（计算机应用技术专业论文）基于免疫原理的计算机入侵防护系统.pdf

愀必卿 独创性声明 本人声明所呈交的学位论文是本人在导师指导下进行的研 究工作及取得的研究成果。据我所知，除了文中特别加以标注和 致谢的地方外，论文中不包含其他人已经发表或撰写过的研究成 果，也不包含为获得重迭查电太堂或其他教育机构的学位或 证书而使用过的材料。与我一同工作的同志对本研究所做的任何 贡献均已在论文中作了明确的说明并表示谢意。 学位论文作：闩釉期：可户月功日 学位论文版权使用授权书 本学位论文作者完全了解重庞虫e 电太堂有关保留、使用 学位论文的规定，有权保留并向国家有关部门或机构送交论文的 复印件和磁盘，允许论文被查阅和借阅。本人授权重庆邮电大学 可以将学位论文的全部或部分内容编入有关数据库进行检索，可 以采用影印、缩印或扫描等复制手段保存、汇编学位论文。 ( 保密的学位论文在解密后适用本授权书) 学位论文作者签名：阀赫 导师签名： 签字嗍：1 等朋枷料嗍：吁朋朋 重庆邮电大学硕十论文 摘要 摘要 随着计算机技术和网络技术的迅猛发展，计算机系统已经从独立的主 机发展到复杂的、互联的开放式系统，这种情况导致计算机及网络的入侵 问题越来越突出，为保护系统资源，需要建立不同于防火墙和防病毒软件 的主动保护系统，入侵保护系统是一种主动保护系统，能动态的监控网络 或计算机的行为，并以此判断是否存在入侵。但是传统入侵保护方法存在 不足，难于检测新形式的入侵，异常检测方法难于建立合理有效的正常行 为特征和检测方法。因此，如何对计算机和网络中的非法行为进行主动防 御和有效抑制，成为当今计算机安全亟待解决的重要问题。 基于生物免疫原理的传统免疫算法存在着漏报率高的问题。本文针对 该问题，讨论了具有可变阀值的免疫算法和测距法免疫算法，并给出了详 细的检测器生成和检测算法。具有可变阀值的免疫算法通过给每个检测器 设定阀值的方法，尽可能的扩大单个检测器的检测空间，从而使得整个检 测器集合的检测空间达到最大，实现降低系统漏报率的目的。测距法免疫 算法使得检测器在形态空间中均匀分布，实现降低系统漏报率的目的。在 文章中通过模拟实验的方法，验证了这两种免疫算法可以有效的降低系统 的漏报率。 关键词：免疫学，免疫算法，计算机入侵，信息安全 重庆邮电大学硕七论文 a b s t r a c t a b s t r a c t w i t ht h e r a p i dd e v e l o p m e n to fc o m p u t e ra n dn e t w o r kt e c h n o l o g i e s ， c o m p u t e rs y s t e mh a sb e e nd e v e l o p e dt oac o m p l i c a t e da n di n t e r c o n n e c t e d o p e n i n gs y s t e m ，w h i c hr e s u l t si nm o r es e r i o u sp r o b l e m so fi n t r u s i o n i n t r u s i o n p r o t e c t i o ns y s t e mi s as y s t e mt h a t c o n t i n u o u s l ym o n i t o r ss o m ed y n a m i c b e h a v i o r a lc h a r a c t e r i s t i c s0 fn e t w o r ko rc o m p u t e rs y s t e mt od e t e r m i n ei fa n i n t r u s i o nh a so c c u r r e d n o 、v ，t h em e t h o d so fi n t r u s i o np r o t e c t i o nc a nb ed i v i d e d i n t ot w oc a t e g o r i e s ，d e p e n d i n go nw h e t h e rt h e yl o o kf o rk n o w ni n t r u s i o n s i g n a t u r e s ( m i s u s ei n t r u s i o nd