An Architecture for an Integrated Innate and Adaptive Artificial Immune System Applied to Network Intrusion Detection

【摘要】人体免疫系统(HIS)为解决复杂问题提供了一种既独特又具有吸引力的计算模型,因而引起了计算机领域科学家的极大兴趣。利用免疫学的基本理论和模型以及迄今为止所观察到的各种免疫功能去解决复杂问题,已经逐步发展成为一个新的研究领域,称之为人工免疫系统(AIS)。基于AIS的算法自从被发明以来已经成功应用到诸多领域,包括计算机安全,聚类与分类,优化问题以及机器人技术等。然而,尽管AIS在某些应用中取得了成功,但是将它们用于解决一些非常困难的真实世界问题或者工业领域的实际问题,成功的案例并不多见。这就需要我们进一步深入研究人体免疫系统,努力理解并充分利用人体免疫系统的特点,以找出它与现有其它方法的不同之处,提升它作为一种问题求解新途径的重要性,最终促进人体免疫系统应用的增长。人体免疫系统通过消灭被称为病原体的致病个体来保证机体的健康。它具有层结构的形式,由不同级别的多层防御所构成。尽管皮肤以及一些像化学和生物因素之类的生理条件(包括汗水、溶酶体里面的脂肪酸等)起到了阻止病原体进入人体的作用,并且它们也被当作是多层结构中的一部分,但是人体免疫系统通常还是被看作仅由两个子系统组成,一个是由固有免疫子系统(也称为先天免疫系统或天然免疫系统),另一个是适应性免疫子系统(也称为后天免疫系统)。固有免疫子系统主要用作为第一道防线,提供对病原体快速、无特异性的响应。而适应性免疫子系统则可以对具体的病原体进行准确识别和记忆。以前,对于AIS的研究似乎主要集中在适应性免疫子系统上。直到2005年左右,当AIS的研究陷入僵局时,研究人员才感到必须寻找新的概念和新的途径。如同免疫学研究本身一样,最近的工作已经转去了解固有免疫子系统在HIS功能中的作用。在免疫学研究中已经发表了大量的论文,它们揭示了许多有关固有免疫子系统和适应性免疫子系统相互作用的新机制。研究人员认为,固有免疫子系统的作用是,在感染的初期,通过对病原体的非特异性识别,机体对病原体进行防御,同时诱导出适应性免疫应答,并确定适应性应答的类型。这就说明了固有免疫系统是适应性免疫系统的主要控制者。这一新的理解表明,如果想要得到理想的HIS特性,那么在设计基于AIS的系统时,就必须将固有免疫系统的概念融入到系统的整体设计中。AIS之前的研究之所以陷入僵局,其原因就是因为在研究中只考虑了适应性免疫系统的思想,而忽略了固有免疫系统的作用。因此,本文的想法是,通过将固有免疫系统的概念结合到人工免疫系统的设计中,就可以在人工免疫系统中实现人体生物免疫系统所具有的大多数功能,从而增强所设计的人工免疫系统的性能。这种思想也是进一步基于这样的观点,即,人工免疫系统是由固有免疫系统和适应性免疫系统这两个相互作用的子系统所构成的,并且固有免疫系统在很大程度上控制着适应性免疫系统。本文的主要工作是考察固有免疫系统的概念,并研究如何将这些概念运用到人工免疫系统的设计中。同时,也深入研究人体生物免疫系统中与检测和应答入侵病原体相关的几个重要特征,并考察和评估运用这些特征建立一种新的人工免疫系统的可能性和优势。具体而言,本文所提出的架构也即本文的重点是,将以下人体生物免疫系统的概念结合在一起：(1)固有层细胞产生的“危险信号”的表征和运用；(2)固有层细胞产生的模式识别受体(PRR’s)和病原体相关分子模式(PAMPs)的性质及相互作用方式；(3)固有免疫系统中抗原的树状突细胞(DCs)加工与提呈；(4)适应层细胞的初次和二次应答机制。这些都被认为有助于检测并清除人体生物免疫系统中入侵的病原体。本文的工作概括如下。详细回顾了与上述人体生物免疫系统概念相关的生物学知识,并对这些概念进行了简单的抽象化。然后,利用这些经过抽象化的概念设计了固有免疫和适应性免疫集成系统(IntegratedInnateandAdaptiveImmuneSystem-INIAIS)的构架。该构架将上述概念合并到一个单一的构架中,其中每一个组件可提供与人体生物免疫系统中对应组件相似的功能。