（控制理论与控制工程专业论文）基于免疫机理的入侵检测系统研究.pdf

太原理下大学硕士研究生学位论文 基于免疫机理的入侵检测系统研究 摘要 随着计算机技术和网络技术的迅猛发展，我们进入了一个全新的信 息时代。就在我们享受计算机和网络给我们的生产生活带来巨大便利的 同时，却不得不面对日益严重的计算机安全问题的困扰。传统的计算机 安全技术和产品在一定程度上保障了信息系统的安全性，但由于它们自 身的缺陷和被动性，无法主动地检测攻击入侵事件，所以难以避免入侵 和攻击事件的频频发生。一种能实现主动和动态防御的新型网络安全技 术入侵检测系统由此得到了深入研究和迅速发展。 基于免疫机理的入侵检测系统研究是近年来入侵检测领域研究的 前沿课题。它突出的特点是利用基于生物免疫机理的人工免疫系统的模 型和算法来实现对入侵检测系统的优化。本课题正是围绕这样一个主题 来展开研究工作，课题的研究受到了山西省留学回国人员基金项目的资 助( 2 0 0 4 18 1 。 本论文对课题的相关背景和研究意义做了详细说明，在此基础上深 入研究和分析了课题内容涉及的入侵检测系统和人工免疫系统的相关 理论和技术以及它们的现状和发展，并对两个系统的相似性和可借鉴性 太原理i ：人学硕十研究生学位论文 做了论证。在建立基于免疫机理的入侵检测系统的关键技术的研究中， 论文重点分析了模型的“自己“和“异己”的界定、检测规则、检测算 法以及检测漏洞和误报等问题，论文在这一部分首次提出了新的n ，匹 配规则和基于思维进化、否定选择和克隆选择的新的检测器生成算法， 并且通过实验验证了新规则和新算法的有效性。通过充分总结前人的研 究工作，并对相关技术进行创新和改造的基础上，论文提出了一种可以 实现的基于免疫机理的入侵检测系统模型，并对模型做了实验分析，实 验结果表明，该模型在检测性能上表现良好。论文最后总结了整个研究 工作，并对本课题今后可能的发展方向做了预测。 关键字：入侵检测系统，生物免疫系统，人工免疫系统，否定选择，克 隆选择，思维进化 太原理一r 人学硕十研究生学位论文 r e s e a r c h0 ni n t r u s l 0 nd e t e c t i o ns y s t e m b a s e do ni m m u n em e c h a n i s m a b s t r a c t tw i t ht h e r a p i dd e v e l o p m e n t o f c o m p u t e r a n dn e t w o r k c o m m u n i c a t i o nt e c h n o l o g i e s ，w eh a v ec o m ei n t oaf i r e n e wc o m m u n i c a t i o n a g e w h i l ee n j o y i n gt h ec o n v e n i e n c e sf r o mt h ec o m p u t e ra n dn e t w o r ki n l i v i n go rp r o d u c t ，w eh a v et of a c et h ei n c r e a s i n gt r o u b l e sw i t hc o m p u t e r s a f e t i e s t h et r a d i t i o n a ls e c u r i t yt e c h n o l o g i e sa n dp r o d u c t sc a np r o v i d e p r o t e c t i o nf o ri n f o r m a t i o ns y s t e m si nc e r t a i ne x t e n t ，b u tt h e yc a l l ta c t i v e l y d e t e c ta t t a c k sa n di n t r u s i o n sb e c a u s eo ft h e i ro w nv u l n e r a b i l i t ya n dp a s s i v i t y , t h u s ，i ti sd i f f i c u l tt oa v o i di n t r u s i o ne v e n t sh a p p e n i n gf r e q u e n t l y o nt h i s c o n d i t i o n ，an o v e ln e t w o r ks e c u r i t yt e c h n o l o g i e s - - i n t r u s i o nd e t e c t i o n s y s t e m ：i ss t u d i e da n dd e v e l o p e dq u i c k l y , t h a tc a r lr e a l i z et h ea c t i v ea n d d y n a m i cs e c u r i t ys t r a t e g y i nr e c e n ty e a r s ，t h es t u d yo fi n t