（计算机软件与理论专业论文）基于人工免疫的入侵检测系统模型研究.pdf

摘要 随着计算机互联网的发展和广泛应用，网络安全特别是网络入侵问题变得越来越 严重。因此，开展网络安全特别是入侵攻击与防范技术的研究，开发高效实用的入侵 检测系统，对计算机网络的发展与应用都具有重要意义。 计算机安全系统要解决的问题与生物免疫系统要解决的问题非常类似，生物免疫 系统保护躯体免受病原体的侵害而计算机安全系统保护计算机免遭入侵。因此，近年 来受生物免疫系统的启发，国内外研究人员从生物原型出发，抽象出相应的仿生机理， 形成一个新的研究领域人工免疫系统。 本文在对现有的入侵检测系统和生物免疫系统进行研究的基础上，对基于人工免 疫的入侵检测系统模型进行了探讨，并从自适应性、灵活性和有效性等角度对该模型 进行了详细分析。从而得出改进现有入侵检测系统的方法，将生物免疫系统的原理， 应用于入侵检测系统的设计与实现。 本文首先介绍了入侵检测系统的基本原理，现有的一些系统结构，入侵检测系统 分类，全面分析了现在已有的各种入侵检测技术，总结了它们存在的不足。 其次对生物免疫学的一些基本理论进行了研究，通过研究生物免疫学进行免疫的 过程来提炼出生物免疫学的一些原理和特征，并介绍了人工免疫系统的基本概念，主 要的免疫算法，匹配规则以及人工免疫系统在入侵检测方面的应用。 然后提出了一种基于人工免疫的入侵检测系统模型，给出了原理上的定量描述， 系统地设计了该模型。分别讨论了记忆、成熟和未成熟细胞模块的工作原理，并给出 了检测算法。讨论了“漏洞”问题以及它的解决办法并简单分析了本模型的特点。通 过实验仿真了基于人工免疫的入侵检测系统模型，经过对数据分析证实了该方法很好 的可用性和先进性。 最后，对基于人工免疫的入侵检测的研究进行了展望，提出了可行的下一步工作 方向。 本文的作者在学习与研究前人的研究成果的基础上，在本文中提出了一种基于人 工免疫的入侵检测系统模型，用以实现自适应的、灵活的、可扩展的并可以根据网络 管理者的需要进行实时的网络检测。作者希望通过在入侵检测系统模型中引入人工免 疫解决传统入侵检测系统存在的问题。 关键词：入侵检测，生物免疫系统，人工免疫原理，否定选择，克隆选择 a b s t r a c t w i t ht h er a p i de x t e n s i o no fi n t e r n e ta n dw i d ea p p l i c a t i o no fi n t e r n e t n e t w o r k s e c u r i t y , e s p e c i a l l yn e t w o r ki n t r u s i o n 。h a sb e c o m ee v e rs e r l o u s 1h e r e t o r e 。i ti s q u i t en e c e s s a r yf o ru st ot h o r o u g h l ya n a l y z ep r o b l e m si nn e t w o r ks e c u r i t y , s u c ha s j n t r u s i o na t t a c k t os t u d yj n t r u s i o nd e t e c t i o nt e c h n o l o g y , a n da l s ot od e v e l o p e f f e c t i v ei n t r u s i o nd e t e c t i o ns y s t e m s ( 1 d s ) a n dt h er e s e a r c ha b o u tl d si sv a l u a b l e a n di m p o r t a n tf o rt h ed e v e l o p m e n ta n da p p l i c a t i o no fn e t w o r ki n f o r m a t i o ns y s t e m s t h ep r o b l e mf a c e di nc o m p u t e rs y s t e mi ss i m i l a rw i t ht h eb i o l o g i c a li m m u n e s y s t e m ：t h eb i o l o g i c a li m m u n es y s t e mp r o t e c t sb o d yf r o mt h eh a r m f u la n t i g e na n d t h ec o m p u t e rs e c u r 计vs y s t e mp r o t e c t sc o m p u t e rf o r mi n t r u s i o n s o ，f r o mt h e i n s p i r a t i o no ft h eb i o l o g i c a l m m u n es y s t e m r e s e a r c h e r sr e c e n t l yp r o c e e df r o m b i o l o g i c a lp r o t o t y p e 。