（计算机应用技术专业论文）基于免疫原理的网络入侵检测系统的研究.pdf

武汉理工大学硕士学位论文 中文摘要 随着互联网的迅猛发展，网络的安全性问题愈来愈重要。目前解决网络安 全问题的主要技术手段有口令认证、加密技术、安全审计和防火墙技术等，它 们在防御网络入侵方面有一定的作用。网络安全是综合性的技术，单纯依靠一 些防御工具不能满足全部的安全要求。入侵检测系统应运而生：它主要通过监 控网络、系统行为以及系统的使用情况，来检洳系统用户的越权使用以及系统 外部的入侵者利用系统的安全缺陷对系统进行入侵的企图。目前多数商业化的 入侵检测产品多是采用简单模式匹配技术，只能检测出己知的攻击模式。而基 于免疫原理的入侵检测系统能够利用不完备信息检测异常现象，能够检测出未 知的攻击模式。本论文围绕怎样构建一个基于免疫原理在入侵检测系统展开了 深入的研究，主要工作如下： l 、首先介绍了入侵检测系统功能、组成、原理和分类，对现有的入侵检测 技术和方法进行了分析说明，指出了入侵检测系统的发展方向。 2 、其次深入分析了人体免疫系统中的基因重组、特异识别、阴性选择、克 隆选择、免疫记忆等主要工作原理和机制，并对人体免疫系统和入侵检测系统 进行了比较和分析，从而说明了为什么能够将人体免疫学的思想引入入侵检测 系统研究领域。 3 、然后深入研究了k i m b e n t l e y 的基于免疫原理的入侵检测系统，针对 该系统不能对再次入侵的抗原进行快速检测的问题，提出了一个新型的网络入 侵检测系统的人工免疫模型，构建一个基于该模型的入侵检测系统。该系统具 有分布性、健壮性、自组织性的特点，不但对于异常行为能及时发现和示警， 而且可以快速检测到已知的入侵活动。 4 、最后详细研究了f o r r e s t 的r 位连续匹配阴性选择算法，通过理论分析 和仿真实验说明了问题产生的原因。针对这些问题提出了一种改进的阴性选择 算法，实验结果表明了改进后的阴性选择算法所得的检测器集合中不存在重复 冗余现象，能保证用最少的检测器去尽可能大地覆盖非己空间。 关键字：免疫原理，入侵检测，阴性选择算法 武汉理工大学硕士学位论文 a b s t r a c t w i t ht h er a p i dd e v e l o p m e n to fi n t e r n e t ，i t ss e c u r i t yi s s u e sb e c o m ei m p o r t a n t i n c r e a s i n g l y a tp r e s e n t ，t h em a i nt e c h n i q u e sw h i c hs o l v en e t w o r ks e c u r i t yi n c l u d e p a s s w o r da u t h e n t i c a t i o n ，e n e r y p t i o nt e c h n o l o g y , s e c u r i t y a u d i ta n df i r e w a l l t e c h n o l o g y , w h i c hp l a yc e r t a i nr o l e si nd e f e n d i n gn e t w o r ka g a i n s ti n t r u s i o n h o w e v e r , n e t w o r ks e c u r i t yi sa ni n t e g r a t e dt e c h n o l o g ya n dc a nn o ts i m p l yr e l yo ns o m e d e f e n s i v et o o l st om e e ta l ls e c u r i t yr e q u i r e m e n t s s oi n t r u s i o nd e t e c t i o ns y s t e m ( i d s ) c a n l ei n t ob e i n gi no r d e rt od e t e c tu l t r au s e r so fs y s t e m sa n di n t r u d e r sw h ou t i l i z e s e c u r i t yh o l e sb ym o n i t o r i n gt h en e t w o r k sb e h a v i o r sa n dt h et r a f f i cc o n d i t i o no ft h e s y s t e m n o w , m o s tc o m m e r c i a li n t r u s i o nd e t e c t i o np r o d u c t sw h i c ha d o p ts i m p l e p a t t e r nm a t c h i n gt e c h n o l o g yo n l yc a nd e t e c tk n o w na t t a c k i n gp a t t e r n s h o w e v e r , i m m u n e b a s e