（计算机应用技术专业论文）基于免疫agent的入侵检测模型研究.pdf

竺尘耋矍：茎兰：兰竺! 耋竺篓三 基于免疫a g e n t 入侵检测模型研究 摘要 网络安全问题的日益突出对入侵检测技术提出了更高的要求，然而现有 入侵检测技术面对攻击技术的飞速变化仍然存在一定缺陷，入侵检测系统在 很多地方还有待改进，如分布式，灵活性、效率等方面，需要探索新的技术 来提高入侵检测系统的整体性能 本文首先介绍了入侵检测技术的发展与现状，并对基于移动代理技术和 基于免疫机制的入侵检测系统的研究进行了综合分析，明确了研究的主要任 务。其次本文重点分析了移动代理技术和免疫原理技术在入侵检测技术中的 可用特性以及给我们的研究启示，在此基础上提出了基于免疫a g e n t 的入侵 检测模型，并进行了详细的模型整体设计，其中包括各模块的功能、各组件 的内部结构、工作流程、算法以及各组件间的相互通信协作等，详细阐述了 如何将网络数据表示为免疫系统中的抗原，如何产生免疫a g e n t 抗体来检测 抗原，如何进行a g e n t 之间的交流以实现分布式的检测，如何对入侵行为作 出响应等方面。 基于以上的设计方案，本文对模型的检测模块做了仿真实验。随后，对 系统健壮性和容错性进行了测试，并且对攻击的检测结果与一些典型的入侵 检测模型进行了比较，从定性和定量两个方面对模型系统做了分析。证明了 该系统可以有效的提高系统的实时检测和入侵响应的能力，并具有较好的健 壮性、容错性和自适应性。 关键词入侵检测；移动代理：免疫a g e n t 哈句：滓理t 大学t 学硕卜学付论文 i m m u n e a g e n t - b a s e di n t r u s i o n d e t e c t i o ns y s t e m m o d e lr e s e a r c h a b s t r a c t t h eh i g h e rd e m a n d sa r em a d eo nt h ei n t r u s i o nd e t e c t i o nt e c h n o l o g yw i t ht h e i n c r e a s i n g l yn o t i c e a b l ep r o b l e m o ft h en e t w o r k s e c u r i t y , b u t t h e e x i s t i n g i n t r u s i o nd e t e c t i o nh a ss o m el i m i t a t i o n sf a c i n gw i t ht h ef a s tc h a n g eo fa t t a c k t e c h n o l o g y t h e no nt h eb a s i so fa n a l y z i n gs o m er e p r e s e n t a t i v ei d s t h e s h o r t c o m i n g se x i s t i n g i nt r a d i t i o n a li d sa r ep r e s e n t e d ，s u c ha sb e i n gl a c ko f d i s m b u t ed i s t r i b u t i v i t y , f l e x i b i l i t y , i n t e r o p e r a b l i l i t y t h e r e f o r en e wt e c h n o l o g i e s a r en e e d e df o re x p l o r e dt oi m p r o v et h eo v e r a l lp e r f o r m a n c eo fi d s f i r s t l yt h i sp a p e ri n t r o d u c e st h er e s e a r c ho fi n t r u s i o nd e t e c t i o ns y s t e mb a s e d o ni m m u n ep r i n c i p l e s e c o n d l yt h i sa r t i c l ee s p e c i a l l ya n a l y s e st h eu s a b l e c h a r a c t e r i s t i co ft h et e c h n o l o g ya n dg i v e su sr e s e a r c hr e v e l a t i o n s ，o nt h i sb a s i sa n e wk i n do fi n t r u s i o nd e t e c t i o ns y s t e mm o d e li sp r e s e n t e db a s e do nt h ei m m u n e a g e n t b a s e do na b o v ed i s c u s s i o nad e s i g nb l u ep r i n ti sp r