（信息与通信工程专业论文）ad+hoc网络入侵检测技术的研究.pdf

南京邮电大学硕士研究生学位论文摘要 摘要 a dh o c 网络具有自组织、分布式控制和动态网络拓扑结构的特点，将其与传统蜂窝 网络融合，可以有效地解决现有蜂窝网络的一些难点问题，提高系统的整体性能。然而， 融合后的网络虽然集成了两种网络的优点，但也包含了它们的缺点。生物免疫系统具有 目前一些计算机安全防护系统所不具备的在学习、记忆、多样性等方面的优良特性。免 疫系统一个重要的功能是免疫识别，识别的本质是区分“自体 和“非自体 ，这与入 侵检测中的异常检测的概念极其相似。免疫系统中抗体的产生具有多样性的特点，将抗 体形成的这种理念引入到计算机系统中为实现系统的自适应性提供了可能。 本文首先介绍了生物免疫系统原理，免疫机制及特点。在分析了a dh o e 网络安全 性的基础上，提出了基于人工免疫聚类算法的入侵检测技术，该算法是一种无监督异常 检测算法。它具有可扩展性、对输入数据集的顺序不敏感等特性，有处理不同类型数据 的能力和处理噪声数据的能力。实验证明该算法提高了网络入侵检测的检测率和误检 率。 此外，本文在借鉴c a m a 无线融合网络方案的基础上，提出了基于人工免疫的a d h o e 网络入侵检测模型。每个检测代理都采用各自的检测元集合分别检测网络上的入侵 行为，同时各检测代理和主系统之间保持通信联系，从而模型是分布的，自组织和轻负 荷的。基于技术条件和仿真复杂度的考虑，本文利用n s 2 仿真软件对a dh o e 网络的基 于a o d v 入侵检测模型进行实验仿真。 关键词： a dh o e 网络；入侵检测系统d s ；人工免疫；聚类算法 a b s t r a c t w i t ht h ec h a r a c t e r i s t i c so fs e l f - o r g a n i z i n g ，d i s t r i b u t e dc o n t r o la n dd y n a m i cn e t w o r k t o p o l o g y , i n t e g r a t i n ga dh o en e t w o r k 、i t t lt r a d i t i o n a l c e l l u l a rn e t w o r kc a l ln o to n l y e f f e c t i v e l yr e s o l v es o m ee x i s t i n gt o u g hp r o b l e m so fc e l l u l a rn e t w o r k , b u ta l s oe n h a n c et h e o v e r a l lp e r f o r m a n c eo fi t a l t h o u g ht h ei n t e g r a t e dn e t w o r kc o n v e r g e st h em e r i to ft w ok i n d s o fn e t w o r k s ，t h es h o r t c o m i n g ，w h i c hm a k e st h ei n t e g r a t e dn e t w o r km u c hm o r ev u l n e r a b l e b i o l o g i c a li m m u n es y s t e mh a san u m b e ro ff i n ef e a t u r e sw h i c hc o m p u t e rs e c u r i t yp r o t e c t i o n s y s t e m sd on o th a v ei nl e a r n i n g ，m e m o r y , d i v e r s i t ya n do t h e ra s p e c t s a ni m p o r t a n tf u n c t i o n o fi m m u n es y s t e mi si m m u n er e c o g n i t i o n , i d e n t i f y i n gt h e ”s e l f a n d ”n o n s e l f ，t h a ti ss i m i l a r t ot h ea n o m a l yd e t e c t i o no fi n t r u s i o nd e t e c t i o n t h i st h e s i sf i r s ti n t r o d u c e dt h e p r i n c i p l eo fb i o l o g i c a l i n m l u n es y s t e m ，i m m u n e m e c h a n i s m sa n dc h a r a c t e r i s t i c s a f t e ra n a l y z i n gt h ea dh o cn e t w o r ks e c u r i t y ，an e w c l u s t e r i n