基于生物免疫原理的过滤器算法研究-上海联兵环保免费电话：400-600-5030

摘要:从实际应用的角度,分析了负检测方法的局限性,针对网络入侵检测的效率问题,构建了一个具有动态自适应性的过滤器系统,对过滤器检测元的生成算法进行了深入的研究。根据正选择算法识别自我的独特性,借鉴动态科隆选择算法的思想,以正选择算法为核心并结合数据挖掘技术来确保检测器的生成效率及检测效率。
关键词:免疫原理;过滤器;正选择;动态克隆选择;检测元
中图分类号: TP31　　　　　　　　文献标识码:A
生物免疫系统(Biological Immune System , BIS)具有良好的多样性、耐受性、免疫记忆、分布式并行处理、自组织、自学习、自适应和鲁棒性等特点。
BIS的这些诱人特性,引起了研究人员的普遍关注。随着计算机安全技术研究的不断深入,人们发现,计算机安全技术与生物免疫系统所遇到的问题具有惊人的相似性,两者都要在不断变化的环境中维持系统的稳定性[1]。
计算机安全系统对计算机系统的保护正如同生物免疫系统对于生物体的保护。免疫学者传统上把免疫系统抵御病菌入侵描述为区分“自我”和“非我”。“自我”是人体内正常的细胞;而“非我”是指那些外来的病菌。类似的,保护计算机系统不受恶意入侵也可以被视为区分“自我”和“非我”。最早提出用于“自我”和“非我”辨识的仿生物免疫检测算法的是美国新墨西哥大学的Forrest教授。她提出了一种负选择的思想,这成为仿生物免疫检测算法的基本思路。但单纯的负选择算法所带来的最大的弊病就是庞大的抗体(检测器)数目所带来的时间和空间的巨大代价[2]。在前人研究的基础上,张雅静以负选择算法为基础,结合生物学中的小生境策略及适应性免疫机制,提出了一种负选择模式匹配检测算法(简称NSMA),该算法具有较高的检测效率及不占用过多的时间和空间的优点。本文以正选择算法为基础提出一种过滤器系统模型并给出检测器生成算法,进一步提高检测效率。
1免疫原理在入侵检测中的应用
当前,利用生物免疫学原理进行计算机网络入侵检测的技术主要有两种:正检测方法和负检测方法。正检测方法(positive detection)也是最直接和最早使用的方法,它是直接将正常的、合法的或可接受的操作模式定义为自我集,以此来构建正常行为模式库,再对操作模式进行监视,通过在正常模式库中搜索,若未找到相关记录就标记为不匹配,若找到相关记录就说明是合法操作或正常操作模式[3],与其对应的免疫学算法是正选择算法。
在生物免疫系统中,那些能识别出自体MHC(self-MHC)分子的T细胞能被激活,是依赖于T细胞自身的正选择。这个过程产生一种T细胞属性,通过它,只有与自体MHC有联系的T细胞才能识别抗原[1]。
正选择算法如图1所示。具体步骤如下:

初始化:产生一个T细胞候选集合P。假设所有的分子都用长度为l的二进制串表示,则可能产生2l个不同的细胞。
亲和力计算:通过集合S,计算P中所有元素与自体S的亲和力。
可用集合的产生:如果P中某个元素与S中某个元素的亲和力大于或等于一个给定阀值ε,即这个T细胞能识别这个MHC分子,则它肯定被系统选用,放入集合A,否则删除它。
二进制字符串间的匹配规则有很多,如统计规则(Statistical)、Euclidean距离、海明距离( Ham-ming Distance)和R连续匹配规则(R Contiguous)等.Harmer在实验中对比了这几种常用规则,结果证明R连续规则具有很高的信号噪声比(Signal toNoise),在本文中采取该匹配规则,计算抗体抗原间亲和力用r连续位匹配算法。在两个二进制串x和y的相应位置上,至少有连续r位相同,则x和y就是r连续位匹配的。具体计算见式(1)。

式中l—抗体和抗原的长度。
随机产生的抗体需要经过自体耐受过程才能生成可用集合,根据正选择算法的原理,在耐受期内与自体集任一元素都不匹配的抗体被删除,有匹配的抗体放入可用集合A中,见式2。

