（计算机软件与理论专业论文）智能技术在网络安全中的应用——基于主机的安全.pdf

摘要 望3 9 3 7 7 9 i 在当今的国际网络和电子商业世界，每一个计算机系统都是 一个潜在的攻击目标。防范来自内部和外部的安全危害是计算机 安全的一个重要问题。现在的攻击入侵手段变化多，更新快，隐 蔽性好。为了适应这种形势，要更好地保证网络的安全，智能技 术的应用就显得更加重要。而目前绝大多数的网络安全产品在这 方面略显欠缺。 随着计算机的普及与互联网的发展，尤其是在国防、经济等 敏感领域广泛深入的应用，网络安全己同国家安全、经济发展紧 密联系在一起了。因此，拥有自己的网络安全产品和技术至关重 要。可如今在技术和市场上是国外的网络安全产品当道。打破国 外公司在网络安全领域的垄断，真正掌握自己的网络安全已成为 十分紧迫的大事。 本文跟踪国外网络安全技术的现状和发展动态，研究讨论了 智能技术在网络安全方面的应用；特别是受脊椎动物免疫系统的 启发，从主机安全着手将免疫原理应用到系统扫描和入侵检测。 提出了用于内部安全扫描的计算免疫系统，希望计算机系统的安 全免疫能够具有类似生物的自适应性或者智能性d 本文还介绍了 根据该模型设计并实现的“网络卫士”系统安全评估系统( 该软 件已商品化，为广大用户使用) 。本文在入侵检测方面的研究，主 要集中在数据约简和免疫的应用，给出了用粗糙集合进行数据约 简的算法，并用免疫的观点和方法识别非法入侵行为。 本文还根据在研发过程中出现的问题和想法，对单机的动态 处理防护、互相信任的计算机网络防护、网络安全知识库、用多 智能体技术建立分布式安全扫描系统等问题进行了讨论。 最后本文指出了入侵检测系统需要改进的方面和人工免疫的 局限性。 关键词人工智能j 计算机安全，网络安全，安全风险评估，计 算免疫模型，系统安全扫描，入侵检测 a b s t r a c t i nt h em o d e mw o r l do fi n t e m e ta n de - c o m m e r c e ，e v e r yc o m p u t e rs y s t e mi s s o m e h o wat a r g e to f p o t e n t i a la t t a c k s i ti so fg r e a ti m p o r t a n c et op r e v e n ts u c h s e c u r i t yr i s k sf r o mb o t hi n n e ra n do u t e rs i d e s t o d a y si n t r u s i o nm e t h o d sc h a n g e f a s t e r , a r eo fm o r ev a r i e t ya n dm o r ed i f f i c u l tt od e t e c t a p p l i c a t i o no f a r t i f i c i a l i n t e l l i g e n c eb e c o m e sm o r ei m p o r t a n tt oe n s u r et h en e t w o r ks e c u r i t y h o w e v e r , m o s to ft h ec u r r e n tn e t w o r ks e c u r i t yt o o l ss t i l lh a v em u c hr o o mt od e v e l o po n t h i sa s p e c t a sp e r s o n a lc o m p u t e rp o p u l a r i z e sa n di n t e r a c td e v e l o p s ，e s p e c i a l l yi ns u c h c r i t i c a lf i e l d sl i k es t a t e s e c u r i t y , n a t i o n a ld e f e n s ea n de c o n o m yd e v e l o p m e n t ， n e t w o r k s e c u r i t y h a sa l r e a d yb e c o m ea n i n d i s p e n s a b l ep a r t o ft h e s ef i e l d s h a v i n g o u ro w nn e t w o r ks e c u r i t yp r o d u c t sa n d t e c h n o l o g yi ss u c ham u s t ，b u ta l l t h a tp r e v a i li nt h em a r k e ta n dr e s e a r c hf i e l da r ep r o d u c t sf r o mo u t s i d eo fc h i n a t ot e r m i n a t et h e m o n o p o l yo ft h ef o r e i g nc o m p a n i e