e t e c t i o n ) ，o rf o ra n o m a l o u sb e h a v i o r ( a n o m a l y i n t r u s i o nd e t e c t i o n ) h o w e v e r ，t h em a i nd i s a d v a n t a g eo fm i s u s ep r o t e c t i o nt h a t i t i su s e l e s st od e t e c tn e wk i n do fi n t r u s i o n ，a n dt h eo n eo fa n o m a l yp r o t e c t i o n t h a ti ti sd i f f i c u l tt ob u i l dn o r m a lb e h a v i o r a lc h a r a c t e r i s t i c sa n dd e s i g n p r o t e c t i o na l g o “t h m s oh o wt op r e v e n tc o m p u t e ra n dn e t w o r kf o r mav a r i e t y o fa t t a c k si np r o g r e s sb e c o m e sa ni m p o r t a n tp r o b l e mt ob es o l v e d t h eh i g hr a t eo f m i s s i n gr e p o r t o fi m m u n o l o g y - b a s e dt r a d i t i o n a l i m m u n o l o g ya l g o r i t h mi sap r o b l e m a ni m m u n o l o g ya l g o r i t h mw i t hv a r i a b l e t h r e s h o l da n dd i s t a n c em e a s u r e m e n ti m m u n o l o g ya l g o r i t h ma r ep r o p o s e dt o a b o v ep r o b l e ma n dt h em e t h o do fd e t e c t o f p r o d u c t i o na n dc h e c k i n ga r e p r e s e n t e di nt h ep a p e r f o rr e d u c t i o nr a t eo fm i s s i n gr e p o r t ，t h ei m m u n o l o g y a l g o r i t h mw i t hv a r i a b l et h r e s h o l de x p a n d ss p a c eo fd e t e c t o rs e tb ym e t h o d t h a ts e tt h r e s h o l dv a l u ef o r e v e r yd e t e c t o r f o rr e d u c t i o nr a t eo fr a t eo f m i s s i n gr e p o r t ， t h ed i s t a n c em e a s u r e m e n t i m m u n o l o g ya l g o r i t h mm a k e s d e t e c t o r su n i f o r md i s t r i b u t i o ni n s h a p es p a c e t h e f e a s i b i l i t y o f b o t h a l g o “t h m sw a sp r o v e db ys i m u l a t i o ne x p e r i m e n t si nt h ep a p e r k e y w o r d s ： i m m u n o i o g y ， i m m u n o l o g ya l g o r i t h m ，c o m p u t e ri n t r