（计算机应用技术专业论文）基于多代理的仿生物免疫系统的研究.pdf

中文摘要本文根据仿生学原理，模拟生物系统的免疫机理，设计了计算机系统安全模型g e c i s m ( g e n e m lc o m p u t e ri m m t t n cs y s t e mm o d e l ) ，该模型由不同的代理构成，各代理模拟不同的免疫细胞的功能，通过相互协作，区分系统中“自我”、“非我”，并消除“非我”。为进行自身反应强度的调节提供了一个完善的框架基础。并在此基础上，构建一个自治、自适应的信息安全防护系统，使它能通过动态分析机制实时监测进程的异常情况，及时发出警报，有效弥补了其他静态防御工具的不足。本文运用检查点技术对系统中正常运行的程序有效状态进行备份，当系统出现故障时，可以根据最近的检查点恢复当前失效的进程，减少计算的损失。由不同的代理构成的计算机免疫系统g e c i s m ( g e n e r a lc o m p u t e ri m m u n es y s t e mm o d e l )是把生物免疫系统的机理用于计算机安全领域的一个产物。通过比较多种不同的检查点机制，选择利用缓冲回滚系统b r a s ( b u g e r i n gr o l l b a c ks y s t e m ) 检查点机制实现g e c i s m 中类t d 代理功能，使系统回卷到以前洁净点状态。并提出了几种提高检查点效率的方法，提出了在l i n u x 系统下检查点机制的用户级实现。关键词：计算机免疫；类t ca g e n t ：多代理；，计算机安全a b s t r a c ta c c o r d i n gt ot h en a t n l _ ci m m u n o l o g y , t h i sp a p e rd e s c r i b eac o m p u t e rs e c u r i t ym o d e li m i t a t e dt h ep r i n c i p l e so f n a t u r ei m i n m l i _ t y 一g e c i s m ( g e n e r a lc o m p u t e ri m n n l n es y s t e mm o d e l ) t h i sm o d e li ss t r u c t u r e db ya g e n t s t h ea g e n ti m i t a t e st h ei m n l u n ec e l l s t h r o u g hr u l e sa n dc oo p e r a t i o nt h ea g e n t sd i s c r i m i n a t e s e l f a n d n o n - s e l f f u r t h e r m o r e ，i te l i m i n a t e s n o n s e l f i tb e c o m e sav e r yn e wm e t h o di nr e s e a r c hf i e l dt h a tp e o p l eg e ti n s p i r a t i o nf r o mt h en a t u r a lt 0s o l v et h es c i e n c ep r o b l e m ,r e s e a r c ht h er u l e so f t h en a t u r a la n di nt h ee n ds o l v et h ep r o b l e mt h a tp e o p l ef a c e d a n dp r o v i d eaf x a m ef o ra d j u s t i n gt h ei n t e n s i t yo f s e l f - r e s p o n s e a n db a s e do nt h i s ，a na u t o n o m i ca n ds e l f - a d a p t i n gi n f o r m a t i o ns a f e t ys y s t e mi sc o n s t t u c t e d i tc a nm o n i t o rt h ep r o c e s s e sr e a l - t i m eb yd y n a m i ca n a l y t i cm e c h a n i s ma n d # v et h ea l a r mi ng o o dt i m e ，w h i c he f f e c t i v e l yc o m p e n s a t e st h es h o r t a g eo f t h eo t h e rs t a t i ct o o l s t h i sp a p e ra p p l i e sc h e c k p o i n t i n gt e c h n o l o g yt or e d u c et h ec o m p u t i n gl o s st h r o u g hs a v i n gt h ev a l i ds t a t