【導(dǎo)讀】1）目前計(jì)算機(jī)網(wǎng)絡(luò)入侵檢測(cè)技術(shù)慨述、提出存在不足。疫系統(tǒng)反面算法的計(jì)算機(jī)網(wǎng)絡(luò)入侵檢測(cè)安全系統(tǒng)。5）仿真研究，在該計(jì)算機(jī)局域網(wǎng)進(jìn)行相關(guān)模擬仿真試驗(yàn)，并給出結(jié)論。2）畫(huà)出系統(tǒng)程序設(shè)計(jì)流程圖。體內(nèi)的作用與計(jì)算機(jī)領(lǐng)域的安全系統(tǒng)有著驚人的相似。從信息學(xué)角度來(lái)看，生物免疫系統(tǒng)。記憶等機(jī)制，具備較強(qiáng)的信息處理能力。

　　

【正文】 一個(gè)隨機(jī)字符發(fā)生器，由他隨機(jī)生成一些長(zhǎng)度為 L的二進(jìn)制字符串，即未成熟檢測(cè)元，然后每個(gè)二進(jìn)制字符串采用 R鄰近位字符串匹配算法與 Self集進(jìn)行匹配比較。如果匹配成功，說(shuō)明 該未成熟檢測(cè)元與網(wǎng)絡(luò)系統(tǒng)的正常模式吻合，那么某網(wǎng)絡(luò)行為模式與 Nonself集某檢測(cè)元匹配 ，則表明異常網(wǎng)絡(luò)行為，入侵檢測(cè)系統(tǒng)將報(bào)警，基于免疫機(jī)制的入侵檢測(cè)系統(tǒng)的檢測(cè)原理如圖 33所示。 圖 33基于免疫機(jī)制的入侵檢測(cè)系統(tǒng)的檢測(cè)原理 Self 集 匹配 丟棄 成熟檢測(cè)元 匹配 異常事件 正常事件 是 否 是 否 二進(jìn)制隨機(jī)字符串 網(wǎng)絡(luò)流程圖 茂名學(xué)院本科畢業(yè)（設(shè)計(jì)）論文： 基于人工免疫系統(tǒng)反面算法的計(jì)算機(jī)網(wǎng)絡(luò)入侵檢測(cè)技術(shù)研究 20 （ 2）字符串的匹配方法 ]18[ 由于產(chǎn)生的 Self集都是以二進(jìn)制來(lái)表示的，所以我們所使用的免疫匹配規(guī)則應(yīng)該是針對(duì)二進(jìn)制字符串的。將網(wǎng)絡(luò)連接特性向量轉(zhuǎn)為二進(jìn)制字符 串，然后與隨機(jī)生成的相同位數(shù)的二進(jìn)制字符串（未成熟的檢測(cè)元）相匹配生成成熟檢測(cè)元。 二進(jìn)制字符串間的匹配規(guī)則有很多，如統(tǒng)計(jì)規(guī)則（ Statistical）、海明距離（ HammingDistance）和 R鄰近位匹配算法（ RContiguous）等。采用何種二進(jìn)制字符串的匹配算法，這是一個(gè)關(guān)鍵問(wèn)題。因?yàn)橹挥胁捎煤线m的匹配算法，才能有效的構(gòu)造免疫檢測(cè)器集。 R鄰近位匹配算法具有很高的信號(hào)噪聲比，因此在本文中采用該匹配規(guī)則。 R鄰近位匹配算法是指如果兩個(gè)字符串有 r個(gè)連續(xù)對(duì)應(yīng)位字符相同，那么在 R≤ r時(shí)認(rèn)為這 2個(gè)字符 串匹配成功。例如有任意兩個(gè)字符串 S1=0110100101和 S2=1110111101在 R=4時(shí)是匹配的。匹配算法中 r變量相當(dāng)于免疫系統(tǒng)中免疫細(xì)胞的激活門(mén)限， R值的大小，決定能檢測(cè)出異常行為的多少，當(dāng) r是二進(jìn)制串的長(zhǎng)度時(shí)該檢測(cè)只能是特異性檢測(cè)如果令 m為字符集中元素的個(gè)數(shù)，本文采用二進(jìn)制字符串，故 m=2； l為每個(gè)字符串的長(zhǎng)度； r為如果兩個(gè)字符串匹配成功需要具有的連續(xù)相同的字符的個(gè)數(shù)。 如令 m=2,l=4,r=2,則應(yīng)用 R連續(xù)規(guī)則所生成的成熟檢測(cè)元如圖 34所示。 圖 34應(yīng)用 R連續(xù)規(guī)則生成成熟檢測(cè)元 假定需要 保護(hù)的“自我”字符串為 1011011100110000，將其等分為 4個(gè)字節(jié)符串。未成熟檢測(cè)集中的“ 1000”和“ 1100”分別與“自我”字符串集中的“ 0000”在 R≤ 2的條件下匹配成功，故拒絕這兩個(gè)字符串，接收“ 1101”為成熟檢測(cè)元。 