基于危险模式的IDS异常检测模型摘要：针对当前入侵检测技术在检测新入侵的不足，分析了危险模式理论应用于异常检测的可行性，提出了一个新型的基于危险模式的自适应IDS异常检测系统模型以及相关算法。该系统有效地降低了误报率和漏报率，具有自适应、自学习、自组织和分布性特点。关键词：异常检测;危险模式理论;潜在危险;危险区：TP18；TP309文献标志码：A：1001－3695(2007)07－0143－030引言??众所周知，入侵检测技术分为两类：误用检测(MisuseDetection)和异常检测(AnomalyDetection)。误用检测的检测精度和效率高，但致命缺点是没有自适应性和自我学习能力，无法检测新类型的入侵。由于误用检测技术的致命缺点，人们又研究出一些能识别检测未知及新入侵的方法，通过检测算法来区别正常行为和异常行为，这就是异常检测。??作为防御新类型入侵的关键，异常检测仍是一种新兴的、待进一步发展的技术。当前异常检测技术存在以下不足：①基于正常―异常识别，所有不符合于正常模式的行为均被认为是入侵，如此必然耗费大量资源却得不到应有的检测率且容易引起误报。②一般为监督式，需要不包含任何攻击的正常数据来训练。如果训练数据不纯净，则容易引起漏报。而在实际操作中这样纯净的数据很难找到，因此无监督的异常检测技术是未来主要研究的方向[1]。??为了解决以上不足，许多新理论、新算法均不断被应用于异常检测中，如神经网络、数据挖掘、人工免疫等技术。尤其近年来基于人工免疫的检测方法以其自适应、自学习、自组织、并行处理和分布协调等方面的优越性成为研究热点。然而与此同时，众多研究者逐渐认识到由于传统免疫学SNS基于自我―非我识别的局限，同样存在误报、漏报和计算规模等问题，难以用于实际的大型网络[2]。??最近，随着生物免疫学的丰富和完善，一个新的免疫理论――危险模式理论(DangerTheory，DT)已经引起人们极大的兴趣，它在入侵检测中的应用研究已经展开[3]。文献[4，5]认为DT将引入入侵检测，不仅可以检测已知和未知的攻击，还可以降低误报率和解决阴性选择模型的规模问题。Nottingham大学的UweAickelin小组近年来一直致力于将DT应用于入侵检测中，目标是为DT建立一个计算模型，以定义、研究和发现危险信号，并根据该模型建立一些新算法，用于构造具有较低误报率的IDS[3]。国内郭晨等人[6]率先提出基于危险模式的免疫算法模型研究，进一步建立了简单的入侵检测系统模型[7]。??本文简单介绍了危险模式理论并分析其应用于异常检测的可行性，建立一个基于危险模式的IDS异常检测模型，区分有害入侵（网络恶意攻击）和无害入侵(错误操作引起的误入侵)，有效降低误报率、漏报率和计算规模，以提高IDS的检测精度和效率。同时结合免疫聚类算法ARIA，对快速发现新病毒和用户异常行为进行研究，以提高IDS的智能水平。??1预备知识??1．1危险模式[8，9]相关理论??DT最初由Matzinger提出，对移植、肿瘤、自身免疫反应等问题作出了较好的解释，为研究免疫学开辟了全新的视野。它与传统模式SNS的根本区别是免疫应答的触发信号不同。SNS认为免疫系统区分自我―非我，只对异己抗原产生的外源性信号产生免疫应答，因此只存在一种信号，即抗原提呈信号。??DT消除了自我―非我的界线，认为诱发免疫应答的关键是机体细胞受损后产生的危险信号而不是入侵的异己，因此免疫系统只区分危险信号并对其产生应答。DT存在三种信号：细胞受损或异常死亡导致零信号（危险信号）产生，并传递给抗原提呈细胞（APCs）识别，APCs只有被零信号活化后才会提供第二信号（协同刺激信号）。同时具备第一信号（抗原提呈信号）和第二信号使细胞活化或增殖；只有第一信号、缺乏第二信号导致自身健康组织耐受。其中，危险信号根据分为两大类，即危险的外界病原和有害的自身，这两类信号均能刺激APCs并引发免疫应答。??1．2免疫聚类算法ARIA[10]??免疫聚类算法不仅是简单的无监督聚类分析技术，又能提供更多样化的数据表示，这在分类不可见数据及其变化中非常有效[11]。基于距离和划分的免疫聚类算法具有算法简单、收敛快的特点，但在聚类边界模糊、交迭或密度变化大等情况下容易导致数据失真。2005年Bez...