專利名稱：網(wǎng)絡(luò)安全入侵檢測(cè)系統(tǒng)及方法
技術(shù)領(lǐng)域：
本發(fā)明涉及一種對(duì)計(jì)算機(jī)網(wǎng)絡(luò)入侵的檢測(cè)技術(shù)，屬于信息安全技術(shù)領(lǐng)域。
背景技術(shù)：
當(dāng)前廣泛運(yùn)用的網(wǎng)絡(luò)入侵檢測(cè)方法主要是對(duì)已知攻擊進(jìn)行特征提取，而后依據(jù)這些特征，與從網(wǎng)絡(luò)中實(shí)時(shí)采樣的數(shù)據(jù)進(jìn)行對(duì)比，以發(fā)現(xiàn)入侵行為。這種方法的缺陷在于它只能對(duì)已有的攻擊進(jìn)行檢測(cè)，如果這些攻擊在形式上稍作變化，或者遇上新的攻擊形式，則這種方法將無能為力。一些基于人工免疫(AIS)的入侵檢測(cè)系統(tǒng)中，從定義正常行為(Self，自體)入手，以檢測(cè)非正常行為(Nonself，非自體)。但是自體、非自體一旦定義后就極少變化，由于在具體的應(yīng)用中，自體、非自體一方面難以準(zhǔn)確定義，另一方面它們之間經(jīng)常發(fā)生角色變化(隨時(shí)間的推移需要及時(shí)地修正，例如今天看來是正常的網(wǎng)絡(luò)行為，可能在明天就會(huì)被確認(rèn)為非法的網(wǎng)絡(luò)攻擊)，從而使這些入侵檢測(cè)方法缺乏較好的適應(yīng)性。
中國(guó)專利公開號(hào)為CN1349328A的申請(qǐng)案，采用傳統(tǒng)的入侵檢測(cè)方法，能夠檢測(cè)出一些已知特征的網(wǎng)絡(luò)入侵，但是該方法對(duì)于未知的，或者在已有攻擊基礎(chǔ)上發(fā)生變化的攻擊模式將沒有辦法。

發(fā)明內(nèi)容
為了克服傳統(tǒng)入侵檢測(cè)系統(tǒng)在識(shí)別未知入侵模式上的缺陷，本發(fā)明提出了一種新型的入侵檢測(cè)系統(tǒng)及方法(an Immune based Dynamic Intrusion DetectionIdid)。它除了能識(shí)別已有的攻擊模式以外，還能在實(shí)時(shí)變化的環(huán)境中識(shí)別新的攻擊模式。
本發(fā)明利用生物免疫的基本原理，通過模擬人體免疫細(xì)胞對(duì)病原體的識(shí)別和分類作用，從而達(dá)到對(duì)外來網(wǎng)絡(luò)入侵的檢測(cè)功能。
本發(fā)明所述的計(jì)算機(jī)網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)由抗原提呈器，未成熟細(xì)胞耐受器，免疫細(xì)胞檢測(cè)器和自體庫(kù)構(gòu)成。系統(tǒng)中完成從網(wǎng)絡(luò)活動(dòng)信息中提取特征信息的功能模塊為抗原提呈器，執(zhí)行實(shí)時(shí)檢測(cè)功能的模塊為免疫細(xì)胞檢測(cè)器，向系統(tǒng)提供不與正常特征匹配的免疫細(xì)胞的模塊為未成熟細(xì)胞耐受器，自體庫(kù)為正常網(wǎng)絡(luò)事務(wù)特征的集合，供耐受器和檢測(cè)器使用。系統(tǒng)中定義抗原為網(wǎng)絡(luò)活動(dòng)特征信息(如IP數(shù)據(jù)包特征等)，自體為被允許的，安全的活動(dòng)特征，自體庫(kù)就是由用戶確定的自體集。