（计算数学专业论文）一种基于独特性网络的入侵检测模型.pdf

摘要 摘要 以人工免疫系统( a i s ) 为代表的遗传计算模式是当代仿生技术的一个突破。 人工免疫网络( a 玳) 算法作为人工免疫理论的一个重要组成部分，其理论水平在 最近几年得到很大的发展。与此相关的诸多理论如遗传算法，危险理论，人工组 织细胞算法等也有很好的研究前景。本文以a i n 中最重要的独特性网络作为理论 基础，探讨并改进在这一理论基础上的一种主要的人工免疫网络模型：a i n o t 。 在蝌e t 算法的分析中我们发现，该算法在处理数据缩减的过程中的固有缺 陷忽视了目标数据集的一个重要信息：密度。针对这一缺陷，本文提出了一 种改进的算法a i n d d ，这一算法不但考虑并尊重目标数据集的密度信息，而且在 处理数据聚类的情况下，强调了缩减结果在分类过程中深度信息的重要作用。为 了检测这一算法的效率，我们首先将其应用于数据聚类实验，并取得了比较理想 的实验效果，与a i n c t 相比，a i n d d 算法在数据聚类实验结果中有效地避免了 a i n c t 的弊端。并将这一算法应用于信息安全领域。 入侵检测技术作为当代信息安全中主动防御模式的一个最重要形式，已越来 越受到人们的关注，在该应用领域上的算法在近几年得到很大发展。本文在分析 常见的入侵特征的基础上，以数据集“k d dc u p9 9 为实验测试集，验证本文提 出的a i n d d 算法的检测率。实验结果表明，该算法比起a i n e t ，在检测准确率上 有一定的提高。但由于算法本身的缺陷，即该算法在处理高维的( k d dc u p9 9 维数为4 1 ) 大数据时，需要消耗大量的计算存储空间和时间。而且，对于算法中 出现的参数值，不容易进行调整校正，很难找到最合适的参数，从而使算法无法 发挥最高效率。 分析上述a i n d d 在处理实验数据时的缺陷，针对这一情况，作者参考了“人 工组织 算法在处理数据分类中的应用，提出了一种基于人工组织架构的a i n d d 模型a 矾d d t 。这一模型使得a i n d d 算法不必面对大量的高维数据，而是经 过人工组织结构处理，初步进行过分类的细胞。这一模型大大改善了a i n d d 算法 的运行速度。通过反复进行所设计的入侵检测模拟实验，成功确定了能使算法发 挥最好效能的实验参数，并取得比较理想的检测效果。 关键词：独特性网络，异常检测，a i n o t ，a i n d d ，a r t i f i c i a lt i s s u e a b s t r a c t t h eg e n e t i cc o m p u t i n gm o d e lr e p r e s e n t e db ya r t i f i c i a li n l l l l u n es y s t e m ( a i s ) i sa b i gb r e a ki nm o r d e nb i o n i c ss c i e n c e a r t i f i c i a li i m l u l l en e t w o r k ( a n , 0a l g o r i t h mw h i c h h a sb e e nd r a m a t i c a l l yi m p r o v e dt h e s ey e a r si sa ni m p o r t a n tp a r to fa i st h e o r y b a s e do n t h ed i s c u s s i o no fi d i o t y p i cn e t w o r kw h i c hi st h em o s ti m p o r t a n tp a r to f 越n ，w e p r o p o s e da ni m p r o v e m e n to no n e o fi t sm o s tt y p i c a lm o d e l ：a i n e t d u r i n gt h er e s e a r c ho na i n e tm o d e l ，w ef o u n dab i gf l a wo ft h i sa l g o r i t h m ：t h e i n o b s e r v a n e eo ft h ed e n s i t yi n f o r m a t i o no ft h e 仕a i n i n gd a t as e t b a s e do i lt h i s d i s a d v a n t a g e ，w ei n t r o d u c e da i n d d ：an e wa r t i f i c i a li m l l l u n em o d e lw h i c hr e s p e c t e d t h ed e n s i t ya n dd e p t hi n f o r m a t i o no ft h ed a t as e t t h i sa l g o r i t h mi st h e na p p l i e dt oa e x p e r i m