（计算机应用技术专业论文）基于人工免疫机制的网络安全研究.pdf

基于人工免疫机制的网络安全研究 摘要 随着计算机的广泛应用和全球互连性的目益加强，计算机的安全问题也 日益地突出。而当前的反病毒和网络入侵检测的解决方案必须通过使用已知 的特征来检测异常模式，同时监控正常的计算机程序和网络使用情况，因此 网络在捕获和分析病毒感染和入侵攻击的负担下可能会崩溃。受生物免疫系 统的启发，研究者从生物原型出发，抽象出相应的仿生机理，形成一个新的 领域人工免疫系统。 利用人工免疫机制来解决入侵检测和计算机病毒防御已经成为了计算机 安全研究领域的前沿课题。本文首先对黑客攻击过程、异常入侵检测技术、 数据加密技术等网络技术的进行了详细分析，重点对目前广泛应用的宽带网 和无线网的安全技术作了总结。在这个基础上，结合对人工免疫的生物特性、 免疫算法和免疫模型的分析，把被监视的本地主机和网络系统中f 常的行为 模式和通信模式视为“自我”，把异常的行为模式和通信模式视为“非我”， 从而建立了一个基于人工免疫机制的网络安全模型。 本模型以克隆选择算法为基础，采用m u l t i a g e n t s 技术、主f j l 网络多 级分层结构和特有的安全策略而构建的，具有分布性、健壮性、适应性和扩 展性。 本课题的主要工作概括如下： 总结了网络安全中相关防御和检测技术的原理以及发展趋势。 分析了保障网络安全的数据加密方法、入侵检测技术和宽带网络、无 线网络的安全技术。 介绍了人工免疫系统的生物免疫背景和发展趋势，重点分析了用于计 算机安全领域的人工免疫算法和模型。 提出了一种新型的基于人工免疫机制的网络安全模型。 对整个研究工作进行总结，并展望了下一步的研究方向。 关键词：网络安全，人工免疫，入侵检测，安全模型 基于人工免疫机制的网络安全研究 a b s t r a c t w i t ht h ew i d e a p p l i c a t i o n o ft h e c o m p u t e r a n de n h a n c e m e n to f g l o b a l i n t e r c o n n e c t i o n ，t h es e c u r i t yq u e s t i o no ft h ec o m p u t e ri so u t s t a n d i n gd a yb yd a y t o o a n dt h es o l u t i o no f p r e s e n ta n t i v i r u sa n dn e t w o r ki n t r u s i o nd e t e c t i o nh a st o d e t e c tt h eu n u s u a lm o d et h r o u g hu s i n gt h ek n o w nc h a r a c t e r i s t i c ，c o n t r o ln o r m a l c o m p u t e rp r o g r a m a n dn e t w o r k o p e r a t i n gp o s i t i o n a tt h es a n r e t i m e ，s o t h e n e t w o r km a yc o l l a p s eu n d e rt h eb u r d e no fc a t c h i n ga n da n a l y z i n gt h ev i r u s i n f e c t i o na n di n t r u s i o na t t a c k f r o mt h ei n s p i r a t i o no ft h e b i o l o g i c a l i m m u n e s y s t e m ，r e s e a r c h e r sp r o c e e d sf r o mb i o l o g i c a lp r o t o t y p e ，a b s t r a c t st oc o r r e s p o n d i n g i m i t a t i v el i f em e c h a n i s m ，f o r man e wf i e l d - - a r t i f i c i a li m m u n e s y s t e m u t i l i z ea r t i f i c i a l i m m u n i t y m e c h a n i s mt os o l v ei n t r u s i o nd e t e c t i o na n d c o m p u t e rv i r u sd e f e n s eb e c o m eaf r o n ts u b j e c ti nt h ec o m p u t e rs e c u r i t yr e s e a r c h t h i sp a p e rh a sad e t a i la n a l y s i so fn e t w o r ks e c u r i t yt e c h