u s i o n ， i n f o r m a t i o ns e c u r i t y h 目录 目录 i i i 1 1 1 研究现状3 5 5 第二章基于生物免疫学的计算机免疫学一7 2 1 入侵保护系统概述与分类7 2 2 生物免疫系统概述一1 0 2 3 生物免疫系统的免疫原理1 3 2 4 生物免疫学与计算机免疫学1 5 2 5 计算机免疫学中的基本概念1 7 2 6 小结2 0 第三章计算机免疫算法研究2 l 3 1 计算机免疫算法基本架构2 1 3 2 影响检测率的两个重要因素2 2 3 2 1 空洞2 2 3 2 2 检测器集合覆盖空间的有限2 4 3 3 传统否定选择算法的研究一2 5 3 4 具有可变阀值的免疫算法2 7 3 4 1 检测器生成算法2 8 3 4 2 数学分析2 9 3 4 3 检测算法3 0 3 5 测距法免疫算法3 1 3 5 1 检测器生成算法3 2 3 5 2 数学分析3 3 3 5 3 检测算法3 3 i l i 重庆邮电大学硕士论文 目录 3 6 小结3 4 第四章 实验3 5 4 1 实验环境3 5 4 2 实验方法3 5 4 3 实验结果3 8 4 4 实验总结4 0 第五章总结及展望4 2 5 1 总结4 2 5 2 展望4 2 致谢4 4 攻读硕士学位期间从事的科研工作4 5 参考文献4 6 重庆邮电大学硕士论文 第一章绪论 1 1 引言 第一章绪论 随着信息技术，特别是i n t e r n e t 的飞速发展，计算机网络已逐渐成为 2 1 世纪全球最重要的基础设施。以此为基础建立起来的各种信息系统，给 人们的生活、工作带来了巨大变革。大型信息系统将众多的计算机和智能 化设备联接起来，共享丰富的数据库信息和计算机资源，完成异地之间的 数据交换与通信。信息系统的应用，加速了社会自动化的进程，减轻了日 常繁杂的重复劳动，同时也提高了生产率，创造了可观的经济效益。然而， 由于计算机网络具有联结形式多样性、终端分布不均匀性和网络的开放 性、互连性等征，致使信息系统面临层出不穷的威胁信息安全的攻击手段。 美国国会总审计局发布最新的信息安全报告中指出，网络攻击事件日 益增加，另外，网络黑客入侵手法也不断翻新。根据美国国家标准及技术 研究院的研究显示，每个月至少有3 0 至4 0 个黑客入侵网络的新手法产生。 因此，如何保障计算机系统、网络系统及整个信息设施的安全已经成为刻 不容缓的重要问题。 1 2 论文选题背景 当前，因特网上频繁发生大规模黑客入侵与计算机病毒泛滥事件，使 我国很多政府部门、商业和教育机构等，都受到了不同程度的侵害，有些 甚至造成了很坏的社会影响和重大的经济损失，2 0 0 0 年1 1 月2 8 日下 午c h i n a r e n 的“主页大巴”遭遇了极为罕见的严重硬件故障。导致文 件系统崩溃，3 0 万个人主页用户的所有资料丢失；2 0 0 1 年1 月3 0 日1 时左右，2 6 3 网络集团的i s p 业务页面、i d c 资料信息港页面等几乎在同 一时刻被黑客攻击。 在这些网络安全事故中，其中大部分都离不开网络入侵，而计算机网 络入侵也一直困扰计算机专家和用户。当前运用最广泛的网络入侵检测方 法是扫描法。这种方法和其他传统方法都有一个巨大的缺点，即无法检测 未知入侵，新入侵特征码提取工作需要由网络安全专家来完成。最近几年， 网络的飞速发展使网络入侵的方法更加便捷，简单的网络入侵工具使网络 重庆邮电大学硕七论文 第一章绪论 入侵事件频发，这些都使人工提取变得越来越不堪重负。 另一方面，黑客攻击在日益严重的网络安全问题上无疑是雪上加霜。 网络入侵保护的主要目的是检测未授权用户、误用和滥用的内部和外部用 户并对整个网络系统提供保护。但是，传统的入侵保护方法都是从定义入 侵模式开始，而后把采样的模式与这些入侵模式进行匹配进行检测，这样 使系统失去了多样性和自适应性，无法检测出已知攻击的变种和未知攻 击。 计算机的系统的安全问题与免疫系统所遇到的问题具有惊人的相似 性，两者都是要在不断变化的环境中维持系统的稳定性。计算机免疫系统 是人工免疫、计算机科学的一个分支，免疫系统所具有的多样性、耐受性、 免疫记忆、分布式并行处理、自组织、自学习、自适应和鲁棒性等特点， 激发人们探索其运行机理，并构造人工系统来模拟生物免疫系统的优良特 性，基于免疫的网络安全技术克服了传统解决办法的缺陷，被认为是一条 非常重要且有意义的研究方向。 