ga l g o r i t h mb a s e do na r t i f i c i a li m m u n ei n t r u s i o nd e t e c t i o nw a sp r o p o s e d t h e a l g o r i t h mw a sa nu n s u p e r v i s e da n o m a l yd e t e c t i o na l g o r i t h m i tw a se x t e n s i b l ea n dn o t s e n s i t i v et ot h eo r d e ro ft h ei n p u td a t as e t s i th a dt h ec a p a c i t yt od e a l 、城t hd i f f e r e n tt y p e so f d a t aa n dn o i s yd a t a t h ee x p e r i m e n t ss h o w e dt h a tt h ea l g o r i t h mi m p r o v e dd e t e c t i o nr a t ea n d f a l s er a t eo fi n t r u s i o nd e t e c t i o n i na d d i t i o n , o nb a s i so ft h ec a m a m o d e l ，t h i st h e s i sp r o p o s e dan e wd e t e c t i o ns t r u c t u r e h i e r a r c h ya dh o cn e t w o r ki n t r u s i o nd e t e c t i o nm o d e lb a s e do na r t i f i c i a li n l m u n e ，w h i c h i n t e n d e dt ob ed i s t r i b u t e d ，s e l f - o r g a n i z a t i o na n dl i g h t w e i g h t e a c hd e t e c t i o na g e n td e t e c t e d n e t w o r ki n t r u s i o ns e p a r a t e l yu s i n gr e s p e c t i v ee l e m e n ts e t , w h i l et h ed e t e c t i o na g e n ta n dt h e m a i n s y s t e mm a ym a i n t a i n c o m m u n i c a t i o nw i le a c ho t h e r t h i st h e s i su s e dt h e n e t w o r k - s i m u l a t i o ns o f t w a r et oa n a l y z et h ep e r f o r m a n c eo fa dh o en e t w o r ki n t r u s i o n d e t e c t i o nm o d e lb a s e do na o d v p r o t o c 0 1 k e y w o r d s ：a dh o en e t w o r k ；i n t r u s i o nd e t e c t i o ns y s t e m ；a r i t i f i c i a li m m u n es y s t e m ： c l u s t e r i n ga l g o r i t h m 南京邮电大学学位论文独创性声明 本人声明所呈交的学位论文是我个人在导师指导下进行的研究工作及取 得的研究成果。尽我所知，除了文中特别加以标注和致谢的地方外，论文中 不包含其他人已经发表或撰写过的研究成果，也不包含为获得南京邮电大学 或其它教育机构的学位或证书而使用过的材料。与我一同工作的同志对本研 究所做的任何贡献均己在论文中作了明确的说明并表示了谢意。 一躲毒研 日期： 1 4 l i 南京邮电大学学位论文使用授权声明 南京邮电大学、中国科学技术信息研究所、国家图书馆有权保留本人所 送交学位论文的复印件和电子文档，可以采用影印、缩印或其他复制手段保 存论文。本人电子文档的内容和纸质论文的内容相一致。除在保密期内的保 密论文外，允许论文被查阅和借阅，可以公布( 包括刊登) 论文的全部或部分内 容。论文的公布( 包括刊登) 授权南京邮电大学研究生部办理。 研究生签名： 导师签名： 日期： 李辊 凯 的彳、4 - i 1 7 南i 邮电 日研r t * # i 镕t 1 1 课题研究的意义 第一章绪论 随着3 g 逐渐进入商用，国际上4 g 技术的标准制定工作已经启动。在2 0 0 1 年1 0 月的r w p s f 会议上，b e y o n di m t - 2 0 0 0 的概念与需求得到了初步的明确：b e y o n d i m t - 2 0 0 0 是广泛用于各种电信环境的无线通信系统的总和，包括蜂窝、固定无线接入、 游牧接八系统等。