a b s t r a c tt oc o r r e s p o n d i n gi m i t a t i v ei i f em e c h a n i s m ，f o r man e w f i e l d a r t i f i c i a i i m m u n es y s t e m ( a i s ) t h r o u g ht h es t u d yo fc u r r e n ti n t r u s i o nd e t e c t i o ns y s t e m sa n db i o l o g i c a li m m u n e s y s t e m a na r t i f i c i a i i m m u n e b a s e di n t r u s i o nd e t e c t i o ns y s t e mm o d e i | sd i s c u s s e d a n da n a l y z e di nf u i id e t a f r o mt h ev i e wo fa d a p t a b i l i t y f l e x i b l ea n de f f i c i e n c y t h u s t h em o d e | | n d i c a t e sw a y sl nw h i c hw ec a ni m p r o v eo u re x i s t i n gi n t r u s i o nd e t e c t i o n s y s t e r n s t h a tf sa p p l y i n gb i o l o g i c a lp d n c i p l e se x t r a c t e df r o mj st ot h ed e s i g na n d i m p l e m e n to fi n t r u s i o nd e t e c t i o ns y s t e m s f i r s t ，t h i st h e s i si n t r o d u c e dt h eb a s i cp r i n c i p l eo fi d s ，s o m ee x i s t i n gs y s t e m s t r u c t u r e 。t h ec l a s s i f i c a t i o no fi d s ，a n a l y z e dt h ee x i s t i n gi n t r u s i o nd e t e c t i o n t e c h n i q u ec o m p l e t e l y , a n dt h a nc o n c l u d e dt h e i rd r a w b a c k s s e c o n d ，w er e s e a r c h e db a s i ct h e o r i e so fi m m u n o l o g y , t h r o u g hi tw ec o u l d r e f i n ep r i n c i p l e sa n dc h a r a c t e r i s t i c so fi m m u n o l o g y , w ea l s oi n t r o d u c e dt h eb a s i c c o n c e p to fa i s ，t h ei m m u n ea l g o r i t h m s ，t h er e g u l a t i o n so fm a t c h i n ga n ds o m e a p p l i c a t i o n so fa i so ni d s f u r t h e rm o r e w ep r o p o s e da na r t i f i c i a l r n m u n e b a s e di n t r u s i o nd e t e c t i o n s y s t e mm o d e l ，g a v eo u tt h eq u a n t i t i v ed e s c r i p t i o n so ft h et h e o r y , a n dd e s i g n e dt h e m o d e is y s t e m i c a l l y w ea l s op r e s e n t e dt h es o l u t i o n so fm e m o r ym o d u l e ，m a t u r e m o d u l ea n di m m a t u r em o d u l ea n dt h ed e t e c t i o na l g o r i t h m a n dt h a nw ed i s c u s s e d t h eh o l ep r o b l e ma n di t ss o l u t i o n 。