（计算机应用技术专业论文）支持隧道代理的主动防御型防火墙——免疫机制的研究.pdfVIP

湖北工业大学硕士学位论文 摘要 高性能、智能化、自适应一直是防火墙技术追求的目标。消除数 据匹配检查所需要的海量计算，高效发现网络行为的特征值，识别恶 意扫描和恶意数据流量，增强过滤数据的安全性，提高处理网络数据 流量的效率，是防火墙用来克服速度与安全性之间矛盾的技术手段。 包过滤是对i p 数据包进行匹配检查，应用代理对应用协议和应用 数据进行匹配检查，状态检测除了对数据包进行匹配检查外还要对状 态信息进行匹配检查。这些常规的防火墙技术的共同特点是采用逐一 匹配检查的方法，以高强度的检查为代价，计算量越大，检查的强度 越高，计算的代价也越大。因此，它们存在一个共同缺陷：安全性越 高，检查的数据包越多，效率越低。用一个定律来描述，就是防火墙 的安全性与效率成反比。另外，现在广泛使用的防火墙产品是基于刚 性的安全概念，只是被动地按照预先设定好的安全规则对网络访问行 为进行明确的允许或拒绝，对可疑的访问行为无法及时有效地做出准 确的识别，网络信息捕获能力和处理能力差，依赖人工干预才能响应 新的变化，严重影响了防火墙的性能和效率。 为积极主动地保护计算机网络系统的安全，我们针对传统的被动 型防火墙的缺点和不足进行了一些改进，将主动防御思想应用到了防 火墙中，初步设计了一个防火墙的免疫模型。本文基于仿生学的免疫 原理，借鉴免疫系统的基本原理和特征，结合防火墙技术的特点，探 索将免疫机制应用到防火墙中实现主动防御思想，克服传统防火墙存 在的反应迟钝和智能化不足等缺点。 关键词：网络安全：免疫机制；主动防御：智能型防火墙；柔性安全 系统 湖北工业大学硕士学位论文 a b s tr a c t h i g h p er f o r m a n c e ，i n t e l l e c t u a l i z a t i o n ，s e l f - a d a p t a b jj i t y h a v eb e e n t h e p ur s u i n gg o a l o ft h ef ir e w a l l t e c h n o l o g yd e v e l o p m e n ta l l t h et i m e e l i m i n a t i n gm a s s o p e r a t i o no ft h ed a t am a t c h i n ga n dd e t e c t i n g ，f i n d i n g h i g h - e f f i c i e n t l y c h a r a c t e r is t i cv a l u eo ft h e a c c e s s i n g b e h a v i o r r e c o g n i z i n g t h em a l i c i o u ss c a n n i n ga n dt h ej u n kd a t a f l o w ，e n h a n c i n g s e c u r i t yo ft h ef i l t e r e dd a t a ，i m p r o v i n ge f f i c i e n c yt op r o c e s sn e t w o r kd a t a f l o w ，i st h e t e c h n o l o g y m e a r t sw h i c hf ir e w a l lu s e st oo v e r c o m e c o n t r a d i c t o r yb e t w e e nt h es p e e da n ds e c u r i t y p a c k e tf i l t e r i n gf i r e w a l lp e r f o r m sm a t c h i n ga n dd e t e c t i n gt ot h ei p d a t a p a c k e t ，a n da p p l i c a t i o np r o x y f i r e w a l l g o e s o n m a t c h i n g a n d d e t e c t i n gt ot h ea p p l i c a t i o np r o t o c o la n dt h ea p p l i c a t i o nd a t a h o w e y e r ， b e s i d e sm a t c h i n ga n dd e t e c t i n g t ot h ei pd a t ap a c k e t ，s t a t e f u li n s p e c t i o n f i r e w a l lh a st om a t c ha n dd e t e c t ；t o 。