（信号与信息处理专业论文）基于免疫机理的入侵检测系统研究.pdf

摘要 入侵检测系统在保障网络系统安全中起着关键作用。 本文在深入分析了当前入 侵检测技术研究状况的基础上，提出并建立了一个完整的基于免疫机理的入侵检 测系统.该系统利用了自 然免疫机理的许多优点如多层次、多样性、独特性、动 态防护性、自 适应性、联想记忆等，改善了系统的检测性能，增加了系统的健壮 性、自 适应性和动态防护性。 首先提出了基于免疫机理的入侵检测系统的总体设计方案， 从理论上证明了根 据该方案建立的系统不仅具有比传统的单层防护的入侵检测系统更好的检测性 能，而且具有健壮性、自 适应性和动态防护性等优点。提出了基于免疫机理的入 侵检测系统的多子系统、多代理、多组件的体系架构， 它包括四个子系统即:基于 免疫机理的主机入侵检测子系统、基于免疫机理的网络入侵检测子系统、基于免 疫机理的网络节点入侵检测子系统和控制台。 然后在基于免疫机理的主机入侵检测子系统中，提出了包括完整性代理、可 用性代理、保密性代理和系统调用代理的多代理结构，并重点提出了基于隐马尔 可夫模型的系统调用异常检测方法，该方法使得正常轮廓库具有比同类方法更简 洁、更稳定的优点。在基于免疫机理的网络入侵检测子系统中设计了多组件的层 次结构，新定义了基于连接的统计特征，类比自 然免疫系统自 适应免疫的两种免 疫类型提出了被动免疫抗体和包括记忆自 动免疫抗体和模糊自 动免疫抗体的自 动 免疫抗体的概念和实现方法以检测己知和未知的攻击。根据 t协同淋巴细胞的工 作机理提出了新型的协同信号机制以减少虚普，基于克隆选择原理引入了规则适 应度的概念并提出了记忆规则优化的算法以 增加系统的适应性。通过两个实验证 明该子系统具有较高的检测新型攻击的能力和较低的虚普。在基于免疫机理的网 络节点入侵检测子系统中提出了被动阴性抗体和被动阳性抗体的概念和具体实现 方法， 利用协议分析技术和多代理技术使得该子系统能够检测基于应用层的攻击， 并避免各种入侵检测逃避技术，同时具有良 好的灵活性和健壮性。 关键词:入侵检测系统 自然免疫系统 网络安全 abs tract i n t r u s i o n d e t e c t i o n s y s t e m s p l a y a n i m p o rt a n t r o l e i n p r o t e c t i n g t h e s e c u r it y o f c o m p u t e r s a n d d a t a n e t w o r k s . a n i n t r u s i o n d e t e c t i o n s y s t e m b a s e d o n im m u n e m e c h a n i s m i s p r e s e n t e d b y t h e d e e p s t u d y o f t h e p r e s e n t t e c h n o l o g y o f t h e i n t r u s i o n d e t e c t i o n . t h e i n t r u s io n d e t e c t i o n s y s t e m b a s e d o n i m m u n e m e c h a n i s m i s m a d e u p o f f o u r p a rt s , t h a t i s , a n i m m u n e - b a s e d h o s t i n t r u s i o n d e t e c t i o n s u b s y s t e m , a n i m m u n e - b a s e d n e t w o r k i n t r u s i o n d e t e c t i o n s u b s y s t e m , a n im m u n e - b a s e d n e t w o r k n o d e i n t r u s i o n d e t e c t i o n s u b s y s t e m a n d a c o n s o l e . t h e i n t r u s i o n d e t e c t i o n s y s t e m b a s e d o n im m u n e m e c h a n i s m t r i e s t o i m p r o v e d e t e c t i o n p e r f o r m a n c e a n d t o i n c r e a s e s y s t e m r o b u s t a b i l it y a n d a d a p t a b i l i t y b y u s e o f t h e i n s p i r a t i o n fr o m t h e n a t u re i m m u n e s y s t e m . i n t h e i m m u n e - b a s e d h o s t i