r u s i o nd e t e c t i o ns y s t e mb a s e do n i m m u n em e c h a n i s mh a sb e c o m eh o ti ni n t r u s i o nd e t e c t i o nf i e l d i t s p r o m i n e n tc h a r a c t e r i s t i ci st ou t i l i z et h em o d e l sa n da l g o r i t h m so fa r t i f i c i a l i m m u n es y s t e mb a s e do nb i o l o g i c a li m m u n et h e o r i e st oo p t i m i z ei n t r u s i o n d e t e c t i o ns y s t e m t h et a s ko ft h i st h e s i si sj u s td e d i c a t e dt ot h et o p i co f i m m u n e - b a s e di n t r u s i o nd e t e c t i o ns y s t e m t h ew o r ki s s u p p o r t e db y i i i 太原理l 。人学硕+ 研究生学付论文 r e t u r n e ef u n do fs h a n x ip r o v i n c e ( 2 0 0 4 - 1 8 ) a f t e rt h er e s e a r c hb a c k g r o u n d sa n ds i g n i f i c a n c e sf o rt h et o p i c w e r ei n t r o d u c e di nd e t a i l ，t h ed i s s e r t a t i o nd e e p l ys t u d i e da n da n a l y z e dt h e t h e o r i e s ，t e c h n o l o g i e so fi n t r u s i o nd e t e c t i o ns y s t e ma n da r t i f i c i a li m m u n e s y s t e m ；a l s oi tr e v i e w e dt h e i rd e v e l o p m e n ts t a t u sa n dp o s s i b l et r e n d ，i na n a d d i t i o n ，t h ec o m p a r a b i l i t ya n do ft h et w os y s t e m sw a sd i s c u s s e d i no r d e r t os e tu pai m m u n e - b a s e di n t r u s i o nd e t e c t i o ns y s t e m ，s o m ek e yt e c h n o l o g i e s ， s u c ha st h ed i f f e r e n t i a t i o no fs e l fa n dn o n s e l fs e t ，m a t c h i n gr u l e s ，d e t e c t i o n a l g o r i t h m s ，d e t e c t i o nh o l e sa n df a l s e a l a r m ，e t c ，w e r ep a r t i c u l a r l ya n a l y z e d a n dw e r ei m p r o v e di ns o m ed e g r e e i nt h i sp a r t an e w 甩一，m a t c h i n gr u l e w a sp r o p o s e da tt h ef i r s tt i m ea n dar e f o r m a t i v ea l g o r i t h mw a sp r e s e n t e d ， i n v o l v i n gm i n de v o l u t i o n ，n e g a t i v es e l e c t i o na n dc l o n a ls e l e c t i o n s o m e e x p e r i m e n t sw e r ed e s i g n e dt od e m o n s t r a t et h ev a l i d i t yo fn e wr u l ea n d a l g o r i t h m ，t o o b a s e do ns u m m a r i z i n gt h ew o r ko ff o r m e rr e s e a r c h e r sa n d r e f o r m i n gt h e r e l a t