并且對(duì)于給定的連續(xù)匹配規(guī)則，一旦指定了參數(shù) m， r和 l，其匹配概率也就隨之而定了。 （ 3） 字體 /非字體 “自我”字符串集 1011 0111 0011 0000 利用 R 連續(xù)規(guī)則匹配 拒絕 1000 1100 1000 1100 1101 … 1101 未成熟檢測(cè)元集 成熟檢測(cè)元集 失敗 第三章 系統(tǒng)設(shè)計(jì) 21 生物免疫系統(tǒng)講所有的細(xì)胞分為兩類(lèi)：自身的細(xì)胞和飛自身的細(xì)胞，自身細(xì)胞是指對(duì)自身健康，沒(méi)有被 病毒感染、破壞的細(xì)胞。非自身細(xì)胞則是指細(xì)菌、病毒等有害物質(zhì)和自身被感染、破壞的細(xì)胞。 對(duì)于網(wǎng)絡(luò)安全而言，講自體定義為局域網(wǎng)中正常發(fā)生的連接，而飛自體定義為非正常發(fā)生的連接。由于在計(jì)算機(jī)中所有的數(shù)據(jù)都是以二進(jìn)制的形式存放的，所以，可以基于二進(jìn)制字符串來(lái)構(gòu)造是 Self集，長(zhǎng)度為 L,步長(zhǎng)也為 L的滑動(dòng)窗口來(lái)掃描正常的網(wǎng)絡(luò)傳輸（這些長(zhǎng)度為 L的二進(jìn)制字符串就是 Self樣本），將他們加入到 self集中去。這樣網(wǎng)絡(luò)傳輸就被定義為在一個(gè)域 U上， U是一個(gè)所有長(zhǎng)度為 L的二進(jìn)制字符串的有限集合，他包含有 self和 nonself，一 個(gè)字符串 s屬于 self集或?qū)儆?nonself集。這樣，網(wǎng)絡(luò)安全問(wèn)題就可以定義為判斷長(zhǎng)度 L的字符串 s屬于哪個(gè)集合。為題的關(guān)鍵在于看題（檢測(cè)器）的產(chǎn)生機(jī)制上，因?yàn)樗鼪Q定了問(wèn)題的復(fù)雜程度。 （ 4）抗體 /抗原 免疫系統(tǒng)中，抗體是 B細(xì)胞識(shí)別抗原后克隆擴(kuò)增分化為漿細(xì)胞時(shí)所產(chǎn)生的一種蛋白質(zhì)分子。抗體時(shí) B細(xì)胞主要是載體， B細(xì)胞的功能主要通過(guò)抗體來(lái)實(shí)現(xiàn)。 同樣，對(duì)于網(wǎng)絡(luò)安全系統(tǒng)而言，由于講自體和非自體定義為長(zhǎng)度為 L的二進(jìn)制符串，相對(duì)應(yīng)的抗體和抗原的基因也表示成二進(jìn)制形式。每一個(gè)數(shù)據(jù)路徑對(duì)應(yīng)著網(wǎng)絡(luò)連接，采用二進(jìn)制字符串表示。每 次連接中字符串都是唯一的。 （ 5）親和力的計(jì)算 親和力即抗體和抗原之間的結(jié)合能力，可定義為抗體基因和抗原基因的匹配度。由于抗體和抗原已定義為二進(jìn)制字符串，他們之間的匹配可采用 r鄰近位匹配算法 ? 其他親和力 ,0 ,,1),( jkiyxrijjiryxg kk ???????（ 31） 式（ 31）描述的式親和力的計(jì)算方法，式中 x， y代表抗體或抗原的基因組合。 （ 6）檢測(cè)器的生命周期 ]19[ 網(wǎng)絡(luò)環(huán)境中，網(wǎng)絡(luò)的狀態(tài)在不斷發(fā)生變化，所以檢測(cè)器必須對(duì)此作出及時(shí)的反應(yīng)。在人工免疫檢測(cè)模型中，檢測(cè)器主要有三種狀 態(tài)：未成熟的檢測(cè)器、成熟的檢測(cè)器、記憶檢測(cè)器。 每個(gè)檢測(cè)器的生命周期主要包括：生成階段；成熟階段；免疫檢測(cè)階段；死亡階段。使用隨機(jī)二進(jìn)制發(fā)生器產(chǎn)生新的檢測(cè)器，這些沒(méi)有進(jìn)過(guò)否定選擇的檢測(cè)器處于不成熟狀態(tài)，這些生成的候選檢測(cè)器與自體集合中的字符串進(jìn)行 r鄰近位匹配比較，如果候選檢測(cè)器與體集合字符串匹配，則殺死這個(gè)候選檢測(cè)器，如果不匹配規(guī)則將該候選檢測(cè)器加入到成熟檢測(cè)器集合中。 茂名學(xué)院本科畢業(yè)（設(shè)計(jì)）論文： 基于人工免疫系統(tǒng)反面算法的計(jì)算機(jī)網(wǎng)絡(luò)入侵檢測(cè)技術(shù)研究 22 使用 r鄰近位匹配規(guī)則計(jì)算兩個(gè)字符串之間的匹配性。