因此，4 g 移动通信系统是一个多种通信系统的综台体，它将会由多 种接入网构成，能够支持多种业务无缝通信。其网络结构如下圈11 所示。 一- 、；、； 。一 i 每、每 乎 一# o 。： 蠢。莓j 凌嚣纂 j 警：爷鼍r 曩扩曩扩誊 移 拳囝b 图1 1 未来移动通信系统结构 a dh o e 网络是无基础机构的自组织网络，移动终端通过对等方式建立连接。近年来， 国内外学术机构对a dh o e 蜂窝无线融合网络开展了大量的研究工作。利用a dh o c 网络 自组织、分布式控制、动态网络拓扑结构的特点，将其与传统蜂窝网络进行融合，可以 有效地解决现有蜂窝移动通信系统的一些难点问题【i 】： ( 1 ) 解决蜂窝移动通信系统“盲区”通信问题。 ( 2 ) 通过a dh o e 网络的多跳中继功能，提高移动蜂窝网络中由于信道的路径损耗 导致的小区边界地区的数据传输速率，从而增加整个系统的吞吐量。 ( 3 ) a dh o c 网络的动态中继转发功能可以有效地调整热点地区的负载，实现负载 的动态分配缓解因容量饱和而造成的呼叫阻塞和切换中断现象，从而提高热点地区的 服务能力和服务质量。 ( 4 ) 由于a dh o c 网络移动终端的中继作用距离基站较远的终端无需增大发送功 1 南京邮电大学硕士研究生学位论文第一章绪论 率与基站直接进行通信，可以通过其他中继节点与基站通信，降低总发射功率，减小相 互干扰，增加空间复用程度，并且可能带来系统容量的大幅增加，这对于容量干扰受限 的c d m a 蜂窝系统来说更具有重要意义。 a dh o e 蜂窝无线融合网络具有许多性能优势，主要体现在三个方面1 2 l ： ( 1 ) 形成局域子网：采用自组织方式，用户可以动态地组成区域性网络实现局部业 务传输，称为自组织局域子网。局部业务不再通过基站扩散到整个网络中，而是通过多 跳直接完成，缓解基站的瓶颈效应。同时，在没有基础设施支持或基础设施毁坏时仍可 以在一定程度上实现通信。 ( 2 ) 虚拟小区扩展：引入自组织方式后，终端与基站设备间距离较长的数据链路可 以通过多跳转换成多个短距离的数据链路，弥补覆盖缺陷，转移负载。 ( 3 ) 虚拟小区分裂：终端间的多跳通信还可以使总发射功率降低、空间复用程度增 加，且可能带来系统容量的大幅增加。这样在不需要增加基站的情况下，依靠移动终端 就可以形成地域上更小的“虚拟小区”，称之为虚拟小区分裂。 总之，a dh o e 蜂窝无线融合网络由于引入自组织方式，使网络具备了很高的自适应 性和智能性。用户不仅可以动态地组成区域性网络，还可以使用更小的功率完成多跳通 信过程，实现虚拟小区扩展和虚拟小区分裂。这些优势的结合使得这种新型混合移动通 信系统具有很大的技术潜力。 异构网络的协同工作在下一代无线口网络中将是一个很普遍的问题。因此，研究支 持异构互联和协同应用的新一代无线移动网络，特别是a dh o e 蜂窝无线融合网络的意 义，不仅仅局限于改善无线网络的覆盖和容量，提高无线网络的自治能力，更重要的是 其研究对网络互联整合、异构网络协同工作等问题具有普遍的指导意义。本研究课题从 人工免疫的角度系统地研究了a dh o e 异构网络的入侵检测关键问题，以有效扩展无线网 络的应用范围，提高系统的安全特性。本项研究具有较大的应用前景。 本课题“a dh o e 网络入侵检测技术的研究”来源于国家高技术研究发展计划( 8 6 3 ” 计划) 基金资助项目“移动自组织互联网体系结构及关键技术研究”。 在技术方面，虽然传统的网络安全技术：如防火墙、识别与认证机制等，有一定防 卫作用，但这些技术只是一种被动防卫，不能进行主动防卫。鉴于此，一种新型的能实 现计算机主动防卫的技术计算机入侵检测技术( i n t r u s i o nd e t e c t i o ns y s t e m ，i d s ) j g 为一个重要的研究课题。当前，研究人员已经提出了多种入侵检测模型，如集中式模型、 分布式模型及协同式模型等等，这些模型都各自具有自己的特点，但这些设计还远远不 2 南京邮电大学硕上研究生学位论文第一章绪论 能满足一个完备的入侵检测系统所需具备的要求，因此，需要对入侵检测模型的设计进 行重新考虑。 人工免疫系统( a r t i f i c i a li m m u n es y s t e m ，a i s ) 是对人类免疫系统( h u m a ni i t l m l l n e s y s t e m ，h i s ) 进行模拟的系统，通过从不同种类的抗体中构造自体非自体非线性自 适应网络，在处理动态变化环境中起作用。基于人工免疫系统提供了噪声忍耐、自学习、 自组织、不需要反面例子，能明晰地表达学习的知识，结合了分类器、神经网络和机器 推理等学习系统的一些优点。从信息处理科学角度看，人工免疫系统与神经网络系统一 样，也是一个高度的并行处理系统。它除了具备学习能力记忆能力外，还表现出相关修 复能力、分布性和自组织性，为智能控制和智能优化系统的研究提供又一途径。当前， 有关对人工免疫算法及其与其他科研领域相结合的研究方兴未艾。 