新思维：基于免疫学的IDS

生物体的免疫系统负责抵御外部病原的入侵。作为一个信息处理系统，免疫系统具有以下特征：

1. Self/Nonself识别：识别系统中正常/非正常模式；

2. 噪声容忍（非完美匹配）：能够在噪声环境中进行识别；

3. 分布式结构：使系统具有很好的鲁棒性；

4. 增强学习：免疫系统具有学习能力；

5. 免疫记忆能力——有助于免疫系统加速二次免疫应答。

计算机学者研究了免疫系统的这些有用特性，应用其解决一系列的实际问题，包括病毒检测、故障诊断、抵赖防止和网络安全。在所有的应用领域中，入侵检测是其中最活跃的研究领域。

生物体免疫系统最基本的功能是Self/Nonself识别能力。机体连续不断地产生称作抗体的检测器细胞，并且将其分布到整个机体中。这些分布式的抗原监视所有的活性细胞，试图检测出入侵机体的Nonself细胞，也就是抗原。

然而，新生成的抗体不仅能检测出入侵抗原，而且有可能绑定自身的Self细胞，发生自免疫反应。为了避免这种灾难性后果，机体实现了负选择过程。在抗体生成时，机体消除那些绑定Self细胞的不成熟抗体。对于所有新生成的抗体，只有那些不绑定任何Self细胞的抗体才能够成为有效的检测器细胞，分布到机体各部分，行使检测功能。

将免疫学应用于入侵检测需要三个步骤：定义Self、生成检测器和监视入侵。在第一个阶段，定义系统正常模式为Self。在第二阶段，根据前面生成的Self模式生成一定数目的随机模式（抗原），如果随机生成的模式匹配了任何Self模式，则该随机模式将不能成为检测器。在监视阶段，如果检测器匹配任何新出现的模式，则被匹配的模式反应了系统可能正在被入侵。此时，系统可以采取自动反应措施，也可以报警。

如果借鉴免疫系统中更复杂的机制，就可以在检测器生成阶段和入侵监视阶段使检测器进化，提高检测器的生成效率以及检测效率，这就需要采用遗传算法。