n o l o g ya tf i r s t ，s u c ha s h a c k e ra t t a c kc o u r s e 、u n u s u a l l yi n t r u s i o nd e t e c t i o n 、d a t ae n c r y p t i o n ，a n ds oo n ， e s p e c i a l l yh a sas u m m a r yo ft h es e c u r i t yt e c h n o l o g yi nb r o a d b a n dn e t w o r ka n d w i r e l e s sn e t w o r kw h i c ha r ee x t e n s i v e l yu s e da tp r e s e n t o nt h eb a s i s ，w i t ht h e a n a l y s i so fb i o l o g i c a lc h a r a c t e r i s t i c 、i m m u n ea l g o r i t h ma n di m m u n e m o d e li nt h e a r t i f i c i a li m m u n i t y , r e g a r d st h en o m a a lb e h a v i o rm o d ea n dc o m m u n i c a t i o nm o d e a m o n gt h el o c a lh o s tc o m p u t e ra n dn e t w o r ks y s t e m sm o n i t o r e da s ”s e l f ，r e g a r d s u n u s u a l l y a s ”n o n s e l f ，t h u s an e t w o r k s e c u r i t y m o d e lb a s e do na r t i f i c i a l i m m u n i t y m e c h a n i s mi ss e tu p t h em o d e li so nt h eb a s i so fc l o n es e l e c t i o na l g o r i t h m ，a d o p t sm u l t i a g e n t s t e c h n o l o g y 、h o s t n e t w o r k s t r u c t u r ew i t hm u l t il a y e r sa n d m u l t i s t a g e a n d p e c u l i a r s e c u r i t ys t r a t e g i e s ，h a v et h ec h a r a c t e r i s t i co fd i s t r i b u t i o n ，r o b u s t ，a d a p t a b i l i t ya n d e x p a n s i b i l i t y t h ec o n t e n t so ft h ed i s s e r t a t i o na r ed i s t r i b u t e da sf o l l o w s ： i n t r o d u c t i o no f n e t w o r ks e c u r i t yt h e o r ya n dd e v e l o p m e n t s a n a l y s i s o ft h et e c h n o l o g yi nn e t w o r ks e c u r i t y a n a l y s i so f t h ea i s ，a n di t sa p p l i c a t i o n si nc o m p u t e rs e c u r i t yf i e l d i m p l e m e n t o fan e t w o r ks e c u r i t ym o d e lb a s e do nt h ea i s d r a wac o n c l u s i o na n dh a v ea na n a l y s i so f f u t u r er e s e a r c hd i r e c t i o n k e y w o r d s ：n e t w o r ks e c u r i t y , a r t i f i c i a li m m u n i t y , i n t r u s i o n d e t e c t i o n ，s e c u r i t y m o d e l n 独创性声明 本人声明所呈交的学位论文是本人在导师指导下进行的研究工 作及取得的研究成果。据我所知，除了文中特别加以标注和致谢的地 方外，论文中不包含其他人已经发表或撰写过的研究成果，也不包含 为获得电子科技大学或其它教育机构的学位或证书而使用过的材料。 