（计算机应用技术专业论文）一种基于免疫原理的入侵检测模型的设计与实现.pdf

武汉科技大学硕士学位论文第1 页 摘要 不断暴露的网络安全问题迫使人们寻找解决安全问题的新途径，而入侵检测技术作为 防火墙的有力补充成为人们研究的新热点。但是传统的入侵检测技术也存在着自适应性 差，对未知入侵检测率低等缺点。本文针对此问题试图寻找一种新的解决方案，将生物免 疫原理应用到入侵检测系统中，充分利用生物免疫系统具有的众多特性：学习与认知、鲁 棒性、适应性等。 本文提出的系统模型主要基于“自我一非我”理论模式，通过排除和杀死“非我”， 从而保护“自我”；并且局部引入危险理论，即当成熟检测器匹配到入侵时，需要一个协 同刺激信号( 来自管理员) 才能确认攻击。检测器随机产生后采用改进的阴性选择算法完 成耐受，检测过程通过动态克隆选择算法完成；成功检测到入侵的成熟检测器，使其成为 记忆检测器，以便快速产生二次应答( 此时不需要协同刺激) 。系统可以运行在学习模式 和检测模式，但当学习时间小于设定值时，将自动运行为学习模式。任何时候都可以运行 为学习模式，以便及时更新自体数据，这就保证了检测器的动态性。同时，记忆检测器也 会老化，最近最少使用的记忆检测器会被新的记忆检测器取代，充分体现系统的自适应性。 关键字：免疫，抗体，入侵检测，记忆检测器，克隆选择 第1 i 页武汉科技大学硕士学位论文 a b s t r a c t i n c r e a s i n ge x p o s e ds e c u r i t yp r o b l e m so fn e t w o r kf o r c e sp e o p l et ol o o kf o rn e ws o l u t i o n s f o rs a f e t yi s s u e i n t r u s i o nd e t e c t i n gt e c h n o l o g yh a sb e c o m ean e wh o t s p o ta sar e i n f o r c e m e n to f f i r e w a l l b u tt h et r a d i t i o n a li n t r u s i o nd e t e c t i n gt e c h n o l o g yf a c e sm a n yi n s u f f i c i e n c i e s ，s u c ha s ： l a c ko fa d a p t a b i l i t i e s 、i n e f f i c i e n ti nd e t e c t i n gu n k n o w ni n t r u s i o n se t c w et r yt of i n dan e wb l u e p r i n tt ot h e s eq u e s t i o n si nt h i sp a p e rb ya p p l y i n gi m m u n i t yp r i n c i p l et oi d s ，w h i c ht a k e sf u l l a d v a n t a g eo ft h o s ec h a r a c t e r i s t i c so fi m m u n i t ys y s t e m ，s u c ha ss e l f - a d a p t a b i l i t y 、r o b u s t n e s s 、 l e a r n i n ga n dc o g n i z i n ge t c t h i sp a p e rp r o p o s e san e wm o d e lb a s e do n “s e l f - n o n s e l f t h e o r y , w h i c ho b v i a t e st h e “n o n s e l f t op r o t e c t s e l f , w ei n t r o d u c et h e “d a n g e rt h e o r y ”p a r t l yi n t ot h i sd e t e c t i o nm o d e li n t h i sp a p e r , w ec a nc o n f i r mo n ei n t r u s i o no n l yb yr e c e i v i n gac o o p e r a t i n gs t i m u l a t i o n ( d a n g e r o u s s i g n a l ) f r o m t h e a d m i n i s t r a t o rw h e nt h em a t u r ed e t e c t o r m a t c h i n g a ni n t r u s i o n t h e i m m u n o l o g i c a lt o l e r a n c ei ss i m u l a t e db yai m p r o v e dn e g a t i v es e l e c t i o na r i t h m