在入侵检测方法和技术研究中，人们发现生物免疫系统与入侵检测系统具有惊人的 相似性，前者保护机体不受诸如病菌、病毒等各种病原体的侵害，而后者保护计算机系 统不受或少受入侵事件的危害或威胁，两者都是在不断变化的环境中维持系统的稳定 性。从表1 1 可以看出二者的相似性： 表1 1 生物免疫系统概念和网络入侵检测系统概念对比 缩氨酸肮原决定基被检测的行为模式串 抗体检测模式串 单克隆淋巴细胞小细胞、b - 细胞) 检测器 抗原 异己模式串 绑定 检测模式串和异己模式串的匹配 耐受性( 阴性选择) 否定选择 淋巴细胞克隆检测器复制 抗原检测入侵检测系统的检测 抗原清除检测器响应 这种相似性使得免疫系统为入侵检测提供了一个自然的研究模板，而且免疫系统在 信息处理中表现出了分布式保护、多样性、自适应性、健壮性、可扩展性、记忆能力、 容错能力、动态稳定性以及异常检测等良好特性，这些特性正是当前入侵检测领域中所 期望得到的，有利于克服当前i d s 所面临的问题，因此借鉴生物免疫系统的免疫原理进 行入侵检测技术研究己引起了网络安全人员的高度重视，目前这方面的研究己成为一个 热门研究方向。 3 南京邮电人学硕上研究生学位论文第章绪论 本文的工作就是基于这样的背景，借鉴人工免疫系统领域的成果，将其应用 到a dh o e 网络入侵检测中来，以此来构建一个较为完备的网络入侵检测系统。 1 2a dh o c 异构网络入侵检测的研究现状 关于网络安全及计算机入侵检测系统的研究可以追溯到2 0 多年前，可以说，安全 问题是随着计算机普及程度的不断提高而不断发展起来的。 1 9 8 0 年，a n d e r s o n 等人首次提出入侵检测的概念，他采用计算机系统风险和威胁 分类的方法，将威胁分为外部渗透、内部渗透和滥用三种。还提出了利用主机审计数据 跟踪入侵活动的思想，开创了基于主机的入侵检测研究的先河1 3 , 4 。 1 9 8 7 年，d e n n i n g 等人提出了一个实时入侵检测系统模型i d e s ( i n t r u s i o n d e t e c t i o ne x p e r ts y s t e m ) 该模型由六个部分组成：主体、对象、审计记录、特征描述、异 常记录和活动规则【5 】，该模型对后人的研究产生了较为深远的影响。 1 9 8 8 年，l u n t 等人进一步改进了d e n n i n g 提出的入侵检测模型，并开发了第一个 i d s 原型系统 6 1 。 1 9 9 0 年，h e b e r l e i n 等人提出了一个新的概念：基于网络的入侵检测n s m ( n e t w o r ks e c u r i t ym o n i t o r ) t 】q ，n s m 开创了基于网络的入侵检测系统的研究。 近年来，随着免疫学的发展，人们对免疫系统有了更深入的了解和认识。免疫系统 成功保护机体免受各种侵害的机理为研究i d s 提供了重要依据，它可以很好的应对前面 提出的几大难题。新墨西哥大学的f o r r e s t 最早将免疫系统的免疫原理引入到入侵检测 领域，提出可将信息安全问题看成一个更加普遍的问题即如何区分自我与非我嗍。美 国孟菲斯大学的d a s g u p t a 等提出的基于免疫自主体的入侵检测系统框架，是基于多代理 的入侵检测和响应系统，将免疫的许多方面都整合在一个框架中网。英国大学的k i m 在 指出f o r r e g 等人研究存在问题的基础上提出了一个新的人工免疫入侵检测系统方案， 综合应用了较多的人工免疫概念，取得了比较好的实验效果i l o 】。 到现在为止，国外己有一些机构对人工免疫系统，计算机免疫系统，基于免疫系统 的各种应用等进行了不同程度的研究和讨论，例如i b m 公司w a t s o n 研究中心开发的计 算机病毒产品d i g i t a li m m u n es y s t e mf o rc y b e r s p a c e l l i 】，美国空军技术学院的计算机病毒 免疫系统【1 2 】等。他们希望利用生物免疫系统的分布特性和自适应等特性，摆脱近年来计 算机病毒大量繁殖和快速传播的困境。此外，在英国，意大利以及日本等国也有诸如此 4 南京邮电人学硕上研究生学位论文第一章绪论 类的研究。 当前网络安全正朝着以预防为主的方向发展，基于人工免疫系统的入侵检测技术研 究正符合这一发展的要求，本文在深入了解人类免疫系统相关理论的基础上，结合前人 的研究成果，就基于人工免疫的网络入侵测系统展开了研究。 1 3a dh o e 异构网络的安全问题 1 3 1 各种网络的安全弱点 对于蜂窝网来说，鉴权认证等基本的安全措施经过实际应用的检验已经比较完善 了，但是在通信中传输的业务数据都是未经加密的明文。虽然，大部分的通信数据不涉 及到机密信息，但是，还是有许多较机密的商业信息经由无线信道传输。这些数据可以 被任何人通过监测无线信道获取。另外，即使安全性能较g s m 好的c d m a 网络也无法 在扩频扰码等提供的一般的安全性能之外提供更进一步的安全保证。这种程度上的安全 性能只能防止极低程度的信息泄漏如窃听，对于防止信道监听、流量检测等安全危害则 无能为力。 w l a n 与蜂窝网相似，任意节点在接入网络之前都要通过认证，否则该节点的数据 将不允许在网络中传输。