每一個(gè)檢測(cè)器可累計(jì)匹配數(shù)（親和力）用一個(gè)計(jì)數(shù)器 m表示， m的值在一定時(shí)間內(nèi)會(huì)自動(dòng)消亡（清 零）。 要激活一個(gè)檢測(cè)器，必須在一定時(shí)間周期內(nèi)匹配至少δ個(gè)字符串，δ稱(chēng)為活化閥值。一旦激活檢測(cè)器，匹配數(shù)m就重置為 0。每個(gè)檢測(cè)節(jié)點(diǎn)都有局部靈敏度ω，局部靈敏度越高，局部活化閥值就越低。這種機(jī)制能保證當(dāng)不同的非自體在短時(shí)間內(nèi)出現(xiàn)時(shí)，它們還是能夠被檢測(cè)到。 當(dāng)一個(gè)數(shù)據(jù)包流經(jīng)網(wǎng)絡(luò)，不同的檢測(cè)器用不同程度的匹配值激活其中匹配最好的檢測(cè)器稱(chēng)為記憶檢測(cè)器。記憶檢測(cè)器復(fù)制自身，并擴(kuò)展到網(wǎng)絡(luò)中的鄰節(jié)點(diǎn)。最終，記憶檢測(cè)器分不到整個(gè)系統(tǒng)中。 檢測(cè)器的生命周期如圖 35所示 圖 35檢測(cè)器生命周期示意圖 本章小結(jié) 本章節(jié)主要講述了基于人工免疫系統(tǒng)發(fā)面算法，提出設(shè)計(jì)模型構(gòu)造，并且對(duì)相關(guān)概念進(jìn)行詳細(xì)解釋闡述。 隨機(jī)產(chǎn)生的二進(jìn)制字符串 未成熟 成熟 死亡 激活 記憶 耐受期發(fā)生匹配 耐受期無(wú)匹配 匹配 未達(dá)到閥值 超過(guò)激活閥值 協(xié)同刺激失敗 協(xié)同刺激 匹配 第四章 模擬實(shí)驗(yàn)及仿真分析 23 第四章 模擬 實(shí)驗(yàn) 及仿真分析 實(shí)驗(yàn)相關(guān)公式 實(shí)驗(yàn)中參數(shù)定義如下： 0RN未成熟檢測(cè)元的個(gè)數(shù) RN 成熟檢測(cè)元的個(gè)數(shù) SN “自我”字符串，即被保護(hù)字符串個(gè)數(shù) MP 任意 兩個(gè)字符串匹配成功的概率 f 未成熟檢測(cè)元沒(méi)有與 SN 中任意一個(gè)字符串匹配成功的概率，顯然 SNMpf )1( ?? （ 41） 如果 MP 很小而 SN 很大（事情情況也是如此），那么有 SM NPef ?? （ 42） 而 fNN RR ?? 0 （ 43） RNMf PP )1( ?? （ 44） 實(shí)驗(yàn)數(shù)據(jù)描述 實(shí)驗(yàn)所采用的數(shù)據(jù)都應(yīng)用于 KDD Cup1999Data上 ]20[ 。該數(shù)據(jù)集首先在與 KDD 99同時(shí)茂名學(xué)院本科畢業(yè)（設(shè)計(jì)）論文： 基于人工免疫系統(tǒng)反面算法的計(jì)算機(jī)網(wǎng)絡(luò)入侵檢測(cè)技術(shù)研究 24 舉辦的第三屆國(guó)際知識(shí)發(fā)現(xiàn)和數(shù)據(jù)挖掘工具競(jìng)賽上使用， 它包含了在軍事網(wǎng)絡(luò)環(huán)境中仿真的各種入侵。檢測(cè)網(wǎng)絡(luò)入侵的軟件 能使網(wǎng)絡(luò)入侵免遭各種非授權(quán)用戶及潛在入侵者的侵?jǐn)_。這次競(jìng)賽的任務(wù)就是構(gòu)造一個(gè)網(wǎng)絡(luò)入侵檢測(cè)器，即一個(gè)可以區(qū)分壞連接（入侵或攻擊）和好的正常連接的預(yù)測(cè)模型。 該數(shù)據(jù)集提供了從一個(gè)模擬的美國(guó) 空軍局域網(wǎng)上采集的 9個(gè)星期的網(wǎng)絡(luò)連接數(shù)據(jù)，其訓(xùn)練數(shù)據(jù)集包括 五 百萬(wàn)個(gè)連接數(shù)據(jù)，測(cè)試數(shù)據(jù)集包含了 兩 百萬(wàn)個(gè)連接數(shù)據(jù)。一個(gè)連接就是在規(guī)定的協(xié)議下、在規(guī)定的時(shí)間內(nèi)完成的起始并終止的 TCP分組序列，這些序列在固定的源 IP地址與目的 IP地址之間進(jìn)行數(shù)據(jù)傳輸。每個(gè)連接都帶一個(gè)類(lèi)表示，或者是正常，或者是某個(gè)具體攻擊類(lèi)型。每個(gè)連接記錄大概有 100字節(jié)。 