e t i ca f t e rt h e d e t e c t o r sb e i n gg e n e r a t e d ，a n dt h ep r o c e s so fd e t e c t i n gi sa c c o m p l i s h e db yd y n a m i cc l o n i n g s e l e c t i o na r i t h m e t i c ：w em a k et h ed e t e c t o rw h i c hd e t e c t e dai n t r u s i o n s u c c e s s f u l l yw i t ha c o o p e r a t i n gs t i m u l a t i o nb e c o m eam e m o r yd e t e c t o r ，w h i c hw i l lb r i n gaq u i c k e rs e c o n d a r y r e s p o n s e ( w i t h o u t c o o p e r a t i n gs t i m u l a t i o n ) t h es y s t e mw o u l db er u n n i n go nd e t e c t i n gm o d eo rl e a r n i n gm o d e ，y o uc a nc h o o s et h e r u n n i n gm o d ey o u r s e l f , b u tt h ep e r i o dr u n n i n go nl e a r n i n gm o d ew o u l d n tl e s st h a nt h ev a l u e s u p p o s e di na d v a n c e ，o t h e r w i s e ，t h es y s t e mw i l lb er u n n i n go nl e a r n i n gm o d ei t s e l f t h es y s t e m c a nr u n n i n go nl e a r n i n gm o d ea n y t i m e ，s ot h e “s e l f , c a nb eu p d a t ei nt i m e ，w h i c he n s u r et h e d y n a m i ci d i o s y n c r a s yo ft h i sm o d e l s i m u l t a n e o u s l y , t h em e m o r yd e t e c t o r sa r ea g i n g ；t h el e a s tu s i n gl a t e l ym e m o r yd e t e c t o r w i l lb er e p l a c e db yn e wm e m o r yd e t e c t o r s ，w h i c hg u a r a n t e eas e l f - a d a p t a b i l i t yf o rt h i ss y s t e m m o d e l k e yw o r d s ：i m m u n i t y , a n t i b o d y , i n t r u s i o nd e t e c t i n g , m e m o r yd e t e c t o r , c l o n i n g - s e l e c t i o n 武汉科技大学 硕十学位论文第1 页 第一章绪论 1 1 课题研究的背景及意义 1 1 1 网络安全概念 国际标准化组织( i s o ) 将“计算机安全”定义为：“为数据处理系统建立和采取的 技术和管理的安全保护，保护计算机硬件、软件数据不因偶然和恶意的原因而遭到破坏、 更改和泄漏”。上述计算机安全的定义包含物理安全和逻辑安全两方面的内容，其逻辑安 全的内容可理解为我们常说的信息安全，是指对信息的保密性、完整性和可用性的保护， 而网络安全性的含义是信息安全的引申，即网络安全是对网络信息保密性、完整性和可用 性的保护。 1 1 2 网络安全现状 互联网与生俱有的开放性、交互性和分散性特征使人类所憧憬的信息共享、开放、灵 活和快速等需求得到满足。 美国前总统克林顿在签发保护信息系统国家计划的总统咨文中陈述道：“在不到 一代人的时间里，信息革命以及电脑进入了社会的每一领域，这一现象改变了国家的经济 运行和安全运作乃至人们的日常生活方式：然而，这种美好的新时代也带有它自身的风险： 所有电脑驱动的系统都很容易受到侵犯和破坏。对重要的经济部门或政府机构的计算机进 行任何有计划的攻击都可能产生灾难性的后果，这种危险是客观存在的。过去敌对力量和 恐怖主义分子毫无例外地使用炸弹和子弹，现在他们可以把手提电脑变成有效武器，造成 非常巨大的危害。如果人们想要继续享受信息时代的种种好处，继续使国家安全和经济繁 荣得到保障，就必须保护计算机控制系统，使它们免受攻击。” 在各领域的计算机犯罪和网络侵权方面，无论是数量、手段，还是性质、规模，已 经到了令人昨舌的地步。