（计算数学专业论文）自适应分层的免疫系统.pdf

摘要 摘要 随着互联网的发展，网络应用已经延伸到了人们生活的每一个角落。网络的 发展一方面给人们生活工作带来了极大的便利，另一方面，非法的网络入侵行为 也为信息的安全性提出了难题。随着，非法入侵不断增多，给企业和个人造成巨 大的经济损失。传统的安全保护技术如认证、授权、访问控制、防火墙和加密等 外围防卫机制己力不从心，计算机网络信息安全正面临着极大的威胁和挑战。 入侵检测系统( i n l r u s i o nd e t e c t i o ns y s t e m ，i d s ) 作为一种主动的信息安全保 障措施，有效地弥补了传统安全防护技术的缺陷。通过构建动态的安全循环，可 以最大限度地提高系统的安全保障能力，减少安全威胁对系统造成的危害。但是 随着入侵检测技术的发展，入侵的技术也是不断的进步。如何让i d s 检测出新出 现的入侵行为并将误报率降低在可接收的范围内，是现在i d s 发展的热点。通过 计算机系统与生物免疫系统的对比，本文提出了一种基于生物免疫原理的分层入 侵检测模型。 本文依托四川省科技厅基础研究项目“智能入侵检测系统的关键技术研究”， 主要工作从总体上对入侵检测、生物免疫系统的原理和工作机理进行了介绍；本 文的创新点是设计并实现了提出的一种分层的入侵检测模型系统原型；并且对原 型进行了编码和验证。 在原型的实现上，借助于成熟的入侵检测系统s n o r t 实现了数据采集，数据分 析以及对已知的入侵行为的快速检测，s n o r t 检测规则就类同于生物免疫系统中的 先天免疫功能。生物免疫原理的后天免疫功能的实现是一个自适应的过程。本文 的重点在模拟实现了生物体对外界入侵的自适应的过程，即建立了具有自适应性 的免疫检测器，并且把免疫检测器与已有的成熟入侵检测系统s n o r t 相结合，使系 统对外界的入侵行为具有自适应性。 在仿真实验中，采用了美国哥伦比亚大学计算机科学系入侵检测研究组提供 的网络入侵测试集对系统原型进行了验证，系统模拟实验的结果证明，该原型实 现了对未知入侵数据的检测。 关键词：入侵检测，检测器，自适应，s n o r t ，生物免疫系统 a b g n 认( 玎 a b s t r a c t w i t ht h ed e v e l o p m e n to f t h ei n t e r a c t , t h en e t w o r ka p p l i c a t i o nh a sa l r e a d ye x t e n dt o e a c hc o m e ro fp e o p l e sl i f e t h ed e v e l o p m e n to ft h en e t w o r kh a sb r i n gt r e m e n d o u s c o n v e n i e n c et op e o p l e sl i v i n ga n dw o r k , o nt h eo t h e rh a n d ，t h ei l l e g a ln e t w o r ki n t r u s i o n h a sa l s op u tf o r w a r dah a r dn u tt oc r a c kt op r o v i d et h es a f e t yo fi n f o r m a t i o n n o wt h e i l l e g a le n t r yi n c r e a s i n gc o n t i n u o u s l yb r i n g st h ee n t e q 3 r i s e sa n dt h ep e r s o n a lt h eh u g e e c o n o m y l o s e b u tt h et r a d i t i o n a l s a f e t y p r o t e c t i o n t e c h n i q u e ，s u c h a s a t t e s t a t i o n ，a u t h o r i z a t i o n ，i n t e r v i e wc o n t r o l ，f i r ew a l l ，e n c r y p t i o ne r e , h a sa l r e a d yl a c kt h e a b i l i t yt od o s ot h es a f e t yo f t h ec o m p u t e rn e t w o r ki n f o r m a t i o nf a c e st r e m e n d o u st h r e a t a n dt h ec h a l l e n g e 耶1 ei n t r u s i o nd e t e c t i o ns y s t e m i d si sa na c t i v em e a s u r et og u a r a n t e et h es a f e t y o fi n f o r m a t i o n ，a n dm a d eu pb l e m i