（计算机应用技术专业论文）基于免疫原理的系统级入侵检测方法研究.pdf

y 四川大学硕 卜 学位论文 6 5 4 1 4 3 基于免疫原理的系统级入侵检测方法研究 计算机应用技术专业 学生 陈晓华指导教师 卢 苇 今天的计算机安全问题日 益严重， 不论是u n i x 的缓冲区溢出， 还是微软 的工 n t e r n e t 浏览器所存在的漏洞， 计算机系统在各个层次上都存在着安全隐 患。然而，传统的安全技术己不再满足人们的需要。因此，一种新的计算机 安全工具入侵检测系统，受到人们的关注。这是一种通过检测计算机资 源使用情况来保护计算机安全的系统，它作为对传统的计算机安全解决方案 “ 防火墙”和 “ 电子加密”的有益补充，为计算机系统的安全保护再添一道 有力的屏障。 目 前，入侵检测系统有三种分类方法:从技术上，可以分为基于特征的 入侵检测系统和基于异常的入侵检测系统;从数据来源上，可以分为基于主 机的入侵检测系统和基于网络的入侵检测系统;从实现结构上，可以分为单 点入侵检测系统和分布式入侵检测系统。 本文的课题从生物界的免疫系统原理中得到启发，将整个的入侵检l行 为解释为用检测器来识别 “ 自 我”和 “ 非我”行为的一个过程。在本文，用 检测器来模拟生物体中的淋巴 细胞， 使其同样经历了产生到成熟的动态过程。 随着成熟检测器的不断进化，一部分能准确检测到异常的检测器就进化为记 忆检测器，而另一部分不能检测到异常的检测器则被认为是一种自反应情况 而被抛弃。 本文中，以主机上的计算机资源为研究对象，通过研究特权进程的系统 调用序列，采用基于特征的检测和基于异常的检测相结合的方法，从而对基 于主机的入侵行为进行分析检测。鉴于 l i n u x是目 前可以获得源代码并接触 到其内核的广泛使用的操作系统， 此课题建立在 l i n u x平台之上。由于实验 四川大学硕1 : 学位论文 条件的限制， 在实验阶段主要研究了s e n d m a i l 特权进程的系统调用情况， 对 这种在主机上的基于系统调用的计算机入侵检测方法的概貌做了一个清晰的 诊释。 首先，随机产生了l i n u x的长度为k的系统调用序列，这些系统调用序 列被称为准检测器。 然后， 在实验室环境里采集s e n d m a i l 进程正常情况下的 系统调用数据，并使用 s t 工 d e技术对这些数据进行归一化处理。利用这些处 理过的数据来训练基于b p 算法的神经网络，最终得到一个s e n d m a i l 进程的 正常行为模式库。接着，进行负向选择，将准检测器与正常行为模式库中的 系统调用序列一一比较，匹配的序列被抛弃，仅仅留下不匹配的系统调用序 列。这样获得的系统调用序列就是成熟的检测器。最后，将这些成熟的检测 器放到实际的环境中进行检验，并且对检测器进行动态选择。在这种选择过 程中，那些能够检测到异常的检测器就成为了记忆检测器，保存起来供后续 的入侵检测使用，而在经历了一段时间的实际检测之后，仍然没有检测到异 常的检测器则被认为是一种正常的行为模式，被抛弃。这样，经过日 积月累 的训练与测试，就能够获得随着计算机环境的变化而不断完善自 身的，最新 的检测器，由此得到较为完美的计算机安全解决方案。 在本文中， 为了 验证方法的 有效性， 人为地对目 标主机发起了3 种攻击; s y s l o g d , s u n s e n d m a i l c p , d e c o d e ， 计 算了 方 法的 误 报率 和漏 报率， 得 到了 较好的实验效果。 关键词: 入侵检测系统， 系统调用 向 选择， 动态选择 s t i d e ， 免疫系统， 神经网络， 负 四川大学硕 1 学位论文 re s e a r c h o f i n t r u s i o n de t e c t i o n m e t h o d b a s e d o n i mmu n e t h e o r y a t s y s t e m l e v e l ma j o r o f c o m p u t e r a p p l ic a t io n t e c h n o l o g y p o s t g r a d u a t e : x i a o h u a c h e n s u p e r v i s o r : l u we i mo d e r n c o m p u t e r s y s t e m s a r e p l a g u e d b y s e c u r i t y v u l n e r a b i l i t i e s . wh e t h e r i t i s t h e u n i x b u ff e r o v e r fl o w o r b u g i n mi c r o s o ft i n t e rne t e x p l o r e r , o u r a p p l i c a t i o n s a n d o p e r a t i n g s y s t e m s a r e f u l l o f s e c u r i t y fl a w s o n m a n y l e