d1 d sc a nd e t e c tu n k n o w na t t a c k i n g p a t t e r n su s i n gi n c o m p l e t e i n f o r m a t i o n w ed e e p l yr e s e a r c ho nh o wt oc o n s t r u c tt h ei m m u n e b a s e di d s ，t h e m a i nw o r ki nt h i sd i s s e r t a t i o nf o l l o w sa s 1 f i r s t l y , t h ef u n c t i o n ，m a k e u p ，p r i n c i p a la n dc l a s s i f i c a t i o no ft h ei d sa r e i n t r o d u c e d t h ee x i s t i n gt e c h n i q u e sa n dm e t h o do fi n t r u s i o nd e t e c t i o na r ea n a l y z e d ， a n dt h ed e v e l o p m e n ti nw h i c ht h ei d sw i l lf o l l o wi nt h ef u t u r ei sp o i n t e do u t 2 s e c o n d l y ，w ed e e p l ya n a l y z et h em e c h a n i s mo fh o wt h ei m m u n es y s t e m w o r k ss u c ha sg e n er e o r g a n i z a t i o n ，d i f f e r e n c er e c o g n i t i o n ，c l o n es e l e c t i o na n d i m m u n em e m o r y b yc o m p a r i n gw i t ht h es i m i l a r i t i e sb e t w e e ni m m u n es y s t e ma n d i d s ，w ed e m o n s t r a t e dt h a ti ti s an e wm e t h o dt os o l v et h ep r o b l e m si ni d sb y i n t r o d u c i n gt h ei m m u n ep r i n c i p a l 3 t h i r d l y , w ed ot h er e s e a r c ho nt h ei m m u n e - b a s e di d si n i t i a l l yb r o u g h t f o r w a r db yk i ma n db e n t l e y a i m i n ga tt h ep r o b l e mt h a tt h ei d sc a n n o td e t e c t r e i n t r u s i o nv e r yq u i c k l y , w ec o n s t r u c t e da ni m m u n em o d e lf o rn i d sa n dd e s i g n e d i d sb yt h i sm o d e l t h ei d si sd i s t r i b u t e d ，r o b u s ta n da u t o o r g a n i z a t i o n ，w h i c hn o t o n l yd e t e c t st h ea n o m a l yb e h a v i o r s ，b u ta l s or a p i d l yd e t e c t st h ek n o w ni n v a s i o n 4 f i n a l l yw es t u d yt h ed e t a i l so fn e g a t i v es e l e c t i o na l g o r i t h ma d o p t i n gt h e 武汉理工大学硕士学位论文 r - c o n s e c u t i v em a t c h i n gm e t h o d , a n df i n do u tt h ec a u s e so ft h ep r o b l e m b yt h e o r e t i c a l a n a l y s i sa n ds i m u l a t i o ne x p e r i m e n t s an e wn e g a t i v es e l e c t i o na l g o r i t h mi sp r o v i d e d i n t h i sp a p e r t h i sa l g o r i t h mi m p r o v e st h ee f f i c i