s ho ft h et r a d i t i o n a lt e c h n i c a la v a i l a b l y a tt h es a m e t i m e ，i tc o n s t r u c t sad y n a m i ca n ds a f ec i r c u l a t i o nt oa d v a n d et h es y s t e m sa b i l i t yt o g u a r a n t e eas a f e t yf u r t h e s ta n dr e d u c eb a n ew h i c has a f e t yt h r e a tb r i n g s t ot h e s y s t e m b u tw i t ht h ed e v e l o p m e n to ft h ei n t r u s i o nd e t e c t i o nt e c h n o l o g y , t h et e c h n i q u e f o ri n v a d ei sa l s oac o n t i n u o u sp r o g r e s s i ti st h eh e t r l o tt h a ti d se x a m i n e san e w a p p e a r so fi n v a d eb e h a v i o ra n d tt h em i s i n f o r m a t i o nr a t ei sr e d u c e dr e c e p t i b l e t h e n ，t h i s t e x tp u tf o r w a r dal a y e r e di n t r u s i o nd e t e c t i o n k i n dm o d e la c c o r d i n gt ot h eb i o l o g i c i m m u n ep r i n c i p l ea n dt h ec o n t r a s to ft h ec a l c u l a t o rs y s t e ma n dt h eb i o l o g i ci m m u n e s y s t e m ， t h i st e x tr e l i e so nt h ef o u n d a t i o nr e s e a r c hi t e mo fs i c h w a ns c i e n c ea n dt e c h n o l o g y h a l l ( t h ek e yt e c h n i q u er e s e a r c ho ft h ei n t e l l i g e n c em s ) f u r t h e rm o r e , i tt o t a l y i n t r o d u c e st h ep r i n c i p l eo ft h ei n t r u s i o nd e t e c t i o na n dt h eb i o l o g i ci m m u n es y s t e m t h e a n dt h ew o r km e c h a n i s m g e n e r a l l yt h i st e x t u a li n n o v a t i o ni st od e s i g na n dr e a l i z ea k i n do fl a y e r i n gi n t r u s i o nd c t e c t i o n k i n dm o d e l a n df i n a l l yi tc a r r i e so nc o d ea n d v e r i f i e st ot h ep r o t o t y p e t h es n o r tr e a l i z e st h ed a t ac o l l e c t , t h ed a ma n a l y s i sa n dt h ef a s td e t e c t i o nt ok n o w n i n v a d eb e h a v i o rb yz h eh e l po fm a t u r ei d s t h es n o r te x a m i n a t i o nr u l et y p ei ss i m i l a r t ot h ei n b o r ni m m u n i t yf u n c t i o ni nb i o l o g i ci m m u n es y s t e m t h er e a l i z a t i o no fa c q u i r e d n a b s l l - c t i n l m u l l ef u n c t i o ni sa s e l f - a d a p tp r o c e s s t h et e x t u a lp o i n ti st or e a l i s et h es e l f - a