（管理科学与工程专业论文）基于人工免疫模型的入侵检测技术研究.pdf

国防科学技术大学研究生院学位论文 摘要 入侵检测系统是指能够自动识别计算机系统内的入侵行为的系统，它可以检测 i j 内部 用户或外部入侵者的非授权使用、误用和恶意攻击等异常行为模式，保护计算机系统的安 全。本文在前人研究成果的基础上，以人体免疫学的思想为指导，应用主体技术，设计了 一个人工免疫模型，并根据此模型构建了一个入侵检测系统基于人工免疫模型的入侵 检测系统。该系统模拟了人体免疫系统中的负筛选、克隆筛选和记忆细胞等基本工作原理 和机制，将入侵检测的任务分配给监视、决策、响应、通信、筛选和测试等六个功能主体， 通过这些主体之间的信息共享、相互协作来识别异常行为模式。它使用负筛选算法来生成 检测规则，并不断地进行检测规则优化以剔除冗余的检测规则，保留高效的检测规则。它 同时兼备了异常检测法和误用检测法的优点，克服了两者固有的缺陷，因此可以识别任何 已知或未知的本地主机上的异常行为模式和网络系统中的异常通信模式。 关键词：入侵检测，异常检测，误用检测，慷手主机的入侵检测系统j基于网络的 入侵检测系统，声人工免疫模型，负筛选算法 第1 页 国防科学技术大学研究生院学位论文 a b s t r a c t a ni n t r u s i o nd e t e c t i o ns y s t e m ( d s ) i sa na u t o m a t e d s y s t e mf o rt h ed e t e c t i o no fc o m p u t e r s y s t e mi n t r u s i o n s t h em a i ng o a lo fa n ni d si st od e t e c tu n a u t h o r i z e du s e ，m i s u s ea n da b u s eo f c o m p u t e rs y s t e m sb yb o t hs y s t e mi n s i d e r sa n de x t e r n a li n t r u d e r s a c c o r d i n gt o t h ew o r ko f f o r m e rr e s e a r c h e r s ，t h i sp a p e rd e s i g n sa na r t i f i c i a li u 3 i l o u n em o d e lf o ri n t r u s i o nd e t e c t i o n ，w h i c h i si n s p i r e db yah u m a ni m m u n e s y s t e ma n db a s e do na g e n tt e c h n i q u e t h ei n t r u s i o nd e t e c t i o n s y s t e mb a s e do na r t i f i c i a l i n l m u n em o d e ls i m u l a t e sn e g a t i v es e l e c t i o n ，d o n a ls e l e c t i o n ，a n d m e m o r yc e l l s i nt h eh u m a ni m m u n es y s t e ma n da s s i g n sd e t e c t i o nt os i xk i n d so ff u n c t i o n a l a g e n t s ，w h i c ha r em o n i t o r i n ga g e n t s ，d e c i s i o na g e n t s ，r e s p o n s ea g e n t s ，c o m m u n i c a t i o na g e n l s ， s e l e c t i o na g e n t sa n dt e s t i n ga g e n t s t h o u g hs h a r i n gi n f o r m a t i o na n di n t e r a c t i o nw i t he a c ho t h e r ， t h e s ea g e n t sc a ni d e n t i f ya n o m a l o u sb e h a v i o rm o d e t h ei n t r u s i o nd e t e c t i o ns y s t e me m p l o y s n e g a t i v es e l e c t i o na l g o r i t h mt o c r e a t e d e t e c t o r s ，o p t i m i z e st h e mc o n t i n u o u s l ya n dm a i n t a i n s e f f i c i e n tm e m o r yd e t e c t o r s s oi tt a k e st h ea d v a n t a