e n c yb ye l i m i n a t i n gt h er e d u n d a n t d e t e c t o r , a n da tt h es a m et i m ee n s u r e st oc o v e rt h en o n s e l fs p a c ea sm u c ha sp o s s i b l e k e yw o r d s ：i m m u n ep r i n c i p l e ，i n t r u s i o nd e t e c t i o n ，n e g a t i v es e l e c t i o na l g o r i t h m 武汉理工大学硕士学位论文 第一章绪论 1 1 选题的背景和意义 随着信息技术和计算机网络的发展，世界已步入信息网络化时代。计算机 网络在各国的政治、军事、金融、商业、交通、通信、文教等方面均扮演着举 足轻重的角色。由于各种新业务的不断兴起，如电子商务、网上银行，使得信 息化社会对计算机网络的依赖目益增强的同时，与之伴随而来的就是信息和网 络安全的问题。为了保护国家的政治利益和经济利益，各国政府都非常的重视 信息和网络安全，促使信息和网络安全成为一个世纪性和全球性的研究课题。 由于信息和网络安全问题本身的复杂性和威胁信息安全途径的多样性，使 得人们几乎不可能设计出一个绝对安全的系统，因此各种新的技术和老的技术 在很长时间里要共存，去共同保障信息和网络的安全。关于网络安全问题目前 存在许多专门技术，如口令认证、加密技术、安全审计、防火墙等等。总的来 说这些技术被证明非常有效并被沿用至今，但是它们都属于一种静态的被动的 防御系统。而静态防御中过于严格的安全策略是以牺牲用户的方便性为代价的， 与目前网络的开放、共享发展不相容，很难做到一个好的利弊权衡。如防火墙 是网络上使用最多的安全设备，它大大的简化的人们对网络的管理，安全性较 高，但它并不是万能的。首先，很多入侵者可以找到防火墙的漏洞，然后绕过 漏洞对系统造成威胁。更重要的是，绝大多数的系统威胁都来自于内部，而防 火墙对于这种来自于系统内部的攻击总是无能为力。 信息和网络的安全在传统技术不能解决问题的前提下，人们把目光投向了 主动防御技术。因此2 0 世纪7 0 年代入侵检测技术作为一种主动防御技术被提 出，作为信息安全技术的重要组成部分，与其他安全策略、安全技术相比较， 入侵检测系统是比较新的技术，是传统信息安全机制的重要补充。入侵检测技 术是对计算机或计算机网络系统进行攻击的行为的识别及响应过程t ”。入侵检 测系统主要通过监控网络、系统行为以及系统的使用情况，来检测系统用户的 越权使用以及系统外部的入侵者利用系统的安全缺陷对系统进行入侵的企图。 武汉理工大学硕士学位论文 虽然入侵检测技术发展到今天已经取得了很大的进展，出现了不少的优秀 入侵检测工具，同时能够在很大程度上抵御入侵攻击，但不可否认现有的入侵 检测技术还是存在着很多不足。如误警率较高，检测速度慢，时效性低，与其 他信息安全技术交互性不强等。针对这些不足，国内外许多学者已经做了许多 研究，引入了人工智能的一些方法如神经网络、数据挖掘、演化计算及计算机 免疫等来解决在入侵检测中遇到的问题。 其中计算机免疫是受到生物免疫机制的启发而来的。生物免疫系统是一个 非常重要和复杂的防御机制，它保护生物体免受病毒、细菌等外来传染疾病的 威胁，是具有高分布式特性的自适应系统。生物免疫系统的这些优良特性( 自 适应性，自组织性，自学习性，动态性) 被计算机安全专家应用到解决计算机 安全的问题上，能够克服传统技术中存在的一些缺陷，实现对未知攻击的实时 防御，且其动态性也使它能针对系统环境做出相应的变化。正因为这些特性， 生物免疫系统为建立一个计算机异常检测系统或者构造一个具有免疫功能的系 统提供了一个崭新思路和有效的方法。 1 2 国内外研究现状 正如我们所知道的，当今许多研究课题已经不是单靠一个领域的理论和方 法能够解决的，需要各种科学技术的相互交叉、渗透。信息安全的复杂性和重 要性促使人们不断寻求新的方法和手段。由于免疫系统具有许多复杂的、对实 际工程问题很有启发的功能，比如模式识别功能、记忆能力、学习能力、多样 性产生能力、噪声耐受、泛化、分布式诊断和优化等等，通过研究和借鉴生物 免疫系统而发展起来的人工免疫系统已经用于解决许多不同的工程问题。 目前，主要有三个小组致力于基于免疫原理的入侵检测系统的研究：美 国u n i v e r s i t yo fn e wm e x i c o 的f o r r e s t ，h o f m e y r d 、组；美国u n i v e r s i t yo f m e m p h i s 的d a s g u p t a d 、组；英国u n i v e r s i t yc o l l e g el o n d o n 的k i m b e n t l e y 小组。 最早将免疫原理应用于计算机安全和病毒检测是s f o r r e s t 。1 9 9 4 年，她 发表了计算机中“自我”和“非我”的区分这篇文章，为人们掀开了研究 该领域理论的序幕。她将计算机系统保护问题与免疫系统学习区分自体一非自 体相比较，提出了阴性选择算法。