v e l s . h o w e v e r , t h e c o n v e n t i o n a l s o l u t i o n f o r c o m p u t e r s e c u r it y c a n n o t s a t i s f y t h e n e e d o f p e o p l e a n y m o r e . i n t h a t w a y , p e o p l e t u rn t o d e v e l o p a n o v e l t o o l f o r c o m p u t e r s e c u r i t y s u c h a s i n t ru s i o n d e t e c t i o n s y s t e m , w h i c h d e t e c t t h e u s a g e p a t t e rn o f c o m p u t e r s o u r c e i n o r d e r t o p r o t e c t t h e c o m p u t e r s y s t e m . t h e t o o l i s s e e n a s a g o o d c o m p l e m e n t t o t r a d it i o n a l s o l u t i o n f o r c o m p u t e r s e c u r it y o # f i r e w a l l a n d e l e c t r o n i c a l l y e n c ry p t i o n , s o i t i s a p o w e r f u l g u a r d e r f o r c o m p u t e r s o u r c e . t o d a t e , t h e r e a r e m a i n l y t h r e e c a t e g o r i e s o f i n t r u s i o n d e t e c t i o n s y s t e m s : t e c h n o l o g ic a l l y , s i g n a t u r e a n d a n o m a l y - b a s e d i n t r u s i o n d e t e c t i o n s y s t e m ; a c c o r d i n g t o t h e s o u r c e o f d a t a , h o s t a n d n e t w o r k - b a s e d i n t r u s i o n d e t e c t i o n s y s t e m ; a c c o r d i n g t o t h e i m p l e m e n t f r a m e w o r k , c e n t r a l i z e d a n d d i s t r i b u t e d i n t r u s i o n d e t e c t i o n s y s t e m. i n t h i s p a p e r , a n a p p r o a c h o f i n t r u s i o n d e t e c t i o n b a s e d o n i m m u n e t h e o ry a t s y s t e m l e v e l i s p u t f o r w a r d e d . i n s p i r e d f r o m t h e t h e o ry o f n a t u r a l i m m u n e s y s t e m , t h e p a p e r e x p l a i n s t h e d i s c r i m i n a t i o n t a s k o f i n t r u s i o n a s t h e p r o b l e m o f d i s t i n g u i s h i n g s e lf fr o m n o n s e l f b y d e t e c t o r . t h e r e a r e c o m p e l l i n g s i m i l a r it i e s b e t w e e n t h e p r o b l e m s f a c e d b y i m m u n e s y s t e m s a n d b y c o m p u t e r s e c u r i t y . j u s t l i k e l y m p h o c y t e , d e t e c t o r h a s a l i m i t e d l i f e - s p a n , w h i c h i s e x p e r i e n c e d a d y n a s t i c 四川人学硕 卜 学位论文 p r o c e s s f r o m i m m a