生物免疫系统( b i o l o g i c a l i m m u n es y s t e m ，b i s ) 具有良好的多样性、 耐受性、免疫记忆、分布式并行处理、自组织、自学习、自适应和鲁棒性 等特点，b i s 的这些诱人特性、引起研究人员的普遍关注，近年来在国际 权威杂志及重要的国际学术会议上展开了热烈的讨论。 目i ； ，在应对现代网络中的各种安全隐患上，我们大都还是采用被动 方式，如在技术方面，开发出了诸如防火墙、识别与认证机制等，虽然这 种被动方式有一定防卫作用。但防卫效果还是不佳，因为这只是一种矛与 盾的关系。 鉴于此，一种新型的能实现计算机主动防卫的技术一计算机入侵保护 ( i n t r u s i o np r o t e c t i o n ) 技术成为一个重要的研究课题。计算机入侵保护系统 i p s ( i n t r u s i o np r o t e c t i o ns y s t e m ) 和机体免疫系统具有相似的功能，是对自 体( 指系统可接受的或合法的事件) 和非自体( 指系统不可接受的或非法的 事件) 的识别和检测，这为研究与开发计算机i p s 提供了一个自然的模板。 目前，基于免疫原理的入侵保护技术研究已成为一个研究热点。研究的目 的就是利用免疫系统的免疫原理、体系结构以及从中提取的有关算法来更 好地解决入侵保护中的相关问题。 基于免疫原理的入侵保护技术主要是通过借鉴和模仿生物免疫系统 的一些工作机制来进行入侵保护方面的研究。目前，利用免疫系统的免疫 过程和原理进行入侵保护基本上围绕着两种方法来进行： 第一种方法，也是最直接和最早使用的方法，它是直接将正常的合法 2 重庆邮电大学硕十论文第一章绪论 的或可接受的操作模式定义为自体集，以此来构建正常行为模式库，再对 操作模式进行监视，通过在正常模式库中搜索，若未找到相关记录就，标 记为不匹配。若找到相关记录就说明是合法操作或正常操作模式。另一种 方法是所谓的否定检测，由于该方法具有良好的分布性、健壮性、自适应 性等优点，因此这也是目前在基于网络的入侵保护中使用最多的方法。它 的核心是否定选择算法，目前，对否定检测的研究已成为计算机免疫学领 域中研究重点。研究内容主要包括自体集的构造、检测器的产生算法、检 测系统的体系结构等方面。 1 3 计算机免疫学的研究现状 19 5 8 年，澳大利亚学者b u r n e t 率先提出了克隆选择原理，19 6 0 年因 此获得诺贝尔奖。19 7 8 年他本人又对该原理予以了完整阐述。克隆选择原 理是免疫系统用来说明对抗原刺激所产生的免疫应答基本特征的算法理 论，只有识别抗原的细胞能进行克隆扩增。19 9 9 年，h u n t 进一步发展了 克隆选择理论，并且提出了高频变异学说，这是克隆选择扩增期间产生的 重要变异形式。 l9 7 4 年，丹麦学者j e r n e 提出了免疫系统的第一个数学模型，奠定了 免疫计算的基础。1 9 8 4 年，由于在免疫学上的杰出贡献，j e r n e 因此获得 诺贝尔奖。1 9 8 6 年，f a r m e rj d ，p a c k a r dn h 和p e r e l s o na s 在t h e i m m u n es y s t e m ，a d a p t i o na n dm a c h i n el e a r n i n g 中首次提出了免疫网络的 数学描述。认为人工智能可以从免疫系统中得到启发。同年，g w h o f f m a n n 为建立一个新颖的神经网络模型，分析了神经网络和免疫系统的相似性与 不同点，将免疫系统和神经网络进行比较，启发了更多的人来研究和提出 新的免疫网络模型。 1 9 9 4 年，美国学者f o r r e s t ，p e r e l s o n 等人提出了否定选择算法i5 1 ，用来 生成检测器，完成了检测器的耐受过程，并提出了计算机免疫系统的概念。 同时，美国著名公司i b m 也较早地开始了对计算机免疫系统的研究，已经 成功地开发了用于病毒防止的计算机免疫系统。l9 9 7 年，d e a t o n 等人提出 了一种基于分子的人工免疫系统，用来模仿自然免疫系统的这种能力，目 的是保护计算机免受计算机病毒和其他因素的破坏。经过长时间的研究， d a s g u p t a 于l9 9 9 年建立了一套计算机免疫系统，用来抵御外来入侵，保 障计算机系统的安全。