第29卷第12期计算机工程与设计2008年6月 Vol.29No.12ComputerEngineeringandDesignJune2008 基于数理统计及人工免疫的入侵检测模型 符海东，王枫 (武汉科技大学计算机学院，湖北武汉430081) 摘要：分析了生物免疫系统的机制，介绍了基于免疫原理的入侵检测系统，针对目前计算机免疫机制和算法存在的不足， 结合入侵检测机制，提出了运用HAMMING距离数理统计算法来改进特征码的模式匹配规则，并提出了一个包含基于神经 网络的模式识别器的入侵检测模型。入侵检测系统根据免疫机制能够在网络攻击一旦发生时，动态地、自我学习性地产生 高质量的核心检测元。实验结果表明，运用上面提出的算法及模型能够很好的提高系统的非线性和自适应性。 关键词：计算机免疫;阴性选择;入侵检测;数理统计;神经网络 中图法分类号：TP393.08文献标识码：A文章编号：1000-7024(2008)12-3037-03 Intrusiondetectionsystemmodelbasedonmathematicstatisticand immunlogicalprinciple FUHai-dong,WANGFeng (CollegeofComputerScienceandTechnology,WuhanUniversityofScienceandTechnology,Wuhan430081,China) Abstract：Thedetailedanalyseshavebeenmadeontheimmunologicalprinciple.Theintrusiondetectionsystemsbasedonimmunological principleareintroduced.AccordingtothedisadvantageofartificialimmunetheoryandcurrentIDS,theruleofthepatternmatching aboutcharactercodesbyapplyingthemathematicstatisticonthedistanceofHAMMINGwithimmunetheoryisimproved.Abovethat neuralnetworkalgorithmisaddedintoanewimmunedetector.Itprovidesthecapacitythatgatheringthehigh-qualitycoreelements dynamicallyandself-studiedlyassoonasnetworkintrusionstakeplace.Theexperimenthasprovedthatthoughtheimprovementthesys- temhasbeeneffectivelyaccelerated.Thenon-linearityandadaptivelyofmodelhasalsobeenadvanced. Keywords：immunetechnologyofcomputer;negativeselection;intrusiondetection;mathematicstatistic;neuralnetwork 将支持向量机作为抗体，对入侵行为进行检测[4]。郭帆等人在 0引言 2006年提出了一种基于关联和代理的分布式入侵检测模型[5]。 入侵检测系统是为识别针对计算机或网络资源的恶意企张剑在2003年等人提出了用FJADA检测算法对网络连接的 图和行为并做出反应的系统，根据检测所用数据可分为基于“异常度”进行模糊综合评判的入侵检测方法[6]。这些方法都 主机的入侵检测和基于网络的入侵检测，根据检测模式可分是针对离散数据并且对训练数据要求比较高，特别是免疫模型 为滥用入侵检测和异常入侵检测。自然界中，各种生物凭借的匹配采用r连续位这种线性的匹配方式，并且成熟检测元更 自身的免疫系统区分了数量庞大的“自身细胞”和“非自身细新的自适应性和智能性不足。因此漏检率和误报率都比较高。 胞”抵御了各种病毒、细菌等病原体的入侵。受到这种启发，本文针对这些方法的共同缺陷，在计算机免疫模型基础 美国新墨西哥大学的Forrest等人提出了检测元生成的阴性选上提出了基于特征串HAMMING距离数理统计的匹配算法， 择算法[1-3]，并于2000年与Hofmeyr共同提出了一个基于人工并在建立的一个新的模式识别器中增加了神经网络的分类机 免疫的入侵检测模型。它首先通过基因表达产生大量的不成制[7]，使成熟检测元能够分类和自我更新。本文介绍了算法和 熟检测元，然后通过阴性选择和r连续位的匹配将那些成熟模型的理论依据，以及算法