t h es t a t ei n f o r m a t i o n t h ec o m m o n c h a r a c t er is t i c so ft h et r a d i t i o n a lf i r e w a l lt e c h n o l o g ya r e a d o p t i n g t h e m e t h o d0 fm a t c h i n ga n dd e t e c t i n go n eb yo n e ，t a k i n ga h i g h i n t e n s i t y c h e c ka st h ec o s t ，b r i n g i n g a l a r g eo p e r a t i n g s t r e a m t h e h i g h e r t h e c h e c k i n g i n t e n s i t y is ，t h e l a r g e r t h e o p e r a t i n g c o s t i s t h e r e f o r e ，t h e y h a v eac o m m o n1 i m i t a t i o n ：t h e h i g h e r t h e s e e u r i t y is ，t h em o r et h e c h e e k e dd a t ap a c k e ti s ，w h i c hr e s u l t si nal o w e re f f i c i e n c y d e s c r i b e d w i t hal a w ，i tisi ni n v e r s ep r o p o r t i o nt ot h es e c u r i t ya n de f f i c i e n c yo ft h e f ir e w a l l i n a d d i t i o n ，t h ef i r e w a l ip r o d u c t su s e de x t e n s i v e l yn o wa r e b a s e do n r i g i d i t ys e c u r i t yc o n c e p t ，j u s ta c c o r d i n gp a s s i v e l y t h e b c f or e h a n ds e t t i n gs e c u r i t yr u l e st oc a r r yo u tu n a m b i g u o u sp e r m i s s i o no r r e f u s a lt ot h eb e h a v i o r so fa c c e s s i n gt ot h en e t w o r k ，u n a b l ei nt i m et o m a k ea c c u r a t e r e c o g n i t i o ne f f e c t i v e l y f r o mt h e s u s p i c i o u sa c c e s s i n g b e h a v i o r s ，w h i c hr e s u l t si nab a da b i l i t i e so fc a p t u r i n ga n dh a n d l i n gt h e n e t w or k i n f o r m a t i o n ，r e l y i n go nm a n u a li n t e r v e n t i o nt o r e s p o n dt h en e w 湖北工业大学硕士学位论文 c h a n g e ，i n f l u e n c i n g t h e p e r f o r m a n c e a n d e f f i c i e n c y o ft h ef i r e w a l l s er i 0 u s l y i n0r d e rt om a i n t a i n t h e s e c u r i t y o f c o m p u t e r n e t w o r k s y s t e m p o s i t i v e l ya n da c t i v e l y ，t om a k es o m ei m p r o v e m e n t si ny j e wo fw e a k n e s s a n d s h o r t a g e 0 ft h et r a d i t i o n a l p a s s i v e f ir e w a l l ，a ni m i n u n em o d e lo f f ir e w a l li s d e s i g n e dt e n t a t i v e l yb ya p p l y i n gt h ea c t i v ed e l e n s ei d e at ot h e f ir e w a l l a c t i v ed e f e n s ei d e ab a s e do nt h e i m m u n o l o g i c a lp r i n c i p l eo f b i o n i c si s a p p l i e dt o t h ef i