e d t e c h n o l o g i e s ，ai m p r o v e d r e a l i z a b l em o d e lo f i m m u n e b a s e di n t r u s i o nd e t e c t i o ns y s t e mw a sf o u n d e d t h ee x p e r i m e n t a l r e s u l t ss h o wt h em o d e li sm o r ee f f i c i e n ti nd e t e c t i n gv a r i o u si n t r u s i o n s f i n a l l y , as u m m a r i z a t i o na b o u tt h ew o r kd o n ei nt h i sd i s s e r t a t i o nw a sg i v e n ， a n di t sf u r t h e rr e s e a r c he m p h a s e sa n dd e v e l o p m e n td i r e c t i o n sf o rt h et o p i c w e r ep r e d i c t e d k e ww o r d s ：i n t r u s i o nd e t e c t i o ns y s t e m ，b i o l o g i c a li m m u n es y s t e m ， a r t i f i c i a li m m u n es y s t e m ，n e g a t i v es e l e c t i o n ，c l o n a ls e l e c t i o n ，m i n d e v o l u t i o n i v 声明 本人郑重声明：所呈交的学位论文，是本人在指导教师的指导下， 独立进行研究所取得的成果。除文中已经注明引用的内容外，本论文 不包含其他个人或集体已经发表或撰写过的科研成果。对本文的研究 做出重要贡献的个人和集体，均已在文中以明确方式标明。本声明的 法律责任由本人承担。 论文作者签名：日期：竺! ：竺三 关于学位论文使用权的说明 本人完全了解太原理工大学有关保管、使用学位论文的规定，其 中包括：学校有权保管、并向有关部门送交学位论文的原件与复印 件；学校可以采用影印、缩印或其它复制手段复制并保存学位论文； 学校可允许学位论文被查阅或借阅；学校可以学术交流为目的， 复制赠送和交换学位论文；学校可以公布学位论文的全部或部分内 容( 保密学位论文在解密后遵守此规定) o 签名： 导师签名： e t i 争i ：一? 皇! 竺兰一 日期：j 生竺蟹 太原理1 1 人学硕十研究生学臂论文 第一章绪论 基于免疫机理的入侵检测系统研究是近年来入侵检测领域研究的前沿课题，它 的突出特点是利用生物免疫系统的原理、规则和机制束实现对嘲络入侵行为的发现 和反应，其理论基础人工免疫系统己经发展成为应用仿生学的一个重要分支， 在自动控制、机器人、故障检测以及优化问题等方面取得广泛的应用。目前国内外 掀起一股人工免疫系统的研究热潮，许多研究学者都针对这一领域开展了深入的、 富有成效的研究工作。本章主要介绍论文的相关背景和研究意义，并就论文的组织 结构和论文的主要工作和创新点进行阐述。 i i 引言 随着计算机科学和网络通信技术的飞速发展，我们进入了一个全新的信息时代， 信息技术与信息产业已成为当今世界经济与社会发展的主要驱动力之一。网络的开放 性、共享性、互连程度的扩大，特别是因特网的日益普及，使得网络对社会的影响越 来越大。当i ；i 同益兴起的新业务，如：电子商务、电子现金、数字货币、网络银行等 等，无一不是建立在网络互连的基础之上。信息化、网络化已经是企业和政府未来发 展的大势所趋。但就在我们愈来愈深地感受到开放所带来的巨大便利，并由此对计算 机网络产生越来越强的依赖性时，却不得不面对信息安全问题日益严峻的考验。 由于网络的开放性以及其自身所存在的缺陷，使得面对网络的攻击和入侵时有发 生，而且有越演越烈之势。攻击和入侵已经成为危及计算机网络安全的两个重要方面。 攻击是指通过某种手段使被攻击的计算机无法正常工作；而入侵是指通过某种手段非 法控制计算机，获取某些资料或利用其从事某些非法活动。从个人隐私和资料，到企 业利益，到政府形象和机密乃至到国家安全都与网络安全休戚相关。信息安全保障能 力是新世纪一个国家综合国力、经济竞争实力和生存能力的重要组成部分，若解决不 太原理i ：大学硕+ 研究生学位论文 好将全方位地危及国家的政治、军事、经济、文化、社会生活的各个方面，使国家处 于信息战和高度经济金融风险的威胁之中【”。 传统网络安全技术主要使用加密技术、识别和认证、访问控制和防火墙等，这些 技术虽能提供一定程度的保护和防范能力，但这些安全技术都侧重于防护方面，入侵 者总能绕过重重关卡进入到许多系统中去，这种静态的保护技术无法主动地检测攻击 入侵事件。一种能实现主动和动态防御的新型网络安全技术一入侵检测系统得到了 深入研究和迅速发展，该系统通过对入侵行为过程与特征的分析，使安全系统能够对 入侵事件和入侵过程做出动态、实时的响_ 直【2 1 。 