非自體為異常網(wǎng)絡(luò)活動(dòng)特征，是系統(tǒng)的檢測(cè)對(duì)象。免疫細(xì)胞包括了成熟免疫細(xì)胞和記憶免疫細(xì)胞。成熟免疫細(xì)胞除了對(duì)抗原進(jìn)行檢測(cè)外，還要篩選出對(duì)抗原具有較好識(shí)別作用的免疫細(xì)胞，使之成為記憶免疫細(xì)胞，淘汰對(duì)抗原識(shí)別作用不大的成熟免疫細(xì)胞。記憶免疫細(xì)胞能夠高效、快速地檢測(cè)出非自體抗原。未成熟細(xì)胞指的是還沒有通過耐受訓(xùn)練的細(xì)胞，所謂耐受訓(xùn)練，就是刪除能識(shí)別自體的細(xì)胞的過程。系統(tǒng)還定義了抗體，它存在于未成熟細(xì)胞和免疫細(xì)胞中，具有和抗原一樣的表達(dá)形式，用于計(jì)算細(xì)胞和抗原的親和力(匹配與否)。系統(tǒng)運(yùn)行分三個(gè)階段第一階段為初始時(shí)刻到成熟免疫細(xì)胞生成，需要定義初始的自體庫(kù)和未成熟細(xì)胞集合，后者經(jīng)前者耐受后成為成熟免疫細(xì)胞。第二階段從成熟免疫細(xì)胞產(chǎn)生之后到記憶細(xì)胞產(chǎn)生，為自學(xué)習(xí)階段。成熟細(xì)胞通過檢測(cè)，產(chǎn)生能識(shí)別大量不同非自體抗原的記憶細(xì)胞，而通過檢測(cè)被分類為自體的抗原最后送給未成熟細(xì)胞進(jìn)行耐受。第三階段從記憶細(xì)胞產(chǎn)生之后到系統(tǒng)終止，免疫系統(tǒng)各部件產(chǎn)生完畢，進(jìn)行實(shí)際環(huán)境中的檢測(cè)首先由記憶免疫細(xì)胞檢測(cè)，然后成熟免疫細(xì)胞對(duì)剩下的抗原進(jìn)行檢測(cè)，最后未成熟細(xì)胞以剩余抗原為自體進(jìn)行耐受訓(xùn)練。期間，可以向自體庫(kù)中添加新的自體元素，同時(shí)去掉那些已經(jīng)變異的自體元素(例如，隨著時(shí)間的推移，以前被允許的活動(dòng)現(xiàn)在被禁止)。自體庫(kù)這種隨時(shí)間動(dòng)態(tài)變化的過程，可以實(shí)現(xiàn)未成熟細(xì)胞的動(dòng)態(tài)耐受，從而具備更好的自適應(yīng)性，滿足真實(shí)網(wǎng)絡(luò)環(huán)境的復(fù)雜變化情況。這樣的動(dòng)態(tài)特性是以往傳統(tǒng)IDS不具有的特性。
在詳細(xì)說明之前，首先定義系統(tǒng)中使用的一些重要名詞、符號(hào)1)定義抗原集合(Ag，AgD，D＝{0，1}l)為一些網(wǎng)絡(luò)事務(wù)特征的定長(zhǎng)二進(jìn)制串集合，特征可以是IP地址、端口號(hào)、協(xié)議類型以及它們的綜合體。定義抗原子集合sAgAg，且|sAg|＝η*|Ag|，(0＜η≤1)。Ag中又分為自體集合(Self)和非自體集合(Nonself)，Self為正常網(wǎng)絡(luò)事務(wù)特征的集合，Nonself為網(wǎng)絡(luò)非法事務(wù)(攻擊或誤用)特征的集合。它們之間的關(guān)系為SelfAg，NonselfAg，Self∪Nonself＝Ag，Self∩Nonself＝φ。