r e w a l lt oo v e r c o m et h es h o r t c o m i n g ss u c ha s r e s p o n s et o os 1 0 wa n di n t e l l i g e n c ei n s u f f i c i e n ti nt h et r a d i t i o n a lf i r e w a l l b ys i m u l a t i n g t h eb a s i c p r i n c i p l e s a n dc h a r a c t e r i s t i c so ft h ei m m u n e s y s t e ma n dc o m b i n i n gr o u t i n ef i r e w a l lc h a r a c t e r i s t i cso f t e c h n o l o g y k e y w o r d s ：n e t w or ks e c u r i t y ： i n t e l l i g e n tf i r e w a l l i m m u n em e c h a n i s m ：a c t i v ed e f e n s e f l e x i b l es e c u r i t ys y s t e m 湖北工业大学硕士学位论文 学位论文版权使用授权书 本人完全了解湖北工业大学关于收集、保存、使用学位论文的规 定，同意如下各项内容：按照学校要求提交学位论文的印刷本和电子 版本；学校有权保存学位论文的印刷本和电子版，并采用影印、缩印、 扫拙、数字化或其它手段保存论文；学校有权提供目录检索以及提供 本学位论文全文或者部分的阅览服务；学校有权按有关规定向国家有 关部j 或者机构送交论文的复印件和电子版；在不以赢利为目的的前 提下，学校可以适当复制论文的部分或全部内容用于学术活动。 学位论文作者签名 彰幔 r 年j 、月谚日 湖北工业大学学位论文原创性声明 本人郑重声明：所呈交的学位论文，是本人在导师指导下，进行 研究工作所取得的成果。除文中已经注明引用的内容外，本学位论文 的研究成果不包含任何他人创作的、己公开发表或者没有公开发表的 作品的内容。对本论文所涉及的研究工作做出贡献的其他个人和集体， 均己在文中以明确方式标明。本学位论文原创性声明的法律责任由本 人承担。 签名：彰求史 砌弭r 月三旷日 湖北工业大学硕士学位论文 1 1 研究背景 第1 章引言 自古以来，人们就对生物界有着浓厚的兴趣，并不断地根据仿生 学原理从生物系统的结构、功能及其调节机制中获得灵感。生物成为 许多发明家创新的灵感源泉，他们从生物现象中得到启示，创立了许 多不同的方法，制造出了从机翼到防弹农等许多应用产品。在信息安 全领域，由于人们面对的问题越来越复杂，传统方法解决信息安全问 题的能力越来越有限，促使人们开始寻求新的方法和手段【1 l 。 2 1 世纪是信息时代，信息已成为社会发展的重要战略资源，社会 的信息化已成为当今世界发展的潮流和核心，信息安全在信息社会中 具有重要的战略意义，直接关系到国家安全、企业经营和人们的日常 生活。 随着科学技术的发展，计算机技术对于社会发展所产生的深刻影 响已经是有目共睹，特别是网络技术的广泛应用已经引发了意义深远 的重大变革，使人们生活、工作和学习发生了巨大的变化。但是网络 也给人们带来了很多问题。由于in t e r n e t 所使用的t c p i p 协议自身及 现有的网络服务存在不同程度的安全缺陷，使i n t e r n e t 的安全性问题 随着其发展而日益突出。基于这种情况，对应的各类网络安全技术也 在不断开发和完善中，如加密、认证、入侵检测、审计、容错、v p n ( v ir t u a ip r iv a t en e t w o r k ，虚拟专用网) 和防火墙 2 l 【3 6 1 等等。 其中，防火墙( f i r e w a l l ) 技术是当今讨论最多的关于网络安全的热 门话题，无论是个人、组织还是商业公司都对其投入了很大的热情， 防火墙技术也在不断的发展以满足日益复杂的网络环境的需求。 防火墙作为网络安全产品中重要的一员一直发挥着重要作用。在 各种网络应用日趋普及的今天，随着电子商务、电子现金、数字货币、 网络银行、电子政务的发展，计算机网络作为国家重要的基础设施， 湖北i f - 业大学硕士学位论文 其安全性得到空前重视。 基于仿生学的免疫原理在计算机网络安全领域有着广阔的应用前 景，特别是随着网络技术的普及，网络应用水平得到很大提高的同时 各种网络攻击行为也更加频繁，攻击手段更加高明，焉要一种全新的 防御措施来保障整个网络体系的安全。 1 2 课题的来源 本课题“支持隧道代理的主动防御型防火墙的研究”是2 0 0 4 年湖 北省科技攻关计划( 项目编号：2 0 0 4 a a l0 1 c 6 7 ) 。 1 3 课题研究的内容和目的 为积极主动地保护计算机网络系统的安全，我们针对传统的被动 型防火墙技术的缺点和不足进行了些改进，将主动防御思想应用到 了防火墙中。 课题研究的主要内容有： 探讨了新形式下复杂多变的动态网络环境对网络安全的新需 求。 