（计算机应用技术专业论文）基于免疫非我学习算法的入侵检测模型及方法研究.pdf

广西大学硕士论文基于免疫非我学习算法的入侵检测模童及方法研究 基于免疫非我学习算法的入侵检测模型及方法研究 摘要 近年来，各种针对计算机信息系统的攻击越来越普遍，并且变得更加难以防 范。其攻击方式从传统的本地病毒攻击逐渐演变成分布式、高速传播的网络攻击 行为。现有的入侵检测技术由于本身的一些缺陷无法很好地应对这种情况。入侵 检测系统的运行机理与自然免疫系统有着很多相似之处，自然免疫系统成功保护 肌体免受各种侵害的机理为研究入侵检测提供了重要的方法。 本文首先介绍网络安全的现状，阐述了当前的安全工具不能够很好满足人们 对网络安全日益增长的需求的缘由；其次介绍入侵检测系统的概念、分类和几种 当前流行的入侵检测技术手段，免疫系统的概念、组成、机理及当前流行的人工 免疫系统模型；最后详细分析基于人工免疫的入侵检测技术的三个主要算法，即 否定选择算法、肯定选择算法和克隆选择算法。 为了提高检测器的生成与执行检测的速度，本文给出一种基于人工免疫的入 侵检测的特征编码表示，缩短了特征码的长度。本文提出了一种多级否定选择算 法，以动态的方式生成有效的检测器，此检测器的检测区域不相互重叠且有不同 的识别尺度，有效地减少了漏洞，提高了识别率。通过分析动态克隆选择算法， 发现动态克隆选择协同刺激过多导致检测性能下降，并且该算法对未知的入侵检 测效果不太理想。为此本文引进高频连接和成熟检测器的进化，通过选择抗原的 一个子集的方式来减少协同刺激，提出了一种扩展的动态克隆选择算法，并选用 麻省理工学院( m i t ) 的林肯实验室收集的k d d c u p 9 9 数据作为实验数据，用c + + 编 程实现扩展的动态克隆选择算法，将该算法与动态克隆选择算法做了仿真对比实 验。算法分析和实验结果表明本文提出的算法比原算法能更有效地检测出未知的 攻击行为，通过小生境技术对成熟检测器进化，能够获得较高的检测率和较低的 误警率。 关键字：网络安全入侵检测人工免疫否定选择动态克隆选择算法 广西大学硕士论史基于兔疫非我学习算法的入侵检鬻蕞醴及方法研究 s t u d yo n 盯r u s i o nd e t e c t i o nm o d e la n d t e c 脚q i j eb a 辄do nn e g a t i v es e l e c i i o n a l g o r i t h m a b s t r a c r r e c e n t l y , n l ( 坞a n dm o r ea t t k s t ot h ec o m p u t e ri n f o r m a t i o n s y s t e m sa r eh a p p e n e d i ti sv e r yd i f f i c u l tt op r e v e n tt h ea t t a c k s t h e a t t a c km e t h o d sh a v ec h a n g e df i o mt h et r a d i t i o n a ll o c a lv i r u sa t t a c k st o t h ed i s t r i b u t e dh i g h - s p e e d s p r e a dn e t w o r ka t t a c k s b e c a u s eo ft h e i r i n h e r e n td e f e c t s ，t h ee x i s t i n gi n ( r u s i o nd e t e c t i o nt e c h n o l o g i e sa r en o t e f f i c i e n tt od e a lw i t ht h i sc o n d i t i o n t h eo p e r a t i n gm e c h a n i s mo f i n t r u s i o nd e t e c t i o ns y s t e m si ss i m i l a rt ot h en a t u r a li m m u n es y s t e m t h e t h e o r yt h a tt h ei m m u n es y s t e mc 锄p r o t e c tb o d yf r o mi n v a s i o np r o v i d e s a ni m p o r t a n t 叩卿融t os t u d yt h ei n t r u s i o nd e t e c t i o n t e c h n i q u e f i r s t l y , t h i sp a p e ri n 删u c e st h es i t u a t i o na n dr e a s o n so fa n x i e t yo f n e t w o r ks e c u r i t y , a n dd e s c r i b e st h er e a s o nt h a tt h ec o m m o ns e c u r i t yt o o l s a r