然而，与蜂窝网相同，w l a n 传输的数据同样未经过加密，任 意节点均能接收到其他节点发送的信息。如果恶意节点能够接入网络，就可以获得其他 节点在网络中传输的数据，并利用这些信息危害发送端或接收端。 因特网的安全目前比较受关注。因特网由于其结构的开放性，极容易受到恶意攻击。 伊安全协议( i p s e c ) 、因特网密钥交互协议( i k e ) 等协议的提出为极不安全的因特网 提供了一定的安全保证。利用了隧道技术的i p s e c 由于能提供较好的安全性，受到了广 泛的关注，也被用在各种网络中以提供安全保证。但由于本身的固有缺陷限制了i p s c c 在其他网络中的应用。 a dh o c 网络是分布式系统，无论是合法的网络用户还是恶意的入侵节点都可以接 入无线信道，且所有节点既是终端也负责数据的转发，没有特定的可以部署鉴权的安全 设备。因此，无线网络融合的安全方案首先要从安全性最差的a dh o e 网络做起，网间 的安全方案也要特别考虑到无特定安全设备的a dh o c 网。 南京邮电大学硕上研究生学位论文第一章绪论 1 3 2 网络融合带来的安全问题 融合后的网络不但融合了各种网络的优点，也必然会将各种网络的缺点带进融合后 的网络中。前面所讨论的安全缺陷将或多或少地给融合后的网络运行带来各种安全问 题。 l 、路由安全：路由安全在整个异构网络的安全中占有首要地位。在融合网络中，路由 协议既要发现移动节点，又要能够发现基站。现有的路由协议大多仅关注于选路及 其策略，只有少部分考虑安全问题。一般而言，对安全路由协议的研究起码要包括 两个部分：基站和移动终端间的路由安全和任意两个移动终端间的路由( a dh o c 网 络路由) 安全。而由于融合网络的路由协议主要来源于a dh o c 网络路由协议的扩展， 因此路由方面的安全问题在于，如何根据融合网络的特有物理架构，对a dh o c 网络 的路由协议进行相应的改进，保证整个路由分组在融合网络传输中的安全。 2 、身份认证：对于融合网络，蜂窝基站的引入则可以在充分发挥a dh o c 自身优势的同 时克服其固有缺陷。但是，如何建立基于基站和节点声誉评价的身份鉴权认证机制， 使得融合网络既能够拒绝恶意节点的接入，又要确定合适的评价度，保证合法节点 去不会因为恶意节点的诬陷被拒绝接入网络或被驱逐出网络，是当前融合网络接入 认证面临的问题。另外，融合网络用户的身份信息认证还包括a d h o c 网络与有基站 等固定基础设施的集中式网络之间的认证和任意两种集中式网络之间的认证，如何 快速高效地实现网间认证也是当前需要解决的问题。本文将重点研究这些问题的解 决方案。 3 、入侵检测：无线融合网络与有线网络存在很大区别，针对有线网络开发的入侵检测 系统( i d s ) 很难直接适用于无线移动网络。首先，传统的i d s 大都依赖于对整个网 络实时业务的监控和分析，而无线融合网络中移动环境部分能为入侵检测提供的数 据只限于与无线通信范围内的直接通信活动有关的局部数据信息，i d s 必须利用这 些不完整的信息来完成入侵检测。其次，移动网络传输速率较慢、带宽有限，且节 点依靠电池供应能量，这些特性使得它对通信的要求非常严格，无法采用那些为有 线i d s 定义的通信协议。第三，移动网络中高速变化的拓扑使得其正常与异常操作 间没有明确的界限。发出错误信息的节点，可能是被俘节点，也可能是由于正在快 速移动而暂时失去同步的节点，一般i d s 很难识别出真正的入侵和系统的暂时性故 障。因此，必须研究出与融合网络特征相适应的可扩展性好的、联合、分级检测系 6 南京邮电人学硕上研究生学位论文 第一章绪论 统。 4 、节点协作通信：在无线融合网络中，如何通过节点之间的写作通信，确保节点通信 的内容在a dh o c 网络中继节点的传输过程中的保密性，如何确保融合网络中安全性 最差的a dh o c 网络的安全，不受到恶意节点和自私节点的攻击，都是迫切需要解决 的问题。 1 4 入侵检测技术概述 入侵检测技术是为保证系统的安全而设计与配置的一种能够及时发现并报告系统 中未授权或异常现象的技术，是一种用于检测计算机系统、网络系统或更广泛意义上的 信息系统中违反安全策略行为的技术。它根据用户的历史行为，基于用户的当前操作， 完成对攻击的决策并记录下攻击证据，为数据恢复与事故处理提供依据1 1 3 】。 根据检测方法的不同，入侵检测可以被分为以下2 种类别：异常( a n o m a l y ) 检测、误 用( m i s u s e ) 检测。异常检测系统首先通过提取审计记录( 如网络流量和日志文件) 中的特 征数据来建立模型，用检测到的行为模式与模型相比较，如果两者之差超过一个给定的 阈值，则被视为入侵。这种入侵检测的检测率和误检率都比较高。误用检测是根据事先 定义的入侵模式库，用这些已有的入侵模式和检测到的入侵模式匹配。这种检测方法检 测率和误检率都比较低【1 4 1 。 目前，对传统有线网络的入侵检测技术的研究充分而广泛，但是这种对传统有线网 络的i d s 研究不能直接用于无线a dh o c 网络中。无线a dh o e 网络缺乏固定的基础设施， 物理层设施匮乏，无线a dh o e 网络本身的脆弱性使得其更容易受到攻击，给i d s 的设 计带来更多挑战和要求。