2)定義免疫細(xì)胞(B)是一些三元組的集合(B＝{<d，age，count>|d∈D，age，count∈N})，其中D＝{0，1}l，d為抗體，age為抗體年齡，count為抗體與非自體抗原的匹配數(shù)，N為自然數(shù)集合。免疫細(xì)胞中又分為免疫記憶細(xì)胞集合(Mb，不與自體匹配且與非自體抗原匹配數(shù)大于某一特定閾值的免疫細(xì)胞)和免疫成熟細(xì)胞集合(Tb，不與自體匹配且匹配數(shù)小于給定閾值的免疫細(xì)胞)，它們之間的關(guān)系為B＝Mb∪Tb，Mb∩Tb＝φ。
3)定義未成熟細(xì)胞(Ib)是一些二元組的集合(Ib＝{<d，age>|d∈D，age∈N})，d與age的定義與免疫細(xì)胞相關(guān)定義相同。它與成熟免疫細(xì)胞集合存在關(guān)系|Tb|+|Ib|＝ξ，其中ξ為常數(shù)。
為了進(jìn)一步說明本發(fā)明的原理及特征，以下結(jié)合附圖進(jìn)行詳細(xì)的說明。
附圖中

圖1為系統(tǒng)結(jié)構(gòu)1顯示了該系統(tǒng)為一個(gè)分布式系統(tǒng)，每臺(tái)服務(wù)器(或主機(jī))上都有一個(gè)入侵檢測(cè)系統(tǒng)。內(nèi)部網(wǎng)絡(luò)通過路由器連接Internet。每個(gè)入侵檢測(cè)系統(tǒng)中，免疫細(xì)胞檢測(cè)器負(fù)責(zé)實(shí)時(shí)檢測(cè)，抗原提呈器負(fù)責(zé)從網(wǎng)絡(luò)活動(dòng)信息(IP數(shù)據(jù)包)中提取特征信息構(gòu)成抗原，未成熟細(xì)胞耐受器負(fù)責(zé)向系統(tǒng)提供不與正常網(wǎng)絡(luò)活動(dòng)特征匹配的免疫細(xì)胞，自體庫(kù)為正常網(wǎng)絡(luò)事務(wù)特征的集合，用于協(xié)助檢測(cè)。該系統(tǒng)具有較好的分布性，并行性，自適應(yīng)性和魯棒性等優(yōu)點(diǎn)。
圖2是系統(tǒng)工作流程圖。
由圖2可知，系統(tǒng)分為兩個(gè)層面一個(gè)層面是抗原處理流程(圖中實(shí)線箭頭所標(biāo)示過程)；另一個(gè)為細(xì)胞處理過程(圖中虛線箭頭所標(biāo)示過程)。
第一個(gè)層面的處理步驟為1)從實(shí)際網(wǎng)絡(luò)數(shù)據(jù)流中，獲取IP數(shù)據(jù)包，提取IP包的特征信息(如IP地址、端口號(hào)和協(xié)議等信息)，構(gòu)成長(zhǎng)度為l的二進(jìn)制串，作為抗原定期放入集合Ag中。
2)抗原抽樣。從Ag中按一定的比例，隨機(jī)選出抗原組成集合sAg，用于每一代的檢測(cè)。
3)記憶免疫細(xì)胞對(duì)sAg集合元素進(jìn)行檢測(cè)。把被記憶免疫細(xì)胞分類為非自體的抗原刪除，剩下被分類為自體的抗原被送到成熟免疫細(xì)胞集合進(jìn)行檢測(cè)。
4)成熟免疫細(xì)胞對(duì)sAg集合元素進(jìn)行檢測(cè)。同樣把分類為非自體的抗原刪除，剩下的自體抗原提交給未成熟細(xì)胞的自體耐受過程。
5)未成熟免疫細(xì)胞集合對(duì)剩余sAg集合元素進(jìn)行耐受訓(xùn)練。之后，把剩余自體抗原放入自體庫(kù)中。