与我一同工作的同志对本研究所做的任何贡献均已在论文中作了明 确的说明并表示谢意。 签名：磊蓼日期：徊扣年 月，j 日 关于论文使用授权的说明 本学位论文作者完全了解电子科技大学有关保留、使用学位论文 的规定，有权保留并向国家有关部门或机构送交论文的复印件和磁 盘，允许论文被查阅和借阅。本人授权电子科技大学可以将学位论文 的全部或部分内容编入有关数据库进行检索，可以采用影印、缩印或 扫描等复制手段保存、汇编学位论文。 ( 保密的学位论文在解密后应遵守此规定) 签名：之随导师签名：聪 日期：7 卯年年j 月乃日 基于人工免疫机制的网络安全研究 1 1 网络安全概论 第一章绪论 随着计算机网络的不断发展，全球信息化已经成为人类发展的大 趋势。但由于计算机网络具有连接形式多样性、终端分布不均匀和网 络的开放性、互连性等特征，致使网络易受黑客、恶意软件和其他不 轨行为的攻击，所以网上信息的安全和保密是一个至关重要的问题。 对于军事自动化指挥网络、c 系统( c o m m u n i c a t i o n ，c o m m a n d ，c o n t r o l a n di n t e l l i g e n t es y s t e m s ) 和银行等传输敏感数据的计算机网络系 统而言，网上信息的安全和保密尤为重要。因此，上述的网络必须有 足够强的安全措施，否则该网络将是无用的、甚至会危及国家的安全。 计算机网络所面i 临的威胁大致可以分为两种：一是对网络中信息的威 胁；二是对网络中设备的威胁。影响计算机网络的因素很多，有些因 素可能是有意的，也可能是无意的；可能是人为的，也可能是非人为 的；可能是外来黑客对网络系统资源的非法使用等。显然，计算机攻 击和防御工具也将成为国家之间、企业之间一种重要的攻击和防御手 段。因此，计算机和信息安全问题正日益得到人们的重视，并成为国 内外的学者和专家研究的热点。 1 1 1 网络安全的目标 计算机网络的最简单的定义是一些互相连接、自治的计算机的集 合。计算机网络主要由三部分组成： 1 ) 若干主机； 2 ) 通信子网，包括通信处理机和连接各网络中节点的通信链路； 3 ) 系列协议，如以太网协议、t c p i p 协议等。 从计算机网络的定义和组成来看，网络安全将涉及到计算机、通 信链路和协议的安全问题。因此，网络安全研究必将围绕着这些问题 来展开，特别是协议的安全问题是计算机网络安全中最困难的部分。 s u n 公司提出，“网络就是计算机”【5 】。从网络组成来分析，网络 的安全问题与计算机系统安全问题密切相关，但不完全等同。这里， 先让我们简单地概括计算机系统的安全问题。g a r f i n k e l 和s p a f o r d 给出了安全计算机系统的全面的定义。安全计算机系统取决于所期望 基于人工免疫机制的网络安全研究 的系统行为，这种所期望的系统行为与计算机安全定义是一样的。可 信级别表明计算机系统所期望的行为可信度，这些所期望的行为被作 为计算机系统安全策略以及系统管理要达到的目标。这些策略可能包 括功能性要求，而这些要求对计算机系统功能的有效性是必要的。安 全的定义是基于计算机机密性、完整性和可用性的实现。 1 ) 机密性要求只有授权才能访问信息； 2 ) 完整性要求信息保持不被意外或者恶意的改变； 3 ) 可用性指的是计算机系统在不降低使用的情况下仍能根据用 户的需求提供资源服务。 1 1 2 安全问题的产生原因 当安全问题产生的时候，存在的问题数量可能是庞大的，但绝大 多数问题的起因可以归结到3 类中：设计开发、管理和信任。 系统设计及开发 第一类问题由在系统设计和开发工程中产生的错误、缺陷和遗漏 组成。这些问题导致软件漏洞和硬件漏洞。例如，为了防止密钥泄漏， 可以将其注入智能卡。而研究开发者发现，通过改变电压和时钟周期 的方法，可以提取卡中的密钥，其结果造成密钥泄漏。还有另一个被 许多u n i x 攻击方法利用的漏洞。通过命令行来运行的特权程序所传 递的参数检查失败，就会被攻击者调用这些程序，提供可引起缓冲区 溢出的参数，然后攻破程序获得特权s h e l l 。当然，健全的安全策略、 认真的工程测试、严格标准的程序和质量保证过程可以防止很多这类 问题的产生。 系统管理( 包括安全意识) 第二个导致安全问题的区域在于管理系统区域。这些问题包括系 统配置本身和用来提供保护的安全系统的配置存在的问题。其中的一 个例子就是为文件系统设置不适当的特权属性( 如让u n i x 密码文件 为所有人提供可读写权限) 。另外，也存在系统管理员或用户关闭、撤 销安全机制所引起的问题。在一些大机构中经常出现这样的问题：有 职员在内部系统一一桌面p c 机上安装未授权的m o d e m ，由于m o d e m 提供一个通往机构内部网的通道，攻击者就可以绕过防火墙的检测。 信任关系 最常见的问题可能是来自与信任有关的过分乐观的天真假设。许 2 基于人工免疫机制的网络安全研究 多这种类型的问题都是由于开发环境与运作环境之间无法预知的差异 而引起的。比如，u n i x 原来是在大学环境里由程序员开发出来的，在 那里，信息共享是起码的标准，威胁程度也是很低的。随着时间的推 移，出现了商业装置的u n i x ，威胁模式就不一样了。