數(shù)據(jù)集的每一條記錄由 42個(gè)屬性組成， 圖 59給出了該數(shù)據(jù)包集所包含的數(shù)據(jù)記錄示例。 圖 41TCP連接記錄示例 以下表格 ]21[ 列出了該數(shù)據(jù)集中 TCP連接記錄所包含的特征。 表 41單個(gè) TCP連接的基本特征 特征 意義描述 類(lèi)型 duration Length（ number of seconds） of the connection 連續(xù)型 Protocol_type Type of the protocol,.,tcp,udp,etc. 離散型 service Network service on the destination 離散型 src_bytes Number of data bytes from source to destination 連續(xù)型 dst_bytes Number of data bytes from destination to source 離散型 flag Number or error status of the connection 離散型 land 1 if connection is from/to the same host/part； 0 otherwise 離散型 wrong_fragment Number of “wrong” fragments 連續(xù)型 urgent Number of urgent packets 連續(xù)型 0,tep,SF,276,1046,0,0,0,0,0,1,0,0,0,0,0,0,0,0,0,0,4, 4,0,0,1,0,.0,255,255,1,0,0,0,0,0,0,normal, 0,tep,other,REJ,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,511, 1,0,1,0,1,0,255,1,0,1,0,0,0,.098,1,satan, 184,tep,tel,SF,1511,2957,0,0,0,3,0,0,1,2,1,0,0,0,0,0,0, 0,4,4,0,0,0,0,1,0,0,1,3,1,0,0,0,0,0,buffer_overflow, 0,icmp,ecr_i,SF,1032,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0, 511,511,0,0,0,0,0,0,255,255,1,0,1,0,0,0,0,smurf. 第四章 模擬實(shí)驗(yàn)及仿真分析 25 表 42TCP連接中包含的內(nèi)容特征 特征 意義描述 類(lèi)型 hot Number of “hot” indicators 連續(xù)型 num_failed_logins Number offailed login attempts 連續(xù)型 bum_promised Number of “promised” conditions 連續(xù)型 logged_in 1ifsuccessfullyloggedin； 0otherwise 離散型 root_shell 1ifrootshellisobtained； 0otherwise 離散型 Su_attempted 1 if“ suroot” mand attempted； 0 otherwise 離散型 num_root Number of“ root” accesses 連續(xù)型 num_file_creations Number of file creation operations 連續(xù)型 num_shells Number of shell prompts 連續(xù)型 num_access_files Number of operation on access control files 連續(xù)型 num_outbound_cmds Number of out bound mand in an ftp session 連續(xù)型 Is_guest_login 1iftheloginisa“ guest” login； 0otherwise 離散型 ls_hot_login 1iftheloginbelongstothe“ hot” list； 0otherwise 離散型 表 43以 2秒為窗口計(jì)算的流量特征 特征 意義描述 類(lèi)型 count Number of connections to the same host as t