en o te n o u g ht om e e tt h en e e do fs e c u r i t y s e c o n d l y , t h ec o n c e p t , c l a s s i f i c a t i o na n dd e v e l o p m e n to fi n t r u s i o nd e t e c t i o nt e c h n o l o g y , a n d s o m ep o p u l a ri n t r u s i o nd e t e c t i o nm e t h o d sa r ep 托s 锄土e d t h i r d l y , t h e m e c h a n i s mo ft h eh u m a ni m l n r n es y s t e ma n dt h ea r t i f i c i a li n n n u n e s y s t e ma r ei n t r o d u c e d f i n a l l y , t h r e em a i ni m m u n es y s t e ma l g o r i t h m s ， n a m e l y , t h en e g a t i v ea l g o r i t h m ，t h ep o s i t i v ea l g o r i t h ma n dt h ec l o n a l t h i sp a p e rp 糟s e n mak i n do fp r o f i l ec o d em e t h o do fi n t r u s i o n d e t e c t i o nm o d e lb a s e do na r t i f i c i a li i n l n u n es y s t e mi no r d e rt oi m p r o v e t h es p e e do fg e n e r a t i n gd e t e c t o r sa n dr u n n i n gd e t e c t o r s t h i s p a p e r p r e p o s e sam u l t i - l e v e ln e g a t i v es e l e c t i o na l g o r i t h mw h i c hg e n e r a t e s m a t u r ed e t e c t o r s d y n a m i c a l l ya n dd e t e c t st h er e g i o n sw i t hd i f f e r e n t r e c o g n i t i o nd i s t a n c e i tc 锄r e d u c et h es e c u r i t yh o l e se f f e c t i v e l ya n d i m p r o v et h ed e t e c t i o nr a t e t h i sp a p e rp r e s e n t sa ne x t e n d e dd y n a m i c s ( d y n a m i cc o l o n a ls e l e c t i o n ) a l g o r i t h mb ya n a l y z i n gt h ed e f i c i e n c yo ft h e d y n a m i c sw h i c hm a k et h ed e t e c tp e r f o r m a n c ed e c r e a s eb e c a u s eo fl a r g e n u m b e r so fc o - s t i m u l a t i o na n di sn o t g o o dt od e t e c tu i l h o w na t t a c k s b y a p p t y i n gt h eh i g hf y e q u e n c yc o n n e c t i o na n dt h ee v o l u t i o no ft h e m a t u r a t i o nd e t e c t o rt ot h ed y n a m i c s ，i tc a nr e d u c et h ea m o t m to f c o - s t i m u l a t i o nb a s e do nc h o o s i n gt h es u b s e to f a n t i g e n w ei m p l e m e n t t h ep r e s e n t e d a l g o r i t h ma n dt h ed y n a m i c sb y 卅p r o g r a m m i n g l a n g u a g e t h ee x p e r i m e n tr e s u l t so nt h ed a t a s e tk d d e u p 9 9s h o wt h a tt h e p