分析了当前网络环境中典型的网络攻击行为。 分析了传统防火墙技术的优点和不足。 提出了主动防御思想，并将主动防御思想应用到防火墙中。 研究了免疫系统的基本原理和特征，并根据仿生学原理将免疫 机制应用到防火墙中。 在计算机免疫学指导下，运用免疫机制，提出了防火墙的分层 实现模型，深入探讨了免疫层的工作原理。 湖北工业大学硕士学位论文 引入了免疫算法，详细探讨了其中的反向选择算法。 初步设计了一个主动防御型防火墙的免疫模型。 论文的主要目的是研究基于免疫原理的主动防御型防火墙，设计 一个具有实时性、自主性、自适应性和智能性等特点的智能型防火墙 的免疫模型。 1 4 国内外研究现状 免疫学已成为近几年来研究的热点，已成为仿生学的一个重要分 支。目前国内外掀起了一股免疫系统的研究热潮，许多研究者都针对 这一领域开展了深入的、富有成效的研究工作。最早将生物免疫系统 的一些思想引入到信息安全领域的是美国新墨西哥( n e wm e x ic o ) 大学 的s f o r r e s t 教授【7 】【8 1 【9 】【”】，她和她的研究小组在1 9 9 4 年提出可以将 信息安全问题看成一个更加普遍的问题，即如何区分“自我( s e l f ) ” 与“非我( n o n s e l f ) ”f ”】。这里的? 自我”指合法用户或被保护的数 据、文件等，“非我”指非授权用户或被篡改了的数据。 1 9 7 4 年，丹麦学者j e r n e 提出了免疫系统的第一个数学模型【”】， 奠定了免疫计算的基础。1 9 8 4 年，由于在免疫学上的杰出贡献，j e r n e 因此获得诺贝尔奖。继该文之后，f a r m e r 、p e r e ls o n 、b e r s i n i 、v a r e l a 等理论免疫学者分别在1 9 8 6 、19 8 9 、1 9 9 0 年发表了有关论文，在免疫 系统启发实际工程应用方面做出了突出贡献 ” u4 l 【”】【“】【1 ”。其中， f a r l n o r 的关于免疫系统与机器学习的研究是具有创造性和开拓性的工 作，他们的研究工作为建立有效的、基于免疫原理的计算系统及智能 系统的发展开创了道路。v a r e l a 在1 9 8 9 年讨论了免疫网络以某种方式 收敛的思想以及免疫系统能够通过产生不同抗体和变异适应新环境的 思想，都为使免疫系统成为有效解决工程问题的灵感源泉做出了巨大 贡献。 1 9 9 4 年，美国学者f o r r e s t 、p e r e ls o n 等人提出了反向选择算法( 否 定选择算法)( n e g a t i v e s e le c t i o r l a l g o r i t h m ) 【1 】【”】，提出了计算 湖北工业大学硕士学位论文 机免疫系统的概念。同时，美国著名公司i b m 也较早地开始了对计算机 免疫系统的研究，已经成功地开发了用于病毒防护的计算机免疫系统 2 0 0 2 年1 月，国际权威杂志n a t u r e 出专题报道了免疫计算及计算机 免疫的相关研究。2 0 0 2 年6 月，i e e gt r a n s a c t i o f io n e v 0 l u t i o r l a r y c o m p u t a t i0 n 出专刊报道了有关人工免疫的研究进展。2 0 0 2 年至2 0 0 3 年，国际上举办有关人工免疫的学术会议近2 0 次。与此同时，在美国、 英国等西方国家以及日本掀起了一股研究开发计算机免疫系统的热 潮，进步吸引了众多领域的专家学者从各个不同学科和角度开展研 究，并在许多工程领域中取得了巨大的成绩。然而，这还只是个起点， 特别是在国内，基本上才刚刚开始起步【1 l 。 1 5 课题研究的意义 国内信息安全产品由于起步较晚和一些技术上的原因，在国内市 场的占有率还很低，尤其是防火墙类产品，一般都只作用在小范围内 或当个人防火墙使用。为了弥补同类产品的不足，我们依靠自己的技 术力量，在现有防火墙产品的基础上，取长补短，开展了支持隧道代 理的主动防御型防火墙的研究。本项目所研究的防火墙能敏锐地捕捉 入侵的流量，实时截获从网络上传入的数据包，并动态过滤，将危害 切断在发生之前。该防火墙拥有v p n 功能，且利用隧道代理机制提供网 关到网关以及客户端到网关的连接，保护了被代理的网络和资源。本 课题作为该项目的一部分，从网络安全的现状及传统防火墙技术的特 点，运用基于仿生学的免疫原理对主动防御型防火墙进行了研究。目 前主动防御还是一种网络安全新思想，将免疫原理应用到防火墙技术 中体现主动防御思想是一个创新研究，将对计算机网络信息安全的理 论研究开创一个新思路。 湖北工业大学硕士学位论文 第2 章计算机网络与信息安全 2 1 网络信息安全的新需求 作为上个世纪后半期最重大的发明之一，互联网对整个人类社会 产生了重大而深远的影响。近几年中国互联网的飞速发展，对国内的 经济、政治、军事、文化等诸多方面的发展都取到了重大促进作用。 个人用户通过互联网获取信息，进行娱乐休闲；企业用户通过网络发 布产品信息，实现电子商务；政府部门也通过互联网进行办公，提倡 电子政务。 