据有关方面统计，目前美国每年由于网络安全问题而遭受的经济 损失超过1 7 0 亿美元，德国、英国也均在数十亿美元以上，法国为1 0 0 亿法郎，日本、新 加坡问题也很严重。在国际刑法界列举的现代社会新型犯罪排行榜上，计算机犯罪已名列 榜首。2 0 0 3 年，c s i f b i 调查所接触的5 2 4 个组织中，有5 6 遇到电脑安全事件，其中3 8 遇到1 5 起、1 6 以上遇到1 1 起以上。因与互联网连接而成为频繁攻击点的组织连续3 年不断增加；遭受拒绝服务攻击( m s ) 则从2 0 0 0 年的2 7 上升到2 0 0 3 年的4 2 。调查 显示，5 2 1 个接受调查的组织中9 6 有网站，其中3 0 提供电子商务服务，这些网站在2 0 0 3 年1 年中有2 0 发现未经许可入侵或误用网站现象。更令人不安的是，有3 3 的组织说他 们不知道自己的网站是否受到损害。据统计，全球平均每2 0 s 就发生1 次网上入侵事件， 黑客一旦找到系统的薄弱环节，所有用户均会遭殃。 国内，如0 6 年底臭名昭著的“熊猫烧香”病毒，仅出自一个中专生之手，却令无数 第2 页武汉科技大学 硕士学位论文 计算机、i n t c r n e t 的使用者无可奈何，谈“熊猫烧香”色变。 网络环境为信息共享、信息交流、信息服务创造了理想空州，网络技术的迅速发展和 广泛应用，为人类社会的进步提供了巨大推动力。然而，正是山于互联网的上述特性，产 生了许多安全问题： a ) 信息泄漏、信息污染、信息不易受控。例如，资源未授权侵用、未授权信息流出 现、系统拒绝信息流和系统否认等，这些都是信息安全的技术难点。 b ) 在网络环境中，一些组织或个人出于某种特殊目的，进行信息泄密、信息破坏、 信息侵权和意识形态的信息渗透，甚至通过网络进行政治颠覆等活动，使国家利益，社会 公共利益和各类主体的合法权益受到威胁。 c ) 网络运用的趋势是全社会广泛参与，随之而来的是控制权分散的管理问题。由于 人们利益、目标、价值的分歧，使信息资源的保护和管理出现脱节和真空，从而使信息安 全问题变得广泛而复杂。 d ) 随着社会重要基础设施的高度信息化，社会的“命脉”和核心控制系统有可能面 临恶意攻击而导致损坏和瘫痪，包括国防通信设施、动力控制网、金融系统和政府网站等。 网络环境的复杂性、多变性，以及信息系统的脆弱性，决定了网络安全威胁的客观存 在。我国日益开放并融入世界，但加强安全监管和建立保护屏障不可或缺。国家科技部部 长徐冠华曾在某市信息安全工作会议上说：“信息安全是涉及我国经济发展、社会发展和 国家安全的重大问题。近年来，随着国际政治形势的发展，以及经济全球化过程的加快， 人们越来越清楚，信息时代所引发的信息安全问题不仅涉及国家的经济安全、金融安全， 同时也涉及国家的国防安全、政治安全和文化安全。因此，可以说，在信息化社会里，没 有信息安全的保障，国家就没有安全的屏障。信息安全的重要性怎么强调也不过分。” 1 1 3 传统的网络安全技术 传统的网络安全技术主要包括：加密和数字签名机制、身份与访问控制机制、认证授 权、安全审计、系统脆弱性检测、构筑防火墙系统等等。 防火墙 网络安全中系统安全产品使用最广泛的技术就是防火墙技术，即在i n t e r n e t 和内部 网络之间设一个防火墙。防火墙配制的多样性和防护的有效性使它成为网络安全防线的中 流砥柱。目前在全球连入i n t e r n e t 的计算机中约有三分之一是处于防火墙保护之下。 防火墙是网络访问控制设备，用于拒绝除了明确允许通过之外的所有通信数据，它不 同于只会确定网络信息传输方向的简单路由器，而是在网络传输通过相关的访问站点时对 其实施一整套访问策略的一个或一组系统。大多数防火墙都采用几种功能相结合的形式来 保护自己的网络不受恶意传输的攻击，其中最流行的技术有静态分组过滤、动态分组过滤、 状态过滤和代理服务器技术，它们的安全级别依次升高，但具体实践中既要考虑体系的性 价比，又要考虑安全兼顾网络连接能力。 防火墙的安全控制主要是基于i p 地址的，难以为用户在防火墙内外提供一致的安全策 武汉科技大学硕士学位论文第3 页 略：而且防火墙只实现了粗粒度的访问控制，也不能j 企业内部使用的其他安仝机制( 如 访问控制) 集成使用：另外，防火墙雉f 管理和配胃，山多个系统( 路【u 器、过滤2 ：、代 理服务器、网关、保垒主机) 组成的防火墙，管理上难免有所疏忽。 加密技术 与防火墙配合使用的安全技术还有数掘加密技术，它的思想核心就是既然网络本身并 不安全可靠，那么所有重要信息就全部通过加密处理，通过一种方式使信息变得混乱，从 而使未被授权的人看不懂它。从技术上分别在软件和硬件两方面采取措施，推动着数据加 密技术和物理防范技术的不断发展。按作用不同，数据加密技术主要分为数据传输、数据 存储、数据完整性的鉴别以及密钥管理技术等四种。 ( 1 ) 数据传输加密技术 目的是对传输中的数据流加密，常用的方针有线路加密和端对端加密两种。前者侧重 在线路上而不考虑信源与信宿，是对保密信息通过各线路采用不同的加密密钥提供安全 保护。后者则指信息由发送者端自动加密，并进入t c p i p 数据包回封，然后作为不可阅 读和不可识别的数据穿过互联网，当这些信息一旦到达目的地，被将自动重组、解密，成 为可读数据。 ( 2 ) 数据存储加密技术 目的是防止在存储环节上的数据失密，可分为密文存储和存取控制两种。前者一般是 通过加密算法转换、附加密码、加密模块等方法实现；后者则是对用户资格、权限加以审 查和限制，防止非法用户存取数据或合法用户越权存取数据。 ( 3 ) 数据完整性鉴别技术 目的是对介入信息的传送、存取、处理的人的身份和相关数据内容进行验证，达到保 密的要求，一般包括口令、密钥、身份、数据等项的鉴别，系统通过对比验证对象输入的 特征值是否符合预先设定的参数，实现对数据的安全保护。 ( 4 ) 密钥管理技术 为了数据使用的方便，数据加密在许多场合集中表现为密钥的应用，因此密钥往往 是保密与窃密的主要对象。密钥的媒体有：磁卡、磁带、磁盘、半导体内存等。密钥的管 理技术包括密钥的产生、分配保存、更换与销毁等各环节上的保密措施。 身份验证 身份验证是一致性验证的一种，验证是建立一致性证明的一种手段。身份验证主要包 括验证依据、验证系统和安全要求。身份验证技术是在计算机中最早应用的安全技术，现 在也仍在广泛应用，它是互联网上信息安全的第一道屏障。 存取控制 存取控制规定何种主体对何种客体具有何种操作权力。存取控制是网络安全理论的重 要方面，主要包括人员限制、数据标识、权限控制、类型控制和风险分析。存取控制也是 最早采用的安全技术之一，它一般与身份验证技术一起使用，赋予不同身份的用户以不同 的操作权限，以实现不同安全级别的信息分级管理。 第4 页 武汉科技大学 硕士学位论文 数据完整性 完整性证明是在数据传输过程巾，验证收到的数据和原束数扼之间保持完仝致的证 明手段。检查是最早采用数掘完整性验证的方法，它虽不能保证数据的完整性，只起到基 本的验证作用，但由于它的实现非常简单( 一般都由硬件实现) ，现在仍广泛应用于网络 数据的传输和保护中。近几年来研究比较多的是数字签名等算法，它们虽可以保证数掘的 完整性，但由于实现起来比较复杂，系统开销比较大，一般只用于完整性要求较高的领域， 特别是商业、金融业等领域。 安全协议 安全协议的建立和完善是安全保密系统走上规范化、标准化道路的基本因素。一个较 为完善的内部网和安全保密系统，至少要实现加密机制、验证机制和保护机制。 1 1 4 研究意义 上述传统的安全技术都在一定程度上起着保护网络安全的作用，然而需要强调的是， 网络安全是一个系统工程，不是单一的产品或技术可以完全解决的。这是因为网络安全包 含多个层面，既有层次上的划分、结构上的划分，也有防范目标上的差别。在层次上涉及 到网络层的安全、传输层的安全、应用层的安全等；在结构上，不同节点考虑的安全是不 同的；在目标上，有些系统专注于防范破坏性的攻击，有些系统是用来检查系统的安全漏 洞，有些系统用来增强基本的安全环节( 如审计) ，有些系统解决信息的加密、认证问题， 有些系统考虑的是防病毒的问题。任何一个产品不可能解决全部层面的问题，这与系统的 复杂程度、运行的位置和层次都有很大关系。另一方面，传统的安全技术虽然取得了很大 的成效，但是也存在一些固有的缺陷，比如访问控制可以拒绝未授权用户的访问，却并不 能阻止已授权用户获取系统中未授权信息；防火墙可以将危险拦在外面，却无法拦住内部 的入侵。而据统计，全球8 0 9 6 以上的入侵来自于内部，公司的内部系统被入侵、破坏与泄 密是一个严重的问题，以及由此引出的更多有关网络安全的问题都应该引起重视。 因此，网络安全的防卫必须采用一种纵深的、多样的手段，形成一个多层次的防护体 系，不再是单一的安全技术和安全策略，而是多种技术的融合，关键是各种安全技术能够 起到互相补充的作用，这样，即使当某一种措施失去效能时，其他的安全措施也能予以弥 补。传统的安全技术更多的是一种基于被动的防护，而如今的攻击和入侵要求我们主动地 去检测、发现和排除安全隐患；而入侵检测技术作为一种积极主动的安全防护技术，提供 了对内部攻击、外部攻击和误操作的实时保护，在网络系统受到危害之前拦截和响应入侵； 基于对系统日志、网络流量的检测，能够对系统的当前状态有更加清楚的认识，一旦发现 问题能够及时解决。正是在这样的环境下，入侵检测系统作为一种新的安全技术开始崭露 头角，成为了安全市场上和研究上的新的热点，不仅愈来愈多的受到人们的关注，而且已 经开始在各种不同的环境中发挥越来越重要的作用。这从国外入侵检测产品市场的蓬勃发 展就可以看出。 由于在网络安全体系结构中的重要性以及巨大商业价值的吸引，使得入侵检测系统成 武汉科技大学硕士学位论文第5 页 为2 0 年来计算机网络研究和相关产品研制的热点。荚团d a p a ( d e f e n s ea d v a n c e sr e s e a r c h p r o j e c t sa g e n t ) ) 即荚固国防部先进研究；l 划饥构出巨资资助了一系列入侵检测研究项口 日本、德国等团政府也都拨巨款以丌展信息安全的研究。中国也先后启动了国家8 6 3 信息 安全应急计划，以及国家自然科学基金、国家8 6 3 高科技计划等崮家资助信息安全方面， 特别是入侵检测方面的研究工作。 入侵检测技术的研究涉及到计算机、数据库、通信、网络、密码学、生物信息学和人 工智能等综合知识，不仅有重要的理论意义，同时也具有巨大的市场价值o “。