在这种情况下， 信任假设并没有推广到原来开发场所之上的环境。事实上，有些是同 时属于设计和开发的问题。系统的设计者和实现者相信系统会在一个 可靠的方式中使用。设计者相信顾客会以特定的方式来使用系统，而 顾客则相信产品会像供应商许诺的那样运行。当信任被打破的时候会 发生什么呢? 这种情况通常就意味着安全问题的产生。 1 1 3 安全策略的建立与实施 5 建立一个安全的网络环境，就需要定义有效的安全策略( s e c u r i t y p o l i c y ) 。( 1 ) 正式的安全策略，通常由一个数学模型所构成，这个数 学模型收集了系统所有可能的状态和操作，并伴随状态和操作的时间 和方式的改变而进化；例如，政府的可信系统( g o v e r n m e n t st r u s t e d s y s t e mi n i t i a t i v e ) 把系统安全策略定义为系统安全功能部件执行的规 则集。编写安全策略、正式而明确地定义哪些行为是不允许的，然后 安全策略将安全的抽象映射到真实世界中。( 2 ) 管理上的安全策略， 它概述了安全目标并提交管理资源已达到目标。除此之外，还分配责 任、划分职务、确定管理和安全控制。最后，这个策略架构起到保护 信息和计算资产的程序的作用，并予以实行。值得注意的是策略是始 终一致的，程序更详细一些，但很少更改。而在实行时就具有了动态 性了，它反映了系统当时的特征细节。( 3 ) 机构安全策略，是一套法 律、规则集实际操作方法，用于规范某个机构如何管理、保护和分配 资源以达到安全策略的既定目标，目的是保护系统信息的完整性、有 效性、保密性和可用性。 现有的网络安全系统大致由三道防线( 防御系统) 组成。第一道 防线，将计算机局域网置于防火墙之后，防火墙检查来自外部网络的 数据包头部，如果发现数据包头部包含非法的i p 或端口，就通过丢弃 该数据包来禁止其访问，从而使该局域网免受来自外部的攻击。由于 防火墙只检测外部攻击，而内部计算机也可能受到其它非网络的方式 的入侵，为了弥补这一缺陷，i d s ( 入侵检测系统) 被引入到防御体系中。 i d s 可分为n i d s ( 基于网络的入侵检测系统) 和h i d s ( 基于主机的入 基于人工免疫机制的网络安全研究 侵检测系统) 。n i d s 不像h i d s 需要安装在局域网上的每台计算机上， 只需要安装网络上一台或几台计算机上即可执行检测工作，因此一度 使h i d s 黯然失色。第二道防线，将n i d s ( 基于网络的入侵检测系统) 置于防火墙之后，通过检查穿过该n i d s 的所有网络数据包，而且不限 于头部更要检查部分数据段，并通过模式匹配等方式来检测网络入侵 行为。由于n i d s 只检测网络通信数据，入侵工具( 尤其是木马) 抓住 这一缺陷，通过对自己的网络通信数据加密和伪造正常的通信流量等 方法来躲避n i d s 的检测，因此h i d s 由其检测对象集更加全面等优点 而重新得到了重视。第三道防线，在局域网内的主机上分布着h i d s 和 反病毒软件，h i d s 通过检查和分析操作系统的审计信息和系统状态来 检测入侵行为，反病毒软件依据病毒特征库的信息来对病毒、蠕虫和 木马进行检查与清除。从网络安全系统的发展来看，防御系统的分工 越来越细致和明确，三种防御系统各有其优缺点，因此单独使用一种 或两种防御系统都无法全面地检测和防御住对计算机的攻击与入侵行 为。只有将三者紧密结合，才能构建出安全可靠的计算机防御体系。 1 2 人工免疫系统概述 多年以来，包括人类自身在内的自然界生物一直是科学家和工程 师感兴趣和关注的焦点，是科学研究的重要内容和方向。一个重要的 领域就是生物医学信息处理系统，就是把生物的特征应用到具体的研 究中来，比如人工神经网络、人工智能、遗传算法等。除了大脑神经 网络和基因技术，生物信息处理系统还包括了免疫系统和内分泌系统， 生物免疫系统同样是一个高度进化的生物系统，它旨在区分外部有害 抗原和自身组织，从而清除病原并保持有机体的稳定。从计算的角度 来看，生物免疫系统是一个高度并行、分布、自适应和自组织的系统， 具有很强的学习、识别、记忆和特征提取能力。人们自然希望从生物 免疫系统的运行机制中获取灵感，开发面向应用的免疫系统计算模型 一一人工免疫系统( a r t i f i c i a li m m u n es y s t e l l ，a i s ) ，用于解决工程 实际问题。 1 2 1 人工免疫系统机理1 ，”】 免疫系统是生物，特别是脊椎动物和人类所必备的防御机理，它 4 基于人工免疫机制的网络安全研究 由具有免疫功能的器官、组织、细胞、免疫效应分子及有关的基因等 组成，可以保护肌体抵御病原体、有害的异物及癌细胞等致病因子的 侵害。 免疫的功能是：免疫防御：免疫稳定：免疫监视。在免疫系统 中，主要有b 和t 两类淋巴细胞。b 细胞主要功能是产生抗体，在整 个生命过程中，持续的从骨髓产生，它执行特异体液免疫功能。t 细 胞由胸腺产生，它可分为抑制t 细胞、辅助t 细胞和杀伤t 细胞三种， 它是执行特异细胞免疫和免疫调节功能。健康个体保护自身免受外来 病菌的侵害是通过免疫系统的工作来进行的。