该算法通过产生大量的对自体无害的检测器， 2 武汉理工大学硕士学位论文 将非我( 未授权用户、病毒等) 从自我( 合法用户、保护数据文件等) 中区分 开来 2 1 ，从而实现对计算机系统的保护。这种方法可以检测到新的入侵，因此 属于异常入侵检测，但是它难以建立有效的正常行为模式和检测方法。为了解 决这些难题，研究者进一步研究免疫原理，在此基础上提出了很多方法和模型。 由于计算机安全系统保护台机器或一组机器不受入侵者外部代码的破坏 与免疫系统保护人体不受有害微生物侵害的功能类似，在1 9 9 9 年，f o r r e s t 和 她的学生h o f m e y r 在以前工作的基础上提出了一个融合了多种免疫系统性质的 人工免疫系统模型( a r t i s ，a r t i f i c i a li m m u n es y s t e m ) 。a r t i s 包括了生物免 疫系统的多样性、分布式计算、错误耐受、动态学习、适应性和自我监测等特 征，是分布式自适应系统的一般框架，可以独立与任何特殊问题。为了验证 a r t i s 的性能，2 0 0 2 年h o f m e y r 开发了一个网络安全系统( l i s y s ，l i g h t w e i g h t i n t r u s i o nd e t e c t i o ns y s t e m ) 6 , 7 1 。l i s y s 通过检测广播局域网( ( l a n ) 中 的t c p 协议的同步( ( s y n ) 数据包来实现对于网络中的异常的检测。当系统检测 到不寻常的网络连接的时候，检测程序通过发送邮件的方式通知指定的用户系 统中有异常出现，被指定的用户则根据自身经验来判断该异常网络连接就是出 现了问题还是只是偶然出现的异常情况1 8 j 。虽然该系统还存在不少的不足，但 是已经能够在一定程度上实现对免疫系统的模仿。 k i m b e n t l e y - - 直致力于研究受免疫系统启发的网络入侵检测系统。1 9 9 9 年，他们提出一个网络入侵系统的完整的人工免疫模型，同时指出一个成功的 网络入侵检测系统应该满足三个设计目标：分布的( d i s t r i b u t i o n ) 、自组织 ( s e l f - o r g a n i z a t i o n ) 的和轻量级( b e i n gl i g h t w e i g h t ) 。该系统主要由主i d s 和 各个主极上的检测代理组成，并被分成三个不同的进化阶段：基因库进化( g e n e r e v o l u t i o n ) 、阴性选择( n e g a t i v es e l e c t i o n ) 和克隆选择( c l o n a ls e l e c t i o n ) 9 , 1 0 , 1 1 , 1 2 】。第一阶段即基因库进化模拟进化的第一阶段，主要是学习当前已存在 抗原的知识。第二阶段阴性选择阶段，这一阶段产生多种不同的候选检；贝4 器， 并从中选择出成熟的检测器。不过，他们采用了一个新的阴性选择算法一- 4 生境阴性选择算法( n s aw i t hn i c h i n g ) 1 3 l ，该算法是通过检测器朝非字体方向的 进化而取代检测器的随机产生的。这一阶段还将唯一的检测器集传递给各个主 机的检测代理。第三阶段即克隆选择阶段使用有限数目的检测器检测各种入侵， 并产生记忆检测器。另外，这一阶段同时也推动主i d s c p 基因库的进化，因此他 们提出的这个模型具有很强的自学习能力，但是由于各个主机的检测代理和主 武汉理工大学硕士学位论文 i d s 通信代价较高，反给来也影响了自学习能力。 d a s g u p t a 小组在1 9 9 9 年提出过一个基于免疫的入侵检测系统模型，这是 一个分布性、流动性、合作性和适应性的多a g e n t 系统模型，同时利用系统级、 用户级和进程级的a g e n t ，通过协同实现入侵检测【1 4 , 1 5 i 。由于该模型实现带来 的负载非常大，因此实现的可行性较小。d a s g u p t a 小组于2 0 0 1 年又提出了一 种实现网络入侵检测的免疫遗传模型【16 ，1 7 , 1 8 , 1 9 j ，其检测器通过遗传算法产生， 每次从新生产的检测器中按一定比例选择同现有各检测器重叠最少的，使之成 为最优检测器，并加入到现有检测器集合中，直到达到给定检测器规模。他们 通过实验证明该算法对检测实际网络通信数据的异常状况是有效的。 国内基于免疫原理的入侵检测系统研究才刚剐起步。主要工作有中国科学 院的信息安全国家重点实验室、武汉大学软件工程国家重点实验室等。中国科 学院信息安全国家重点实验室主要工作是将基因规划引入了基于系统调用序列 的免疫模型中，通过基因规划来建立正常行为模式，并且取得了较好的效率【删。 武汉大学提出了基于多代理的计算机安全免疫系统检测模型及对s e l f 集构造和 演化方法，并且在“自我”、“非我”的识别规则上进行研究，提出用演化挖掘 的方法提取规则；借鉴了大自然食物链的一些特征，建立了一种多识别器协同 识别的模型 2 1 , 2 2 , 2 3 2 4 2 5 , 2 6 1 。 