随着i n t e r n e t 技术和网络规模的不断发展，计算机网络作为国家重 要的基础设施，其安全性问题受到政府、工业界及学术界的普遍关注。 然而，针对网络系统的攻击越来越普遍，攻击手法日趋复杂，信息与 网络安全面临着前所未有的严峻形势。 红色代码蠕虫病毒在因特网上传播的最初9 小时内就感染了超过 2 5 0 0 0 0 个计算机系统。该感染导致的代价以每天2 亿美元的速度飞速 增长，最终损失高达2 6 亿美元。红色代码( r e d c o d e ) ，红色代码i i ( r e d c o d ei i ) 及尼姆达( n i m d a ) 、求职信快速传播的威胁显示出现有 的网络防御的严重的局限性。市场上大多数的网络安全产品是被动防 御的，对网络中新出现的，未知的，通常称作“瞬时攻击：z e r o d a y a t t a c k ”的威胁没有足够的防御手段。随着黑客攻击、蠕虫病毒、恶 意代码的大量涌现，企业网络所面临的风险逐日倍增传统的防火墙 技术带来了巨大挑战。 网络信息安全( n e t w o r ki n f o r m a t i o ns e c u r i t y ) 是一个涉及计算机 科学、网络技术、通信技；术、密码技术、信息安全技术、应用数学、 数论、信息论等多种学科的边缘性综合学科【3 l 【5 1 1 6 | 1 1 8 】f l ”。 信息安全可以从理论和工程肭两个角度来考虑。一些从事计算机 湖北工业大学硕士学位论文 和网络安全的研究人员从理论的观点来研究安全。这些安全专家开发 了计算机的理论基础，并从这个基础出发来考虑安全问题。他们感兴 趣的是通过建造被证明是正确的安全模型，用数学方法描述其安全属 性。这些专家为安全领域带来了精确、清晰的论点，这是非常有价值 的。 计算机安全领域的另一个派系则以注重实际的、工程的角度来研 究安全。这些专家经常对安全问题的起因感兴趣，他们更关心保护操 作系统的问题。有人认为，所有从事研究工作的人都必须像理论家那 样严密精确，而有人则认为理论家都应该有能力管理系统。 总的来说，网络安全要达到的三个核心目标为： 保密性( c o n f i d e n t i a l i t y ) ：保护数据不受非授权操作的破坏； 完整性( i n t e g r i t y ) ：保证非授权操作不能修改数据； 可用性( a v a i l a b i l i t y ) ：保证非授权操作不能够获取被保护 的信息或计算机资源。 2 2 典型的网络攻击行为 在开放式的信息环境中，网络入侵攻击变得越来越普遍，攻击时 所使用的攻击手段和攻击方法变得越来越复杂。由于系统安全脆弱性 的客观存在，操作系统、应用软件都不可避免地存在一些安全漏洞， 网络协议本身的设计也存在一些安全隐患。 网络上的典型攻击主要有以下四类 2 0 l ，其中每类攻击中又有几种 形式： ( 1 ) 拒绝服务攻击类：拒绝服务攻击企图通过使目标计算机崩溃 或把它压跨来阻止其提供服务。拒绝服务攻击是最容易实施的攻击行 为，主要包括： 、 死亡之p i n g ( p i n go fd e a r h ) ：利用早期的路由器对包的最大 湖北工业大学硕士学位论文 尺寸的限制，攻击者声称自己的尺寸超过i c m p 上限的包也就是加载的 尺寸超过6 4 k 上限时，就会出现内存分配错误，导致t c p i p 堆栈崩溃， 致使接受方服务器崩溃。 泪滴( t e a r d r o p ) ：泪滴攻击利用在t c p i p 堆栈实现中信任i p 碎片包的标题头所包含的信息来实现自己的攻击。i p 分段含有指示该 分段是原包的哪一段的信息；某些t c p i p 在收到含有重叠偏移的伪造 分段时将崩溃。 u d p 洪水( u d pf l o o d ) ：各种各样的假冒攻击利用简单的t c p i p 服务，如传送毫无用处的占满带宽的数据，生成在两台主机之间的足 够多的无用数椐流如果有早够名的粒搌流就会导致带帘的服辑i 堂 击。 s y n 洪水( s y nf l o o d ) ：一些t c p i p 栈的实现只能等待从有限 数量的计算机发来的a c k 消息，因为他们只有有限的内存缓冲区用于 创建连接，如果这一缓冲区充满了虚假连接的初始信息，该服务器就 会对接下来的连接停止响应，直到缓冲区里的连接企图超时。 l a n d 攻击：一个特别打造的s y n 包，它的源地址和目的地址都 被设置成某一个服务器地址，此举将导致接收服务器向它自己的地址 发送s y n a c k 消息，结果这个地址又发回a c k 消息并创建一个空连接， 每一个这样的连接都将保留直到超时掉。 s m u r f 攻击：简单的s m u r f 攻击通过使用将回复地址设置成受害 网络的广播地址的i c m p 应答请求数据包来淹没受害主机。最终导致该 网络的所有主机都对此i c m p 应答请求作出答复，导致网络阻塞，比 d in go fd e a r h 洪水的流量高出一至两个数量级。更加复杂的s m u r f 将源地址改为第三方的受害者，最终导致第三方雪崩。 f r a 9 9 1e 攻击：f r a 9 9 1 e 攻击对s m u r f 攻击作了简单的修改，使 用的是u d p 应答消息而非i c m p 。 