第一部分 基于危险理论与免疫独特型网络的检测模型

第2章 三级模块式自适应检测系统模型

2.1 引言

本章的工作是利用免疫学中的原理设计检测系统的结构。生物免疫系统（immune system）可以保护身体不受病原体的侵害，而检测系统可以实时发现对象出现的异常，进而进行快速处理。两者都是使受保护对象在不断变化的环境中维持系统的稳定性，因而具有相似性。例如，入侵检测系统可以发现来自网络的攻击，进而保护网络中的计算机不受或少受攻击事件的损害，故障诊断系统可以在线检测和解决来自机械设备中的故障，从而保证大型关键设备安全可靠、高效运行。生物免疫系统和基于人工免疫系统的检测系统都是使受保护对象在不断变化的环境中维持系统的稳定性，因而具有相似性。而且，生物免疫系统具有分布式保护、多样性、自适应性、健壮性、可扩展性、记忆能力、容错能力、动态稳定性等良好特性，使其可以满足入侵、病毒、故障等检测系统的应用需求，因此借鉴生物免疫系统中的免疫原理设计检测系统模型已成为近年来的研究热点。

目前，在入侵检测、故障诊断等系统模型中使用较多的免疫原理是自我非我识别理论（self-nonself discrimination）。根据该理论设计的检测系统通常将一定数量非我的出现作为报警的依据。但是，由于在实际的应用环境中自我经常改变，所以很难找到合适的覆盖非我的检测子（detector）集合，因而误报较多，难以实际应用。

近年来，不少学者开始求助于免疫学中新出现的危险理论来设计检测方法。该理论对免疫响应的特性和工作原理的解释与自我非我识别理论不同，其认为最终导致免疫响应的因素不是非我物质，而是对系统造成的损害。按照该理论进行设计，可以将控制免疫响应的危险信号作为报警的依据，这可在一定程度上减少误报的发生。

本章将危险理论中的生物学概念和机理引入检测模型的研究中，具体来说，就是模拟危险模型中的3个基本信号以及抗原提呈细胞的概念和功能，并仿照危险模型的工作原理，提出与此相对应的三级模块式检测系统模型。其中，初级检测信号和最终检测信号模拟的是危险模型中的信号1和信号2，系统出现异常时检测到的危险信号模拟了信号0，第二级模块模拟的是抗原提呈细胞的功能，第三级模块模拟了免疫响应的作用。为了满足检测或识别的应用需求，又对信号1、免疫响应操作和危险信号的作用重新进行了设计。

本章的2.2节首先分析危险理论与自我非我识别理论的区别，以说明这里放弃自我非我模型而使用危险模型来设计检测系统的原因，然后对危险模型进行详细分析，给出设计检测系统模型的理论基础。2.3节提出并详细说明基于免疫的三级模块式自适应检测系统模型。2.4节给出系统模型设计过程中经历的探索过程和应用于网络入侵检测的初步测试结果。