INIAIS系统的具体结构如下：它具有两个相互作用的层,个是固有层,另一个是适应层。固有层提供系统与环境之间的交互接口,它包含三个关键过程,即危险信号的检测与应答机制,病原体相关分子模式(PAMP)的检测与应答机制以及树状突细胞(DC)抗原加工与提呈。适应层只包含两个过程,即初次应答和二次应答机。假设有这样的一个二类识别问题：自我与非我(自己与非己)或正常与异常,这里系统的任务是要从一类中辨别出另一类是否出现。识别过程涉及以下诸多方面。危险信号可给系统提供一个指示,表明可能有异常情况出现。本质上,一个异类物质(非自我或非己类物质)的出现必然会触发一些危险信号,而一个正常类物质(自我类或己类物质)的出现可能会也可能不会触发任何危险信号。这背后的逻辑是双重的,通过限制只对含有危险信号的非己类物质的出现进行应答,从而可以使系统对动态变化中的不具有任何危险信号的己类物质的出现无需应答。危险信号这一概念也可用来过滤某些数据,减少传递到系统后续各层做进一步处理的数据量,从而改善系统的可扩展性,并促进系统中各模块的“轻量化”。利用“对不断变化的自我具备完全的适应性”这一概念,有助于克服以前采用自我-非我(自己-非己)辨识原理的人工免疫系统的局限性。自我-非我辨识原理,是假设已知一组己类物质,通过训练检测器去检测先前没有遇到过的任何非己类物质。对于一个很少发生改变的环境,自我-非我辨识原理的应用效果非常好；但是对于个不断变化的动态环境,就非常有必要保持对己类集的不断更新,以减少误警报。病原体相关分子模式(PAMP)信号的检测与应答机制,给固有免疫和适应性免疫集成系统INIAIS在固有层提供了一种探测与应答能力。人体生物免疫系统的固有层细胞利用模式识别受体(PRRs)对进化保守的病原体相关分子模式的特征进行识别,已经识别出很多类病原体。这就给予了固有层细胞非常好的能力,使之可以检测到那些意图进入机体的细菌或病毒并且在它们有机会繁殖与扩散之前就将它们消灭掉,从而在病原体入侵之初就能为机体提供有效保护。类似地,在设计固有免疫和适应性免疫集成系统INIAIS时,也赋予了它同样的能力,即它可以对具有病原体相关分子模式的异类物质进行检测并立即启动应答机制。与人体生物免疫系统相似,病原体相关分子模式被定义为仅被异常事件所拥有的信号。因此,病原体相关分子模式为输入数据提供了一个次级的过滤点,进一步改进了INIAIS系统的可扩展性、鲁棒性、自组织性和轻量性。以前的AIS系统仅仅只采用单层结构对异类物质进行检测,而我们设计的固有免疫和适应性免疫集成系统INIAIS则是采用双层结构进行检测,该结构由两个性质截然不同的层组成,因而INIAIS系统具有更好的鲁棒性和容错能力。如果一个异常事件触发了某种应答,那么病原体相关分子模式就会给INIAIS系统提供一个机制去自动完成这种应答,而无需干扰正常事件的发生。这一点解释了系统的自组织能力。在固有层这个层级上减少数据量,确保了只有输入数据的一个子集被传送到适应层作进一步处理,在一定程度上使系统实现了“轻量”的特性。近来,在建立检测器辅助识别过程时,大多数人工免疫系统都包含了输入数据的所有属性。对于具有非常多属性的输入数据,这将产生高度复杂的搜索空间。树状突细胞抗原加工,给固有免疫和适应性免疫集成系统INIAIS提供了一种特征提取机制。对一个给定问题来说,通过合理减少输入数据的属性,可以减少特征,从而有助于减小搜索空间和计算复杂度,使得对某些给定异常事件的检测更加容易。这样处理其背后的逻辑是,仅仅使用输入数据属性的一个子集,就可以很容易地检测出不同种类的异常事件。这一点特别适合检测这样的异常事件：它们可以归类到结构和行为都显著不同的更小的子类。在这种情况下,树状突细胞抗原加工有助于建立不同的特征向量,这些向量可以被适应层上不同检测器组使用,以逐个识别各种异常事件是否发生。所以,适应层上不同的检测器组各自可以专门检测特定种类的异常事件是否发生。与采用全部属性而仅建立一组检测器的设计方案相比,采用上述方案设计的INIAIS系统拥有更强的容错能力,即使一组检测器出现故障也不会导致整个系统失效。树状突细胞的提呈仅要求所需的那组检测器参与检测过程,具体是哪组取决于所出现的危险信号的种类。