i d c 的研究 数据显示，1 9 9 9 年和2 0 0 0 年世界网络安全产品的市场规模分别达到4 4 9 亿美元和5 9 7 亿美元，2 0 0 1 年达到7 8 2 亿美元，2 0 0 4 年达到1 5 5 8 亿美元，年复合增长率达到2 8 3 ，而入侵检测系统作为新型的安全产品具有更高的增长率，达到3 9 。随着各种攻击手 段的不断提高、网络流量的持续增大，一个有效的入侵检测系统不仅要求能够正确地识别 系统中的入侵行为，而且还要考虑到检测系统本身的安全以及如何适应网络环境发展的需 要，并且要具备一定的自适应性、鲁棒性和自学习能力。然而当前的入侵检测系统在检测 性能( 如检测新型攻击能力) 、自适应性、鲁棒性等多方面远远不能满足当前社会的需要。 我们迫切需要新型的智能化的入侵检测系统的出现。 近年来生物免疫系统成为一个新兴的生物信息研究课题，受到广大学者青睐。生物机 体抵抗外界入侵和维护自身安全与稳定的主要手段是依靠自身的防御体系和免疫能力，而 生物的自然免疫系统在抵抗病毒和细菌等病原体的入侵方面担当着与入侵检测系统类似 的任务，两者都要在不断变化的环境中维护系统的稳定性；同时生物免疫系统有着多种优 越的特性：耐受性、自学习能力、鲁棒性和适应性等，这正是我们对现有入侵检测系统性 能的期望；因此我们希望把生物免疫原理应用于入侵检测系统中，进一步提高现有入侵检 测系统的性能，使计算机网络系统对入侵具有与生物体类似的免疫能力，能够在病毒肆虐、 黑客遍布的恶劣网络环境下正常运行，以最大限度保护人类人们使用网络的利益。 因此本文提出一种基于免疫原理的入侵检测系统，为当前入侵检测技术的发展寻求一 种更加高效的解决方案。 1 2 国内外研究现状 1 9 8 0 年j a m e sa n d e r s o n 在给一个保密客户写的一份题为计算机安全威胁监控与监 视的技术报告中指出，审计记录可以用于识别计算机误用，他给威胁进行了分类，第一 次详细阐述了入侵检测的概念。1 9 8 4 年到1 9 8 6 年乔治敦大学的d o r o t h yd e n n i n g 发表的 经典论文“a ni n t r u s i o nd e t e c t i o nm o d a l ”提出入侵检测系统的抽象模型，首次把入 侵检测作为一种计算机系统安全防御的手段，正式启动了入侵检测领域内的研究工作，并 和s r i 公司计算机科学实验室的p e t e rn e u m a n 研究出了一个实时入侵检测系统模型一i d e s ( i n t r u s i o nd e t e c t i o ne x p e r ts y s t e m s 入侵检测专家系统) ，是第一个在一个应用中运 用了统计和基于规则两种技术的系统，是入侵检测研究中最有影响的一个系统。1 9 8 9 年， 加州大学戴维斯分校的t o d dh e b e r l e i n 写了一篇论文an e t w o r ks e c u r i t ym o n i t o r ， 第6 页武汉科技大学硕士学位论文 该监控器用于捕获t c p i p 分组，第，一次直接将网络流作为审计数据束源，因而可以在不 将审计数据转换成统格式的情况下监控异种主机，网络入侵检测从此诞生。 早期的入侵检测系统都是基予主机系统的检测，通过监视与分析主机的审计记录柬检 测入侵。1 9 8 8 年1 - e r e s a ll u n t 等人改进了d e n n i n g 提出的入侵检测系统模型，并创建了 i d e s ( i n t r u s i o i ld e t e c t i o ne x p e r ts y s t e m ) ，该系统用于检测单一主机的入侵尝试，提 出了与系统平台无关的实时检测思想。1 9 9 0 年是入侵检测发展史上的一个具有重要意义的 里程碑，这一年加利福尼亚大学d a v i s 分校的h e b e r l e i n 等提出了一个新的概念基于 网络的入侵检测( n e t w o r ks e c u r i t ym o n i t o r 简称n s m ) ，通过在局域网上主动地监视网 络信息流量来追踪可疑行为。这是入侵检测系统第一次监视网络流量并把流量作为主要数 据源。同时n s m 是第一个试图把入侵检测系统扩展到异种网络环境的系统，也是第一个运 行在一个操作系统上的入侵检测系统。此后，入侵检测系统中的两个重要方向开始形成： 基于网络的i d s 和基于主机的i d s ，并开始出现分布式的入侵检测系统。 基于生物免疫机制的人工智能研究可以追溯到2 0 世纪8 0 年代后期，那时f o r m e r 等 就已经开始进行机器学习与分类技术和生物信息处理机制方面的类比研究，而这时也正是 “计算机病毒”被正式提出来的时候。随着计算机病毒的广泛传播，人们开始逐渐重视各 种病毒防范技术的研究。1 9 9 4 年以美国墨西哥大学的f o r r e s t 为代表的研究人员在深入分 析生物免疫特性与机制的基础上，提出了一种计算机免疫系统模型，并给出了相应的算法 否定选择算法( n e g a t i v es e l e c t i o na l g o r i t h m ，n s a ，也称阴性选择算法) ”1 。