a n ds i m p l ya n a l y z e dt h ec h a r a c t e r so ft h e m o d e l t h r o u g hs i m u l a t i n gt h ea r t i f i c i a l m m u n e - b a s e di n t r u s i o nd e t e c t i o ns y s t e m w ec o n f i r mt h a tt h i sm o d e i h a sg o o da n da d v a n c e dp r a c t i c a b i l i t y f i n a l l y , w ee x p e c t e dt h er e s e a r c h e so ft h ea r t i f i c i a li m m u n e b a s e di n t r u s i o n d e t e c t i o n 。a n dp r o p o s e dt h ef e a s i b l ew o r kd i r e c t i o ni nt h ef u t u r e o nt h eb a s i so fl e a r n i n ga n dr e s e a r c h i n gt h ef o r m e r s s t u d i e s ，t h ea u t h o ro f t h i sp a p e rp r o p o s e dt h ea r t i f i c i a li m m u n j t y b a s e di n t r u s i o nd e t e c t i o ns y s t e mm o d e l w h i c hi sd e s i g n e dt ob ea d a p t a b l e ，f l e x i b l e ，e x t e n d i b l e ，a n dt h a tc a np e r f o r m r e a l t i m em o n i t o r i n gi na c c o r d a n c ew i t ht h en e e d sa n dp r e f e r e n c eo fn e t w o r k a d m i n i s t r a t o r sa n dh o p et h a ti tc a ns o l v et h ep r o b l e m se x i s t e d i nt r a d i t i o n a l i i n t r u s i o nd e t e c t i o ns y s t e m j i az h a n g ( c o m p u t e rs o f t w a r ea n dt h e o r y ) d i r e c t e db yj i n g y u nc h e n g ，g u a n g z h o n gl i u k e y w o r d s ：i n t r u s i o nd e t e c t i o n ，b i o l o g i c a li m m u n es y s t e m ，a r t i f i c i a li m m u n e t h e o r y ，n e g a t i v es e l e c t i o n ，c l o n a ls e l e c t i o n i i 论文独创性声明 本论文是我个人在导师指导下进行的研究工作及取得的研究成果。 论文中除了特别加以标注和致谢的地方外，不包含其他人或者其他机构 已经发表或撰写过的研究成果。其他同志对本研究的启发和所做的贡献 均已在论文中作了明确的声明并表示了感谢。 作者签名：丝日期：型互! 星 论文使用授权声明 本人同意上海海事大学有关保留、使用学位论文的规定，即：学校 有权保留送交论文复印件，允许论文被查阅和借阅；学校可以上网公布 论文的全部和部分内容，可以采用影印、缩印或者其它复制手段保存论 文。保密的论文在解密后遵守此规定。 作者签名：i 坠导师签名：楹日期：丝堑! ：! z 、。1 l 基于人工免疫的入侵检测系统模型研究 1 1 网络安全概述 第一章绪论 当人们在感受信息网络传递快捷、资源共享、平等相处等魅力的同时，也感受到 它给国家安全、经济发展、社会稳定和军事斗争大局带来的种种隐患。尤其在电信、 金融以及政府军事等行业和部门，信息技术的应用达到相当高的水平，计算机和互联 网技术的确给人们带来了前所未有的便利，同时促进了生产力的发展。但是，由于网 络连接形式的多样性、终端设备的开放性等特征，致使互联网极容易受到黑客、计算 机病毒和其他有目的性的攻击。 国家计算机网络应急技术处理协调中心( c n c e r t c c ) 的( ( 2 0 0 5 年网络安全工 作报告中列出2 0 0 5 年该组织共收到国内外通过应急热线、网站、电子邮件等报告 的网络安全事件1 2 万多件，平均每月1 万多件。与2 0 0 4 年相比，数量增长了一倍左 右。与2 0 0 3 年相比，0 4 年和0 5 年事件报告数量的增长更加明显。公安机关发布的 数据统计显示，2 0 0 5 年，国内处理的网络安全犯罪近3 万起，国内网民因为网络安 全犯罪而造成的直接损失超过1 亿元。