由于缺少一个类似于网关、路由器的中心控制节点，无线a d h o c 的入侵检测技术受到各节点流量的制约。再则，无线a dh o c 网络本身的分布式特性， 要求入侵检测技术也采用一个合适的分布式算法，同时也要考虑到实际应用中的节点所 能承载的最大流量。同时，由于无线a dh o c 网络具有动态的拓扑结构，各节点可以灵 活游走，这就使得节点容易被捕获，从而威胁到整个网络的安全。为了节省有限的带宽 资源，无线a dh o e 网络的各节点不可能像有限网络中的节点一样随时随地自由通信， 因此，带宽和电池容量更加制约了移动网络的i d s 设计。 7 南京邮电大学坝上研究生学位论文第一章绪论 1 5 本文所做的主要工作及章节安排 本文首先简单介绍了a dh o e 网络、蜂窝网络和入侵检测技术，分析了无线融合网 络入侵检测的研究现状和安全问题在分析了无线融合网络的结构特性和对安全性能的 特殊需求后，借鉴了人工免疫原理和较为成熟的入侵检测方案，提出了一种改进的基于 人工免疫聚类算法的入侵检测技术，并对提出的方案进行了性能分析和仿真。最后文章 提出了基于人工免疫的a dh o e 异构网络入侵检测模型，并分析了其性能。基于技术条 件和仿真复杂度的考虑，本文最后对a dh o e 网络的基于a o d v 入侵检测模型进行实验 仿真。 本文的具体章节安排如下： 第一章：阐述了课题的研究意义、无线融合网络入侵检测的研究现状、融合网络所 带来的安全问题，简单介绍了入侵检测技术。 第二章：引入生物免疫系统的概念，介绍了人工免疫系统的模型及发展历史，免疫算法 及人工免疫在网络安全中的应用。 第三章：介绍了典型的a dh o e 蜂窝无线融合网络方案和a dh o e 网络及融合网络的 安全问题。 第四章：详细介绍了入侵检测系统及分类，a dh o e 网络中的入侵检测技术及聚类算 法，提出了一种改进的基于人工免疫的入侵检测技术，并对其性能进行分析和仿真。 第五章：本章根据a dh o e 网络中入侵检测性能的要求，提出一种新型的a dh o e 异 构网络入侵检测系统模型，并且分析了该模型的性能。基于技术条件和仿真复杂度的考 虑，本文最后对a dh o e 网络的基于a o d v 入侵检测模型进行实验仿真。 第六章：总结之前的研究工作以及展望今后的研究方向。 8 南京邮电大学颀 。研究生学位论文 第二章人工免疫系统 第二章人工免疫系统 自古以来，人们就对生物界有着浓厚的兴趣并不断从中得到灵感。近年来，生物的 智能行为一直被研究者所关注，生物的神经系统、遗传进化系统己被人们广泛研究，并 在实际应用中取得了引人注目的成效。作为生物领域一门相对年轻的学科现代免疫 学，是以分子、细胞、器官及整体为基础发展起来的- - i j 新兴的与医学生物学等多学科 广泛交叉、理论体系极为复杂的学科，不仅推动着医学和生命科学的全面发展，也推动 了社会其他领域的快速发展。进入二十世纪7 0 年代后，免疫学的研究逐渐形成高潮， 基于生物免疫系统的人工免疫系统研究正逐渐成为人工智能领域于一个新的研究热点。 2 1 生物免疫系统 免疫系统( i m m u n es y s t e m ) 是脊椎动物和人类的防御系统。它与神经系统、内分 泌系统、呼吸系统等一样，是机体的一个重要系统。它是在系统发生过程中长期适应外 界环境而形成的。生物免疫学正是研究生物免疫系统的组成，各个免疫器官的功能以及 免疫系统如何与其他系统相互配合，相互制约，共同维持机体在生命过程中的总的生理 平衡的。 1 9 世纪末2 0 世纪初通过医学界对于抗感染的研究产生了传统免疫学，免疫 ( i m m u n i t y ) 一直被理解为机体的抗感染能力，被描述为宿主对病源微生物的不同程度的 不同感受性。 2 0 世纪中期以后，免疫学的发展逐渐突破了抗感染的局限。事实上，机体不仅是对 微生物，而且是对各种抗原都能够进行识别和排斥，以维持正常的生命内环境。所以， 免疫是机体识别和排斥抗原性异物的一种生理功能。 随着免疫学的发展，现在医学界普遍认为，免疫学是研究机体免疫系统的组织结构 和生理功能的科学。免疫系统的重要生理功能就是对“白体 和“非自体”抗原的识别 和应答。( “自体”是指生物体自身的细胞和分子，“非自体 指外部的抗原) 。这个系 统有着自身的运行机制，并可与其他系统相互配合，相互制约，共同维持机体在生命过 程中的总的生理平衡。 免疫系统在长期进化过程中与病原微生物相互作用，逐渐建立起一系列防御功能， 从而识别并清除外来病菌、细菌等微生物的入侵和内环境中基因突变产生的肿瘤细胞， 9 南京邮电大学硕士研究生学位论文 第二章人工免疫系统 维持生物体内环境的平衡与稳定。免疫系统分析和学习进入体内的外在物质，并且同时 产生抗体来消灭入侵的抗原。这个系统主要表现为以下几种生理功能： ( 1 ) 免疫防御机体排斥外来源性抗原异物的能力。 ( 2 ) 免疫稳定机体识别和清除自身衰老残损的组织、细胞的能力。 ( 3 ) 免疫监视机体杀伤和清除异常突变细胞的能力。 从本质意义上说，免疫系统的基本功能是识别和排除“异己 ，维持自身的一致性。 2 1 1 生物免疫原理 免疫分子是免疫细胞合成和分泌的执行免疫功能的各种分子的统称，包括抗体、补 体、细胞因子、主要组织相容性复合体等。