1 3 本文的研究内容 本文主要探讨如何构建一个基于免疫原理的网络入侵检测系统。主要研究 内容如下： 一、深入分析了人体免疫系统中的基因重组、特异识别、阴性选择、克隆 选择、免疫记忆等主要工作原理和机制，并对人体免疫系统和入侵检测系统进 行了比较和分析，从而说明了为什么能够将人体免疫学的思想引入入侵检测系 统研究领域。 二、深入研究了k i m b e n t l e y 的基于免疫原理的入侵检测系统，针对该 系统不能对再次入侵的抗原进行快速检测的问题，提出了一个毅型的网络入侵 检测系统的人工免疫模型，构建一个基于该模型的入侵检测系统。该系统不但 可以快速检测到已知的入侵活动，而且对于异常行为能及时发现和示警。 三、详细研究了f o r r e s t 的r 位连续匹配阴性选择算法，通过理论分析和仿 4 武汉理工大学硕士学位论文 真实验说明了问题产生的原因。针对这些问题提出了一种改进的阴性选择算法， 实验结果表明了改进后的阴性选择算法所得的检测器集合中不存在重复冗余现 象，能保证用最少的检测器去尽可能大地覆盖非己空间。虽然产生检测器比原 算法费时些，但是由于检测器数量的减少，在实时检测阶段具有更高的检测效 率。 1 4 本文的结构 本文后续章节组织如下： 第二章论述了入侵检测系统的术语、功能、组成、原理和分类，对现有的 入侵检测技术和方法进行了分析说明，指出了入侵检测系统的发展方向。 第三章重点介绍人体免疫系统的主要机制，尤其是适应性免疫系统的机制， 包括基因重组、特异识别、阴性选择、克隆选择、免疫记忆等机制。其次简单 介绍人工免疫系统的特点，并分析了免疫系统和入侵检测系统的相似性。 第四章提出了一个基于免疫原理的网络入侵检测模型，并对模型中的一些 问题进行了深入讨论。重点研究了入侵检测器生成算法并对之改进，在仿真实 验中取得了较好的效果。 武汉理工大学硕士学位论文 第二章入侵检测系统 2 1 入侵检测系统简介 入侵检测系统( i d s ，i n t r u s i o nd e t e c t i o ns y s t e m ) 用来识别针对计算机 系统和网络系统，或者更广泛意义上的信息系统的非法攻击，包括检测外界非 法入侵着的恶意攻击或试探，以及内部合法用户的超越使用权限的非法行为。 它是对种主动防御系统，是对传统的信息安全技术的一种有效的补充。使用 i d s 的目的各有不同。有的人是对法律方面的事务感兴趣，包括对入侵者的跟 踪、定位和起诉，而有些人使用i d s 是为了保护自己重要的计算资源。还有一 些使用者则是对发现和纠正系统安全漏洞更加感兴趣。 2 1 1 入侵检测系统的功能 对一个成功的入侵检测系统来讲，它不但可使系统管理员时刻了解网络系 统( 包括程序、文件和硬件设备等) 的任何变更，还能给网络安全策略的制订 提供指南。更为重要的一点是，它应该管理、配置简单，从而使非专业人员非 常容易地获得网络安全。而且，入侵检测的规模还应根据网络威胁、系统构造 和安全需求的改变而改变。入侵检测系统在发现入侵后，会及时做出响应，包 括切断网络连接、记录事件和报警等。具体来说，入侵检测系统的主要功能有： 监测并分析用户和系统的活动： 核查系统配置和漏洞； 评估系统关键资源和数据文件的完整性； 识别已知的攻击行为； 统计分析异常行为； 操作系统日志管理，并识别违反安全策略的用户活动。 武汉理工大学硕士学位论文 2 1 2 入侵检测系统的组成和原理 从功能逻辑上讲，入侵检测系统由探测器( s e n s o r ) 、分析器( a n a l y z e r ) 和 用户接口( u s e ri n t e r f a c e ) 三个功能模块组成。下面分别对这三个模块进行简 要介绍。 1 、探测器( s e n s o r ) 探测器主要负责收集数据。深测器的输入数据流包括任何可能包含入侵行 为线索的系数数据，比如说网络数据包、日志文件和系统调用记录等。探测器 将这此数据收集起来、然后发送到分析器进行处理。 2 、分析器( a n a l y z e r ) 分析器又可称为检测器，它负责从一个或多个探测器处接受信息，并通过 分析来确定是否发生了非法入侵行为。分析器组件的输出为标识入侵行为是否 发生的指示信号，例如一个警告信息。该指示信号中还可能包括相关的证据信 息。另外，分析器组件还能够提供关于可能的反应措施的相关信息。 3 、用户接口( u s e ri n t e r f a c e ) i d s 的用户接口使得用户易于观察系统的输出信号，并对系统行为进行控 制。在某些系统中，用户接口又可以成为“管理器”、“控制器”或者“控制台” 等。 除了以上3 个必要组件之外，某些i d s 可能还包括一个所谓的“蜜罐” ( h o n e y p o t ) 诱饵机。诱饵机被设计和配置成为具有明显的系统安全漏洞，并 对攻击者明显可见。诱饵机能够作为i d s 中一个专门提供给攻击者进行入侵的 探测器来使用，从而提供关于某次攻击行为发生过程的相关信息。 入侵检测一般分为3 个步骤，依次为信息收集、数据分析、响应( 被动响 应和主动响应) 。相应地，i d s 一般由信息收集、数据分析、响应三个功能模块 组成，分别承担上述3 个步骤的任务。