t u r e t o m a t u r e . a ft e r t h e d e t e c t o r b e c o m e s m a t u r e , i t h a s t w o o p t i o n s : o n e i s t o b e m e m o ry d e t e c t o r i f i t d e t e c t s a n y a b n o r m a l i n a c e r t a i n t i m e s p a n ; o t h e r w i s e i t i s t o d i e . i n t h i s p a p e r , t h e f o x o f r e s e a r c h is p u t t e d o n t h e r e s o u r c e o f a h o s t . i n d e t a i l , w e p a i n m a i n a t t e n t i o n s o n t h e s y s t e m c a l l s e q u e n c e o f p r i v i l e g e d p r o c e s s h e r e t h i s p a p e r i n t e g r a t e s t h e s i g n a t u r e - b a s e d a n d a b n o r m a l - b a s e d d e t e c t i o n m e t h o d . l i n u x i s a p o p u l a r o p e r a t i n g s y s t e m , t h e s o u r c e c o d e a n d k e r n e l o f w h ic h c a n b e e as i l y g o t , t h e r e f o r e , i t i s u s e d a s t h e r e s e a r c h p l a t f o r m . a l l o f e x p e r i m e n t s a r e d o n e o n i t . h e r e , w e m a i n l y o b s e r v e t h e s e n d m a i l p r o c e s s o n a p e r s o n a l c o m p u t e r , h o p i n g t o g i v e a c l e a r v i e w o f t h e m e t h o d . f i r s t l y , s o m e u n i q u e s y s t e m c a l l s e q u e n c e s o f l e n g t h k w e r e g o t . t h e s e s h o r t s e q u e n c e s o f s y s t e m c a l l w e r e p r o d u c e d r a n d o m l y a n d w e r e u s e d a s d e t e c t o r s i n t h i s p a p e r . s e c o n d l y , m a n y d a t a w e r e c o l l e c t e d w h e n s e n d m a i l p r o c e s s i s r u n n in g i n a c o n t r o l l e d n o r m a l e x p e r i m e n t e n v i r o n m e n t , w h i c h w e r e u s e d t o t r a i n a n d a tt a i n e d a c o m p a r a t i v e l y p e r f e c t n e u r a l n e t w o r k b a s e d o n b p a l g o r i t h m . t h e n e t w o r k w a s u s e d t o b u i l d a n o r m a l p r o f i l e o r d a t a b as e o f n o r m a l b e h a v i o r . a ft e r t h a t , a d e t e c t o r w a s c o m p a r e d w it h a l l o f t h e s e q u e n c e s o f s y s t e m c a l l i n t h e n o r m a l d a t a b as e a n d w a s d i s c a r d e d i f it m a t c h e d a n y o n e i n t h e d a t a b a s e . t h e r e s t o f t h e s e