基于人工免疫的蠕虫防御系统研究与设计

分析了目前蠕虫病毒检测中存在的问题，根据蠕虫病毒行为特性并结合人工免疫理
论提出了双层检测粒度的方案，进一步提高入侵检测系统的效率与对未知蠕虫的识别能力。最后给出了实验设计方案。
在信息安全方面，蠕虫病毒是一个特别注意的病毒种类，它从出现，到现在发展上万种
严重影响了信息安全。从1988 年第一个蠕虫病毒Morris 出现后蠕虫病毒的蔓延日益严重，对网络信息造成巨大危害。蠕虫病毒在进化过程中与计算机黑客技术相结合，具有更强的危害性。比如2003 年早期出现的“怪物B”在感染主机后主动终止反病毒软件，其攻击带有很强的主动性。蠕虫病毒的变种造成的危害更大，比如Nimad，Slammer，冲击波等均出现40-50 以上变种[1]。
目前反病毒软件存在以下几个问题：（1）静态特征码检测的被动性。病毒变种后病毒特征码很容易失效，病毒特征库一直滞后于病毒的变异，网络又提高了蠕虫传播的速度。（2）病毒检测工具的孤立性，蠕虫病毒的变异是结合黑客攻击技术与普通病毒技术，而入侵检测系统与传统的反病毒软件没有合理结合。蠕虫采用黑客手段侵入主机后主动的杀掉反病毒软件，因此主机要面临更大的危险。入侵检测系统对蠕虫病毒检测的粒度很大，也不能有效的防止蠕虫病毒的变种。
借鉴于生物免疫原理的人工免疫理论 AIS（Artificial Immune System）十分适合引入到
蠕虫病毒防御中[3]。首先，人工免疫的自适应、自学习的特点；免疫识别自我（SELF）和非我（NOSELF），并消灭非我，保证机体完整性。人工免疫的抗体可以识别未知的抗原与已知病毒的变种，同时人工免疫中抗体维持一个动态平衡，不断有旧抗体死亡与新抗体生成。
而蠕虫病毒也有一个爆发、扩散、变异、消亡的生命周期；其次，人工免疫中抗体的多样性。
人工免疫中存在多种T、B 免疫细胞类似于病毒检测需要多种检测器；最后人工免疫的分布性极其类似于对网络蠕虫病毒检测的分布式环境。因此，人工免疫理论是解决蠕虫病毒防御的有效途径，从理论基础上克服了目前病毒检测中存在的问题。本文提出人工免疫在蠕虫病毒防御中具体应用，解决入侵检测中对蠕虫病毒检测粒度的不足之处以及对蠕虫病毒变种的检测方法。