电子邮件炸弹：电子邮件炸弹是最古老的匿名攻击之一，通过 设置一台机器不断的大量的向同、一地址发送电子邮件，攻击者能够耗 湖北工业大学硕士学位论文 尽接受者网络的带宽。 畸形消息攻击：各类操作系统上的许多服务都存在此类问题， 由于这些服务在处理信息之前没有进行适当的错误校验，在收到畸形 的信息时会造成崩溃。 ( 2 ) 利用型攻击类：利用型攻击是一类试图直接对目标机器进行 控制的攻击，最常见的有三种： 口令猜测：一旦黑客识别了一台主机而且发现了基于n e t b i o s 、 t e ln e t 或n f s 这样的服务的可利用的用户帐号，成功的口令猜测能提 供对机器的控制。 特洛伊木马：特洛伊木马是种或是直接由一个黑客，或是通 过一个不令人起疑的用户秘密安装到目标系统的程序。一旦安装成功 并取得管理员权限，安装此程序的人就可以直接远程控制目标系统。 最有效的一种叫做后门程序，恶意程序包括：n e t b u s 、b a c k o r i f i c e 和b 0 2 k ；良性程序如：n e t c a t 、v n c ：p c a n y w h e r e 。 缓冲区溢出：引起缓冲区溢出问题的根本原因是c ( 与其后代 c + + ) 本质就是不安全的，没有边界来检奁数组和指针的引用。由于在 j 良多的服务程序中粗心的程序员使用象s t r c p y ( ) 、s t r c a t ( ) 、 s p r i n t f ( ) 、g e ts ( ) 类似的不进行有效位检查的函数，最终可能导致 恶意用户编写一小段利用程序来进一步打开安全豁口，然后将该代码 缀在缓冲区有效载荷末尾，这样当发生缓冲区溢出时，返回指针指向 恶意代码，这样系统的控制权就会被夺取。 ( 3 ) 信息收集攻击类：信息收集型攻击并不对目标本身造成危害， 这类攻击被用来为进一步入侵提供有用的信息。主要包括：扫描技术、 体系结构刺探、利用信息服务。 扫描技术： 地址扫描：运用p i i g 这样的程序探测目标地址，对此作出响应 的表示其存在。 湖北工业大学硕士学位论文 端口扫描：通常使用一些软件，向大范围的主机连接一系列的 t c p 端口，扫描软件报告它成功的建立了连接的主机所开的端口。 反向映射：黑客向主机发送虚假消息，然后根据返回“h o s t n r e h a b le ”这一消息特征判断出哪些主机是存在的。常见的消息类 型包括：r e s e t 消息、s y n a c k 消息、d n s 响应包。 慢速扫描：由于一般扫描侦测器的实现是通过监视某段时间里 一台特定主机发起的连接的数目来决定是否在被扫描，这样黑客可以 通过使用扫描速度慢一些的扫描软件进行扫描。 体系结构探测：黑客使用具有己知响应类型的数据库的自动工 具，对来自目标主机的、对坏数据包传送所作出的响应进行检查。由 于每种操作系统都有其独特的响应方法，通过将此独特的响应与数据 库中的己知响应进行对比，黑客经常能够确定出目标主机所运行的操 作系统。 利用信息服务： d n s 域转换：d n s 协议不对转换或信息性质的更新进行身份认 证，这使得该协议被以一些不同的方式加以利用。对于一台公共的d n s 服务器，黑客只需实施一次域转换操作就能得到所有主机的名称以及 内部i p 地址。 f i n g e r 服务：黑客使用f i n g e r 命令来刺探一台f i n g e r 服务器， 以获取关于该系统的用户信息。 l d a p 服务：黑客使用l d a p 协议窥探网络内部的系统和它们的 用户信息。 ( 4 ) 假消息攻击类：用于攻击目标配露不正确的消息，主要包括： d n s 高速缓存污染、伪造电子邮件。 d n s 高速缓存污染：由于d n s 服务器与其他名称服务器交换 信息的时候并不进行身份验证，这就使得黑客可以将不正确的信息渗 透进来并把用户引向黑客自己的主机。 湖北工业大学硕士学位论文 伪造电子邮件：由于s m t p 并不对邮件的发送者的身份进行 攀定，因此黑客可以对内部客户伪造电子邮件，声称是来自某个客户 认识并相信的人，并附带上可安装的特洛伊木马程序，或者是一个引 向恶意网站的连接。 目前，网络攻击的形式多种多样，传统的被动防御手段只能防护 某种特定的攻击，而对于具有相同特征的某一攻击行为缺少智能化的 判断和防护。因此，研究网络攻击模式判定技术的网络攻击行为的分 类、复杂攻击模式识别和攻击行为记录等技术，对于有效地、精确地 解决网络攻击智能化的判断和防护将起着重要的作用。 2 3p 2 d r 可适应网络安全模型 和其他领域的安全类似，网络安全基于基本的安全模型。安全模 型是一个抽象的概念，它定义了许多实体( o b je c t ) 以及实体之间交 互与相互引用的准则。 p 2 d r ( p 0 1 i c y 、p r o t e c t i o n 、d e t e c t i o i i 和r e s p o n s e ) 【2 1 模型是 可适应网络安全理论或称为动态信息安全理论的主要模型，即根据网 络环境的变化，并综合各种可能的影响安全的因素来制定整个网络的 安全策略，并在统一的安全策略的指导下，针对安全威胁和攻击弱点， 通过保护、检测和响应三个环节实时地强制实施的群体安全策略。 