在检测过程中,仅使用全部检测器中的一个子集,意味着在适应层所做的任何处理所包含的操作会更少,因而可显著提高系统的工作效率。于是,适应层的操作只需要处理输入数据的一个子集,即经过固有层过滤之后的剩余数据,可根据危险信号的类型选择相应的检测器组进行检测。初次应答机制用于适应层检测器学习处理以前未曾出现过的异常事件,而二次应答机制则用于记忆以前遇到过的异常事件。正如前面所指出的,与以前那些要求把全部的检测器都用于检测的系统不同,INIAIS系统使用经过训练的不同检测器组去检测不同种类的异常事件,这就大大减少了检测过程需要执行的操作,从而提高了检测效率。它也确保了适应层这一级的检测器具有多样性,即存在有多组不同种类的检测器,各自负责检测不同种类的异常入侵行为。为了评估和验证INIAIS系统之构架的有效性,我们可以采用一个现实世界中的问题作为例子,当然,要求该问题是适合于运用人体免疫系统的概念和原理来解决的。人体免疫系统可以被看作是一种非常有效和强大的信息处理系统,它工作在动态和无法预知的环境中,必须对环境中所产生的变化做出迅速及时的反应。这一特点也指明了免疫系统模型潜在的应用领域,比如说,对于一些动态环境中的问题,要求找出它们的鲁棒且足够好的解,使系统能够持续且令人满意地正常运行。在现实世界中,很多领域中的问题都符合这一特征。具体到本文,我们选择了网络入侵检测作为研究主题。作为计算机安全的一个领域,入侵检测的目标是监控一个信息系统的活动以防止恶意攻击行为的发生,这些恶意攻击意图侵犯系统的安全策略,对服务及数据的保密性、完整性和可得性造成重大影响。显然,入侵检测所面临的问题,非常类似于免疫系统在一个相对较短的时段内去识别和消灭病原体的情形。一个有效的、基于网络的入侵检测系统(IDS)必须拥有多个检测点,它们相互充分配合,以抵御恶意攻击对IDS的入侵以及系统出现的任何故障。IDS应该是可配置的,即它能够很容易地对自身进行配置,以满足各台宿主机和各个网络组件的本地需求。它也应该很方便容易地被新的宿主机或者为新的宿主机扩展IDS的监控范围,且与操作系统无关。它也要能实现可靠的扩展,以便正确地从分布式宿主机中搜集和分析海量的审计数据。IDS要具有动态调整功能,以实现对动态变化的网络入侵行为进行有效监控。同时,IDS应该能够同时监控各种宿主机上发生的多起事件,收集足够的证据去辨别多起事件之间的相互关系。此外,IDS的结构应该简洁,以降低监控各种主机系统和网络的开销。以固有免疫和适应性免疫集成系统(INtegratedInnateandAdaptiveImmuneSystem-INIAIS)构架为基础,我们设计并开发了一个称之为”INIAIS-NIDS”的原型系统,即“基于固有免疫和适应性免疫集成的网络入侵检测系统”,将其应用于网络入侵检测之中。我们对该原型系统的性能进行了评估,也对源自人体免疫系统并应用到INIAIS系统的每一个概念的重要性进行了分析。具体而言,我们构想出了以下几个假设,并对它们进行了实验验证。假设一：“是否可以建立一组危险信号,它们可以对所有可能的攻击行为向网络入侵系统发出警报”。换句话说,将危险信号应用到INIAIS系统中是否可行呢?我们将对危险信号在INIAIS系统中的应用效果做出评估。至于如何确定是什么引发了危险信号,我们是基于这样一个指导原则：“危险信号的出现,可能表明、也可能并不表明发生了一个异常事件(一次攻击),但是发生了攻击行为的可能性比正常情况下的要高”。然后,我们使用粒计算的概念建立了各类不同的危险信号。从本质上来说,与正常情况相比具有更高攻击概率的任何粒子(代表入侵行为)都被认定为是一个候选的危险信号。我们的实验结果提供的证据支持了该假设的正确性。利用危险信号,在初期就可以过滤掉根本无需作进一步检测的大量正常数据流。在初期采取这样的处理方法,不仅有助于减少系统的误警率,而且有助于系统对高流量数据输入环境的可扩展性。在实际系统的设置中,我们希望仅有很小部分的数据或许具有危险信号,因为这样的话,大部分正常的输入数据都会在前期就被网络入侵检测系统NIDS过滤掉,由此可以避免因NIDS系统的使用而产生数据流阻塞的问题。