r e s e n t e d a l g o r i t h mc a nd e t e c tt h eu d k n o w r la t t a c kb e h a v i o rm o r e e f f e c t i v e l y a n di t c a no b t a i nh i g h e rd e t e c t i o nr a t ea n dl o w e rf a l s e p o s i t i v er a t eb yi n t r o d u c i n gt h en i c h i n gt e c h n i q u ei n t ot h ed y n a m i c st o e v o l v et h en 墙：t i 】r 翻c i o nd e l c e c t o r k e yw o r d s ：n e t w o r k s e c u r i t y , i n t r u s i o nd e t e c t i o n , a r t i f i c i a li n l r n u n e ， n e g a t i v es e l e c t i o n , d y l l a m i cc l o n a ls e l e c t i o na l g o r i t h m m 广西大学硕士论文基于免疫非我学习算法的入侵检溺模型及方法研究 1 1 网络安全 第一章绪论 计算机网络的广泛应用已经对经济、文化、教育、科学的发展与人类生活质 量的提高产生了重要影响。大量信息通过网络传送，大量商业活动与大笔资金通 过网络流通，许多重要的信息、资源都与网络相关。因此，计算机网络的安全问 题面临着严峻挑战。国际上计算机犯罪正以每年1 0 0 的速度增长，在i n t e r n e t 网上的黑客攻击事件也以每年1 0 倍的速度在增长；计算机病毒从1 9 8 8 年发现首 例以来，增长的速度呈几何级数。1 9 9 5 年，入侵美国国防部计算机网络的事件 多达2 5 万次，其中6 5 ( 1 6 2 5 万次) 获得了成功，欧美等国金融机构的计算机网 络被入侵的比例高达7 7 9 6 。在我国近几年来计算机犯罪也以3 0 的速度在增长。 据有关部门统计，国内9 0 以上的电子商务网站存在严重的安全漏洞。1 9 9 9 年公 安部对8 个部委的计算机系统进行检测，发现存在安全漏洞8 4 6 个，对银行证券 系统的1 5 6 4 个营业部门2 3 万台计算机检测发现全部有安全漏洞。网络的不安全， 不仅会造成大量的人力、物力资源的浪费，竞争优势的丧失，公司商业机密信息 或研究技术文档的被窃，甚至会丢失有关国家的机密，进而危及国家的安全。因 此网络的安全防御和针对入侵行为的检测将是一项长期而艰巨的任务。 网络安全涉及到网络的方方面面，它的复杂性还在于网络发展本身的复杂 性。由于各种网络技术在时间和空间上的延伸使得目前的网络发展成为一个非常 复杂的环境，几乎不可能设计出一个绝对安全的系统；也不可能做到统一改造庞 大的网络系统，因此各种新老技术在很长时间内都要共存，如口令认证、防火墙、 数据加密、v p n 技术和网络入侵检测等都会长期共存。网络入侵检测系统是保障 网络正常运行的重要工具，也是当前研究的一个热点。它与网络运行管理系统相 结合，可以方便地监察网络用户的使用行为和当前网络的安全状况，对各种入侵 活动进行相应的实时响应，保证网络数据的机密性和可用性，有效地增强计算机 系统和网络系统的安全可靠性。 1 1 1 网络安全的含义 网络安全的通常定义m 是指网络系统的硬件、软件及系统中数据信息能够受 到保护，不会因为偶然或者恶意原因而遭破坏、更改、泄露，系统能够连续可靠 运行，网络服务不中断。对网络安全的定义，存在着许多不同的解释。从不同角 度会有不同的看法“： ( 1 ) 就用户( 个人、企业等) 角度来说，网络安全定义侧重的是个人隐私或商业 信息在网络上传输时受到机密性、完整性和真实性的保护，避免被窃听、冒充、 广西大学硕士论文基于免疫非我学习算法的入侵检测模型及方法研究 篡改等侵犯，同时当信息保存在某个计算机系统上时，不受非法用户非授权的访 问和破坏。 ( 2 ) 从网络运营和管理者角度来说，本地网络中的信息访问等操作受到保护 和控制，避免出现网络资源非法占用、非法控制、病毒、拒绝服务等威胁，有效 防御网络“黑客”攻击等。 ( 3 ) 对安全保密部门来说，安全网络应该能够对那些非法的、有害的或涉及 国家机密的信息进行过滤和防堵，避免其通过网络泄露，避免由此产生对社会的 危害、对国家经济的损失。 ( 4 ) 就社会教育和意识形态角度而言，网络安全就是能够对网络上不健康的 内容进行控制等。 换言之，网络安全的通常定义应该包括以下三个方面的安全： ( 1 ) 系统本身安全，即保证担负信息处理和传输的系统本身安全。 ( 2 ) 数据安全，指网上传送的信息是被保密的，不能被窃取和篡改等。 ( 3 ) 散播安全，这里特指系统所传播出去的信息应是对社会无害的。 通过上述分析，可知一个理想的安全网络应有如下几个主要特征： ( 1 ) 机密性( c o n f i d e n t i a l i t y ) ：机密性要求只有合法的授权用户才能够对机 密的或受限的数据进行访问或存取。 ( 2 ) 完整性( i n t e g r i t y ) ：完整性要求保持系统中数据的正确性和一致性。也 就是说，不管在任何情况下都要保护数据不受破坏或篡改。 ( 3 ) 可用性( a v a i l a b i l i t y ) ：计算机资源和系统中的数据信息在系统合法用 户需要使用时，必须是可用的。即对授权用户，系统应尽量避免系统资源被耗尽 或服务请求被拒绝的情况出现。 ( 4 ) 有责任性( ( a c c o u n t a b i l i t y ) ：当计算机中的泄密现象被检测出后，计算 机的安全系统必须能够保持足够的信息以追踪和识别入侵攻击者。 ( 5 ) 正确性( c o r r e c t n e s s ) ：在系统中要尽量减少由于对事件的不正确分类所 引起的虚警( f a l s ea l a r m s ) 现象，从而提高系统的可靠性。如果虚警率太高，那 么一个用户的合法行为就会经常性地被误认为是非法的入侵行为而报警，从而使 用户的正常活动经常性地被禁止。这样，不仅使得系统的可用性降低，而且还会 使合法用户对系统失去信心。 上述计算机安全的各个特性取决于计算机系统安全策略的需求，这些安全策 略用来定义或描述系统的不同用户和软件模块的行为，并明确指出哪些行为是允 许的，哪些又是被禁止的。它们首先由系统的安全负责人给出详细规范的安全性 要求，然后以某种形式加以实现。 1 1 2 网络安全的研究现状 计算机网络所面临的威胁大体可分为两种：对网络中信息的威胁：对网 络中设备的威胁。影响计算机网络的因素很多，有些因素可能是有意的，也可能 2 广西大学硬士论文基于免疫非我学习算法的入侵检测模塑及方法研究 是无意的；可能是人为的，也可能是非人为的；可能是外来黑客对网络系统资源的 非法使用。归结起来，针对网络安全的威胁主要有：人为的无意失误：如操作员 安全配置不当造成的安全漏洞，用户安全意识不强，用户口令选择不慎，用户将 自己的帐号随意转借他人或与别人共享等都会对网络安全带来威胁：人为的恶 意攻击：这是计算机网络所面临的最大威胁，敌手的攻击和计算机犯罪就属于这 一类。此类攻击又可以分为以下两种：一种是主动攻击，它以各种方式有选择地 破坏信息的有效性和完整性：另一类是被动攻击，它是在不影响网络正常工作的 情况下，进行截获、窃取、破译以获得重要机密信息。这两种攻击均可对计算机 网络造成极大的危害，并导致机密数据的泄漏：网络软件的漏洞和“后门”： 网络软件不可能是百分之百的无缺陷和无漏洞的，然而这些漏洞和缺陷恰恰是黑 客进行攻击的首选目标，曾经出现过的黑客攻入网络内部的事件，这些事件的大 部分就是因为安全措施不完善所招致的苦果。另外，软件的“后门”都是软件公 司的设计编程人员为了自便而设置的，一般不为外人所知，但一旦。后门”公开， 其造成的后果将不堪设想。 网络中的主机可能会受到非法入侵者的攻击，网络中的敏感数据有可能泄露 或被修改，从内部网向共用网传送的信息可能被他人窃听或篡改等等，造成网络 安全的威胁的原因可能是多方面的，有来自外部，也有可能来自企业网络内部。 攻击者主要是利用了t c p i p 协议的安全漏洞和操作系统的安全漏洞。归纳起来， 系统的安全威胁常表现为以下特征：窃听：攻击者通过监视网络数据获得敏感 信息；重传：攻击者事先获得部分或全部信息，以后将此信息发送给接收者； 伪造：攻击者将伪造的信息发送给接收者；篡改：攻击者对合法用户之间的 通讯信息进行修改、删除、插入，再发送给接收者；拒绝服务攻击；攻击者通 过某种方法使系统响应减慢甚至瘫痪，阻止合法用户获得服务；行为否认：通 讯实体否认已经发生的行为；非授权访问：没有预先经过同意，就使用网络或 计算机资源被看作非授权访问，非授权访问主要有以下几种形式：假冒身份攻击、 非法用户进入网络系统进行违法操作、合法用户以未授权方式进行操作等； 传 播病毒：通过网络传播计算机病毒，其破坏性非常高，而且用户很难防范。如众 所周知的c i h 病毒，最近出现的“爱虫”病毒都具有极大的破坏性。攻击和防御 是矛盾的两个方面。为了达到上述网络安全的目的，研究人员作了大量工作，研 制并实施了很多防御措施来抵制攻击，具体如下： ( 1 ) 加密机制：加密是一种最基本的，行之有效的安全机制。所谓加密，就 是使用数学方法来重新组织数据，将原先的消息称作明文，将变化后的消息称作 密文，使得除了合法的接收者外，其他任何人要想恢复原先的消息或读懂变化后 的消息都是非常困难的。加密的逆过程就是解密，即将密文变换成明文的过程。 可见，它能防止信息被非法读取。 ( 2 ) 识别与认证机制：识别与认证是以交换识别信息的方式来确认实体：身份 的机制，是进行操作控制前所必不可少的步骤。因为不知道用户是谁就无法判断 广西大学硕士论文基于免疫非我学习算法的入侵检测模型及方法研究 其操作是否合法。在网络上的认证从安全角度可分为两类：一类是请求认证者的 秘密信息，例如口令；另一类是使用公开密钥签名算法的认证方式。识别和认证 并不仅限于登录系统的过程中，当两台主机通过网络进行通信时，也会进行某些 形式的识别和认证。当前大多数系统中都应用了这种机制。 ( 3 ) 访问控制机制；它是按照事先确定的规则决定主体对客体的访问是否合 法。