e n to i ld a t ac l u s t e r i n g t h er e s u l ts h o w e dt h a ta i n d d a v o i d e dt h ep i t f a l lo f a i n e t t h e nw ei n t r o d u c e dt h i sm o d e li n t on e t w o r ki n t r u s i o nd e t e c t i o ne x p e r i m e n t s t h e k d dc u p9 9d a t as e tw a sd i s c u s s e da n dn e t w o r ki n t r u s i o nc h a r a c t e r i s t i cw a sp r e s e n t a f t e rt h a t t h ee x p e r i m e n t a lr e s u l t ss h o w e dt h a tw h e nd i r e c t l ya p p l i e da i n d di n t ot h e h u g ea m o u n t so fh i g hd i m e n s i o n a ld a t as e tt h ea l g o r i t h mc o u l dc o l l s u m et o om u c h m e m o r ya n dt i m e a n di tw a sn o te a s yt of i n dt h eb e s tp a r a m e t e r sf o rt h ea l g o r i t h m u n d e rt h i sc i r c u m s t a n c e s ot h em o d e ln e e d st ob ei m p r o v e dt oc o p e 埘mt h eh u g e a m o u n t so f h i g hd i m e n s i o n a ld a t a w er e f e r e dt ot h ea r t i f i c i a lt i s s u em o d e la n dt r i e dt oa b a t et h ed a t as i z eb e f o r et h e t r a i n i n gp h a s e t h er e s u l ts h o w e dt h a tt h en e wm o d e l ，a i n d d 嘶ma r t i f i c a lt i s s u e p a r a d i g m ( a i n d d t ) ，w a sm u c hf a s t e rt h e nt h ef o r m e r t h e nw es u c c e s s f u l l yf i n dt h e p a r e m e t e r sf o rt h en o wm o d e ld u r i n gt h ea d j u s t i n ge x p e r i m e n t sa n da c h i e v em u c h h i g h e rd e t e c t i o nr a t ea n dm u c hl o w e rf a l s ep o s i t i v er a t e k e y w o r d s ：i d i o t y p i cn e t w o r k , a n o m a l yd e t e c t i o n ，a i n e t , a i n d d ，a r t i f i c i a lt i s s u e 独创性声明 本人声明所呈交的学位论文是本人在导师指导下进行的研究工 作及取得的研究成果。据我所知，除了文中特别加以标注和致谢的地 方外，论文中不包含其他人已经发表或撰写过的研究成果，也不包含 为获得电子科技大学或其它教育机构的学位或证书而使用过的材料。 与我一同工作的同志对本研究所做的任何贡献均已在论文中作了明 确的说明并表示谢意。 关于论文使用授权的说明 本学位论文作者完全了解电子科技大学有关保留、使用学位论文 的规定，有权保留并向国家有关部门或机构送交论文的复印件和磁 盘，允许论文被查阅和借阅。本人授权电子科技大学可以将学位论文 的全部或部分内容编入有关数据库进行检索，可以采用影印、缩印或 扫描等复制手段保存、汇编学位论文。 ( 保密的学位论文在解密后应遵守此规定) 签名：藓邀 第一章绪论 第一章绪论 随着互连网络应用的日益庞大和繁荣，人们在互连网中的活动逐渐丰富，在 网络中的安全保障成为人们日益关注的焦点。入侵检测是随互连网的发展应运而 生的- - i - j 新欣学科。入侵检测技术【l 】是信息安全技术的一个重要组成部分，在网络 安全中扮演着重要的角色。入侵检测技术在近几年有巨大的发展，在当前的生产 生活中起到很多积极的作用。但是，由于其在国内的发展起点不高，发展时间较 晚，以及受研究环境的限制，入侵检测技术水平在当前还不能满足日益增多的互 连网用户的需求。 