g e so fa n o m m yd e t e c t i o na n dm i s u s ed e t e c t i o n o v e r c o m e st h en a t u r a ls h o r t c o m i n go ft h e ma n dc a n i d e n t i f yk n o w n i n t r u s i o na n dn o v e li n t r u s i o n i nc o m p u t e r s y s t e m s k e y w o r d s ： i n t r u s i o n d e t e c t i o n ，a r o m a f yd e t e c t i o l l i n is u s o d e t e c t i o n 。 h o s t b a s e di d s ，n e t w o r k b a s e di d s a r t i f i c i a ii m r n u n em o d e i n e g a t i v es e i e c t i o n a i g o ri t h m 第1 i 页 国防科学技术大学研究生院学位论文 第一章绪论 随着网络开放性、共享性以及互联程度的日益扩大，i n t e r n e t 得到飞速地发展，人类已 经进入了网络时代。计算机技术和网络技术已经深入到社会的各个领域，i n t e m e t 给人们的 日常生活带来了全新的感受，人类社会各种活动对信息网络的依赖程度越来越大。尤其是 近年来网络上各种新业务的兴起，如网络银行、电子钱包和电子商务的快速发展，使得网 络的重要性及其对社会的影响也越来越大，网络与人们的日常生活密不可分。然而，人们 在得益于信息革命所带来的新的巨大机遇的同时，也不得不面对信息安全问题的严峻考 验。正是由于网络越来越重要，黑客入侵和病毒蔓延对国家安全、企业安全和个人安全造 成的损失也日益严重。除此之外，“信息战”也已经成为国与国之间、商家与商家之间的 一种重要的攻击和防卫手段。因此，信息安全和网络安全的问题已经引起了各国、各部门、 各行各业以及每一个计算机用户的充分重视。 如何设计安全措施来防范未经授权的数据访问和非法的资源利用，是当前网络安拿领 域一个十分重要而迫切的问题。目前，要想完全避免安全事件的发生是不现实的，安全管 理人员所能做到的是尽量发觉和察觉入侵及入侵企图，以便采取有效措施来堵塞漏洞和修 复系统。为此目的而研制开发的系统称之为入侵检测系统( i n t r u s i o nd e t e c t i o ns y s t e m ， i d s ) 。入侵检测可以帮助系统防御网络攻击，扩展了系统管理员的安全管理能力( 包括 安全审计、监视、进攻识别和响应) ，提高了信息安全基础结构的完整性。它从计算机网 络系统中的若干关键点收集信息，并分析这些信息，看看网络中是否有违反安全策略的行 为和遭到袭击的迹象。 1 1 入侵检测的发展历史 2 0 世纪7 0 年代，随着计算机的速度、数目的增长以及体积的减小，对计算机安全的 需要显著增加。美国政府意识到传统的审计团体在跟踪计算机活动方面有经验，决定获得 他们的支持【1 】o 在1 9 7 7 年和1 9 7 8 年，国家标准局召开了由政府和商业e d p 组织代表参加 的会议，就当时的安全、审计和控制的状况提出了报告。与此同时，军用系统中计算机的 使用范围迅速扩大，美国国防部( d o d ) 出于对由此引发的安全问题的考虑，增强了计算 机审计的详细程度并以此作为一项安全机制。这个项目由j a m e sp a n d e r s o n 负责主持。 1 1 1a n d e r s o n 和精简审计问题 j a m e sp a n d e r s o n 被认为是第一个将自动审计踪迹数据审查支持安全目标的需求写入 文档的人。1 9 8 0 年4 月，j a m e sp a n d e r s o n 为美国空军做了一份题为( c o m p u t e rs e c u r i t y 第1 页 国防科学技术大学研究生院学位论文 t h r e a tm o n i t o r i n ga n ds u r v e i l l a n c e ) ) ( 计算机安全威胁监控与监视) 的技术报告，第一次详 细阐述了入侵检测的概念。报告中明确指出精简审计的目标在于从安全审计踪迹数据中消 除冗余和无关的记录。a n d e r s o n 建议改变计算机审计机制以便为研究跟踪问题的计算机安 全人员提供信息，他提出了一种对计算机系统风险和威胁的分类方法，并将威胁分为外部 入侵、内部和外部不法行为三种( 如图1 1 所示) ，还提出了利用审计跟踪数据监视入侵 活动的思想。因此这个报告被公认为是入侵检测技术研究的开创性文献。 未经授权使用数据 未经授权使用数据 程序资源的入侵者程序资源的入侵者 未经授权使用计情形a 未经授权使用数据 算机的入侵者外部入侵程序资源的入侵者 未经授权使用计情形b ：情形c ： 算机的入侵者 内部入侵不法行为 图1 1a n d e r s o n 的威胁矩阵 a n d e r s o n 的报告清楚地阐述了安全审计机制的下列目标： 应为安全人员提供足够多的信息，使他们能够定位问题的所在；但另外一方面， 提供的信息要不足以使他们自己能进行攻击。 