eo f n o r m a lr u n n i n gp r o c e s s e sa n dr e s t o r i n gt h ed i s a b l e dp r o c e s sa c c o r d i n gt ot h en e w e s tc h e c k p o i n ta f t e rt h es y s t e mf a i l u r e s c o m p u t e ri m m u n es y s t e mg e c i s m ( g e n e r a lc o m p u t e ri n l r r u n es y s t e mm o d e l ) w h i c hc o n s t i t u t e db ym u l t i a g e n t si sap r o d u c t i o no ft h ei l l l n l u n es y s t e ma p p l y i n gi nt h ec o m p u t e rs e c u r i t yf i e l d b yc o m p a r i n gs e v e r a ld i f f e r e n tc h e c h p o i n tm e c h a n i s m ，t h et da g e n ti ng e c i s mu t i l i z e sb r a s ( m a r e r i n gr o l l b a c ks y s t e m ) t or e a l i z ei t sf u n c t i o n , a n dn l a k e st h es y s t e mr o l l b a c kt ot h er e c e n tc l e a n l i n e s ss t a t u s a n dt h ep a p e re x p o u n ds o n a ek i n d so fw a y st oi m p r o v et h ee f f i c i e n c yo ft h ec h e e k p o i n t i n g t h ep a p e re x p o u n dt h ea c h i e v e m e n to f t h ee h e e k p o i n t i n gu n d e rl a s e rl e v e li nt h el i n u x k e yw o r d s ：c o m p u t e ri m l n u n e , t h et ca g e n t , m u l t i a g e n t ，c o m p u t e rs e c u r i t y独创性声明本人声明所呈交的学位论文是本人在导师指导下进行的研究工作和取得的研究成果，除了文中特别加以标注和致谢之处外，论文中不包含其他人已经发表或撰写过的研究成果，也不包含为获得苤鲞盘堂或其他教育机构的学位或证书而使用过的材料。与我一同工作的同志对本研究所做的任何贡献均已在论文中作了明确的说明并表示了谢意。学位论文作者签名：志荚专签字日期：伽石年7 月j7 日学位论文版权使用授权书本学位论文作者完全了解鑫壅盘堂有关保留、使用学位论文的规定。特授权苤洼盘堂可以将学位论文的全部或部分内容编入有关数据库进行检索，并采用影印、缩印或扫描等复制手段保存、汇编以供查阅和借阅。同意学校向国家有关部门或机构送交论文的复印件和磁盘。( 保密的学位论文在解密后适用本授权说明)学位论文作者签名联乏导师签名氏明签字日期：泖6 年月厂日签字日期：协年f 月日天津大学硕士学位论文第一章绪论1 1 引言第一章绪论随着计算机网络和分布式计算的普及和应用，计算机安全正在变得越来越重要。黑客和计算机罪犯对计算机系统以及网络的攻击使得公司和组织的数据面临着丢失、被窃取、篡改的危险，使得他们的计算机软硬件系统面临着不能正常工作的危险。除了计算机本身的安全机制外，目前计算机和网络的安全措施主要是防火墙。然而，道高一尺，魔高丈，随着黑客攻击技术的发展，系统的已知漏洞越来越多，防火墙的弱点使其对很多攻击无能为力，尤其是对来自内部的攻击，更是束手无策。因此，人们提出了计算机和网络安全的第二道防线入侵检测系统。入侵检测被定义为：发现非授权使用计算机的个体( 如“黑客”) 或计算机系统的合法用户滥用其访问系统的权力以及企图实施上述行为的个体。执行入侵检测任务的程序即是入侵检测系统。入侵检测系统也可如下定义嘲：检测企图破坏计算机资源的完整性、真实性和可用性的行为的软件。入侵检测系统能实时地监控系统的活动，实时地发现攻击行为并采取相应的措施以避免攻击的发生或尽量减少攻击造成的危害。入侵检测系统的模型有如下两种饼：1 滥用检测模型：利用已知的攻击模式进行匹配检测，通常是将己知的攻击方式以某种形式存储在知识库中，采用状态转换分折、模式匹配、专家系统等方法将系统的活动模式与知识库中的攻击模式进行比较，从而判断是否有入侵。2 异常检测模型：利用攻击活动发生时系统表现出的不同于正常情况下的模式的特征进行检测。入侵检测系统还可以分为基于主机的系统( 通过分折主机的日志检测入侵行为) 和基于网络的系统( 通过分析网络数据包检测入侵行为) 。