第35卷第2期电子科技大学学报Vol.35No.2 2006年4月JournalofUESTofChinaApr.2006 一种新型入侵检测模型及其检测器生成算法 程永新，许家珆，陈科 (电子科技大学应用数学学院成都610054) 【摘要】介绍了一种基于人工免疫原理的入侵检测模型，重点研究了否定选择算法模型中检测器集合的生成算法，提出 了新的初始检测器的生成算法，并对算法性能进行了分析。结果表明：该算法模型可以对未知入侵行为和已知入侵行为的变 异进行有效的识别。 关键词人工免疫;入侵检测;检测器;否定选择 中图分类号TP393.08文献标识码A ANovelIDSModelandtheArithmetictoGettheDetection CHENGYong-xin，XUJia-yi，CHENKe (SchoolofAppliedMathematics，UESTofChinaChengdu610054) AbstractAnewintrusiondetectionmodelthatbasedonthetheoryofartificialimmunesystemis introducedinthisarticle.Itresearchesemphasesonthearithmeticofhowtogetthedetectorthatincludedinthe negativeselectionarithmetic.Italsoputsforwardanewarithmeticofhowtogetthedetectorandthenanalysesthe arithmetic.Theresultindicatethat,thearithmeticmodelcandotheeffectiveidentifyvariationbetweenthe unknownintrusionactionandtheknownone. Keywordsartificialimmune;intrusiondetection;detector;negativeselection 入侵检测系统(IntrusionDetectionSystem，IDS)作为当前安全技术的新热点，不仅越来越多的受到人们 的关注，而且已经开始在各种不同的环境中发挥其关键作用。入侵检测一般分为误用检测(misusedetection) 和异常检测(anomalydetection)两类。其中异常检测是通过建立用户正常行为模型，以是否显著偏离正常行 为依据进行入侵检测，这种方法虽然误报率较高，但有可以发现新的攻击行为，是入侵检测研究的前沿和 热点[1]。 免疫算法是一种新兴的智能计算技术，虽然起步晚，但已和神经网络、遗传算法并称为三大生物计算 模型。它借鉴了生物免疫系统中抗体(Antibody)对抗原(Antigen)的识别原理以及抗体产生和进化的过程，将 需要检测的异常状况设定为抗原，系统根据免疫算法原理产生抗体并以之对抗原进行识别[2]，这与入侵检测 原理有着惊人的相似。本文将免疫学原理、分布式网络结构结合起来，设计了一种新的基于智能免疫系统 的结构，为免疫学原理在IDS中的应用提供一种新的思路。 1基于免疫原理的入侵检测模型 1.1入侵检测网络模型 本文建立的入侵检测模型主要应用了免疫原理中的“自我/非我”理论来识别入侵行为。“自我”指正常 的网络行为；“非我”指异常的网络行为即入侵行为。模型首先对网络信息进行信息解码，将网络信息转化 成标准的格式。然后与所有合格检测器进行匹配。一旦与一个合格检测器匹配，则认为这个网络行为是入 侵行为；否则认为是正常行为让其通过。如图1所示。 “入侵行为处理”模块对该入侵行为进行拦截，并将把识别出这个入侵信息的检测器的生命期延长， 同时把这个检测器发布到“入侵信息黑板系统”。黑板系统则把这个检测器发送到其他主机IDS，使得局域 收稿日期：2005−10−21 基金项目：四川省科技厅基金资助项目(04JY029-017-1) 作者简介：程永新(1978−)，男，硕士生，主要从事人工免疫算法和入侵检测方面的研究. 236电子科技大学学报第35卷 网中所有主机都拥有这个合格检测器，从而识别出这种入侵行为。如图2所示。 网络信息 主机IDS主机IDS主机IDS 信息解码 入侵信息黑板系统 合格检测器集合匹配 是否 入侵行为处理通过主机IDS主机IDS主机IDS 图1主机IDS检测模型图2入侵检测系统网络模型 1.2检测器生成算法模型 合格检测器是IDS的核心部分，生成合格的检测器对IDS来说至关重要的。目前对合格检测器的生成算 法已经有很多讨论。如：穷举检测器生成算法、线性检测器生成算法和贪心检测器生成算法