它包括先天的免疫和后 天形成的免疫两种。所谓后天形成的免疫是指健康的个体遭受外来病 菌的袭击并与之精心抵抗而逐渐积累形成的抵抗疾病的能力。 因此，免疫系统具有如下3 个特征： 1 ) 特定性：指一种免疫只对特定的病菌发生作用。 2 ) 多样性：指人体中存有大量的多种多样的免疫抗体，从而对多种 病菌发生作用。 3 ) 记忆性：指免疫抗体具有记忆性，对特定的病菌有相应的免疫抗 体对之进行免疫。 随着人工免疫问题研究的深入及对网络安全的关系，人们很自然 的想到生命系统的免疫功能，利用智能模拟构筑网络安全。其免疫功 能则是通过从不同种类的抗体中构造的自己一一非己非线性自适应网 络，在处理动态变化环境中起防御的作用。由于网络系统与生命系统 在运行机理上的相似性，建立基于生物免疫原理的网络安全系统，也 就自然成为一个令人感兴趣的问题。 1 2 2 人工免疫系统和生物免疫系统的比较 生物信息系统可看作一个分布式自治系统，显示出比目前其他机 制方法更具灵活性的特征，且能提供给科学和工程领域各种富有成效 的方法。生物信息处理系统可分为：脑神经系统( 神经网络) 、遗传系 统( 进化计算) 、免疫系统( 人工免疫系统( a i s ) ) 和内分泌系统。 其中，神经网络和进化计算己被广泛地应用于各个领域，而a i s 、 内分泌系统由于其复杂性还没有引起与神经网络和进化计算等计算领 域同等的重视，目前国内外研究成果和应用相对较少。 从特点上来讲，b i s ( 生物免疫系统) 所拥有的分布式控制、多样 性、自适应性、自主性以及多层次结构都适用于计算机安全应用a i s 。 基于人工免疫机制的网络安全研究 生物免疫系统 计算机防御免疫系统c d i s 病毒和网络入侵 监测器 字符串 病原体( 抗原) b 细胞、t 细胞及抗体 蛋白质 抗体抗原绑定模式匹配 表卜l ：生物到计算机领域的项层映射 从信息处理的角度来看，生物免疫系统中的免疫应答过程实质上 是一个识别、效应和记忆的过程，该过程中所包含的隐喻机制正是开 发人员所需要认识提取的，而a i s 仿生机理所对应的，正是免疫系统 中的应答过程。免疫应答主要由分布在生物体全身的免疫细胞实现。 免疫细胞泛指所有参与免疫应答过程的相关细胞，包括吞噬细胞、n k 细胞、淋巴细胞等。淋巴细胞又分为b 细胞和t 细胞两种。 免疫应答包括初次应答和再次应答，初次应答是指免疫系统首次 遇到一种抗原，再次应答则是对已识别的抗原产生的免疫应答。其过 程如下图卜2 所示： 抗体 细胞 o 再次应答 l o o1 1 0 一天数 颜抗原先前识剐的抗原 图i 一2免疫应答过程示意图 1 2 3 国内夕i 、的研究状况 目前，有一些研究人员已经开始模拟和应用免疫系统的信息处理 等能力来解决工程问题。许多研究都是针对特定问题，提出利用免疫 系统的某一个和某些特性来解决问题，正是这些研究促进了人工免疫 这一独特的研究领域的发展，促进以人工免疫特性解决工程问题的免 疫工程的出现和发展。利用免疫系统机制解决工程问题的研究最早始 于2 0 世纪9 0 年代，至今不过十多年时间，而且在1 9 9 8 年前很少有学 者涉足这一领域，对于免疫系统的研究并没有引起足够的重视。国外 对于人工免疫的研究以美国、英国和日本三国最为先进。 基于人工免疫机制的网络安全研究 目前，由于认识到a i s 在信息安全、机器学习与数据挖掘等领域 潜在的应用前景，a i s 的研究得到了许多大学、研究机构和工业界的重 视。美国新墨西哥大学较早地开展了基于a i s 的信息安全方面的研究， 提出了计算免疫学的概念，致力于构建计算机免疫系统，其相关研究 成果已经在i b m ，i n t e l 等公司的相关信息安全软件中得到了应用。英 国k e n t 大学的t i m m is 对基于a i s 的机器学习和数据挖掘技术进行了 系统性的理论研究，并开展了基于a i s 的大规模数据挖掘应用研究。作 为计算智能的个崭新分支，a i s 已成为许多国际期刊的重要议题，如 e v e l u t i o n a r yc o m p u t a t i o n ，i e e e t r a n s a c t io no ne v o l u t io n a r y c o m p u t a t i o n 等，后者在2 0 0 1 年和2 0 0 2 年还相继出版了a i s 专辑。在 国际会议方面，从1 9 9 7 年开始，i e e es y s t e m ，m a na n dc y b e r n e t i cs 国际会议每年均组织专门的a i s 研讨会( w o r k s h o p ) ；其它国际会议如 g e c c 0 ( o e n e t ica n de v o l u t io n a r yc o m p u t a t i o nc o n f e r e n c e ) ，c e c ( c o n g r e s s o ne v 0 1 u t i o n a r yc o m p u t a t i o n ) 等也将a i s 作为主题之一； 而第一届人工免疫系统国际学术会议i c a r i s ( 1 s ti n t e r n a t i o n a c o n f e r e n c eor a r t i f ic i a li m m u n es y s t e m s ) 也于2 0 0 2 年9 月在英国 k e n t 大学召开。