s i nn e t w o r k s e c u r i t y , g r a s p i n gn e t w o r ks e c u r i t yt e c h n o l o g yi no u r o w nh a n di so f e x t r e m e u r g e n c y t h i st h e s i s g o e si n t o t h ec u r r e n ts i t u a t i o no fn e t w o r ks e c u r i t yt e c h n o l o g y o v e r s e a s ，k e e p st r a c to f i t sd e v e l o p m e n tt r e n da n dm a k e sd e e pi n v e s t i g a t i o nt o t h e a p p l i c a t i o n o fa r t i f i c i a l i n t e l l i g e n c e t on e t w o r k s e c u r i t y s i m u l a t i n g b i o l o g i c a li m m u n i t y , h o s t - b a s e ds e c u r i t ya p p l i e si m m u n i t yt h e o r yt os y s t e ms c a n a n di n t r u s i o nd e t e c t i o n ac o m p u t e ri m m u n em o d e lw i t ht h ee m p h a s i so nh o s t s y s t e ms c a n i s h e r e b yp r e s e n t e d ，h o p i n g ，t oe n d o wt h ec o m p u t e rs y s t e m a m e c h a n i s mw i t ha d a p t a b i l i t ya n di n t e l l i g e n c el i k e w ea l s oi n t r o d u c e san e t w o r k s e c u r i t ye v a l u a t i o ns y s t e mc a l l e d ”n e tg u a r d “，w h i c hy o uc a nf i n di nt h em a r k e t t h ei n t r u s i o nd e t e c t i o nh e r ee m p h a s i z e si ni m p l e m e n t a t i o no fd a t ar e d u c ea n d i m m u n i t y , u s e sr o u g hs e t sa l g o r i t h mt op e r f o r md a t ar e d u c t i o na n dd e t e c ti l l e g a l i n t r u s i o n sb ym e a n s o f i m m u n i t y b a s e do nt h ep r o b l e m st h a ta p p e a r e d d u r i n go u rr & dp r o c e s s ，t h i st h e s i s m a k e ss o m ed i s c u s s i o n0 1 1 p r o t e c t i n g a c t i v e p r o c e s s e s o na s i n g l eh o s t ， p r o t e c t i n gan e t w o r ko f m u t u a l l yt r u s t i n gc o m p u t e r s ，a n dp r o t e c t i n gan e t w o r ko f m u t u a l l yt r u s t i n gd i s p o s a b l ec o m p u t e r s ，o nb u i l d i n gn e t w o r ks e c u r i t yk n o w l e d g e b a s ea n dm a s - b a s e dd i s t r i b u t e dn e t w o r ki n t r u s i o nd e t e c t i o n s y s t e m se t c f i n a l l y , t h et h e s i si n d i c a t e st h es h o r t a g eo fi n t r u s i o nd e t e c t i o ns y s t e ma n d a r t i f i c i a li n t e l l i g e n ti m m u n i t y k e y w o r d s ：a r t i f i c i a l i n t e l l i g e n c e ，c o m p u t e rs e c u r i t y , n e t w o r k ss e c u r i t y , s e c u r i t ye v a l u a t i o n ，c o m p u t i n gi m m u n em o d e l ，h o s t - b a s e ds y s t e ms c a n ，i n t r u s i o n d e t e c t i o n n 第一章绪论 1 1 论文研究背景 i n t e m e t 是由计算机网络互连而成的全球性信息网。