n t r u s i o n d e t e c t i o n s u b s y s t e m t h e m u l t i - a g e n t s t ru c t u r e i s d e s i g n e d a n d s y s t e m c a l l a n o m a l y d e t e c t i o n m e t h o d b a s e d o n h mm i s p r e s e n t e d . i n t h e i m m u n e - b a s e d n e t w o r k i n t rus i o n d e t e c t i o n s u b s y s t e m t h e m u l t i l a y e r s t ru c t u r e i s p r o p o s e d . n e w s t a t i s t i c a l f e a t u r e b a s e d o n c o n n e c t i o n s i s d e f i n e d . a n d p a s s i v e i m m u n e a n t i b o d i e s a n d a u t o m a t i c i m m u n e a n t i b o d i e s a r e p re s e n t e d t o d e t e c t o l d a n d n e w a t t a c k s t h e n e w c o s t i m u l a t i o n m e c h a n i s m i s b u i l t t o r e d u c e f a l s e p o s i t i v e a l a r m a n d a ru l e o p t i m i z a t i o n a l g o r i t h m i s p r o p o s e d b a s e d o n t h e c o l o n a l s e l e c t i o n t h e o ry t o m a k e d e t e c t i o n rul e s a d a p t t o p r e s e n t i n t r u s i o n s . t w o e x p e r im e n t s p r o v e t h e s u b s y s t e m c a n d e t e c t o ld a n d n e w a tt a c k w i t h l o w f a l s e p o s i t i v e r a t e . i n t h e i m m u n e - b a s e d n e t w o r k n o d e i n t ru s i o n d e t e c t i o n s u b s y s t e m t h e c o n c e p t o f p a s s i v e n e g a t i v e a n t i b o d i e s a n d p a s s i v e p o s i t i v e a n t i b o d ie s a n d t h e re a l i z a t i o n o f t h e c o n c e p t a r e p r e s e n t e d . p r o t o c o l a n a l y s e s t e c h n o lo g y a n d m u l t i a g e n t t e c h n o l o g y a r e u s e d t o d e t e c t a t t a c k s b a s e d a p p l i c a t i o n l a y e r p r o t o c o l a n d t o d e f e a t m a n y i n t rus i o n d e t e c t i o n e v a s io n t e c h n i q u e s . k e y w o r d s : i n t r u s i o n d e t e c t i o n s y s t e m n a t u r a l i m m une s y s t e m n e t w o r k s e c u r i ty 创新性声明 本人声明所呈交的论文是我个人在导师指导下进行的研究工作及取得的研究 成果。尽我所知，除了文中特别加以标注和致谢中所罗列的内容以外，论文中不 包含其他人己经发表或撰写过的研究成果;也不包含为获得西安电子科技大学或 其它教育机构的学位或证书而使用过的材料。与我一同工作的同志对本研究所做 的任何贡献均己在论文中作了明确的说明并表示了谢意。 申请学位论文与资料若有不实之处，本人承担一切相关责任. 本人签名: 日期 关于论文使用授权的说明 本人完全了 解西安电子科技大学有关保留和使用学位论文的规定，即:研究 生在校攻读学位期间论文工作的知识产权单位属西安电子科技大学。