银行等国内金融机构成为网络诈骗犯罪高发的 “重灾区”，按照g d p 和我国网络应用水平计算，国内金融系统全年因网络安全犯罪 造成直接经济损失约1 0 亿元人民币。而据综合估测，中国2 0 0 5 年因网络威胁造成的 间接损失高达数十亿元。 因此，网络安全的重要性日渐突出，已经引起各国、各部门、各行业以及每个计 算机用户充分重视，迫切需要安全有效的防护措旌来保证计算机和网络的可靠性及完 整性，建立一个规范有序的网络环境。 1 1 1 网络安全的概念 什么是网络安全( n e t w o r ks e c u r i t y ) ? 简单地说，网络安全是指网络系统的硬件、 软件及其系统中的数据受到保护，不因偶然的或者恶意的原因而遭到破坏、更改、泄 露，系统连续可靠正常地运行，网络服务不中断。 从网络安全的角度看，网络包括了数据、关系、能力三个要素。数据是网络中传 递的信息，关系是指通信各方信任关系的建立与维护，能力是指网络的传输能力和终 端系统的处理能力。网络安全的意义，在于对网络的这三个要素提供的保护，使三者 只能为合适的人服务。相应地，充分利用安全三要素能够更精确地描述网络安全。 ( 1 ) 数据保护 保护数据只能被授权用户所访问，主要针对数据窃取、数据篡改等攻击，基本手 段包括加密和访问控制。 ( 2 ) 关系保护 安全的建立、维护信赖关系，主要针对网络身份冒充、连接截取，基本的手段包 括加密与协议的安全设计。 ( 3 ) 能力保护 它包括对网络传输能力和终端系统处理能力进行保护，主要针对拒绝服务、远程 权力获取等攻击，使用的手段基本上是实验性的，入侵检测就是手段之一。 基于人工免疫的入侵检测系统模型研究 1 1 2 网络安全的属性 网络安全具有三个基本属性【1 j 机密性、完整性和可用性。 机密性( c o n f i d e n t i a l i t y ) 是指一些具有保密要求的信息，如财务数据只能向拥有 访问权限的用户提供，而没有访问权限的其他人员无权存取这些数据。对资源保密性 的破坏包括信息在网络传送时被未授权者访问或窃取，窃听通讯过程中数据的流向等 行为。主要的防范措施是密码技术。 完整性( i n t e g r i t y ) 是指能保证其信息资源的完整、准确与有效，不因人为或非 人为的因素改变其信息资源原有的内容、形式和流向。完整性是网络安全的个大问 题，造成信息完整性破坏的原因有非法用户对网络资源的篡改、合法用户越权处理网 络内敏感数据或通信传输中的干扰或噪声造成的数据错误等。主要的防范措施是校验 与认证技术。 可用性( a v a i l a b i l i t y ) 是指网络能及时地提供用户所需的服务，不因系统故障或 无操作妨碍用户对资源的使用或使得系统资源丢失；网络应该具有某些不正常的情况 下继续运行的能力等。影响网络可用的因素很多可分为人为因素和非人为因素两大 类，前者包括非法占用网络资源，切断网络或阻塞网络通讯，散播电脑病毒等，后者 有自然灾害造成的事故、系统故障等问题。主要防范措施是确保信息与信息系统处于 一个可靠的运行状态下。 1 2 入侵检测技术研究背景 从广义上说网络安全的关键技术有：密码技术、防火墙技术、反计算机病毒技术、 访问控制技术和入侵检测技术等。其中入侵检测技术能和其他安全技术协同工作更好 的保护网络不受攻击，它已经成为网络安全研究人员的一个重点研究内容。入侵检测 系统不仅可以检测被其他技术记录的攻击，而且试图检测那些被其他手段难以预料的 新型攻击。同时，它还可以提供适用于法庭的证据来发现攻击的来源，使攻击者对他 们的行为更加负责，所以从某种意义上来说，可以对攻击者形成一定的威慑作用。 1 2 1 入侵检测技术的发展历程简述 入侵检测技术是在2 0 世纪8 0 年代提出来的 2 1 ，在2 0 多年的不断发展中，从最初 的一种单纯的理论模型逐步发展成具有实际作用的原型系统，成为计算机安全领域不 可缺少的一种重要的防护工具。下面简单地回顾一下它的发展历程。 1 9 8 0 年，j a m e sa n d e r s o n 在其著名的技术报告c o m p u t e rs e c u r i t yt h r e a l m o n i t o r i n ga n ds u r v e i l l a n c e ) ) 中，首次提出安全审计的目标，并强调应该对计算机审 计机制做出若干修改，以便计算机安全人员能够方便地检查和分析审计数据。同时， 提出了基本的检测思路。这份报告被认为是入侵检测的开山之作。 从1 9 8 4 年到1 9 8 6 年，乔治敦大学的d o r o t h yd e n n i n g 和s r i 公司计算科学实验 室的p e t e rn e u m a n n 研究出了著名的入侵检测专家系统1 d e s ( i n t r u s i o nd e t e c t i o n e x p e r ts y s t e m ) 。该模型采纳了a n d e r s o n 提出的若干建议，它独立于系统平台、应用 环境、系统弱点以及入侵类型，为构建入侵检测系统提供了一个通用框架。 