人工免疫算法【2 】作为一种日趋成熟的算法理论，在实际中的应用越来越广泛。 它保护自体，识别非己的算法特点在很多领域有重要的应用。在入侵检测领域中， 人工免疫算法也已经有一些理论上的研究【3 】【4 1 ，但是目前在这方面的研究中还有一 些不足，还有大量的算法细节需要改进。 1 1 研究动机 入侵检测算法在当前的网络应用中占据非常重要的位置，但是，在很多地方 还无法满足当前的需要，主要表现在以下几个方面【5 】： ( 1 ) 目前使用的主要检测方法是将审计事件同特征库中的特征匹配，但现在 的特征库组织不完备，导致的漏报率和误报率较高，很难实现对分布式、协同式 攻击等复杂攻击手段的准确检测；此外，预警能力严重受限于攻击特征库，缺乏 对未知入侵的预警能力。即使检测到攻击，现有的入侵检测系统的响应能力和实 时性也很有限，不能预防现广泛使用的快速脚本攻击，对于此类快速的来意攻击 只能发现和记录，实时阻止比较困难。 ( 2 ) 入侵检测系统对网络上所有的数据进行分析，如果攻击者对系统进行攻 击尝试，而系统相应服务开放，只是漏洞已经修补，那么这一次攻击是否需要报 警，这就是一个需要管理员判断的问题。因为这也代表了一种攻击的企图。但大 量的报警事件会分散管理员的精力，反而无法对真正的攻击作出反映。和误报相 对应的是漏报，随着攻击的方法不断更新，入侵检测系统是否能报出网络中所有 的攻击也是一个问题。系统的自适应能力差，软件的配置和使用复杂，不能自动 电子科技大学硕士学位论文 地适应环境，需要安全管理员根据具体的环境对软件进行复杂的配置。入侵检测 系统的内部各部件缺乏有效的信息共享和协同机制，限制了攻击的检测能力；入 侵检测系统之间基本无法协同，甚至交换信息都很难实现，因此要建立一种大型 网络的战略安全预警系统是很难的。 ( 3 ) 当前入侵检测系统还存在隐私和安全的矛盾。入侵检测系统可以收到网 路的所有数据，同时可以对其进行分析和记录，这对网络安极其重要，但难免对 用户的隐私构成一定风险，这就要看具体的入侵检测产品是否能提供相应功能以 供管理员进行取舍。入侵检测系统是采取被动监听的方式发现网络问题，无法主 动发现网络中的安全隐患和故障。如何解决这个问题也是入侵检测产品面临的问 题。在入侵发生之前合理预判攻击行为是否生效，是入侵检测分析技术的最高境 界。但目前由于算法处理和规则制定的难度很大，目前还不是非常成熟，但却是 入侵检测技术发展的趋势。 ( 4 ) 随着入侵检测产品功能的增加，可否在功能增加的同时，不增大管理的 难度。例如，入侵检测系统的所有信息都储存在数据库中，此数据库能否自动维 护和备份而不需管理员的干预? 另外，入侵检测系统自身安全性如何? 是否易于 部署? 采用何种报警方式? 也都是需要考虑的因素。入侵检测产品最初的目的是 为了检测网络的攻击，但仅仅检测网络中的攻击远远无法满足目前复杂的网应用 需求通常，管理员难以分清网路问题：是由于攻击引起的还是网络故障。入侵 检测检测出的攻击事件又如何处理，可否和目前网络中的其他安全产品进行配合。 由于上述原因，并且考虑到入侵检测系统在网络安全领域的重要作用，进一步 深入研究入侵检测理论和算法在当前是非常必要的。 1 2 入侵检测方式 根据基本检测方式的不同，入侵检测算法主要分成两种形式【6 l ： ( 1 ) 误用检测( m i s u s ed e t e c t i o n ) 。 ( 2 ) 异常检测( a n o m a l yd e t e c t i o n ) 。 误用检测是用已知的入侵攻击模式来构建入侵模式库，将捕获到的入侵攻击 模式与入侵模式库中的模式进行匹配。若入侵者攻击方式在检测系统中的模式库 中匹配到相关记录则入侵事件即被检测到。这种检测方法的优点主要是检测的准 确度高、错误率较低，耗费较少的系统资源。目前几乎所有入侵检测系统都利用 这种方法检测误用入侵。这种检测方式的优点是：速度快，效率高，检测方便。 2 第一章绪论 这种方法的缺点是：只能阻止已知的模式库中的入侵模式，而对新的入侵行为无 能为力，并且无法检测未知入侵。 异常检测是将入侵活动作为异常活动的子集。首先构造异常活动集，然后从 中发现入侵性活动子集。它依赖于异常模式的建立【6 】。这种检测技术是通过观测到 的一组测量值与正常或期望行为的偏离度，预测用户行为的变化，然后做出决策 判断的检测技术。这种检测方法首先需要设置一个预定的阈值，并为各种系统对 象建立一个正常行为模式的轮廓描述文件，选择行为模式的各种属性作为这些系 统对象的度量值。若两者的偏离度超过了预先设置的阈值，则入侵者即被检测到。 这种入侵检测方法的缺点是：整个过程被分为至少两个阶段，需要比较长的训练 时间为检测阶段做准备，同时维持和更新抗体信息需要耗费一些系统资源。要通 过对系统不断的训练，对与正常的网络行为用统计的方法进行归纳总结，这个涉 及到了自我集的定义问题，如果自我训练不够充足的话( 常常会碰到这种情况) 将使得系统可能经常将正常判断为异常，误判率将会很高。第二方面，训练检测 器阈值也会是一个耗时并且困难的问题，阈值设置不当将容易导致i d s 的错误报 警或者漏报率提高。这种入侵检测方法的优点是：可以在保证对已知入侵的较高 的检测率的基础上，对未知的可疑入侵行为作出比较高效的判断。 