o v i d e di nd e t a i l ，w h i c h i n c l u d i n gf u n c t i o n so fe a c hm o d u l e ，i n f r a s t r u c t u r e ，w o r k i n gf l o wa n da l g o r i t h m s a n da l g o r i t h m so fe a c hp a r ta n dt h ec o o p e r a t i o ns c h e m ea m o n g a g e n t e x p a t i a t e d o ns e v e r a la s p e c t ss u c ha sh o wt oe x p r e s st h en e t w o r kd a t at oa n t i g e n , h o wt o p r o d u c ea n t i b o d yt od e t e c tt h ea n t i g e n ，h o wt oo r g a n i z et h ea g e n t st or e a l i z e d i s t r i b u t e di n t r u s i o nd e t e c t i o na n dh o wt or e s p o n s et oi n t r u s i o n ，e t c b a s e do na b o v ed e s i g n ，t h em o d u l e so fd e t e c t i o na n dr e s p o n d i n gi se m u l a t e d i nt h es y s t e m r o b u s ta n da u t o n o m yq u a l i t y a r ea n a l y z e dt o w a r dt h em o d e l s y s t e m a f t e r w a r d st h i st h e s i se v a l u a t et h ep e r f o r m a n c ef r o mq u a n t i t a t i v ea n d q u a l i t a t i v ea s p e c t st h r o u 曲e x p e r i m e n t s i t i s p r o v e dt h a tt h i ss y s t e mc a n e f f e c t i v e l yr a i s et h ea b i l i t yo fm e a s u r i n ga n dr e s p o n d i n gi nr e a l t i m ea n dh a v e b e t t e rr o b u s t n e s sa n da u t o n o m yq u a l i t y k e y w o r d s i n t r u s i o nd e t e c t i o n ；m o b i l ea g e n t ；i m m u n ea g e n t i i 哈尔滨理工大学硕士学位论文原创性声明 本人郑重声明：此处所提交的硕士学位论文基于免疫a g e n t 的入侵检测模 型研究，是本人在导师指导下，在哈尔滨理工大学攻读硕士学位期l 日j 独立进行 研究工作所取得的成果。据本人所知，论文中除已注明部分外不包含他人己发表 或撰写过的研究成果。对本文研究工作做出贡献的个人和集体，均已在文中以明 确方式注明。本声明的法律结果将完全由本人承担。 作者签名：考7 听 日期：沙g 年；月，；日 哈尔滨理工大学硕士学位论文使用授权书 基于免疫a g e n t 的入侵检测模型研究系本人在哈尔滨理工大学攻读硕士 学位期间在导师指导下完成的硕士学位论文。本论文的研究成果归哈尔滨理工大 学所有，本论文的研究内容不得以其它单位的名义发表。本人完全了解哈尔滨理 工大学关于保存、使用学位论文的规定，同意学校保留并向有关部门提交论文和 电子版本，允许论文被查阅和借阅。本人授权哈尔滨理工大学可以采用影印、缩 印或其他复制手段保存论文，可以公布论文的全部或部分内容。 本学位论文属于 t 保密口，在年解密后适用授权书。 ， 不保密0 。 ( 请在以上相应方框内打4 ) 作者签氢旁听 导师签名- 1 红趴 日期：彬年；月，；日 日期：撕停；月b 日 第1 章绪论 进入九十年代以来，i n t e m e t 持续岛速的发展，极大地加快了社会信息化的 步伐。随着计算机技术和通信技术在金融、政府、医疗、制造业、商业、教育 各界的广泛应用，网络安全问题已经越来越受人们重视。借助于计算机网络环 境，实现了跨地区的电子银行、电子商务、电子政务、电子家务、金融网络、 制造资源管理和网络虚拟社区等多种应用。但是，网络的开放性也为信息的窃 取、盗用、非法修改以及各种扰乱破坏提供了可乘之机，使得信息在存储、处 理和传输等各个环节。都有可能遭到入侵者的攻击或病毒的危害，造成系统的 瘫痪或重要数据的丢失。为了保护网络和系统的安全，人们针对信息的存储、 处理和传输的各个环节使用了各种安全技术。