1 9 8 8 年，s r i c s l 的t e r e s al t m t 等人改进了d e n n i n g 模型，改进后的模型包括 异常检测器和策略规则，建立了统计异常行为数学模型，实现了对入侵行为的特征分 摹于人工免疫的入侵检测系统模型研究 析。 1 9 8 9 年至1 9 9 1 年，s t e p h e ns m a h a 设计开发了h a y s t a c k 系统，该系统同时采用 了两种不同的统计分析检测技术来发现异常活动。 1 9 9 0 年，加州大学d a v i s 分校的h e b e r l i e n 发表在i e e e 上的论文an e t w o r k s e c u r i t ym o n i t o r ) ) ( n s m 系统) ，标志着入侵检测第一次将网络数据包作为审计信息 源。自此，入侵检测系统两大阵营正式形成基于主机的入侵检测系统和基于网络 的入侵检测系统。 1 9 9 1 年，在包括美国国家安全局在内的多个部门的资助下，在n s m 和h a y s t a c k 系统基础上，s t e p h e n s m a h a 主持研发了d i d s ( d i s t r i b u t e d i n t r u s i o n d e t e c t i o n s y s t e m ) ， 将基于主机和基于网络的检测方法集成到一起。 2 0 世纪9 0 年代到现在，入侵检测技术逐步向智能化和分布式两个方向发展，全 世界多所大学和研究机构采用了多种方法用于入侵检测技术的研究，现有的入侵检测 系统多数采用代理、概率统计、专家系统、神经网络、模式匹配、行为分析、遗传算 法等来实现系统的检测机制，以分析事件的审计记录、识别特定的模型、生成检测报 告和最终的分析结果，极大地推动了入侵检测技术的发展。 1 2 2 入侵检测与p 2 d r 安全模型 如图1 - 1 ，p e d r 安全模型【3 是一个动态的计算机系统安全理论模型。它的指导思 想比传统静态安全方案有突破性提高。p 2 d r 是p o l i c y ( 策略) 、p r o t e c t i o n ( 防护) 、 d e t e c t i o n ( 检测) 和r e s p o n s e ( 响应) 的缩写。 图卜1p 2 d r 安全模型 p 2 d r 模型的结论是安全的目标实际上就是尽可能地增大保护时间，尽量减少检 测时间和响应时间。入侵检测技术和p 2 d r 模型的关系是，入侵检测技术实现该模型 中的“d e t e c t i o n ”部分。在p z d r 模型中，安全策略处于中心位置，同时安全策略也 是制订检测策略的重要的信息源，入侵检测系统需要根据现有已知的安全策略信息来 更好地配置系统参数信息。当发现有入侵行为后，入侵检测系统会通过相应模块改变 系统的防护措施，改善系统的保护能力，从而实现动态的系统安全模型。因此，入侵 检测可以看作是p 2 d r 模型实现的关键环节。 基于人工免疫的入侵检测系统模型研究 1 3 人工免疫系统国内外的研究现状 生物免疫系统( b i o l o g i c a li m m u n es y s t e m ) 表现出了良好的多样性、耐受性、鲁 棒性、适应性、分布性、动态性、自治f 生等特性，自2 0 世纪7 0 年代就引起了研究人 员的注意。近些年来，国际权威杂志及相关学术会议对此展开热烈的讨论。由此提出 了一个崭新的研究领域人工免疫系统( a r t i f i c i a li m m u n es y s t e m ) 。 从工程和科学的角度看，人工免疫系统 4 】是借鉴、利用生物免疫系统信息处理机 制而发展的各类信息处理技术、计算技术及其在工程和科学中应用而产生的各种智能 系统的统称。人工免疫系统是一个跨越多个学科的研究领域，是与生物免疫系统相对 应的工程概念，类似于人工神经网络与神经网络的对应。 目前，从事人工免疫系统研究的人员主要集中在美国、英国、日本和巴西这几个 国家。1 9 9 4 年，美国m e x i c o 大学计算机科学系的s f o r r e s t 教授利用生物免疫原理 研究计算机安全，并和p e r e l s o n 等人提出了否定选择算法p j ，用来生成检测器，进一 步提出了计算机免疫系统的概念。1 9 9 9 年m i s s o u r i 大学计算机与数学系的d d a s g u p t a 博士建立了一套计算机免疫系统，用来抵御外来入侵，保障计算机安全。他 所编写的人工免疫系统及其应用是该领域的第一本书籍，该书覆盖生物免疫系统 在工程计算上的不同应用，也是该领域许多领先的研究人员的论文集。另外，巴西 c a m p i n a s 大学的d ec a s t r o 博士最早在其博士论文中总结了人工免疫系统，并试图建 立人工免疫系统的统一框架。2 0 0 2 年，他和英国k e n t 大学的t i m m i s 博士对否定算 法做了一定的修改【6 j ，把变异引进到其中。并且，他们合著了国际上首部全面系统研 究人工免疫系统的专门著作，不同于d d a s g u p t a 的著作，这是世界上首部结合作者 自己和其他研究人员的研究成果，全面系统地论述人工免疫系统原理与应用的著作。 