假设二,它与病原体相关分子模式(PAMP)信号有关,可以陈述为：“是否可以建立一组PAMP信号,它们仅用于对攻击行为进行识别,或者说,将PAMP信号用到INIAIS系统中可行吗?”。我们采用危险信号和粒计算概念建立PAMP信号。本质上,对应于危险信号的PAMP信号被表达在更好的粒度级上,即将它们仅限定到攻击事件。或者说,PAMP信号是与危险信号特定关联的。我们的实验结果证实了该假设的有效性。此外,使用PAMP,提供了一种更紧凑和更有效的方式去检测并在初期就可以消除大多数(90%以上)攻击系统的行为。一般来说,PAMP信号可以类比到基于误用的入侵检测系统中所使用的那些非常独特的规则或签名,它们提供的模式更加适应于检测组攻击(或群攻击)而不是单一攻击。因此,有理由认为它们可以更有效地在初期就消灭掉系统中绝大多数的攻击行为。PAMP信号不仅具有密实的特征而且可以很好地检测与其密切相关的攻击,因而赋予了系统一定程度的入侵检测能力。举一个PAMP信号的应用实例,将由训练数据产生的PAMP信号应用到以前未曾见过的测试数据时,检测效果非常好,成功检测到90%以上的攻击行为。PAMP信号也给INIAIS-NIDS系统提供了对检测到的攻击进行自动应答的能力,并确保这种应答行为不会产生任何意外的影响。因此,PAMP信号更加有助于在检测过程的初期就对数据进行过滤,从而降低了INIAIS-NIDS系统在对网络进行监控的同时产生数据流阻塞的可能性。INIAIS-NIDS系统可以很好地扩展以应对巨量的数据流。假设三,它与树状突细胞(DC)抗原加工与提呈概念有关,它不仅涉及到这一概念的可行性,而且也涉及到设计网络入侵检测系统时如何利用这一概念。该假设可以陈述为：“树状突细胞抗原加工与提呈提供了一种机制,可以在基于人工免疫系统的网络入侵检测系统(AIS-basedNIDS)的适应层提高检测过程的有效性和效率”。这是与现有的基于AIS的检测方法进行对比。在基于AIS的检测方法中,不仅使用的检测器要用到输入数据(抗原)的所有属性,而且所有的检测器在检测过程中都会被使用到。而在我们的方法中,每一种危险信号都对应到一种给定的攻击种类,所以每一种入侵行为都由其对应的危险信号进行检测。然后,在全体危险信号中,用于检测某种攻击行为的一个子集会被用来识别这种攻击行为的相关属性,而辨识出的属性可以作为建立与该类攻击相对应的特征向量(抗原肽)的基础。最终,如果每一种检测器都只使用输入数据中与其对应的特征子集,那么系统中各种不同的检测器都将只依据属性的最大关联度去检测各自对应的攻击行为。另一方面,被一种给定危险信号报警的入侵行为只会触发适应层上与其关联的那一组检测器,启动检测过程,从而可以避免动用所有的检测器对输入数据进行检测所带来的巨大数据操作工作。我们对所提出的这种方法进行了实验,并将实验结果与目前使用的其他两种不同的入侵检测机制进行了比对,一种称为“超立方体”检测机制,另一种称为“部分匹配”检测机制,检测过程中它们都使用全属性检测器,即检测器需要使用输入数据的全部属性。比对结果表面,利用我们的方法所建立的检测器对入侵行为具有更好的鉴别能力,与现有的方法相比检测过程能更全面地覆盖到所有的入侵行为,漏检率较低。此外,单独使用时,系统中的各组检测器也能相当好地覆盖所有的入侵行为,这就提高了我们设计的INIAIS-NIDS系统的鲁棒性。与现有方法相比,我们提出的方法也有助于降低搜索空间的复杂度,因为系统中的每一组检测器都只关注输入数据中一小部分的特征向量。只使用适应层上一个检测器子集意味着在此阶段所做的任何处理都将只包含很少的操作,检测期间只需要用到很少的存储空间,因此显著提高了系统的工作效率。实验结果表明,这一假设如同所陈述的那样是正确的。在适应层所建立的检测器具有高度的专属性,有助于尽可能减少误警率。然而,当把这些专属性极强的检测器用于检测以前未曾见过的入侵类型时,其性能就非常不好,这一点与人体适应性免疫系统中的细胞很相似。遇到这种情况,就需要将检测过程与初次应答机制相结合,以帮助检测器去适应或者应对之前不曾知道的攻击类型。对于一种给定的抗原肽(即入侵攻击),通过实验找到与其亲和力最大(具有最高匹配值)的检测器与之适应、与之匹配。