本文主要关注上述的( 2 ) 中的异常检测的入侵检测方式，因为这种检测方式， 既能够检测已知的入侵模式，同时也能够检测未知的入侵方式，这样的潜质特性 对于入侵检测系统的设计者们来说是十分理想的。 1 3 论文组织 本论文的其余部分组织如下： 第二章讨论入侵检测技术的发展现状和趋势分析。 第三章描述人工免疫系统和人工免疫网络算法和发展现状，并且对其进行优 缺点分析。 第四章叙述基于独特型免疫网络的算法a i n d d ，并叙述基于此算法的数据聚 类试验结果和分析。 第五章讨论基于a i n d d 算法的入侵检测算法设计并讨论设计试验以及实验 结果分析 第六章基于对第五章算法的改进，提出一种基于人工组织理论的入侵检测模 型a i n d d t 。 3 电子科技大学硕士学位论文 第七章描述全文总结与展望。 1 4 本章小结 本章简要描述了撰写本文的动机、对本文的使用方案，以及论文的总体组织， 大体上描述了全文的框架，为下文开头，并方便查阅文章结构。 4 第二章入侵检测技术介绍和发展现状分析 第二章入侵检测技术及其发展现状 入侵检测技术基于对系统日志，网络流量的检测，能够对系统当前的状态有 更加清醒的认识，他已经成为信息安全整体架构的必不可少的一道防线。由于在 网络安全体系结构中的重要位置，入侵检测系统成为近2 0 年计算机网络研究的一 个热点。 2 1 入侵检测系统定义 入侵检测【| 7 1 ( i n t r u s i o nd e t e c t i o n ) ，顾名思义，便是对入侵行为的发觉。它通 过对计算机网络或计算机系统中得若干关键点收集信息并对其进行分析，从中发 现网络或系统中是否有违反安全策略的行为和被攻击的迹象。进行入侵检测的软 件与硬件的组合便是入侵检测系统( i n t r u s i o nd e t e c t i o ns y s t e m ，简称i d s ) 。与其他 安全产品不同的是，入侵检测系统需要更多的智能，它必须可以将得到的数据进 行分析，并得出有用的结果。一个合格的入侵检测系统能大大的简化管理员的工 作，保证网络安全的运行。 具体说来，入侵检测系统的主要功能有【9 】： 一、监测并分析用户和系统的活动； 二、核查系统配置和漏洞； 三、评估系统关键资源和数据文件的完整性； 四、识别已知的攻击行为； 五、统计分析异常行为； 六、操作系统日志管理，并识别违反安全策略的用户活动。 入侵行为主要是指对系统资源的非授权使用，可以造成系统数据的丢失和破 坏、系统拒绝服务等危害。对于入侵检测而言的网络攻击可以分为4 类【7 】： ( 1 ) 检查单m 包( 包括t c p 、u d p ) 首部即可发觉的攻击，如w i n n u k e 、p i n go f d e a t h 、l a n d c 、部分o sd e t e c t i o n 、s o u r c er o u t i n g 等。 ( 2 ) 检查单包，但同时要检查数据段信息才能发觉的攻击，如利用c g i 漏洞， 缓存溢出攻击等。 ( 3 ) 通过检测发生频率才能发觉的攻击，如端口扫描、s y nf l o o d 、s m u r f 攻击等。 电子科技大学硕士学位论文 ( 4 ) 利用分片进行的攻击，如t e a d r o p ，n e s t e a ，j o l t 等。此类攻击利用了分片组装 算法的种种漏洞。若要检查此类攻击，必须提前( 在口层接受或转发时，而不是 在向上层发送时) 作组装尝试。分片不仅可用来攻击，还可用来逃避未对分片进 行组装尝试的入侵检测系统的检测。 在本文最后的入侵检测模型设计实验中，所使用的实验数据为k d dc u p 9 9 数据集，该数据集中的数据中包含了上述的大部分入侵类型，可以作为实验数据。 根据检测原理，入侵检测系统可以分为以下两类： 一、异常检测 在异常检测中【l o l ，观察到的不是已知的入侵行为，而是所研究的通信过程中 的异常现象，它通过检测系统的行为或使用情况的变化来完成。在建立该模型之 前，首先必须建立统计概率模型，明确所观察对象的正常情况，然后决定在何种 程度上将一个行为标为“异常 ，并如何做出具体决策。 异常检测只能识别出那些与正常过程有较大偏差的行为，而无法知道具体的 入侵情况。由于对各种网络环境的适应性不强，且缺乏精确的判定准则，异常检 测经常会出现虚警情况。但是由于其可以保证在较高的命中率的基础上，有预报 未知入侵的潜力，它被作为现代入侵检测系统研究的一个重要方向。本文提出的 算法正式基于这一检测类型原理。常见的异常检测可以通过以下两种系统实现： ( 1 ) 自学习系统 自学习系统通过学习事例构建正常行为模型，通过正常行为与异常行为之间 在数据特征性上差别较大这一特点，来侦测和预报入侵行为。这一系统有自学习 自调整参数的功能，常常用神经网络，机器学习，人工免疫系统等构造。 ( 2 ) 编程系统 该类系统需要通过编程学习如何检测确定的异常事件，从而让用户知道什么 样的异常行为足以破坏系统的安全。编程系统可以再细分为描述统计和缺省否认 两种。 二、误用检测 在误用检测中，入侵过程模型及它在被观察系统中留下的踪迹是决策的基础。 所以，可事先定义某些特征的行为是非法的，然后将观察对象与之进行比较以做 出判别。 