摘要：给出了一个入侵免疫系统的结构模型，对目前应用的免疫机制做了简要介绍，在此基础上，对迄今国内外所提出的几种典型的入侵免疫系统模型做了较详尽的描述和分析；提出了影响网络入侵免疫系统的评测因素以及入侵免疫系统今后进一步的研究方向。

    关键词：入侵免疫 免疫机制 niis 评测因素

    随着攻击者知识的积累以及攻击手法的日趋复杂和隐蔽，被动的安全策略已经无法满足网络安全的需求。在这种情况下，人们开始进一步采用入侵检测等主动防御技术，在网络中布署入侵检测系统ids（intrusion detection system）作为第二道防线。入侵检测，顾名思义是对入侵行为的发现，它通过在计算机网络或计算机系统中的若干关键点收集信息并对其进行分析，从中发现网络或系统中是否有违反安全策略的行为和被攻击的迹象。但由于传统的入侵检测系统大多采用基于规则的检测方法，最终用户需要经常更新规则，在入侵规则的获取、更新方面存在瓶颈，缺乏有效性、自适应性和可扩展性，不易检测入侵变体。为此，近几年人们把入侵检测技术与生物免疫系统相结合，通过对自然免疫系统的模拟研究，力图使计算机网络系统获得更多理想的安全特性，这就导致了一种新型、智能化的入侵检测系统——网络入侵免疫系统（network intrusion immune system。简称niis）的诞生，并成为当今的研究热点之一。

    本文对当前的入侵免疫系统中应用的免疫机制做了简要介绍，并对国内外一些关于入侵免疫系统模型研究的新进展做了比较分析。

    1 网络入侵免疫系统niis的结构模型

    免疫系统是一个复杂的多代理系统。将免疫系统应用到入侵检测当中，本质上是设计和实现一个分布式智能多代理系统。免疫的基本原理是分辨本体（正常）和异体（异常）。在入侵检测领域，本体是被监控网络的正常行为，异体是网络的异常行为。niis主要由两部分组成，抗体培育中心和免疫代理，见图1。

    2 入侵免疫系统中应用的免疫机制

    目前入侵免疫模型中应用的主要有以下一些免疫机制：

    （1）以氨基酸短序列为基础的免疫识别机制

    不同生物的细胞都会表达（在细胞膜外表面上）或分泌一些具有独特结构的蛋白分子，可以作为不同生物的识别标志。这种蛋白分子上的独特结构是由相邻的氨基酸排成的序列，称为决定簇。淋巴细胞受体能与病原体的抗原决定簇（配体）互补结合，从而实现对病原体的免疫识别。这些机制为进行模式识别提供了实现方法上的启示。

    （2）以受体编码基因库为基础的免疫多样性机制

    生物体在进化过程中逐渐形成了一组编码淋巴细胞受体的基因库。基因库对几乎任何一种病原体，都能生成可以对基进行特性异性识别的受体，这种机制称为免疫多样性。

    （3）以阴性选择为基础的免疫耐受机制和分布式检测机制

    淋巴细胞受体的特性是只结合并识别病原体抗原，而不对自身抗原产生免疫反应（即自身耐受）。免疫学中通过阴性选择来解释成熟淋巴细胞的生成过程：淋巴细胞在表达出识别受体后，要经过一个阴性选择过程，在这个过程中，凡表达自身抗原识别受体的淋巴细胞会过程性死亡；相应地，发育成熟的淋巴细胞就只能识别非自身抗原了。免疫系统在对非自身抗原的免疫反应过程中，是各种免疫细胞通过高度局部化的相互作用而实现，这一机制在入侵检测系统模型中得到了极大的重视和应用。

    （4）以记忆b细胞为基础的免疫记忆机制

    免疫系统在后天可以被具有某种决定簇的抗原所诱导而产生免疫应答，当再次遇到这种抗原的时候，免疫应答会更敏感、更迅速和更强烈。这种后天通过抗原的诱导而获得的适应性和特异性的免疫反应能力，被称为免疫记忆。免疫记忆的特异性不是一对一的，它不仅使系统对以前遇见过的抗原仍然具有检测能力（更敏感、更迅速和更强烈），还能对相似结构的其他抗原产生免疫应答。

    3 网络入侵免疫系统的研究进展

    3．1 国外的研究进展

    在国外提出基于免疫机制入侵检测模型的代表主要是：新墨西哥大学的forrest、hofmeyr小组；university of memphis的dasgupta小组和伦敦大学的kim、bentley小组。forrest小组致力于建立一个计算机免疫系统，提出用反向选