d a p t p r o c e s s i te s t a b l i s h e sz h es e l f - a d a p te s i m i t a t i n gt oc a l t yo u tt h el i v i n gc r e a t u r eb e d y o u t w a r dt h eb o u n d a r yi n v a d eo ff r o ma d a p to fp r o c e s s , t h e nb u i l tu ph a v ef r o mt h e i m m u n i t yd e t e c t o ro ft h ea d a p t a b i l i t y , a n dt h ei m m u n i t yd e t e c t o r a tt h es a m et i m e t h e i m m u n i t yd e t e c t o rc o m b i n e st 0t h em a t u r ei d st ol e ts h es y s t e mh a st h es e l f - a d a p t i n e x p e r i m e n t a t i o n ，i ta d o p t s t h ea m e r i c a nc o l u m b i au n i v e r s i t yc a l c u l a t o r s c i e n c e sn e t w o r ki n t r u s i o nd e t e c t i o nv a l i d a t ei t a n dt h er e s u l to ft h ee x p e r i m e n tp r o v e t h a tt h i sm o d e lr e a l i z ez h ee x a m i n a t i o no nz h e 1 1 1 1 k n o w ni n t r u s i o nd a t a k e yw o r d s ：i n t r u s i o nd e t e c t i o n , d e t e c t o r , s e l f - a d a p t ，s n o r t ，b i o l o g i ci m m u n es y s t e m l i i 独创性声明 本人声明所呈交的学位论文是本人在导师指导下进行的研究工 作及取得的研究成果。据我所知，除了文中特别加以标注和致谢的地 方外，论文中不包含其他人已经发表或撰写过的研究成果，也不包含 为获得电子科技大学或其它教育机构的学位或证书而使用过的材料。 与我一同工作的同志对本研究所做的任何贡献均己在论文中作了明 确的说明并表示谢意。 如o 年1 月爻阳 关于论文使用授权的说明 本学位论文作者完全了解电子科技大学有关保留、使用学位论文 的规定，有权保留并向国家有关部门或机构送交论文的复印件和磁 盘，允许论文被查阅和借阅。本人授权电子科技大学可以将学位论文 的全部或部分内容编入有关数据库进行检索，可以采用影印、缩印或 扫描等复制手段保存、汇编学位论文。 ( 保密的学位论文在解密后应遵守此规定) 签名：盥 导l 两答幺韶 刁乞 导师签名：型竺：! ! = ： 日期：彳钏月7 日 第一章绪论 第一章绪论 随着计算机在全世界范围内各行各业中的广泛应用，以及互联网的日益普及， 大型网络的结构日趋复杂，规模快速增长，以盗取别人信息为目的的非法入侵也 不断增多，不仅给企业和个人造成巨大的经济损失，还威胁到国家的安全和社会 稳定。传统的安全保护技术如认证、授权、访问控制、防火墙和加密等外围防卫 机制已力不从心，计算机网络信息安全正面临着极大的威胁和挑战。到目前为止， 已经有许多网络安全的解决方案和相关产品，但存在以下主要问题： i 各种计算机网络安全技术存在通用性不强、可扩展性差的缺陷，这种缺陷 往往造成计算机网络系统综合防范能力差，抗攻击和抗失效能力低。 2 对于网络系统运行中不断变化的非法入侵，异常行为的识别和未知模式攻 击的实时检测能力不强，尤其是智能程度低，漏报( f a l s en e g a t i v e s ) 和误报( f a l s e p o s i t i v e s ) 率较高。 如果能够提高计算机的智能程度，及能够对未知的入侵产生有效的预警或提 示，就能够提高计算机网络的安全性【“。计算机免疫学是- - f 3 新兴的学科。现代的 观点认为，免疫学是研究机体免疫系统的组织结构和生理功能的学科【2 】f 3 1 。免疫系 统的最重要的生理功能就是对“自己”和“非己”抗原进行识别及应答。这个系 统有着自身的运行机制，并可与其他系统相互配合、互相制约，共同维持机体在 生命过程中总的生理平衡，具体表现为免疫防御( i m m u n o l o g i c a ld e f e n s e ) ，免疫 自稳( i m m u n o l o g i c a lh o m e o s t a s i s ) ，免疫监视( i n 吼u n o l o 西c a ls u r v e i l l a n c e ) 等生理 功能。