网络缔造 了前所未有的新感觉和新生活，其无穷的信息量不仅激发了现代 个体的广泛兴趣和潜力，也为各社会群体创造了无限的发展空间。 而当全社会正陶醉于网络时代的精彩故事之中时，网络的不安全 因素也正潜滋暗长。随着i n t e r n e t 在国防、经济等领域中重要性的 逐步提高，网络犯罪活动将加速增长。 网络安全成了世界性的现实问题【l 一7 1 ，它与国家安全、民族兴 衰和战争胜负等国家民族的头等大事息息相关。美国作为信息全 球化浪潮的领导者，正在利用信息霸权谋求主宰世界，正在鼓吹 和准备信息威慑及战略信息战。因此，网络安全和国防军事一样， 是一个敏感领域，拥有自己的网络安全产品和技术就至关重要， 必须打破国外公司在网络安全领域的垄断，真正掌握自己的网络 安全。 作者在分析了目前国内外主流网络安全产品后，发现其网络 安全检测与防范都是纯“手工”的，缺乏智能性。这就不能很好 地防范多变的、危害性极大的网络入侵与破坏。所以，一个高效 有用的网络安全监测与防范工具必须具有相当的智能，方可做到 “魔高一尺，道高一丈”。 受病毒检测【扎l l 】的启发，根据免疫学( i m m u n o l o g y ) 1 1 2 , 1 3 】、人 工神经网络( a r t i f i c i a ln e u r a ln e t w o r k s ) j 4 1 等人工智能( a r t i f i c i a l i n t e l l i g e n c e ，a i ) ”j 理论，本文提出人工免疫系统( a r t i f i c i a l i m m u n es y s t e m ) ，期望计算机网络安全系统具有类似生物体一样 的免疫功能，有一定的自适应性或智能性，并将其运用在主机安 全方面。 1 1 1 网络安全状况与面临的主要威胁 近年来，i n t e r n e t 的安全问题越来越引起人们的关注。与近年 来i n t e r a c t 用户的爆炸性增长同步，通过i n t e r a c t 侵袭专用计算机 韭查奎望查堂堡主婴塞竺兰些! 垫 网络的事件迅速增多。据计算机紧急情况处理小组( t h ec o m p u t e r e m e r g e n c vr e s p o n s et e a m ，c e r t ) 报道，1 9 8 9 年发生13 2 起计算 机安全事故，1 9 9 4 年安全事故的数量为2 2 4 1 起，先后共有4 万多 个网络受到损害，到1 9 9 8 年发生的有报道的安全事故已有2 5 0 0 0 个。依据f i n a n c i a lt i m e s 曾做过的统计，目前平均每2 0 秒钟就有 一个网络遭到入侵。2 0 0 0 年年初美国的y a h o o 、e b a y 、a m a z o n 等 大型著名网站遭到黑客攻击，几天时间就损失近1 0 亿美元。 m i c r o s o f t 也遭受了一件最严重的入侵事件：有人非法侵入公司的 电脑系统并窃取了软件生产的源代码，m i c r o s o f t 最新的软件产品 生产计划面临极大威胁。 在我国，网络安全问题还没有得到充分的重视。许多大型的 信息港和企业的i n t r a n e t 在配置方案中仅配置了道防火墙，并没 有在安全方面下太大的功夫。在网络安全产品方面，中国同国外 的差距至少有5 至1 0 年，自主开发产品少，软硬件技术受制于人， 这使我们的网络管理呈现出一种十分“虚弱”的健康状态。有媒 体报道，中国9 5 的与i n t e m e t 相连的网络管理中心都遭到过境内 外黑客的攻击或侵入，其中银行、金融和证券机构是黑客攻击的 重点。可以说国内目前的信息系统就象是一幢门户大开的大楼， 罪犯可以如同进入无人之境那样随便作案，并且可以不留下任何 蛛丝马迹。信息产业部组织的专家在经过大量调查研究后指出， 我国信息安全在六大方面面临严峻形势( 国际金融报( 2 0 0 0 年 1 1 月1 4 日第五版1 ) ： 信息与网络的安全防护能力差 对引进技术和设备缺乏安全检测 基础信息产业严重依赖国外 信息安全管理机构缺乏权威 信息犯罪有快速蔓延之势 全社会的信息安全意识淡薄 日益严重的网络信息安全问题不仅使上网企业、机构和用户 蒙受巨大经济损失，而且使国家的安全与主权面临严重威胁。总 的来说，网络面临的主要威胁有以下几个方面的原因【卜8 1 。 黑客的攻击。目前，世界上有2 0 多万个黑客网站，这些 站点都介绍一些攻击方法和攻击软件的使用以及系统的 一些漏洞，因而系统、站点遭受攻击的可能性就变大了。 