误用检测基于已知的系统缺陷和入侵模式，故又称特征检测。它能够准确地 检测到某些特征的攻击，但却过度依赖事先定义好的安全策略，所以无法检测系 统未知的攻击行为，从而产生漏报。 6 第二章入侵检测技术介绍和发展现状分析 误用检测通过对确知决策规则编程实现，可以分为以下四种【1 1 1 ： ( 1 ) 状态建模：它将入侵行为表示成许多个不同的状态。如果在观察某个可 疑行为期间，所有状态都存在，则判定为恶意入侵。状态建模从本质上来讲是时 间序列模型，可以再细分为状态转换和p e t r i 网，前者将入侵行为的所有状态形成 一个简单的遍历链，后者将所有状态构成一个更广义的树形结构的p e t r i 网。 ( 2 ) 专家系统：它可以在给定入侵行为描述规则的情况下，对系统的安全状 态进行推理。一般情况下，专家系统的检测能力强大，灵活性也很高，但计算成 本较高，通常以降低执行速度为代价。 ( 3 ) 串匹配：它通过对系统之间传输的或系统自身产生的文本进行子串匹配 实现。该方法灵活性欠差，但易于理解，目前有很多高效的算法，其执行速度很 快。 ( 4 ) 基于简单规则：类似于专家系统，但相对简单一些，故执行速度快。 误用检测在实际的应用中使用的比较广泛，现在大多数的i d s 产品都是基于 误用检测原理的。但是由于其没有检测未知入侵模式的能力，本文不采用这样的 入侵检测模式。 2 2 入侵检测系统的体系结构 入侵检测技术i d s 是一种主动保护自己免受攻击的一种网络安全技术。作为 防火墙的合理补充，入侵检测技术能够帮助系统对付网络攻击，扩展了系统管理 员的安全管理能力( 包括安全审计、监视、攻击识别和响应) ，提高了信息安全基 础结构的完整性。它从计算机网络系统中的若干关键点收集信息，并分析这些信 息。入侵检测被认为是防火墙之后的第二道安全闸门，在不影响网络性能的情况 下能对网络进行监测。它可以防止或减轻上述的网络威胁。 现在的入侵检测系统在结构上可划分为数据收集和数据分析两部分【1 2 】。 2 2 1 数据收集 数据收集机制在i d s 中占据着举足轻重的位置。如果收集的数据时延较大， 检测就会失去作用；如果数据不完整，系统的检测能力就会下降；如果由于错误 或入侵者的行为致使收集的数据不正确，i d s 就会无法检测某些入侵，给用户以安 全的假象。主要的数据收集机制有如下4 种【1 2 】； ( 1 ) 分布式与集中式数据收集机制 7 电子科技大学硕士学位论文 分布式数据收集： 元数量无关。 集中式数据收集： 比例关系的位置。 检测系统收集的数据来自一些固定位置而且与受监视的网 检测系统收集的数据来自一些与受监视的网元数量有一定 集中式和分布式数据收集方式的区别通常是衡量i d s 数据收集能力的标志， 它们几乎以相同的比例应用于当前的i d s 产品中。据专家预言，分布式数据收集 机制在若干年后将会占有优势。 ( 2 ) 直接监控和间接监控 如果i d s 从它所监控的对象处直接获得数据，则称为直接监控：反之，如果 i d s 依赖一个单独的进程或工具获得数据，则称为间接监控。 就检测入侵行为而言，直接监控要优于间接监控，由于直接监控操作的复杂 性，目前的i d s 产品中只有不足2 0 使用了直接监控机制。 ( 3 ) 基于主机的数据收集和基于网络的数据收集 基于主机的数据收集是从所监控的主机上获取的数据：基于网络的数据收集 是通过被监视网络中的数据流获得数据。总体而言，基于主机的数据收集要优于 基于网络的数据收集。 ( 4 ) 外部探测器和内部探测器 外部探测器是负责监测主机中某个组件( 硬件或软件) 的软件。它将向i d s 提供所需的数据，这些操作是通过独立于系统的其他代码来实施的。 内部探测器是负责监测主机中某个组件( 硬件或软件) 的软件。它将向i d s 提供所需的数据，这些操作是通过该组件的代码来实施的。 外部探测器和内部探测器在用于数据收集时各有利弊，可以综合使用。 由于内部探测器实现起来的难度较大，所以在现有的i d s 产品中，只有很少 的一部分采用它。 2 2 2 数据分析 入侵检测系统的一个核心的工作机制是它的数据分析机制，在这一阶段，系 统对入侵数据应用统计，数据挖掘，神经网络等方法进行分析。 根据i d s 如何处理数据，可以将入侵检测系统分为两种，分布式i d s 和集中 式i d s 1 2 1 。 ( 1 ) 分布式i d s ：在一些与受监视组件相应的位置对数据进行分析的i d s 。 第二章入侵检测技术介绍和发展现状分析 ( 2 ) 集中式i d s ：在一些固定且不受监视组件数量限制的位置对数据进行分 析的d s 。 这些定义是基于受监视组件的数量而不是主机的数量，所以如果在系统中的 不同组件中进行数据分析，除了安装集中式i d s 外，有可能在一个主机中安装分 布式数据分析的i d s 。分布式和集中式i d s 都可以使用基于主机、基于网络或两 者兼备的数据收集方式。 分布式i d s 需要较多的网络组件，数据在存储时比较难保持一致性和可恢复 性，大部分的监视主机需要较大的系统开销，并且在运行中，若某一分析组建停 止工作，整个d s 就有可能要停止工作。 基于上述原因，分布式i d s 比较难实现，当前的i d s 主要是设计成集中式i d s 。 