其目的是防止对网络信息资源的非授权访问和操作。当一个主体试图非法使 用一个未经授权使用的客体资源时，访问控制功能将拒绝这一企图，并可附带报 告这一事件给审计跟踪系统，审计跟踪系统产生一个报警或形成部分追踪审计。 访问控制一般以访问控制数据库，安全标记和能力表等机制为基础。 ( 4 ) 防火墙：防火墙技术是近年发展起来的重要安全技术，其特征是通过在 网络边界上建立相应的网络通信监控系统来达到保障网络安全的目的。其实现技 术就是将定义好的安全策略转换成具体的安全控制操作，以决定网络之间的通信 是否被允许，从而在内部网、外部网之间建立一个安全控制点，通过允许、拒绝 或重新定向流经防火墙的数据等方式来实现对进出内部网络的服务和访问进行 审计和控制。因此，它是一种通过网络拓扑结构和服务类型的隔离而在内部网和 外部网之间实施安全防范的系统。 1 2 入侵检测系统的原理及构成 入侵检测是一种主动的网络安全防御措施，它不仅可以通过监测网络，发现 各种内部攻击、外部攻击和误操作，并做出相应的响应，以保证系统或网络资源 的机密性、完整性与可用性，有效地弥补防火墙的不足，而且还能结合其他网络 安全产品，对网络安全进行全方位的保护，具有主动性和实时性的特点，是防火 墙重要的和有益的补充。它帮助系统对付网络攻击，扩展了系统管理员的安全管 理能力( 包括安全审计、监视、进攻识别和响应等) ，提高了信息安全基础结构的 完整性。 入侵检测的目标就是通过检查操作系统的审计数据或网络数据包信息来检 测系统中违背安全策略或危及系统安全的行为或活动，从而保护信息系统的资源 不受拒绝服务攻击，防止系统数据的泄漏、篡改和破坏。 一般来说，入侵检测系统在功能结构上基本一致，均由数据采集、数据分析 以及用户控制等几个功能模块组成，只是具体的入侵检测系统在采集数据的方 式、采集数据的类型以及分析数据的方法等方面有所不同。入侵检测系统的主要 功能有以下几点： ( 1 ) 监测并分析用户和系统的活动； ( 2 ) 核查系统配置和漏洞； ( 3 ) 评估系统关键资源和数据文件的完整性； 广西大学硕士论文_ 基于免疫非我学习算法的入侵检涓模童及方法研究 ( 4 ) 识别已知的攻击行为； ( 5 ) 统计分析异常行为； ( 6 ) 对操作系统进行日志管理，并识别违反安全策略的用户活动。 一个理想的人侵检侧系统一般而言，有以下主要特征： ( 1 ) 可在最小的人工干预下连续运行。 ( 2 ) 具有可容错功能。入侵检测系统必须能从意外事件或恶意攻击活动导致 的系统崩溃中恢复。系统崩溃后，入侵检测系统必须能恢复到以前的状态，并且 不受影响地重新提供服务。 ( 3 ) 有很强的抗攻击能力。对一个攻击者来说，破坏或使一个入侵检测系统 失效是非常困难的。入侵检测系统应能监视它自身并能检测出是否被攻击者修 改。“ ( 4 ) 运行开销要小，以免影响系统的正常操作运行。 ( 5 ) 可配置性，可通过配置来实现被监测系统的安全政策。 ( 6 ) 易于使用，可在不同的计算机体系结构和操作系统上执行，对操作者来 说易于理解和使用。 ( 7 ) 可适应系统或用户的变化，例如，新的应用程序的安装，或新的可利用 的资源都可以导致系统使用模式的改变。 ( 8 ) 能检测出攻击。入侵检测系统不能将合法的活动误认为是攻击，不应遗 漏任何真正的攻击，对攻击者来说，隐藏自己的攻击活动而不被检测出来是非常 困难的。它应尽可能迅速及时报告入侵活动，具有通用性，能检测不同类型的攻 击活动。 1 3 入侵检测系统的研究现状 通常情况下防火墙作为局域网络连接到i n t e r n e t 的第一道安全防线。像城 墙对要塞的保护一样，对来自i n t e r n e t 的攻击它确实起到了非常强大的保护作 用。但任何事情都不可能尽善尽美，防火墙并非无坚不摧。很多攻击可以透过或 绕过防火墙，因此需要有其他的防御措施来保护网络“1 。入侵检测系统成为网络 纵深防御的重要组成部分。 关于入侵检测技术的发展历史最早可追溯到1 9 8 0 年，j a m e sa n d e r s o n 在他 的技术报告c o m p u t e rs e c u r i t yt h r e a dm o n i t o r i n ga n ds u r v e i l l a n c e 中首次 提出了入侵检测的概念旧。在该文中，a n d e r s o n 提出将审计数据应用于监视入侵 威胁，但这一设想的重要性当时并未被理解。该文被认为是入侵检测研究的开创 之作。 1 9 8 7 年，d o r o t b yd e n n i n g 发表的文章a ni n t r u s i o nd e t e c t i o nm o d e l 提 出了i d s 的抽象模型m ，该文首次将入侵检测作为一种计算机系统安全防范的措 广西大学硕士论文基于免疫非我学习算法的入侵检测模型及方法研究 施提出，与传统的加密、识别与认证、访问控制相比，入侵检测是一种全新的计 算机安全措施。模型的主要组成部分是主体( s u b j e c t s ) 、对象( o b j e c t s ) 、审计 记录( a u d i tr e c o r d s ) 、行为轮廓( p r o f i l e s ) ，异常记录( a n o m a l yr e c o r d s ) 及活 动规则( a c t i v i t yr u l e s ) 。