6)如果系統(tǒng)沒有滿足結(jié)束條件，返回2)。
第二個(gè)層面是細(xì)胞的處理步驟1)隨機(jī)產(chǎn)生未成熟細(xì)胞，其數(shù)量由|Tb|+|Ib|＝ξ決定。
2)自體耐受。未成熟細(xì)胞與通過免疫細(xì)胞檢測(cè)的自體抗原進(jìn)行耐受訓(xùn)練，在耐受期中，刪除能識(shí)別自體的未成熟細(xì)胞。這樣，通過耐受期的未成熟細(xì)胞成長(zhǎng)為成熟免疫細(xì)胞，并參加免疫循環(huán)。
3)成熟免疫細(xì)胞檢測(cè)抗原。如果一個(gè)未成熟細(xì)胞在某個(gè)閾值年齡λ(生命周期)之前匹配了β個(gè)非自體抗原，則它被成功激活，并進(jìn)化為記憶免疫細(xì)胞。相反，在其生命周期中沒有匹配那么多的非自體抗原，則死亡。
4)記憶免疫細(xì)胞檢測(cè)抗原。如果一個(gè)記憶免疫細(xì)胞檢測(cè)出一個(gè)自體抗原，即發(fā)生誤報(bào)(將自體行為判斷為非自體行為)，則死亡。
方程(1)-(6)刻畫了自體庫(kù)的動(dòng)態(tài)演化過程 Selfnew(t)＝{y|y為t時(shí)刻新增加的自體串} (6)其中xi∈D(i≥1，i∈N)為初始自體集合，Selfnew為t時(shí)刻系統(tǒng)新增的自體串。Selfvariation為t時(shí)刻發(fā)生變異的自體，即刪除自體集合中不再是自體的元素。fcheck(y，x)(y∈B，x∈Ag)模擬免疫細(xì)胞對(duì)抗原的分類作用若免疫細(xì)胞匹配了抗原，且抗原屬于Self(t-1)，即檢測(cè)到一個(gè)曾經(jīng)是自體的抗原則返回2；若匹配但不屬于Self(t-1)，即檢測(cè)到一個(gè)非自體抗原則返回1；若沒有匹配，則該抗原為已知的自體抗原，返回0。這樣做的目的是為了盡量減少外部環(huán)境對(duì)系統(tǒng)的影響(協(xié)同刺激)，而且由于自體與非自體可能的相互轉(zhuǎn)化，所以對(duì)曾經(jīng)是自體的抗原進(jìn)行外部確認(rèn)是十分必要的?？贵w與抗原的親和力計(jì)算采用r連續(xù)位(r-contiguous bits)匹配函數(shù)(如方程4)兩個(gè)二進(jìn)制串，從任意位置開始，連續(xù)r位相同的話，就稱這兩個(gè)串匹配。親和力計(jì)算函數(shù)也可以不采用r連續(xù)位匹配函數(shù)，其他方法(如海明距離等)同樣適用。fcostimulation模擬免疫系統(tǒng)的協(xié)同刺激，請(qǐng)求確定當(dāng)前抗原是否為當(dāng)前自體抗原，外部信號(hào)可以是系統(tǒng)管理員的應(yīng)答等。
自體的動(dòng)態(tài)演化主要關(guān)鍵有兩點(diǎn)①自身的免疫監(jiān)視，隨時(shí)清除發(fā)生變異的自體(Selfvariation)，從而消除錯(cuò)誤否定(false negative)將非自體認(rèn)為是自體。錯(cuò)誤否定率的增加將導(dǎo)致漏報(bào)率的增加，自身免疫監(jiān)視能很好地解決自體隨時(shí)間變異的問題。②自身的動(dòng)態(tài)生長(zhǎng)，例如隨著時(shí)間的推移，網(wǎng)絡(luò)將提供新的服務(wù)，開放新的端口等，即原來不允許的網(wǎng)絡(luò)訪問，現(xiàn)在開放了。通過及時(shí)地增加自體元素(Selfnew)，擴(kuò)大自體的描述范圍，可以有效地降低錯(cuò)誤肯定(false positive)率將自體認(rèn)為是非自體，產(chǎn)生誤報(bào)。自身的動(dòng)態(tài)再生機(jī)制可以較好地解決目前IDS誤報(bào)率較高這一嚴(yán)重問題。