入侵检测系统虽然发展潜力巨大，但由于其研究起步较晚，根据1 9 9 8 年和1 9 9 9 年美国m i tl i n c o l n 实验室对入侵检测系统的评估结果【3 1 以及当| j 商用入侵检测系 统的使用情况调查 4 1 ，可以了解到当前的入侵检测系统在检测性能、自适应性、灵活 性等多方面还存在某些不足，远远不能满足当前社会的需要。与此同时，一门新兴学 科人工免疫系统的发展和繁荣，为入侵检测系统的研究和发展提供了新的思路 人工免疫系统是基于生物免疫系统的基础上发展起来的- n 人工智能学科。随着 对免疫系统研究的深入，研究人员发现计算机网络安全防御系统和免疫系统之间存在 诸多相似性和可借鉴性。因此在入侵检测系统中引入免疫的相关机制，建立一种基于 免疫机理的入侵检测系统就成为当| j i 的热门研究课题。 1 2 相关背景和研究意义 1 2 1 计算机网络安全的目标 国际标准化组织i s o 将“计算机安全”定义为：“为数据处理系统建立和采取的技 术和管理的安全保护，保护计算机硬件、软件数据不因偶然和恶意的原因而遭到破坏、 更改和泄露。”因此，计算机网络安全的目标主要包括： 夺保密性：指信息不泄露给非授权用户或实体，他们只有在授权的条件下，才 能获得服务信息。 2 太原理i 人学硕十研究生学 奇论文 夺完整陛：指敛掘未经授权不能破篡改的特性。 夺可用性：计算机系统根掘授权用户的需要持续提供资源服务。 夺可控性：是指网络管理的可控性，包括网络运行的物理可控性和逻辑或配置的 可控性等，能够有效地控制网络用户的行为及信息的传播范围。 夺可识别性：在计算机系统遭受入侵的情况下，计算机安全系统应该能够提供 足够的信息来跟踪和识别入侵者。 夺准确性：虚假报警应尽可能少，否则误报率高会影响用户的合法行为。 1 2 2 传统网络安全存在的问题 为了达到上面所提到的网络安全目的，人们研究出了一系列安全技术，归结起来， 传统网络安全技术主要使用加密技术、识别和认证、访问控制和防火墙等。 ( 1 ) 加密技术：加密是保护数据的最基本方法，它使用数学方法来重新组织数 据，使得除了合法的接收者外，其他任何人不能读取信息。它的缺陷在于只能防止读 取而无法防止数掘被非法用户获取和修改；同时，由于计算机高速运算能力的提高， 加密算法被破解的时间缩短，难度降低。 ( 2 ) 识别和认证：识别和认证是指通过某种技术手段鉴定身份，基于它的产品 包括用户名、密码以及当前流行的指纹识别器等。识别与验证技术是确定用户身份的 必要手段，但由于密码可能被猜到或通过社会工程的方法得到：指纹虽然难以伪造， 但指纹识别系统可能会遭受破坏，使得指纹与相应用户的对应关系发生改变。所以仅 仅具备强大的识别与认证技术并足以保证系统的安全。 ( 3 ) 访问控制：这种机制是按照事先确定的规则决定主体对客体的访问是否合 法，其目的是防止对网络信息资源的非授权访问和操作。很明显，访问控制机制仅仅 限制是否允许能访问系统中的客体，在主体能够访问操作客体的情形下，并没有限制 主体对客体的行为，因此，访问控制不能防止已授权用户获取系统中未授权信息，而 且访问控制机制由于配置问题或程序错误也会给黑客攻击创造条件。 ( 4 ) 防火墙：防火墙技术是近年发展起来的重要安全技术，其特征是通过在网 3 太原理 人学硕七研究生学位论文 络边界上建立相应的网络通信监控系统来达到保障网络安全的目的，其实现技术就是 将定义好的安全策略转换成具体的安全控制操作，以决定网络之间的通信是否被允 许，从而在内部网、外部网之间建立一个安全控制点，通过允许、拒绝或重新定向流 经防火墙的数掘等方式来实现对进出内部网络的服务和访问进行审计和控制，它是一 种通过网络拓扑结构和服务类型的隔离而在内部网和外部网之间实施安全防范的系 统。防火墙的主要局限是防外不防内，且仅适用于有边界的网络，而且防火墙可能会 被攻破或者被绕过，比如内部人员通过拨号上网，正面虽然牢不可破，但进攻者能够 轻易地绕过防线进入系统内部而使防火墙形同虚设。另外防火墙的配置很复杂，任何 一个简单的配冒失误都可能造成入侵者的长驱直入【5 1 。 从以上分析可知，传统的网络安全技术本身存在一定的局限性，它们在技术层面 上存在配置问题或设计缺陷，它们的保护都是一种被动的防护措施，它们的存在虽然 大大降低了系统被滥用的风险，但并不能对系统是否真的能防止入侵有任何保证。 1 2 3 入侵检测技术的必要性 m i l l e r 在一份有关现今流行的操作系统和应用程序的研究报告中指出软件设计不 可能没有缺陷【6 】。人们试图在技术层面上构建一个完全的安全系统的设想被证明是极 其困难甚至是根本不可能的 7 , s l 。在这样的情况下，一种能实现主动和动态防御的新 型网络安全技术入侵检测技术就应运而生了。入侵检测技术基于对系统日志，网 络流量的检测，通过对入侵行为过程与特征的分析，使系统能够对入侵事件和入侵过 程做出及时、动态的响应。 入侵检测技术是对传统安全技术的补充，文献【9 】指出采取了加密技术、识别认 证、访问控制和防火墙等传统安全技术后，系统的安全性能并不一定可靠，仍然需要 入侵检测这样一个辅助系统。同时，入侵检测系统尽管是计算机网络安全的重要组成 部分，但它不是一个完全的计算机网络系统安全解决方案，它也不能替代传统安全技 术。