计算机的网络的安全问题与生物免疫系统所遇到的问题具有惊人的相似性， 两者都要求在不断的变化的环境中，维持系统的稳定性。计算机免疫系统( c o m p u t e r i m n q u n o s y s t e m ) ，是人工免疫，计算机科学的一个分支，是继神经网络，模糊系统， 进化计算，人工免疫等研究之后的又一个研究热点。在众多的研究领域中，引入 免疫系统概念后取得满意的成果，特别在计算机病毒防治，网络入侵检测上，基 于免疫的网络安全技术克服了传统的网络入侵检测系统的缺陷，被认为是一条非 常重要的且具有巨大实际应用前景的研究方向。 目前，建立基于免疫算法的大规模入侵检测系统是i d s 体系结构研究的发展 方向和热点。本文在学习和研究当前国内外i d s 系统现状的基础上，提出了一种 基于人工免疫原理的新型分层入侵检测模型，并实现了系统原型。 电子科技大学硕士学位论文 2 1 入侵检测的历史 第二章入侵检测 7 0 年代，随着计算机的速度、数目的增长，对计算机安全的需要显著增加【4 5 1 。 所以，在1 9 7 7 年和1 9 7 8 年，美国国家标准局召开了有政府和商业e d p 组织代表 参加的会议，就当时的安全、审计和控制的状况提出了报告。与此同时，军用系 统中计算机的使用范围迅速扩大，d o d 出于对由此引发的安全问题的考虑，增加 了计算机审计的详细程度并以此作为一项安全机制。这个项目由j a m e s p a n d e r s o n 负责主持。1 9 8 0 年j a m e se a n d e r s o n 在给一个保密客户写的一份题为 计算机安全威胁监控与监视的技术报告中指出，审计记录可以用于识别计算 机误用，他给威胁进行了分类，第一次详细阐述了入侵检测的概念。 1 9 8 4 年到1 9 8 6 年乔治敦大学的d o r o t h y d e r m i n g 和s r i 公司计算机科学实验 室的p e t e r n e u m a n n 研究出了一个实时入侵检测系统模型i d e s t 6 j ( i n t r u m o n d e t e c t i o ne x p e r ts y s t e m s 入侵检测专家系统) ，是第一个在一个应用中运用了统计 和基于规则两种技术的系统，是入侵检测研究中最有影响的一个系统。 1 9 8 9 年，加州大学戴维斯分校的t o d dh e b e r l e i n 写了一篇论文an e t w o r k s e c u r i t ym o n i t o r ，该监控器用于捕获t c p i p 分组，第一次直接将网络流作为审计 数据来源，因而可以在不将审计数据转换成统一格式的情况下监控异种主机，网 络入侵检测从此诞生。 直到1 9 9 0 年，入侵检测系统大部分都是基于主机的，它们对于活动性的检 查局限于操作系统审计踪迹数据及其它以主机为中心的信息源。但是，由于i n t e m e t 的发展及通信和计算机带宽的增加，系统的互联性已经有了显著提高，导致人们 对计算机安全的关注程度也显著增加。1 9 8 8 年的i n t 哪e t 蠕虫事件使人们对计算机 安全的关注达到了令人激动的程度，这就促使人们开发新的系统以适应网络的发 展，因此出现了分布式入侵检测系统( d i d s ，d i s t r i b u t e di n t r u s i o n d e t e e t i o ns y s t e m ) ， 它将基于主机和基于网络监视的方法集成在一起。从此，各个研究机构和商业厂 家也就开始了对入侵检测系统的综合的研究和开发。 2 电子科技大学硕士学位论文 2 3 入侵检测的基本原理 入侵检测本质上是一种电子数据处理( e l e c t r o n i cd a t ap r o c e s s ) 过程【9 】，按照预 先确定的方法、规则对收集到的安全审计数据进行分析处理，根据分析结果做出 系统是否被入侵的结论。收集到的数据一般是系统日志或网络事件日志，预先确 定的方法即分析引擎采用的分析技术，般是某种模式匹配技术或者统计学分析 技术，或者是二者的结合。 在上一节中，以及提到了入侵检测系统的主要功能。入侵检钡0 的过程一般分 为三个过程，信息收集、数据分析、响应。 i d s 执行的主要功能包括：监视、分析用户和系统活动；识别己知的攻击模 式，并做出响应；统计分析异常行为模式；评估重要系统和数据文件的完整性。 入侵检测一般分为3 个步骤，依次为信息收集、数据分析、响应( 被动响应和主动 响应) 。 信息收集模块收集的内容包括系统、网络及用户活动的状态和行为。入侵检 测采用的数据源般来自系统日志( 含操作系统审计记录、操作系统系统日志、应 用日志) 、目录以及文件的异常改变、程序执行中的异常行为、网路数据包等几个 方面。 数据分析模块是i d s 的核心，它完成对原始数据的同步、整理、组织、分类， 进行各种类型的细致分析，提取其中隐含的系统活动特征或模式，用于i d s 判 断是否有入侵行为发生。一般分为3 个阶段：构建分析引擎、执行分析、利用反 馈信息优化分析引擎。在构建分析引擎阶段，用收集到的训练数据经处理后建 立一个行为分类模型( 实质上是一个数据分类器) ， 最后将模型保存在知识库中 供实际检测过程使用。