i d s 的工作原理如图2 1 所示，它的三 个功能模块是相辅相成的，信息收集模块为分析引擎提供原始数据，分析引擎 执行实际的入侵或异常行为检测，并将结果提交给响应模块，后者采取必要和 适当的措施，阻止进一步的入侵行为或恢复被损害的系统。响应模块可以按照 预定的策略反作用于信息收集模块和分析引擎，例如可以设置信息收集模块的 过滤控制参数以屏蔽掉一些干扰数据，或者依据运行时数据调整分析引擎的检 测规则以适应新的环境。 7 武汉理工大学硕士学位论文 图2 1 入侵检测系统原理图 2 1 。2 入侵检测系统的分类 通过对现有的入侵检测系统和技术的研究，可以从下面几个方面对入侵检 测系统进行分类【4 “。 一、按照信息收集模块的数据来源，i d s 可以分为基于主机的i d s 和基于 网络的i d s 。基于主机的入侵检测系统用于保护关键应用的服务器，实时监视 可疑的连接、系统日志、非法访问的闯入等，并且提供对典型应用的监视，如 w e b 服务器应用。基于主机的i d s 通常采用查看针对可疑行为的审计记录来执 行。它能够比较新的记录条目与攻击特征，并检查不应该改变的系统文件的校 验和分析系统是否被侵入或者被攻击。基于网络的i i ) s 主要用于实时监控网络 关键路径的信息。它可利用工作在混合模式下的网卡实时监视和分析所有通过 共享网络的传输。基于网络的i d s 一般被放置在比较重要的网段内，部分也可 以利用交换式网络中的端口映射功能来监视特定端口的网络入侵行为。一旦攻 击被检测到，响应模块按照配置对攻击做出反应。通常这些反应包括发送电子 邮件、寻呼、记录日志、切断网络连接等。主机数掘源的优势在于：针对性强、 检测准确性高、适于检测复杂的攻击、不受交换式网络环境和数据加密的影响， 8 武汉理上大学硕士学位论文 并且可以准确的判定攻击是否成功。网络数据源的优点在于：适用范围广、性 价比高、隐蔽性好、对主机和网络的性能影响较小，并且适于检测基于网络协 议的攻击方法。两种入侵检测系统都具有自己的优点和不足，互相可作为补充。 因此很多i d s 的同时采用来自主机和来自网络的数据源，形成一种混合形的系 统，这也是当前大型i d s 的发展趋势。 二、按照分析引擎所采用的分析技术的不同，i d s 分为误用检测和异常检 测两种类型。误用检测先对标识特定入侵的行为模式进行编码，建立误用模式 库( 也称攻击模式库) ，然后对实际检测过程中得到的审计事件数据进行过滤， 检查是否包含入侵行为的标识，分析过程主要采用模式匹配、专家系统、状态 转移法等技术。而异常检测利用数学手段建立系统或用户行为的正常模式，检 查收集到的安全审计数据中是否存在与之违背的异常模式，主要采用量化分析、 统计分析、非参量化统计分析、基于规则的检测、神经网络等技术。误用检测 的准确率较高，但只能检测己知的攻击模式；异常检测能发现新的攻击模式， 但难以得到完全干净的数据用于建立用户正常使用模式的数学特征，而且难以 确定用来判定用户行为是否异常的闽值。因为两种模式各有优缺点，而且具有 很强的互补性，所以现在的一些i d s 将两者结合起来，形成一种混合型的结构， 这是i d s 的又一个发展趋势。 三、按照响应策略的不同，i d s 可以分为主动响应和被动响应两种类型。 在主动响应的i d s 中，系统自动以用户设置的方式阻断攻击过程或以其它方式 影响攻击过程；而在被动响应i d s 中，系统只报告和记录发生的事件。主动响 应和被动响应并非相互独立，可以根据安全策略综合采用，即按照安全事件的 紧急程度采取相应的响应措施( 例如紧急事件采用主动响应，非紧急事件采用 被动响应) 。 四、按照体系结构的不同， d s 可以分为集中式、等级式和协作式三种类 型。集中式的i d s 可能有多个分布于不同主机上的审计程序，但只有一个中央 入侵检测服务器。审计程序把当地收集到的数据踪迹发送给中央服务器进行分 析处理。但这种结构的i d s 在可伸缩性、可配置性方面存在致命缺陷：第一， 随着网络规模的增加，主机审计程序和服务器之间传送的数据量就会骤增，导 致网络性能大大降低；第二，系统安全性脆弱，一旦中央服务器出现故障，整 个系统就会陷入瘫痪；第三，根据各个主机不同需求配置服务器也非常复杂。 等级式的i d s 用来监控大型网络，定义了若干个分等级的监控区，每个i d s 负 武汉理工大学硕士学位论文 责一个区，每一级i d s 只负责所监控区的分析，然后将当地的分析结果传送给 上一级i d s 。这种结构仍存两个问题：首先，当网络拓扑结构改变时，区域分 析结果的汇总机制也需要做相应的调整；第二，这种结构的i d s 最后还是要把 各地收集到的结果传送到最高级的检测服务器进行全局分析，所以系统的安全 性并没有实质性的改进。协作式的i d s 将中央检测服务器的任务分配给多个基 于主机的i d s ，这些i d s 不分等级，各司其职，负责监控当地主机的某些活动。 所以，其可伸缩性、安全性都得到了显著的提高，但维护成本却高了很多，并 且增加了所监控主机的工作负荷，如通信机制、审计开销、踪迹分析等。 2 2 入侵检测技术和方法 入侵检测技术一般分为误用检测和异常检测两种，不同入侵检测技术所用 的入侵检测方法是不同的。入侵检测系统常用的检测方法有如下几种： l 、特征检测 特征检测常用于误用检测。特征检测对已知的攻击或入侵的方式做出确定 性的描述，形成相应的事件模式。