d e t e c t o r s b e c a m e t h e m a t u r e o n e s . t h e w h o l e p r o c e s s w a s c a l l e d a s n e g a t i v e s e l e c t i o n . a t l a s t , w e m a d e a d y n as t i c a l s e l e c t i o n . i n t h e p h a s e , t h o s e w h o h a d d e t e c t e d t h e m o s t a b n o r m a l w o u l d b e m e m o r y d e t e c t o r s , t h e o t h e r o n e s w h o c a n n o t d o it a f t e r a l i f e - s p a n w i l l d i e . i n t h i s w a y , m o r e a n d m o r e t h e l a t e s t a p p r o p r i a t e d e t e c t o r s w h o c a n a d a p t t o t h e c h a n g e o f c o m p u t e r e n v i r o n m e n t w i l l b e g a i n e d . i n o u r e x p e r i m e n t s , t h r e e k n o w n a t t a c k s h a d b e e n l a u n c h e d t o t h e o b j e c t h o s t a n d c o l l e c t e d t h e n o r m a l a n d a b n o r m a l d a t a f o r c o m p u t i n g t h e r a t e o f f a ls e p o s it i v e a n d f a l s e n e g a t i v e . w e g o t a s a t i s f y i n g r e s u lt w h i c h i n d i c a t e s t h e m e t h o d i n t r o d u c e d i n t h i s p a p e r a d v i s a b l e a n d v a l u a b l e . o f c o u r s e , i t s h o u l d b e i m p r o v e i n t h e f u t u r e . 四川大学硕 七 学位论文 k e y w o r d s : i d s , s y s t e m c a l l , s t t d e , i m m u n e s y s t e m , n e g a t i v e s e l e c t i o n , d y n a s t i c a l s e l e c t i o n ne t w o r k , 四川大学硕 卜 学位论文 引言 随着计算机网络的迅速发展，计算机己经从一个简单的，独立的系统发展 到复杂的，互联的开放式系统。在计算机网络安全日 益收到挑战的今天， 人们 需要面对来自 外界的各种攻击和来自内部人员的错误操作对计算机系统资 源所 造成的损害。特别是在电 子政务，电子商务的使用越来越多的时候，人们对计 算机的安全问题更加关注。在这样的背景下，为了保护计算机的安全，各种各 样的系统应运而生。 “ 防火墙技术” ， “ 电子加密技术”是出现的较早， 也是目 前 发展的较为成熟的计算机安全技术。 然而，网 络黑客的日 益猖撅， 计算机病毒的泛滥， 都使得传统的计算机安 全技术不再满足需要。入侵检测是用户已实施的其他安全策略和系统的有效补 充，如果我们将防火墙比喻成带门的屏障，只允许合法用户进入，那么入侵检 测工具就是视频监视和防盗报警系统，它可以通过分析、审计记 录，识别系统 中任何不应该发生的活动。 本文是对入侵检测方法的 研究:第一章介绍入侵检测系统;第二章介绍了 计算机免疫系统;第三章提出了一种受生物系统免疫原理启发的基于主机的系 统调用序列研究的入侵检测方法，第四章，具体介绍这种方法的设计和实现， 并且通过实验，就其误报率和漏报率做了检验，以验证方法的可用性。第五章， 是对这种方法的一个总结，以及对后续研究工作的一个展望。 1 入侵检测系统 入侵检测系统的出现是非常必要的。通常的情况是，系统的某些非常有用 的特征常常也是其最容易收到攻击的地方。由于技术的，经济的原因，人们常 常无法及时地对系统的漏洞进行修复，而用更安全的系统来代替原有系统，又 往往损失掉了原有系统的一些重要的特性;此外，建立绝对安全的系统是一个 不切实际的想法， 因此必须依靠一定的安全保护机制来有效地保障计算机安全， 如计算机入侵检测系统。 概括地说，入侵是指任何对系统资源的非授权使用行为。