生物体的免疫系统负责抵御外部病原的入侵。作为一个信息处理系统,免疫系统具有以下特征:
1. Self/Nonself识别:识别系统中正常/非正常模式;
2. 噪声容忍(非完美匹配):能够在噪声环境中进行识别;
3. 分布式结构:使系统具有很好的鲁棒性;
4. 增强学习:免疫系统具有学习能力;
5. 免疫记忆能力――有助于免疫系统加速二次免疫应答。
计算机学者研究了免疫系统的这些有用特性,应用其解决一系列的实际问题,包括病毒检测、故障诊断、抵赖防止和网络安全。在所有的应用领域中,入侵检测是其中最活跃的研究领域。
生物体免疫系统最基本的功能是Self/Nonself识别能力。机体连续不断地产生称作抗体的检测器细胞,并且将其分布到整个机体中。这些分布式的抗原监视所有的活性细胞,试图检测出入侵机体的Nonself细胞,也就是抗原。
然而,新生成的抗体不仅能检测出入侵抗原,而且有可能绑定自身的Self细胞,发生自免疫反应。为了避免这种灾难性后果,机体实现了负选择过程。在抗体生成时,机体消除那些绑定Self细胞的不成熟抗体。对于所有新生成的抗体,只有那些不绑定任何Self细胞的抗体才能够成为有效的检测器细胞,分布到机体各部分,行使检测功能。
将免疫学应用于入侵检测需要三个步骤:定义Self、生成检测器和监视入侵。在第一个阶段,定义系统正常模式为Self。在第二阶段,根据前面生成的Self模式生成一定数目的随机模式(抗原),如果随机生成的模式匹配了任何Self模式,则该随机模式将不能成为检测器。在监视阶段,如果检测器匹配任何新出现的模式,则被匹配的模式反应了系统可能正在被入侵。此时,系统可以采取自动反应措施,也可以报警。
如果借鉴免疫系统中更复杂的机制,就可以在检测器生成阶段和入侵监视阶段使检测器进化,提高检测器的生成效率以及检测效率,这就需要采用遗传算法。