但是人们发现单独的使用一种安 全技术是不可靠的，只有将各种安全技术综合地使用在一个整体的安全方案 中，才可以尽可能地保护信息和系统的安全。 入侵检测系统i d s ( i n t r u s i o nd e t e c t i o ns y s t e m ) 正是在这种背景下，经过 了近二十年的发展成为安全领域内的重要技术和研究方向“。 1 1 课题研究背景 近年来，互联网在国际上得到了长足的发展，但网络本身的安全性问题也 就显得更为重要。网络安全的一个主要威胁就是通过网络对信息系统的入侵。 目前，解决网络安全问题的主要技术手段有加密解密技术、防火墙技术、安全 路由器等，它们在防御网络入侵方面有一定的作用。但是，网络安全是一个综 合的、立体的工程单纯依靠一些防御工具不可能满足全部的安全要求入侵检 测系统应运而生，通过动态探查网络内的异常情况，及时发出警报，有效弥补 了其它静态防御工具的不足。 随着信息技术的发展和互联网技术的普及，网络安全芷在受到日益严重的 威胁。传统的安全措施已不足以保证网络系统的安全，迫切需要采用新的技术 解决网络安全问题。随着人们对生物免疫机理认识的不断深入，一个崭新的研 究方向正在形成，这就是人工免疫系统”，。这项技术在智能控制、故障诊断， 优化设计、数据挖掘、病毒检测等方面的应用都取得了良好的效果。其实，对 防止计算机病毒的入侵和生物的免疫功能类似。因此，人们很自然想到借鉴现 代免疫学的成果，建立基于免疫机制的网络安全体系，以提高网络安全水平。 哈尔滨理 大学t 学硕十学位论文 1 2 入侵检测技术研究的现状与发展 到了7 0 年代随着计算机数目和处理速度的增长，对计算机安全需求增 加，传统的安全审计不能满足安全的需要。美国国防部出于对由此引发的安全 问题的考虑，增加了计算机审计的一项安全机制。j a m e sp a n d e r s o n 负责这个 项目，在1 9 8 0 年做了一个关于审计跟踪问题信息的报告，该报告被认为是入 侵检测系统的开创性工作。1 9 8 7 年，d e n n i n g 提出了入侵检测专家系统，在 该系统中，将计算机不正当使用和反常的行为认为是不寻常的。美国d a r p a 在1 9 9 7 年提出c d f 公共入侵检测框架，入侵检测技术的发展提供了一个标 准。 现在国内外提出了许多i d s ( i n t r u s i o nd e t e c t i o n gs y s t e m ) 系统，按照被 检测对象的位置来分有基于主机的检测系统模型和基于网络的检测系统模型。 按照检澳4 是采取的技术方法来分有基于概率统计的模型，基于规则的模型等 等。然而由于网络的复杂性，使得模型都各有利弊，我们不可能采取单一的方 法来实现，可以通过不同模型的协调使用，目前对在入侵检测系统的设计，研 究者可以充分利用许多已有的人工智能技术，如专家系统、神经网络技术、遗 传算法、模式识别等，我们重点分析在移动代理技术和免疫原理在入侵检测领 域内的应用。 1 2 1 基于移动代理技术的入侵检测系统的研究 目前移动代理技术已成为研究大型网络分布式入侵检测系统实现的一个热 门方向。在国外已经出现了许多基于a g e n t 的分布式入侵检测系统框架，如 a a f i d 系统。1 、h u m m i r g b i r d “1 、e m e r l d 等。我们介绍几种比较成熟的分别 由荚国c o l u m b i a 大学、日本安全机构和美国i o w a 州立大学提出的基于移动代理 的入侵检测系统。 日本安全机构i d a ( i n t r u s i o nd e t e c t i o na g e n ts y s t e m ) 提出的i d s 系统的最大 特点是利用m a 实现了入侵追踪。i d a 是一种层次结构的多主机i d s ，其由一 个管理器、多个传感器、布告板和信息板、追踪a g e n t 和信息收集a g e n t 等组 成。i d a 定义一种可以入侵者踪迹( m a r k sl e f tb ys u s p e c t e di n t r u d e rm l s i ) 来检 测入侵。 美国c o l u m b i a 大学提出的j a m ( j a v aa g e n tf o rm e t a - l e a m i n g ) ”系统利用m a 技术，将后向学习和分布式数据挖掘用于入侵检测。在j a m 的分布式结构中， 每个a g e n t 运用数据挖掘，如分类、关联和序列分析等，对知识和行为进行建 模和推理。系统的设计包括两个核心组件：本地的检测 a g e n t ，主要用来在一 个单一的团体信息系统中学习怎样去检测入侵；一个后向学习系统，用来结合 本地单个a g e n t 学习的知识，以进一步发掘有用信息。 美国i o w a 州立大学发展的m a i d s 系统( m o b i l ea g e n ti n t r u s i o n d e t e e f i o n s y s t e m ) ”1 系统足基于m a ( m o b i l ea g e n t ) 的分布式入侵检测系统。