在该模型中，主体是指目标系统上活动的实体，通常 指的是用户，也可能是代表用户行为的系统进程，或者是系统自身。主体的所有 行为都是通过命令来实现的。对象是指系统资源，如文件、命令、设备等。它是 主体的行为的接受者。对于主体和对象没有明显的界限，往往在某一环境下的主 体在另一环境下则成为对象。审计记录是指主体对对象进行操作而在目标系统上 产生的记录，如用户的登录、命令的执行、文件的访问等都会在系统中产生相应 的记录。它是由 构成的 六元组。其中活动是指主体对对象的操作，如登录、退出、读、写等关键技术； 异常条件是指主体活动出现异常情况时系统的报告；资源使用状况是指系统的资 源消耗情况；时间戳是指活动发生的时间。行为轮廓是描述主体对对象正常行为 的模型，它包含有系统正常活动的各种相关信息。异常记录是指当系统检测到异 常行为时而产生的记录，由事件、时间戳、行为轮廓组成。规则集是一个普通的 核查事件和状态的检查器引擎，它根据模型、规则、模式和统计结果来检测入侵 行为。此外，反馈也是模型的一个重要组成部分，现有的事件会引发系统的规则 学习，加入新的规则或者修改已有规则。系统的子系统是独立的，可以分布在不 同的计算机节点上运行。 1 9 8 6 年为检测用户对数据库异常访问，在i b m 主机上用c o b o l 开发的 d i s c o v e r y 系统可说是最早期的入侵检测系统雏形之一。1 9 8 8 年的m o r r i s i n t e r n e t 蠕虫事件使i n t e r n e t 近5 天无法使用硼。该事件使得对计算机安全的 需要迫在眉睫，从而导致了许多i d s 系统的开发研制。早期的i d s 系统都是基于 主机的系统，也就是说通过监视与分析主机的审计记录检测入侵。1 9 8 8 年， t e r e s al u n t 等人进一步改进了d e n n i n g 提出的入侵检测模型，并创建了 i d e s ( i n t r u s i o nd e t e c t i o ne x p e r ts y s t e m ) 嘲，该系统用于检测单一主机的入侵 尝试，提出了与系统平台无关的实时检测思想，1 9 9 5 年开发了i d e s 的新的版本 一n i d e s ( n e x t - g e n e r a t i o ni n t r u s i o nd e t e c t i o ns y s t e m ) 可以检测多个主机上 的入侵。另外，在1 9 8 8 年为了协助美国空军安全官员检测误用空军基地使用的 u n i s y s 大型主机开发了h a y s t a c k 系统“o ；同时，出现了为美国国家计算机安全 中心开发的1 d a s ( m u l t i c si n t r u s i o nd e t e c t i o na n da l e r t i n gs y s t e m “。1 9 8 9 年，l o sa l a m o s 美国国家实验室开发了w s ( w i s d o m a n ds e n s e ) 系统，p l a n n i n g r e s e a r c h 公司开发了i s o a ( i n f o r n m t i o ns e c u r i t yo f f i c e r sa s s i s t a n t ) 。 入侵检测发展历史上又一个具有重要意义的里程碑就是n s m ( n e t w o r k s e c u r i t ym o n i t o r ) 的出现，它由l t o d dh e b e r l e n 在1 9 9 0 年提出“”。n s m 与此 前的i d s 系统最大的不同在于它并不检查主机系统的审计记录，它可以通过在局 域网上主动地监视网络信息流量来追踪可疑的行为。1 9 9 1 年，n a d i r ( n e t w o r k 广西大学颈士论文基于免疫非我学习算法的入侵检涌模型及方法研究 a n o m l yd e t e c t i o na n di n t r u s i o nr e p o r t e r ) 与d i d s ( d i s t r i b u t ei n t r u s i o n d e t e c t i o ns y s t e m ) 提出了采集和合并处理来自多个主机的审计信息以检测协同 攻击。1 9 9 4 年，m a r kc r o s b i e 和g e n es p a f f o r d 提出使用自治代理( a u t o n o m o u s a g e n t s ) 以便提高i d s 的可伸缩性、可维护性、效率和容错性o ”。该理念非常符 合正在进行的计算机科学其他领域( 如软件代理，s o f t w a r ew e n t ) 的研究，这使 得入侵检测的研究又向着更高层次发展了一步。 而1 9 9 6 年g r i d s ( g r a p hb a s ei n t r u s i o nd e t e c t i o ns y s t e m ) 的设计和实现 大大弥补了绝大多数的入侵检测系统伸缩性不足的问题，使得对大规模自动或协 同攻击的检测更为便利。 