国际第一部系统全面研究介绍人工免疫系统的著作于 2 0 0 2 年8 月在美国出版。 人工免疫系统是最近几年才兴起的研究领域，对于多数从事计算 智能和人工智能等领域研究的人员来说，这是一个全新的研究领域， 在人工智能、机器人计算机科学、信息科学、控制、优化等应用领域 和学科中有着广泛的研究应用前景，也有许多值得探讨的问题，对于 国内的研究人员更是如此。目前国内已经出版两本关于人工免疫系统 和免疫工程的全厩系统论述，关于人工免疫系统的研究论文还很少， 所以这一领域的研究有很好的前景。 1 3 本文的研究内容及主要创新点 本文的研究内容基于人工免疫的网络安全系统。本文在总结了上 述的研究成果和应用的基础上，以生物免疫学原理为基础，以人工免 疫学思想为指导，应用网络和通信主体技术，提出一种新型的人工免 疫网络安全模型( a n e t w o r ks e c u r i t ym o d e lb a s e do i la r t i f i c i a li m m u n e s y s t e m ) 。 本文经过对网络安全技术、黑客攻击技术、数据加密技术以及人 基于人工免疫机制的网络安全研究 工免疫机制的学习和研究后认识到，应用到计算机领域中的人工免疫 模型能够把被监视的本地主机和网络系统中正常的行为模式和网络通 信模式视为“自我”，把异常主机行为模式和网络通信模式视为“非我”， 通过对人工免疫系统的阴性选择、克隆选择等工作机制的模拟，达到 保障网络安全的目的。本文中对网络入侵、异常检测和数据加密都进 行了较为详细的讨论，并且结合人工免疫系统的模型和算法，对当前 网络安全中存在的缺陷和不确定因素提出自己的观点，努力在建立安 全模型的时候消除这些潜在的威胁。 本文的主要创新点包括： 1 提出了一种基于人工免疫系统的网络安全模型。本模型采用独 特型网络模型，m u l t i a g e n t s 结构模型，克隆选择算法为算法基础，充 分考虑到通信机制和应该采用的安全策略，保持对基因库的持续更新， 并对模型进行了详细的分析。 2 严格区分免疫匹配算法和免疫算法。免疫匹配算法主要用来生 成检测器和判断“自我”和“非我”；免疫算法主要用于在“非我”进 入机体时，利用阴性选择或克隆选择等方法对其进行清除。 3 结合本人在四川迈普通信技术公司实习时学习的通信知识，认 识到网络安全不仅仅是计算机网络的安全，应该扩展到目前广泛应用 的宽带网络、无线网络、甚至空间网络的安全，本文对相关技术和问 题做了一些讨论。 1 4 本文的组织结构安排 第一章：绪论，介绍本文的课题背景、当前的研究状况和主要工 作，主要阐明了人工免疫系统能够应用到网络安全的原理和机制。 第二章：网络安全研究中的检测和防御技术。针对黑客入侵过程， 讨论了异常入侵检测技术、数据加密技术等等网络安全技术。 第三章：人工免疫机制。主要介绍了生物免疫特性和生物学基础， 以及目前在网络安全中的应用方式。 第四章：人工免疫系统算法和模型。深入讨论了目前人工免疫系 统的免疫匹配算法、免疫算法、应用模型等等。 第五章：基于人工免疫的网络安全模型。提出一种新型的人工免 疫安全模型，构建一个基于人工免疫模型的网络安全系统，并从各个 方面对模型的理论性、实用性进行了详细的分析。 基于人工免疫机制的网络安全研究 2 1 引言 第二章网络安全中的检测与防御技术 通信和网络安全技术的种类很多，在技术上比较成熟、在实际通 信和网络系统中比较常用于保障通信和网络安全的技术 】主要包括如 下图2 1 所示内容。 网络控制技术 安全协议 信息确认技术 访问控制技术 对现有网络协议( 如t c p i p 协议) 的修改和补充 增加安全子层( 如s s l 、s h t t p 、p c p ) 信息确认 身份认证 。- 。1 。“。1 。一1 h塑! 竺鱼一一 l 广孬霸葡 图2 1 ：网络和通信安全技术总览 9 一 网络和通信安全技术 基于人工免疫机制的网络安全研究 2 2 黑客攻击过程3 】 随着计算机发展到网络时代，计算机系统日益开放化、复杂化， 新的网络应用大量出现，如电子商务、电子政务、金融网络、网络虚 拟社区等等，由此而来的黑客入侵事件也是与日俱增。自1 9 8 8 年的蠕 虫事件以来，黑客入侵事件就时有发生。下面就黑客的攻击过程作详 细的分析，目的在于知己知彼，更好地做好网络安全的防范工作。 2 2 1 攻击者的入侵过程概述 通过分析安全研究者描述的攻击者攻击事件以及攻击者站点上的 提供的一些攻击者入侵指南，攻击者在一次入侵检测中通常会有以下 这些步骤，如图2 2 所示： 图22 ：攻击者八侵过程不意图 隐藏位置：隐藏黑客的主机位置使得系统管理无法追踪。 网络探测和资料收集：确定攻击目标并收集目标系统有关信息。 弱点挖掘：目标系统的一般权限。 掌握控制权：获得目标系统的特权账户的权限。 隐藏行踪：隐藏在目标系统中的行踪，防止入侵活动被发现。 实施攻击：进行破坏活动或者阻目标系统为跳板向其它系统发 起新的攻击。 