在执行分析阶段，先将待检测的数据流预处理为格式化的 事件记录，然后利用模式匹配、统计分析和完整性分析等技术，将格式化的事件 记录同知识库中的内容相比较，将此事件记录分类为正常或异常，并根据预定 的策略产生响应。在优化分析引擎阶段，主要是更新入侵模式特征知识库以反映 新攻击的相关信息，或定期更新用户和系统行为的历史统计模式以反映用户和系 统行为的正常迁移，这一阶段实质是i d s 利用反馈信息优化分析引擎以适应环境 的新变化，这也体现了保障信息系统安全是一个动态的过程。 i d s 在发现入侵后应该根据预定的策略及时做出响应，包括切断网络连接、记 录事件和报警等。响应一般分为主动响应( 阻止攻击或者影响攻击进程) 和被动响 应( 记录和报告所检测出的入侵事件) 两种类型。主动响应由用户驱动或系统本身 4 第二章入侵检测 自动执行， 可对入侵者采取行动( 如断开连接) 、修正系统环境或收集有用信息； 被动响应则包括告警、设置s n m p ( 简单网络管理协议1 陷阱等。 信息收集模块、分析引擎和响应模块是相辅相成的，信息收集模块为分析引 擎提供原始数据，分析引擎执行实际的入侵或异常行为检测，并将结果提交给响 应模块，后者采取必要和适当的措施，阻止进一步的入侵行为或恢复被损害的系 统。响应模块可以按照预定的策略反作用于信息收集模块和分析引擎，例如可以 设置信息收集模块的过滤控制参数以屏蔽掉一些干扰数据，或者依据运行时数据 调整分析引擎的检测规则以适应新的环境。 2 3 1 入侵检测的分类 入侵检测系统按照其数据来源来看( 1 0 1 ，可以分为三类：基于主机的入侵检测 系统、基于网络的入侵检测系统、采用上述两种数据来源的分布式的入侵检测系 统( 混合入侵检测系统) 。 入侵检测系统按照检测方法可以分为两类：异常入侵检测、误用入侵检测。 入侵检测系统按照时间可以分为两类：实时入侵检测系统、事后入侵检测系 统。 按照数据来源的分类是入侵检测系统最常用的分类，本文着重讨论的是网络 入侵检测系统。 2 3 2 按照数据来源分类 按照数据来源，分为基于主机、基于网络以及混合入侵检测系统【8 】。 2 3 2 1 基于主机的入侵检测系统 基于主机的入侵检测产品( n i d s ) 通常是安装在被重点检测的主机之上，主要 是对该主机的网络实时连接以及系统审计日志进行智能分析和判断。如果其中主 体活动十分可疑( 特征或违反统计规律) ，入侵检测系统就会采取相应措施。 主机入侵检测系统的优点： 1 主机入侵检测系统对分析“可能的攻击行为”非常有用。举例来说，有时候 它除了指出入侵者试图执行一些“危险的命令”之外，还能分辨出入侵者干了什 么事：他们运行了什么程序、打开了哪些文件、执行了哪些系统调用。主机入侵 检测系统与网络入侵检测系统相比通常能够提供更详尽的相关信息。 2 主机入侵检测系统通常情况下比网络入侵检测系统误报率要低，因为检测在 5 电子科技大学硕士学位论文 主机上运行的命令序列比检测网络流更简单，系统的复杂性也少得多。 3 主机入侵检测系统可布署在那些不需要广泛的入侵检测、传感器与控制台之 间的通信带宽不足的情况下。主机入侵检测系统在不使用诸如“停止服务”、“注 销用户”等响应方法时风险较少。 主机入侵检测系统的弱点： 1 主机入侵检测系统安装在我们需要保护的设备上。举例来说，当一个数据库 服务器要保护时，就要在服务器本身上安装入侵检测系统。这会降低应用系统的 效率。此外，它也会带来一些额外的安全问题，安装了主机入侵检测系统后，将 本不允许安全管理员有权力访问的服务器变成他可以访问的了。 2 主机入侵检测系统的另一个问题是它依赖于服务器固有的日志与监视能力。 如果服务器没有配置日志功能，则必需重新配置，这将会给运行中的业务系统带 来不可预见的性能影响。 3 全面布署主机入侵检测系统代价较大，企业中很难将所有主机用主机入侵检 测系统保护，只能选择部分主机保护。那些未安装主机入侵检测系统的机器将成 为保护的盲点，入侵者可利用这些机器达到攻击目标。 4 主机入侵检测系统除了监测自身的主机以外，根本不监测网络上的情况。对 入侵行为的分析的工作量将随着主机数目增加而增加。 图2 - 1 基于主机的入侵检测系统结构 2 3 2 2 基于网络的入侵检测系统 6 第二章入侵检测 基于网络的入侵检测产品( n i d s ) 放置在比较重要的网段内，不停地监视网段 中的各种数据包。对每一个数据包或可疑的数据包进行特征分析。如果数据包与 产品内置的某些规则吻合，入侵检测系统就会发出警报甚至直接切断网络连接。 目前，大部分入侵检测产品是基于嚼络的，值得一提的是，在鼹络入侵检测系统 中，有多个久负盛名的开放源码软件，它们是s n o r t 、n f r 、s h a d o w 等，其中s n o r t 的社区( h t t p ：w w w m o r t o r g ) 非常活跃，其入侵特征更新速度与研发的进展已超过 了大部分商品化产品。 网络入侵检测系统的优点： 1 网络入侵检测系统能够捡测那些来自网络的攻击，它能够检测到超过授权的 非法访问。 2 一个网络入侵检测系统不需要改变服务器等主机的配置。