尤其是现在还缺乏针对网络犯罪卓有成效的反击和跟踪 手段，使得黑客攻击的隐蔽性好，“杀伤力”强，是网络 安全的主要威胁。 管理的缺陷。网络系统的严格管理是免受攻击的重要措 2 施。而很多网站或系统都疏于这方面的管理。 网络的缺陷。因特网的共享性和开放性使网上信息安全存 在先天不足，因为其赖以生存的t c p i p 协议族缺乏相应 的安全机制，在安全可靠、服务质量、带宽和方便性等方 面存在着不适应。 软件的漏洞或“后门”。随着软件系统规模的不断增大， 系统中的安全漏洞或“后门”也不可避免的存在，如常用 的w i n d o w s 、u n i x 操作系统几乎都存在或多或少的安全 漏洞，众多的各类服务器、浏览器、一些桌面软件等都被 发现过存在安全隐患。可以说任何一个软件系统都可能会 因为程序员的一个疏忽、设计中的一个缺陷等原因而存在 漏洞，这也是网络安全的主要威胁之一。 影响计算机网络安全的因素有很多，所以保护网络的安全也 不只一种手段。网络安全从技术上讲，一般包括反病毒、风险评 估、入侵检测、身份认证、加密、防火墙等几大领域【6 j ，只有在这 些领域全面解决了安全问题并综合利用这些技术，计算机用户， 尤其是企业级的用户才可能真正摆脱病毒与黑客的威胁，实现网 络安全。 1 1 2 互联网的十大漏洞 下面列举了当今互联网上最普遍且风险最高的漏洞【l 8 】。 1 拒绝服务攻击 拒绝服务攻击( d e n i a lo f s e r v i c e ，d o s ) 使网站服务器充斥大 量要求回复的信息，消耗网络带宽或系统资源，导致网络或系统 不胜负荷以至于瘫痪而停止提供正常的网络服务。d o s 的攻击方 式有很多种。最基本的d o s 攻击就是利用合理的服务请求来占用 过多的服务资源( 如网络带宽、文件系统空间容量、开放的进程 或者向内的连接等) ，致使服务超载，无法响应其他请求。这种攻 击导致资源匮乏，无论计算机的处理速度多快，内存容量多大， 互连网的速度多快都无法避免这种攻击带来的后果。攻击者常用 的分布式拒绝服务攻击工具有：t f n 、t f n 2 k 、t r i n 0 0 、s t a c h e l d r a h t 、 f u n t i m e a p o c a l y p s e 。 2 脆弱的账号 侵入用户账号通常是攻击者获得系统访问权最简单的方式。 因此系统的缺省账号、不常用账号及那些口令强度弱的账号都会 成为攻击者最好的着眼点。 韭立奎望查兰堡主竺壅竺兰些丝兰 一 3 i i s 缺陷 m i c m s o r 的w e b 服务器i i s ( i n l e m e ti n f o r m a t i o ns e r v e r ) 存 在着向缓存溢出、c g i 圈套等许多漏洞。i i s 4 0 的缓冲溢出可以允 许用户上载程序。如n e t c a t 到目标服务器，并把c m d e x e 绑定到 8 0 口。这个缓冲溢出主要存在于h t r , i d c 和s t m 文件中，其对关于 这些文件的u r l 请求没有对名字进行充分的边界检查，导致运行 攻击者插入一些后门程序在系统中下载和执行程序。i i s 4 0 5 0 在 处理c g i 程序文件名时存在个安全漏洞，攻击者可利用该漏洞 查看系统文件或者执行任意系统命令。 4 数据库安全漏洞 如数据库访问权、o r a c l e 缺省账户口令、s q ls e r v e r x p s p r i n t f 缓存溢出、s q l s e r v e rx p e m d s h e l l 扩展。 5 电子商务主页安全 如c g i 安全、用户权限安全等。 6 电子邮件系统 如s e n d m a i l 管道攻击、邮件服务器缓存溢出、泄露用户邮件、 邮件畸形头部信息等。 7 文件共享 共享路径、口令、权限等 8 i 冲c 漏洞 r p c ( r e m o t ep r o c e d u r ec a l l ) 远程过程调用的漏洞可以导致 远程格式化堆栈溢出，遭受拒绝服务攻击等。 9 b i n d 漏洞 b i n d ( b e r k e l e yi n t e m e tn a m ed o m a i n ) 是d o m a i nn a m e s y s t e m ( d n s ) 协议的一个实现，提供了d n s 主要功能的开放实 现，包括域名服务器、d n s 解析库函数、d n s 服务器运行调试所 用的工具。b i n d 漏洞可以导致域名服务器流量增大以及查询路由 被发现，可以允许远程攻击者提升自己的权限。 1 0 缓存溢出 缓存溢出攻击的目的在于扰乱具有某些特权运行的程序的功 能，这样可以使得攻击者取得程序的控制权，如果该程序具有足 够的权限，那么整个主机就被控制了。 鉴于这十大漏洞的重要性和严重性，应充分重视这些安全问 题，并将这些漏洞的角翠决办法和处理决策落实到安全策略中，利 用人工智能技术建立更加有效、更加完善的网络安全防护体系。 4 1 1 3 常见的网络安全产品 目前共有6 0 多家网络公司2 0 0 多种网络安全产品。