“适应”过程要使用一个变异算子。一旦匹配成功,匹配检测器就会经历一次克隆操作,生成该检测器的多个克隆体(副本)。其中的一个克隆体会被提升为记忆检测器,而其余的克隆体将会进一步变异。我们的实验结果表明,一旦根据训练数据创建了一个检测器集,就可以生成这些检测器的多个克隆体,并对克隆体执行变异操作,提高所创建的检测器对异常行为的检测能力。这一点与人体免疫系统中B细胞的超变异很相似。如果借用搜索空间的术语,这里的超变异很像对一个给定检测器的邻近区域进行探索,可以到达这样的效果：尽管在适应层建立的检测器是高度特异的,具有很强的专属性或针对性,但它们仍然有能力对已知攻击的一定程度的变种进行有效检测。值得指出的是,随机作用于克隆体的变异操作并非特别有效(具体到检测器,变异是指对其特征向量执行变异操作)。我们的实验结果提供的一些证据表明,作为训练阶段的最后一步,应该对每一组能够覆盖足够多已知攻击的检测器进行克隆和变异操作,使它们对未知攻击有更好的检测能力。但是,这也暗示我们,要想创建有效的检测器,就需要引导好变异过程,同时也需要好的方法去指导识别异常入侵,特别是当整个过程持续进行而没有任何人为干预时。记忆检测器用来提供二次应答机制,这一点与人体免疫系统中的细胞非常相似,当相同的抗原(外来细菌、病毒)再次出现时,这些细胞会很迅速地产生应答。在入侵检测时,记忆检测器可以为INIAIS-NIDS系统在适应层建立和提供对入侵攻击的第一道防御。假设四,它被用来评估一种新的人工免疫系统的性能,该系统的特点是将固有层机制结合到仅含有适应层机制的人工免疫系统中。该假设可陈述为：“总的来说,基于固有免疫和适应性免疫集成的网络入侵检测系统(INIAIS-NIDS)的性能要比仅有适应层机制而没有结合固有层机制的人工免疫系统好”。通过实验,我们将INIAIS-NIDS原型系统的性能与采用阴性选择算法(NegativeSelectionAlgorithmNSA)的检测系统进行了比较。NSA算法仍然是目前应用最为广泛的、基于AIS的一种入侵检测机制。正因为如此,NSA算法经常被作为参考比较对象,用来检验大多数旨在提高基于AIS的解决方案的性能。我们进行了多次实验,并采用不同的性能指标对系统的性能进行了评估。从实验结果可以看出,正如所陈述的那样,假设四是正确的。我们也要注意到单层(单级)检测方法存在的一些问题,比如,想在检测器的泛化与专属之间做出严格区分比较困难；在一个高度动态变化的环境中,很难消除所有对自体抗原起反应的检测器,这意味着单层检测方法总是会有比较高的误警率；当数据量很大且维数很高时,如果想要达到很好的检测性能,那么检测器的数目就会呈指数增加。以上这些都是单层检测方法难以解决好的问题.。但我们设计的INIAIS-NIDS系统可以为这些问题提供一些解决方案,比如,通过两层检测结构,可将检测器明确区分为泛化检测器和专属检测器两大类；使用危险信号去激活检测过程,不再需要将自我-非我识别作为检测过程的中心概念,因而允许系统隐式地适应正常的动态环境；早期在系统中使用危险信号和泛化的病原体相关分子模式信号可以显著减少事件的数量,因此在下一步的处理中就只涉及到一小部分的原始数据,并且树状突细胞抗原加工有助于减少高维度,大大降低目标搜索空间的复杂度。总的来说,虽然同属基于人工免疫系统原理的网络入侵检测系统,但我们设计的基于固有免疫和适应性免疫集成的网络入侵检测系统INIAIS-NIDS,与文献中介绍的其它入侵检测系统相比,在结构和功能上都有很大的改变。INIAIS-NIDS系统可以进行实时监测,在该系统中人体免疫系统的大多数特征都得以实现,这些特征一直被认为是有利于设计和建立新型入侵检测系统的。对实际的网络入侵检测系统中一些突出的特征进行再评估,可以发现以下事实：INIAIS-NIDS系统在其三个不同的组件中都包含有“传感器”,而每一种传感器都有其独特的功能,这就使得每个组件在INIAIS-NIDS系统的整体功能中都有其定义好的作用。在每个组件中,确实发生了对输入数据的过滤,因而减少了后续组件的数据处理量。这也使得INIAIS-NIDS系统具有“轻量”的特性。]MAIS-NIDS系统的固有层和适应层,两者都被设计成具有检测并应答某些非己抗原的功能,因此该系统具有多层检测与应答能力。