由于它不会在业务 系统的主机中安装额外的软件，从而不会影响这些机器的c p u 、i 0 与磁盘等资源 的使用，不会影响业务系统的性能。 3 ，由于网络入侵检测系统不像路由器、防火墙等关键设备方式工作，它不会成 为系统中的关键路径。网络入侵检测系统发生故障不会影响正常业务的运行。布 署一个网络入侵检测系统的风险比主机入侵检测系统的风险少得多。 4 网络入侵检测系统近年内有向专门的设备发展的趋势，安装这样的一个网络 入侵检测系统非常方便，只需将定制的设备接上电源，做很少一些配置，将其连 到网络上即可。 网络入侵裣测系统的弱点： 1 网络入侵检测系统只检查它直接连接网段的通信，不能检测在不同网段的网 络包。在使用交换以太网的环境中就会出现监测范围的局限。而安装多台网络入 侵检测系统的传感器会使部署整个系统的成本大大增加。 2 网络入侵检测系统为了性能目标通常采用特征检测的方法，它可以检测出普 通的一些攻击，而很难实现一些复杂的需要大量计算与分析时间的攻击检测。 3 网络入侵检测系统可能会将大量的数据传回分析系统中。在一些系统中监听 特定的数据包会产生大量的分析数据流量。一些系统在实现时采用一定方法来减 少回传的数据量，对入侵判断的决策由传感器实现，而中央控制台成为状态显示 与通信中心，不再作为入侵行为分析器。这样的系统中的传感器协同工作能力较 弱。 4 网络入侵检测系统处理加密的会话过程较困难，目前通过加密通道的攻击尚 不多，但随着i p h 两的普及，这个问题会越来越突出。 7 电子科技大学硕士学位论文 图2 - 2 基于网络的入侵检测系统 2 3 2 3 混合入侵检测系统 基于网络的入侵检测产品和基于主机的入侵检测产品都有不足之处，单纯使 用一类产品会造成主动防御体系不全面。但是，它们的缺憾是互补的。如果这两 类产品能够无缝结合起来部署在网络内，则会构架成一套完整立体的主动防御体 系，综合了基于网络和基于主机两种结构特点的入侵检测系统，既可发现网络中 的攻击信息，也可从系统日志中发现异常情况。 2 3 3 按照分析方法分类 2 3 3 1 异常检测模型 异常入侵检测是指能够根据异常行为和使用计算机资源的情况检测出入侵的 方法i s 】。它试图用定量的方式描述可以接受的行为特征，以区分非正常的、潜在的 入侵行为。 异常检测中，通过建立正常行为的特征轮廓，检查系统运行的情况，来判断 是否偏离了预先设定的阙值。这里观察到的不是已知的入侵行为，而是所研究的 通信过程中的异常现象，它通过检测系统的行为或使用情况的变化来完成。在建 立该模型之前，首先必须建立统计概率模型，明确所观察对象的正常情况，然后 决定在何种程度上将一个行为标为“异常”，并如何做出具体决策。 第二章入侵检测 优点：可以检测到未知的入侵；可以检测冒用他人账号的行为；具有自适应， 自学习功能；不需要系统先验知识。缺点：漏报、误报率高；入侵者可以逐渐改 变自己的行为模式来逃避检测；合法用户正常行为的突然改变也会造成误警；统 计算法的计算量庞大，效率很低；统计点的选取和参考库的建立比较困难。 2 ，3 3 2 误用检测模型 误用检测( m i s u s ed e t e c t i o n ) 又称为特征检测【8 】。是对利用己知的系统缺陷和 已知的入侵方法进行入侵活动的检测。滥用检测的优点是可以有针对性地建立高 效的入侵检测系统，其精确性较高，主要缺陷是不能检测未知的入侵，也不能检测 已知入侵的变种，因此可能发生漏报。 与异常入侵检测不同，误用入侵检测能直接检测不利的或不可接受的行为， 而异常入侵检测是检测出与正常行为相违背的行为。 在误用检测中，入侵过程模型及它在被观察系统中留下的踪迹是决策的基础。 所以，可事先定义某些特征的行为是非法的，然后将观察对象与之进行比较以做 出判别。误用检测基于已知的系统缺陷和入侵模式，故又称特征检测。它能够准 确地检测到某些特征的攻击，但却过度依赖事先定义好的安全策略，所以无法检 测系统未知的攻击行为，从而产生漏报。 优点：算法简单；系统开销小；准确率高；效率高。缺点；被动，只能检测 出已知攻击，新类型的攻击会对系统造成很大的威胁；模式库的建立和维护难， 模式库要不断更新，模式库中的知识依赖于，硬件平台、操作系统、系统中运行 的应用程序。 2 4 入侵检测的基本结构和分析方法 2 4 1 入侵检测的基本结构 一个完整的入侵检测系统如下图2 3 所示一般分为如下四个部分：事件产生 器，事件分析器，事件数据库以及相应单元垆1 。 事件产生器的任务就是从入侵检测系统所检测的网络通信中获得事件，并提 供给入侵检测体系中的其它系统。事件产生器在事件发生时就把它提供给系统的 其它部分，由事件数据库来存储这些事件。事件产生器是入侵检测系统的唯一信 息来源组件，没有事件产生器生成事件给其它组件，那么入侵检测系统就无法检 测入侵的发生。 9 电子科技大学硕士学位论文 事件分析器是入侵检测系统的核心部分。事件分析器通过对事件产生器提交 的数据的分析，判断其是入侵行为还是正常的行为，如果判断为入侵行为，那么 将结果提交到相应单元进行相应的处理。 响应单元在接收到事件分析器的分析结果后，对不同的结果采取不同的处理 方式，比如切断网络连接等等。 事件数据库用于存放在各种需要的数据，可以采用数据库，也可以仅仅是简 单的文件。 