应优化审计跟踪的内容，以检测发现的问题，而且必须能从不同的系统资源收集 信息。 对一个给定的资源( 此处，一个用户被视为一个资源) 审计分析机制应当能分辨 出那些看似正常的活动，以发现内部的计算机系统的不正当使用。 设计审计机制时，应将系统攻击者的策略考虑在内。 1 1 2 d e n n i n g ，n e u m a n n 和i d e s 从1 9 8 4 年到1 9 8 6 年，乔治敦大学的d o r o t h yd e n n i n g 和s r i c s l ( s r i 公司计算机科 学实验室) 的p e t e rn e u m a n n 研究并发展了一个实时入侵检测系统的模型，命名为入侵检 测专家系统( i n t r u s i o nd e t e c t i o ne x p e r ts y s t e m ，i d e s ) 。这项研究由美国海军空间和海军 战争系统司令部( s p a w a r s ) 资助，它提出了反常活动和计算机不正当使用之间的相关 性。在此项目中，异常行为被定义为统计意义上的“稀少和不寻常”( 指一些统计特征量 不在正常范围内) 。该假设是许多2 0 世纪8 0 年代的入侵检测研究和系统原型的基础。 d e n n i n g 于1 9 8 7 年发表的关于这个问题的论文，被认为是另一篇入侵检测的开创之作。 i d e s 模型基于特征轮廓，其中的数据结构采用统计度量和模型来描述系统主体相对丁 系统客体的行为。活动规则是指在给定的时间内发生的动作( 一个事件记录的产生或一个 第2 页 国防科学技术大学研究生院学位论文 时间间隔的结束) 。统计度量和模型能够使系统以固定的或动态的正常性度量来评价行为。 i d e s 模型由六个部分组成：主体、对象、审计记录、轮廓特征、异常记录、活动规则。它 独立于特定的系统平台、应用环境、系统弱点以及入侵类型，为构建入侵检测系统提供了 一个通用的框架。1 9 8 8 年，s r i c s l 的t e r e s al u n t 等人改进了d e n n i n g 的入侵检测模型， 并开发出了一个i d e s 。该系统包括一个异常检测器和一个专家系统，分别用于统计异常模 型的建立和基于规则的特征分析检测( 如图2 所示) 。 图1 2 i d e s 结构框架 1 1 32 0 世纪8 0 年代的入侵检测系统热 a n d e r s o n 的报告以及i d e s 的研究导致了随后几年内的一系列系统原型的研究。下面 介绍一些研究项目，并简单描述这些项目中的普遍的假设、方法、结构及各自的成果。 一、a u d i t a n a l y s i s 1 9 8 4 年至1 9 8 5 年，s y t e k 的一个研究小组开始了由s p a w a r s 资助的“自动审计分 析”项目。该项目的模型使用数据库工具分析在研究环境中运行的u n i x 系统中s h e l l 层收 集到的数据，具有区分系统正常和不正常的能力。 二、d i s c o v e r y d i s c o v e r y 是为检测t r w 公司的在线数据库中的安全问题而设计的专家系统。它是作 为t r w 内部的研发计划而得到资助的。与同时代的其它系统相比，该系统的监视环境有 所不同，它是由数据库应用程序而不是由操作系统来监视入侵和不正当使用的。d i s c o v e r y 的目标是积极地处理日常查询，以发现未授权的查询。它收集审计踪迹数据并以批处理模 式处理这些数据。d i s c o v e r y 在输入数据中采用统计基准以确定模式，它可检测三种不正当 的使用情形：未授权的访问、内部不正当使用和无效交易。d i s c o v e r y 的统计引擎用c o b o l 写成，专家系统用a 1s h e l l 写成。 第3 页 国防科学技术大学研究生院学位论文 三、h a y s a t c k h a y s a t c k 是由t r a c o ra p p l i e ds c i e n c e 公司( 从1 9 8 7 到1 9 8 9 年) 和h a y s a t c k ( 从1 9 8 9 到1 9 9 1 年) 为美国空军密码支持中心开发的系统。h a y s a t c k 是为了帮助安全官员发现美国 空军s b l c ( s t a n d a r db a s el e v e lc o m p u t e r s ) 的内部人员的不正当使用而设计的。 h a y s a t c k 以“特征”集合来描述系统审计踪迹数据中的信息。特征包括会话持续时阳j 、 打开的文件数、打印的页数、会话中消耗的c p u 资源和会话中创建的子进程数。h a y s a t c k 对系统中的异常检测分为两个阶段：第一个阶段，针对每个会话检查每个特征量是否超过 预先设定的阀值，然后进行统计测试，根据超过阀值的特征量的数目来判断是否可以认为 有异常行为发生；第二个阶段，采用另一统计测试( w i l c o x o n m a n n w h i t n e y 排序检测) 检测会话中的趋势。