m a i d s 先采 用软件故障树分析( s o f t w a r ef a u l tt r e ea n a l y s i s ) 对一个入侵建模，再使用有色 p e t r i 网( c o l o r e dp e t r in e t ，c p n ) 将软件故障树分析模型转换成入侵检测建模， 接着用m a 技术来实现一个c p n “”。m a i d s 可以对一个入侵即对入侵的检测 建立精确的模型，对分布式入侵的检测有独到的能力，如在m a i d s 的实验中 成功检测了涉及多个主机的f t p 反弹攻击。 上面介绍的三种基于m a 的i d s 各有自己的特色，其它基于m a 的系统如 c e n e v a 大学n o n af o u k i a 等提出的一种模型将计算机遗传概念用于入侵检 测，i o w a 州立大学的g u y g ，h e l m e r 等提出的模型将数据挖掘用于u n i x 系 统的系统调用号来检测入侵“”，在此不再赘述。 1 2 2 有关免疫机制的入侵检测模型的研究 基于免疫机制的入侵检测系统研究迄今，提出基于免疫机制入侵检测模型 的人员可分为3 个小组： ( 1 ) 美国u n i v e r s i t yo fn e wm e x i c o 的f o n e a 、h o f m e y r 小组“2 1 他们提出的 基于免疫机制的入侵检测模型，是一个基于网络的入侵检测模型，在这个模型 中，整个系统由分布在网络中处于监听状态的一组主机构成，每台主机是一个 检测检点，在每个检测结点上，用于免疫识别的抗原是由请求包中的源口地 址、目的m 地址和服务端d 3 个属性构成的定长为l 的二进制符号串。模型中 的阴性检测子是免疫系统中b 细胞、t 细胞和抗体的综合体，数据结构与抗 原相同，检测子与抗原的特异性互补结合以定长的连续位匹配函数来模拟，成 熟的阴性检测子是从随机生成的不成熟检测子中通过阴性选择过程生成的，然 后分布在网络系统的各主机上“m 。 本模型的弱点是检测基因的属性选择较简单，较难反映入侵的特征；此 外，成熟的阴性检测子是从随机生成的不成熟检测子中通过阴性选择过程生成 的，算法的搜索范围很大，缺乏目的性，由于网络中检测子的规模是固定的， 所以其覆盖的“非我”空间也是有限而不完备的。 哈尔泞理t 大学t 学硕t 学位论文 ( 2 ) 荚i 雪u n i v c r s i t yo f m e m p h i s 的d a s g u p t a 小组“”他们提出过一个基于免疫 的入侵检测系统框架，这是一个具有分布性、流动性、合作性和适应性的系统 模型，同时利用网络级、系统级、用户级和进程级的，通过相互通讯而实现入 侵检测。该模型运行遗传算法，要从新生成的检测子中按一定比例选择出- b 现 有备检测子重叠最少的，作为新生成的最优的检测子，并加入到现有检测子集 中，直到达到检测子集规模为止。该模型实现的可行性较小，因为按该模型实 现所带来的系统负载是非常大的，会对运行的主机性能造成巨大的影响。 ( 3 ) 英n u n i v e r s i t yo fc o l l e g el o n d o n 的k i mb e n t l e y 小组“”k i m 小组的研 究工作k i m 小组提出的模型描述了阴性选择、克隆选择和检测子基因库进化3 种免疫机制的应用，用于免疫识别的抗原是一个聚集结构，自身抗原用自动特 征提取程序从周期收集的网络数据中生成，检测子与抗原是否匹配是通过所有 属性的匹配分值之和是否超过某个闽值而判定的，在该模型中，系统由两个部 分组成：通往某子网络的两个路由器之间的一台主机形成中枢i d s ，该子网络 中若干台主机构成周围i d s 。该模型的算法搜索范围较大，同时模型的层次结 构给系统带来了较多的通讯工作量。 1 2 3 入侵检测系统的发展趋势 从总体上讲，目| ； 除了完善常规的、传统的技术( 模式识别和完整性检 测) 外，入侵检测系统应重点加强与统计分析相关技术的研究“”。许多学者在 研究新的检测方法，如采用自动代理的主动防御方法，将免疫学原理应用到入 侵检测的方法等。其主要发展方向可以概括为： ( 1 ) 分布式入侵检测与c i d f 传统的入侵检测系统一般局限于单一的主机或 网络架构，对异构系统及大规模网络的检测明显不足，同时不同的入侵检测系 统之间不能协同工作。为此，需要分布式入侵检测技术与c d f 。 ( 2 ) 应用层入侵检测许多入侵的语义只有在应用层才能理解，而目前的入 侵检测系统仅能检测w 曲之类的通用协议，不能处理如l o t u sn o t e s 数据库系统 等其他的应用系统。许多基于客户服务器结构、中日j 件技术及对象技术的大 型应用，需要应用层的入侵检测保护。 ( 3 ) 智能入侵检测目前，入侵方法越来越多样化与综合化，尽管已经有智 能体系、神经网络与遗传算法应用在入侵检测领域，但这些只是一些尝试性的 研究工作，需要对智能化的入侵检测系统进一步研究，以解决其自学习与自适 应能力。 哈尔滨理工大学t 学硕七学位论文 ( 4 ) 与网络安全技术相结合结合防火墙、p k i x 、安全电子交易( s e t ) 等网络安全与电子商务技术，提供完整的网络安全保障。 ( 5 ) 建立入侵检测系统评价体系设计通用的入侵检测测试、评估方法和平 台，实现对多种入侵检测系统的检测，已成为当前入侵检测系统的另一重要研 究与发展领域。评价入侵检测系统可从检测范围，系统资源占用、自身的可靠 性等方面进行，评价指标有；能否保证自身的安全、运行与维护系统的开销、 报警准确率、负载能力以及可支持的网络类型、支持的入侵特征数、是否支持 p 碎片重组、是否支持t c p 流重组等。 总之，入侵检测系统作为一种主动的安全防护技术，提供了对内部攻击、 外部攻击和误操作的实时保护，在网络系统受到危害之前拦截和响应入侵。随 着网络通信技术安全性的要求越来越高，为给电子商务等网络应用提供可靠服 务，而由于入侵检测系统能够从网络安全的立体纵深、多层次防御的角度出发 提供安全服务，必将进一步受到人们的高度重视。 1 3 本文研究的主要内容 本课题是哈尔滨市学科后备带头人基金项目 2 0 0 3 a f x x j o l 3 和黑龙江省教 育厅科学技术研究项目 1 0 5 4 1 0 4 4 。提出了一种基于免疫a g e n t 的入侵检测模 型，该模型采用了人工免疫系统和a g e m 技术。利用a g e m 收集各种类型的数 据。使用遗传算法对检测器进行训练，然后得出检测结果。本文研究的是智能 的入侵检测防御系统模型，这对如何有效提高入侵检测系统的自适应性有着很 重要的意义。 本文首先对入侵检测技术进行了总述，然后介绍了当| ；i 研究的热点智能入 侵检测技术。重点分析了移动代理技术和免疫原理技术在入侵检测中的可用特 性以及给我们的研究启示。 然后在此基础上提出了基于免疫a g e n t 的模型，并进行了详细的模型整体 设计，其中包括各模块的功能、各组件的内部结构、工作流程、算法以及相互 的通信协作等。 最后基于模型的设计方案，对关键模块作出了实现，并对模型系统做了仿 真实验，对模型系统的性能进行了分析。 哈尔滨理t 大学t 学硕十学位论文 2 1 引言 第2 章入侵检测与智能入侵检测技术 传统的入侵检测系统还存在许多不足之处，今后的入侵检测系统将向分布 式、智能化、自适应、自学习的方向发展，本文提出用人工智能的方法来进行 检测分析，主要采用智能体代理技术和人工免疫原理。 2 2 入侵检测技术总述 入侵检测系统“”( i n t r u s i o nd e t e c t i o ns y s t e m ，简称r d s ) 被认为是安全系统中 的一道重要的防线。入侵检测技术的应用，相当于在计算机系统中引入了一 个、闭环的安全策略，如图2 1 示。计算机的多种安全策略，如；防火墙、身 份认证、访问控制、数据加密等，通过入侵检测系统进行安全策略的反馈，从 而进行及时地修正，大大提高了整个系统的安全性。 图2 1 安全系统的闭环结构 f t 9 2 1 c l o s i n gs m l c n l l o f s e c u r i t ys y s t e m 2 2 1 入侵检测的概念 顾名思义，入侵检测是对入侵行为的发觉。它通过对计算机网络或计算机 系统中的若干关键点收集信息并对其进行分析，从中发现网络或系统中是否有 违反安全策略的行为和被攻击的迹象。入侵检测的软件与硬件的组合便是入侵 检测系统。与其他安全产品不同的是，入侵检测系统需要更多的智能，它必须 可以将得到的数据进行分析，并得出有用的结果。入侵检测系统对传统的安全 哈尔淳理t 太学t 学够卜学特诊芷 产品的合理补充，它帮助系统对付网络攻击，扩展了系统管理员的安全管理能 力( 包括审计、监视，进攻识别和响应) ，提高了信息安全基础结构的完整 性。 归结起来，一个入侵检测系统，至少应该能够完成以下功能： ( 1 ) 监控、分析用户和系统的活动 ( 2 ) 检查系统的配置和漏洞 ( 3 ) 评估系统的关键资源和数据文件的完整性。 ( 4 ) 识别已知的攻击行为以及统计分析异常行为。 ( 5 ) 对操作系统进行日志管理，并识别违反安全策略的用户活动。 2 2 2 入侵检测的分类 依据i d s 从布局、采集、分析、响应等各层次及系统性研究方面的问题， 可有五种分类标准：控制策略、同步技术、信息源分析方法和响应方式。 按照控制策略分类，i d s 划分为集中式i o s 、部分分布式i d s 和全部分布 式i d s 。按获得原始数据的位置和检测的对象的不同可分为基于主机的入侵检 测和基于网络的入侵检测系统“。 基于分析方法的i d s 研究分类，入侵检测技术主要分成两大类型：异常入 侵检测( a n o m a i yd e t e c t i o n ) 和误用入侵检测( m i s u s ed e t e c t i o n ) “”。异常入 侵检测( a n o m a l yd e t e c t i o n ) 指识别主机或网络中异常的或不寻常行为。它们 假设攻击与正常的合法的活动有大的差异来识别攻击。异常检测首先收集一段 时期正常操作活动的历史数据，再建立代表用户、主机或网络连接的正常行为 轮廓，然后收集事件数据并使用一些不同的方法来决定所检测到事件活动是否 偏离了正常行为模式。