同时，d a s g u p t a 及其学生一直致力于否定选择算法 重庆邮电人学硕+ 论文第一章绪论 的研究，并应用到计算机完全和异常检测及工业应用中。2 0 0 2 年，c a s t r o 和t i m m i s 对否定选择算法做了一定的修改，把变异引进到其中。同年， k i m 和b e n t l e y 提出了动态克隆选择算法( d y n a m i c s ) ，主要用于网络入侵 保护( n i p s ) 。至此，计算机免疫在理论上已日趋完善。 具体的来说，目前国内与国际上开展“计算机免疫学 的研究主要集 中在国防、军事、安全部门的应用上，比较有代表性的有： 1 美国新墨西哥大学的f o r r e s t 研究小组在深入分析生物免疫机制的 基础上，提出了一种计算机免疫系统模型，并给出了相应算法一一 否定选择算法。其实验结果显示，这种方法能够很容易地发现未知 病毒感染，进一步提高计算机系统的安全性。 2 i b m 研究中心的k e p h a r t 等人通过模拟生物免疫系统的各个功能部 件以及对外来抗原的识别、分析和清除过程，设计了一种计算机免 疫模型和系统，该系统主要是设计“饵”程序来捕获病毒样本，提 取病毒特征，并设计相应的病毒清除程序。 3 普度大学的s p a f f b r d 和、脚i 曲t p a f 佗r s o n a f b 空军技术学院的 m a r m e l s t e i n 都深入分析了计算机病毒的研究意义、研究方法和安 全性要求，并给出了相应计算机免疫系统模型。 4 日本丰桥科学技术大学的i s h i d a 也对基于免疫系统的计算机病毒 防御技术进行了深入地研究，并应用多a g e n t 技术与实现方法，在 计算机网络中进行计算机病毒的监测和清除工作，同时给出了将被 病毒感染的文件和系统修复的方法。 国内在计算机免疫方面的研究刚刚起步。武汉大学提出了基于多代理 的计算机安全免疫系统检测模型及对s e l f 集构造和演化方法，并在“s e l f 、 “n o n s e l f ”的识别规则上进行研究，提出用演化挖掘的方法提取规则，在 基于系统调用的基础上建立了位串检测器，借鉴食物链的一些特征，建立 一种多识别器协同识别模型；武汉大学与北方交通大学合作，提出了基于 主机安全扫描的计算机免疫系统检测；北方交通大学提出了一种基于免疫 入侵保护模型，并将随机过程引入计算机免疫研究；南京航空航天大学对 利用免疫机理进行抗病毒技术进行了研究；北京理工大学自动控制系从控 制论的角度论述了计算机免疫和生物免疫的相似性，提出计算机防病毒领 域中应用多代理控制技术构筑计算机仿生物免疫系统的可行性和实用性； 四川大学计算机网络与安全研究所提出了基于免疫的大规模网络入侵动 态取证，以及网络安全风险检测与控制等技术；中国科学技术大学研制了 一个“基于人工免疫的入侵预警系统 ，该系统具有较好的未知入侵预警 4 绪论 探讨 与实 计算 成功 入侵 计算 细的 讨论了应用这两种算法产生检测器和检测阶段的算法，且通过实验 验证了这两种方法的可行性，并就这两种免疫算法同传统的免疫算 法进行了实验对比。 1 5 论文组织结构 本文全文由五章和参考文献组成。五章的内容是这样安排的： 第一章论述了入侵保护的必要性，并介绍了相关技术的发展历史、 研究现状、论文的主要内容和全文的结构。 第二章介绍了入侵保护系统的概念和分类，论述了生物免疫系统 和计算机免疫系统的概念，介绍了计算机免疫系统的免疫 原理和计算机免疫系统中的基本概念。 第三章在本章中首先分析了影响免疫系统检测率的两个重要因 素，接着针对该问题讨论了具有可变阀值的免疫算法和测 距法免疫算法，给出了利用这两种算法生成检测器和利用 检测器进行检测的详细算法，并对生成检测器的算法进行 了一定的数学分析，包括一些关键参数计算和生成检测器 5 验方法，分别 法和测距法免 ，在本章的最 行了总结，同 6 重庆邮电大学硕士论文第二章基丁生物免疫学的计算机免疫学 第二章基于生物免疫学的计算机免疫学 2 1 入侵保护系统概述与分类 入侵保护系统通过从计算机系统中的若干关键点收集信息并加以分 析，检查是否有违反安全策略的行为和遭到袭击的迹象，从而提供对内部 攻击、外部攻击和误操作的实时保护。 入侵保护系统是一个比较新的研究领域。