负检测方法的核心思想是定义一个自我集作为训练集来产生不与自我集模式匹配的检测元集,使用这些检测元来进行入侵检测。与其对应的免疫学算法是负选择算法。负选择算法是对生物免疫细胞的成熟过程的模拟,其与正选择算法非常类似,但作用刚好相反。对负选择算法来说,与自体匹配的元素必须清除,而与所有自体元素都不匹配的元素保留为可用元素。
2 网络入侵检测系统的改进
2.1 局限性
在计算机网络系统中,待检模式中的绝大多数都是正常模式,异常攻击模式只属个别极少数,而从以负选择算法为核心的负检测方法的实质来看,系统中的检测元只是为了检测异常模式,而不是为了检测正常模式。另外,从负选择算法中可以看出,检测元在生成过程中要经历一个类似于免疫耐受的审查过程,只有与自我集的任何模式都不匹配的检测元才会成为有效检测元,由此可见,在检测过程中将代表正常连接的自我模式与检测元进行匹配试验是毫无意义的,因为这些自我模式根本就不可能与检测元集中的某个检测元匹配。因此,让大量的正常模式与检测元进行匹配试验就势必会导致系统在性能上存在一定的局限性,降低系统的检测效率[3]。
2.2 检测方法的改进
在实际应用中,计算机网络是一个实时的持续变化的系统,Kim和Bentley于2002年提出的动态克隆选择算法(DynamiCS),主要是针对系统实时变化的情况而设计的,用于网络的入侵检测,该算法是基于Hofmeyr提出的CIS的基本概念,主要是想精简出对系统适应性有关键作用的部分,其适应性有3个不同的检测器群体相互协调实现,它们分别是未成熟,成熟和记忆检测器群体[1]。
同时,对单一的网络系统来说,由于其使用用户相对固定,待检模式中会有大量的相同或相近的模式高频率出现,我们称之为高频模式。若能在待检模式进入检测器之前就已将其中的高频正常模式过滤掉,就可大大减少系统的整体匹配比较次数,提高检测效率。这里借鉴动态克隆选择算法在适应性方面的优势和正选择算法,对其改进来生成具有自适应性的高频模式过滤器,来达到过滤高频待检模式的目的。
2.3 高频模式检测器生成算法
检测器定义:系统使用检测器模拟免疫细胞和抗体的功能,定义监测器及检测器集合如下:

检测器生成算法具体步骤如下:
Step1:产生随机的未成熟机检测器;根据系统保留数据挖掘出频繁模式补充入未成熟检测器集。
Step2:用正选择算法比较未成熟检测器与所给的自体集,发生匹配的检测器放入成熟检测器集,删除那些与自体集不发生匹配的监测器,再补充入新的未成熟检测器。
Step3:网络数据作为测试集来对成熟监测器进行免疫耐受,成熟检测器与网络数据比较,匹配则p值加1;网络数据为通过异己模式集被删除后的网络数据流。
Step4:判断是否g>t,是则删除成熟检测器。
Step5:判断是否p>=v, v是匹配效率阀值,是,生成高频模式检测器,否则,检查h是否大于或等于δ,δ是成熟检测器单代生存期阀值,是,h清0,并且g加1,返回Step3。
Step6:删除检测效率低于阀值的高频模式检测器,删除重复的高频模式检测器,补充入新生成的高频模式检测器;生成未成熟检测器,使未成熟检测器、成熟检测器和高频模式检测器的总数等于预设的最大值。
3 算法性能
比较原检测方法与改进后的检测方法。事实上,自我集S中的正常模式在出现频率上存在大的差异,即正常模式的出现频率呈现出分散分布的点。鉴于此,我们使用高频模式检测器生成算法获得自我集中高频率出现的模式来构建过滤器,这样即可保证过滤器远小于异己模式检测器集又可起到过滤掉占较大比例的属于正常模式的高频模式的作用。在文献[3]中,魏春英、刘培玉已经证明了改进后的检测方法比原检测方法具有更高的检测效率。
采用数据挖掘算法,根据保留数据提取频繁模式,这样做以现有自我模式为基础,而非一种不可能存在的模式,这样做有利于保障检测器生成效率。
算法采用动态科隆选择算法的核心思想,针对实时持续变化的系统设计过滤器,使过滤器系统具有自组织、自学习自适应和鲁棒性的特点。
4 结束语
基于免疫原理的新过滤器系统具有自组织、自学习自适应和鲁棒性的特点,能够实时有效的检测高频网络连接模式并过滤掉,从而有效的提高了网络入侵检测系统的检测效率。

上海联兵环保科技有限公司
地址：上海市松江区工业区茸北分区茸阳路69号
总机：021-51691929
传真：021-57784244
免费电话：400-600-5030
技术支持：13641659499
E-mail：zhanglianbing@126.com
http://www.shlbhb.com