本人保证毕 业离校后，发表论文或使用论文工作成果时署名单位仍然为西安电 子科技大学。 学校有权保留送交论文的复印件，允许查阅和借阅论文;学校可以公布论文的全 部或部分内容，可以允许采用影印、缩印或其它复制手段保存论文。( 保密的论文 在解密后遵守此规定) 本人签名: 导师签名: 日期 日期 第一章绪论 第一章绪论 本章主要介绍了本文研究的背景和意义，给出了入侵检测系统以及免疫的相关术语，归 纳了对八侵和入侵捡测系统的分类，概述了入侵检测技术的研究进展和现状，分析了入侵检 测系统存在的问题，列举了本文研究的主要成果，最后说明了全文的内容安排 1 1 研究背景和意义 随着i n t e r n e t 的飞速发展，信息时代向人们展现出了巨大的魅力。我们的 社会生产和日常生活无一不从i n t e r n e t 的开放式结构中受益匪浅。小小的台 计算机把我们连向了世界，也把世界连向了我们，i n t e r n e t 逐渐成为整个社会 基础设施中最重要的部分之一。但就在我们愈来愈深地感受到开放所带来的巨大 便利，并由此产生对计算机网络越来越强的依赖性时，却不得不面对信息安全问 题日益严峻的考验。 1 网络本身是不安全的，随着网络互联的进一步发展，这种不安全性日益加剧， 对社会的影响也愈来愈大。 1 ) 网络本身是不安全的。 安全性与开放性本身就是一对矛盾。由于i n t e r n e t 的基石t c p i p 协议 在设计时主要注重互联和互操作，而且在使用初期主要应用于一个可信的范围 内，对安全问题的考虑较少，因此i n t e r n e t 具有安全性不足的先天缺陷， 并且这个缺陷因i n t e r n e t 的跨国界性、无主管性、不设防性和缺少法律约 束性而被加剧。另外各种操作系统和应用软件日趋复杂，加上开发时间有限， 大多数软件都很少甚至没有经受必要的安全测试或检验，在这类软件中存在 b u g 是难以避免的。而发布的新的软件补丁若考虑得不够周全又可能在修补 了旧的漏洞的同时引发新的漏洞。因此网络协议和各种软件固有的安全缺陷构 成了网络不安全的内因。 2 )网络正在变得更加不安全。 当前i n t e r n e t 正在越来越多地离开原来单纯的学术环境，融入到社会 的各个方面。一方面，网络用户成份越来越多样化，使用网络的人员已经不是 在i n t e r n e t 初期仅仅限于科技人员和学生，而是包括社会各个阶层的人员。 另一方面人员的多样化也使入侵的目的和动机更加复杂，由最初的少数几名黑 客仅仅出于好奇心和显示自己高深技术的目的非授权进入系统，发展到今天大 量黑客因利益驱使盗用资源、窃取机密、破坏网络。同时由于网络的普及，黑 博士学位论文：基于免疫机理的入侵检测系统研究 客工具软件流行，使得攻击网络所需要的技术下降，而强度上升，如图】1 1 2 s s 所示。许多仅具有初步计算机知识的入侵者可以方便地使用网络上的黑客工具 对一些系统造成巨大损害。而在十年前，能够造成同样损害的只能是少数精通 网络协议和操作系统的资深黑客。正是由于上述的三方面原因即人员多样化、 更多利益诱惑和网上黑客软件的流行造成了网络安全事件迅速增长的外因。内 因和外因共同作用使得网络安全性急剧恶化，图1 1 2 给出的c e r t c c 所报 告的安全事件统计数字清楚地说明了这一点【2 6 5 1 。 h i g h k h o d l o w 图1 1 1 入侵攻击的复杂性与入侵者所需的知识程度 图1 1 - 2c e r t c c 安全事件报告统计 3 ) 不安全因素对整个社会的影响越来越大。 随着网络互联的范围越来越广，社会对网络的依赖性也越来越强，与此 同时安全隐患对社会的影响也越来越大。从个人隐私和资料，到企业利益， 到政府形象和机密乃至到国家安全都与网络安全休戚相关。随着电子政务、 电子商务、网上娱乐等一系列网络应用的蓬勃发展，网络越来越深地渗透到 金融、商务、国防等许多关键领域，i n t e r n e t 网络安全，包括其上的信息 数据安全和网络设备服务的运行安全，日益成为与国家、政府、企业、个人 第一章绪论 3 的利益休戚相关的”大事情”【2 5 9 1 。信息安全保障能力是新世纪一个国家综合国 力、经济竞争实力和生存能力的重要组成部分，若解决不好将全方位地危及 国家的政治、军事、经济、文化、社会生活的各个方面，使国家处于信息战 和高度经济金融风险的威胁之中口5 9 1 。 2 传统的安全技术和产品有其局限性，而入侵检测系统能够增强安全防护系统的 纵深。 传统的安全技术主要包括识别与验证技术和访问控制技术。 识别与验证技术是指通过某种技术手段鉴定身份，基于它的产品包括传统的用 户名、密码以及当前流行的智能卡和指纹识别器。识别与验证技术是确定用户身 份的必要手段，但由于密码可能被猜到或通过社会工程的方法得到，智能卡可能 会丢失，而指纹虽然难以伪造，但指纹识别系统可能会受到破坏，使得指纹与相 应用户的对应关系发生改变。所以仅仅具备强大的识别与认证技术并不能保证系 统的安全。 访问控制技术最主要的产品是防火墙。