当被审计的事件与已知的入侵事件模式相匹 配时，即报警。原理上与专家系统相仿。其检测方法上与计算机病毒的检测方 式类似。目前基于对包特征描述的模式匹配应用较为广泛。该方法预报检测的 准确率较高，但对于无经验知识的入侵与攻击行为无能为力。 2 、统计检测 统计检测常用于异常检测。统计检测是通过为系统建立各种统计模型来实 现检测的。在统计模型中常用的测量参数包括：审计事件的数量、问隔时间、 资源消耗情况等。常用的入侵检测的5 种统计模型为： ( 1 ) 操作模型：该模型假设异常可通过测量结果与一些固定指标相比较得 到，固定指标可以根据经验值或段时间内的统计平均得到，举例来说，在短 时间内的多次失败的髓录很有可能是口令尝试攻击； ( 2 ) 方差模型：该模型计算参数的方差，设定其置信区间，当测量值超过置 信区间的范围时表明有可能是异常； ( 3 ) 多元模型：该模型是操作模型的扩展，通过同时分析多个参数实现检测； ( 4 ) 马尔柯夫过程模型：该模型将每种类型的事件定义为系统状态，用状态 转移矩阵来表示状态的变化，当一个事件发生时，或状念矩阵该转移的概率较 l o 武汉理工大学硕士学位论文 小则可能是异常事件； ( 5 ) 时间序列分析模型：该模型将事件计数与资源耗用根据时间排成序列， 如果一个新事件在该时间发生的概率较低，则该事件可能是入侵。 统计方法的最大优点是它可以“学习”用户的使用习惯，从而具有较高检 出率与可用性。但是它的“学习”能力也给入侵者以机会通过逐步“训练”使 入侵事件符合正常操作的统计规律，从而透过入侵检测系统。 3 、专家系统 专家系统主要用在误用检测。用专家系统对入侵进行检测，经常是针对有 特征入侵行为。所谓的规则，即是知识，不同的系统与设置具有不同的规则， 且规则之间往往无通用性。专家系统的建立依赖于知识库的完备性，知识库的 完备性又取决于审计记录的完备性与实时性。入侵的特征抽取与表达，是入侵 检测专家系统的关键。在系统实现中，将有关入侵的知识转化为if - t h e n 结构 ( 也可以是复合结构) ，条件部分为入侵特征，t h e n 部分是系统防范措施。运 用专家系统防范有特征入侵行为的有效性完全取决于专家系统知识库的完备 性。 4 、免疫系统 免疫系统主要用在异常检测。借鉴生物免疫系统的特点( 即识别自我 与非我的能力) ，利用计算机系统的某些特征属性来完成正常和异常行为的 识别。n m c 的f o r r e s t 小组等通过研究发现，对特定程序丽言，系统调用序列 相当稳定，可以充当自我与。非我识别的媒介。在此基础上，f o r r e s t 提 出短序列匹配法，用于计算实际系统调用序列与正常序列模式的相似程度。 5 、神经网络 神经网络主要用在异常检测。神经网络分析技术是一种非参量化的分析技 术。先构造用于入侵检测分析的神经网络，利用神经网络的自适应学习特性从 训练数据集得出正常行为模式，并存储在网络中；网络接收待检测的安全审计 数据，与存储在网络结构中的正常历史行为模式相比较，判断两者的偏离度。 神经网络技术和统计分析技术的某些相似之处已经被证明，而使用神经网络技 术的优势在于它能够以一种更加简洁快速的方式来表示各种状态变量之间的非 线性关系，同时，能够自动进行学习和更新训练的过程。 武汉理工大学硕士学位论文 2 3 入侵检测技术发展方向 无论从规模与方法上入侵技术近年来都发生了变化。入侵的手段与技术也 有了“进步与发展”。入侵技术的发展与演化主要反映在下列几个方面： 1 、入侵或攻击的综合化与复杂化。入侵的手段有多种，入侵者往往采取一 种攻击手段。由于网络防范技术的多重化，攻击的难度增加，使得入侵者在实 施入侵或攻击时往往同时采取多种入侵的手段，以保证入侵的成功几率，并可 在攻击实施的初期掩盖攻击或入侵的真实目的。 2 、入侵主体对象的间接化，即实施入侵与攻击的主体的隐蔽化。通过一定 的技术，可掩盖攻击主体的源地址及主机位置。即使用了隐蔽技术后，对于被 攻击对象攻击的主体是无法直接确定的。 3 、入侵或攻击的规模扩大。对于网络的入侵与攻击，在其初期往往是针对 于某公司或一个网站，其攻击的目的可能为某些网络技术爱好者的猎奇行为， 也不排除商业的盗窃与破坏行为。由于战争对电子技术与网络技术的依赖性越 来越大，随之产生、发展、逐步升级到电子战与信息战。对于信息战，无论其 规模与技术都与一般意义上的计算机网络的入侵与攻击都不可相提并论。信息 战的成败与国家主干通信网络的安全是与任何主权国家领土安全一样的重要。 4 、入侵或攻击技术的分布化。以往常用的入侵与攻击行为往往由单机执行， 由于防范技术的发展使得此类行为不能奏效。所谓的分布式拒绝服务( d d o s ) 在很短时间内可造成被攻击主机的瘫痪。且此类分布式攻击的单机信息模式与 正常通信无差异，所以往往在攻击发动的初期不易被确认。分布式攻击是近期 最常用的攻击手段。 5 、攻击对象的转移。入侵与攻击常以网络为侵犯的主体，但近期来的攻击 行为却发生了策略性的改变，由攻击网络改为攻击网络的防护系统，且有愈演 愈烈的趋势。现已有专门针对i d s 作攻击的报道。攻击者详细地分析了i d s 的 审计方式、特征描述、通信模式找出i d s 的弱点，然后加以攻击。 今后的入侵检测技术大致可朝下述三个方向发展。 