开辟后门：在目标系统中开辟后门( b a c k d o o r ) ，方便以后入侵。i) l 2 3 4 5 6 7；( 基于人工免疫机制的网络安全研究 2 2 2 攻击的过程分析 攻击过程详细如下图2 3 所示，由图可见，一次完整的攻击过程 主要包含三个阶段： 1 ) 获取系统访问权前的攻击过程； 2 )获取系统控制权的攻击过程，下面提到的内部人员作案也属于 这一类； 3 ) 获得系统访问权或控制权之后的攻击者活动。 攻击者攻击成功的关键在于第一、第二阶段的成功，我们可以看 出：无论是获取目标的信息，还是获得目标系统的一般访问权或目标 系统的管理权，这些目标之所以能够成功，就在于目标系统存在这样 那样的安全漏洞或弱点。攻击者的攻击过程能否成功的关键就在于攻 击者发现并利用这些漏洞或弱点的能力。显然，攻击者攻击系统能力 的强弱在于，尽早的发现或者使用安全漏洞或弱点的能力。 孺 雾；i i 暑嚣f i 隐藏攻击源 | 黑客 l ：，歪看蠢： 是1 隐藏自酬，踪1 实施攻击活动 ：7 。 ，弋是 - 是要堡犁：股 一获得系统伽账号的权限 开辟后r，方便以后入侵 、硝冉口参， 。” 。 r 获得系统的一般访问权 ( 退出 ) 图2 - 3 ：黑客攻击详细示意图 2 3 异常入侵检测技术2 ，8 ，9 异常入侵检测的主要前提条件是入侵性活动作为异常活动的子 集。理想状态是异常活动集与入侵性活动集等同。这样，若能检测所 有的异常活动，则就能检测所有的入侵性活动。可是，入侵性活动并 基于人工免疫机制的网络安全研究 不总是与异常活动相符合。活动存在四种可能性： 1 ) 入侵性丽非异常； 2 ) 非入侵性且是异常的； 3 ) 非入侵性且非异常； 4 ) 入侵且异常。 异常入侵检测要解决的问题就是构造异常活动集并从中发现入侵 性活动子集。异常入侵检测方法依赖于异常模型的建立，不同模型就 构成不同的检测方法。异常检测技术是通过观测到的一组测量值偏离 度来预测用户行为的变化，然后做出决策判断的检测技术。 2 3 1 统计异常检测技术 统计异常检测方法根据异常检测器观察主体的活动，然后产生刻 画这些活动的行为的轮廓。每一个轮廓保存记录主体当前行为，并定 时地将当前的轮廓与存储的轮廓合并。通过比较当前的轮廓和已存储 的轮廓来判断异常行为，从而检测出网络入侵。下面以i d e s 入侵检测 系统为例来说明一般统计异常检测方法的处理过程。设m ，m ， 肘。为轮廓的特征变量，这些变量可以是c p u 的使用，i o 的使用、使 用地点和时间、邮件使用、文件访问数量、网络会话时间等。用s ， s ：，跏分别表示轮廓中变量m 。，m ：，m 。的异常测量值。 这些值表明了异常程度，将这些异常测量值的平方后加权计算得出轮 廓异常值 以1 s i + d 2 s f + + a n s ：，( a ， 0 ) ( 2 一1 ) a i 表示轮廓与变量m ，相关的权重。一般而言，m ，m ：，m 。不是 相互独立的，需要更复杂的函数处理器相关性，异常测量值仅仅是数 字，没有明确的理论根据支持那样的处理方式。 2 3 2 基于特征选择的异常检测方法 基于特征选择异常检测方法是通过从一组度量中挑选能够检测出 入侵的度量构成子集来准确地预测或分类已检测到的入侵。异常入侵 检测的困难问题在异常活动和入侵活动之间做出判断。判断符合实际 的度量是复杂的，因为合适地选择度量子集依赖于检测到的入侵类型， 一个度量集对所有的各种各样的入侵类型不可能是足够的。预先确定 基于人工免疫机制的网络安全研究 特定的度量来检测入侵可能会错过单独的特别的环境下的入侵。最理 想的检测入侵度量集必须动态地决策判断以获得最好的效果，假如与 入侵潜在相关的度量有i 1 个，则这i 1 个度量构成的子集数是2 ”个。由 于搜索空间同度量数是指数关系，所以穷尽寻找最理想的度量子集的 开销不是有效的。m a c c a b e 提出遗传方法来搜索整个度量子空间以寻找 正确的度量子集，其方法是使用学习分类器方案生成遗传交叉算子和 基因突变算子，除去降低预测入侵的度量子集，而采用遗传算子产生 更强的度量子集取代。 2 3 3 基于贝叶斯推理的异常检测方法 基于贝叶斯推理异常检测方法是通过在任意给定的时刻，测量4 ， 4 ，4 。变量值推理判断系统是否有入侵事件发生。其中每个4 变 量表示系统不同的方面特征( 如磁盘i o 的活动数量，或者系统中页 面出错的数) 。假定爿，变量具有两个值，1 表示异常，0 表示正常。i 表示系统当前遭受入侵攻击。每个异常变量4 ，的异常可靠性和敏感性 分别表示为p ( a ，= 1 l j ) 和p ( a j = 1 i ，) 。则在给定每个爿，的数值条件下，贝 叶斯定理得出i 的可信度为： p ( ，f t ，一z ，- ，爿。) = j d ( a p a 2 , , a , i ，) j i ( 22 ) 并且要求给出i 和1 i 的联合分布概率，又假定每个测量a ，仅与1 相关，且同其它的测量条件a ，无关，i j ，则有： p ( a ，爿：，a 。l ，) = 兀p ( a 。l ，) ( 2 - 3 ) p ( a 。，爿：，a 。