产品主要 集中在反病毒、防火墙、入侵检测和外部扫描。 在反病毒方面的产品主要有国内开发的瑞星、v r v 病毒防火 墙、电脑安全卫士a v 9 5 、行天9 8 反病毒软件、金山毒霸、k v 3 0 0 、 熊猫卫士，中外合作开发的k i l l 9 8 。国外的t r e n dp c c i l l i n 9 8 、 a m i v i r a lt o o l k i tp r o 、t h u n d e r b y t ea n t i v i r u s 、m c a f e ev i r u s s c a n 、 n o , o na n t i v i m s 、i n o c u l a t ei tp e r s o n a le d i t i o n 和f p r o t 等。其中 t h u n d e r b y t ea n t i v i r u s ( t ba v ) 的“启发式查毒”非常有效， 虽然有时候不能确定病毒的名称，但是还是可以检查出来。 防火墙产品有竞争力的厂商有c h e c k p o i n t 、d e c 、i b m 、n s c 、 t i s 、b n t 等，但最著名的厂商要数c h e c k p o i n t 、s o f t w a r e t e c h n o l o g i e s 、t r u s t e d i n f o m a t i o ns y t e mc o r p o r a t i o n 和b o r d e r n e t w o r kt e c h n o l o g i e sc o r p o r a t i o n 。排名第一的c h e c k p o i n t 其防火 墙产品f k e w a l l i 至今还是防火墙领域的主流产品，其产品特点是： 采用s t m e q u li n s p e c t i o n 的革新体系结构，该技术包括应用及过滤， 具有安全性好等特点，不仅是公共防护系统，而且可以作为专用 防护系统，图形化界面易于使用，运用命令化规划来定义全球安 全策略，在最大限度上减少了防火墙对系统资源的负冲击。除了 f i r e w a l l i 以外，t i s 公司的应用型网关防火墙g a u m l e t ，b o r d e r 网 络技术公司( b n t ) 的b o r d e rw a l l 也具有极强的竞争力。目前国内 防火墙产品最著名的厂商要数天融信技贸有限责任公司的“网络 卫士”。 网络入侵监测系统方面产品主要有：i s s 公司的r e a l s e c u r e ， c a 公司的s e s s i o n w a l l - 3 ，n a i 公司的c y b e r c o p ，a b i r u e t 公司的 i n t r u d e ra l e r t ，h n z e n 公司的n f r ( n e t w a r e f l i g h tr e c o r d e r ) ，i b m 公司的i e r s ( i n t e m e te m e r g e n c yr e s p o n s es e r v i c e ) ，东大阿尔派 的n e t e y e 等。 其中，r e a l s e c u r e 是分布式体系结构，多个检测a g e n t 监视不 同的网络并向中央控制台报告，控制台和a g e n t 之间的通讯采用加 密和认证。s e s s i o n w a l l 提供了定义监控、过滤和封锁网络通信量 的规则等功能，检测到入侵后立即向控制台发送警报、e m a i l 并进 行记录，还可以向管理人员发送传呼，报表功能较强。c y b e r e o d 入侵检测系统主要有c y b e r c o ps c a n e r , c y b e r c o ps e r v e gc y b e r c o d n e t w a r e 组成。c 。y b e r e o ps c a r i e r 主要是检测网络环境中的薄弱环节， 是一种扫描器。c y b e r c o ps e r v e r 主要在复杂的网络环境中提供防 范、检测并根据检测结果做出反应，并采用主动抗击的措施e c y b e r c o dn e t w a r e 是通过循环监测网络流量来保护网络上的共享 资源。n f r 提供了一个网络监控框架，系统比较灵活，可以基于 定制专门用途。i e r s 由n e r r a n g e r 检测器和b o u l d e r 监控中心组 成，检测器负责监听网络上可识别的通信数字签名，一旦发现异 常，就启动监控中心的报警器。 在攻击预警方面，目前最好的是安氏( i s s ) 公司的产品，它 包含6 0 0 多种规则( 攻击手段) 。入侵检测系统( i n t r u s i o n d e t e c t i o n s y s t e m i d s ) 产品的好坏之别在于攻击模式库的好坏即攻击规则 的多少。i s s 公司攻击模式库之全主要是因为有一个很强的 x f o r c e 小组，专门寻找漏洞和进行攻击模拟。 