其特征是通过在网络边界上建立相应的 网络通信监控系统，达到保障网络安全的目的。防火墙型安全保障技术假设被保 护网络具有明确定义的边界和服务，并且网络安全的威胁仅来自外部网络，通过 检测、限制、更改跨越“防火墙”的数据流，通过尽可能地对外部网络屏蔽有关 被保护网络的信息、结构，实现对网络的安全保护。防火墙的主要局限是防外不 防内，且仅适用于有边界的网路。而且防火墙可能会被攻破，或者被绕过。比如 内部人员若通过拨号上网连入i n t e r n e t ，就会使坚固的防火墙如同“马其顿” 防线一样，正面虽然牢不可破，但进攻者能够轻易地绕过防线进入系统内部而使 防火墙形同虚设。另外防火墙的配置很复杂，任何一个简单的配置失误都可能造 成入侵者的长驱直入p 引。 无论是识别认证技术还是访问控制技术都是一种被动的防护措施，它们的存 在大大降低了系统被滥用的风险，但并不能对系统是否真的没有被入侵有任何保 证。而入侵检测技术基于对系统日志、网络流量的检测，能够对系统当前的状态 有更加清楚的认识，一旦发现问题能够及时解决，所以入侵检测系统已经成为信 息安全整体架构的必不可少的一道防线。 3 根据p 2 d r 安全系统理论，入侵检测系统在整个安全系统中起着重要作用。 9 0 年代末，美国国际互联网安全系统公司( i s s ) 提出了自适应网络安全模型 a n s m ( a d a p t i v en e t w o r ks e c u r i t ym o d e l ) 亦称为p 2 d r ( p o l i c yp r o t e c t i o nd e t e c t i o n r e s p o n s e ：策略、防护、检测、反应) ，它已成为目前国际上较实际并可指导信息 系统安全建设和安全运营的安全模型框架【2 8 4 】。p 2 d r 是指一个完整的信息安全架 4 博士学位论文：基于免疫机理的入侵检测系统研究 构应该以安全策略为中心通过防护、响应、检测动态结合，达到保障信息安全的 目的【1 , 3 6 ，如图1 1 3 所示【2 5 4 ： 圈1 1 - 3p 2 d r 模型 在这个模型中，检测起着极其重要的纽带作用，具体说来： 1 ) 检测是静态防护转化为动态防护的关键。只有充分了解当前的安全态 势，才能更加明确防护的重点以及防护的漏洞。 2 ) 检测是动态响应的依据。系统是否能够采取合适的响应方式关键是看 检测的结果是否准确。 3 ) 检测是落实或强制执行安全策略的有力工具。安全策略的建立不应该 是静态不变的，而必须能够根据系统当前状态动态调整以适应安全需 要，而系统当前安全状态的信息主要来自检测系统。 4 研究入侵检测技术不仅具有重要的理论意义，也具有巨大的市场价值。 一个有效的入侵检测系统不仅要求能够正确地识别系统中的入侵行为，而且还 要考虑到检测系统本身的安全以及如何适应网络环境发展的需要。随着各种攻击 手段的不断提高，网络流量持续增大，迫切要求新型的具有自学习和自适应能力 的智能入侵检测系统的出现，所以入侵检测技术的研究涉及到计算机、数据库、 通信、网络、密码学和人工智能等综合知识，具有重要的理论研究意义。近几年 入侵检测技术作为一种动态响应技术受到了来自政府、研究机构等多方面的极大 关注。美国d a r p a ( d e l e n s ea d v a n c e dr e s e a r c hp r o j e c t sa g e n c y ) 即美国国防部 先进研究计划机构出巨资资助了一系列入侵检测研究项目。日本、德国等国政府 也都拨巨款以开展信息安全的研究。中国也相应地先后启动了国家8 6 3 信息安全 应急计划，以及国家自然科学基金、国家8 6 3 高科技计划等国家基金资助信息安 全方面特别是入侵检测方面的研究工作。 入侵检测技术的研究不仅有理论意义，同时也具有巨大的市场价值。 根据i d c 的研究数据如图1 i - 4 所示，1 9 9 9 年和2 0 0 0 年世界网络安全产品的 第一章绪论5 市场规模分别达到4 4 9 亿美元和5 9 7 亿美元，2 0 0 1 年达到7 8 2 亿美元，预计到 2 0 0 4 年将达到1 5 5 8 亿美元，年复合增长率达到2 8 3 ，而入侵检测系统作为新型 的安全产品具有更高的增长率，达到3 9 2 6 6 j 。 据国内据统计，1 9 9 9 年信息安全市场有9 亿元人民币，2 0 0 0 年已达2 0 亿元， 而2 0 0 1 年达到5 0 亿元左右。加入信息安全行业的企业从1 9 9 9 年的不超过l o 家， 到2 0 0 0 年已有3 0 0 多家。而根据国家信息安全测评中心与国家工商管理局联合统 计，目前从事信息安全开发、研究、销售的企业已超过1 0 0 0 家。在这些安全产品 中入侵检测系统占据了相当的份额，并且具有强劲的上升趋势，如图1 1 5 所示。 所以入侵检测技术以及相应产品的研制将会带来可观的经济效益。 图1 1 4 世界网络安全产品市场规模 拍年1 2 月r - 弼产品蛾撤量分布1 1 1 2 0 0 1 年目月，_ 街产】赢拽融罐分布 图1 1 - 5 安全产品数量分布 5 目前已有的入侵检测系统性能上还远不能满足当前社会的需要，而自然免疫机 理为设计高性能的入侵检测系统提供了新的思路。 