抗原集合變化的數(shù)學(xué)表達(dá)如(7)-(9)所示 sAg(t)Ag(t)，|sAg(t)|＝η*|Ag(t)|，t≥0 (8) 其中sAg為系統(tǒng)每代進(jìn)行處理的抗原，其元素按比例η(0＜η≤1)隨機(jī)從Ag(由自體和非自體元素組成)中抽取，η為抽樣系數(shù)。Agnonself為t時(shí)刻被檢測(cè)出來的非自體抗原。初始時(shí)刻抗原集合為初始自體庫(kù)(此時(shí)B為空)。δ為抗原更新周期，表示每δ代，就把Ag換為全新的抗原集合(Agnew)。更新周期內(nèi)抗原集合的變化只是刪除掉被檢測(cè)出來的非自體抗原，以完成把剩下的自體抗原送給未成熟細(xì)胞Ib進(jìn)行耐受的工作。
圖3為未成熟細(xì)胞的自體耐受過程圖。
在未成熟細(xì)胞進(jìn)行耐受訓(xùn)練時(shí)，自體為sAg中經(jīng)過記憶免疫細(xì)胞以及成熟免疫細(xì)胞檢測(cè)剩下的抗原。此時(shí)系統(tǒng)認(rèn)為這些抗原已通過檢測(cè)，被認(rèn)定為自體抗原。未成熟細(xì)胞必須在一個(gè)耐受期α內(nèi)經(jīng)歷否定選擇后方能成熟。其中否定選擇過程為刪除那些與自體匹配的未成熟細(xì)胞。
方程(10)-(13)詳細(xì)描述了未成熟細(xì)胞的耐受過程。
Itolerance(t)={y|y.d=x.d,y.age=x.age+1,]]>x∈(Ib(t-1)-{x|x∈Ib(t-1),---(11)]]> Imaturatiion(t)＝{x|x∈Itolerance(t)，x.age>a} (12)Inew(t)={y1,y2,···,yξ-|Tb(t-1)|-|Ib(t-1)|}---(13)]]>方程(10)模擬免疫細(xì)胞在骨髓中的生長(zhǎng)情況，其中xi＝<d，0>(d∈D，1≤i≤ξ)為初始隨機(jī)生成的未成熟細(xì)胞，ξ為非記憶細(xì)胞總數(shù)。Itolerance為對(duì)每代自體抗原耐受后剩下的免疫細(xì)胞，a≥1(常數(shù))模擬耐受期，未成熟細(xì)胞必須在耐受模型(類似骨髓模型)中通過否定選擇(如Itolerance的遞推方程所示)刪除哪些識(shí)別自體抗原的未成熟細(xì)胞，并經(jīng)歷一個(gè)周期為a的耐受期方可成熟。Imaturation為t時(shí)刻歷經(jīng)a個(gè)耐受期后成熟的免疫細(xì)胞。Inew為t時(shí)刻隨機(jī)產(chǎn)生的新的未成熟細(xì)胞，|Tb(t-1)|為t-1時(shí)刻成熟的免疫細(xì)胞的數(shù)目，|Ib(t-1)|為t-1時(shí)刻未成熟細(xì)胞的數(shù)目。
由于每代自體抗原的數(shù)量相對(duì)穩(wěn)定且數(shù)量較少，因此該模型將以高效率的方式產(chǎn)生成熟免疫細(xì)胞。同時(shí)，由于Inew的隨機(jī)性，從而使得新生成的成熟免疫細(xì)胞具有較好的多樣性。