1 1 4 智能技术的应用 网络攻击随时可能发生，系统随时可能崩溃，我们必须一年 3 6 5 天，一天2 4 小时坚守在机器前，监视网络系统的状态。如果 这些工作靠我们人工完成，不仅工作量相当大而且不可能，更何 况有些工作不是人工所能完成的，所以必须借助先进的人工智能 技术如数据仓库( d a t aw a r e h o u s e ) t 1 7 1 ，知识发现( k n o w l e d g e d i s c o v e r y ) ，计算免疫( c o m p u t e ri m m u n o l o g y ) i s 啦j ，多智能体 ( m u l t i a g e n t ) 等来帮助我们完成诸如数据分析、知识更新、自 我演化等工作。 反病毒方面，已经应用了计算免疫技术【9 ，“】。 在入侵检测和防火墙方面，数据仓库和知识发现技术可以用 来进行信息审计，从纷繁芜杂的海量数据中找到有用的数据。因 为i d s 的一个重要方面是应用信息的审计，要对原始数据包重新 组合并进行应用协议分析。如w w w 浏览页面恢复、邮件恢复、t e l n e t 全程监视与回放、邱回放、网上邻居监测等。而且对于大量的日 志信息的分析也非人工所能完成。所以，可以采用数据仓库和数 据挖掘等人工智能技术，对收集到的信息进行及时准确的处理。 论文的第二章详细阐述了人工智能技术在网络安全中的应 用，特别是免疫的应用。 1 2 系统安全扫描概述 风险评估( v u l n e r a b i l i t ya s s e s s m e n t ) 是网络安全防御中的一 6 j ! 塑銮望查兰堡圭堕壅兰望些堡苎 项重要技术，其原理是采用模拟攻击的形式对目标可能存在的已 知安全漏洞进行逐项检查6 1 。目标可以是工作站、服务器、交换机、 数据库应用等各种对象。然后根据扫描结果向系统管理员提供周 密可靠的安全性分析报告，为提高网络安全整体水平产生重要依 据。在网络安全体系的建设中，安全扫描工具花费低、效果好、 见效快、与网络的运行相对独立、安装运行简单，可以大规模减 少安全管理员的手工劳动，有利于保持网络安全政策的统一和稳 定。风险评估技术基本上分为基于主机的和基于网络的两种，前 者主要关注软件所在主机上面的风险漏洞，而后者则是通过网络 远程探测其它主机的安全风险漏洞。 1 2 1 系统安全扫描器的功能及其重要性 系统安全扫描“”是一个综合的基于主机的操作系统安全评测 工具，它从内部发现和报告系统的安全弱点，是一种漏洞检测和 评估系统。系统安全扫描器协助管理人员发现、评估和消除主机 操作系统这一层的安全漏洞。通过进行一系列的综合检查，网络 安全系统扫描器能够对扫描主机的操作系统配置、文件权限和属 主、网络服务、帐号设置、程序身份及完整性和用户口令等等与 用户有关的项目进行安全审计。在发现了安全弱点以后，它生成 一份直观易读的安全报告。这种完整的解决方案不仅评估了企业 当前的安全级别，而且可与先前进行的系统安全评测结果进行比 较，以审计在这一段时间内所发生的安全状态变化。它能够迅速 发现系统主机的安全漏洞，有效地消除可能会被利用来进行非授 权存取的内部安全隐患。 扫描器正是因为他们能够发现网络的弱点，用技术的方法弥 补技术和非技术的薄弱环节，因而对于i n t e m e t 安全性很重要。如 果系统管理员使用了扫描器，便可以直接有助于加强系统安全性。 1 2 2 扫描器的同类产品分析 基于主机的系统扫描器产品包括：a x e n t 公司的e s m ( e n t e r p r i s es e c u r i t ym a n a g e r ) ，i s s 公司的s y s t e ms e c u r i t ys c a n n e r 等，基于网络的产品包括：i s s 公司的i n t e m e ts c a n n e r 、a x e n t 公司的n e t r e c o n 、n a i 公司的c y b e r c o p ss c a n n e r 、c i s c o 公司的 n e t s o n a r 等。 北方交通大学硕士研究生毕业论文 目前国内有中科院网威工作室开发的n e t p o w e r 、启明星辰公 司的天镜、自主开发的“网络卫士”系统扫描器，另外北方计算 机公司( 总参) 也有类似产品。 s y s t e ms e c u r i t ys c a n n e r 是业界最早的扫描器，i s s 公司也借此 技术而一举成为举足轻重的软件公司。其核心技术小组x f o r c e 实 力非常强大，邮件列表经常发布最新的漏洞发现，知识库更新很 快，但价格较高，对l i c e n s e 控制很严。有基于w i n d o w sn t 和主 流u n i x 系统的版本。 c y b e r c o p ss c a n n e r ( n a i ) 其n t 版本的安装、运行非常简单 明了。报表格式有h t m l 、r t f 、d o c 、t x t 等。对扫描范围限 制不严格。 n e t r e c o n 是非常出色、强大的远程扫描器。而e s m 是基于主 机的风险评估产品。 