p 2 d r 安全模型的特点就是动态性和基于时间的特性，可以说对信 息安全的“相对性”给予了更好地描述：1 虽然没有1 0 0 的安全，但是 该模型为进一步解决信息安全技术问题提供了有益的方法和方向。 p 2 d r 模型是t c s e c ( t r u s t e dc o m p u t e r s y s t e me v a l u a t i o n c r i t e r i a ，可信计算机系统评价准则，又称桔皮书) 模型的发展，也 是目前业界主要推崇的动态安全管理概念，这一概念源于可适应安全 管理模型，由美国i s s 公司( i n t e r n e ts e c u r i t ys y s t e m s ，i n c ) 最 先提出。p 2 d r 模型包含四个主要部分：p o l i c y ( 安全策略) 、p r o t e c t i o n ( 防护) 、d e t e c t io n ( 检测) 和1 | ：r e s p o n s e( 响应) 。防护、检测和响 湖北j - 业大学硕士学位论文 应组成了一个所谓的“完整的、 体指导下保证信息系统的安全。 动态”的安全循环，在安全策略的整 p 2 d r 模型如图2 2 所示。 图2 2p 2 d r 网络安全模型 安全策略有机结合可实现可信网络深度防御的问题。该模型的理 想实现是在整体的安全策略( p 0 1 ic y ) 控制和指导下，综合运用防护 工具( p r o te c t i0 n ，如防火墙、身份认证、加密等手段) ，利用检测工 具( d e t e c t i o n ，入侵检测系统i d s 和漏洞扫描等) 了解系统的安全状 态，并通过适当的响应( ：r e s p o n s e ，安全评估和策略管理系统) 将系 统调整到“最安全”和“风险最低”状态。 湖北工业大学硕士学位论文 第3 章免疫学概述 免疫学起源于中国。我国古代医师在医治天花的长期临床实践中， 发现康复后的天花患者及其护理者或是穿过沾染患者痘痂的衣服的人 不再患天花，于是就大胆地创造了将天花痂粉吹入正常人鼻孔的方法 来预防天花，这就是世界上最早的原始疫苗。 免疫学( i m m u n o l o g y ) 是生命科学的一个重要组成部分，是研究 机体自我识别和对抗原性异物排斥反应的一个新兴学科。1 9 0 1 年免 疫学”一词首先出现在i n d e xm e d ic u b 中，19 1 6 年j o u r n a lo f i m m u 1 0 1 0 9 y 创刊。作为一门学科，免疫学才正式为人们所承认 1 1 1 22 。 3 1 生物免疫系统 生物免疫系统( b i o lo g ic a li m m u n es y s t e m ，b i s ) 【2 3 j 是由具有 免疫功能的器官、组织和细胞等组成的复杂分层系统，能够自适应地 抗体 图3 1 生物免疫系统示意图 眄 湖北工业大学硕士学位论文 以别和排除侵入机体的抗原性异物从而保护机体免受细菌、病毒、寄 生虫、毒素等外来病菌及体内病变组织的侵害，具有学习、记忆和自 适应调节能力。其免疫功能主要由免疫细胞相互作用来完成，免疫细 胞在免疫器官里产生、分化、成熟之后就通过血液和体液在机体里游 走，分布到身体各处，发挥各自的作用。生物免疫系统具有天生发现 并消除外来病原体的能力，为研究计算机网络安全提供了许多新方法。 虽然计算机系统和生物系统之间有许多差异，但计算机的安全问题与 生物免疫系统所遇到的问题却具有惊人的相似形，两者都要在不断变 化的环境中维持系统的稳定性。图3 1 是生物免疫系统的示意图。 免疫系统通过分布在全身不同种类的淋巴细胞识别和清除侵入生 物体的抗原性异物。淋巴细胞是最重要的免疫细胞，分为b 细胞和t 细胞两种，分别负责细胞免疫和体液免疫。生物体内先天具有针对不 同抗原特性的多样性b 细胞克隆，抗原侵入机体后，在t 细胞的识别 和控制下，选择并刺激相应的b 细胞，使之活化、增殖并产生特异性 抗体结合抗原；同时，抗原和抗体、。抗体和抗体之间的刺激和抑制关 系形成的网络调节结构维持着免疫平衡。当生物系统受到外界病毒侵 害时，就激活自身的免疫系统，其目标是尽可能地保证整个生物系统 的基本生理功能正常运转。图3 2 是淋巴细胞表面的示意图。 图3 2 淋巴细胞表面示意图 一u 一 湖北工业大学硕士学位论文 免疫细胞识别抗原实际上是通过免疫细胞表面的接受器 ( a c c e p to r ) 与抗原表面的抗原决定基( e p i t o p e ) 发生不精确的粘合 ( b jn d ) 反应来完成的，如图3 3 所示。接受器和抗原决定基都具有 复杂的三维结构，当它们的结构越互补时，粘合的强度越大。粘合的 强度乜称作亲合度( a f f in i t y ) 【1 1 ( 2 4 】f 25 】【2 6 】【27 】【2 “。 图3 3 免疫细胞表面的接受器与抗原表面的抗原决定基发生粘合反应 。 免疫细胞能准确区分“自我( s e l f ) ”和“非我( n o n s e l f ) ”。