因此，对于一个安全的网络系统来说应该既要有防火墙等传统防御手段，还要有 能够对网络安全进行实时监控、识别攻击并进行反攻击的入侵检测系统。 4 太原理1 。大学硕十研究生学位论文 入侵榆测系统是近年| 出现的新型m 络安全技术。入侵检测技术足一个全新的、 迅速发展的领域，它己成为网络安全中极为重要的一个课题。入侵检测方法及其产品 也在不断的研究和丌发之中，并且己经在网络攻防实例中初步展现出其重要价值。因 此，对入侵检测理论和技术的研究具有很强的现实性和紧迫性。 1 2 4 基于免疫机理的入侵检测 2 0 世纪九十年代一种新型的人工智能技术人工免疫系统的研究丌始引起学 术界的关注。人工智能领域的智能计算方法的共同点都是将自然界获得的灵感用于解 决工程领域的计算问题，所不同的是人工神经网络源于生物的神经系统，进化计算源 于达尔文的进化理论，而人工免疫则源于生物的免疫系统。人工免疫技术因具有许多 独特而优良的性质，已经吸引了越来越多的学者投入这一领域的研究，而且，经过多 年的发展，人工免疫系统的应用研究成果已经涉及自动控制1 0 1 、模式识别【l l 】、故障 诊断【1 2 】，智能优化【1 3 】、机器人学1 哪以及计算机和网络信息安型1 5 1 等多个领域。 在人工免疫技术的诸多应用领域中，计算机和网络信息安全领域可以算是最直接 的比拟了。研究发现，生物免疫系统与入侵检测系统具有惊人的相似性，前者保护机 体不受诸如病菌、病毒等各种病原体的侵害，而后者保护计算机系统不受或少受入侵 事件的危害或威胁，两者都是在不断变化的环境中维持系统的稳定性。这种相似性使 得免疫系统为入侵检测提供了一个自然的研究模板，而且免疫系统在实现过程中表现 出的识别、学习、记忆、多样性、自适应、容错及分布式检测等复杂的信息处理能力， 正是当前入侵检测领域中所期望得到的。因此，如何将生物免疫的相关机理应用于入 侵检测系统，以提高它的检测能力和应变能力就成为当前的热门研究课题。 1 2 5 国内外的研究状况 1 9 8 0 年a n d e r n lj 6 在论文“计算机安全威胁监控与监视”中首次提出了入侵检测 的概念，他的工作开创了入侵检测研究的先河。1 9 8 7 年d e n n i n g 1 刀发表了重要论文“入 侵检测模型”，为以后的入侵检测系统奠定了理论基础。随后的一段时间里，相继出 现了一系列著名的入侵检测模型，如i d e s 引，m i d a s 1 9 1 ，d i d s 2 0 1 ，n a d i r 2 ”，u s i a t 5 太原理1 二人学硕十研究生学 奇论文 吲等等，这些模型发展了异常检测和滥用检测两种检测技术，建立了一系列基于主机 的、基于网络的的入侵检测系统。从1 9 9 7 年开始，商用入侵检测系统出现，入侵检测 技术开始了蓬勃发展。 最早将免疫原理引入计算机安全领域的是n e wm e x i c o 大学的f o r r e s t 和她的研究 小组在1 9 9 4 年为计算机设计的一个人工免疫系统【2 3 1 。1 9 9 9 年，h o f m e y r 等建立的 l i s y s 系统是第一个基于免疫机理的网络入侵检测模型系统 州。2 0 0 0 年以后越来越 多的计算机安全研究人员致力于将人体免疫学的思想、工作机制应用于入侵检测中 去，如美国的孟斐斯大学、新墨西哥大学、普度大学以及英国的伦敦大学等国外知名 学府中都有不少学者从事这方面的工作。总结起来，国外从事基于免疫机制入侵检测 系统研究的人员大体可分为三个小组：美m u n i v e r s i t yo fn e wm e x i c o 的f o n s t 、 h o f m e y r ) 、组【2 3 2 9 l ；美u n i v e r s i t yo fm e m p h i s i 构d a s g u p t a d 、组【3 0 3 4 1 ；英国 u n i v e r s i t yc o l l e g el o n d o n l 拘k i m 、b e m l e y d 、组1 3 5 3 9 1 。分析发现，f o r r e s t 小组的研究最 为实际、完整和深入；d a s g u p t a d 、组研究的内容只是其中的一个方面，即阴性检测子 和阳性检测子的比较以及阴性检测予的遗传生成算法；k i m d , 组提出的模型正在进行 实验验证工作，而从原理和结构上看尚存在一些问题。其他的研究人员所做的工作较 为零散，未能形成连续和系统性的研究。 国内从事基于免疫原理的入侵检测研究工作才刚刚起步，目前主要做一些基础性 的前期工作。从事这方面研究工作的有西安电子科技大学、华中科技大学等。国家8 6 3 信息安全计划，国家9 7 3 计划都将基于免疫学的入侵检测研究列为了子课题( 4 0 4 6 1 。 1 3 本文的研究内容和思路 本课题的研究得到山西省回国留学人员基金项目的资助( 资助号：2 0 0 4 一1 8 ) ，课 题的研究成果是该基金项目的阶段性成果。 6 太原理i ：人学硕+ 研究生学衍论文 1 3 1 主要研究内容和创新点 入侵检测技术的研究，特别是基于免疫机理的入侵检测系统的研究是近几年来网 络安全领域关注的焦点。