这两种技术的结合使系统既可以检测所有的“越界”行为，也可以检 测一段时间内逐步偏离正常的行为。 四、m i d a s m u l t i c s 入侵检测和报警系统( m i d a s ) 由美国国家计算机安全中心( n c s c ) 为监视 d o c k m a s t e r 系统而开发。m u l t i c s 把从系统中收集到的其它信息追加到审计日志数据文件 中，将数据组织起来构造会话特征轮廓，然后同正常行为的用户特征轮廓相比较。m i d a s 像同时代的i d e s 和其它几种系统一样，采用混和分析策略，把基于统计的异常检测和基 于规则的专家系统方法结合起来。 五、n a d i r 网络审计执行官和入侵报告者( n a d i r ) 由l o sa l a m o s 国家实验室计算部门丌发， 监视l o s a l a m o s 的综合计算网络( i c n ) 中的用户活动。i c n 是l o s a l a m o s 国家实验室的 主要计算机网络，其中有超级计算机、本地及远程终端、工作站、网络服务器和数据通信 接口等，用户超过9 0 0 0 人。n a d i r 监视由专门地网络服务器节点产生地审计踪迹数据， 从而监视i c n 。 n a d i r 是2 0 世纪8 0 年代最成功和最持久的入侵检测系统之一，目前已经扩展到监视 l o sa l a m o s 国家实验室的i c n 以外的网络系统。 六、n s m 网络系统监视器( n s m ) 由加利福尼亚大学d a v i s 分校开发，运行平台是s u nu n i x 工作站。它是最早监视网络流量并把流量作为主要数据源的入侵检测系统。在此之前，大 多数入侵检测系统的信息来自操作系统审计踪迹数据或键盘输入监视。n s m 的功能包括： 把系统的以太网接口设为监听模式。该模式下可以接收所有的数据包，而通常模 式下，只能接收目的地址与该接口地址相同的数据包。 捕获网络数据包。 分析协议，提取出有关的特征。 采用基于矩阵的方法存储检索和分析特征。特征包括从正常行为中得出的统计变 量和对预先设定规则的违反。 第4 页 国防科学技术大学研究生院学位论文 n s m 在入侵检测研究史上是一个具有重要意义的里程碑，因为它是第个试图把检测 系统扩展到不同类型网络环境的系统，也是第个运行在一个操作系统上的入侵检测系 统。 七、w i s d o ma n ds e n s e w i s d o ma n ds e n s e 由l o sa l a m o s 国家实验室的防卫和安全小组以及o a k r i d g e 国家实 验室合作开发的。 w i s d o ma n ds e n s e 所采用的方法原本是为过程控制环境而开发的，类似于同时代许多 机器学习方法，它存在问题包括： 在审计数据中产生无入侵的可靠学习集非常困难。 误报率非常高。 由于对容纳庞大的规则集所需内存的管理很困难，所以原型系统很不稳定。 1 1 4 商业产品的出现 在过去的十几年中，人们研制出大量的入侵检测系统，但是其中许多只是纯粹的研究 原型，目前并没有与之相对应的商业产品。本节将介绍那些已经成为市场上的商业产品的 入侵检测系统，并对它们的特性进行简要的分析。 尽管这些商业入侵检测系统的功能和特性各不相同，但它们的核心结构非常相似，因 为它们都是在通用入侵检测结构框架( c o m m o ni n t r u s i o nd e t e c t i o nf r a m e w o r k ，c i d f ) 的 基础上发展而来的1 2 。c i d f 最初是由美国国防部高级研究计划局( d e f e n s ea d v a n c e d r e s e a r c hp r o j e c t a g e n c y ，d a r p a ) 资助的入侵检测和响应( i n t r u s i o nd e t e c t i o n a n d r e s p o n s e ，d r ) 项目研究工作组设计开发的，它的设计目标是为不同类型的i d r 子系统之 间以及i d r 不同构件之间实现信息共享和协同工作设计一组规范。c i d f 的结构如图1 3 所 示。 i 未经处理的原始事件 i i 一一二 图1 3c i d f 模型结构图 第5 页 国防科学技术大学研究生院学位论文 c i d f 定义了以下四种基本的构件。 事件产生器( e v e n t g e n e r a t o r s ) ：c i d f 将被分析的数据统称为事件( e v e n t ) ，这 数据既可以是网络中的数据包，也可以是从系统日志等其他途径得到的信息。事件产生器 的目的是从整个计算环境中获得事件，并向系统的其他部分提供此事件。为了实现协同操 作，事件生成器以某种标准化的格式收集和传输这些事件信息。 事件分析器( e v e n ta n a l y z e r s ) ：事件分析器负责对事件生成器传送来的数据进行 分析处理，从中发现入侵行为。在分析和处理这些数据的时候可以使用统计分析、模式识 别等很多种方法。 