基于免疫原理的入侵检测是近几年来入侵检测领域研究的热点,它的突出特点是利用生物体免疫系统的原理、规则与机制来实现对入侵行为的检测和反应。本课题围绕从中抽象提取的有关算法在入侵检测中的应用对相关问题进行了深入的研究。在总结前人成果的基础上,对系统的部分关键技术进行了探讨,然后设计了一个基于网络的入侵检测系统模型。主要包括以下内容:1研究了基于免疫原理的入侵检测系统现状,提出了关键技术上存在的问题与不足通过对免疫系统和入侵检测系统在功能、结构及检测能力上的类比分析,发现二者的相似性,建立了两者之间的概念映射关系,建立这种类比映射关系是应用免疫原理进行入侵检测研究的前提。对Forrest等人提出的LISYS模型及Kim和Bently等提出的一个两层入侵检测模型的部分关键技术进行了研究。LISYS模型初步模拟了生物免疫系统的部分原理,但也存在一些问题:一是产生成熟检测器的负选择算法存在一定的不足。主要表现在随机产生的检测器可能存在互相匹配的现象。二是存在检测“漏洞”的问题。Kim和Bently的模型中考虑了负选择、克隆选择和记忆机制等,但其通过克隆选择产生的记忆检测器集存在冗余问题。2对成熟检测器的生成算法——负选择算法进行了改进针对原算法可能产生相互匹配的检测器这一问题,在算法中增加了过滤功能:只有那些不与检测器集合的任何元素匹配的字符串,才能进入检测器集合,因此该算法产生的检测器互不匹配。并进行了理论证明与实验验证,结果表明,算法所产生的检测器的整体检测能力优于原算法,同时说明了在系统资源有限的情况下本文算法具有较高的实用价值。3研究了“漏洞”问题并提出了一个判断随机模式是否可检测的算法针对“漏洞”的存在原因,对“漏洞”进行了分类分析。提出了一个算法,算法采用了试探和回溯的搜索方法进行求解,对可检测的漏洞,算法产生一个成熟检测器。产生的成熟检测器是对检测器集的动态有益补充,从而能够减少漏报现象的发生。4借鉴亲和力变异机制对记忆检测器集实现了优化,并利用“最久未使用”的淘汰策略对其进行维护首先通过亲和力成熟过程产生记忆检测器集,然后针对集合中的冗余问题,利用检测到的异常模式对记忆检测器进行筛选,使得集合中每一个检测器都是必须的和高效的,记忆检测器“记住”了已经匹配到的异常特征,从而能够快速识别已经出现过的入侵行为。对于那些失去高检测能力的检测器,按照最近一次匹配到异常的时间,淘汰一定的比例,因此集合可以容纳更多新产生的记忆检测器,扩大检测器的检测范围。5设计了一个基于网络的入侵检测系统模型