为了做到检测的有效性，入侵检测系统必须具备如下特征嘲：1 能够自动 无需人工干预 、连续地运行，能够在一定的程度上有效地检测到入侵( 对入侵的报警有一定的难确率，即未检测到的入侵和假警报的比例比较天律大学硕士学位论文第一章绪论少) 。2 容错性：能够从系统崩溃、意外事件和错误中恢复。3 防止自身受到攻击：入侵检测系统必须能够检测自身受到的攻击并能采取适当的措施以保证自身的有效性。4 入侵检测系统不能过分加重其所在主机的负荷。5 入侵检测系统必须能适应系统和用户行为模式的变化，不能把这种正常的变化当成是入侵的表现。6 入侵检测系统必须具有一定的可扩展性、可配置性。现行入侵检测系统的局限性：现行人侵检测系统大多数都采用单一体系结构，即所有的工作，包括数据的采集、分析那是由单一主机上的单一程序完成的，而一些分布式的入侵检测系统只是在数据采集上实现了分布式，数据的分析、入侵的发现还是由单个程序完成的。这样的结构有如下四个缺点：1 可扩展性较差。由于所有工作都是由单一主机执行，被监控的主机数和网络规模受到限制。入侵检测系统的实时性的要求较高，数据过多会造成其过载，从而入侵检测系统因来不及处理过量数据或丢失网络数据包而失效。2 单点失效：当入侵检测系统自身因受到攻击或其他原因而不能正常工作时，其保护功能就会丧失。3 系统在重新进行配置或增加新的功能时，往往必须手工编辑某些配置文件，而且必须重启以使其生效。这样既不方便，又会大大降低入侵检测系统的效率和实时性。4 入侵检测系统自身易招致插入攻击和逃避攻击旧( 利用人侵检测系统和目标主机对协议数据包的不同处理而导致的两者得到的数据的不一致来达到欺骗人侵检测系统的目的) 。在人们屡屡受到诸如c i h 、“爱虫”、“库尔尼科娃”等病毒的袭击，在全球许多大型网站屡屡遭遇黑客的恶意攻击的情况下，我们有必要静下心来，深入检查和研究一下自己原先设计的系统在结构和体系方面是否完整，是否安全、可靠。诚然，我们已有的计算机网络系统是一套高度智能化的信息处理系统，但随着人们研究工作的逐渐深入，认识水平的进一步提高，人们不断发现这种机器智能系统相对于自然界已有的生物智能系统而言，还有很大的差距，这也正是当我们的天津大学硕士学位论文第一章绪论计算机系统在面临病毒和黑客袭击时，显得十分脆弱和被动，甚至是无能为力的根本原因。所以，人工智能向生物智能学习仍然是我们计算机系统研究的一个重要方面。1 2 国内外研究现状目前，早期进行计算机仿生物免疫抗病毒研究并取得初步进展的主要有n e w m e x i c o 大学的f o h e s t 所领导的研究小组和i b mt h o m a sj w a t s o nr e s e a r c hc e n t e r 的j 0 k e p h a r t 等人，但他们所建立的计算机安全免疫系统的体系结构采用的是分布式层次，虽然较接近生物免疫系统机理，但与其相比却存在着智能上的缺陷：前者无法区分合法操作和非法操作所引起的变动；后者则无法保证其“诱饵”程序一定会受到感染。把m u l t i 一- a g e n t 技术引入计算机仿生物免疫抗病毒研究是近几年防病毒领域的新课题t a k e s h io k a m o t o 和y o s h i t eni s h i d a 等人把计算机病毒免疫系统看作是一个分布自治系统，提出了一种基于a g e n t 的分布式策略。如图卜1 所示，该系统包括若干不同种类的a g e n t 控制( c o n t r 0 1 ) a g e n t相当于一个场所里的控制中心，做组织和协调的工作；抗体( a n t i b o d y ) a g e n t 检测可疑文件，它利用了“自己”的信息( 即宿主计算机的文件) 而不是“非己”( 计算机病毒) 的信息；清除( k i l l e r ) a g e n t 用来消灭病毒：复制( c o p y ) a g e n t用来备份文件，以待恢复。该系统中，重要文件可由同一局域网中其他计算机来保存和备份t a k e s h io k a m o t o 所提出的系统经过实验可以检测和清除一类感染m s d 0 s 程序的病毒但其所面临的问题是对“自己”信息的数据库的保护问题以及在恢复程序中的二次感染问题。天津大学硕士学位论文第一章绪论c ( r l p u t c rlc o n l p u t e l r2一一图1 - 1t a k e s h io k a m o t o 的多智能体抗病毒系统结构r o g e rlk i n g ，a r i cb l a m b e r t 等人阐述了人工免疫系统的生物学机理，探讨了如何用a g e n 技术建立生物免疫系统的模型，提出要扩展免疫系统在设计基于a g e n t 的平行分布式控制中的一些功能，指出免疫系统包括若干不同的防御层物理层、生理层、先天免疫层( 非适应层) 和自适应层。虽然没有直接应用到计算机免疫抗病毒研究中，但为之提供了很好的思路。