淋巴循环网络为免疫细胞和分子进行免疫响 应和免疫补充提供了一个流动的环境，它与血液循环系统相联系。 免疫系统是机体执行免疫功能的机构，是产生免疫应答的物质基础。通常可将免疫 系统分为免疫器官，免疫细胞和免疫分子三类。免疫系统在体内的分布广泛，如外周淋 巴器官位于全身各个部位。淋巴细胞和其他免疫细胞不仅定居在淋巴器官中，也分布在 粘膜和皮肤组织中。免疫细胞和免疫分子还可进入血液循环在体内各处漫游，持续地执 行识别和排除抗原性异物的功能。各种免疫细胞和免疫分子既相互协作又相互制约，使 免疫应答既能有效又能在适度的范围内进行。 淋巴细胞是最重要的免疫细胞，它有b 细胞和t - 细胞两种主要类型。b 细胞由骨 髓产生，受抗原刺激后可分泌产生抗体。抗体可与相应抗原产生特异性的生理反应，来 识别和排除抗原。这种抗体抗原反应是免疫系统的基本反应。 生物免疫系统的基本功能是识别自体和非自体，并将非自体分类清除。生物免疫系 统具有免疫识别、免疫记忆、免疫调节和免疫宽容等功能特征，能有效识别外来侵入者， 维持机体本身的平衡，保证生物体自身的生存和发展。其中免疫识别是指免疫系统不仅 能够识别己知抗原，同时还能够识别未知抗原，免疫记忆则是指功能特征能够对再次入 侵的抗原发生快速反应( 即二次应答) 。 现代免疫学认为：生物体内存在一个负责免疫功能的完整解剖系统，即免疫系统。 该系统可以与其他系统相互配合，相互制约，共同维持机体在生命过程中的生理平衡。 在免疫系统中，免疫器官产生相应的免疫细胞，免疫细胞中数量最多的就是由b 细胞和t - 细胞所主要构成的淋巴细胞，它们能够识别病原体并进行特异性应答。这些病 l o 南京邮电大学硕士研究生学位论文第二章人工免疫系统 原体称为抗原。当生物体遭到相应的攻击时，这些b 细胞和t 细胞会迅速产生免疫应 答。免疫细胞中的巨噬细胞会摄取消化病原体，并将病原体抗原提呈给t - 细胞识别。 t 细胞进行细胞复制并激活杀伤t 细胞，杀死任何被特异抗原感染的细胞，另一方面通 过t h 细胞激活b 细胞。b 细胞识别特异抗原，并克隆扩增分化为浆细胞形成抗体。抗 体与抗原结合，并杀死抗原。 免疫系统还具有学习和认知的能力。系统能够学习抗原的结构，将来同一抗原再次 出现时，反应会更快更强烈。免疫系统对新事物具有出色的学习能力能够利用复杂模式 匹配和自组织网络结构支持对所遇到的事物的记忆。 2 1 2 免疫机制 免疫系统是抗击病源入侵的首要防御系统。细胞在从未成熟到成熟期间将经历自体 耐受，一旦人体受到有关攻击时，在识别杀死抗原后将形成免疫记忆，产生免疫反馈。 下面将分别讲述免疫机制的3 个主要阶段： 1 免疫耐受 免疫耐受是指免疫活性细胞接触抗原性物质时所表现的一种特异性的无应答状态。 根据免疫耐受的特点，它可以分为自体耐受和获得耐受两种。其中，自体耐受是对自体 抗原不应答的一种免疫耐受，自体耐受的破坏将导致自体免疫疾病：而通过人工诱导下 对机体形成的免疫耐受则为获得耐受。 区分自体和非自体是免疫系统的主要的功能，这就要求免疫细胞能够识别病毒( 非 自体) ，但是同时又不能对正常的人体细胞( 自体) 发应。免疫系统通过在产生免疫细胞时 的否定选择过程以及激活时的协同刺激来实现对自体的耐受，其中最主要的是否定选择 过程，即自体耐受过程。 当细胞不能自体耐受的时候有三中处理方法：其一为克隆删除，一旦免疫细胞识别 自体就被删除；其二为受体编辑，免疫细胞识别自体，就该变它的受体部分的特性，重 新生成新的受体；其三为无能，这主要在外围耐受时，即如果某个b 细胞或者t 一细胞 识别抗原但是没有协同刺激信号，那么这个免疫细胞就保持无能，即不能被激活。 2 免疫应答 免疫应答是指抗原进机体后，免疫细胞对抗原分子的识别、活化、分化和响应过程。 这个过程是免疫系统各部分生理功能的综合体现，包括了抗原提呈、淋巴细胞活化、特 奄虚啦电火学硕士研究生学位论文 一 第二章人工免疫系统 异识别、免疫分子形成、免疫效应以及形成免疫记忆等一系列的过程。 免疫系统有两种免疫应答类型：固有免疫应答和适应免疫应答。前者不能在遇到特 异性病原体时改变和适应，在遇到病原体后迅速产生抵制作用，使适应免疫应答有时间 建立更加特异的免疫应答；特点是直接性、快速性和广谱性( 对大部分的细菌、病毒等 异物，不是针对特定抗原) 。后者能适应或学习以识别特异抗原，并对其保持记忆以便 下次更加快速地应答，其中心原理是克隆选择。它是人类和其它动物对抗入侵病原体的 有力武器。适应性免疫应答分为初次应答和二次应答。从信息处理的角度讲，初次应答 的关键性就是“识别多样性”，是免疫系统学习新知识的过程；二次应答产生的主要原 因是免疫记忆的存在，免疫记忆是入侵的抗原在免疫系统中的映像，因此免疫网络就是 免疫系统表示和保存所学知识的机制。 3 免疫反馈 免疫系统有体液免疫( 体液应答) 和细胞免疫( 细胞应答) 两种类型的免疫。体液免疫 由抗体中和抗原实现：细胞免疫由杀伤t 细胞捕捉并杀死被病毒感染的细胞实现。与这 两种免疫相对应的，有两种相应的免疫反馈机制。当抗体产生后，可不断与抗原结合并 消灭之，最终所有入侵抗原被清除，免疫应答终止。抗体对免疫应答有反馈调节作用， 抗体是免疫应答的产物，抗体产生之后又可抑制其后的抗体产生。 