该 系统首先提取被保护对象的相关特征，并形成一些相应的检测器( d e t e c t o r s ) ，然后依此 来识别和区分被保护对象的“自我”和“非我”( s e l f - - n o n s e l f ) 的信息。1 9 9 7 年，d e a t o n 等人提出了一种基于分子的人工免疫系统，用来模仿自然免疫系统的这种能力。以保护计 算机免受计算机病毒和其他因素的破坏。2 0 0 2 年c a s t r o 和t i m m i s 对否定选择算法做了一 定的修改，把变异引进到其中1 ；同年，k i m 和b e n t l e y 提出了动态克隆选择算法( d y n a m i c s ) “，主要用于网络入侵检测( n i d s ) 。 在国内，有关计算机免疫的相关研究起步不久，2 0 0 2 年武汉大学的梁意文教授利用免 疫原理对大规模网络入侵检测和预警技术进行了研究。2 0 0 3 年四川大学李涛教授提出了基 于免疫的大规模网络入侵动态取证，以及网络安全风险检测与控制等技术。近几年国内关 于应用免疫原理的入侵检测系统的研究已经成为热点，也相应取得一些进展。由此可见， 基于免疫理论的入侵检测研究必将在研究成果和处理方法上为计算机安全系统的设计与 维护提供一条新的途径。而且目前在实践上，国内基于免疫原理的成型的入侵检测系统并 不多见，将免疫原理应用到入侵检测系统有较大的发展空间。 1 3 本文的主要工作 夺分析了传统网络安全技术； 审从理论发展和应用产品方面，分析比较了国内外入侵检测技术的研究现状； 夺分析了免疫原理在网络安全领域的应用； 武汉科技大学硕士学位论文第7 贝 夺分析了现有的入侵检测技术，和堪于免疫原理的入侵检测方泫； 夺提出了种改进的基于免疫原j t 的入侵检测馍型，免r 给i l p 沦原i ，u 上的定量描迓： 夺改进了原有的检测子生成方法； 夺实现该模型并对实验结果进行分 厅。 1 4 论文结构 本文设计了一种基于免疫原理的网络入侵检测系统，并介绍了相关的原理及技术。论 文结果如下： 第一章，介绍课题背景、研究意义以及国内外研究现状。 第二章，从设计入侵检测系统的角度介绍了入侵检测技术。 第三章，介绍了免疫技术的发展和免疫原理在入侵检测系统中的应用。 第四章，详细阐述了本文提出的改进的基于免疫原理的入侵检测系统模型并初步实 现了该模型，给出实验分析。 第五章，对模型进行了认真的思考和总结，并对下一步的工作进行了展望。 第8 页武汉科技大学硕士学位论文 第二章入侵检测研究综述 2 1 入侵检测简介 入侵( i n s t r u c t i o n ) ：表示对系统资源的非授权使用。 入侵检测技术：是为保证计算机系统的安全而设计与配置的一种能够及时发现并报告 系统中未授权或异常现象，以保证系统资源的机密性、完整性和可用性的技术，是一种用 于检测计算机网络中违反安全策略行为的技术。执行入侵检测任务和功能系统就是入侵检 测系统( i n t r u s i o nd e t e c t i o ns y s t e m ，简称i d s ) ，其中包括软件系统以及软硬件结合 的系统。入侵检测系统的作用表现在以下几个方面： ( 1 ) 要监视用户和系统的运行状况，查找非法用户和合法用户的越权操作 ( 2 ) 检查系统配置的正确性和安全漏洞 ( 3 ) 对用户异常活动的统计分析 ( 4 ) 评估重要系统和数据文件的完整性 ( 5 ) 能够实时检测到攻击行为并进行反应 ( 6 ) 操作系统的审计跟踪管理 图2 1 ，给出了一个通用入侵检测系统的通用模型”1 。如图所示，入侵检测系统主要 由以下几大部分组成： ( 7 ) 数据收集器( 探测器) ：负责收集审计数据流。如网络数据包，日志文件和系统调用 记录： ( 8 ) 检测器( 分析引擎) ：根据知识库提供的规则以及系统配置信息进行分析和检测入侵， 并发出报警信号； ( 9 ) 控制器( 响应组件) ：对检测器的输出做出反应动作的组件。 通常提到的入侵检测是指探测入侵的检测器。操作系统或其它专门的商业软件提供事 件记录。 图2 1 通用入侵检测系统模型 武汉科技大学硕十学位论文第9 页 2 ，2 入侵检测系统的设计 入侵卡龟测系统的设计一般从以f ) l 个方面来着手考虑： ( 1 ) 信息源 入侵检测的第一步是信息收集，内容包括系统、网络、数据及用户活动的状念和行为。 而且，需要在计算机网络系统中的若干不同关键点( 不同网段和不同主机) 收集信息，这 除了尽可能扩大检测范围的因素外，还有一个重要的因素就是从一个数据源来的信息有可 能看不出疑点，但从几个数据源来的信息的不一致性却是可疑行为或入侵的最好标识。 当然，入侵检测很大程度上依赖于收集信息的可靠性和正确性，因此，很有必要只利 用所知道的真正的和精确的软件来报告这些信息。因为黑客经常替换软件以搞混和移走这 些信息，例如替换被程序调用的子程序、库和其它工具。黑客对系统的修改可能使系统功 能失常并看起来跟正常的一样，而实际上不是。例如，u n i x 系统的p s 指令可以被替换为 一个不显示侵入过程的指令，或者是编辑器被替换成一个读取不同于指定文件的文件( 黑 客隐藏了初始文件并用另一版本代替) 。