图2 - 3 入侵检测基本结构 2 4 2 入侵检测的分析方法 目前，分析及检测入侵阶段一般通过以下几种技术手段进行分析：特征库匹 配、基于统计分析和完整性分析。其中前两种方法用于实时的入侵检测，而完整 性分析则用于事后分析【鲋。 2 4 2 1 特征库匹配 将收集到的信息与己知的网络入侵和系统误用模式数据库进行比较，从而发 现违背安全策略的行为。该过程可以很简单( 如通过字符串匹配以寻找一个筒单 的条目或指令) ，也可以很复杂( 如利用正规的数学表达式来表示安全状态的变 化) 。一般来讲，一种进攻模式可以用一个过程( 如执行一条指令) 或一个输出( 如 获得权限) 来表示。 该方法的一大优点是只需收集相关的数据集合，显著减少系统负担，且技术 成熟。它与病毒防火墙采用的方法一样，检测准确率和效率都相当高。但是，该 方法存在的弱点是需要不断升级以对付不断出现的黑客攻击手法，不能检测到从 未出现过的黑客攻击手段。 2 4 2 2 统计分析方法 首先给信息对象( 如用户、连接、文件、目录和设备等) 创建一个统计描述， 1 0 第二章入侵检测 统计正常使用时的一些测量属性( 如访问次数、操作失败次数和延时等) 。测量属 性的平均值将被用来与网络、系统的行为进行比较，任何观察值在正常偏差之外 时，就认为有入侵发生。例如，统计分析可能标识一个不正常行为，因为发现一 个在晚八点至早六点从不登录的账户却在凌晨两点试图登录，或者针对某一特定 站点的数据流量异常增大等。其优点是可检测到未知的入侵和更为复杂的入侵； 缺点是误报、漏报率高，且不适应用户正常行为的突然改变。 2 4 2 3 完整性分析 主要关注某个文件或对象是否被更改，包括文件和目录的内容及属性。在发 现被更改的、被特洛伊化的应用程序方面特别有效。完整性分析利用强有力的加 密机制，能识别极其微小的变化。 其优点是不管模式匹配方法和统计分析方法能否发现入侵，只要是成功的攻 击导致了文件或其他对象的任何改变，它都能够发现。缺点是一般以批处理方式 实现，不用于实时响应。 2 5 入侵检测的数学模型 数学模型的建立有助于更精确地描述入侵问题，特别是异常入侵检测。 d e n n y i n g 提出可用于入侵检测5 种统计模型【1 1 】： 2 5 1 试验模型 该模型基于这样的假设，若已观测到变量x 出现的次数超过某个预定的值， 则就可能出现异常的情况。用于在各个模型最适合于入侵活动与随机变量相关的 方面，如口令失效次数。 2 5 2 平均值和标准差模型 这个模型根据已观测到随机变量x 的样，x i ( 1 = 1 , 2 ，n 】以及计算出这些样值 的平均值n l o a r l 和标准方差s t d d e v , 若新的取样值x n + l 不在可信区问 【m e a n - d * s t d d e v , m + d * s t d d e v 内时，则出现异常，其中d 是标准偏移均值m e a n 的 参数。这个模型适用于事件计数器、间隔计时器、资源计数器三种类型随机变量 处理。该模型的优点在于不需要为了设定限制值而掌握正常活动的知识。相反， 这个模型从观测中学习获取知识，可信区间的变动就反映出知识的增长过程。另 电子科技大学硕士学位论文 外，可信区闯依赖于观测到的数据，这样对于用户正常活动定义有可能差异较大。 此模型可加上权重的计算，如最近取样的值的权重大些，就会更准确反映出系统 的状态。 2 5 3 多变量模型 该模型基于两个或多个随机变量的相关性计算，适合于利用根据多个随机变 量的综合结果来识别入侵行为，而不仅仅是单个变量。例如一个程序的使用c p u 时间和i o ，用户注册频度，通信会话时间等多个变量来检测入侵行为。 2 5 4 马尔科夫过程模型 该模型将离散的事件( 审计记录) 看作一个状态变量，然后用状态迁移矩阵 刻划状态之间的迁移频度。若观察到一个新事件，而根据先前的状态和迁移检测 矩阵来得到新的事件的出现频率太低，则表明出现异常情况。对于通过寻找某些 命令之间的转移而检测出入侵行为，这个模型比较适合。 2 5 5 时序模型 该模型通过间隔计时器和资源计数器两种类型随机变量来描述入侵行为。根 据x 1 ，x 2 ，) 【n 之间的相隔时间和它们的值来判断入侵，若在某个时间内x 出现的 概率太低，则出现异常情况。这个模型的有利于描述行为随时问变化的趋势，缺 点在于计算开销大。 2 6 入侵检测目前存在的问题以及发展趋势 随着系统和网络的漏洞不断被发现，入侵技术无论是从规模上还是方法上都 发生了变化，入侵的手段与技术也有了“进步与发展”。从最近几年的发展趋势看， 入侵技术的发展与演化主要反映在以下几个方面： 1 入侵和攻击的复杂化与综合化。 2 入侵主体的间接化，即实施入侵和攻击的主体的隐蔽化。 3 入侵和攻击的规模扩大。 4 入侵和攻击技术的分布化。 5 攻击对象的转移。 1 2 第二章入侵检测 相对与入侵技术的进步，i d s 目前仍然存在着一下几个问题：【1 2 】 1 漏报和误报的问题。i d s 本身有难以克服的缺点就是较高的漏报和误报率， 产生这个问题的原因是：一是i d s 捕获网络数据包后，需要进行协议分析、模式 匹配或者异常统计后才能发现入侵行为，但是协议分析是复杂的，在没有透彻分 析数据设计的协议的情况下，发生漏报和误报是在所难免的。