如果仅使用固有层或仅使用适应层,尽管能力有限,但INIAIS-NIDS系统仍然可以工作。与大多数基于AIS原理的系统只在适应层进行检测相比,真正具有多层结构和多个处理组件的INIAIS-NIDS系统具有更好的鲁棒性。将危险信号的概念应用于固有层的检测机制中,要求异常事件的发生必须提供某种或某些危险信号,以便触发检测系统。一个事件,个特征值,或者它们的组合,都可以被看作是一个危险信号,它很可能代表一次入侵行为。如果假定每种入侵行为都必须展现出某种模式,对于一个基于误用的入侵检测系统来说,这或将导致检测结果与真实情况发生很大偏离；而对于一个基于异常的入侵检测系统来说,从逻辑上而言,这一要求显然是必需的。这种解释允许将非己空间限定到由全体属性值所创建的空间中的一个子空间,这些属性值用来定义危险信号。通过进一步将这个有界区域限制到仅仅只包含非己实例的那些子集,就可以得到一个更小的子集。用来定义这个更小子集的每个属性值或者一组属性值,都可以作为病原体相关分子模式,我们可以确定这些模式只会出现在非己抗原中。这在危险信号与病原体相关分子模式之间建立了一种关系,基于这种关系可以建立一种更高效的入侵检测处理方法。这种关系也形成了一个基础,使得系统可以完全自动地对在这个更小子集中发现的、由病原体相关分子模式定义的抗原进行应答,从而使系统具有一定程度的自组织性。然后,用于表示难以识别抗原集合的最少数据量被传递到适应层作进一步处理,这大大改进了系统的可扩展性。不具有任何危险征兆的抗原总是被视为自我的一部分,不触发任何免疫反应。在这种情况下,自我的空间并不局限于正常抗原所在的那个子空间,后者一直是以前的人工免疫系统所具有的特点。我们设计的系统能更好地适应动态变化的环境,在此环境中自我抗原处于持续不断的变化之中,但并不一定导致误警率的增加。通过配置适应层细胞的不同子集专属到不同的攻击类型,保证了检测的多样性。与应用在同一领域现有的AIS系统相比,INIAIS-NIDS系统有着更好的性能。特别是,所建立的危险信号可以检测到所有的入侵事件,而病原体相关分子模式信号可以提供很好的早期检测和应答性能。与现有的AIS系统相比,抗原处理与表达组件在性能上也得到显著的改进。与初次应答机制结合在一起,有助于适应层的检测器检测出以前未曾见过的攻击行为,因此可减少攻击的漏检机率,提高系统的整体性能,这也为如何解决适应性问题提供了一个思考方向。综上所述,本文研究的总体目标是详细研究人体免疫系统HIS的本质特性,深入理解和利用这些特性,这样有助于我们找出人工免疫系统与现有的其他一些方法的差别,从而提高人工免疫系统作为一种问题求解机制的重要性和吸引力,最终增强人工免疫系统在众多领域中的适应性。INIAIS-NIDS系统在入侵检测问题中的成功,证明了本文所建立的这个系统的有效性。特别是,本文提供的证据证明了将固有免疫系统与适应性免疫系统相结合的机制,可以显著改进现有人工免疫系统的性能。最后,我们将本文的主要贡献概括如下：(1)提出了基于固有免疫和适应性免疫集成的网络入侵检测系统(INIAIS-NIDS)。与大多数目前使用的人工免疫系统不同,INIAIS-NIDS的设计兼顾了人体生物免疫系统HIS中的固有免疫系统和适应性免疫系统,这两个系统在INIAIS-NIDS中相互交流相互作用,使得入侵检测系统的总体目标可以实现。INIAIS-NIDS系统具有一个真正的分层架构,可以将任务分解到各层,并使各层之间在功能上实现互补。实验结果证明了分层架构是一种改进系统可扩展性和鲁棒性的有效方法。(2)提出将危险信号的概念引入到网络入侵检测中,使得所设计的INIAIS-NIDS系统可以隐式地适应变化的自我而不会错误地发出警报,这克服了现有人工免疫系统的一个主要缺点。此外,危险信号也可以给INIAIS-NIDS系统提供某种过滤机制,有助于减少往下传递做进一步处理的数据量,从而改进了系统的可扩展性。(3)提出将病原体相关分子模式(PAMPs)的概念引入到网络入侵检测中,可为给定的入侵检测问题提供一种紧凑和有效的方式去建立和提出泛化的模式。这些模式可被用来进一步消除传递给后续层进行处理的数据量,从而改进了系统的可扩展性。