1 9 9 8 年，r o s sa n d e r s o n 和a b i d ak h a t t a l 【将信息检索技术引进到了入侵检 测领域。 同年，w l e e 提出和实现了在c i d f ( c o m o n i n t r u s i o n d e t e c t i o n f r a m e w o r k ) 上实现多级i d s ，并在1 9 9 9 年探讨了运用数据挖掘技术对审计数据进行处理。 1 9 9 9 年，c h e u n g 、s t e v e n 等人提出了入侵容忍( i n t r u s i o nt o l e r a n c e ) 的概 念“”，在i d s 中引入容错技术。 2 0 0 0 年，k i m 等也提出他们的网络入侵检测模型。它包括主i d s ( 等效于胸 腺或骨髓) 和从i d s ( 等效于淋巴节点) ，主i d s 负责生成检测器，而从i d s 执 行检测。利用三种进化过程即基因库进化学习，否定选择和克隆选择并通过网络 相互合作以满足网络入侵检测系统分布、自组织和轻型的要求。2 0 0 2 年，基于 h o m f m e y r 和f o r r e s t 等人提出的入侵检测模型l i s y s ，b a l t h r o pe ta l 提供了 一个l i s y s 的深度分析模型，每台主机上独立构造自我和非我集来创造多样性， 用否定选择算法生成4 9 字节的二进制检测器，通过亲和力成熟算法来改进检测 器“”。2 0 0 3 年。a i c k e l i ne ta l 提出了d a n g e rt h e o r y 理论，从主机和网络还 有其他地方收集信号，综合所有信号报警，报警被并行分类为a p o p t o s i s 和 n e c r o s i s 两类，d a n g e ra l g o r i t h m 是一个相互关联的算法，降低了误警率，克 服了否定选择的缩放比例问题，但还有大量工作需要做。同年b e g n u m 和 b u r g e s s 提出了一个模型，它结合了p h 与c f e n g i n e 的异常检测模型，提供了一 个自动响应机制能杀死非正常进程“”。2 0 0 4 年k i m 和b e n t l e y 提出了基于免疫 记忆和基因库进化的动态克隆选择的方法“”。 从d e n n i n g 对入侵检测模型的首次研究至今，入侵检测领域已经发展了近 2 0 年的时间了。人们采用了多种方法用于入侵检测。现有的入侵检测系统多数 采用代理、概率统计、专家系统、神经网络、模式匹配、行为分析、遗传算法、 生物免疫系统等来实现系统的检测机制，以分析事件的审计记录、识别特定的模 式、生成检测报告和最终的分析结果。从最初对单机i d s 的研究到现在对大型网 络的i d s 的研究，随着计算机技术和网络技术的不断发展， i d s 也在不断发展。 近二十年间，无论是研究目的还是商用目的，都有越来越多的系统原型出现。目 前国外一些研究机构已经开发出了应用于不同操作系统的几种典型的入侵检测 广西大学硕士论文基于免疫非我学习算法的入侵检测模型及方法研究 系统( i d s ) ，它们通常采用静态异常模型和规则的误用模型来检测侵入。这些i d s 的检测基本是基于服务器或基于网络的。基于服务器的i d s 采用服务器操作系统 的检测序列作为主要输入源来检测侵入行为，而大多数基于网络的i d s 则以监控 网络故障作为检测机制，但有些则用基于服务器的检测模式和典型的i d s 静态异 常算法。早期的i d s 模型设计用来监控单一服务器，是基于主机的入侵检测系统； 然而近期的更多模型则集中用于监控通过网络互连的多服务器，是基于网络的入 侵检测系统。入侵检测技术得到了不断的发展，现在己经有成熟的i d s 商业产品， 例如c i s c o 的n e t r a n g e r ，n a i 的c y b e r c o p ，i s s 的r e a l s e c u r e 等。国外的i d s 发展得相当繁荣，企业、政府、学校等各类计算机网络多数装有i d s ，估计1 9 9 8 年i d s 产品的销售额达到了一亿美元。 入侵检测技术发展到今天已经取得了较大的进展，现有的入侵检测系统己经 能够在较大程度上抵御对系统的攻击，但不可否认现有的入侵检测系统还存在着 不少的问题。 ( 1 ) 入侵检测系统的误报警是一个严重的问题，误报警是指被入侵检测系统 测出但其实是正常及合法使用受保护网络和计算机的警报。一个有效的入侵检测 系统应限制误报出现的次数，但同时又能有效截击入侵。换句话说，入侵检测好 比是监视摄影机及报警系统的组合。假警报不但令人讨厌，并且会减低i d s 的效 率。误报是入侵检测系统最头疼的问题。攻击者可以而且往往是利用数据包的结 构伪造无威胁的“正常”假警报，而诱使没有警觉性的收受人把入侵检测系统关 掉。 ( 2 ) 入侵检测系统的速度问题：入侵检测系统不能很好的检测所有的数据包， 基于网络的入侵检测系统难以跟上网络速度的发展。