这需要保证用来检测网络系统的软件的完整性， 特别是入侵检测系统软件本身应具有相当强的坚固性，防止被篡改丽收集到错误的信息。 目前入侵检测系统所采用的数据源有以下几种类型：操作系统的审计记录，系统日志， 应用程序日志，网络数据包。选择数据源主要基于检测目标的需要“2 1 ，从数据源的选择来 看，入侵检测通常可以分为以下三种： 基于主机的入侵检测系统，其输入数据来源于系统的审计日志，一般只能检测该 主机上发生的入侵。 基于网络的入侵检测系统，其输入数据来源于网络的信息流，能够检测该网段上 发生的网络入侵。 分布式入侵检测系统，能够同时分析来自主机系统审计日志和网络数据流的入侵 检测系统，系统由多个部件组成，采用分布式结构。 主机型入侵检测系统就是以系统日志、应用程序日志等作为数据源，当然也可以通过 其他手段( 如监督系统调用) ，从所在的主机收集信息进行分析。主机型入侵检测系统保 护的一般是所在的系统。这种系统经常运行在被监测的系统之上，用以监测系统上正在运 行的进程是否合法。 基于网络的入侵检测通过监听网络中的数据包来获得必要的数据来源，并通过协议分 析、特征匹配、统计分析等手段检测入侵行为。简称为网络入侵检测系统( n i d s ) 。 通常，由于基于主机的i d s 对主机的信息有充分的掌握并且拥有对主机的较强的控制 权，能够较为准确地检测到发生在主机系统高层的复杂攻击行为，例如对文件系统的非法 访问、对系统配置的非授权修改等。同时基于主机的i d s 更难以欺骗，对攻击的响应也更 有效：可切断入侵连接，杀死进程。但是基于主机的入侵检测严重依赖于特定的操作系统 平台，可移植性差，其次影响宿主机的运行性能：n i i ) s 往往将所需要保护的网络内的一台 主机的网卡设于混杂模式，对所有本网段的数据包并进行信息收集，判断处理。其分析对 象是网络协议，独立于主机的操作系统，故一般不存在移植性问题。另外，基于网络的入 第1 0 页武汉科技大学 硕十学位论文 侵检测能够实时监控网络中的数据流量，并发现潜在的攻击行为和做出迅速的响应。网络 入侵检测系统由于只处理网络数掘，对数掘的语义掌握足不充分的，容易受到攻。岳和欺骗。 适应高速网及提高可扩展性是n i d s 需要解决的问题。 分布式入侵检测系统能有效地结合二者的优点。 早期的入侵检测系统都是基于主机的入侵检测技术，如s r i 的i d e s 和n i d e s 、h a y s t a c k 系统、l o sa l a m o s 的n a d i r 、w i s d o ms e n s e 系统等。其中i d e s 是具有划时代意义的入侵 检测专家系统( i d e s ，由d e n n i n g 和n e u m a n n 协同实现) “，它实现了最初的理论模型。 基于网络的入侵检测系统有u cd a v i s 研制的n s m 系统。2 0 世纪9 0 年代以后的入侵检测倾 向于将两种入侵检测方法结合起来的“混合型”入侵检测。最早实现这种模式的原型系统 是分布式入侵检测系统d i d s ( d i s t r i b u t e di n t r u s i o nd e t e c t i o ns y s t e m ) ，d i d s 体现的 主要思想是分布式检测架构的思路，一般应用于大规模网络环境下的入侵检测。 ( 2 ) 分析手段一 ， 获得信息源后，入侵检测系统必须应用某种分析模式对输入数据进行分析以获取隐藏 在审计事件( 包括主机事件和网络流量) 中的知识。从数据分析手段来看，入侵检测可以分 为滥用( m i s u s e ) 入侵检测和异常( a n o m a l y ) 入侵检测“”。 基于滥用的入侵检测系统假定所有入侵行为和手段( 及其变种) 都能够表达为一种模 式或特征，所有已知的入侵方法都可以用匹配的方法发现“。于是通过存储入侵标签模式， 然后将这些模式与观察到的模式进行匹配以探测入侵。由于基于滥用的入侵检测技术是通 过抓获已知入侵标签的特征模式来建立探测机制的，因此，滥用检测能准确地给出所检测 出的入侵行为的描述信息，但对新的、未知的入侵显得无能为力。另一方面，滥用入侵检 测系统具备较高的检测率和较低的虚警率，开发规则库和特征集合相对简单。 基于异常的检测技术则是先定义一组系统“正常”情况的数值，如c p u 利用率、内存 利用率、文件校验和等( 这类数据可以人为定义，也可以通过观察系统、并用统计的办法 得出) ，然后将系统运行时的数值与所定义的“正常”情况比较，得出是否有被攻击的迹 象。这种检测方式的核心在于如何定义所谓的“正常”情况m 】。 由于基于异常的入侵检测是基于正常活动模式的，因此检测一个新的入侵和检测已知 的入侵并无区别，这也是异常入侵检测优于滥用入侵检测的所在。而当入侵集合与异常活 动集合不完全相等时，定会存在漏报( f a l s en e g a t i v e ) 和误报( f a l s ep o s i t i v e ) 问题。 为了使“漏报”和“误报”的概率较为符合实际需要，必须选择一个区分异常事件的“阈 值”。同时，基于异常的入侵检测由于建立正常活动模式的复杂性以及比较阀值的不确定 性，仍然会有较高的虚警率，而且对检测到的入侵行为无法给出准确描述，不利于及时给 出响应对策。 