从入侵检测的角度来看,使用病原体相关分子模式,也证明了可为入侵检测系统提供某种自动应答机制,去响应所检测到的攻击行为。(4)提出将树状突细胞(DC)抗原加工与提呈的概念引入到网络入侵检测中,为所设计的INIAIS-NIDS系统提供了源自人工免疫系统的特征选择机制。特征选择能力是一个重要的概念,它有助于减小搜索空间和操作的复杂性,尤其是针对输入数据维度很大的情况。这一概念给固有层提供了控制适应层的方式,它可以为适应层确定出哪类应答应该被调用。这个概念也给系统提供了固有层与适应层之间的交互机制,允许固有层去指导适应层在后续过程中的操作行为,从而提高了INIAIS-NIDS系统的有效性和效率。(5)证明了这样一种思想：如果要建立一种鲁棒性更好的入侵检测系统,那么在适应层使用多组检测器就极为必要。这样做的好处是,一组检测器出现故障不至于导致整个检测系统失效。将检测器分成多组,对于专属化的目标也很必要,这样做可使每组检测器只专注于检测特定的一类入侵行为,因而可以减少检测的复杂性,同时也可以减少覆盖所有入侵检测所需的检测器数目。这种方式使得在适应层进行的处理更加高效。(6)阴性选择、克隆原理和危险理论是人工免疫系统的三种基本理论,但到目前为止这三种理论很少在同一个框架中一起实现。我们设计的INIAIS-NIDS系统提供了一种方式将所有这三种理论结合在一起,它们在系统内各自用于不同的任务,这有助于提高系统的整体性能。我们的研究提供了一个范例,阐述了如何将人工免疫系统的这三种理论结合在一起,以建立更有效和更高效的基于人工免疫系统的解决方案,而不是继续按现在的方式单独使用它们。以上所提出的这些方法均通过实验验证了它们的正确性和有效性。
【作者】RichardMainaRimiru；
【导师】谭冠政；
【作者基本信息】中南大学，计算机应用技术，2013，博士
【关键词】人工免疫系统构架；人工免疫系统；网络入侵检测；危险理论；树突状细胞；病原体相关分子模式；模式识别受体；固有免疫系统；适应性免疫系统；粒度计算；

【参考文献】
[1]邹鹏.刘子健实验水墨语言机制研究[D].山东大学,美术（专业学位）,2013,硕士.
[2]宋杰.生物信息数据挖掘中的若干方法及其应用研究[D].大连理工大学,2005.
[3]程荔春.叶酸壳聚糖川芎嗪纳米粒的制备及体外靶向性研究[D].大连医科大学,药理学,2012,硕士.
[4]徐志刚.深圳ZWL公司发展战略研究[D].西南交通大学,工商管理,2012,硕士.
[5]崔贞玉,魏立书.转炉炉体焊接残余应力盲孔法的测试[J].一重技术.2008(03)
[6]高巧巧.CBI（内容依托教学）理念下人教版《新高中英语》教材的内部评价[D].西安外国语大学,课程与教学论,2013,硕士.
[7]谢昌旭.战争债券与战争融资[D].复旦大学,经济史,2012,硕士.
[8]窦雅玲.低价煤热解多联产技术综合评价及决策支持[D].北京化工大学,化学工程与技术,2013,硕士.
[9]高璐.我国影子银行对商业银行的影响研究[D].山东大学,金融（专业学位）,2013,硕士.
[10]王冬晶.金刚乙胺类希夫碱的合成及生物活性研究[D].辽宁大学,药物化学,2012,硕士.
[11]黄洁玲.中职学校会计专业教学的个案研究[D].广东技术师范学院,职业技术教育学,2014,硕士.
[12]孙轶敏.基于大气CO_2捕集的湿法再生吸附剂实验研究[D].浙江大学,热能工程,2013,硕士.
[13]徐伟.掺氮二氧化钛光催化剂的制备及其中孔炭负载研究[D].华东理工大学,2013.
[14]王健.基于双目视觉成像的路面破损检测系统研究[D].重庆交通大学,计算机应用技术,2012,硕士.
[15]毛建伟.砷在铜电解液净化中的作用机理及价态转化[D].河南科技大学,有色金属冶金,2013,硕士.
[16]董佳.S市地税系统纳税服务的问题及对策研究[D].辽宁大学,财政学,2012,硕士.
[17]刘建华.中学生青春期性教育实施方案探寻[D].湖南师范大学,教育,2004,硕士.
[18]王腊梅.精神分裂症中西医探究史的比较分析[D].黑龙江中医药大学,中医医史文献,2013,硕士.
