM NPef ?? （ 42） 而 fNN RR ?? 0 （ 43） RNMf PP )1( ?? （ 44） 實驗數(shù)據(jù)描述 實驗所采用的數(shù)據(jù)都應用于 KDD Cup1999Data上 ]20[ 。該數(shù)據(jù)集首先在與 KDD 99同時茂名學院本科畢業(yè)（設計）論文： 基于人工免疫系統(tǒng)反面算法的計算機網(wǎng)絡入侵檢測技術研究 24 舉辦的第三屆國際知識發(fā)現(xiàn)和數(shù)據(jù)挖掘工具競賽上使用， 它包含了在軍事網(wǎng)絡環(huán)境中仿真的各種入侵。檢測網(wǎng)絡入侵的軟件 能使網(wǎng)絡入侵免遭各種非授權用戶及潛在入侵者的侵擾。這次競賽的任務就是構造一個網(wǎng)絡入侵檢測器，即一個可以區(qū)分壞連接（入侵或攻擊）和好的正常連接的預測模型。 該數(shù)據(jù)集提供了從一個模擬的美國 空軍局域網(wǎng)上采集的 9個星期的網(wǎng)絡連接數(shù)據(jù)，其訓練數(shù)據(jù)集包括 五 百萬個連接數(shù)據(jù)，測試數(shù)據(jù)集包含了 兩 百萬個連接數(shù)據(jù)。一個連接就是在規(guī)定的協(xié)議下、在規(guī)定的時間內(nèi)完成的起始并終止的 TCP分組序列，這些序列在固定的源 IP地址與目的 IP地址之間進行數(shù)據(jù)傳輸。每個連接都帶一個類表示，或者是正常，或者是某個具體攻擊類型。每個連接記錄大概有 100字節(jié)。 數(shù)據(jù)集的每一條記錄由 42個屬性組成， 圖 59給出了該數(shù)據(jù)包集所包含的數(shù)據(jù)記錄示例。 圖 41TCP連接記錄示例 以下表格 ]21[ 列出了該數(shù)據(jù)集中 TCP連接記錄所包含的特征。 表 41單個 TCP連接的基本特征 特征 意義描述 類型 duration Length（ number of seconds） of the connection 連續(xù)型 Protocol_type Type of the protocol,.,tcp,udp,etc. 離散型 service Network service on the destination 離散型 src_bytes Number of data bytes from source to destination 連續(xù)型 dst_bytes Number of data bytes from destination to source 離散型 flag Number or error status of the connection 離散型 land 1 if connection is from/to the same host/part； 0 otherwise 離散型 wrong_fragment Number of “wrong” fragments 連續(xù)型 urgent Number of urgent packets 連續(xù)型 0,tep,SF,276,1046,0,0,0,0,0,1,0,0,0,0,0,0,0,0,0,0,4, 4,0,0,1,0,.0,255,255,1,0,0,0,0,0,0,normal, 0,tep,other,REJ,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,511, 1,0,1,0,1,0,255,1,0,1,0,0,0,.098,1,satan, 184,tep,tel,SF,1511,2957,0,0,0,3,0,0,1,2,1,0,0,0,0,0,0, 0,4,4,0,0,0,0,1,0,0,1,3,1,0,0,0,0,0,buffer_overflow, 0,icmp,ecr_i,SF,1032,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0, 511,511,0,0,0,0,0,0,255,255,1,0,1,0,0,0,0,smurf. 第四章 模擬實驗及仿真分析 25 表 42TCP連接中包含的內(nèi)容特征 特征 意義描述 類型 hot Number of “hot” indicators 連續(xù)型 num_failed_logins Number offailed login attempts 連續(xù)型 bum_promised Number of “promised” conditions 連續(xù)型 logged_in 1ifsuccessfullyloggedin； 0otherwise 離散型 root_shell 1ifrootshellisobtained； 0otherwise 離散型 Su_attempted 1 if“ suroot” mand attempted； 0 otherwise 離散型 num_root Number of“ root” accesses 連續(xù)型 num_file_creations Number of file creation operations 連續(xù)型 num_shells Number of shell prompts 連續(xù)型 num_access_files Number of operation on access control files 連續(xù)型 num_outbound_cmds Number of out bound mand in an ftp session 連續(xù)型 Is_guest_login 1iftheloginisa“ guest” login； 0otherwise 離散型 ls_hot_login 1iftheloginbelongstothe“ hot” list； 0otherwise 離散型 表 43以 2秒為窗口計算的流量特征 特征 意義描述 類型 count Number of connections to the same host as t