分析了目前蠕蟲病毒檢測中存在的問題，根據(jù)蠕蟲病毒行為特性并結(jié)合人工免疫理
論提出了雙層檢測粒度的方案，進(jìn)一步提高入侵檢測系統(tǒng)的效率與對(duì)未知蠕蟲的識(shí)別能力。最后給出了實(shí)驗(yàn)設(shè)計(jì)方案。
在信息安全方面，蠕蟲病毒是一個(gè)特別注意的病毒種類，它從出現(xiàn)，到現(xiàn)在發(fā)展上萬種
嚴(yán)重影響了信息安全。從1988 年第一個(gè)蠕蟲病毒Morris 出現(xiàn)后蠕蟲病毒的蔓延日益嚴(yán)重，對(duì)網(wǎng)絡(luò)信息造成巨大危害。蠕蟲病毒在進(jìn)化過程中與計(jì)算機(jī)黑客技術(shù)相結(jié)合，具有更強(qiáng)的危害性。比如2003 年早期出現(xiàn)的“怪物B”在感染主機(jī)后主動(dòng)終止反病毒軟件，其攻擊帶有很強(qiáng)的主動(dòng)性。蠕蟲病毒的變種造成的危害更大，比如Nimad，Slammer，沖擊波等均出現(xiàn)40-50 以上變種[1]。
目前反病毒軟件存在以下幾個(gè)問題：（1）靜態(tài)特征碼檢測的被動(dòng)性。病毒變種后病毒特征碼很容易失效，病毒特征庫一直滯后于病毒的變異，網(wǎng)絡(luò)又提高了蠕蟲傳播的速度。（2）病毒檢測工具的孤立性，蠕蟲病毒的變異是結(jié)合黑客攻擊技術(shù)與普通病毒技術(shù)，而入侵檢測系統(tǒng)與傳統(tǒng)的反病毒軟件沒有合理結(jié)合。蠕蟲采用黑客手段侵入主機(jī)后主動(dòng)的殺掉反病毒軟件，因此主機(jī)要面臨更大的危險(xiǎn)。入侵檢測系統(tǒng)對(duì)蠕蟲病毒檢測的粒度很大，也不能有效的防止蠕蟲病毒的變種。
借鑒于生物免疫原理的人工免疫理論 AIS（Artificial Immune System）十分適合引入到
蠕蟲病毒防御中[3]。首先，人工免疫的自適應(yīng)、自學(xué)習(xí)的特點(diǎn)；免疫識(shí)別自我（SELF）和非我（NOSELF），并消滅非我，保證機(jī)體完整性。人工免疫的抗體可以識(shí)別未知的抗原與已知病毒的變種，同時(shí)人工免疫中抗體維持一個(gè)動(dòng)態(tài)平衡，不斷有舊抗體死亡與新抗體生成。
而蠕蟲病毒也有一個(gè)爆發(fā)、擴(kuò)散、變異、消亡的生命周期；其次，人工免疫中抗體的多樣性。
人工免疫中存在多種T、B 免疫細(xì)胞類似于病毒檢測需要多種檢測器；最后人工免疫的分布性極其類似于對(duì)網(wǎng)絡(luò)蠕蟲病毒檢測的分布式環(huán)境。因此，人工免疫理論是解決蠕蟲病毒防御的有效途徑，從理論基礎(chǔ)上克服了目前病毒檢測中存在的問題。本文提出人工免疫在蠕蟲病毒防御中具體應(yīng)用，解決入侵檢測中對(duì)蠕蟲病毒檢測粒度的不足之處以及對(duì)蠕蟲病毒變種的檢測方法。