对“自 我”抗原形成天然免疫耐受，对“非我”抗原产生免疫应答进行排异 矩 亡 瘦 柙 刺 记忆 黉体结合摅罐 图3 4 生物杰疫系统的抗原识别机制 湖北工业大学硕士学位论文 消除，保持机体内环境的平衡稳定。图3 4 所示是生物免疫系统的抗 原识别机制。 3 2 人工免疫系统 人工免疫系统( a r t i f i c i a lf m m u n es y s t e m ，a i s ) f 1 1 1 23 1 受生物免疫系 统启发而来，作为生物计算的一个新领域，近年来引起了研究人员和 业界的浓厚兴趣。和生物计算的其它分支比较，a i s 还是一个相对年轻 的研究领域，a i s 在8 0 年代中期由理论免疫学领域派生。a i s 主要的 研究目的就是面向于解决实际问题，实践的需求促成了a i s 的迅速发 展。研究人员不断地尝试将a i s 应用于解决各种问题，并且取得了很 多成果。 免疫系统的主要目标是识别s e l f 和n o n s e l d 川2 9 】【”l 。对于任意一个 外来物，免疫系统应该能够识别它们属于哪一个集合。从本质上看， 免疫的识别问题实际上是一个建模问题，只不过这个问题异常复杂， 我们应该考虑的一个被识别对象集合为s ，这个集合的每一个元素应该 属于s e l f 或n e n s e l f 之一。但是诱个集合都异常庞大，我们不可能得到 任何一个集合的全集，我们希望通过一个小的s e l f 的子集合，通过训 练出的识别器识别一个相应范围的n o n s e l f 集合。当人工免疫系统受到 外界攻击时，内在的免疫机制被激活，其目标是保证整个智能信息系 统的基本信息处理功能得到正常运作。图3 5 是人工免疫的集合模型。 图3 5 人工免疫的集合模型 湖北工业大，学硕士学位论文 a i s 是一个计算系统，而计算系统最重要的是数据表示与计算过 程，所以a i s 的一般性框架需要解决以下问题： 描述a i s 组成部件。 描述a i s 部件之间的相互关系。 划a 1 s 进行更高层次的抽象描述。 研究通用的方法过程，以便应用于不同的领域。 a i s 框架描述了a i s 解决实际问题的一般过程，如图3 6 所示。 檗 圆 图3 6 a i s 的一般框架 在a i s 的一般框架中，a i s 的设计具有基本相似的流程，按照这 个流程来设计a i s 可以提高工作效率。 a t s 应用流程如下： ( 一) 问题定义。 ( 二) 将实际问题映射到a i s 领域，包括下列步骤： ( 1 ) 定义需要使用的免疫细胞和其他分子。 ( 2 ) 确定a i s 戛使用的免疫原理。 湖北工业大学硕士学位论文 ( 3 ) 定义a i s 的数学描述。 ( 4 ) 评估a i s 内部的关联关系。 ( 5 ) 调整a i s 的参数特性。 ( 三) 从a i s 映射回实际问题空间。 计算机人工免疫系统的主要任务就是借鉴生物免疫系统的理论实 现在计算机系统中的“自我( s e l f ) ”和“非我( n o n s e l f ) ”的区别i t ”3 ”。 对任何一种外来物，免疫系统能够很好地识别它们属于哪一个集合。 根据仿生学的免疫机制，具有免疫特性的计算机密今秦缔对髯种访问 行为进行识别应具有如下属性【“l 【35 l ： ( 1 ) 识别是随机的、实时的； ( 2 ) 采用模糊匹配策略： ( 3 ) 能够识别任何事实上的访问行为，能够学习识别未知访问行为； ( 4 ) 具有存储记忆系统，对重复访问行为能进行快速识别并做出反 应： ( 5 ) 个体识别能力的多样性： ( 6 ) 协同刺激。 3 3 计算机免疫学 计算机免疫学( c o m p u t e r i m m u n o l o g y ) 是一门基于生物免疫学、 人工免疫，以及计算机科学等南交叉学科，主要利用最新的计算机科 学技术，研究有关人工免疫的理论、规则、算法、模型等，并将这些 理论应用于具体的应用系统中，解决妻际的应用课题。 计算机的安全性问题与生物免疫系统所遇到的问题具有惊人的相 似性，两者都要在不断变化的环境中维持系统的稳定性。基于生物免 疫原理的计算机免疫学作为一种新兴的智能信息处理方法，近年来吸 湖北工业大学硕士学位论文 引了众多领域的研究人员从各个不同学科和角度开展研究，并在许多 工程领域取得了巨大成绩。 - 目前，关于计算机免疫学的研究成果主要涉及网络安全、入侵检 测( i n t r us i o nd e te c t i o ns y s t e m ，i d s ) 、病毒防护( a n t i v i r u s ) 、 计算机科学、计算智能、模式识别、组合优化、机器学习、自动控制、 机器人、自动化、智能系统、异常诊断、联想记忆、智能建筑 ( in te l l ig e n tb u i ld i n g s ) i ”、分子生物学、图像处理、生态系统保 护、灾害预测、数据挖掘与压缩、故障检测与恢复以及优化问题等许 彩领域 3 4 】f ” 1 36 。 ? 3 3 1 形态空间模型( s h a p e s h a c em o d e l ) 为了定量地描述免疫系统，p e r e ls o n a 和0 s t e r g 于1 9 7 9 年提出 所有的免疫事件都在形态空间( s h a p