n e t p o w e r ( 网威工作室) 由中科院高能所的计算中心开发研 制，已在福建省数据网和部分金融网络中得到应用。 “网络卫士”系统扫描器模拟漏洞分析专家及安全专家的技 术，按照使用者需要进行交互式或定期自动扫描，能够发现目标 主机某些内在的弱点和漏洞，并针对每一个弱点和漏洞都有完善 的补救措施和建议。它将搜索到的安全问题依照高、中、低的风 险等级进行分类显示，并提供解决这些问题的建议，如给出生产 商发布补丁程序修补安全漏洞的站点链接，同时生成自动修复这 些安全弱点的运行脚本代码，该软件还可以检查出系统中存在的 易猜口令而可能会被入侵者加以利用的用户帐号。 1 3 论文的研究内容 本文研究了网络安全检查评估和入侵检测。由于主要关注智 能技术与基于主机的安全，因此在理论上建立了一个基于主机的 安全扫描模型，还讨论了人工智能技术在入侵检测中的应用，在 实践中，实现了基于主机的系统安全扫描器和基于主机的网络入 侵检测系统，初步模拟了“免疫”机制，实现了“分布式”管理。 系统安全扫描器已经应用到“网络卫士”产品中，商品化成 功，i d s 系统正在测试中。 北方交通大学硕士研究生毕业论文 1 4 论文的组织安排 本文的主要内容安排如下： 第一章绪论，介绍网络安全问题的研究背景，提出了将智能 技术( 特别是人工免疫) 用于网络安全。 第二章智能技术与网络安全，分析了智能技术特别是免疫技 术在网络安全方面的应用情况及前景。 第三章研究了生物免疫，提出用人工免疫提高系统安全性， 给出了基于免疫的系统安全扫描模型。 第四章从主机( 本地) 和远程两个方面具体地设计网络安全 评估系统，为主机安全提出了一个完整的风险评估方案。 第五章基于主机的系统安全扫描器实现，给出了详细的系统 扫描器实现的检查技术。 第六章分别介绍入侵检测的方法、入侵检测中数据约简的问 题及入侵检测的免疫问题。 第七章问题讨论。根据在研发过程中出现的问题和想法，对 单机的动态处理防护、互相信任的计算机网络防护、网络安全知 识库、用多智能体技术建立分布式安全扫描系统等问题进行了讨 论，并指出了智能技术在网络安全领域内需进一步研究的课题。 第八章对全文进行总结。 9 北方交通大学硕士研究生毕业论文 第二章智能技术与网络安全 2 1 人工智能方法 人类具有训练中学习和从例子学习掌握完成任务的良好能 力。人工智能就是研究用计算机模拟人的智能行为的理论i l t ”j 。其 主要目标是模拟人的问题求解、感知、推理、学习等方面的能力， 将人类解决问题的技巧应用于改进算法的研究中。如专家系统应 用模拟专家推理的计算模型来处理问题。分类系统则是研究如何 根据一套训练实例去区分未知例子。 在网络安全领域中，很重要的问题就是要能够及时判断网络 的使用是否正常，并且还要能够对各种攻击进行实时检测与响应。 对“正常”与“异常”的识别就是一个特征选择、分类的过程。 然而各种攻击手段层出不穷，也就需要安全系统具有知识发现和 自学习的功能，从而适应多变的环境和攻击手法。 神经网络是由大量称为神经处理单元的自律要素以及这些自 律要素相互作用形成的网络【l ”。它应用生物模型来实现分类。这 些网络经过在一系列给定数据上的训练以实现其准确分类功能。 另一种分类工具是决策树。它将数据分为两组或多组，然后 对每个组划分直到将数据划分为不能再分的最小的组。 特征选择的目的在于减少有效预测所需信息量和降低分类器 的错误率。这是通过寻找特征子集、信息源和测试那些特征区分 训练例的能力实现的。该寻找过程本身就是人工智能研究领域中 一个经久不衰的课题。通过发现或聚类，人类可以从大量的信息 中概括和抽象。数据聚类技术可根据某些标准将数据聚合成组， 它可用于发现那些人类可能忽略的一些隐藏的规律。 以人工神经网络、遗传算法( g e n e t i ca l g o r i t h m s ，g a s ) 为代 表的基于结构演化的智能理论近年来得到很快的发展。这种理论 在自组织、自适应、自学习、并行计算等方面有明显优势【2 3 】。 数据挖掘( d a t a m i n i n g ，d m ) 是一种决策推理支持过程，能 高度自动化地分析原有数据，做出归纳性的推理，从中挖掘出潜 在的模式。数据挖掘在从数据中提取特征与规则方面具有非常大 的优势。 1 0 些塑奎塑奎兰堡圭笙壅竺兰些笙苎 最近，还有将免疫技术用于网络安全检测2 4 铷1 。 2 2 智能技术在网络安全中的研究 2 2 1 研究内容 在基础研究方面主要有演化算法与分类系统、计算免疫系统。 结合网络安全自身的特点，需要研究的内容还有： 识别入侵模式的方法 入侵检测系统的演化技术 利用多智能体技术建立分布式安全扫描系统 系统的演化技术 互联网上安全知识的智能搜索与分类系统 网络安全知识库 利用演化计算、计算免疫系统和多智能体技术构造网络安全 模型。 2 2 2 入侵检测的数据约简 随着数据库和计算机网络的广泛应用，加上使用先进的自动 数据生成和采集工具，拥有的数据量急剧增大。要人工对海量数 据进行检测是不可能的。无关的特征会使对可疑行为模式的检测 更加困难。如在j r , d , 时内，一个用户的访问可以产生3 至3 5 兆字 节的数据，但是要分析一小时的数据就要花费几个小时的时间。 因此，i d s 需减少需处理的数据量，特别在实时检测时尤为重要。 