圖4為記憶免疫細(xì)胞檢測(cè)過程圖。
記憶免疫細(xì)胞檢測(cè)抗原的具體過程為1)記憶免疫細(xì)胞中的抗體與抗原進(jìn)行匹配。如果不匹配，則交給成熟免疫細(xì)胞檢測(cè)否則進(jìn)行下一步驟。
2)判斷抗原是否屬于當(dāng)前自體庫(kù)。如果不屬于，則刪除抗原；否則進(jìn)行下一步驟。
3)協(xié)同刺激。請(qǐng)求外部信號(hào)協(xié)助，對(duì)抗原進(jìn)行分類。如果外部信號(hào)肯定抗原為非自體，則刪除抗原；否則進(jìn)行下一步驟。
4)殺死該產(chǎn)生誤報(bào)的記憶免疫細(xì)胞，并把抗原交給成熟免疫細(xì)胞檢測(cè)。
方程(14)-(16)詳細(xì)描述了記憶免疫細(xì)胞的演化及檢測(cè)抗原過程。
Tmemory(t)＝{x|x∈Tb(t)∧(x.count≥β)} (16)
其中Tmemory為新產(chǎn)生的記憶細(xì)胞，Mdead模擬記憶細(xì)胞的死亡若記憶細(xì)胞匹配了一個(gè)被證實(shí)為當(dāng)前自體的抗原，即發(fā)生錯(cuò)誤肯定將自體中的字符串分類為異常(非自體中的字符串)，則該記憶免疫細(xì)胞被淘汰。β是某一特定的匹配數(shù)閾值，它的意義將在成熟免疫細(xì)胞檢測(cè)模塊進(jìn)行描述。
圖5為成熟免疫細(xì)胞檢測(cè)過程圖。
在成熟免疫細(xì)胞的檢測(cè)時(shí)，抗原為sAg中經(jīng)過記憶免疫細(xì)胞檢測(cè)剩下的抗原。具體過程為1)成熟免疫細(xì)胞中的抗體與抗原進(jìn)行匹配。如果不匹配，則把抗原交給未成熟細(xì)胞進(jìn)行耐受；否則進(jìn)行下一步驟。
2)判斷抗原是否屬于當(dāng)前自體庫(kù)。如果不屬于則進(jìn)行步驟4)；否則進(jìn)行下一步驟。
3)協(xié)同刺激。請(qǐng)求外部信號(hào)協(xié)助分類抗原。如果外部信號(hào)肯定抗原為自體，則將其交給未成熟細(xì)胞進(jìn)行耐受；否則進(jìn)行下一步驟。
4)刪除抗原，并檢查細(xì)胞在生命周期λ中匹配數(shù)是否大于閾值β，大于則被激活，成為記憶免疫細(xì)胞。
在完成對(duì)所有抗原的檢測(cè)之后，判斷所有剩余成熟免疫細(xì)胞的年齡是否大于閾值λ，大于則走向死亡。
方程(17)-(24)詳細(xì)描述了成熟免疫細(xì)胞的演化及檢測(cè)抗原過程。
Tb′(t)＝Tb″(t)-P(t)∪Tclone(t) (18)Tb″(t)＝{y|y.d＝x.d，y.age＝x.age+1，y.count＝x.count，x∈Tb(t-1)}(19) Tclone(t)＝{y|y.d＝x.d，y.age＝x.age，(21)y.count＝x.count+1，x∈P(t)}Tnew(t)＝{y|y.d＝x.d，y.age＝0，y.count＝0，(22)x∈Imaturation(t)}Tmemory(t)＝{x|x∈Tb′(t)∧(x.count≥β)} (23)Tdead(t)＝{x|x∈Tb′(t)∧(x.age＞λ∧x.count＜β)} (24)