2 1 3 生物免疫系统的特点 生物免疫系统之所以引起人们的广泛注意，主要因为它具有目前一些计算机安全防 护系统所不具备的在学习、记忆、多样性等方面的优良特性： 1 分布性：免疫系统是一个包括免疫器官、免疫细胞和免疫分子的庞杂系统，其 各组成成分分布于生物体的全身，密切监视系统中是否有异常发生。它们是没有集中控 制的，通过分布在全身的局部免疫成分之间的相互作用，来实现对整个机体的保护，因 而是高度分布式的，不存在单点失效问题。在计算机网络安全体系结构中，有人提出了 分布的、移动的安全代理结构，以实现对这一特性的应用。 2 多样性：在生物免疫系统中，多样性是其具有健壮性的重要来源。首先，生物 体内免疫细胞的多样性保证：当每一种抗原侵入机体时，都能在机体内选择出可识别和 消灭相应抗原的免疫细胞，并使之激活、分化和增殖，进行免疫应答，最终清除抗原。 其次，每个个体都有一个独一无二的免疫系统，存在着群体中免疫系统的多样性。这种 1 2 南京邮电大学硕士研究生学位论文第二章人工免疫系统 多样性保证：当有个体对某病菌呈现脆弱性时，不会出现所有个体都对同一病菌呈现脆 弱性的情况。因此，免疫系统的多样性可大大增强个体和群体的健壮性。借鉴这一特性， 可以使不同的站点或网络具有不同的安全系统，保证一个站点或网络受到攻击破坏时， 其它站点或网络极少受到同样的攻击和破坏。 3 自学习和可适应性：当免疫系统检测到以前未遇到过的病原时，它将经历初次 免疫应答，并“学习 该特定病原的结构，保留对这些病原的记忆。之后当遇到相同的 病原模式时，免疫系统将快速做出反应。免疫系统检测新病原，并通过免疫记忆保留对 新病原的识别和反应，这一特性对计算机安全十分重要。例如，目前各种计算机抗病毒 产品都面临一个难题：它们只能识别出己知病毒，而不能识别出新病毒。利用免疫系统 的“学习一特性，则可以迅速对付各种新病毒的产生和传播。 4 自治性：生物免疫系统不需要外部的控制，它本身具有自我调节的能力。当有 病原入侵，破坏了原有系统的平衡时，免疫系统则通过克隆选择产生大量与该病原相匹 配的b 一细胞，来识别和消灭病原，当病原消灭后，除了保留一部分记忆细胞外，这些 b 一细胞又会逐渐消亡，以避免这种细胞的无限扩大，使系统重新达到平衡。 5 不完全匹配性：生物的免疫应答是特异性的，即每种抗体或受体只能识别和结 合特定的抗原。同时人们又发现，体内的约1 0 6 种不同的淋巴细胞能够识别出约1 0 1 6 种不同的外来抗原模式。因此，抗原和抗体的匹配是不完全的，即不是一对一的。也就 是说，一个淋巴细胞可以对几种不同的、结构相近的抗原做出反应。 借鉴这一特性，解决某些计算机安全方面的问题，将会十分有效。例如在病毒检测 中，使用有限的检测器可以检测出较多的计算机病毒。因而，我们希望能通过研究和分 析生物免疫系统的内在机制，了解它的工作原理，以将其应用到计算机安全系统中去。 2 2 人工免疫系统 1 9 7 4 年，美国诺贝尔奖获得者j e m e 提出的免疫网络理论引起了关注此后f a r m e r , p c r e l s o n , b e r s i n i ，v a r e l a 等理论免疫学者分别在1 9 8 6 ，1 9 8 9 ，1 9 9 0 年发表论文，在免疫系 统启发实际工程应用方面做出了突出贡献【1 5 , 1 6 , 1 7 , 1 8 】其中，f a r m e r 的关于免疫系统与机器 学习的研究是具有创造性和开拓性的工作，他们的研究工作为建立有效的、基于免疫原 理的计算系统及智能系统的发展开创了道路。v a r e l a 在1 9 8 9 年讨论了免疫网络以某种 方式收敛的思想以及免疫系统能够通过产生不同抗体和变异适应新环境的思想，都为使 1 3 南京邮电大学硕士研究生学位论文第、二章人工免疫系统 免疫系统成为有效解决工程问题的灵感源泉做出了巨大贡献。由此诞生了一个崭新的研 究领域：人工免疫系统( a i s ：a r t i f i c i a li m m u n es y s t e m 卜受免疫学启发，模拟生物免 疫系统的功能、原理和模型来解决复杂问题的自适应系统【i9 1 。 虽然人工免疫系统已经被广大研究者逐渐重视，然而不论是对免疫机理的认识，还 是对免疫算法的构造以及工程应用都处在一个比较低的水平。目前a i s 的研究内容主要 集中在系统模型、免疫算法、免疫工程应用3 个方面。 2 2 1 定义 为了更好的描述人工免疫系统模型和算法，以下降简单阐述几个常用的免疫术语及 其在人工免疫中的含义： 定义2 1 抗原( a g ) ：在人工免疫系统中一般将目标函数和各种约束作为算法的抗原， 是算法的始动因子以及重要的度量标准。 定义2 2 抗体( a ：在人工免疫系统中一般指问题的候选解。初始抗体通常是在解 空间中用随机的方法产生，一般需要对抗体进行编码。 定义2 3 抗体抗原亲和力：抗原对抗体结合力的大小常用亲和力表示。在人工免 疫系统中，用这一概念来表示抗体不同位置( 编码) 对抗原( 或目标函数) 的影响。 定义2 4 抗体抗体亲和力：反映抗体与抗体间的结合能力。在人工免疫系统中一 般指候选解间的距离，一般采用海明距离( 二进制编码) 和欧几里得距离( 实数编