i d s 必须具有某种形式的数据约简【2 9 】，过滤不重要的数据，留下有 价值的数据。数据可以分组或聚类，发现其隐藏的模式，降低总 的开销。 2 2 3 数据挖掘与入侵模式识别 数据挖掘利用了人工智能的一些已经成熟的算法和技术，如 人工神经网络、遗传算法、决策树、邻近搜索算法、规则推理、 模糊逻辑等。其中常用的分析方法有关联分析方法( a s s o c i a t i o n s ) 、 韭查奎塑查兰堡主! 壅竺! 些堡苎一 序列模式分析( s e q u e n t i a lp a t t e r n s ) 、分类分析( c l a s s i f i e r s ) 、聚类 分析( c 1 u s t e r i n g ) 。一般来说，数据挖掘系统所采用的技术越多， 得出的结果精确性就越高。 目前的入侵检测系统知识库中，入侵模式规则并不能很好地 反映多变的入侵行为特征。同时，系统提取的用户当前行为特征 有时也不能正确地反映用户的实际行为特征。于是在实际应用中， 漏报或误报率就很高。因此可将数据挖掘技术应用于入侵检测， 使入侵检测知识库中的安全模式规则能很好地反映入侵行为的特 征，并且系统提取的当前用户行为能更正确反映用户的实际行为 特征，这样系统就能更及时准确地检测出入侵行为。 同理，数据挖掘技术还可以用于系统日志的分析，从中发现 入侵行为和不安全因素。 2 2 4 免疫与网络安全 免疫学是研究抗原性异物、免疫应答规律以及免疫应答产物 与抗原( a n t i g e n ) 反应的理论和技术的一门生物科学。免疫则是指 机体解除“抗原性异物”或“异己成分”的一种特异性( s p e c i f i c i t y ) 生理反应，其作用是识别和排除抗原性异物，以次维持机体的生 理平衡1 2 1 。 自然免疫系统是并行、分布的，其每一个部件工作随意而且 不可靠，但是作为系统整体它却很健壮。曾经遭遇过的传染能很 快地被探测并消除，同时利用多种适应性机制，新的入侵也可在 略慢一点的时间范围内被探测到。这个系统是自治的，可在探测 和响应的层次上控制自己的行为。每一个抗体( a n t i b o d y ) 探测感 染的方式略有不同，所以病原体可以躲避一个抗体的防护，但是 它却无法躲避其他的每一个抗体。 现存的大部分计算机都工作在一个还不完备的、不可控的开 放式环境中，因此人的免疫系统有许多显著特征值得借鉴。利用 免疫系统本身更有效更准确的鉴别和保护机能，建立计算机免疫 系统提高网络系统的安全性。 早在1 9 8 7 年，当“计算机病毒”这个术语引入的时候，人们 就认识到了计算机安全问题和生物处理的相似之处。例如，对生 物体而言，机体的免疫功能体现在对抗原性异物的识别和清除； 类似地在计算过程中，系统的个人性、完整性和可行性的威胁和 危险可能来自于部件障碍或内部和外部的入侵行动，故对计算机 而言也要对那些有害的异物进行识别和清除。1 9 9 4 年产生了运用 ! ! 查銮望查堂堡主婴壅兰兰些丝塞 一一 免疫学原理来解决计算机安全问题一计算机病毒【1 0 9 川的思想e 但是在已有的工作中，主要注重免疫系统孤立的概念和机制，以 及如何把他们应用到病毒检测。本文就将人工免疫运用到主机系 统安全扫描和入侵检测。 2 。3 免疫系统概述 免疫系统保护躯体免受有害的疾病和传染病的侵扰。它能够 识别任何外界的细胞或分子并将其消灭。为此，免疫系统必须进 行躯体内、外细胞和分子的模式识别工作，所以免疫系统面临的 问题就是本体与异己的模式识别以及自身演化的问题。 人体免疫系统的体系结构是多层的，而且在很多层次上都提 供了防护功能。皮肤是这个体系结构最外面的层次，也是抵御传 染的第一道屏障。第二道屏障是物理层，这个层次所提供的像p h 值( 即酸碱度) 或温度等等这样的条件，并不适合某些异己的生 命体( 即病原体) 生存。旦病原体进入到体内，将由先天免疫 系统和后天获得性免疫系统响应做出处理。从计算机安全的角度 看，后天获得性免疫系统拥有巨大的潜力。 总的看来，免疫系统不是通过某一特定组织器官实现，而是 由大量的多种不同的细胞( 主要是淋巴细胞和巨噬细胞) 相互作 用而实现的。每种淋巴细胞对一定的结构相似的外部细胞( 抗原) 起作用，如图2 1 所示。淋巴细胞有称做接受器的特定绑定区域， 这些接受器是特定地用来识别抗原基的。通过所绑定的抗原基来 识别抗原。 淋巴细胞主要可分为b 细胞和t 细胞。b 细胞是体内唯一能 产生抗体( 免疫球蛋白分子) 的细胞，t 细胞杀死抗原，帮助或抑制 b 细胞的生长。二者结构各不相同。b 细胞和t 细胞分别在骨髓和 胸腺中成熟。它们都由d n a 基因链组成，每个链有可变区和恒定 区。 成熟的b 、t 细胞从骨髓和胸腺中释放出来，循环于体内。b 细胞的抗体通过绑定抗原来识别它们，这些抗体是直接或间接被 激活的。当b 细胞抗体与抗原的基结合度超过了一定的阈值时， 就被直接激活。如果低于该值则需要t 细胞和m h c 细胞的帮助才 能被激活。 自然免疫系统是一种可调整的学习系统，它在自然界十分普 遍。该系统利用多层的防御机制来对各种各样的病原入侵做出快 速、专门且非常有效的防御反应。免疫系统有着强大的信息处理 能力，特别是它能从抗原提取唯一特征以及对危险抗原肽具有识 别和分类能力，同时