国内的l i a n gy i w e n 等人设计了一个用于计算机安全的m u l t i - - a g e n t 免疫模型( 图1 - 2 ) ，其主要元件是由m u l t i - - a g e n t 的思想确定的，通过一个管理( a d m i n i s t r a t o r ) a g e n t 作为统筹中心，它应答所有的其它a g e n t 的任务请求；检测器( d e t e c t o r ) a g e n t 用于检测可能的非法入侵行为，系统中专门设置了一个产生检测器的a g e n t ；自我( s e l f ) a g e n t 用于收集合法的自我行为的数据，以使检测器a g e n t 检测“非己”信息；编译器( i n t e r p r e t e r ) a g e n t 收集和过滤来自外部环境的数据，把这些数据编译成检测器可以理解的代码此模型的设想虽然很理想，但没有经过实验的验证，模型的实效难以得到确定性的结论。它所带来的问题是：如何确定检测器的数量及它们在系统中所占的空间；怎样考虑文件的恢复工作；如何保护自我数据的正确和不受感染。天津大学硕士学位论文第一章绪论qq口li n t e t e r a g e n ti n t e r p r e t e r - a g e n ti n t e r p r e t e r - a g e n tftl朗v t 瑚一t s图卜2l i a n gy i w e n 的多智能体计算机安全免疫模型m a r m e l s t e i n ，r o b e r te 等人提出一种自适应的计算机病毒免疫系统的分布式结构，该结构划分为全局层、网络层和本地层3 级分布式结构，3 级的实现则是依赖于自治的a g e n t 之间的协作来完成的。本地层完成病毒的检测、消除及系统修复和入侵分析功能；网络层完成病毒分类、攻击报警和病情报告功能；全局层完成对新病毒诊疗方案的产生和自适应，这种基于m u l t i - - - a g e n t 的分布式结构分工明确，参照了生物免疫系统的机理，结构功能安排更接近m u l t i - - a g e n t 的控制思想。它所面临的难题是这种繁琐的结构和功能如何实现，免疫系统如何能够避免误报警，即能识别入侵而忽略自身的合法改变等免疫机理的实现上如何把握。计算机免疫系统是参照生物免疫系统提出的针对日益严峻的计算机系统安全问题的解决方案，它克服了传统方法的防御被动和不灵活的缺点，实现了对计算机系统中有害的“非我”成分检测和消除的智能化，提高了入侵检测效率。目前国内外已经有许多学者对它进行了研究，并且取得了一定的进展。国内在计算机免疫方面的研究刚刚起步。研究机构主要有武汉大学软件工程天津大学硕士学位论文第一章绪论国家重点实验室、北方交通大学计算机系、北京理工大学网络安全技术实验室、南京航空航天大学机电工程学院等。武汉大学提出了基于多代理的计算机安全免疫系统检测模型 9 1 及对s e l f 集构造和演化方法【1 0 1 5 】，并在“自我”、“非我一的识别规则上进行研究，提出用演化挖掘的方法提取规则【l ，在基于系统调用的基础上建立了位串识别器，借鉴食物链的一些特征，建立了一种多识别器协同识别模型【1 4 j ；武汉大学与北方交通大学合作，提出了基于主机安全扫描的计算机免疫系统检测模型f 1 2 】；北方交通大学提出了一种基于免疫的入侵检测模型【，并将随机过程引入计算机免疫的研究中；国防科技大学提出了一种基于人工免疫模型的入侵检测方法【1 7 】；南京航空航天大学对利用免疫机理进行抗病毒技术进行了研、型1 3 】；北京邮电大学和西安交通大学分别提出了基于免疫原理的网络入侵检测模型【1 9 l ；北京理工大学自动控制系。从控制论的角度论述了计算机免疫和生物免疫的相似性，讨论了在计算机防病毒领域中应用多代理控制技术构筑计算机仿生物免疫系统的可行性和实用性【l 。由此可见，基于免疫理论的安全体系模型研究已逐渐成为计算机安全领域研究的一个重要方向。而且其研究成果必将在系统模型和处理方法上为计算健全系统的设计与维护提供一套新的途径。1 3 主要研究内容本文论述了计算机免疫和生物免疫的相似性；讨论了在计算机防病毒领域中应用m u l t i - a g e n t 控制技术构筑计算机仿生物免疫系统的可行性和实用性；描述了系统实例及其优缺点；指出此项新技术的应用前景，并指明了未来的研究方向。本文介绍的g e c i s m ( g e n e r a lc o m p u t e ri n m a n es y s t e mm o d e l ) 就是设计的一个计算机免疫系统模型，它是通过不同的代理间的相互协作来共同实现对“非我”的检测和消除。类t da g e n t 是g e c i s m 的一个重要组成部分，它是回滚、备份与设障的关键，本课题就是据此提出的。( 1 ) 检查点技术在类t da g e n t 系统中的应用。( 2 ) 提高检查点效率的几种技术。( 3 ) l i n u x 系统下检查点机制的用户级实现天津大学硕士学位论文第一章绪论1 ，4 论文的结构本论文采用三层结构，共分5 章，第一层仅由第1 章绪论组成，第2 、3 、4 章组成论文的核心即第二层，第三层即第5 章结论，各章主要内容如下：第1 章介绍本课题的来源、研究意义和国内外研究现状。第2 章阐述了计算机免疫系统及类t d a g e n t 系统。第3 章介绍了检查点技术，即检查点技术分析。第4 章讨论了l i n u x 系统下检查点机制的用户级实现。第5 章对本课题的工作总结以及后续研究。