2 3 入侵检测系统的发展方向 入侵检测作为一种积极主动地安全防护技术，提供了对内部攻击、外部攻击 和误操作的实时保护，在网络系统受到危害之前拦截和响应入侵。 入侵检测技术的发展是与网络入侵攻击技术的发展密切相关的，现在的网络 入侵攻击在当前表现出如下的发展趋势【1 4 】： ( 1 ) 入侵或攻击的综合化与复杂化。入侵手段有多种，入侵者往往采取一种 攻击手段。由于网络防范措施的多重化，攻击的难度增加，使得入侵者在实施入 侵或攻击时往往同时采用多种入侵手段，以保证入侵的成功率，并可在攻击实施 的初期掩盖攻击或入侵的真实目的。 ( 2 ) 入侵主体对象的间接化，即实施入侵与攻击的主体的隐蔽化。通过一 定的技术，可掩盖攻击主题的源地址及主机位置。 ( 3 ) 入侵或攻击的规模扩大。对于网络的入侵与攻击，在其初期往往是针对 于某公司或一个网站，其攻击的目的可能为某些网络技术爱好者的猎奇行为，也 不排除商业的盗窃与破坏行为。 ( 4 ) 入侵或攻击技术的分布化。以往常用的入侵与攻击行为往往由单击执行。 由于防范技术的发展使得此类行为不能奏效。分布式拒绝服务( d d o s ) 在很短的 时间内可造成被攻击主机的瘫痪。且此类分布式攻击的单机信息模式与正常的通 信无差异，所以往往在攻击发动的初期不易被确认，分布式攻击是近期很常用的 攻击手段。 ( 5 ) 攻击对象的转移。入侵与攻击常以网络为侵犯的主体，但近期来的攻击 9 电子科技大学硕士学位论文 行为却发生了策略性的改变，由攻击网络改为攻击网络的防护系统，且有逐步剧 烈的形势。 针对上述入侵技术的发展情况，可以看出，入侵检测系统的发展面临着巨大 的挑战。现在的入侵检测系统主要的发展趋势有以下特征【5 】： ( 1 ) 标准化 虽然越来越多的公司投入到这研发领域上来，但是目前为止，i d s 还缺乏相 应的标准，不同i d s 之间的数据交换和信息通信几乎不可能。具有标准化接口的 入侵检测系统将是未来的发展趋势。 ( 2 ) 集成化 由于基于主机的i d s 能适应交换环境，能允许用户自主配置，可处理加密信 息包；而基于网络的i d s 由于能对包的负载和字段位进行分析，可检测到各种基 于t c p i p 协议的攻击方式。在下一代的入侵检测系统中，二者将很好的地集成起 来，提供集成化的攻击签名、检测、报考事件关联功能。其中的关键技术为检测 信息的协同处理与入侵攻击的全局信息的提取。 ( 3 ) 安全性 要求系统应该采取多种安全防护手段，保护对i d s 自身的攻击。 ( 4 ) 综合性 结合防火墙、安全电子交易等新的网络安全与电子商务技术，为网络提供安 全保障，将网络安全做为一个整体工程来处理。 ( 5 ) 加强模块功能 需要加强i d s 的各个子模块的功能，例如加强规则库更新能力，加快日志查 询模块的响应速度，提高图形控制界面的亲和力、便捷性，目前正在研发i d 8 的 数据还原功能。 ( 6 ) 适应高速网络 在高速网络环境中，系统的复杂度大大增加，模型建立十分困难，系统资源 消耗大，因此需要发展分布式入侵检测技术与通用入侵检测架构。 2 4 本章小结 这一章里我们介绍了入侵检测系统的概念，类型，结构和现阶段的发展趋势。 从入侵攻击技术的迅速发展可以看出，现阶段入侵检测技术的研发的紧迫性。下面 的章节将逐渐介绍一种基于人工免疫网络的入侵检测算法。 l o 第三章人工免疫网络算法 第三章人工免疫网络算法 人工免疫系统的研究灵感来源于自然免疫系统，自然免疫系统是一个强大的 防御系统并且展现了许多认知学习和智能的特性，人们已经提出了许多人工免疫 模型用于数据分析和模式识别。并且有些算法中已经将人工免疫算法与神经网络 等经典的学习模式相结合，形成了新型的学习模型。学习和研究人工免疫算法的 很大一部分灵感来源于自然免疫系统，许多自然免疫系统的优秀性能可以应用到 计算机技术中去，用来解决计算问题。 3 1 人工免疫算法分类 人工免疫算法根据基于的种群不同，可以分为两种【1 2 1 ：一种是基于群体的， 一种是基于网络的。其中，基于群体的人工免疫算法通常被称为人工免疫系统； 而基于网络的人工免疫算法常被称做人工免疫网络。其中基于网络的人工免疫算 法比前者有更高的复杂性，但是算法思路上有很多前者不具备的优势。本文主要 研究的是属于人工免疫网络算法的范畴。 3 2 人工免疫系统 人工免疫系统的算法形式常见的有【1 2 】：否定选择算法，肯定选择算法，克隆 选择算法，动态克隆选择算法等。 否定选择算法是由f o r r e s t 等根据免疫系统的自己非己区别原则研究的一种检 测变化的算法，从而实现对自体的耐受。它是对免疫细胞成熟过程的模拟，经历 耐受的检测器模拟成熟的免疫细胞。算法主要经历两个阶段，耐受和检测。算法 的目的是找出一个检测器集合，它在不与自体集合中的元素匹配的前提下，能尽 可能多的匹配非己空间中的元素。否定选择算法常常用于检测器的生成，实现自 体耐受。这样，在生成阶段，就有下列几种检测器生成算法：1 ) 穷举检测器生成 算法2 ) 线性检测器生成算法3 ) 贪心检测器生成算法 肯定选择算法在现实中并不常见，它的原理与否定选择算法非常类似，并且 作用刚好相反，s e i d e n 和c e l a d a e l 5 1 于1 9 9 2 年提出了一种细胞自动机模型，于其间展 电子科技大学硕士学位论文 示了肯定选择算法。 