免疫細(xì)胞成熟后，必須在生命周期λ內(nèi)與抗原結(jié)合，且累計(jì)足夠的親和力(β)，從而進(jìn)化為記憶細(xì)胞(Tmemory，記憶細(xì)胞具有更長(zhǎng)的生命周期)，否則，將走向死亡(Tdead)，被新的成熟的免疫細(xì)胞所代替(Tnew)。P(t)模擬與非自體抗原結(jié)合的免疫細(xì)胞，Tclone(t)模擬免疫細(xì)胞結(jié)合抗原的一個(gè)克隆過程，這里只是簡(jiǎn)單地將其匹配數(shù)加1。方程(18)-(21)的物理意義就是把成熟免疫細(xì)胞的年齡加1后，選出能匹配非自體抗原的成熟細(xì)胞，然后把它們的匹配數(shù)加1(模仿克隆擴(kuò)增)。在免疫細(xì)胞生命周期中，通過克隆選擇淘汰哪些對(duì)抗原分類沒有作用或作用不大的細(xì)胞(匹配數(shù)未達(dá)閾值且年齡過大)，保留優(yōu)勢(shì)細(xì)胞(對(duì)抗原具有良好分類作用的細(xì)胞)使之進(jìn)化為記憶細(xì)胞，以便當(dāng)類似抗原二次入侵時(shí)能進(jìn)行更高效的應(yīng)答。
權(quán)利要求
1.一種網(wǎng)絡(luò)安全入侵檢測(cè)系統(tǒng)和方法，其特征包括以下內(nèi)容未成熟細(xì)胞的結(jié)構(gòu)；免疫細(xì)胞的結(jié)構(gòu)；抗原提呈步驟；抗原集合的設(shè)置及演化步驟；自體庫(kù)的設(shè)置及演化步驟；記憶免疫細(xì)胞的演化及檢測(cè)抗原步驟；成熟免疫細(xì)胞的演化及檢測(cè)抗原步驟；未成熟細(xì)胞的演化及自體耐受步驟。
2.權(quán)利要求1所述的網(wǎng)絡(luò)安全入侵檢測(cè)系統(tǒng)和方法，其特征在于未成熟細(xì)胞的結(jié)構(gòu)包括以下內(nèi)容未成熟細(xì)胞包括抗體和相應(yīng)的年齡兩個(gè)部分；其中抗體為隨機(jī)生成的固定長(zhǎng)度的二進(jìn)制串。
3.權(quán)利要求1所述的網(wǎng)絡(luò)安全入侵檢測(cè)系統(tǒng)和方法，其特征在于免疫細(xì)胞的結(jié)構(gòu)包括以下內(nèi)容免疫細(xì)胞包括抗體，年齡和非自體匹配計(jì)數(shù)器三個(gè)部分。
4.權(quán)利要求1所述的網(wǎng)絡(luò)安全入侵檢測(cè)系統(tǒng)和方法，其特征在于抗原提呈步驟包括以下步驟獲取IP數(shù)據(jù)包的步驟；提取IP包特征信息的步驟；將IP包特征值構(gòu)成定長(zhǎng)二進(jìn)制串的步驟；將所構(gòu)成的定長(zhǎng)二進(jìn)制串定期放入抗原集合的步驟。
5.權(quán)利要求1所述的網(wǎng)絡(luò)安全入侵檢測(cè)系統(tǒng)和方法，其特征在于抗原集合的設(shè)置及演化步驟包括以下步驟初始抗原集合由外部系統(tǒng)確定的初始自體構(gòu)成的步驟；抗原更新時(shí)刻，原抗原集合由新的抗原集合取代的步驟；其余時(shí)間，按一定比例，隨機(jī)地從抗原集合中選取抗原用于每一代的檢測(cè)的步驟。
6.權(quán)利要求1所述的網(wǎng)絡(luò)安全入侵檢測(cè)系統(tǒng)和方法，其特征在于自體庫(kù)的設(shè)置及演化步驟包括以下步驟初始自體庫(kù)由外部確定的自體構(gòu)成的步驟；t時(shí)刻自體庫(kù)由t-1時(shí)刻自體庫(kù)減去發(fā)生變異的自體，再加上由外部新增的自體構(gòu)成的步驟。