事件数据库( e v e n td a t a b a s e ) ：事件数据库是存放各种中间和最终数据的地方的 统称，它可以是复杂的数据库，也可以是简单的文本文件。 事件响应器( e v e n t r e s p o n s eu n i t s ) ：事件响应器是对事件分析器的分析结果做出 反应的功能单元，它可以做出杀死进程、切断连接、改变文件属性等强烈反应，也可以只 是简单的报警。 在c i d f 模型中，事件产生器、分析器和响应器是以程序的形式出现，而最后一个则往 往是文件或数据流的形式。 尽管目前的各种商业入侵检测系统的结构各不相同，但是绝大多数都是在c i d f 的基础 上设计的。下面的表中是一些比较常见的商业入侵检测系统： 产品名开发商 r e a l s e c u r ei n t e r n e ts e c u f i 哆s y s t e m sq s s ) i n t r u d e ra l e r ta x e n t t e c h n o l o g i e s h l c n e t r a n g e r c i s e os y s t e m s ，i n c s t a k eo u ti dh o r r i sc o m m u n i c a t i o n s i n c k a n e s e c u r i t ym o n i t o rs e c u r i t yd y n a m i c s ( f o r m e r l yi n t r u s i o nd e t e c t i o n ，i n e ) s e s s i o nw a u 一3a b i r n e t e n t r a xc e n t r a xc o r p o r a t i o n c m d ss c i e n c e a p p l i c a t i o n i n t e r n a t i o n a lc o r p o r a t i o n ( s a l c ) s e c u r e n e tp r 0 m i m e s t a r ，i n c c y b e r c o p n e t w o r ka s s o c i a r e s ，i n c i n t o u c hi n s at o u c ht e c h n o l o g i e s ，i n c t - s i g h t e n g a r d e s y s t e m s ，i n c n ) e ss b ji n t e r n a t i o n a l i d - t r a ki n t e l n e tt o o l ，i n c 第6 页 国防科学技术大学研究生院学位论文 f s e c u r e c o ms u i t eo d sn e t w o r k s i p o l y c e n t e rc o m p a q ( f o r m e r l yd i g i t a le q u i p m e n tc 0 r p ) j 【n e t w o r k f l i g h tr e c o r d e r n e t w o r k f l i g h tr e c o r d e ri n c 1 2 国内外的研究状况 虽然入侵检测已经有2 0 多年的发展历史，但仍是种比较新的技术，尤其是在国内， 它的兴起只是近几年的事情。因此，当前的入侵检测技术研究无论在理论方面还是技术方 面都还有很多不完备的地方。理论方面的不完备主要体现在入侵检测技术研究还未能构成 一个完整的、健全的理论体系，甚至还有一些基本的概念和理论未能达成研究人员的共识。 例如，入侵检测技术( 方法) 和入侵检测系统的概念在很多的资料中含混不清，甚至有人 将二者等同起来。实现技术方面的不完备体现在随着网络技术的迅速发展，网络传输速度 日益快捷，数据量空前膨胀，已有入侵检测技术越来越难以满足本地主机和网络系统的安 全要求，目前没有种入侵检测产品能够真正满足用户的需求。 在入侵检测发展的过程中，研究人员不断地探索新的开发思路和方法。由于人体免疫 系统能够保护人体不受细菌、病毒、寄生虫、毒素等外来病菌的侵害，它在人体中的角色 类似于计算机系统或网络系统中的安全系统。尽管活的器官和计算机系统有很大差别，但 是它们之间的相近之处引起了研究人员的注意，并由此发展出一种提高计算机系统安全性 的新思路。1 9 9 4 年，n e w m e x i c o 大学的s t e p h a n i ef o r r e s t 和她所在的研究小组最早将人体 免疫学的原理应用于计算机安全领域。他们设计了一个用来保护计算机系统的人工免疫系 统。这个基于免疫学的系统通过检测非授权使用，维护数据文件的完整性和阻止病毒的拶 散来提高计算机系统的安全性。它的最突出的特点就是继承了人体免疫系统中区分自我 ( s e l f ) 和非我( n o n s e l f ) 的机制。与人体免疫系统不同的是在计算机系统中自我是指合 法用户行为、未被破坏的数据等，而非我是指非授权用户的行为，病毒和恶意代码等。