天津大学硕士学位论文第二章计算机免疫系统及类t i ) a g e n t 系统第二章计算机免疫系统及类t da g e n t 系统2 1 自然免疫系统免疫系统是生物，特别是脊椎动物和人类所必备的防御机制，他由具有免疫功能的器官、组织、细胞、免疫效应分子和有关的基因等组成，可以保护机体抗御病原体、有害的异物以及癌细胞等致病因子的侵害。免疫功能主要包括：免疫防御，免疫稳定和免疫监视。生物免疫系统主要有b 和t 两类淋巴细胞。其中b细胞的主要功能是产生抗体，在整个生命过程中，b 细胞持续地从脊髓中产生并执行特异体液免疫功能；t 细胞由胸腺产生并执行特异细胞免疫和免疫调节功能。他可分为抑制t 细胞、辅助t 细胞核、杀伤t 细胞三种。自然免疫系统的记忆是相当复杂的，目前人们在免疫系统的研究中所能借鉴的有关机理主要包括以下几个方面：( 1 ) 生物免疫系统的各种组成细胞核分子广泛的分布于整个生物体，是一种没有中央控制器的分布式自治系统，同时也是一类能有效的处理问题的非线性自适应网络系统。比如，生物免疫系统有多种多样的b 细胞，而且这些b 细胞之间的相互反应能在动态变化的环境中维持个体的平衡。人们在这一时期所涉及的分布式自治机器人系统和生物免疫系统在上述方面就有许多相似之处。( 2 ) 生物免疫系统类似于工程应用中的自组织存储器，而且可以动态的维持其系统的状态。他具有内容记忆和能遗忘很少使用的信息等进化学习机理以及学习外晃物质的自然防御机理，而且是一个自然发生的时阃反应系统，能很快的适应外界变化的外界环境。( 3 ) 生物免疫系统抗体多样性的遗传机理可借鉴用于搜索优化算法。在具体的进化过程中，他通过生成不同抗原的抗体来达到全局优化的目的。目前对抗体多样性的解释分种西学说和体细胞突变学说两种。不过人们一般认为抗体多样性可能是受基因片段多样性的联接和重链以及轻链配对的复杂机制所至。( 4 ) 各秘免疫网络学说，如独特型免疫网络、互联耦合免疫网络、免疫反应网络和对称网络等，可被借鉴用于建立人工免疫网络模型。如j c m e 的网络学天津大学硕士学位论文第二章计算机免疫系统及类1 1 ) a g e n t 系统说阐述了免疫系统具有大量独特性和抗独特型的抗体，进而发现了细胞间的相互制约关系。我们可以基于免疫系统中b 细胞和t 细胞之间的相互制约关系来构建自己的人工免疫网络模型。( 5 ) 基于对异物的快速反应和很快的稳定免疫系统的免疫反馈机理来建立有效的反馈控制系统，如基于t 细胞的免疫反馈规律设计自调节免疫反馈控制器等。( 6 ) 生物免疫系统的免疫耐受现象及其维持机理，允许抗原被相同的抗体识别，西此能容忍抗原里的嗓声。其机理可被用于建立新的故障诊断方法。( 7 ) 人类通过注射具有病毒特征但无侵害能力的疫苗来提高机体的预防机制和免疫能力，由此启发人们采用人工疫苗( 一种算法途径) 或诱饵来简化搜索空间、获取样本代码等。总之，基于自然免疫机理的计算机免疫系统的研究及其已经取得的成果正引起理论与工程技术人员的重视，各种人工免疫模型在科学和工程商业争取得越来越广泛韵应用。2 2 生物免疫系统的特点生物免疫系统之所以引起人们的广泛注意，主要因为它具有目前一些计算机安全防护系统所不具备的在学习、记忆、多样性等方面的优良特性：分布性：免疫系统是一个包括免疫器宫、免疫细胞和免疫分子的庞杂系统。其各组成成分分布于生物体的全身，密切监视系统中是否有异常发生。它们是没有集中控制的，通过分布在全身的局部免疫成分之间的相互作用，来实现对整个机体的保护，因而是高度分布式的，不存在单点失效问题。在计算机网络安全体系结构中，有人提出了分布的、移动的安全代理结构，以实现对这一特性的应用。多样性：在生物免疫系统中，多样性是其具有健壮性的重要来源。首先，生物体内免疫细胞的多样性保证：当每一种抗原侵入机体时，都能在机体内选择出可识别和消灭相应抗原的免疫细胞，并使之激活、分化和增殖，进行免疫应答，最终清除抗原。其次，每个个体都有一个独一无二的免疫系统，存在着群体中免疫系统的多样性。这种多样性保证；当有个体对某病菌呈现脆弱性时，不会出现所有个体都对同一病菌呈现脆弱性的情况。因此，免疫系统的多样性可大大增强天津大学硕士学位论文第二章计算机免疫系统及类1 1 ) a g e n t 系统个体和群体的健壮性。借鉴这一特性，可以使不同的站点或网络具有不同的安全系统，保证一个站点或网络受到攻击破坏时，其它站点或网络极少受到同样的攻击和破坏。自学习和可适应性：当免疫系统检测到以前未遇到过的病原时，它将经历初次免疫应答，并“学习”该特定病原的结构，保留对这些病原的记忆。之后当遇到相同的病原模式时，免疫系统将快速做出反应。免疫系统检测新病原，并通过免疫记忆保留对新病原的识别和反应，这一特性对计算机安全十分重要。例如，目前各种计算机抗病毒产品都面临一个难题：它们只能识别出已知病毒，而不能识别出新病毒。利用免疫系统的“学习”特性，则可以迅速对付各种新病毒的产生和传播。自治性：生物免疫系统不需要外部的控制，它本身具有自我调节的能力。当有病原入侵，破坏了原有系统的平衡时，免疫系统则通过克隆选择产生大量与该病原相匹配的b 细胞，来识别和消灭病原，当病原消灭后，除了保留一部分记忆细胞外，这些b 细胞又会逐渐消亡，以避免这种细胞的无限扩大，使系统重新达到平衡。不完全匹配性：生物的免疫应答是特异性的，即每种抗体或受体只能识别和结合特定的抗原。