同年，英国图n g s 学院的k i m 博士和b e n t l e y 共同提出了动态克隆选择算法 ( d y n a m i c s ) 。2 0 0 2 年5 月1 2 1 7 日，在火奴鲁鲁举办的作为i e e e 世界计算智能大 会一部分的进化计算会议上，专门举办了人工免疫系统专题会议。2 0 0 2 年9 月9 1 1 日，第一届国际人工免疫系统会议在英国肯特大学召开。2 0 0 2 年9 月1 6 1 8 日，在 意大利c r e m a 的p o d e r e d o m b r i a n o 举办的第六届国际基于知识的智能信息工程系统 会议上，基于免疫的系统作为特别会议举办。1 0 月6 - 9 日，在t u n i s i a 、h a m m a m e t 举行的i e e e 国际系统人控制论会议上，基于免疫的系统也作为特别会议举行。 在国内最早从事人工免疫系统研究的是中国科技大学的王熙法教授领导的科研 小组，该小组已取得了一些成果。1 9 9 9 年，中科院软件所的刘克龙等人基于遗传的 概念，提出了一种新型的网络安全实现方法基因计算机。2 0 0 2 年，武汉大学的 梁意文教授利用免疫原理对大规模网络入侵检测和预警技术进行了研究，他把 m u l t i a g e n t 的思想引进了人工免疫系统。2 0 0 3 年6 月，哈尔滨工程大学自动化学院 的莫宏伟讲师出版了国内首部人工免疫系统图书人工免疫系统原理与应用，并在 这一领域作了大量工作。同年，四川大学李涛教授提出了基于免疫的大规模网络入侵 动态取证，以及网络安全风险检测与控制等技术。并于2 0 0 4 年7 月出版了计算机 免疫学一书。另外，北京理工大学的侯朝桢教授、北京交通大学的黄厚宽教授也进 行了这方面的研究。 1 4 论文主要的研究内容 计算机网络对国家、社会、单位和个人的重要性有目共睹，但它同时又存在安全 4 基于人工免疫的入侵检测系统模型研究 性和脆弱性问题，如何保证网络的安全稳定可靠显得尤为重要。人体免疫系统能够很 好的适应各种环境，保证各类生理功能的正常实现，而且它与计算机安全之间的有着 很多相似性。本文主要从免疫的角度出发，研究了如何将免疫系统的免疫机理以及从 中抽象提取的有关算法运用于入侵检测技术的研究。全文主要包括以下几个方面内 容： 一是建立入侵检测系统和人体免疫系统之间的映射关系。本文首先分别对入侵检 测系统和生物免疫系统进行介绍，然后从计算机科学的角度分析了人体免疫系统的免 疫机理和从中抽象提取的算法，与入侵检测系统应具有的特性进行比较，从而建立入 侵检测系统与人体免疫系统之间的映射关系，使基于免疫机理的入侵检测模型的研究 建立在一个科学的平台上： 二是研究基于人工免疫的入侵检测系统模型。通过对现有基于免疫原理的入侵检 测模型分析研究，运用集合理论的相关知识，分析了模型的数学描述，对模型的框架 结构、工作原理、检测算法以及模型的特点和存在的问题进行了详细的分析； 三是利用仿真实验来进一步研究基于免疫机理的入侵检测模型。构造仿真实验所 需的数据通用结构，通过实验，来进一步研究上述模型，对于主要参数做出定量和定 性的分析，验证它的可用性与先进性； 四是通过相关理论分析和仿真实验结果，提出自己对基于人工免疫的入侵检测模 型改进的设想和下一步工作的方向。 1 5 论文组织结构 本文提出了一种基于人工免疫的入侵检测系统模型，并介绍了相关的原理及技 术。论文的结构如下： 第一章，讲述了论文的背景，包括网络安全概述，入侵检测技术和人工免疫系统 的国内外的研究现状。论文主要的研究内容。 第二章，介绍了入侵检测技术的基本概念，入侵检测系统和入侵检测技术的分类， 并指出了现有入侵检测技术的局限性以及它的发展趋势。 第三章，介绍了生物免疫系统原理，包括免疫系统的组成，免疫细胞等基本概念， 以及免疫耐受、免疫应答和免疫记忆等免疫机制，最后总结了免疫系统的重要特征。 第四章，介绍人工免疫系统的概况，它的基本概念，重点介绍了否定选择算法和 克隆选择算法，另外描述了本文将要用到的匹配规则。 第五章，提出一个基于人工免疫的入侵检测系统模型，包括它的基本思想，理论 框架，实现算法和漏洞问题的解决方案，并初步分析了模型的特点。 第六章，利用仿真实验验证本文模型的可用性和先进性，并根据参数做出定量分 析。 第七章，对全文总结。 信息技术的普及，计算机网络的广泛应用，大大地加快了社会前进的脚步。然而， 它也给人类社会带来了很大的问题。利用计算机进行的计算机入侵攻击活动从2 0 世 纪6 0 年代末开始出现，并表现得越来越智能化，越来越难以防范。因此，有必要对 计算机入侵检测技术进行深入的研究和应用。随着仿生计算概念的提出，从生物系统 基于人工免疫的入侵检测系统模型研究 中被获得了越来越多的设计灵感。人工免疫理论在计算机安全领域被越来越多的人所 关注，其中基于免疫理论的入侵检测技术在国际、国内都已经开始了广泛研究，并得 到快速发展。 本文按照事物发展的逻辑顺序，分别介绍了传统入侵检测技术和生物免疫原理， 并最终提出一个基于免疫原理的入侵检测模型，并通过模型仿真实验证明了它的可用 性与先进性。 基于人工免疫的入侵检攫9 系统模型研究 第二章入侵检测技术概述 入侵检测技术是主动保护自己免受攻击的一种网络安全技术。