计算机免疫学在网络安全方面的应用研究

计算机免疫学在网络安全方面的应用研究

胡亚

关键词：自然免疫计算机免疫网络安全

一、计算机免疫学概述

自然免疫系统是一个多层防御系统，保护生物体不受外来有害细胞的侵袭，其作用与计算机安全系统有着惊人的相似。表现在下列三个方面:保护高度复杂且动态变化的系统，抵御外来的入侵；保证自身系统的正常功能；保证防御机制不会严重损害系统。生物和计算机系统存在着根本的区别，基于计算机安全系统与自然免疫系统之间的相似性来产生一个有效的计算机安全系统是比较困难的。但自然免疫系统的一系列组织特征可以用来指导计算机安全系统的设计，这些特征包括：1.分布性:生物免疫系统的各组成成分分布于生物体的全身，这种机制保障了系统的高度可靠性，计算机免疫系统要实现鲁棒性就要实现分布检测。2.多层性:生物系统对生物体的保护是从皮肤到生理条件，再到免疫细胞的多层保护机制，计算机免疫也要实现对系统从网络级、主机级、文件级到进程级的多层保护。3.多样性:生物免疫系统中，免疫细胞的多样性保证了当有抗原侵入机体时，能在机体内选择出可识别和消灭相应抗原的免疫细胞，进行免疫应答，最终清除抗原。计算机免疫系统中各个子系统的安全实现方式不同，保证一个站点或网络受到攻击破坏时，其它站点或网络极少受到同样的攻击和破坏。4.适应性：生物免疫系统一方面学习识别新的抗原，另一方面，检测到新病原时，通过免疫记忆保留对新病原的识别和反应。计算机免疫系统也应该有相似的适应性，既能识别新的入侵，又能记忆以前受到的攻击。5.动态性：生物免疫系统中约有108个淋巴检测器，能识别出约1016种不同的抗原，并且大约10天左右淋巴细胞会全部更换一次。借鉴这一特性，计算机免疫系统在病毒检测中，可不必包括所有可能的入侵的检测器集合，而是使检测器集合能随时间动态变化。

二、计算机免疫学应用于网络安全的研究现状

目前，国际上开展“计算机免疫学”的研究主要集中在国防、军事、安全部门的应用上，比较有代表性的有:1.美国新墨西哥大学的FORREST研究小组在深入分析生物免疫与机制的基础上，提出了一种计算机免疫系统模型，并给出了相应算法——否定选择算法。其实验结果显示，这种方法能够很容易地发现未知病毒感染，进一步提高计算机系统的安全性。2.IBM研究中心的Kephart等人通过模拟生物免疫系统的各个功能部件以及对外来抗原的识别、分析和清除过程，设计了一种计算机免疫模型和系统，该系统主要是设计“饵”程序来捕获病毒样本，提取病毒特征，并设计相应的病毒清除程序。3.普度大学的Spafford和Wright-PaffersonAFB空军技术学院的Marmelstein都深入分析了计算机病毒的研究意义、研究方法和安全性要求，并给出了相应计算机免疫系统模型。4.日本丰桥科学技术大学的Ishida也对基于免疫系统的计算机病毒防御技术进行了深入地研究，并应用多Agent技术与实现方法，在计算机网络中进行计算机病毒的监测和清除工作，同时给出了针对网络特点将被病毒感染的文件和系统修复的方法。

国内在计算机免疫方面的研究刚刚起步。武汉大学提出了基于多代理的计算机安全免疫系统检测模型及对Self集构造和演化方法，并在“Self”、“Nonself”的识别规则上进行研究，提出用演化挖掘的方法提取规则，在基于系统调用的基础上建立了位串识别器，借鉴食物链的一些特征，建立一种多识别器协同识别模型；武汉大学与北方交通大学合作，提出了基于主机安全扫描的计算机免疫系统检测；北方交通大学提出了一种基于免疫入侵检测模型，并将随机过程引入计算机免疫研究；南京航空航天大学对利用免疫机理进行抗病毒技术进行了研究；北京理工大学自动控制系从控制论的角度论述了计算机免疫和生物免疫的相似性，提出计算机防病毒领域中应用多代理控制技术构筑计算机仿生物免疫系统的可行性和实用性。

三、计算机免疫学应用于网络安全的发展前景

网络安全是一个立体纵深、多层次防御的综合体系，对于异常入侵、病毒等都可以从自然免疫机制中获得不少启发。未来值得关注的研究方向将有以下方面:1.分布式反馈控制：利用自然免疫系统高度分布性与并行处理的机制，在计算机入侵检测系统的框架上采用分布式结构，检测时联合获取各方数据进行分析，并采取联动式防御措施，高效地应对各种复杂的攻击。2.采用混合式入侵检测：与传统设计思想中单纯的系统架构不同，混合式入侵检测是多层次的，在系统结构上采用基于主机与基于网络的混合架构；在检测算法上使用异常检测与误用检测结合的混合模式；在检测方式上应用实时检测与基于时间间隔检测混合互补的策略。3.多特性防护系统：当前许多信息安全系统都借鉴了自然免疫系统的一些特点，但同时具有所有特点的信息安全系统还没有出现，朝着这一方向努力，研究一个鲁棒的、分布的、自适应的信息安全防护系统有着极其重要的现实意义。4.基因计算机：基于免疫原理的基因计算机系统有更强的辨别和保护能力，它通过对基因码的检测来判断数据的合法性，只有与基因码相吻合的收发端才能操纵数据，基因码是自动生成的，不能人为进行干预，具有很好的安全性能。