本论文的目的萨是要构建一个基于免疫机理的入侵检测系统 的可实现模型。论文的工作主要是着眼于如何将人工免疫系统的原理应用于入侵检测 领域，研究的重点在于通过对人工免疫的深入分析从中提炼和总结出一些适合入侵检 测系统的原理、模型和算法，并将其引入入侵检测系统中来，以期为入侵检测系统的 发展提供一种新思路或新途径。 本论文的研究内容主要包括：总结前人的研究成果，在此基础上提出本论文的 研究目的及研究方向；详细阐述了入侵检测系统的相关技术、现状和发展；深入 分析了生物免疫系统的相关机理，并对人工免疫系统相对成熟的模型和算法做了说 明；通过对生物免疫系统和计算机网络安全系统的对比分析，证实了在入侵检测系 统中引入免疫机理的可行性和迫切性，并对当日口这一领域的研究状况做了详细描述； 研究分析了建立基于免疫机理的入侵检测系统必须解决的关键技术和环节，提出了 新的技术方案，并通过一系列实验验证了这些技术的实用性和可靠性；建立了一种 基于免疫机理的入侵检测系统模型，并通过简单的实验平台对系统模型的实现和性能 做了简要分析。 论文的主要创新点如下： ( 1 )首次提出了n - r 匹配规则，它与以往的匹配规则的最大不同之处在于采 用双阈值，使得规则的应用范围更加灵活，并且通过实验验证了该规 则的有效性和灵活性。 ( 2 ) 在检测器生成算法中除了引入竹r 匹配规则外，算法还首次引入了思维 进化算子，并且在算法的生成中两次设置了否定选择过程，实验仿真 结果表明了该算法在时间和空间上表现优越。 ( 3 ) 从定性和定量的角度分别对检测漏洞和误报作了分析，并且在防止漏 洞和误报方面提出了一些建设性的意见。 7 太原理 大学硕士研究生学位论文 1 3 2 论文的组织结构 论文共分为六章，分别为： 第一章为绪论，主要介绍了本课题的相关背景和研究意义，国内外当前的研究现 状以及本文所要做的主要研究工作和本论文的创新所在。 第二章为入侵检测系统，详细介绍了入侵检测系统的定义、分类以及相关技术。 并对入侵检测系统的一般框架做了概述，最后对入侵检测的历史背景和发展趋势做了 说明。 第三章为人工免疫系统，首先介绍了生物免疫系统的原理和特点，并对基于生物 免疫机理的人工免疫系统的模型、算法做了详细论述，同时对生物免疫系统和入侵检 测系统做了对比分析，最后对免疫机理应用于入侵检测系统中的国内外的研究现状作 了详细介绍。 第四章为基于免疫机理的入侵检测系统关键技术研究，本章是论文的核心内容。 主要研究了免疫机理在入侵检测系统中应用所要解决的一些关键技术和环节，比如 s e l f n o n s e l f 定义问题，检测器生成和检测问题，以及漏洞和误报减少问题等等，本章 还对一些主要改进技术做了实验仿真分析。 第五章为系统模型和实验分析，本章提出并建立了一种可以实现的基于免疫机理 的入侵检测系统模型，并通过简单的实验平台对系统模型的性能做了实验分析。 第六章为总结和展望，本章总结了论文的主要研究工作，并对该课题今后可能 的发展方向做了展望。 8 太原理t 大学硕十研究生学位论文 第二章入侵检测系统 随着计算机网络技术的迅速发展，束自网络的威胁和入侵也越来越多，网络安 全已经成为人们t - s ) 关注的问题。传统网络安全技术主要使用识别和认证、访问控 制、防火墙、系统脆弱性检测和加密技术等，这些技术虽能提供一定程度的保护和 防范能力，但这些安全技术都侧重于防护方面，入侵者总能绕过重重关卡进入到许 多系统中去，这种静态的保护技术无法主动地检测攻击入侵事件。一种能实现主动 和动态防御的新型网络安全技术入侵检测系统得到了深入研究和迅速发展。本 章首先介绍了入侵检测系统的一些基本概念，然后讨论了入侵检测系统的分类，检 测方法和目标，并对入侵检测系统的发展现状和发展趋势做了分析，也为本文系统 的构建明确了方向。 2 1 入侵检测系统的基本概念 2 1 1 入侵 入侵是指任何试图危害资源的完整性、保密性和可用性的活动集合【4 7 】；它是一种 潜在的、有预谋的、未经授权的访问信息和操作信息【1 6 1 ；入侵的目的是攻击系统或试 图访问系统所包含的数据或试图改变或操纵数据，其结果可能造成系统数据的丢失和 破坏，甚至会造成系统拒绝对合法用户服务等后果。 按照d a r p a ( d e f e n s ea d v a n c e dr e s e a r c hp r o j e c t sa g e n c y ，即美国国防部先进 研究计划机构) 的分类方法【4 引，入侵行为被分为五类： ( 1 ) 拒绝服务攻击( d e n i a lo fs e r v i c e ，d o s ) ：使计算机内存资源过于繁忙而不 能处理合法的请求。可能采用的手段有： 夺 滥用合法特征，如m a i l b o m b 、n e p t u n e 、s m u r f 等； 夺 创造畸形包使得t c p i p 协议栈处理出现问题，如t e a r d r o p 、p i n go f d e a t h ： 9 太原理r 大学硕+ 研究生学何论文 夺 利用某些特殊网络守护程序的漏洞，如印a c h e 2 、b a c k 、s y s l o 酣等。 ( 2 ) 越权攻击( u s e r t or o o t ，u 。