它对资源的完整 性、 保密性和可用性造成破坏， 可使用户在计算机系统或网络系统中失去信任， 四川人学硕 卜 学位论文 使系统拒绝对合法用户服务等。入侵者可以是一个手工发出命令的人，也可是 一个基于入侵脚本或程序自 动发布命令的计算机。 a n d e r s o n 把入侵者分为两类: 外部入侵者 ( 一般指来自 系统外部的非法用户)和内部入侵者 ( 是指那些拥有 一定的权限访问系统资源，但是企图获取更多的权利以执行非授权操作的内部 用户) 1 l 1 1 . 1 基于异常的入侵检测系统和基于特征的入侵检测系统 目 前较为流行的入侵检测技术主要有两种，即基于异常( a n o m a l y - b a s e d ) 的 检 测 技 术 和 基于 特征 ( s ig n a tu r e - b a s e d ) 的 检测 技 术12 1 。 相 应地， 入 侵 检 测系 统 可以分为两类:基于异常的入侵检测系统和基于特征的入侵检测系统。 基于异常的检测也被称为基于行为的检测。异常检测系统试图通过建立一 个系统或用户的“ 正常行为特征轮廓” ( a c t i v it y p r o fi l e ) 来检测可能的入侵。这 个特征轮廓可以是对系统静态配置的描述，也可以是对系统或是用户正常行为 的描述。检测系统运行时，首先产生当前相应的行为特征轮廓，并与已 有的正 常行为特征轮廓比较，当发生显著偏离时，即认为是一种异常的出现。异常检 测最大的优点在于可能检测出未出现过的攻击方法， 它不同于基于特征的检测， 因为基于特征的检测受到己获知识的脆弱性的限制。异常检测中，对所谓 “ 系 统正常活动”的特征刻画是十分重要的。就编码和数据存储等系统静态形式而 言，它们在正常与异常之间的界限比较容易定义，每一个比特的不同都表明一 个问 题的出现;然而，对于系统中的动态的用户行为和程序行为，其可接受的 行为和不可接受的行为之间的界限就比 较难以定义了。所以，异常检测系统的 主要缺陷在于闲值难以确定，并且误报率和漏报率都很高。 基于特征的检测也称为基于知识的检测。基于特征的检测系统是建立在使 用某种模式或者特征描述方法能够对任何已知攻击进行表达这一理论基础上 的。 基于特征的 检测系统利用先验知识编码， 检测己 知的入侵模式(3 1 。 这种方法 的 优点是可以 有针对性地建立高效的 入侵检测系统，误报率低， 缺点是对已 知 的入侵活动或己知入侵活动的变异无能为力。 在过去的入侵检测系统中， 基于异常的 检测和基于特征的检测两种方法都 得到了广泛应用。在某些情况下，相信两种检测方法在同一系统中结合使用可 四川大学硕士 学位论文 以达到相互补足的作用。 1 .2 主机入侵检测系统和网络入侵检测系统 入侵检测系统的数据来源有很多，但就其检测对象的不同，总体上可以分 为两类:来源于主机的数据和来源于网络的数据。因此，入侵检测系统也可以 分为两类:主机入侵检测系统和网络入侵检测系统。 主机入侵检测系统 ( r i d s ): 主机入侵检测系统，其输入数据来源于系统的审计日 志和从网络上流入的 数据流，一般只能检测针对该主机发生的入侵。基于主机的入侵检测产品通常 是安装在被重点检测的主机之上，主要是对该主机的网络实时连接以 及系统审 计日 志进行智能分析和判断。 如果其中主体活动十分可疑( 特征违反统计规律) ， 入侵检测系统就会采取相应措施。 主机入侵检测系统的优点在于，对分析 “ 可能的攻击行为”非常有用。 举 例来说， 有时候它除了 指出 入侵者试图 执行一些 “ 危险的命令” 之外， 还能分 辨出入侵者干了什么事:他们运行了什么程序、打开了哪些文件，执行了 哪些 系统调用。主机入侵检测系统与网络入侵检测系统相比通常能够提供更详尽的 相关信息。 与网络入侵检测系统相比，主机入侵检测系统通常情况下误报率要低，因 为检测在主机上运行的命令序列比检测网络上的信息来得容易，系统的复杂性 也少得多。 主机入侵检测系统可部署在那些不需要广泛的入侵检测、传感器与控制台 之间的通信带宽不足的情况下。 主机入侵检测系统在不使用诸如“ 停止服务”、 “ 注销用户”等响应方法时，风险较少。 但是，主机入侵检测系统也存在着弱点:可扩展性差，而且对入侵的检测 很有局限。举例来说，当一个数据库服务器需要保护时，就要在服务器本身上 安装入侵检测系统，这会降 低应用系统的效率。此外， 它也会带来一些额外的 安全问题，安装了主机入侵检测系统后， 将本不允许安全管理员访问的服务器 变成了可以访问的了。 四川大学硕十学位论文 主机入侵检测系统的另一个问题是它依赖于服务器固有的日志与监视能 力。如果服务器没有配置日志功能，则必需重新配置，这将会给运行中的业务 系统带来不可预见的性能影响。 全面部署主机入侵检测系统代价较大，企业中很难将所有主机都安装上主 机入侵检测系统来保护，只能选择部分主机保护。那些未安装主机入侵检测系 统的机器将成为保护的盲点，入侵者可利用这些机器达到攻击目 标。 主机入侵检测系统除了监测自 身的主机以外，根本不监测网络上的情况。 对入侵行为进行分析的工作量将随着主机数目增加而增加。 网络入侵检测系统 ( n i d s ): 网络入侵检测系统的输入数据来源于网络的信息流，能够检测该网段上发 生的网络入侵。 