[19]王小莉.黄嘌呤聚吡咯分子印迹电化学微传感器的研制及性能研究[D].华侨大学,2013.
[20]彭丹,华长春.具有时变状态滞后的非线性2-D离散系统的稳定性与控制[J].控制与决策,2012,01:124-128.
[21]李军.循环肝癌细胞分子表型鉴定在指导索拉非尼个体化治疗中的应用潜能研究[D].苏州大学,肿瘤学,2013,硕士.
[22]周震.SaaS离线应用的研究与设计[D].北京邮电大学,计算机科学与技术,2013,硕士.
[23]周方,殷八斤.有限差分法全波VSP模型[J].石油地球物理勘探,1991,05:577-593+672.
[24]王淑鸿.电力营销决策支持系统的研究与建立[D].华北电力大学（北京）,2003.
[25]荣晓凤.J公司大件运输路径选择支持系统设计[D].长安大学,物流工程（专业学位）,2013,硕士.
[26]曹春梅.高中现代诗教学中的文学思维能力培养研究[D].山东师范大学,学科教学（专业学位）,2013,硕士.
[27]刘莹.寿光农业产业化发展研究[D].西北农林科技大学,农村与区域发展,2012,硕士.
[28]田晓.制造业上市公司企业规模对企业创新能力的作用机制[D].广西师范大学,企业管理,2013,硕士.
[29]李娟.变化环境下的小流域地表径流模拟预报及坝库功能转换研究[D].宁夏大学,水利水电工程,2014,博士.
[30]郭玉滨.一种改进的ID3算法[J].肇庆学院学报,2005,05:14-17.
[31]刘涛.云环境下的烟草互联应用与研究[D].浙江理工大学,计算机技术,2012,硕士.
[32]刘家燕.2011~2013年我院急诊ICU病原菌分布及耐药性分析[D].河北医科大学,急诊医学（专业学位）,2014,硕士.
[33]刘亚菲.高校学术管理中制度伦理建设问题研究[D].鲁东大学,教育学原理,2014,硕士.
[34]张超.基于FPGA的SPGD自适应光学控制平台研究[D].中国科学院研究生院(长春光学精密机械与物理研究所),机械电子工程,2013,硕士.
[35]周建财.CPUHY002对肝微粒体CYP450同工酶的体外抑制作用[D].蚌埠医学院,药理学,2013,硕士.
[36]杨剑英.高职学院青年专任教师职业生涯规划研究[D].华侨大学,企业管理,2012,硕士.
[37]张晓彤.棉花Actin结合蛋白基因（GhVLN1）的克隆与功能分析[D].南京农业大学,作物遗传育种,2012,硕士.
[38]朱培芳.PISA阅读测试及其对我国中学语文阅读教学的借鉴研究[D].华中师范大学,课程与教学论,2013,硕士.
[39]连志贤.石墨烯修饰玻碳电极用于急性早幼粒细胞白血病PML/RARα融合基因检测的实验研究[D].福建医科大学,2011.
[40]蒋冶.LDPC码解码兼容性研究及研究[D].复旦大学,电路与系统,2012,硕士.
[41]王春亮.基于UM-BUS系统的总线测试方案研究[D].首都师范大学,通信与信息系统,2014,硕士.
[42]刘玉亭.煤矿用高安全性聚氨酯注浆加固材料的制备及其性能研究[D].合肥工业大学,材料学,2013,硕士.
[43]张健,冯建华.数据预处理在保险理赔预测中的应用[J].计算机工程与设计,2005,09:2537-2539+2564.
[44]张泽锦.高速列车设备舱支架损伤分析[D].北京交通大学,2014.
[45]李志广.大质量恒星形成区的亚毫米波观测研究[D].中国科学院研究生院（云南天文台）,天体物理,2013,硕士.
[46]吕振江,王冬梅,李登武.基于层次-向量法分析的普通鹿蹄草品质与生态因子的相关性[J].植物生态学报,2012,09:992-1003.
[47]张立明.内蒙古乌海市区级政府机构改革研究[D].内蒙古师范大学,公共管理（专业学位）,2012,硕士.
[48]王冠,刘学军,张海燕,徐君,计建炳.1,4-丁二醇提取玉米芯木质素的研究[J].纤维素科学与技术,2014,01:66-69.
[49]李汶娟.云南双江拉祜族七十二套路打歌的发展研究[D].云南艺术学院,艺术人类学,2014,硕士.
[50]薛永平.辽宁省与日韩区域物流合作与竞争研究[D].大连工业大学,企业管理,2010,硕士.