l 一，) = 丌p ( a ，i 一) ，= 】 从而得到 兰倒兰! ：! = 兰! ! p ( 一，l a ，a ：，a 。) ! ( ! ! 卫竺旦 p ( 17 r 1 p ( n 。i 、，) ( 2 4 ) ( 2 5 ) 因此，根据各种异常测量的值，入侵的先验概率及入侵发生时每 种测量到的异常概率，从而能够检验判断入侵的概率。但是为了检测 的准确性，还要必须考虑各测量4 间的独立性。 基于人工免疫机制的网络安全研究 2 3 4 基于贝叶斯网络的异常检测方法 基于贝叶斯网络异常检测方法是通过建立起异常入侵检测贝叶斯 网，然后将其用作分析异常测量结果。贝叶斯网络允许以图形方式表 示随机变量键相关的原因，并通过指定的一个小的与邻接节点相关的 概率集计算随机变量的联合概率分布。按给定全部节点组合，所有根 节点的先验概率和非根节点概率构成这个集。贝叶斯网络是一个有向 图d a g ，有向图中弧表示父节点和子节点依赖关系。这样，当随机变量 的值变成可知时，就允许把它吸收成为证据，根据这个证据，就可以 计算出其它的随机变量条件值。 关于一组变量x = ( x ，z ，x 。) 的贝叶斯网络由以下两部分组 成：1 ) 一个表示x 中的变量的条件独立断言的网络结构s ；2 ) 与每一 个变量相联系的局部概率分布集合p 。两者定义了x 的联合概率分布。 s 是一个有向无环图，s 中的节点一对一地对应于x 中的变量。以x ，表 示变量，也表示该变量对应节点，只，表示s 中的x ，的双亲。s 的节点 之间缺省弧线则表示条件独立。给定结构s ，则x 的联合分布概率表示 为 p ( x ) = n p ( x ：l e o 。) ( 2 - 6 ) 以p 表示式中的局部概率分布，即乘积中的项p ( x ，i p o ) ( f = 1 , 2 ， ) ， 则二元组( s ，p ) 衷示了联合概率分布p ( x ) 。该分布可以是物理的或 贝叶斯的。当仅仅从先验信息出发建立贝叶斯网络时，该概率分布是 贝叶斯的( 主观的) ；当从数据出发进行学习，进而建立贝叶斯网络时， 该概率是物理的( 客观的) 。 2 3 5 基于神经网络的异常检测方法 基于神经网络入侵检测方法是训i 练神经网络连续的信息单元，信 息单元指的是命令。网络的输入层是用户当前输入的下一个命令，如 图所示。若神经网络被训练成预测用户输入命令序列集合，则神经网 络就构成用户的轮廓框架。当用这个神经网络预测不出某用户正确的 后继命令，即在某种程度上表明了用户行为与其轮廓框架的偏离，这 时有异常事件发生，一次就能进行异常入侵检测。 基于人工免疫机制的网络安全研究 l s c h m o d 神经 网络 信息 -单元 集合 p w d v 1 输入层 输出层 图2 4 ：基于神经网络的入侵检测示意图 如图2 4 中，输入层箭头指向用户最近输入执行的w 个命令序列。 通过将每个输入以某种方式编码，把输入命令表示成几个值或级别， 能够成为命令唯一标识。这样，输入层上的输入值准确地同用户最近 输入执行w 个命令序列相符合，输出层由单一的多层输出构成来预测 用户发出的下个命令。 2 3 6 基于机器学习的异常检测方法 这种异常检测方法通过机器学习实现入侵检测，其主要的方法有 死记硬背式、监督学习、归纳学习( 示例学习) 、类比学习等。t e r r a n 和c a r l ae b r o d l e y 将异常检测问题归结为根据离散数据临时序列学 习获得个体、系统和网络的行为特征。并提出一个基于相似度实例学 习方法( i b l ) ，该方法通过新的序列相似度计算将原始数据( 如离散 事件流、无序的记录) 转化成可度量的空间。然后，应用i b l 学习技 术和一种新的基于序列的分类方法，从而发现异常类型事件，依次检 测入侵，其中闽值的选取由成员分类的概率决定。新的序列相似度定 义如下：假设l 表示长度，序列x = ( ，一，x 。) 和y = ( y 。，y ，y 。) w ( x ，y , i ) ：o “o ”。f y 一 ( 2 - 7 ) 、 1 1 + w ( x ，y ，i 一1 )i fx 。= y 。 l - l s i m ( x ，y ) = e w ( x ，y ，f ) f - 0 ( 2 8 ) 基于人工免疫机制的网络安全研究 d i s t ( x ，y ) = m 一一s i m ( x ，y ) ( 2 - 9 ) 令d 表示用户的模式库，由一系列的序列构成，x 表示最新观测到 的用户序列，则 s i n 。( x ) 2 礁警( 成m ( x ，y ) ) ( 2 一l0 ) 试验结果表明这种方法检测迅速，而且误警率低。然而，在此方法 中，用户行为动态变化以及单独异常检测还有待改进。 2 3 7 基于数据挖掘的异常检测方法 计算机联网导致大量审计记录，而且审计记录大多是文件形式存 放( 如u n i x 系统s y s l o g ) 。若单独依靠手工方法去发现记录中异常现 象是不够的，往往操作不便，不容易找出审计记录间相互关系。w e n k e l e e 和s a l v a t o r ej s t 0 1 f o 将数据挖掘技术应用到入侵检测研究领域 中，从审计数据或数据流中提取感兴趣的知识，这些知识是隐含的、 事先未知的潜在有用