基于网络的入侵检测产品放置在比较重要的网段内，不停地监视网段中的 各种数据包，对每一个数据包或可疑的数据包进行特征分析。 如果数据包与产 品内 置的某些规则吻合，入侵检测系统就会发出 警报甚至直接切断网络连接。 目 前，大部分入侵检测产品是基于网络的 7 1 网络入侵检测系统的优点在于能够检测那些来自网络的攻击，并且能够检 测到超过授权的非法访问。 一个网络入侵检测系统不需要改变服务器等主机的配置，只需要加载在有 需要的网段上。由于它不会在业务系统的主机上安装额外的软件，从而不会影 响这些机器的c p u , v 0等资源的使用， 不会影响业务系统的性能， 因此具有较 好的扩展性19 1 由 于网络入侵检测系统不像路由器、防火墙等关键设备的方式工作，它不 会成为系统中的关键路径。网络入侵检测系统发生故障不会影响正常业务的运 行。部署一个网 络入侵检测系统的风险比主 机入侵检测系统的风险少得多。 网络入侵检测系统近年内有向专门的设备发展的趋势，安装这样的一个网 络入侵检测系统非常方便，只需将定制的设备接上电源， 做很少一些配置， 将 其连到网络上即可。 同样的，网络入侵检测系统也有它的弱点: 四川大学硕士学位论文 网络入侵检测系统只能检查它所在网 段的通信，而对其他网段的网 络包无 能为力。这样，在使用交换以太网的环境中就会出现监测范围的局限。而安装 多台网络入侵检测系统的传感器会使部署整个系统的成本大大增加。 网络入侵检测系统为子性 能目 标通常采用特征检测的方法，它可以检测出 普通的一些攻击， 而很难实现一些复杂的需要大量计算与分析时间的攻击检测。 网络入侵检测系统可能会将大量的数据传回分析系统中。在一些系统中监 听特定的数据包会产生大量的分析数据流量。一些系统在实现时采用一定方法 来减少回传的数据量，对入侵判断的决策由传感器实现，而中央控制台成为状 态显示与通信中心，不再作为入侵行为分析器。这样的系统中，传感器协同工 作能力较弱。 网络入侵检测系统自 身的通信会话也需要保护，以防收到入侵者的攻击。 目 前，多是采用加密的方法，但其技术还不成熟，需进一步的发展。 1 .3 单点式入侵检测系统和分布式入侵检测系统 入侵检测的实际的系统实现可以 有两种结构方式:单一结构的入侵检测系 统和分布式结构入侵检测系统。 单一结构的入侵检测系统是指数据的分析和处理都在同一台主机上完成。 早期的入侵检测系统大都采用这种结构 ( 如i d e s 等) ， 这种方法的好处是易 于 管理和协调，缺点是分布型差。单点失效的时候，被保护的计算机就完全暴露 在入侵者的攻击之下。 分布式入侵检测系统最近得到了 较快地发展，它又可以 细分为三类:集中 型， 层次型和协作型9 j 集中型的d i d s ， 由一个位于中央的入侵检测服务器和分布在每个本地主机 上的简单主机审计程序共同 组成。 本地主机将其收集的审计数据传送到入侵检 测服务器上， 由服务器对这些数据进行分析。 大多数的小规模d i d s 都属于集中 型的。这种类型的i d s 系统的可扩展性、健壮性和设置性都存在严重的缺陷。 为了克服集中型入侵检测系统存在的问 题， 研究人员提出了层次性入侵检 测模型。它定义了一系列检测区域，每一个 i d s负责监测一个区域。与集中型 不同的是， 它并不是将本地主机收集到的所有审计数据传送到一个中央 i d s , 四川大学硕_ l 学位论文 而是由每个检测区域的i d s来分析本区域的主机审计数据，并将分析结果传送 给上一层i d s 。层次性i d s 通过分层分析很好地解决了集中型i d s的不可扩展 性问题。但是，当网络的拓扑结构发生了变化时，网络的层次和汇总局部分析 报告的整体机制也必须变化。 此外，一旦位于最高层的i d s被攻击之后， 那些 只有通过对局部报告进行全局分析才能发现的整个网络范围的攻击就会很容易 得逃过检测。 协作型 i d s试图将单个中央入侵检测服务器的职责分配给若干相互协作的 i d s ， 每个i d s 只负责监测本地主机的某一方面的情况。 所有的i d s 并发执行并 且相互协作。这些 i d s能够产生一致性的推论并制定全局性的决策。协作型入 侵检测系统不同于层次性之处在于分布式的局部i d s 没有层次高低之分。 因此， 任意一个局部i d s 的失效都不会导致协同 攻击检测的失败。 但是值得注意的是， 这种方法也导致了新的问题，基于本地主机之间的通信机制、审计机制以及对 审计数据的 分析机制的 优劣直接影响了 协作型入侵检测系统的效率n s 1 . 4 误报错误和漏报错误 无论采用何种方法， 何种结构的入侵检测系统， 都存在误报和漏报的问题。 因此，对一个入侵检测系统的评价也 常常通过误报率和漏报率来进行评估。 当一个入侵检测系统错误地将合法的行为标记为非法行为的时候，它就犯 了 一个错误， 叫误报 f a l s e p o s i t i v e ) 。 误报的 产生将使得一个管理员不得不浪费 时间去进行调查，以便纠正这个错误。太多的误报，常常会导致管理者疲于应 付而忽略掉了真正的入侵行为，这是非常危险的。一个基于特征的入侵检测系 统不会产生太多的误报错误，因为只有那些匹配到某一特征的活动，才会产生 报警。