随 后，越来越多的计算机安全研究人员致力于将人体免疫学的思想、工作机制应用于入侵检 测中去，如m e m p h i s 、c o l l e g el o n d o n 、p u r d u e 和i o w as t a t e 等大学都有不少研究人员从事 这个方面的工作，而且他们的研究项目中有的是由美国国防部资助的。 1 3 本文的研究内容和主要创新点 本文主要研究基于人体免疫学的入侵检测系统。我们在总结了上述研究人员的工作成 果的基础上，以人体免疫学思想为指导，应用主体技术，提出了一种新型的人工免疫模型， 并根据该模型构建了一个基于人工免疫模型的入侵检测系统( a ni n t r u s i o nd e t e c t i o ns y s t e m b a s e do n a r t i f i c i a l i m m u n e m o d e l ，i d s b a i m ) 。人体免疫系统的主要工作原理是区分“自 我”及“非我”。“自我”是指自身的细胞，“非我”是指病原体、毒性有机物和内源的 第7 页 国防科学技术大学研究生院学位论文 突变细胞( 致癌) 或衰老细胞。免疫细胞能对“非我”成分产生应答，以消除它们对机体 的危害：但对“自我”成分，则不产生应答，以保持内环境动态稳定，维持机体健康。基 于人工免疫模型的入侵检测系统将所监视的本地主机和网络系统中正常的主机行为模式 和网络通信模式视为“自我”，将异常的主机行为模式和网络通信模式视为“非我”，通 过对人体免疫系统中的负筛选、克隆筛选等主要工作机制的模拟，克服了异常检测和误用 检测两种方法的固有缺陷，兼备了两者的优点，故而能够识别出所有已知的和未知的入侵 方式。 本文的研究内容包括： 1 总结了入侵检测技术研究的前期主要成果，简单地介绍了入侵检测技术的发展历 史。 2 详细讨论了入侵检测技术研究的现状，包括入侵检测技术( 方法) 的分类、入侵检 测系统的分类和响应机制等。本文把入侵检测技术同入侵检测系统这两个概念严格地区分 开来描述，检测技术主要分为异常检测和误用检测两种，检测系统主要分为基于主机的和 基于网络的两种。每一种检测技术可以应用于任意一种检测系统，每一种检测系统也可以 使用任意一种检测技术。 3 深入分析了人体免疫系统中的负筛选、克隆筛选、记忆细胞等主要工作原理和机制， 并对人体免疫系统和入侵检测系统进行了比较和分析，从而说明了为什么能够将人体免疫 学的思想引入入侵检测系统研究领域，最后介绍将人体免疫学的思想应用于计算机领域的 发展历史和现状。 4 在已有的人工免疫学研究的基础上，提出了一种应用主体技术的新型的人工免疫模 型，并根据该模型构建了基于人工免疫模型的入侵检测系统。随后对该系统的特性、各个 功能主体之间的关系、负筛选算法、检测规则的生命周期以及系统内部的通信机制进行了 详细地分析。 5 引入了入侵检测系统的定性评价标准，并对基于人工免疫模型的入侵检测系统进行 了定性评价和定量分析。 本文的主要创新点包括： 1 对d i s p a n k a rd a s g u p t a 等人研究的基于人体免疫学的入侵检测系统模型进行了改 进，给出了一种新型的人工免疫模型，并对该模型的系统特性和工作原理进行了详细的描 述。 2 在人工免疫模型的基础上，设计了一个新型的入侵检测系统i d s b m m ，并对该 系统进行了一定的定性评价和定量分析。 本文的组织结构如下： 1 4 本文的组织结构 第8 页 国防科学技术大学研究生院学位论文 第一章绪论。介绍本文的课题背景、当前的研究现状、研究内容和所作的主要工作。 第二章入侵检测系统综述。详细介绍了入侵检测技术的分类、入侵检测系统的分类 以及响应机制。 第三章基于人体免疫学的入侵检测系统概述。深入分析了人体免疫系统的工作原理 和机制，对比人体免疫系统和入侵检测系统的特性，介绍基于人体免疫学的入 侵检测系统的发展状况。 第四章基于人工免疫模型的入侵检测系统。提出一种新型的人工免疫模型，构建了 一个基于人工免疫模型的入侵检测系统，并详细分析了该系统的工作原理和通 信机制等。 第五章基于人工免疫模型的入侵检测系统的实现及分析。引入了入侵检测系统的定 性评价标准，并对基于人工免疫模型的入侵检测系统的实现进行了描述和定量 分析。 第9 页 国防科学技术大学研究生院学位论文 第二章入侵检测技术研究综述 a n d e r s o n 在2 0 世纪8 0 年早期使用了“威胁”这一概念，其定义与入侵的含义相同。 他将入侵企图或威胁定义为未经授权蓄意访问信息、篡改信息，使系统不可靠或不能使用 的行为。h e a d y 给出入侵的另外定义，入侵是指有关试图破坏资源的完整性( i n t e g r i t y ) 、 机密性( c o n f i d e n t i a l i t y ) 及可用性( a v a i l a b i l i t y ) 的活动集合。s m a h a 从分类角度指出入侵 包括尝试性闯入、伪装攻击、安全控制系统渗透、泄漏、拒绝服务、恶意使用等6 种类型。 所谓入侵检测，就是指检测对计算机或网络进行非授权使用或入侵的过程。入侵检测 系统( i d s s ) 是实现检测功能的软件或硬件系统。i d s s 可以检测出任何破坏计算机或网络 的完整性、机密性和可用性的攻击行为。