由于入侵检测系统在网络安全体系结构中的重要性以及它将带来的巨大商业 博士学位论文:基于免疫机理的入侵检测系统研究 价值的吸引， 使得这二十多年来研制了许多入侵检测系统， 但根据 1 9 9 8 年和1 9 9 9 年 美国m i t l i n c o l n实 验室 对 入 侵检 测系 统的 评 估结 果 1 1 9 5 以及当 前 商 用入 侵检 测系统的使用情况调查12 4 8 1 ，可以了 解到当前的入侵检测系统在检测性能 ( 如检测 新型攻击能力) 、自 适应性、灵活性等多方面远远不能满足当前社会的需要。 而生物的自 然免疫系统在抵抗病毒和细菌等病原体的入侵方面担当着与入侵 检测系统类似的任务。虽然生物体在生存期间会遇到来自体外的各种病原体的侵 袭以及体内细胞的癌变等挑战，但生物的免疫系统能够比较圆满地完成检测异常， 保护生物体正常工作的任务【4 9 ,5 0 1 。 所以自 然免 疫机理为 入侵检测系统的 设计提 供 了新的思路。我们希望能够通过建立基于免疫机理的入侵检测系统，使得计算机 网络系统具有与生物体类似的免疫能力，能够在病毒肆虐、黑客遍布的恶劣的网 络环境下顽强的生存并完成正常的功能. 入侵检测技术在国外的研究已 经有二十多年的历史， 而在我国对它的研究从九 十年代末期才开始。入侵检测系统作为一种安全产品，必须本着 “ 自 主开发为主， 引进借鉴为辅”的原则，确立一个较高的起点，在必要的和适当的引进借鉴的基 础上开发出 适合我国自己 需求的，关键技术掌握在自己 手中的高质量的入侵检测 系统，这正是本论文的目的所在。同时，若能够研制出技术领先、性能优越的入 侵检测系统也必将能够带来显著的经济效益。 本论文的研究工作得到了国家 8 6 3计划信息安全主题下的“ 入侵检测预替和安 全管理技术” ( 编号 2 0 0 1 a a 1 4 2 1 0 0 b ) 和广东省自然科学基金项目 “ 蓦于免疫机理 的网络入侵检测系统研究” ( 编号0 2 1 2 8 2 )的资助。 1 .2 相关术语 1 . 2 . 1入侵和入侵检测系统: 首先给出入侵和入侵检测的基本概念。 入侵: 是指任何试图 危害资源的完整性、 保密性和可用性的活动集合1 :1 。 入侵 包括企图或实际攻入到一个信息系统。入侵者的目的可能是滥用系统或系统所包 含的数据，使系统不可靠或不稳定或无法为正常使用服务，或者试图访问系统所 包含的数据或试图改变或操纵数据。 入侵者可以 是一个或多个人，也可能是一些 程序。 入侵者攻击系统一般经过下面的步骤: 1 .准备阶段: 1 ) 被动的侦察:包括嗅探流量或口令，以及用各种方法如搜索引擎 或社会工程等方法进行信息收集。 2 ) 主动的侦察:包括i p扫描，端口扫描以及探测操作系统版本和漏 第一章 绪论 洞等。 2 .入侵阶段: 1 )入侵系统: 利用操作系统或协议漏洞或是配置错误等侵入系统或使 得系统不可用，或以该系统为跳板侵入到其他系统。 2 )上传程序:上传一些工具软件。 3 )下载数据:非授权下载数据。 3 .善后阶段: 1 ) 利用一些方法保持以后方便访问:如安插后门或安装特洛伊木马。 2 ) 隐藏踪迹:修改系统日志，隐藏入侵行为. 入 侵检 测: 即 识别 计 算机 系统 或网 络 上企图 实 施 或正 在进 行的 入 侵活 动 12 5 1 . 入 侵检测技术是于二十世纪八十年代发展起来的一种信息安全技术，它主要通过查 看各种日 志文件或网络流量数据来识别被检测系统中是否存在违背安全策略或危 及系统安全的行为或活动。 入侵检测系统:完成入侵检测任务的系统即为入侵检测系统，也称作 i d s ( i n t r u s i o n d e t e c ti o n s y s t e m) . 入侵检测系统的性能指标主要有检测率和虚苦率: 假设i 与- 1 分别表示对目 标系统的入侵行为和目 标系统的正常行为，a代表 检测系统发出了 入侵报带，- a 表示检测系统没有报等1 1 72 1 检测率: 指被监控系统受到入侵攻击时， 检测系统能够正确报警的概率， 可表 示 为 p (a ii ) o 虚 警 率 : 指 被 监 控 系 统 没 有 入 侵 而 检 测 系 统 却 发 生 报 誉 的 概 率 即 p 伪 i- ,i e 1 . 2 .2免疫的相关术语4 8 ,2 6 8 ,2 6 9 ) . 高等动物和人体内存在一个复杂的免疫系统。它的生理功能主要是识别区分 “ 自 身”与 “ 有害的非自 身， ，并能破坏和排斥 “ 有害的非自 身” ，而对 “ 自 身” 成分则能形成免疫耐受，不发生排斥反应，以维持机体的自身免疫稳定， 下面介 绍我们可能 涉及到的 免疫 概念4 8 ,2 6 8 ,2 6 9 1 抗原:凡是能诱导免疫系统发生免疫应答，并能与产生的抗体发生特异性反应的 物质叫 做抗原， 用a g ( a n t i g e n ) 来表示. 抗体:是机体在抗原物质刺激下产生的，具有与抗原发生特异性结合的球蛋白。 抗体一般用a b ( a n t i b o d y ) 来表示。 