同时人们又发现，体内的约1 0 6 种不同的淋巴细胞能够识别出约1 0 1 6 种不同的外来抗原模式。因此，抗原和抗体的匹配是不完全的，即不是一对一的。也就是说，一个淋巴细胞可以对几种不同的、结构相近的抗原做出反应。借鉴这一特性，解决某些计算机安全方面的问题，将会十分有效。例如在病毒检测中，使用有限的检测器可以检测出较多的计算机病毒。2 3 计算机免疫系统的分类现在有两种流行的计算机免疫模型，一种是基于网络的计算机免疫模型，另一种是基于主机的计算机免疫模型。这两种模型应用的比较广泛，基于网络的计算机免疫系统检测的数据来源于某个网段的数据包，与受保护网段内的主机无关，适用范围比较广，并且一般不影响网络流量和受保护主机的性能：基于主机的计算机免疫系统检测的数据来源于主机系统的短调用序列和日志系统，因此一般只适用保护特定的计算机。要全面监测网段上的行为，仅从一个点采集数据是天津大学硕士学位论文第二章计算机免疫系统及类1 1 ) a g e n t 系统不够的。2 4 计算机免疫系统的要求阻翎( 1 ) 广泛的检测：像生物免疫系统能检测到几乎任何病原体的存在，计算机免疫系统应当能在大范围内检测到攻击。( 2 ) 有效应答：生物免疫系统能防止大多数病原体杀死有机体；类似的，计算机免疫系统应当能在入侵或攻击产生危害之前使其停止。( 3 ) 不必要的更新：尽管生物免疫系统可通过疫苗增强其性能，但通常它是利用自我调整来适应新的威胁。为提供计算机免疫系统类似的功能，要求系统并不是每次一发现新的安全弱点就进行更新。( 4 ) 轻便：要求计算机免疫系统的运行对整个系统性能的影响尽可能的小，扼要的讲，应当使用户并不能感觉到免疫系统对他们处理其他程序有明显的影响。( 5 ) 最小化管理：为避免用户和管理员对当前系统的负担过重，要求系统的自治性很强，尽可能减少人为的干预。2 5 通用计算机免疫模型( g e c i s m ) 的提出2 5 1 计算机免疫系统总框图“”。州计算机免疫系统就是在系统内核和用户接口之间，增加一层过虑，让正常的程序行为通过，阻止异常行为。如图2 1 所示：这里首先选择和生物免疫系统机制有类似要求的集合；然后抓取生物动态平衡系统的主要特征构造抽象特征；最后利用这些抽象特征来指导计算机免疫系统的设计。图2 - 1 免疫系统关系图天津大学硕士学位论文第二章计算机免疫系统及类t oa g e n t 系统作为迈向一个免疫的操作系统的第一步，在l i n u x 系统调用层次的监控和响应一直都是被重点强调的。这个基本的方法可以被用到有可编程接口的任何地方，并且建立一个用函数调用的类似系统是可能的。系统调用接口具有的几个特殊性质，使它能更好地对破坏安全的程序行为进行监控。在l i n u x 系统中，用户程序并没有对硬件资源的直接访问权；相反，被称为内核的程序拥有对硬件的全部访问权，普通程序必须请求内核代表它们执行任务。正在运行的程序的实例被称为进程。多个进程能执行相同的程序，即使它们能共事代码，每个进程有它自己的虚拟内存空间和虚拟c p u 资源。内核在进程间共享内存和处理器时间，并确保它们不会互相干扰。当一个进程想要得到额外的内存，或当它想得到网络、硬盘或其它i o 设备的访问权时，它通过系统调用从内核请求这些资源。这些正常的调用通过软件中断指令的形式来实现。这些指令把处理器转变到一个特殊的管理程序模式，并且调用内核的系统调用来调度程序。如果个被请求的系统调用被允许，则内核执行被请求的操作，然后返回控制到正在请求的进程或另外准备运行的进程。下面，给出一个例子来说明用户进程怎样和系统内核进程进行交互的，如图2 - 2 所示。在这个例子中，- - 1 n e t s e a p e 迸程做一个读系统调用来访问一个用户的书签。当n e t s e a p e 进程正在等硬盘的数据时，控制权被传给了e m a e s 进程。注意控制权是如何从用户空间转移到内核空间并返回的。除系统调用外，进程被限制到它们自己的地址空间。如果一个进程将要破坏这个空间以外的任何东西，像其他的程序、文件或其他的联网机器等，它都必须天津大学硕士学位论文第二章计算机免疫系统及类t i ) a g e n t 系统唤醒e m a c s挂起n c t s c a p c 进程图2 - 2 正在作系统调用的进程通过系统调用接口来执行。异常的系统调用表明一个进程正在用潜在危险的方式和内核进行交互。干涉这些调用能帮助阻止可能发生的危害，因此，一个能监控和响应异常系统调用的计算机免疫机制，能帮助维持一个计算机系统的稳定性和安全性。基于上面的描述，本文构造了基于系统调用的计算机免疫系统，它主要有四个模块组成：系统调用序列采集机制、分析机制、沙盒主机和效应机制。如图2 3所示：图2 3 计算机免疫系统总框图天津大学硕士学位论文第二章计算机免疫系统及类t da g e n t 系统各个模块所完成的主要功能如下：系统调用序列采集机制：收集每个进程运行过程中所产生的所有的系统调用序列。分析机制：通过对进程系统调用序列的分析，判断出正常的程序行为和异常的程序行为。采用的方法必须具有轻便性，使多个进程能被同时监控，而在性能上却没有明显的损失；同时必须具有高的准确率来保证它不会妨碍正常程序的功能，使被监控的程序能适当地继续执行。