作为防火墙的合理 补充，入侵检测技术能够帮助系统对付网络攻击，扩展系统管理员的安全管理能力， 提高信息安全基础结构的完整性。本章将对入侵检测技术的相关知识进行介绍。 2 1 基本概念 入侵( i n t r u s i o n ) 是个广义的概念，不仅包括发起攻击的人( 如恶意的黑客) 所 取得超出合法范围的系统控制权，也包括收集漏洞信息，造成拒绝访问或拒绝服务等 对计算机系统有危害的行为。入侵行为不仅指来自外部的攻击行为，同时也指内部用 户的未授权活动。如非法盗用他人账户，非法获得系统管理员权限，修改或删除系统 文件等。 入侵检测( i n t r u s i o nd e t e c t i o n ) 1 7 j 的概念首先是由j a m e s a n d e r s o n 于1 9 8 0 年提出 来的。入侵检测是对企图入侵、正在进行的入侵和已经发生的入侵进行识别的过程。 它从计算机系统或者网络中收集、分析信息，检测任何企图破坏计算机资源的完整性， 机密性和可用性的习惯行为，查看是否有违反安全策略的行为和遭到攻击的迹象，并 做出相应的反应。 入侵检测系统( i n t r u s i o nd e t e c t i o ns y s t e m ) 在国际计算机安全协会i c s a ( i n t e r n a t i o n a lc o m p u t e rs e c u r i t y a s s o c i a t i o n ) 的入侵检测系统论坛上被定义为：入侵 检测系统是一种通过从计算机网络或计算机系统中的若干关键点收集信息并对其进 行分析，从中发现网络或系统中是否有违反安全策略的行为和遭到袭击迹象的安全技 术。 图2 - 1 入侵检测系统原理图 入侵检测系统的原理如图2 - 1 所示，作为一个成功的入侵检测系统，不仅可使系 统管理员时刻了解网络系统( 包括程序、文件和硬件设备等) 的任何变更，还能给网络 安全策略的制订提供依据，而且它应该管理配置简单，使非专业人员也可以容易地完 成配置管理。入侵检测的规模还应根据网络规模、系统构造和安全需求的改变而改变。 入侵检测系统在发现入侵后，应及时做出响应，包括切断网络连接，记录事件和报警 等，保证网络安全稳定地运行。 7 基于人工免疫的入侵检测系统模型研究 2 2 入侵检测系统的分类 根据入侵检测所要处理的信息来源的不同可以将入侵检测系统分为两大类：基于 主机的( h o s t - b a s e di n t r u s i o nd e t e c t i o ns y s t e m ，h i d s ) 和基于网络的( n e t w o r k 。b a s e d i n t r u s i o nd e t e c t i o ns y s t e m n i d s ) 。 2 2 1 基于主机的入侵检测系统 基于主机的入侵检测系统模型如图2 2 所示： 图2 - 2 基于主机的入侵检测系统模型 作 基于主机的入侵检测系统主要用于保护运行关键应用的服务器。它通过监视与分 析主机的审计记录和日志文件来检测入侵。日志中包含发生在系统上的不寻常和不期 望的活动的证据，这些证据可以指出有人正在入侵或已成功入侵了系统。通过查看日 志文件，能够发现成功的入侵或入侵企图，并很快地启动相应应急程序。通常，基于 主机的入侵检测系统可以监测系统、事件、w i nn t 下的安全记录以及u n i x 环境下的 系统记录，从中发现可疑行为。当有文件发生变化时，入侵检测系统将新的记录条目 与攻击标记相比较，看它们是否匹配。如果匹配，系统就会向管理员报警，并向别的 目标报告，以采取措旖。 主机入侵检测系统的优点： 主机入侵检测系统对分析“可能的攻击行为”非常有用。举例来说，有时候它除 了指出入侵者试图执行一些“危险的命令”之外，还能分辨出入侵者干了什么事：他 们运行了什么程序、打开了哪些文件、执行了哪些系统调用。主机入侵检测系统与网 络入侵检测系统相比通常能够提供更详尽的相关信息。 主机入侵检测系统通常情况下比网络入侵检测系统误报率要低，因为检测在主机 上运行的命令序列比检测网络流更简单，系统的复杂性也小得多。 主机入侵检测系统可部署在那些不需要广泛的入侵检测、传感器与控制台之间的 通信带宽不足的情况下。主机入侵检测系统在不使用诸如“停止服务”、“注销用户” 基于人工免疫的入侵检测系统模型研究 等响应方法时风险较少。 主机入侵检测系统的弱点： 主机入侵检测系统安装在我们需要保护的设备上。举例来说，当一个数据库服务 器要保护时，就要在服务器本身上安装入侵检测系统。这会降低应用系统的效率。此 外，它也会带来一些额外的安全问题，安装了主机入侵检测系统后，将本不允许安全 管理员有权力访问的服务器变成他可以访问的了。 主机入侵检测系统的另一个问题是它依赖于服务器固有的日志与监视能力。如果 服务器没有配置日志功能，则必需重新配置，这将会给运行中的业务系统带来不可预 见的性能影响。全面部署主机入侵检测系统代价较大，企业中很难将所有主机用主机 入侵检测系统保护，只能选择部分主机保护。那些未安装主机入侵检测系统的机器将 成为保护的盲点，入侵者可利用这些机器达到攻击目标。 主机入侵检测系统除了检测自身的主机以外，根本不检测网络上的情况。对入侵 行为的分析的工作量将随着主机数目增加而增加。 