截获网络的每一个数据包， 并分析、匹配其中是否具有某种攻击的特征需要花费时间和系统资源。现有的入 侵检测系统在i o m 网上检查所有数据包中的几十种攻击特征时可以很好地工作。 现在很多网络都是5 0 m 、1 0 0 m 甚至千兆网络，网络速度的发展远远超过了数据包 模式分析技术发展的速度。从现有的入侵检测产品看，国外产品在百兆网满负荷 运行时将会产生较为严重的时延，而国内的产品将会产生一定程度的失效( 尤其 是在小数据包多时) ，而千兆位则还是个不可企及的目标。 ( 3 ) 攻击特征库的更新不及时：绝大多数的入侵检测系统都是使用模式匹配 的分析方法，这要求攻击特征库的特征值应该是最新的。但现在很多入侵检测系 统没有提供某种如“推技术”的方法来及时更新攻击特征。在如今每天都有新漏 洞发布、每天都有新的攻击方法产生的情况下显然不能满足安全需求。 ( 4 ) 检测分析方法单一：攻击方法的越来越复杂，单一的基于模式匹配或统 计的分析方法已经难以发现某一些攻击。另外，基于模式匹配和基于统计的分析 方法各有所长，入侵检测系统的发展趋势是在同一个系统中同时使用不同的分析 方法。现在几乎所有的入侵检测系统都使用了单一的分析方法。 ( 5 ) 不同的入侵检测系统之间不能互操作：在大型网络中，网络不同的部分 广西大学硕士论文基于免疫非我学习算法的入侵检涌模型及方法研究 可能使用了不同的入侵检测系统，但现在的入侵检测系统之间不能交换信息，使 得发现了攻击时难以找到攻击的源头，甚至给入侵者制造了攻击的漏洞。 ( 6 ) 不能和其他网络安全产品互操作：入侵检测不是安全的终极武器，一个 安全的网络中应该根据安全政策使用多种安全产品。但入侵检测系统不能很好地 和其他安全产品协作。 ( 7 ) 结构存在问题：现在的很多入侵检测系统是从原来的基于网络或基于主 机的入侵检测系统不断改进而得来的，在体系结构等方面不能满足分布、开放以 及各个检测系统的集中控制和协调等要求。 ( 8 ) 缺乏有效跟踪分析：追踪某个攻击的最终目标地址是保护计算机及网络 系统最有力的方法。但实现这方法有多个难点，即：“最终来源”其实是已被攻 击者攻破的计算机，只不过是由另一个受害主机拥有及操作。攻击者已知道自己 会被跟踪，所以只会在一段很短的时间内进行攻击，使跟踪者没有足够的时间来 跟踪他们。沟通问题会减慢跟踪过程。通常有一个或多个网络操作员可能表示没 有称职的专业网管人员在场。行政及法律的问题未清楚，即使找到黑客，也难于 将黑客绳之以法。 当然，不足就意味着有大量的工作可以做，说明入侵检测技术还有很大的发 展空间，在这个领域内作一些研究和开发的工作将是十分有意义的。 1 4 基于人工免疫的入侵检测研究现状 1 4 1 人工免疫系统的发展简史 一般认为，首先将免疫概念引入工程领域的是f a r m e r 等人在1 9 8 6 年发表的 一篇论文“免疫系统、自适应和机器学习”( 原题为：t h ei 衄u n es y s t e m s ， a d a p t a t i o n ，a n dm c h i n el e a n i n g ) “；而i s h i d a 和b e r s i n i 则在1 9 9 0 首先 借鉴免疫原理来建立算法并用于解决计算问题啪2 “s f o r r e s t 等人则在1 9 9 4 年首先提出了否定选择算法嘲，用来生成检测器，完成了检测器的耐受过程，并 在1 9 9 7 左右开始提出计算机免疫系统的概念慨蚓同时，美国著名公司i 蹦也较 早地开始了对计算机免疫系统的研究，已经成功地开发了用于病毒防止的计算机 免疫系统。1 9 9 7 年，d e a t o n 等人提出了一种基于分子的人工免疫系统嘲，用来 模仿自然免疫系统的这种能力，目的是保护计算机免受计算机病毒和其他因素的 破坏。经过长时间的研究，d a s g u p t a 于1 9 9 9 年建立了一套计算机免疫系统， 用来抵御外来入侵，保障计算机系统的安全。同时，d a s g u p t a 及其学生一直致 力于否定选择算法的研究，并应用到计算机安全和异常检测及工业应用中。2 0 0 2 年，c a s t r o 和t i 衄i s 对否定选择算法做了一定的修改踟，把变异引进到其中。 同年，k i m 和b e n t l e y 提出了动态克隆选择算法( d ) r n 锄i c s ) ，主要用于网络 广西大学硕士论文基于免疫非我学习算法的入侵检测模型及方法研究 入侵检测( n i d s ) 。2 0 0 4 年k i m 和b e n t l e y 又提出了基于免疫记忆和基因库进 化的动态克隆选择的方法“”。至此，计算机免疫在理论上已日趋完善。 自2 0 0 2 年起，第一届国际人工免疫系统大会( i s ti n t e r n a t i o n a lc o n f e r e n c e o na r t i f i c i a li m m u n es y s t e m s ：i c a r i s 一2 0 0 2 ) 首先开始英国召开，2 0 0 3 年9 月 召开了第二届国际人工免疫系统大会( 2 n di n t e r n a t i o n a lc o n f e r e n c eo n a r t i f