然而，对于基于异常的入侵检测系统则需要特别考虑误报这个问 题。原 因在于， 用户行为模式的微小改变都会导致一个报警，即使这个行为改变是合 法的。许多入侵检测系统己 经采取了一 定的机制去减少这种错误。其中的一个 方法便是设定一个ic j 值。例如，设定一定的规则，要求被监控的计算机行为与 正常的计算机行为的差异必须达到一定的程度，才被视为异常。 当一个入侵行为发生时，入侵检测系统却没有察觉， 这时就产生了一个错 误， 漏报 ( f a l s e n e g a t i v e ) . 漏报错误的产生比 误报错误要严重得多， 因为它给 四川大学硕士学位论文 人们造成了一种安全的假象。 漏报错误是所有的入侵检测系统都必须面对的问 题。 当一种新型的攻击出现时，由于特征数据库中 没有这种攻击的已知的知识， 因此这种攻击将逃过基于特征的入侵检测系统。如 “ 冲击波” 这种病毒初次发 生的时候，由于杀毒程序不能识别这种新出现的病毒，因此就导致了这种病毒 在世界范围内的扩散。基于异常的入侵检测系统同样面对这样的问题。当与正 常行为貌似的入侵攻击系统的时候，基于异常的入侵检测系统常常会将其误认 为是正常的行为而加以忽略。 构建一个优良 的入侵检测系统的目 标就是全面改善误报错误和漏保错误。 四川大学硕 卜 学位论文 2计算机免疫系统 生物免疫系统是一个十分复杂的系统，长期以来，人们一直不能对其做出 全面和深入的解释。近几年，生物免疫学随着科技的进步有了较快的发展，人 们也逐渐开始利用生物免疫系统的各种机制构造人工免疫系统，应用于不同的 领域，解决实际疑难问题。 入侵检测系统与生物免疫系统存在许多相似之处。两者都是保护复杂的系 统不受到有害外物的渗透。为了 做到这一点，它们必须能够识别广泛范围内的 正常和异常行为。 生物免疫系统是为了保护个体(t自 我” ) 不受敌意微生物(t异 己” )的侵害，而入侵检测是为了保护一台或一组计算机不受入侵者的入侵。因 此， 将生物免疫系统的原理、算法和体系结构用于计算机安全正成为当前研究 的一个热点。 本章，将首先概述了生物免疫系统的原理和特性， 接着主要介绍了基于生 物免疫原理的计算机入侵检测系统。 2 . 1 生物免疫原理 现代免疫学认为: 生物体内存在一个负责免疫功能的完整的生理机制一免 疫系统， 它与神经和内分泌等其它系统一样， 有着自 身的运行机理并可与其它系 统相互配合、相互制约， 共同 维持机体在生命过程中的总体平衡与稳定 17 免疫系统的物质基础是淋巴细胞，它们由 骨髓产生，分布于全身，种类繁 多，各自 起着不同的作用。 淋巴 细胞中重要的有t 淋巴 细胞(简称t 细胞) 和b 淋巴 细胞(简称b 细胞) 。 t 细胞在抵御外来攻击时， 起着协调免疫系统各部分功能的作用。 在骨髓中产生 的未成熟t 细胞进入另一中枢免疫器官一胸腺， 在其中分化发育为两大类t 细 胞， 不合格的t 细胞 (会产生自 体免疫) 被消灭， 而成熟的均 “ 学会”了对付 一种特定的入侵， 它们分布在脾和淋巴结中以等待外来入侵。 从所有未成熟t 细 胞中 选择符合条 件的 成熟 t 细 胞的 过 程称为 “ 负向 选择 ” u n 与t 细胞一 样， b 细胞也要经过“审1 - -a 能成熟。 侮个b 细胞产生 一 种依附于 其表面的抗体，用以探测相应的抗原。b 细胞可以产生数百万不同种类的抗体， 四川大学硕:学位论文 侮个抗体只对一种抗原有效，这就是免疫系统的多样性和特定性。当b 细胞探测 到抗原， 并收到辅助t 细胞发来的信号时， 便被激活。 其中一 部分b 细胞转化为浆 细胞， 产生与抗原相应的 抗体， 并与抗原交连使之失去活性， 从而达到清除抗原 的日的，这个过程就是先天免疫。没有转化为浆细胞的b 细胞则变为记 忆细胞， 记录下该抗原的特征，以 提高将来对同一 抗原的反应速度。 这一反应是后天形成 的，称为后天免疫 川 。 淋巴细胞的发育过程如图1 所示: _ _ /i 未成熟的 t 细胞 。 负向选择 成熟 的 t 细胞 e 3r,ft s _ 1 . 4 1.6s1 4f 1, 131111biflr ff )m 习 、 成 熟 的 b 期 1 胞 负向选择 成 熟 的 一b m jn一 _ 一 勺记 忆 细 胞 图1淋巴细胞的发育过程 免疫系统的作用就是防御机体免受外来抗原性异物的侵害。免疫防御的关 键是辨别“ 自 身细胞”( 机体内的无害分子) 和 “ 非自 身细胞”( 有害的病原体和 外源性异物) 。当抗原 ( 包括外界侵入的病毒和细菌， 还包括体内正常细胞自 发 转变为癌细胞的肿瘤抗原等) 侵入人体时，免疫系统面临两个问题:识别与清 除。 识别指区分 “ 自己”和 “ 异己” ， 清除指消灭 “ 异己” 。这里的 “ 自己”指 生物体自 身的细胞和分子， “ 异己”是指抗原【 is l 免疫系统在发挥免疫功能的过程中，识别是个重要的前提。一切生物都具 有这种能力。单细胞生物只具有分辨食物、入侵微生物和本身细胞成分等低级 的识别功能。脊椎动物的集体免疫系统逐渐完善，不仅具有完整的免疫器官和 免疫细胞，而且免疫活性细胞还能产生特异性抗体和淋巴因子，从而准确地识 别自己，排除异物以达到机体内 环境的相对稳定， 这对保护自己、延续种族和 生物进化都有重大意义。