免疫应答:免疫细胞识别抗原分子后，自 身活化、增生和分化以 及产生免疫效应 的全过程称作免疫应答。 自 身: 指体内的细胞或无害的体外细胞，我们用s 表示自 身集合。 博士学位论文:基于免疫机理的入侵检测系统研究 . . . . . . . . . . . . . . . . 有害的非自 身:指体外的 有害细胞，即病原体， 我们用n s 表示非自 身集合。 自 免疫:自 免疫是指淋巴细胞错误地将自 身当作病原体而消灭掉的一种病理现象。 免疫耐受:机体有可能对某种特定抗原呈无免疫应答状态，叫免疫耐受。 1 .3 入侵和入侵检测系统的分类 1 .入侵的分类: 入 侵的 分 类方 法有 很多， 可以 根据 入侵 方法， 受 损 程 度等 进行分 类 15 4 1 。 我 们 采 用d a r p a ( d e f e n s e a d v a n c e d r e s e a r c h p r o j e c t s a g e n c y) 即 美国国防部先进研究 计 划 机构的 分 类方 法， 把 入侵 分为四 种， 即 19 8 1 , 拒绝服务攻击 ( d o s ) :拒绝服务攻击使计算机内存资源过于繁忙而不能处理合 法的请求。 拒绝服务攻击可能采用的手段有: . 滥用合法特征: 如m a i l b o m b , n e p t u n e , s m u r f a . 创造畸形包使得t c p / i p 协议栈处理出 现问 题:如t e a r d r o p , p i n g o f d e a t h . . 利用某些特殊网 络守护程序的漏洞:如a p a c h e 2 , b a c k , s y s l o g d o u s e r t o r o o t 攻击 ( u 2 r ) : 攻击者已 经具有普通用户的帐户， 通过系统弱点获得 系统超级用户权限。 u s e r t o r o o t 攻击可能采用的手段有: . 缓冲区溢出 攻击. . 利用程序假设的运行环境进行攻击。 . 利用程序未妥善管理临时文件进行攻击. . 利用单个程序或多个程序同时运行的竞争条件进行攻击。 3o r e m o t e t o u s e r 攻击( r 2 u ) : 来自 远程的非 授权进入。 r e m o t e t o u s e r 攻击可能采用的手段有: . 利用网络服务软件 ( 如i m a p , n a m e d , s e n d m a i l ) 的缓冲区溢出漏洞。 . 利用弱的或配置不当的安全策略如口 令猜测、 字典攻击， f t p - wr i t e . g u e s t . x s n o o p 等. . 社会工程:骗取密码等. 探 测 攻击 ( p r o b i n g ) : 收 集被 攻 击系 统 信息的 攻 击。 探测攻击可能采用的手段包括: 各种扫描攻击: 如i p 扫 描， 端口 扫描. 各种嗅探攻击:如i n s i d e s n i ff e r o : 2 .入侵检测系统的分类: 第一章 绪论 入侵检测系统检测入侵一般包括以 下四个步骤: 即 数据收集、 数据减少、 行为 分 类以 及报告和反应12 7 1 ， 如图1 .3 - 1 所示。 防火冶 图1 .3 - 1入侵检测步骤 数据收集步骤是入侵检测的基础， 及时地收集到充足的原始数据是入侵检测能 够发挥作用的前提。入侵检测系统按照其输入数据的来源来看，可以分为两类: ( 1 )基于主机的入侵检测系统:其输入数据来源于操作系统的审计记录，如 s u n s o l a r i s b s m 或n t 事件日 志等等。 这种系统一般只能检测主机上发 生的入侵。 ( 2 )基于网络的入侵检测系统:其输入数据来源于网络的信息流，能够检测 该网段上发生的网络入侵. 目前的入侵检测系统除了采用传统的审计记录和网络数据流之外还可能采集 其它安全产品如防火墙等的日 志以 及各种带外数据等等12 8 7 1 入侵检测系统收集到的原始数据往往非常庞大，为了能够有效地对其进行处 理，并减少处理和传输的代价必须经过数据减少这一步骤。合理地提取有用数据、 删除冗余的和对检测入侵没有重要影响的数据是入侵检测系统能够发挥作用的保 障。数据减少的方法主要有两种，一是采用数据过滤方法，过滤掉不合要求或不 关心的数据。二是采用数据聚类和特征提取的方法，即通过存储聚类的特征而不 是所有的数据来显著地减少数据量2 7 1 行为分类是入侵检测系统的关键， 它根据经过数据减少提炼过的数据来判断当 前的行为是不是入侵。按照所采用的行为分类的技术的不同，入侵检测系统可以 分为两类5 9 1 . ( 1 )滥用检测 ( mi s u s e d e t e c t i o n ) 系统: 是建立在使用某种模式或者特征 描述方法能够对任何已知攻击进行表达这一理论基础上的。 滥用检测 博士学位论文:基于免疫机理的入侵检测系统研究 系统一般方法是将已知的攻击特征和系统弱点进行编码， 存入知识库 中，检测系统将所监视的事件与知识库中的攻击模式进行匹配，当发 现有匹配时， 认为有入侵发生， 从而触发相应机制15 9 。 