异常检测技术模型如图2 2 所示 图2 2 异常检测模型 f 1 9 2 - 2 a n o m a l yi n m m t o n & t e c t l o nm o d e l f 1 9 2 - 2 a n o m a l yi n t r u s i o nd e t e c n o nm o d e l 异常检测使用的方法和技术包括： ( 1 ) 阈值检测它是最常见的量化分析形式，在闽值检测中，用户和系统行为的 某种属性根据记数进行描述这些记数是有某种许可级别的。 ( 2 ) 统计方法包括参量化方法，其中假设特征属性的分布匹配特殊的模式；非 参量化方法，其中特征属性的分布是从先前观测的一套历史值中学习得来的， 且这套历史值要不断更新。 ( 3 ) 基于规则的方法基于规则的异常检测系统使用规则集来表示和存储使用模 式。 ( 4 ) 其它的方法如：神经网络、遗传算法、免疫系统方法、数据挖掘方法、模 糊识别等，。 误用检测技术，又称为基于知识的入侵检测技术。它通过攻击模式攻击签 名的形式表达入侵行为。该模型结构如图2 3 所示 图2 - 3 误用检测模型 h g 2 3 m l s u s ei n t r u s i o nd e c t t i o nm o d e l 误用检测器分析系统的活动，发现那些与预先定义好了的攻击特征相匹配 的事件或事件集。由于与攻击相对应的模式叫特征，误用检测往往被叫做基于 特征的检测。误用检测技术的优点在于可以准确地检测已知的入侵行为，但 它不能检测未知的入侵行为。误用检测技术的关键在于入侵行为的表达，即攻 击模式和攻击签名的构建，检测过程中的推理模型。 ( 1 ) 专家系统误用检测中运用最多的一种方法。将有关入侵的知识转化成 i f t h e n 结构的规则，即构成入侵所要求的条件转化为i f 部分。将发现入侵 后采取的相应措施转化成t h e n 部分饥“。当其中某个或某部分条件满足时，系 统就判断为入侵行为发生。 ( 2 ) 状态转换分析最早由r k e m m e r e r 提出，即将状态转换图应用于入侵 行为的分析。状态转换法将入侵过程看作一个行为序列，这个行为序列导致系 哈尔泞理t 大学t 学硕+ 学位论文 统从初始状态转入被入侵状态“。 2 2 3 入侵检测系统的标准化 目前，通用入侵检测架构( c i d f ) 组织和( i e t f ) 都试图对入侵检测系 统进行标准化。c i d f 阐述了一个入侵检测系统的通用模型，将入侵检测系统 分为4 个组件：事件产生器、事件分析器、响应单元及事件数据库。c i d f 将 入侵检测系统需要分析的数据统称为事件，它可以是网络中的数据包，也可以 是从系统r 志等其他途径得到的信息。 事件产生器足从整个计算环境中获得事件，并向系统的其他部分提供此事 件；事件分析器分析得到的数据，并产生分析结果；响应单元则是对分析结果 做出反应的功能单元，它可以做出切断连接、改变文件属性等强烈反应，也可 以是简单的报警。事件数据库是存放各种中间和最终数据的地方的统称，它可 以是复杂的数据库，也可以是简单的文本文件。在这个模型中，前三者以程序 的形式出现，而最后一个则往往是文件或数据流。入侵检测系统的几个组件往 往位于不同的主机上。一般会有3 台机器，分别运行事件产生器、事件分析器 和响应单元。 i e t f 的i n t e r n e t 草案工作组 b ：5 4t c p s s e q ：o x f 4 c 2 8 4 e 4 a c k ：o x o w i n ：o x c 0 0 2 0 0 0 2 4 0 2b ：5 4 一 a 1 0 3 4t c ps s e q ：o x 5 a 7 5 5 a a c k ：o x f 4 2 8 4 e 5 w i n ：o x c 0 0 3 4 1 5 5 4 4 1a 1 0 3 4 一 b 5 4t c pf s e q ：o x f 4 c 2 8 4 e 5a c k ：o x 5 a 7 5 5 b w i n ：o x c 0 0 假设a 向b 发起连接请求，a 首先发出s y n 包，其标志位为s ，如1 表示。事件引擎检 测到包后，如果b 回应以s y n 确认包，如2 ，则说明建立了一条连接，形成连接建 立网络事件。如果a 收至o r s t 包或收到f i n 包，标志位为r 或f ，则生成连接中止事 件。在连接建立和中止之间，事件生成引擎还监控该连接的大量中间数据交 换，根据网络事件的结构形成网络事件。 经过预处理后的数据包包括发起时间、源i p 地址、源端口号、目的i p 地 址、目标的端口号，其表示形式如下所示： 时间源i p 地址源端口号目的i p 地址目的端号 2 ：4 5 ：5 91 5 4 1 2 1 1 1 1 43 2 7 6 81 9 2 1 6 8 0 11 0 9 8 这些处理后的数据将被发送给抗原形成模块做进一步处理。 3 ) 抗原形成模块 由于采集到的网络数据往往表现出随机性和一段时间内的相关性，我们不 能孤立地对网络事件进行处理，必须综合考虑在一段时间内地特征才能反应出 网络地真实属性。因此在抗原形成模块中必须实时地提取网络行为特征，形成 抗原。 3 4 2 抗体分析基因库 它负责形成抗体，并将成熟的抗体分发到网络各节点上。 