r ) ：攻击者已经具有普通用户的帐户，通过系 统弱点获得系统超级用户权限。可能采用的手段有： 夺 缓冲区溢出攻击，如e j e c t 、f f b c o n f i g 、f d f o m a t 等； 夺 利用程序假设的运行环境进行攻击，如l o a d m o d u l e 等； 夺 利用程序未妥善管理临时文件进行攻击，如y a g a 等； 夺 利用单个程序或多个程序同时运行的竞争条件进行攻击，如p s 等。 ( 3 ) 远程攻击( r c m o t e t o u s e r ，r u ) ：来自远程的非授权进入。可能采用的手 段有： 夺 利用网络服务软件的缓冲区溢出漏洞攻击，如i m 印、n 锄e d 、s e n d m a i l 等； 夺 利用弱的或配置不当的安全策略攻击，如f i p w r i t e 、g u e f l 、x s n o o p 等； 夺 利用社会因素( 如骗取密码) 攻击，如x l o c k 等。 ( 4 ) 探测攻击( p r o b e ) ：收集被攻击系统信息的攻击。可能采用的手段包括： 夺 各种扫描攻击，如i p s w e e p 、m c c a n 、s a t a n 等； 夺 各种嗅探攻击，如i n s i d e s n i f f e r 等。 ( 5 ) 泄密攻击( d a t a ) ：传送文件和数掘到不被允许的目的地的攻击，如s e c r e t 。 2 1 2 入侵检测 入侵检测的目的是通过检查操作系统的审计数据或网络数据包信息来检测系统 中违反安全策略或危及系统安全的行为或活动，从而保护信息系统的资源不会受到攻 击，防止系统数掘的泄漏、被篡改和破坏。i c s a ( 美国国际计算机安全协会) 把入侵 检测定义为：通过从计算机网络和计算机系统中的若干关键点收集信息并对其进行分 析，从中发现网络或系统中是否有违反安全策略的行为和被攻击的迹象。 入侵检测技术是一种主动的网络安全防御措施，它不仅可以通过监测网络实现对 内部攻击、外部攻击和误操作的实时保护，有效地弥补防火墙的不足，而且还能结合 其它网络安全产品，对网络安全进行全方位的保护，具有主动性和实时性的特点。它 1 0 太原理l 人学硕十研究生学位论文 足时防火墙技术的一种有益的补充。 2 1 3 入侵检测系统 进行入侵检测的软件与硬件的组合并能完成入侵检测任务的系统即称为入侵检 测系统，简称i d s ( i n t r u s i o nd e t e c t i o ns y s t e m ) 。 入侵检测系统通过收集、分析有关网络安全的信息，发现网络系统的不正常模式 或未授权访问尝试。其具体行为表现如下： ( 1 ) 监测并分析用户和系统的活动； ( 2 ) 核查系统配置和漏洞； ( 3 ) 评估系统关键资源和数据文件的完整性； ( 4 ) 识别己知的攻击行为； ( 5 ) 分析预测异常行为； ( 6 ) 操作系统日志管理，并识别违反安全策略的用户活动； ( 7 ) 对异常结果做出反应。 衡量一种入侵检测系统性能优劣的指标主要有两种：检测率和虚警率。检测率指 被监控系统受到入侵攻击时，检测系统能够正确报警的概率。而虚警率是指被监控系 统没有入侵发生而检测系统却发生报警的概率。 2 2 入侵检测系统的分类 根据不同的分类标准，入侵检测系统可有不同的类别。 2 2 1 按照数据分析方法划分 从数据分析方法区分，入侵检测技术可分为两种：异常检测和误用检测【4 9 】。 1 异常检钡l j ( a n o m a l yd e t e c t i o n ) 异常检测也叫基于行为的检测，它是根据事先建立的被监视目标在正常情况下的 行为和状态的统计描述，通过监视这些统计量的当前值是否显著偏离了其相应的正常 太原理= 大学硕十研究生宁衍论文 情况下的统计描述来进行。异常检测技术假定所有入侵行为都是与正常行为不同的， 通过建立系统正常行为的模型，所有与正常模型不同的系统状态均被视为可疑企图。 异常入侵检测通过各种渠道收集大量历史活动资料，从中分析得出正常或者合法行为 模型，并将之与当前活动情况进行对比，如果发现当前状态偏离了正常模型状态，则 系统发出警告信号，即任何不符合以往活动规律的行为都将被视为入侵行为。 异常检测技术的优点是能够检测未知入侵，对系统依赖性相对较小，其缺点是阈 值的设定难以把握，因而存在较高的误判，即虚惊率较高。 2 误用检钡, t j ( m i s u s ed e t e c t i o n ) 误用检测也叫基于知识的检测，它是根据已知入侵所独有的模式或特征，靠监视 特定目标的特定行为，通过对检测数据的模式匹配来进行。这种检测方法通过将已知 的攻击特征和系统弱点进行编码，存入知识库中，将所监视的事件与知识库中的攻击 模式进行匹配，一旦发生匹配，就认为有入侵发生，从而触发相应机制。 误用检测技术的优点是对己知的攻击检测率很高，而虚警率很低。其缺点是对未 知的入侵活动或已知入侵活动的变异无能为力，攻击特征提取困难，知识库需要不断 更新，而且该技术对系统的依赖性太强，灵活性和移植性较差。 检测系统所分析的原始数据，分别来自系统日志和网络数据包。经常将误用检测 用于网络数掘包，将异常检测用于系统日志。在实际系统中，由于这些方法具有互补 性，往往将它们结合在一起使用。 