高等生物的免疫系统充分发展，它对内外环境的各种 抗原异物刺激既表现出多样性和适应性，又表现出 特异性和回忆性，这对生物 的 进化过程、生物种系的生存和适应具有重大影响n o 四川大学硕 上 学位论文 2 .2生物免疫系统的特点 生物免疫系统的特点具有如下的特点，这为构建健壮的计算机安全系统提 供了重要基础: 1 )分布性: 生 物免 疫系统 含有 数百万的 淋巴 细胞， 分布于整 个人体， 这些 细胞在生物体的局部发生作用以提供对生物体的保护。 淋巴细胞之间没 有中央控制机制， 是一种没有中心控制器的分布式自 治系统， 且是一类 能有效处理问题的非线性自 适应网络。 因此， 这样的结构不存在单点失 效的问题。 2 )鲁棒性: 生物免疫系统中的 单种组件是大量且有冗余的， 因此即 使缺少 这些组件的一小部分也不会对系统的功能有太大的影响。 3 )适应性: 生物免疫系统是一个自 组织存储器， 且是动态地维持着。 它具 有内容可访记 忆， 能遗忘很少使用的信息等进化学习机理以 及学习外界 物质的自 然防御机理。 因此， 它是一个自 然发生的事件反应系统， 能很 快地适应变化的外界环境， 能通过“ 学习” 对新的抗原做出识别和反应， 并保留对这些抗原特征的记忆，以帮助下一次对该抗原的反应。 这些特征正是现有入侵检测系统所不具备的，因此人们希望应用生物系统 的免疫原理， 构造用于进行入侵检测的人工免疫系统，以改进现有入侵检测系 统的性能。 2 .3 基于免疫原理的入侵检测系统 基于免疫原理的入侵检测系统作为一个信息处理系统，具有以 下特征: 1 ) s e l f n o n s e l f 识 别: 识 别 系 统中 正 常 / 非 正 常 模式; 2 )噪声 容忍 ( 非完美匹 配) : 能 够在噪 声环境中 进行识别; 3 )增强学习:免疫系统具有学习能力; 4 )免 疫记 忆能力 有 助 于 免 疫 系 统 加 速 二次 免 疫 应答，刀 。 通常， 可以 将基于免疫原理的入 侵检测系统分成两个检测层次， 一个是系统 级检测层次; 一个是网 络级检测层次。 在系统级检测层中主要监控主机的各种操 作行为:用户的删除、 修改、 格式化等操作; 而网络级检测层主要负责对网络上 四川大学硕士学位论文 传输的数据进行监控，包括了网络数据包的识别和检测，地址的过滤等等。 正如前面所介绍的那样，免疫系统归根结底是进行 “ 自 我” 和 “ 非我”的识 别， 同样地， 入侵检测系统的主要问题也是正常行为俨自 我，)和异常行为( “ 非 我” ) 的识别。 因此， 在入侵检测系统中， “ 自 我” 定义为与所需检测的机器相连 的网络间正常的t c p / i p连接集合或是机器系统内合法的操作行为。对网络级层 次而言， 通常采用可以描述t c p / i p 连接的特征信息来表示: 源i p 地址、目的i p 地址、 服务端口、 协议类型、 包的数量、 字节数， 特定错误和在短时间内网络的 特定服务等。 对应于系统级入侵检测， 则是采用描述系统合法操作的行为集合来 表示。 相对地， 把反常的t c p / i p 连接集合和非法的系统操作集合定义为“ 非我， 。 而这些特征信息在具体表现形式上， 都可以 通过某种规则映射为唯一表征该信息 的长度为i 的二进制字符串，称作检测器。 同生物免疫系统一样，入侵检测系统连续不断地产生称作抗体的检测器细 胞， 这些检测器监视所有的计算机行为， 试图 检测出 入侵计算机的“ 非我” 细 胞，也就是抗原。 然而， 新生成的抗体不仅能检测出 入侵抗原， 而且有可能绑定自 身的“ 自 我” 细胞，发生自 免疫反应。为了 避免这种灾难性后果，机体实现了负向选择过程。 所谓负向 选择过程是指: 在抗体生成时， 机体消除那些绑定“ 自 我” 细胞的不成 熟抗体; 而那些不绑定任何“ 自 我” 细胞的抗体进化成为有效的检测器细胞， 行 使检测功能。 将免疫原理应用于入侵检测主要分为三个阶段:定义 “ 自 我， ，生成检测器 和检测入侵. 在第一个阶段，定义系统正常模式为“ 自 我” 。在第二阶段，根据 前面生成的 “ 自 我” 模式生成一定数目 的随机模式 ( 抗原) ，称为准检测器。如 果随机生成的模式匹配了任何 “ 自 我”模式，则该随机模式将不能成为检测器， 而剩下的则成为了成熟的检测器。 在第三个阶段， 也就是检测阶段， 如果检测器 匹配任何新出现的 模式， 则被匹配的模式反应了系统可能正在被入侵。 在这个阶 段中， 每个成熟的 检测器独立活动且具有有限的生命周期。 如果一个成熟的原始 检测器匹配了 足够数量的计算机异常行为， 它就被激活而产生报警， 并变为记忆 四川大学硕士学位论文 检测器， 同时延长自 身的生命周期， 降 低激活闽值以便当第二次遇到类似的攻击 时， 该检测器会给出更快的反应。 若一个成熟的原始检测器在其整个生命周期中 匹配不成功，就将被删除。 四川大学硕 卜 学位论文 3课题的提出与分析 通过对入 侵行为 及入 侵方法的 分析 研究， 可以 发现， 绝大多 数的 入侵 ( 不包 括某些拒绝服务攻击) ，无论是本地的， 还是 通