1 抗体的生成 如图3 4 所示，首先，建立一个原始的抗体基因库，根据对网络安全的经 哈尔滨理工大学t 学硕士学位论文 验知识，将各种对网络安全有潜在威胁的因素放入基因库中，如i p 地址、服务 端口、数据包特征、协议类型等。接下来，从抗体基因库中随机产生一些抗 体，这些抗体是“未成熟的”，需要做免疫耐受检测，将与正常网络行为相吻合 的那些抗体筛选去，以免对自身正常行为产生破坏。经过免疫耐受检测的抗体 “成熟”以后。可以发布到网络各个节点上，进行实际的监控工作。如果在抗体 的免疫耐受检测过程中，恰好出现异常事件，导致系统漏报可疑事件。但由于 实际当中异常事件远远少于正常时间，因此还是有可能在以后的时间内产生其 他抗体来处理这一异常事件，这样对免疫系统的整体影响不大。上述抗体的生 成过程是动态的，随机的。 本文中抗体采取二进制表示方法，每个抗体表示一个模糊规则。生成抗体 地基因储存在基因库中。在基因库演化阶段获取抗体地一般知识，并在基因表 达过程中运行遗传算法，通过重组、选择和突变生成各种不成熟地抗体。基因 表达过程使得入侵检测免疫模型只用很少地基因就可以检测到众多地入侵方 式。在逆向选择阶段，通过对正常网络数据进行处理形成抗原集，表征正常的 网络行为特征，然后将基因表达过程中形成的不成熟的抗体集和抗原相匹配的 抗体适应度降低，这样经过遗传演化，最终将得到不与本地抗原匹配的抗体 集，即具有免疫耐受的抗体集，最后培育成功的抗体被分派到各个节点中。 图3 4 抗体的生成过程 f i 9 3 - 4 p i d c e 髓o f b u i l da n u b o d y 哈尔滨理t 大学t 学硕十学位论文 2 遗传算法 免疫策略的进化算法是人工智能的一部分，同时也借鉴遗传操作的方法。 遗传算法同样是解决优化问题，生物的进化通过选择淘汰，突然变异，基因遗 传等规律产生适应环境变化的优良物种。遗传算法正是根据生物这一进化规律 而得出的一种全局优化算法”。 遗传算法的基本的操作有：复制( r e p r o d u c t i o n 亦称s e l e c t i o n ) 、交叉 ( c r o s s o v e r ) 、变异( m u t a t i o n ) 、分别模拟生物学中自然选择和种群遗传过 程中发生的繁殖、交配和基因突变现象。复制是基于适者生存理论，是指种群 中每一个个体按照适应度的高低进化到下一代种群的过程。交叉是按照一定的 交换概率p c 从种群中随机选择两个个体部分地交换某些。变异是以一定的变 异概率p i i l 对种群中的某些个体的某些位进行取反操作，变异发生的概率很 低，通常取值在0 0 0 1 0 o l 之间。 遗传算法求解实际问题时，首行对优化问题的所有参数进行编码，一般采 用二进制串表示，有时也用浮点数串表示，一个字符串就是一个个体，所有个 体的集合称之为种群。在种群中每个个体都表示一个可行解；其次，根据优化 问题，构造评价个体适应能力的适应度函数( f i t n e s sf u n c t i o n ) 来衡量解的优 劣程度；最后，以随机方式产生一群初始解为开始，通过使用遗传算子对每个 个体进行操作组合，在遗传过程中把上一代中适度函数值较高的个体复制下 来，相应的将适度函数值较低的个体淘汰，然后保留的个体中的数字任意配 对，进行交叉操作，在交叉后的新个体中的某一位变异，即产生了新的一代， 如此类推，直至产生全局最优解1 。 遗传算法是j h h o l l a n d 根据自然界中生物进化的理论模型提出的一种优 化算法简称g a ( g e n e t i ca l g o r i t h m ) 遗传算法流程图如图3 - 5 所示 哈尔滨理t 大学t 学面十学位论文 图3 5 遗传算法流程图 f i 9 3 5 f l o w c h a r to f g e n e u ca l g o n t t u m 在本模型系统中，为了得到适应度高的一组抗体，我们用遗传算法来对抗体进 行选择、交叉、变异等遗传操作。首先，我们必须选择一个合适的适应度函 数，根据免疫耐受性原理，产生抗体不能对本体造成损害，也就是说抗体与本 体抗原结合的亲和力越小越好。据此可以定义适应度卤数如下： f i m e s s = 1 y ：c ( p ，) n( 式3 - 1 ) = 其中n 为本体抗原集的大小，c ( p i ) 表示抗体与抗原i 结合的亲和力。 有了适应度函数，我们可以根据计算得到的个体适应度来进行选择操作， 哈尔滨理t 夫学t 学碗+ 学付论定 以确定重组或交叉的个体。 交叉也称基因重组，目的是为了能够在下一代产生新的个体。基因重组和 交叉是遗传算法获取新优良个体的最重要的手段。交叉操作主要有实值交叉和 二进制交叉两种方式。其中二进制交叉又分为单点交叉、多点交叉、均匀交叉 等几种。由于本文中抗体采用二进制编码形式，因此交叉操作采用二进制均匀 交叉方式，其基本思想是对两个配对个体的每一个基因位上的基因都以向多的 交叉概率进行交换，从而形成两个新的个体，具体操作过程如下： 随即产生一个与个体编码串长度等长的屏蔽字w = w l w 2 w i w l ，其中l 为 个体编码串的长度。 由下面规则从a 、b 两个父代个体中产生出两个新的子代个体a ，、b ： 若w 。