最具有代表性的克隆选择算法是d ec a s t r o 以及k i m 提出的克隆选择算澍1 6 1 。 他们所提出的克隆选择算法与一般的遗传算法相比不同点在于，将基于概率的“轮 赌选择 改变为基于抗体一抗原亲合度的比例选择，其次，构造了记忆单元，从 而将遗传算法记忆单个最优个体变为记忆一个最优解的群体。 k i m 等在h o f i n e y r 的基础上提出了一种动态克隆选择算d y n a m i c c s ( d y n a r n i c c l o n a ls e l e c t i o na l g o r i t h m ) ，并用于解决连续变化环境中异常探测的问题【l 刀， d y n a m i cc s 试图提取使系统产生适应性的关键变量，以减少系统参数数量，保证 算法可用。 3 3 人工免疫网络算法 人工免疫网络理论上主要是基于独特性( i d i o t y p i cn e t w o r k ) 网络的算法。j e r n e 提出的独特性网络理论n 町( i d i o t y p i cn e t w o r kt h e o r y ) 被作为了一些人工免疫系统设 计的基础，该理论阐述了网络免疫系统通过自我组织来达到动态平衡，并且能够 组织成特殊的抗体网络。该网络的基本思想是，不仅抗原上有可以被抗体识别的 抗原决定基，同样，抗体上有可以被其他抗体识别的决定基，被称为“i d i o t o p e s ”， 一类i d i o t o p e s 称为i d i o t y p e ( 独特性) 。基本的独特性网络模型：假定有n 种免疫 细胞，他们之间相互影响，则第i 种免疫细胞数量随时间变化的微分方程为： 号 = c f f ( e j ，巧，t ) - c i g ( ，巧，f ) + 毛一红q “ j = lj = l 式中，k 1 和l 【2 分别表示免疫细胞的出生率和死亡率。函数f 和g 分别表达了第 i 种免疫细胞对第i 种免疫细胞的激励和抑制。层，是被第i 种免疫细胞识别的 i d i o t o p e s ，而，是第i 种免疫细胞被第j 种细胞识别的i d i o t o p e s 。k ，是关联系数。 后来的研究者继续发展了基于独特性的网络模型，其中包括v 删a 【2 1 】的动力学 模型，d eb o e r 等人的b 模型和a b 模型等。比较典型的基于i d i o t y p e 的网络模型有下 面两种：t i m m i s 的r l a i s 模型【1 9 】以及d ec a s t r o 和v o nz u b e n 所提出的a i n e t 网络模 型【2 0 】。 1 ) t i m m i s 的r l a i s 模型： t i m m i s 于2 0 0 0 年提出的资源受限人工免疫网络模型，改变了网络的构成，提 出了识别球( a b r ) 的概念，它的主要的免疫机制有： ( a ) 数量控制：r l a i s 设定的系统的资源是有限的，里面的b 细胞需要通过竞 1 2 第三章人工免疫网络算法 争生存。 ( b ) 动态调节：系统采用克隆选择原理和高频变异机制进行调节。 ( c ) 识别球：提出有限多的识别球可以识别无穷多的抗原，就是说，一个抗体 可以识别一定范围内的抗原。 2 ) d ec a s t r o 和v o nz u b e n 的a i n e t 模型： a r n e t 网络模型在文章【冽中有详细的描述，简单地说，a i n e t 是一个带权不完 全连接图。系统的目的就是：给定一个抗原集合( 0 1 1 练数据集合) ，找出这个数 据集合中冗余的数据，进行数据压缩。系统所采用的基本机制为免疫系统中的克 隆选择、高频变异以及免疫网络理论。a i n e t 已成功应用于数据挖掘，数据压缩， 数据分类以及模式识别等领域。 姐呵e t 模型算法描述大致如下： p r o c e d u r ej 蝌e t 模型算法 b e g i n ： f 叫每一个学习周期) d 0 b e g i n ： f o r ( 数据集中的每一个a 曲d o b e g i n ： f o r ( 网络中的所有抗体) d o 计算a g 和抗体亲和力e e n d ； f o r ( n 络中的所有抗体) d o 选择亲和力高的n 个抗体组成一个抗体子集a b ； 这| n 个被选中的抗体进行克隆，产生一个克隆后的集合c ； 对c 集合进行克隆变异产生一个集合c 宰； f o r ( c 中的所有抗体) d 0 计算a g 和抗体亲和力d = l d ： e n d ； 在c 中重新选择p 的亲和力最高的抗体，加入一个克隆记忆矩 阵m 中； 消除克隆矩阵m 中所有d t i 的克隆； 计算克隆矩阵内部抗体的亲和力s ； 消除所有的太相似的记忆克隆体s 0 ； 1 3 电子科技大学硕士学位论文 把剩下的记忆克隆体加入到网络中： e n d ； 计算a b 中所有记忆抗体的亲和力； 消除网络中过于相似的抗体s 。： 选取一定的新的随机抗体加入到网络中； e n d ； e n d 以上两种算法的流程大致相似，而且具有学习、记忆、分布式并行处理、无 中心控制等一系列与自然免疫系统相似的特。