目前的检测技术研究倾向于结合这两种检测技术，设计一种混合型的入侵检测系统， 文献 5 5 3 对此做了论述。 ( 3 ) 工作模式 从检测速度来看，入侵检测系统有两种工作模式：实时和非实时处理系统。非实时的 武汉科技大学硕士学位论文第l i 页 检测系统通常在书后收集的审计日志文件基础上，进行离线分析处理，斤找出可能的攻击 行为踪迹，目的足进行系统配置的修补工作，防范以后的攻击。这种f 1 馍式常见于早期 的检测系统。实明的检测系统则是以在线的方式检测入侵，一旦发现入侵立即给出警告， 及时保护系统安令。 网络环境中多用实时工作模式，通过监测网络包及时保护系统。针对目前网络技术的 发展，设计用于高速网络的实时入侵检测系统非常必要。但有很多入侵检测系统采用非实 时处理模式。一方面，入侵检测程序只能直接读取以纯文本方式存储的信息；另一方面， 从安全的角度考虑，审计数据却不能以纯文本的形式记录，而以二进制数据存储。因此， 审计数据需要用操作系统供应商提供的工具将其从二进制文件转换成文本文件，再提供给 入侵检测系统，这就在一定程度上牺牲了检测系统的实时性。 ( 4 ) 时间和空问跨度 一个入侵可能跨越时间和空间的限制，因此检测系统的设计者必须考虑如何处理分布 在几个主机上的攻击和持续长期的攻击。 越来越多的入侵者以分布式模式的形式发起攻击，如著名的d d o s 攻击( d i s t r i b u t e d d e n i a 卜0 f s e r v i c e ) ，d d o s 攻击是在d o s ( d e n i a lo fs e r v i c e ，拒绝服务攻击，通过合 理的服务请求占用过多的服务资源，从而使合法用户无法得到服务) 基础上产生的一种式 攻击方式”1 。常见的d d o s 攻击的拓扑结构如图2 2 所示。 在时间领域一样存在这样的问题，如果攻击者不像常见攻击那样在短时间内连续发起 攻击，而是跨越一个较长的时间段，容易使检测系统认为这是正常行为。因此在设计检测 系统时，必须对这种长期持续攻击给出一个很好的判断算法。 ( 5 ) 知识库的及时更新 计算机系统用户的活动随需求的不同而不断变化、各种攻击技术的不断翻新要求检测 系统必须能不断更新其知识。知识更新策略依赖于系统设计中所使用的 图2 2d d o s 攻击的网络拓扑 第1 2 页武汉科技大学 硕士学位论文 分析模式，异常检测中是指用新的参考数掘更新知识库；误用检测中，知识的增量更新不 仅包括lf 1 的入侵特征的更新，也包括新的入侵杯签的增加。检测系统r 嘎口识及时更新，且 每一步决策都基丁来自信息源的新知识，将直接影响检测系统的性能，并且足保证检测结 果可信的必然前提。 2 3 入侵检测系统所常用的检测技术 这里分异常入侵检测和滥用入侵检测两种分析模式来讨论常用的入侵检测技术。 2 3 1 异常入侵检测技术 通过建立主体的正常行为模型，来发现异常行为。 ( 1 ) 统计分析技术 异常入侵检测中使用最广泛的技术统计分析技术，基于历史数据建立模式，这些 用在模式中的数据仅包括与正常活动相关的数据，然后模式被周期性地更新，以反映系统 随时间的变化。基于统计特征的分析技术有如下几种： 阀值检测：统计在一定时间间隔内事件发生的次数，一旦系统的实际属性超出了正常 设定的阀值，就认为系统出了异常。可设定阀值的系统属性有：特定类型的网络连接数、 试图访问文件的次数、某种网络连接出现的时间间隔等。 均值与标准偏差( m e a na n ds t a n d a r dd e v i a t i o n ) 。比较事件度量值的均值和标准偏 差两个参数值，就可以建立置信空间( c o n f i d e n c ei n t e r v a l ) ，系统用户行为超出该区 间即为异常。它的优点就是能够动态地学习( 而非事先确定) 有关正常事件的知识，并通过 置信区间的动态改变表现出来。 马尔可夫过程模型( m a r k o vp r o c e s sm o d e l ) 。模型把不同类型的事件看作是一个状态 转移矩阵( s t a t et r a n s i t i o nm a t r i x ) 的状态变量。分析事件前一个状态及在矩阵中的相 关数据，计算其状态转移的概率，若计算结果非常小则认为出现异常“1 。 聚类分析( c l u s t e r i n ga n a l y s i s ) 。无参数分析方法，用矢量表示法描述事件流，用 聚类算法( 如最近k 个邻节点算法) 来对行为归类“”。无监督聚类入侵检测方法不需要对训 练集进行聚类和严格的过滤，在入侵检测领域有广泛的应用前景。 ( 2 ) 人工神经网络技术 人工神经网络是模拟人脑加工、存储和处理信息机制而提出的一种智能化信息处理技 术。神经网络用给定的n 个动作训练神经网络去预测用户的下一步行为。训练结束之后， 神经网络使用已出现在网中的用户特征匹配实际的用户行为，标志统计差异较大的事件为 异常或非法。神经网络技术应用于入侵检测领域的优势：具有概括和抽象的能力，对不完 整输入信息具有一定的容错处理能力：具有高度的学习和自适应能力；独有内存计算和存 储特性。使用神经网络的优点是可以很好地处理噪声数据，因为它只与用户行为相关，而 不依赖于任何底层数据