= 0 ，则a 在第i 个基因位的基因值是继承a 的对应基因值，b 在第i 个基 因位的基因值是继承b 的对应基因值； 若w l m l ，则a 在第i 个基因位的基因值是继承b 的对应基因值，b 在第i 个的 基因值是继承a 的对应基因值。 重组之后是子代的变异，子个体变量以很小的概率或步长产生转变。变异 方式有实值变异和二迸制变异两种，本文采取二进制变异方式，随即选取个体 的某个基因位进行翻转。 3 4 3 决策a g e n t 决策a g e n t 负责检测入侵并作出决策激活相应的响应a g e n t 。决策a g e n t 收 到监控a g e n t 发送来的抗原信息，将抗原与抗体进行匹配来判断是否发生了入 侵行为，其工作流程如图3 5 所示： 决策a g e n t 首先判断是否有抗原到达，一旦接收到一个抗原，则首先读入 记忆抗体基因库，将抗原与抗体逐一进行比较，计算抗体和抗原的亲和力，若 该亲和力超过某一阈值则该抗体被激活，说明有入侵行为发生，增加该抗体的 适应度，并激活相应的响应a g e n t ，从而进行快速反应。遍历记忆抗体基因 库，判断是否有抗体被激活；若没有抗体激活，则读入抗体集。逐一计算抗体 集中的抗体与抗原的亲和力，若该亲和力超过闽值则该抗体被激活，增加该抗 体的适应度和激活度，若激活度超过激活阈值，则激活相应的响应a g e n t ，并 将该抗体加入记忆抗体基因库，同时将组成该抗体的基因传送到分析抗体基因 库。遍历抗体基因库，判断是否有抗体的激活度超过闽值，若均未超过阈值， 则说明网络一切正常，没有发生入侵行为。 竺尘堡! ：查兰：兰竺三兰竺彗耋 图3 5 决策a g e n t 的工作流程 f i 9 3 - 5 d e c i s i o na g e n tw o r kf l o w 啥尔滨理t 大学t 学硕七学位论文 3 4 4 抗体集 抗体集在系统初始化阶段由抗体分析基因库随即产生，并分发到网络节 点中。每个抗体带有三个属性：抗体寿命、抗体适应度和激活度。当抗体与抗 原匹配的亲和力超过阈值，其适应度和激活度都增加；当激活度超过闽值，决 策a g e n t 将激活报警，将它升为记忆抗体，然后重置寿命值和激活度，复制并 分发到网络其他节点。这样，网络各节点维护的抗体集不断适应变化的网络状 况，拥有适应值更高的抗体。 3 5 通信模块 3 5 1 系统的通信模型 整个系统是一个多a g e n t 的分布式系统，各个a g e n t 之间需要交流信息，相 互协作来完成入侵检测任务图3 6 显示了系统通讯结构示意图 首先，分析抗体基因库产生初始抗体需要传送给各网络节点；其次，监 控a g e n t 监测网络事件形成抗原传送个决策a g e n t 进行处理，同时监控a g e n t 与 管理员进行交互，得到报警阈值也一并传给决策a g e n t 以制定安全策略；而决 策a g e n t 之间也需要相互交流，当一个决策a g e n t 发现一个可疑行径，即某个抗 体与抗原的匹配程度超过阈值，则告知其他决策a g e n t 增加这一抗体激活度， 若它发现了一个入侵行为，即某个抗体的激活度超过阔值，则进入克隆阶段， 复制并分发这个抗体给其他节点，并将这个抗体记忆。另外，当决策a g e n t 检 测到一个入侵行为，将激活助手a g e n t 或杀手a g e n t ，由于抑锘t a g e n t 需要根据 误警情况来决定如何处理，故而将由助手a g e n t 协助激活：助手a g e n t 与系统管 理员交互，显示报警信息，并向系统管理员询问是否中断连接、是否删除抗 体，当得到管理员的确认后，他将激活杀手a g e n t 或抑甫1 a g e n t ，这相当于免疫 系统中的协同激活；当抑铝t i a g e n t 被激活后，他将通知决策a g e n t 删除抗体中误 警率太高的抗体。 哈尔滨理工夫学工学硕士学位论文 3 6 响应模块 口通信a 删 7 燃a g e n t o 监龇“t 黼孵脚制a 刚 图3 - 6 通讯结构示意图 f i 9 3 - 6 c o m m u n i c a t i o ns t r u c t u r e 响应模块的任务就是进行预警及实时的响应，让管理员了解问题的存在并 采取适当的措施，本系统采取移动a g e n t 技术来实现对入侵行为的响应。响应 模块包括杀手a g e n t 、助手a g e n t 年0 抑9 1 a g e n t 。分别实现不同的响应功能，将 主动响应和被动响应这两种模式结合起来。 3 6 1 用户权限分类 响应模块提供一个与用户交互的界面，根据用户对系统的干预手段的不 同，将用户分为两类，并对他们授予不同的用户权限1 。 1 系统管理员：使用本系统来监控和保护网络系统，他们对网络安全知识和 本入侵检测系统有很好的认识，所以他们是具有最高的权限的用户。对于这类 用户，系统向他们提供入侵的分析信息，同时也提供一些接口，允许他们进行 系统的参数调整。 哈尔滨理- 大学工学硕十学位论文 2 一般用户：使用本系统来了解网络安全状况，他们可能不具备入侵检测 系统的相关知识，系统只对他们提供入侵分析结果，而不允许他们对系统有操 作权限。 3 6 2