2 ，2 2 按照数据来源划分 从入侵检测系统数据来源区分，入侵检测系统分成两类：基于主机的入侵检测系 统和基于网络的入侵检测系统。 1 基于主机的入侵检测系统( h i d s ，h o s t b a s e di n t r u s i o nd e t e c t i o ns y s t e m ) h i d s 的信息来源为操作系统事件日志、管理工具审计记录和应用程序审计记 录。它通过监视系统运行情况( 文件的打开和访问、文件权限的改变、用户的登录和 特权服务的访问等) 、审计系统同志文件和应用程序( 关系数据库、w e b 服务器) 日志来 1 2 太原理j 大学硕1 = 研究生学位论文 检删入经。h i d s nj _ 以检删到用户误用权限、创建后门帐户、修改重要数捌和改变安 全配晋等行为，同时还可以定期对系统关键文件进行检查，计算其校验值来确认其完 整性。 h i d s 运行在受保护的主机上，其优点表现为： 夺处理的都足操作系统事件或应用程序事件而不是网络包，所以高速网络对它 没有影响。 夺使用的是操作系统提供的信息，经过加密的数据包在到达操作系统后，都已 经被解密，所以h i d s 能很好地处理包加密的问题。 可以综合多个数掘源进行进一步的分析，利用数据挖掘技术来发现入侵。 h i d s 的缺点表现在： 夺会占用主机宝贵的资源和网络带宽，对系统的稳定性和可靠性可能造成一定 的影响。 攻击者或有权限的用户可以插入、修改或删除审计记录，借此逃避h i d s 检测， 尤其是针对来自内部的攻击。 夺缺乏跨平台支持，可移植性差，因而应用范围受到严重限制。 对针对网络协议的入侵行为无能为力。 2 基于网络的入侵检测系统( n i d s ，n e t w o r k b a s e di n t r u s i o nd e t e c t i o ns y s t e m ) n i d s 输入数据来源于网络的信息流，能够检测该网段上发生的网络入侵。n i d s 产品放置在比较重要的网段内，不停地监视网段中的各种数据包，对每一个数据包或 可疑的数据包进行特征分析。如果数据包与产品内置的某些规则吻合，入侵检测系统 就会发出警报甚至直接切断网络连接。 n i d s 运行在网络中，其优点表现为： 检测系统能够检测那些来自网络的攻击，它能够检测到超过授权的非法访 问。 夺 由于不需要改变服务器等主机的配置，不需要在业务系统的主机中安装额 1 3 太原理r 大学硕+ 研究生学位论文 外的软件，从而不会影响业务系统的性能。 夺网络入侵检测系统近年内有向专门的设备发展的趋势，安装这样的一个网 络入侵检测系统非常方便，只需将定制的设备接上电源，做很少一些配置， 将其连到网络上即可；而且检测系统发生故障不会影响正常业务的运行， 具有一定的独立性。 n i d s 也表现出一些缺陷： 夺 对于高速网尤其是在百兆甚至是千兆以上的，仅仅通过在一个点上分析整 个网络上的数据包是不可行的，必然会带来丢包的问题，从而造成漏报或 误报。 夺 随着数据加密越来越普遍，传统的n i d s 工作在网络层，无法分析上层的加 密数据，从而也无法检测到加密后入侵的网络包。 夺 n i d s 只检查它直接连接网段的通信，不能检测在不同网段的网络包。在使 用交换以太网的环境中会出现监测范围的局限。 基于网络的入侵检测产品和基于主机的入侵检测产品都有不足之处，单纯使用一 类产品会造成主动防御体系不全面。但是，它们的缺憾是互补的。如果这两类产品能 够无缝结合起来部署在网络内，则会构架成一套完整立体的主动防御体系，综合了基 于网络和基于主机两种结构特点的入侵检测系统，既可发现网络中的攻击信息，也可 从系统日志中发现异常情况。 2 2 3 按照系统结构划分 从入侵检测系统的结构区分，入侵检测系统可以分为集中式入侵检测系统、层次 式入侵检测系统和分布式入侵检测系统。 l 集中式入侵检测系统 集中式入侵检测系统是由一个位于中央的入侵检测服务器和分布在每个本地主 机上的简单主机审计程序共同组成。本地主机将其收集的审计数据传送到入侵检测服 务器上，由服务器对这些数据进行分析。早期的入侵检测系统大都采用这种结构( 如 1 4 太原理r 大学硕十研究生学位论文 i d e s | 18 】等) 。这种方法的好处足易于管理和协调，缺点足可扩展性、健壮性和设酉陛 都存在严重的缺陷，比如：随着网络规模的增加，导致网络性能大大降低；一旦中央 服务器出现故障，整个系统就会陷入瘫痪，等等。 2 层次式入侵检测系统 层次式入侵检测模型定义了一系列检测区域，每一个入侵检测系统负责监测一个 区域。与集中型不同的是它并不是将本地主机收集到的所有审计数据传送到一个中央 入侵检测系统，而是由每个检测区域的入侵检测系统来分析本区域的主机审计数据， 并将分析结果传送给上一层入侵检测系统。最典型的系统模型是s p a f f o r d 提出的自治 代理结构 5 0 l 。层次式入侵检测系统通过分层分析很好地解决了集中型入侵检测系统的 不可扩展性问题。但是，当网络的拓扑结构发生了变化时，网络的层次和汇总局部分 析报告的整体机制也必须变化。此外，一旦位于最高层的入侵检测系统被攻击之后， 那些只有通过对局部报告进行全局分析才