这种技术的优 点是可以有针对性地建立高效的入侵检测系统， 虚警率低， 缺点是对 未知的入侵活动或已知入侵活动的变异无能为力，攻击特征提取困 难，知识库需要不断更新5 9 ( 2 )异常检测 ( a n o m a ly d e t e c t i o n ) 系统: 基于己 掌握了 被保护对象的正 常工作模式，并假定正常工作模式相对稳定，有入侵发生时，用户或 系统的工作模式会发生一定程度的改变。一般方法是建立一个对应 “ 正常活动”的系统或用户的正常轮廓 ( p r o f i l e ) ,检测入侵活动时， 异常检测程序产生当前的活动轮廓并同正常轮廓进行比较，同时更新 正常轮廓。当活动轮廓与正常轮廓发生显著偏离时即认为是入侵， 从 而触发响 应机制5 9 。 异常 检测与系统 相对无关， 通用性较强。 它 最大 的优点是有可能检测出以前从未出现过的攻击方法， 不象滥用检测那 样受己知脆弱性的限制. 但它的主要缺陷在于阐值难以确定，且一般 虚普率很高5 9 报告和反应是入侵检测系统的目的.早期的入侵检测系统一般只具有报告功 能，即在发现入侵时仅仅通知系统管理员，报告的方法主要有批处理报告和实时 报告两种。目 前的研究趋势希望能将自 动反应功能添加到系统中去，即系统发现 入侵时能根据入侵类型以及其严重程度自 动地采取某种反应措施比如断开某个连 接等，从而将损失降为最小。但这种自 动反应必须经过谨慎考虑，避免引入诸如 拒绝服务等新问题。按照响应方式的不同，入侵检测系统又可以分成两种: ( 1 )被动响应的入侵检测系统:将检测结果及时报知给系统安全管理员. ( 2 )主动响应的入侵检测系统:根据检测系统结果采取断开连接，结束会话 等措施减少损失.或者采取追踪入侵者，收集入侵证据作为呈堂证供， 还包括建立蜜罐或欺骗系统诱骗入侵者1 1 2 8 1 实际的入侵检测系统在实现方面可以有三种结构方式:单一结构、部分分布 式结构和完全分布式结构。 . 单一结构:是指数据的分析和处理都在同一台主机上完成的系统结构。 早 期的 入侵检测系统大都 采用这种结构 ( 如i d e s 等) 2 6 ， 这种方法的 好处 是易于管理和协调，缺点是分布性差，单点失效等。 . 完 全分布式结 构: 如墨西哥大学 提出 的l i s y s 系 统 4 6 1 ， 它采用类似人类淋 巴 细胞的完全分布式结构来识别正常或异常。系统中没有全局控制中心万 所以分布性和容错性最好，但管理和进行信息综合却比较困难， 较难从整 体上把握，对相互之间有联系的入侵难以判断。 第一章 绪论 部 分 分布式 结 构: 最典 型的 是s p a ff o r d 提出 的自 治 代理结 构 4 7 1 ， 这 种 方 法 介于上述两种方法的中间， 它采用多级别的分布式结构比较合理地解决了 集中管理和分布处理的矛盾。 综上所述，入侵检测系统的分类如图1 .3 - 2 所示。 滥用检测系统 异常检侧系统 基于主机的检测系统 基于网络的检测系统 单一结构 部分分布式结构 完全分布式结构 被动响应 主动响应 厂lwelr廿1jlse廿1、洲，1之.esz 同同同同 不不不不 术源构式 技来结方 用据现应 采数实响 照照照照 按按按按 干11.eses.胜.，.， 类 分 统 系 测 检 侵 入 图1 . 3 - 2入侵检测系统的分类 1 . 4 入侵检测技术的研究进展 ; 1 . 4 . 1入侵检测系统的发展: 入侵检测技术的发展如图1 .4 - 1 所示，可以分成三个阶段: 1 .概念的产生以及模型的酝酿阶段 ( 1 9 8 0 - 1 9 8 6 年) : 1 9 8 0 年j a m e s a n d e r s o n 在论文“ 计算机安全威胁监控与监视” 中首次提出 了 入侵检测的 概念2 7 0 1 . 他认为 审计迹中 含有 对于跟踪滥用和理解用户行为十 分 有价值的重要信息，他的工作开创了入侵检测研究的先河。 2 .模型的建立与发展阶段 ( 1 9 8 7 -1 9 %年) : 1 9 8 7 年d o r o t h y d e n n i n g发 表了 重要论 文“ 入侵检测模型” ， 为以 后的 入侵 检测系统奠定了理论基础2 5 1 。 这个阶段产生了一系列著名的 入侵检测模型如 i d e s , h a y s t a k , m i d a s , w t i m b a s s 认为应当 将数据融合的思想应用到入侵检测系统中去， 他 提出下一代入侵检测系统的输入应包括传感器数据、命令、已建立的数据库中 的先验数据，输出是对威胁源的身份估计、入侵的分类、速率估计等，并给出 了 初步的入侵检测数 据融 合信息流图 7 5 1 . m e x i c o 大学的f o r r e s t 所在的 研究 小组正在将人工免疫的 机理应用于入侵检测系统中去 “ 1 ,4 0 ,3 7 ,4 3 ,4 8 ,4 9 ,5 0 1 。 