沙盒主机：为了降低虚报率和误警率，在分析机制失效时，也就是说分析机制不能确定当前进程的行为是“自我”还是“非我”时，启动沙盒主机来进行校验，这就要求沙盒主机所采用的算法比分析机制中的算法的准确率要高。效应机制：假设系统调用能被用来检测异常的程序行为，则现在面临存在异常情况时应当做怎样的反应。其他的安全系统对可疑攻击进行应答，通过提高管理员的水平或通过延迟等方法进行解决。而这里计算机免疫系统可以自治的或人为的对异常调用做出迅速有效的反应。四个模块的工作过程为：系统调用序列采集机制收集进程所产生的系统调用序列，并提供给分析机制使用；分析机制，首先完善检测集合，在检测集合成熟后，开始实时的分析进程的行为，提供分析结果给效应机制，如果正常就让进程继续执行，否则发送系统调用序列到沙盒主机进行进一步分析，并把分析结果返回给效应机制。效应机制利用返回结果做进一步处理，如果正常，则完善分析机制中的检测集合，如果异常则终止迸程或挂起进程并提示管理员注意。2 5 2 通用计算机免疫系统模型( g e c i 明) 总体结构通用计算机免疫系统模型( g e c i s m ) 是把生物免疫系统的机理用于计算机安全领域的一个产物，是模拟免疫检测、免疫应答的一个计算机安全系统。它具有以下三个功能：1 、区分“自我“非我”；2 、消除“非我”；3 、调节自身的反应强度。其中，“自我”为正常用户行为造成的计算机系统中的可编码串；“非我”为异常行为引起的计算机系统中的可编码串。g e c i s m 总体结构如图2 - 4 所示。天津大学硕士学位论文第二章计算机免疫系统及类t oa g e n t 系统图2 - 4g e c i s m 总体结构( 1 ) 类m c a g e n t在生物免疫系统中，抗原提呈主要是由巨噬细胞( m c ) 完成的。当巨噬细胞把异己细胞吞噬后，在胞内酶的作用下，抗原被分解成小分子败。这决定了该抗原的类型巨噬细胞把已分解的小分子贩运送至细胞膜上，供有该类型抗原受体的免疫细胞来结合。一旦有对应受体的免疫细胞与之结合，这种结合就激发了免疫细胞中的化学结构的变化，进而激发体液免疫功能和细胞免疫功能。在已有的系统中，对抗原提呈的模拟有利用串匹配进行的；g e c i s m 抗原提呈的功能是由类眦a g e n t 完成的，采用规则判断“自我”、“非我”。类m c a g e n t 结构如图2 5 所示，其中各主要构件功能描述如下：1 采集器在环境中随机或连续地提取一定长度的样本点，迭检测器；对所取样本点的对应进程状态与环境信息提取后保存，供传送器索取。2 检测器利用规则检测样本点，如“非我”个数超过限额r n ，则暂停当前进程( 称之为冻结) ，激活传送器。其中r n 表示系统的敏感度。敏感度越高，则r n 越小。3 传送器激活后，把采集器中进程状态、环境信息迭类t ha g e n t 。天津大学硕士学位论文第二章计算机免疫系统及类t da g e n t 系统4 接收器接受其它代理的信号，对规则库中的规则进行更新，激话移动器。规则库中规则的生成与更新方法。规则生成：在系统运行之前，基于采集到的“自我”、“非我”韵样本点，生成判断“自我”的规则与判断“非我”的规则。规则更新：由上述两种规则都无法判断的样本点( 称之为漏点) 的个数与时间周期结合的方法进行更新。即在段时间周期内，如果漏点的个数达到的限额l n ，则进行规则更新；否则，到了时刻时进行规则更新。由于规则生成算法的模糊性，每次生成的规则可以不同，这种规则的动态变化可以达到对“自我”、“非我”的不同表示法，以减少固定规则造成的错误。图2 5 类m c a g e n t( 2 ) 类t h a g e n t 的功能是对已检测到的“非我”进行分类t h 细胞是细胞的一个亚群，它在免疫中主要是起协助功能，分泌各种淋巴因子促进自身及其它免疫细胞分化、增殖，加快应答速度，在g e c i s m 中，类t ha g e n t的功能是对已检测到的“非我”进行分类。其结构如图2 - 6 所示。天津大学硕士学位论文第二章计算机免疫系统及类t da g e n t 系统图2 - 6 类t h a g e n t接收类n 0a g e n t 送达的“非我”信息并送分类器；接收对特征库、消除方法库的更新信息，进行更新；接收移动信号，送移动器。分类器的作用是对“非我”分类，选择消除方法，选择类ba g e n t 子群，结果迭传送器。对特征库和消除方法库的建立是由人工完成的，它们的扩充既可以由系统自动完成也可以由人工添加。在建库时，针对的是已知入侵，利用前人的成果。对未知入侵，通过沙盒主机的检测与消除方法试探器可能找到消除方法，从而对消除方法库自动扩充。( 3 ) 类ba g e n t 的功能与b 细胞的功能相似，主要是完成对于已知特征的“非我”，根据消除方法库中的方法进行消除b 细胞在免疫应答中，与抗原结合后转化成浆细胞，产生抗体与抗原结合杀死抗原的过程叫体液免疫。每一种b 细胞能产生多种抗体，每种抗体只能杀死一种抗原。同时，每种b 细胞对该细胞能杀死的抗原有高强度的提里功能。在g e c i s m中，类ba g e n t 的功能与b 细胞的功能相似。根据类ba g e n t 中不同的特征，分为不同的子群，设为b i ( i = l 、2 、) ；在b i 中的方法设为r i ，r i 包含于r ( r为消除方法集) 。