这些攻击行为既可能来自i n t e r n e t 上的黑客，又 可能来自系统内部滥用特权的授权用户和试图获得特权的非授权用户。 本章主要讨论入侵检测技术研究的基本理论，首先分析入侵检测技术的分类，然后分 析了入侵检测系统的分类，最后介绍了主要的响应机制。 2 1 入侵检测技术的分类 在入侵检测技术研究领域，有很多研究人员将入侵检测技术( 即检测方法) 与入侵检 测系统的概念混淆，甚至将这两个概念等同起来描述。入侵检测技术主要研究使用什么样 的方法来检测入侵行为；而入侵检测系统则是根据一定的监视对象构建的执行检测任务的 系统。因此我们把入侵检测技术同入侵检测系统这两个概念严格的区分开来描述，检测技 术主要分为异常检测和误用检测两种，检测系统主要分为基于主机的和基于网络的两种。 每一种检测技术可以应用于任意一种检测系统，每一种检测系统也可以使用任意一种检测 技术。本节主要讨论入侵检测技术的分类以及各自的特性p ，4 j 6 ，7 ，8 ，9 】。 入侵检测技术主要分成两大类：异常检测法( a n o m a l yd e t e c t i o n ) 和误用检测法( m i s u s e d e t e c t i o n ) 。 异常检测法是指根据本地计算机和网络系统中的异常行为和使用资源的情况来检测 入侵的方法。这种方法试图用定量方式精确描述可接受的静态模式和动态行为特征，以识 别非正常的、潜在的入侵行为。使用这种方法入侵检测系统必须精确地定义计算机系统以 及网络中的授权用户的合法行为、正常通信模式等正常的特征，并且还要精确定义非法与 合法代码和数据之间的边界，因为哪怕只有一位的不同可能就标志着有入侵问题发生。但 实际中，由于本地主机和网络系统的复杂性，再加上环境的多变性，要严格定义正常和异 常之间的区别却是一件非常困难的事情。 误用检测法是指利用已知的攻击本地主机和网络系统的入侵模式来识别入侵的方法。 第1 0 页 国防科学技术大学研究生院学位论文 使用这种检测方法的入侵检测系统必须精确地定义已知的入侵模式。这些入侵模式的表达 方式多种多样，可能是字符串( 例如病毒) ，也可能是一系列行为的集合。误用检测能直 接检测到不利的或不可接受的行为，而异常检测是检查出与正常行为相违背的行为。当前 绝大多数的入侵检测系统使用这两种方法的一种或结合使用这两种方法。 2 1 1 异常检测法 异常检测法的前提条件是将入侵行为作为异常行为的子集。理想状况是异常行为集与 入侵行为集相等。这样，若能检测所有的异常行为，则可以检测到所有的入侵行为。但是， 入侵行为并不总是与异常行为相符合。入侵行为与异常行为的关系存在四种可能性：( 1 ) 入侵但非异常；( 2 ) 入侵且异常；( 3 ) 非入侵但异常：( 4 ) 非入侵并且非异常。异常 检测法要解决的问题就是构造异常行为的集合并从中发现入侵行为子集。 异常检测法通过发现本地主机或网络中的异常行为来识别入侵。该方法基于这样一个 事实：攻击者的行为总会区别于正常用户的行为，因此系统只要能够发现异常就可以识别 入侵。使用这种检测方法的入侵检测系统必须为每一个正常的行为建立行为特征集。行为 特征集中通常包含一组对系统活动和网络通信模式的统计度量值，如c p u 的使用情况和用 户登陆过程中调用某些系统命令的频率等。如果某个行为背离了与之对应的行为特征集， 就会被视为入侵。背离程度用背离值的大小来度量，某个行为的背离值等于所有的统计度 量值的背离值之和。 通常把异常检测法分为两类，一类是静态异常检测，另一类是动态异常检测。 静态异常检测基于这样一个假设：被监视的系统中至少有一部分是保持不变的。所有 使用静态检测技术的入侵检测系统中的检测规则都只针对系统的软件部分，而硬件部分则 被缺省认为是安全的、不需检查的( 即使需要检查物理构建的配置，也是使用那些专门的 管理员工具来发现并报告所发生的变化) 。一个系统的静态部分由两部分组成，一部分是 系统编码，另一部分是系统中那些保持不变的数据。通常静态部分用二进制的字符串或 二进制字符串的集合( 例如文件) 来描述。一旦这些二进制字符串背离了它们的原始形态， 就表明有错误发生或有入侵行为发生。显然，静态异常检测对保护数据的完整性非常有效。 动态异常检测必须对计算机系统和网络的行为进行精确定义。由于通常设计人员在开 发计算机系统和网络时使用了事件这一概念，因此行为被定义为一系列( 部分有序的) 明 确事件的集合。例如，许多入侵检测系统用操作系统产生的审计数据来定义事件，在这种 情况下，行为就是指导致操作系统产生这些审计数据的操作。在某些情况下，事件的发生 严格的遵循某种顺序，但更多的情况下，尤其是在分布式系统中，事件的发生只是部分有 序的。还有一些情况下，根本没有办法直接描述事件发生的顺序，只能获得累计信息( 如 在某个时间间隔内，某些事件累计对c p u 的使用等) ，这时就需要定义阀值来区分正常资 源消耗和异常资源消耗以发现入侵行为。 第1 1 页 国防科学技术大学研究生院学位论文 入侵检测系统根据在对行为初始化时设置的参数来判断行为的正常与否。初始行为被 假定为正常的。如果某个异常的行为没有被识别，则与其相对应的入侵活动也不会被柃测 到。同样的，如果某个正常的行为被识别为异常行为，则就会发生误报。