国内许多大学和研究机构也投入了对入侵检测技术的研究，如中科院软件 所 提出 的 基于a g e n t的 分布入 侵检测系统 模型框架6 9 ,6 7 、 清华大学 设计了 基 于s v m分 类机的 入侵检测系统 2 1 7 1 、 北京 航空大学 提出 的 基于资 源监视的 入侵 检测概念 2 7 2 1 、 西安电 子科技大学 提出的 基于神 经网 络的 入 侵检测等等 6 ,2 0 、 东 北 大 学 对 基于 应用的高 速网 络 入 侵检 测系 统的 研究 等 2 5 3 李 之棠 等 人 8 ,2 6 11 建 立 了一种基于模糊专家系统的入侵检侧框架模型， 将模糊证据理论引入到入侵检 测中。 这些方案都有其独到之处，许多思想都被借鉴到我们所建立的系统中。 1 . 4 .2免 疫机理在入侵检测系统中的 应用2 3 ,4 1 ,4 6 , 6 0 ,6 1 ,6 6 , 1 7 3 , 2 0 3 ,2 0 4 ,2 0 5 , 2 0 7 ,2 0 8 ,2 0 9 ,2 1 1 1 , 自2 0 世纪九十年代一种新型的人工智能技术人工免疫技术的研究开始不 博士学位论文: 基于免疫机理的入侵检侧系统研究 断深入。人工智能领域的智能计算方法 ( 又称作软计算)的共同点都是希望将自 然界得到的启发用于解决其它领域的计算问题，所不同的是人工神经网络的启发 源于人类的大脑，进化计算的启发源于达尔文的进化理论，而人工免疫的启发源 于脊椎动物如人的自 然免疫系统。人工免疫技术因具有许多独特而良好的性质已 经吸引越来越多的研究者的兴趣。根据自然免疫的特性，人工免疫研究已经发展 了 形空间形式化理论、离散免疫网络等理论以量化抗体和抗原的识别。人工免疫 研究的范围包括基于免疫机理的各种计算方法、多代理系统、自 组织系统、控制 系统等等。目前人工免疫系统已经在模式识别、函数估计、优化、机器学习、故 障和异常检测、数据分析和聚类以及计算机和网络安全等许多领域得到应用 1 1 7 8 , 1 7 9 , 1 8 0 1 而在人工免疫技术的这些应用领域中，信息安全领域可以算是最直接的比拟 了。因为信息安全的任务是防止外部入侵者或病毒的侵入以 及内部人员滥用权限， 而自 然免疫系统的任务是防止外部病毒和细菌的感染以及内部细胞的癌变。自 然 免疫系统的高分布性检测能力、记忆能力、近似匹配策略等多种特性都给信息安 全的发展提供了丰富的启迪。 最早将自 然免疫的一些思想引入信息安全领域的是f o r r e s t ， 她在1 9 9 4 年提 出可将信息安全问 题看成一个更加普遍的问 题即如何区分自 身与非自 身14 1 1 .此处 自 身是指合法用户或被保护的数据、文件等，非自身是指非授权用户或被篡改了 的数据。她提出的变化检测的方法主要是借鉴免疫中阴性选择的思想来保护静态 数据免遭病毒的修改，该方法具有检测算法的每个拷贝都是唯一的，检测时概率 可调， 提供的保护是双向 等多个优点.同 年， j e ff r e y o .k e p h a rt 也基于免疫机理建 立了病毒检测系统，他模仿b淋巴细胞的克隆机制产生 “ 消灭信号 “ ，用于抑制 通过计算机网 络传播的 病毒(2 0 5 ) 1 9 % 年 f o r r e s t等对区分自 身与非自身的思想进一步进行延伸，建立了对 u n i x特权进程自 身的 定义， 并将结果首次运用到基于主 机的 入侵检测中 12 m 。 她们 通过大量实验说明运行进程的系统调用的短序列有稳定的正常行为特征.当异常 事件发生时，该特征会发生变化。这样建立的自身轮廓利用了自然免疫系统多样 性的特点。 自 1 9 9 9年开始， 许多业内人士开始致力于研究将免疫机理应用到网络入侵检 测中 去。 h o f m e y r 等 建 立的l i s y s 系 统 14 6 ) 是 第 一 个 基 于 免 疫 机 理 的 网 络 入 侵 检 测 模型系统。l i s y s 采用完全分布的结构，即将内部计算机网络映射成n l 个位置， 每个位置运行一个局部检测系统d l= ( d i, a 1, h l) ， 其中d 。 为检测器集合，八 1, 为第 二种表示， h , 为匹配规则。 在一个局域广播网内， l i s y s 将自 身定义成为计算机间 正常的连接 ( 包括局域网内部计算机的连接以及外部计算机与局域网内部计算机 的连接) 。 一次连接用相连的计算机的源i p地址、目的i p 地址和服务共4 9 位数据 第一章 绪论 串 来表示如图 1 .4 - 2所示4 6 1 。而将非自 身定义为局域网上不常见的连接。抗体为 4 9 位的二进制串。前8 位表示为内部计算机的i p 地址，接下来的3 2 位表示内部 或外部计算机的i p地址。接着用 1 位表示服务器标志。最后8 位表示服务:分配 的特权端口 ( 0 -6 6 ) ，未分配的特权端口 ( 6 7 ) ，未分配的非特权端口 ( 6 8 ) ，分 配的非特权端口 ( 6 9 ) . 1 8 内部 计算机 或内部 服务器 外部计算机或内部客户机 4 0 4 1 4 9 月 压 务 标服务 志 图1 .4 - 2 l i s y s 连 接表 示 ， 6 1 每个检测器由随机生成的 4 9位的数据串和检测器状态 ( 随机的、成熟的、激 活的和记忆)来表示。两个串匹配用r 个连续位置相