7.權(quán)利要求1所述的網(wǎng)絡(luò)安全入侵檢測(cè)系統(tǒng)和方法，其特征在于記憶免疫細(xì)胞的演化及檢測(cè)抗原步驟包括以下步驟設(shè)置初始時(shí)刻的記憶免疫細(xì)胞集合為空的步驟；記憶免疫細(xì)胞對(duì)抗原進(jìn)行分類的步驟；t時(shí)刻記憶免疫細(xì)胞集合由t-1時(shí)刻記憶免疫細(xì)胞集合減去誤檢測(cè)到自體的記憶細(xì)胞，再加上由成熟免疫細(xì)胞進(jìn)化而來的記憶免疫細(xì)胞構(gòu)成的步驟。
8.權(quán)利要求1所述的網(wǎng)絡(luò)安全入侵檢測(cè)系統(tǒng)和方法，其特征在于成熟免疫細(xì)胞的演化及檢測(cè)抗原步驟包括以下步驟設(shè)置初始時(shí)刻的成熟免疫細(xì)胞集合為空的步驟；成熟免疫細(xì)胞對(duì)抗原進(jìn)行分類的步驟；t時(shí)刻成熟免疫細(xì)胞集合為t-1時(shí)刻的成熟免疫細(xì)胞集合，減去進(jìn)化為記憶細(xì)胞的成熟免疫細(xì)胞，再減去因老化而死亡的成熟細(xì)胞，然后加上新生成的成熟免疫細(xì)胞的步驟。
9.權(quán)利要求7和權(quán)利要求8所述的步驟中免疫細(xì)胞對(duì)抗原的分類的步驟，它包括以下步驟判斷抗體和抗原是否匹配不匹配則把抗原分類為自體，否則進(jìn)入下一步；檢測(cè)抗原是否屬于當(dāng)前自體庫(kù)不屬于則分類為非自體，否則進(jìn)入下一步；協(xié)同刺激，讓外部系統(tǒng)來判斷抗原到底是自體還是非自體。
10.權(quán)利要求1所述的網(wǎng)絡(luò)安全入侵檢測(cè)系統(tǒng)和方法，其特征在于未成熟細(xì)胞的演化及自體耐受步驟包括以下步驟初始末成熟細(xì)胞集合由隨機(jī)產(chǎn)生的未成熟細(xì)胞組成的步驟；t時(shí)刻未成熟細(xì)胞集合t-1時(shí)刻的未成熟細(xì)胞集合減去與自體匹配的未成熟細(xì)胞，同時(shí)減去進(jìn)化為成熟免疫細(xì)胞的未成熟細(xì)胞，再加上隨機(jī)新增的未成熟細(xì)胞的步驟。
全文摘要
本發(fā)明提出了一種網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)和方法，屬于信息安全領(lǐng)域。其特征在于它不僅能識(shí)別已知的網(wǎng)絡(luò)攻擊，而且對(duì)未知、變種的攻擊也同樣有效；另外，由于它的自適應(yīng)性和動(dòng)態(tài)性，使它能在不斷變化的環(huán)境中能檢測(cè)出正常行為與非正常行為之間的轉(zhuǎn)換。本發(fā)明可實(shí)時(shí)應(yīng)對(duì)黑客攻擊技術(shù)的變化，能滿足一些公司、企業(yè)、個(gè)人對(duì)網(wǎng)絡(luò)安全的需求，具有廣闊的應(yīng)用前景。
文檔編號(hào)H04L12/24GK1567810SQ200410022158
公開日2005年1月19日 申請(qǐng)日期2004年3月29日 優(yōu)先權(quán)日2004年3月29日
發(fā)明者李濤 申請(qǐng)人:四川大學(xué)