2 2 2 基于网络的入侵检测系统 基于网络的入侵检测系统模型如图2 3 所示： 图2 - 3 基于网络的入侵检测系统模型 基于网络的入侵检测系统主要用于实时监控网络关键路径的信息，它监听网络上 的所有分组，采集数据，分析可疑现象。基于网络的入侵检测系统使用原始网络包作 为数据源。其通常利用一个运行在混杂模式下的网络适配器来实时监视，并分析通过 网络的所有通信业务，当然也可以采用其他特殊硬件获得原始网络包。目前，大部分 入侵检测产品是基于网络的。 网络入侵检测系统的优点： 网络入侵检测系统能够检测那些来自网络的攻击，它能够检测到超越授权的非法 访问。一个网络入侵检测系统不需要改变服务器等主机的配置。由于它不会在业务 系统的主机中安装额外的软件，从而不会影响这些机器的c p u 、i 0 与磁盘等资源的 使用，不会影响业务系统的性能。 由于网络入侵检测系统不像路由器、防火墙等关键设备方式工作，它不会成为系 基于人工免疫的入侵检测系统模型研究 统中的关键路径。网络入侵检测系统发生故障不会影响正常业务的运行。部署一个网 络入侵检测系统的风险比主机入侵检测系统的风险少得多。 网络入侵检测系统近年内有向专门的设备发展的趋势，安装这样的一个网络入侵 检测系统非常方便，只需将定制的设各接上电源，做很少一些配置，将其连到网络上 即可。 网络入侵检测系统的弱点： 网络入侵检测系统只检查它直接连接网段的通信，不能检测在不同网段的网络 包。在使用交换以太网的环境中就会出现检测范围的局限。而安装多台网络入侵检测 系统的传感器会使部署整个系统的成本大大增加。 网络入侵检测系统为了性能目标通常采用特征检测的方法，它可以检测出普通的 一些攻击，而很难实现一些复杂的需要大量计算与分析时间的攻击检测。 网络入侵检测系统处理加密的会话过程较困难，目前通过加密通道的攻击尚不 多，但随着i p v 6 的普及，这个问题会越来越突出。 2 2 3 分布式入侵检测系统 分布式入侵检测系统( d i s t r i b u t e di n t r u s i o nd e t e c t i o ns y s t e m ，d i d s ) 一般指的是 部署于大规模网络环境下的入侵检测系统，任务是用来监视整个网络环境中的安全状 态，包括网络设施本身和其中包含的主机系统。目前分布式入侵检测主要系统分为三 类：集中型，层次型和协作型。 集中型分布式入侵检测系统由一个位于中央的入侵检测服务器和分布在每个本 地主机上的简单主机审计程序共同组成。绝大多数的审计数据是由分散的主机审计程 序收集后传送到位于中央的入侵检测服务器，由服务器对这些数据进行分析。但是数 量巨大的审计数据都由中央服务器来处理显然是不合适的，因此，这类入侵检测系统 的可扩展性、健壮性和可配置性都存在缺陷。 层次型分布式入侵检测系统定义了一系列监测区域，每一区域有一个专门负责的 分析数据的i d s 。区域的划分可以根据地理位置、管理功能、软件平台的类型以及预 处理的入侵方式等。与集中型不同的是层次型分布式入侵检铡并不是将从本地主机收 集到的所有审计数据传送到一个中央i d s 上，而是由每个监测区域的i d s 来分析本 区域的主机的审计数据，并将分析结果传送上一层的i d s 。层次型入侵检测系统通过 分层分析很好地解决了集中型入侵检测系统的不可扩展性问题。但是，当网络的拓扑 结构发生变化，网络的层次和汇总局部分析报告的整体机制也必须变化。 协作型分布式入侵检测系统试图将单个中央入侵检测服务器的职责分配给若干 个相互协作的基于主机的入侵检测系统。每个i d s 只负责监视本地主机的某一个方面 的情况。所有的1 d s 并发执行并且相互协作。这些i d s 能够产生一致性的推论并制 定全局性的决策。协作型分布式入侵检测系统不同于层次型之处在于分布式的局部 i d s 之间没有层次高低之分，任何一个局部i d s 的失效都不会导致系统攻击检测的失 败。但是，这种方法的问题是本地主机之间的通信机制、审计机制以及审计数据的分 析机制的优劣直接影响协作型分布式入侵检测系统的效率。 2 3 入侵检测技术的分类 在入侵检测技术领域，有很多研究人员将入侵检测技术与入侵检测系统相混淆， 1 0 基于人工免疫的入侵检测系统模型研究 但这却是两个不同的概念。入侵检测技术主要研究使用什么样的方法来检测入侵行 为；入侵检测系统是根据一定的监视对象构建的执行检测任务的系统。本节要讨论的 入侵检测技术主要分为两大类：异常( a n o m a l y ) 入侵检测和误用( m i s u s e ) 入侵检 测【2 l 。 2 3 1 异常入侵检测技术 异常入侵检：澳0 s l 9 1 是指根据本地计算机和网络系统中的异常行为和使用资源的情 况来检测入侵的方法。异常入侵检测的假设条件是对攻击行为的检测可以通过观察当 前活动与系统历史正常活动情况之间的差异来实现。异常入侵检测通常都会建立一个 关于系统正常活动的状态模型并不断进行更新，然后将用户当前的活动情况与这个正 常模型进行对比，如果发现了超过设定阀值的差异程度，则指示发现了非法攻击行为。 通常异常入侵检测分为：静态异常检测和动态异常检测。 此类检测技术的优点在于它能够发现任何企图发掘、试探系统最新和未知漏洞的 行为，同时在某种程度上，它较少依赖于