正常行为和异常 行为之间并没有很严格的界限。确定两者之间界限的最通用的方法是统计分布区域图。统 计分布区域图建立以后就可以通过一些标准背离点画出正常与异常行为之间的界限。如果 某个行为位于标准背离点之外，则被认为是可能是入侵。 由于正常的用户行为和网络通信模式非常多，并且用户和开发商还会不断的改变设置 以满足个性化的要求和市场需求，所以描述正常行为的特征非常困难。此外，行为特征集 还要不断的随着环境的变化而更新。因此建立和维护正常行为的特征集是一项既困难繁琐 又容易产生错误的任务。 从理论上讲，异常检测法不需要预先的知识就可以检测某种特定的入侵，因此它的最 大优点是不必对每种特定的入侵方式进行学习，并且可以识别未知的入侵行为。但是由于 用户和网络行为本身的不确定性，异常检测方法的误报率非常高。目前，单独应用异常检 测技术的入侵检测系统比较少，许多安全人员仍致力于该课题的研究。 2 1 2 误用检测法 误用检测是指通过对已知的入侵模式( 例如2 分钟内连续3 次以上的登陆失败通常被视 为有入侵企图) 或系统薄弱环节( 例如有些系统工具有缓冲区溢出的弱点) 的匹配来识别 入侵的检测方法。使用这种检测方法的入侵检测系统必须精确的定义已知的入侵模式。这 些入侵模式的表达方式多种多样，可能是字符串( 例如病毒) ，也可能是一系列行为的集 合。 由于误用检测法主要检测那些试图使用已知的攻击方式入侵本地主机和网络系统的 入侵行为，所以在理想的情况下，系统安全管理员应该对所有已知的系统漏洞和攻击方式 了如指掌。然而，限制那些已知的漏洞有时会抑制整个系统的功能，因此，在很多情况下， 许多安全管理员即使能够也不会修补这些漏洞。此外，那些很少更新自身行为的用户的行 为特征中也包含非法的成分，这就使得使用异常检测特征不可能检测入侵。所以应用误用 检测法的入侵检测系统在识别已知入侵模式的时候，根本不考虑用户的正常行为。 通常使用入侵想定这个词来描述那些相对比较明确的已知的入侵方式。入侵想定被定 义为一个行为序列，一旦这个行为序列发生，就意味着某种入侵发生。一个误用入侵检测 系统为了检测入侵行为需要连续的将当前系统行为同入侵想定进行比较。对入侵想定的描 述或入侵想定模型直接决定了检测系统的效率。入侵检测系统使用的当前系统行为既可以 是实时收集的，也可是操作系统记录的审计数据。第一代的误用检测系统使用规则来描述 安全管理员在计算机网络系统中发现的入侵方式，这种方法带来的问题是随着时间的推 移，会产生数量巨大的规则，但要解释和修正这些规则及其困难。为了解决第一代系统中 第1 2 页 国防科学技术大学研究生院学位论文 存在的问题，第二代的误用入侵检测系统引入了几种入侵想定表示方法。这些表示方法包 括基于模型的规则组织法和状态转移法( 例如：n i d e s 使用规则，s t a t 使用状态转移图和 着色p e t r i 网) 。这些方法便于使用误用检测法的用户更加直观的理解和表达攻击行为的顺 序、危及系统安全的环境以及入侵造成的后果等。由于误用检测法需要经常性的维护和更 新入侵想定，所以易用性是十分关键的问题。入侵想定能够被描述的相对比较精确，误用 入侵检测系统能够根据想定一步一步的追踪入侵企图，并且预测整个入侵行为序列中的下 一个可能的行为。有了这些信息，检测系统就可以更加深入的分析系统信息，以发现下一 步入侵、减少危害。 误用检测系统最大的优点是一旦某个已知的入侵模式被储存以后，再通过这种方式入 侵的行为就会被迅速的检测到，并且误报率非常低。但是，这种入侵检测方法也有两个 ： 要的缺陷：一个是必须为同一入侵方式的不同变种定义精确的特征集，因此特征集的冗余 度很高；另一个是对新的入侵方式无能为力，必须不断的更新特征集以检测层出不穷的新 攻击方式。目前，大多数商业入侵检测系统都是以误用检测技术为基础的。 2 2 入侵检测系统分类 所谓入侵检测系统( i n t r u s i o n d e t e c t i o ns y s t e m ，i d s ) 是指能够检测本地主机和网络系 统中发生的入侵，并对之做出响应的系统。定义中的入侵是指发生在本地主机和网络系统 中的任何非授权的或异常的行为。 根据入侵检测所要处理信息的来源的不同可以将入侵检测系统分为两类：基于主机的 ( h o s t - b a s e d ) 和基予网络的( n e t w o r k - b a s e d ) 。 2 2 1 基于主机的入侵检测系统 基于主机的入侵检测系统出现在2 0 世纪8 0 年代初期，其检测目标主要是本地主机系 统和网络系统中的本地用户，检测原理是根据主机的审计数据和系统的日志发现可疑事 件，检测系统运行在被检测的单个主机上。那时网络还没有今天这样普遍、复杂，且网络 之间也没有完全连通。在这一较为简单的环境里，检查可疑行为的审计记录是很常见的操 作。由于入侵在当时是相当少见的，所以通过对攻击的事后分析就可以防止今后的攻击。 这种类型的系统的性能主要依赖于审计数据和系统日志的准确性和完整性以及安全事件 的定义。 目前，基于主机的入侵检测系统仍使用审计数据和系统日志，但处理的自动化程度大 大提高，并能够迅速对入侵做出响应。它可以监视系统状态、系统中发生的事件、w i n d o w n t 下的安全日志以及u n i x 环境下的系统