二是随着网络系统 结构的复杂化和大型化，系统的弱点和漏洞趋向于分布式。三是随着黑客入侵水 平的跳高，入侵行为不再是单一的行为，单个i d s 懂得设备对分布式、协同式、 复杂模式的共计的入侵行为显得无能为力。 2 i d s 被动的分析问题，而无法主动发现发现网络中的安全隐患。在这个方 面，i d s 取得了进步。一些i d s 已经开始与防火墙进行联动，当发现了入侵行为 以后，立刻通知防火墙拦截入侵。 3 随着高速网络的出现，如何对高速网迸行内实时的入侵检测也是未来i d s 发展关注的方向。 针对i d s 误报和漏报率的问题，i d s 可以在一下方面进行改善： 1 分析技术的改进。 2 大规模的分布式检测技术。 3 智能入侵检测技术的引入，如神经网络、人工免疫、遗传算法等。 近年来，基于生物免疫系统原理提出的新兴智能计算技术一一免疫算法 ( i m m u ea l g o r i t h m ) 正逐渐成为新的理论研究热点。基于生物免疫的入侵检测是通 过模拟生物有机体的免疫工作机制，使得受保护的系统能够将非自我的行为与自 我的合法行为区分开。在下一章中，将详细介绍生物免疫的原理以及计算机免疫 学的相关内容。 电子科技大学硕士学位论文 第三章免疫原理 人工免疫算法是一种新兴的智能计算技术，虽然起步晚，但已和神经网络、 遗传算法并称为三大生物计算模型。它借鉴了生物免疫系统中抗体( a n t i b o d y ) 对 抗原( a n t i g e n ) 的识别原理以及抗体产生和进化的过程，将需要检测的异常状况设定 为抗原，系统根据免疫算法原理产生抗体并以之对抗原进行识别。 3 1 生物学免疫系统机理 3 1 1 免疫学起源 免疫学起源于中国【1 1 。我国古代的医师在长期与天花做斗争的年代经过实践， 发现了世界上最原始的疫苗。到了1 8 世纪末，英格兰医生成功研制了牛痘疫苗， 这是世界上第一例成功的疫苗，为人类最终战胜天花做不朽的贡献。1 9 世纪后期， 微生物学的发展为免疫学的形成奠定了基础。与此同时，研究抗原体反应的学问 即血清学也逐渐形成和发展起来了。在接下来的几十年里面，血清学代表了免疫 学发展的主流。在最近的十多年中，免疫学的主要工作表现为：抗原提呈、细胞 凋亡、细胞裂解、免疫调节、免疫记忆、自身免疫性疾病、d n a 疫苗等等。 3 1 2 免疫系统 现代免疫学认为：人体内存在一个负责免疫功能的完整解削系统，即免疫系 统，与神经系统和内分泌系统一样，这个系统有着自身的运行机制，并可与其他 系统相互配合、相互制约，共同维持机体在生命过程中总的生理平衡。人体免疫 系统是由免疫分子、免疫细胞、免疫组织和免疫器官组成的复杂系统。这个系统 主要表现为以下几种生理功能0 3 1 4 】： 1 免疫防御( i m m u n o l o g i e f ld e f e n c 0 指机体排斥外援性抗原异物的能力。这 是人体籍以自净、不受外来物质干扰和保持物种纯洁的生理机制。这种功能一是 抗感染，即传统的免疫概念：二是排斥异种或同种异体的细胞和器官，这是器官 移植需要克服的主要障碍。这种能力地下时，机体易出现免疫缺陷病，而过高时 易出现超敏反应性组织损伤。 1 4 第三章免疫原理 2 免疫自稳( i m m u n 0 1 0 9 i c a lh o m e o s t a s i s ) 指机体识别和清除自身衰老残损组 织、细胞的能力，这是机体籍以维持正常内环境的重要机制。这种自身稳定功能 失调时，易导致某些生理平衡的紊乱或者自身免疫疾病。 3 免疫监视( i m m u n o l o g i c a ls u r v e i l l a n c e ) 指机体杀伤和清除异常突变细胞的能 力，机体籍以监视和抑制恶性肿瘤在体内生长。 3 1 3 免疫机制的三个阶段 免疫机制中包含三个主要阶段：自体耐受、免疫应答以及免疫反馈 1 】。 3 1 3 1 自体耐受 免疫耐受( i m m u n o l o g i c a lt o l e r a n c e ) 是指：免疫活性细胞接触抗原性物质时 表现的一种特异性的无应答状态。区分自己( s e l f ) 和非自体( n o n s e l f ) 是免疫系统的一 个主要功能，自体耐受是对自身抗原的一种不答应的免疫耐受。 从生物学免疫的观点看，由于细胞免疫的高频变异，随机产生的t 细胞和b 细胞可能与自体结合，而这些有害的细胞必须与有益的其他淋巴细胞区分开，因 此要经过克隆选择的过程来进行筛选。在细胞的发展过程中，两种主要的对立功 能作用于免疫系统作用于免疫系统。第一种产生足够多的、多样的免疫受体以识 别变化广泛的外部抗原，第二种是必须避免对自体产生应答，在正常情况下，早 期时个别自体抗原有可能产生结合，但通过相应克隆后变为耐受，阻止对自己抗 原应答和弓演洎体免疫。 3 1 3 2 免疫应答 抗原进入机体以后，免疫细胞对抗原分子的识别、活化、分化和效应过程。 称之为免疫应答( i m m u n er e s p o n s e ) 。这个过程是免疫系统各部分生理功能的综合 体现，包括了抗原提呈、淋巴细胞活化、特异识别、免疫分子形成，免疫效应， 以及形成免疫记忆等一系列的过程。 免疫应答有两种类