类ba g e n t 子群结构如图2 7 所示，主要构件功能描述如下：1 效应器对于已知特征的“非我”，根据消除方法库中的方法进行消除。2 检测器利用特征库中的特征对外界进行检测。类ba g e n t 子群特征库中特征很少，保证了类ba g e n t 子群检测的高效性。该库中特征可以更新，更新采用员近员少天津大学硕士学位论文第二章计算机免疫系统及类t da g e n t 系统图2 6 类b a g e n t 子群( 4 ) 类t da g e n t 在功能上与t d 细胞相似。它由类t ha g e n t 分类器中检测到的已知特征但无法消除的“非我”激活，同时接受类b a g e n t 无法消除的“非我”。被激活后，对检测到的“非我”进行回滚，找到一个最近的洁净点。对该点的状态进行备份，同时在该点设置障碍，使迸程执行到此不能继续执行。并激活类t c a g e n t 。( 5 ) 类t c a g e n t 接受未知特征或无法消除的“非我”，且把含有“非我”的进程迁移到沙盒主机在生物免疫应答中，t c 细胞可以直接对靶细胞进行杀伤，t c 细胞紧靠靶细胞后，分泌穿孔家及淋巴因子，使靶细胞细胞膜穿孔，靶细胞中大分子物质从孔中流出而死亡。g e c i s m 中类t ca g e n t 接受未知特征或无法消除的“非我”，且把含有“非我”的进程迁移到沙盒主机。类t ca g e n t 的功能与t c 细胞并不相同，它不能直接杀死“非我”。但为了与生物免疫系统对应，仍采用生物系统名称来命名。( 6 沙盒主机对未知特征的“非我”进行测试，得出该“非我”是否有害，能否消除。同时，对检测规则的生成与更新也是在沙盒中完成的。沙盒主机可以是物理机也可以是虚拟机。沙盒主机的功能实现如下：1 判断“自我”对接受器收到的进程，经初始化后，在运行器上运行并传递数据给收集器，判决器在知识库的支持下根据收集器中的数据对控制器发指令，控制器控制运行器的运行状态，直到判决器得出“自我”、“非我”结果。2 消除方法试探方法试探器在消除方法库的支持下，对“非我”进程进行消除方法选择，初始化后，送运行器运行，然后由判决器判断选择方法是否有效，直到找到有效消除方法或方法试完。天津大学硕士学位论文第二章计算机免疫系统及类t da g e n t 系统2 6 类t da g e n t 的构建l 、类t d a g e n t 总体框架针对类t da g e n t 对“非我”进程进行分类的高效性和准确性的要求，设计类t d a g e n t 的总体框架如图2 - 8 。图2 - 8 类t da g e n t 的总体框架2 、类t d a g e n t 采集器在系统环境中提取进程的检查点信息，送入缓冲器。3 、类t d a g e n t 缓冲器计算机免疫系统中t d 代理的功能是对检测到的“非我”进行回滚，找到一个最近的洁净点。对该点的状态进行备份、设置障碍，使“非我”进程执行到此不能继续运行，如图2 9 所示。r 时问图2 - 9 对非我进程的回滚，备份、设障天津大学硕士学位论文第二章计算机免疫系统及类t da g e n t 系统在入侵检测系统中，一个进程运行开始时是不可能知道其是入侵进程还是正常进程，只有经过一段时间的运行，通过提取运行进程的特征，才能分辨其是属于“非我”还是“自我”。如果进程属于“自我”，就是进程继续运行下去。如果进程是“非我”进程，由于它已经执行了一段时间，必定对计算机系统造成了破坏，这是要对入侵进程进行回滚，恢复系统没有被破坏时的状态。但是，没有备份的回滚是不可能的。只有在进程执行的过程中，对系统的状态进行备份，一旦发现了入侵进程，才能使系统完全恢复到干净的状态。可以使用检查点机制实现入侵进程的回滚、备份、设障。通过检查点备份某个时刻的系统的状态，当系统中检测到入侵进程，我们可以根据以前已经备份的检查点对系统进行恢复，减少系统的被破坏程度。同时设置障碍，停止入侵进程对系统的侵害。所以可以看出，对类t da g e n t 有两个基本的功能要求，即完成系统的备份和恢复。4 、类t d a g e n t 传送器激活后，把缓冲器中进程及其状态、环境信息送类t h a g e n t 。5 、类t d a g e n t 接收器接受其它代理的信号，对系统中的未知进程设置检查点；激活移动器。6 、类t d a g e n t 移动器收到接收器的移动信号，移动到其他主机，保证其他t d 代理的存活。总体上，把系统中的进程分为三类：“自我”进程，“非我”进程，未确定进程。对于“自我”进程，可以让其不受阻碍的执行，因为它不会对系统造成破坏。而对于“非我”进程，由于它的运行是对信息系统的破坏行为，所以要尽量设置障碍，或者直接杀死，阻止其运行，并且让系统回卷，减少系统的损失。对于不知道是“自我”还是“非我”的未确定进程，要记录器每一个系统调用，用于规则提取，或者利用端掉序列判断它是否是入侵进程。天津大学硕士学位论文第三章检查点技术分析第三章检查点技术分析3 1 引言检查点是一种作业回溯和恢复的技术，它通过定期的保存作业的运行状态( 包括进程的各种标识号、存储空间映像、寄存器、打开文件和信号集等) ，可以避免系统发生故障后重新提交作业从开始处运行，从而造成计算资源和时间的浪费。它是一种重要的软件容错手段，是保证并行系统的高可用性的不可缺少的部分。检查点