但是，由于模仿的角度不同，r l a i s 更侧重于抗体作用等微观特征，而a i n e t 强调记忆单元构造、抗体群进化等宏观整 体特征。 3 4 人工免疫网络模型的发展现状 人工免疫网络模型发展到今天，取得了许多令人兴奋的理论成果，人们把人 工免疫模型应用到生产生活的许多领域，比如计算机软、硬件，医疗，交通，等 各个领域。归结起来，主要的发展方向有以下4 类： 3 4 1 基于否定选择算法的模型 这个模型主要是指基于自体非自体判断机制的否定选择算法模型( n e g a t i v e s e l e c t i o nb a s e da l g o r i t h m ) 。 f o r r e s t 等首次提出了否定选择算法瞄1 ，形态空间被限制在定长的二进制串上， 检测器和元素之间的匹配方法使用r 位连续匹配规则，随机检测器在数目上与自体 集的大小成指数关系，这使得模型的效率非常低。而由之改进之后的线性、贪婪 检测器生成算法在检测器数目上与r 连续匹配阈值r 成指数关系，使得其效率也不 高。 3 4 2 基于独特性网络理论的模型 j e m e 提出的独特性免疫网络理论和克隆选择机制的模型在很大程度上影响了 人工免疫网络算法和模型的发展趋势。包括本文在内的许多人工免疫算法都是基 于这个基本模型的，基于这个模型的发展典型的例子有： 1 4 第三章人工免疫网络算法 ( 1 ) c o o k e 和h u n t i 2 4 1 提出了一种由监督的机器学习算法来区分d n a 序列是促 进型的还是非促进型的( p r o m o t e ro r n o n p r o m o t e rc l a s s e s ) 。这个系统由可以产生 抗体的b 细胞网络组成，每个b 细胞可以被刺激，或者被抑制，这个系统应该就是 独特性网络的早期形式。 ( 2 ) t i m m i s t 2 s 】提出了一个与前者类似的新模型，被成为a i n e ( a r t i f i c i a l i m i l u l l en e t w o r k ) 这个模型的最终成果是一个由抗体组成的网络可以遵循训练数 据的组织结构，从而生成一个小型版本的原数据，因此可以用于数据聚类和压缩。 ( 3 ) n a s r a o u i 2 6 1 1 2 7 等人提出了一个被成为“模糊免疫系统 ( f u z z y a i s ) 的 模型，它使用模糊集来模拟b 细胞的影响区域。这个系统改进了从前系统的表达形 式，并且使得它对噪声和外部干扰更有健壮性。 ( 4 ) d ec a s t r o 2 8 】等人提出了一种基于克隆选择和亲和力规则的模型，称为 c l o n a l g ，该模型的主要用途是模式匹配和优化算法。 ( 5 ) d ec a s t r 0 【2 9 】随后又提出了一种免疫网络模型称为a i n c t ，它与t i m m i s 的a i n e 模型有一些共同之处。主要区别在于，免疫网络结构不再是抗体克隆和选 择过程的一部分，最终的网络是由使用了分级聚类算法( h i e r a r c h i c a lc l u s t 豇s n g a l g o r i t h m ) 之后得到的输出数据萃取而来的。a i n c t 算法描述见第三章。 3 4 3 基于免疫系统组织结构的模型 在计算机应用中，基于网络免疫系统组织结构软件和硬件体系结构有一些应 用。这个类别的免疫模型类属更加广泛一些，他们并不单独地属于那个特定地算 法，但是，他们却是由网络免疫系统的分布式组织机制所启发的一个广泛的软件 结构【划。比较有代表性的模型有： ( 1 ) k c p h a r t 3 l 】受免疫网络模型启发提出了一种用于计算机系统病毒防治的体 系结构基本思想是扩展一个通用的基于签名的( s i g n a t u r e 产b a s e d ) 防病毒机制使得 系统具有能够识别未知病毒得能力，虽然实现的方法困难，但是可以由已知扩展 到未知的潜能，是免疫系统的一个最大的魅力。 ( 2 ) i s h i 甜3 2 1 提出了一种基于代理的( a g e n t - b a s e x t ) 免疫模型来实施错误诊 断( f a u l td i a g n o s i s ) 。与免疫网络最相关的一个特性是该系统可以根据环境实现自 适应性。 ( 3 ) 免疫网络同时也被应用于网络安全系统中，这也是本文所要讨论的重点， 这种系统的主要目标是检测到“异常 ( a n o m a l y ) 或者“入侵一( i n t r u s i o n ) 行为。 1 5 电子科技大学硕士学位论文 这方面例子有由g 弱g u p a 【3 3 1 提出的基于代理的入侵异常检测模型；f l j w i l l i a r n s t 3 4 】【3 5 】 等人提出的一个多代理的基于人工免疫系统的计算机入侵检测系统( c d i s ) 由 h o f m e y r 【3 6 j 等人设计的一个计算机免疫系统体系结构( l i s y s ) 。 ( 4 ) a i s 的另一个有前途的应用领域是它在硬件设计( h a r d w a r