l 、分布式入侵检测：第一层含义，即针对分布式网络攻击的检测方法；第 二层含义即使用分布式的方法来检测分布式的攻击，其中的关键技术为检测信 息的协同处理与入侵攻击的全局信息的提取。 2 、智能化入侵检测：即使用智能化的方法与手段来进行入侵检测。所谓的 武汉理工大学硕士学位论文 智能化方法，现阶段常用的有神经网络、遗传算法、模糊技术、免疫原理等方 法，这些方法常用于入侵特征的辨识与泛化。利用专家系统的思想来构建入侵 检测系统也是常用的方法之一。特别是具有自学习能力的专家系统，实现了知 识库的不断更新与扩展，使设计的入侵检测系统的防范能力不断增强，应具有 更广泛的应用前景。应用智能体的概念来进行入侵检测的尝试也已有报道。较 为一致的解决方案应为高效常规意义下的入侵检测系统与具有智能检测功能的 检测软件或模块的结合使用。 3 、全面的安全防御方案：即使用安全工程风险管理的思想与方法来处理网 络安全问题，将网络安全作为一个整体工程来处理。从管理、网络结构、加密 通道、防火墙、病毒防护、入侵检测多方位全面对所关注的网络作全面的评估， 然后提出可行的全面解决方案。 武汉理工大学硕士学位论文 第三章免疫系统 3 1 人体免疫系统简介 如果我们想证明人体免疫系统中的哪些特征对于去设计一个有效的网络 入侵检测系统，那么我们必须去调查人体免疫系统的一些主要的机制。对于人 体免疫系统主要概念、原理和机制的简介主要依据了【”2 8 , 2 9 。 人体免疫系统是由免疫活性分子、免疫细胞、免疫组织和器官组成的具有 识别机制的复杂系统，具有识别机制，能够从人体自体细胞( 被感染的细胞) 或自体分子( s e l fm o l e c u l e s ) 和外因感染的微组织中( 引起感染的非自体组 织、病原体或者非自体元素( n o n s e l fe l e m e n t s ) ) 检测并消除病毒等病原体本 身以及因感染而引起的机能不良、功能紊乱、官能障碍等症状。简而言之，免 疫系统就是能区分“自我”和“非我”物质，并消除有害病菌的系统。 人体的防御系统被分为四层1 2 s ：第一层是皮肤，阻止多数病原体，用叉表 示消除病原体；第二层是物理性的，即温度、酸性之类的条件：第三层是固有 性免疫系统。由游荡的细胞组成( 噬茵细胞) ：最后一层是适应性免疫系统，由 淋巴细胞组成，适应病原体结构，可有效地清除它们。图3 1 是免疫系统抽象 的防御层次图。本文的重点是上述的最后一层的免疫机制，即特定性免疫或可 被称为适应性免疫。 图3 1 免疫系统多层防御图 1 4 武汉理工大学硕士学位论文 3 1 1 免疫细胞 人体免疫系统主要是通过各种不同免疫细胞协调工作来执行免疫功能的， 其中淋巴细胞是免疫系统执行免疫功能的主要部分。这些淋巴细胞的主要功能 就是把有害的外部细胞( 非我细胞) 同人体内部细胞( 自我细胞) 区分开来， 但是每个淋巴细胞只同某些具有某种结构的有害的外部细胞( 抗原，即 a n t i g e n ，a g ) 发生反应。淋巴细胞的表面有一些特别的绑定区域，称为受体， 它们与抗原表面的抗原决定基在形状上互补，因此淋巴细胞识别抗原就是通过 其上的受体绑定抗原决定基来实现的。淋巴细胞就像一个个小的、独立的检测 器，在血液和淋巴系统中循环于整个机体。因此免疫学家又将淋巴细胞称为检 测病菌的检测器。 适应性免疫系统主要由各种不同类型的淋巴细胞( 白细胞) 组成，它们在 人体中的位置如图3 2 。 图3 2 淋巴细胞在人体中的位置 每个淋巴细胞都特异的与特定结构的抗原结合。这些淋巴细胞分为两种类 型： b 细胞、t 细胞。它们的生命周期包括随机产生、成熟培养( 耐受) 、学习 和死亡这四个阶段。b 细胞在骨髓中发育，t 细胞在胸腺中发育。在骨髓和胸 腺中分别有几个独特的基因库，这些基因库含有能形成b 细胞和t 细胞受体 基因的候选基因。通过随机选择基因片断与组合，一个独特的受体就形成了。 武汉理工大学硕士学位论文 在发育过程中的b 细胞和t 细胞将要离开骨髓和胸腺之前，会经历最后一个 过程：阴性选择，经过耐受阶段的细胞成为了成熟的免疫细胞。它们会持续地 在身体的血液中循环，当遇到抗原时会被激活、进化。 b 细胞的主要功能是产生和分泌抗体，对抗原进行应答。抗体是b 细胞和 t 细胞在各自的表面表达的对于特定抗原决定基( e p i t o p e ) 高度特异的抗原识 别受体( r e c e p t o r ) ，是淋巴细胞上充当受体角色的一种蛋白质，即a n t i b o d y ， a b 。t 细胞并不匹配识别在生物体内到处流动的抗原，但是它们可以杀死抗原， 而且可以促进或者抑制b 细胞的增长。 淋巴缅胞( t - c e l l ，b - c e l l ) 的工作原理见图3 3 ： ( i ) 病原体入侵自体细胞； ( 1 1 ) t 细胞巡查自体细胞表面，以发现是否有被瑚e 分子( 个被称为 主组织相容复杂性的分子) 捕获的病原体，m h c 分子捕获抗原后会把抗原片段 ( p e p t i d e ) 提呈到体细胞表面( 这个过程被称为免疫监视) ； ( i i i ) 当t 细胞和抗原片断特异匹配时，t 细胞就被激活，触发免疫反应， 相应的会有其他的一些辅助细胞会在被感染了的体细胞