从a n d e r s o n 在2 0 世纪8 0 年代首次提出入侵保护的概念以来，入侵保护系统被逐步研究，并系统化 地发展成为信息安全体系结构中的一个重要环节。同时，入侵保护系统又 是一个比较复杂的研究领域，它是网络安全技术和信息处理技术的结合。 根据着眼点不同，入侵保护系统中分类方法很多。以下从入侵保护系 统的总体结构、数据源和入侵保护技术三个方面讨论入侵保护系统的分类 情况。 1 系统体系结构的分类 入侵保护系统的体系结构就是其各个组件在网络上的分布，以及它们 之间的关系。根据体系结构，入侵保护系统主要分两种：集中式和分布式。 其中分布式体系结构还可细分为层次式和协作式。 ( 1 ) 集中式入侵保护系统 ，集中式入侵保护系统可能有多个分布于不同主机上的审计程序，但只 有一个中央入侵保护服务器。审计数据由分散的主机审计程序收集后传送 到中央入侵保护服务器，由服务器对这些数据进行分析。如图2 1 所示为 集中式i p s 的体系结构示意图。集中式i p s 的优点是设计简单，适用于小 型网络中入侵保护。但是，随着网络规模的扩大，主机审计程序和服务器 之间传送的数据量就会骤增，导致网络性能大大降低。并且，一旦中央入 侵保护服务器受到攻击，那么整个受保护系统就会处于不安全状态。因此， 这种类型的入侵保护系统的可扩展性、健壮性和可配置性都存在严重的缺 陷。 二：中央服务器譬、坪 0 蒜主吟辚每 一控制信息中卡， 。 卜审计数据 & ， 上 图2 1 集中式i p s 体系结构示意图 7 重庆邮电人学硕士论文第一二章基于生物免疫学的计算机免疫学 ( 2 ) 分布式入侵保护系统 分布式i p s 的各个组件分布在网络中不同的计算机、设备上，一般来 说分布性主要体现在数据收集和数据分析模块上。分布式i p s 根据各组件 间的关系还可细分为层次式i p s 和协作式i p s 。其中层次式i p s 是一种部 分分布式控制形式，而协作式i p s 是全分布式控制形式。 层次式i p s 在层次式i p s 中，定义了若干个分等级的监测区域，每一个区域有一 个专门负责分析数据的i p s ，每一级i p s 只负责所监测区域的数据分析， 然后将分析结果传送给上一级i p s 。图2 2 所示为层次式i p s 的体系结构示 意图。 二：中央服务器 o 审计程序 一控制信息 卜审计数据 图2 2 层次式i p s 的体系结构示意图 监测区域可以根据地理位置、管理功能、软件平台的类型以及预处理 的入侵方式等进行划分。例如相同类型的操作系统产生的审计数据可以被 传送到同一个i p s 进行分析。层次式i p s 通过分层分析很好的解决了集中 式i p s 的不可扩展性问题。但是，这种结构也存在一些问题：( 1 ) 当网络 拓扑结构改变时，区域分析结果的汇总机制也需要做相应的调整。( 2 ) 一 旦位于最高层i p s 被攻击后，那些只有通过对局部报告进行全局分析才能 发现的整个网络范围的协同攻击就会很容易的逃过检测。 协作式i p s 协作式i p s 将中央入侵保护服务器的任务分配给若干个基于主机的 i p s ，这些i p s 不分等级，每个i p s 只负责监控本地主机的某些活动，所有 的i p s 并发执行并且相互协作。协作式i p s 与层次式i p s 的不同之处在于 局部i p s 之间是平等关系。任何一个i p s 都可以向其它i p s 发请求或者传 递数据信息，因此每个i p s 都必须知道其他i p s 的身份信息( 如地址、保 护范围等) ，所以在协作式i p s 中有一个保存各i p s 身份信息的组件，即信 息服务中心。图2 3 所示为协作式i p s 的体系结构示意图。 在协作式i p s 中，任意一个局部i p s 的失败都不会导致协同攻击保护 的失败，系统的可扩展性、安全性都得到了显著的提高。但是，这种方式 也带来了新的问题，即主机之间的通信机制，审计机制以及审计数据分析 8 重庆邮电大学硕十论文 第二章基于生物免疫学的计算机免疫学 机制的优劣直接影响了协作式入侵保护系统的效率。目前，研究人员正致 力于如何提高主机之间的通信、审计和分析效率。 二：信息服务中心 。 监测区域i p s 一身份信息 卜审计数据 图2 3 协作式l p s 的体系结构不恿图 2 检测数据源的分类 入侵保护系统按照其输入数据的来源看，可以分为两类：基于主机的 入侵保护系统和基于网络的入侵保护系统。 ( 1 ) 基于主机的入侵保护系统 基于主机的入侵保护系统保护目标主要是本地主机系统和网络系统 中的本地用户。它通过监视与分析主机的审计记录和系统日志防止入侵， 保护系统运行在被保护单个主机上。基于主机的入侵保护系统分析的信息 源一般有两种：审计记录和系统日志。审计记录是操作系统的内核在操作 的时候生成的，所以比系统日志的信息有更多和更可靠的信息。然而，系 统日志比审计记录要少，简单易懂，处理起来方便。在实际应用中，基于 主机的i p s 一般监视w i n d o ws e r v e r 上的事件、安全日志以及u n i x 环境 中的s y s l o g 文件。一旦发现这些文件发生变化，i p s 将比较新的日志记录 与攻击特征以察看它们是否匹配。如果匹配，i p s 就向管理员发出入侵报 警，并采取相应的保护措施。 ( 2 ) 基于网络的入侵保护系统 基于网络的入侵保护系统使用原始的网络分组数据包作为入侵分析 的数据源。通过监听某个网段的流量，一个基于网络的入侵检测系统可以 监控并分析该网段发生的事件，从而保护该网段的所有主机。一旦检测到 攻击，基于网络的i p s 响应模块按照配置对攻击做出反应。通常这些反应 包括发送电子邮件、记录日志、切断网络连接等。 3 入侵保护技术的分类 ，入侵保护系统有两种主要的入侵保护技术：误用保护和异常保护。大 部分现有的入侵保护工具都是使用误用保护方法。异常保护方法虽然还没 有得到广泛的应用，但它是目前入侵保护系统的研究热点。多数专家认为， 最有效的保护方法是主要使用误用保护方法，再加上些具有异常保护功 能的组件。 9 重庆邮电大学硕+ 论文第二章基于生物免疫学的计算机免疫学 ( 1 ) 误用保护技术指的是通过预先精确定义的入侵模式对观察到的 用户行为和资源使用情况实时进行保护。这种保护方式同病毒检测方式基 本一致。这种方法由于依据具体特征库进行判断，所以准确度高，而且它 可以提供攻击的详细信息，有助于系统管理员采取适当的响应措施。主要 缺陷在于与具体系统的依赖性太强，不但系统移植性不好，维护工作量大， 而且将具体入侵手段抽象成知识也很困难。并且这种方法只能防御大部分 已知的入侵模式，对未知的入侵模式没有作用。误用检测的关键问题是如 何从已知入侵中提取和编写特征，使得其能够覆盖该入侵的所有可能变 种，而同时不会匹配到非入侵活动。 ( 2 ) 异常保护技术是指从审计记录中抽取出一些相关量进行统计， 为每一个用户建立一个用户扼要描述文件，称为特征轮廓。特征轮廓是用 户正常行为的统计概要，当用户行为与他以f i 所建立的轮廓的差异超过一 定程度时，就认为可能有入侵行为发生。异常检测技术的难点是必须精确 地定义计算机系统以及网络中的授权用户的合法行为、正常通信模式等正 常的特征，并且还要精确定义非法与合法代码和数据之间的边界，因为哪 怕只有一位的不同可能就标志着有入侵发生。但实际中，由于本地主机和 网络系统的复杂性，再加上环境的多变性，要严格定义正常和异常之间的 区别却是一件非常困难的事情。 2 2 生物免疫系统概述 免疫学( i m m u n o l o g y ) 是生命科学的一个重要组成部分，是研究机体 自体识别和对抗原性异物排斥反应的一个新兴学科：免疫( i m m u n e ) 是机 体识别“自体”与“非自体”抗原，对自身抗原形成天然免疫耐受，对“非 自体”抗原产生排异作用的一种生理功能。免疫功能是免疫系统在识别和 清除“非自体”抗原过程中产生的各种生物学作用的总称，主要包括免疫 防御、免疫自稳和免疫监视三个方面的内容。 近几年，随着入侵保护技术研究的深入，人们逐渐意识到生物系统在 生物体中的角色类似于计算机安全研究领域中的入侵保护系统。生物免疫 系统能够保护人体不受细菌、病毒、寄生虫、毒素等外来病菌的侵害，而 入侵保护负责保护计算机系统不受来自内部和外部的入侵行为的侵害。即 它们都要保护高度复杂的系统以免受恶意攻击，为此它们都要区分数量庞 大的“自身细胞( 正常行为) 和“非自身细胞”( 异常行为) 。因此将生 1 0 重庆邮电大学硕士论文第二章基于生物免疫学的计算机免疫学 物免疫系统的原理。算法和体系结构用于计算机安全领域正成为当前的一 个研究热点。 免疫系统( i m m u n es y s t e m ) 是由具有免疫功能的器官、组织、细胞 和分子组成，是机体免疫机制发生的物质基础。免疫系统的免疫原理可比 拟为区分“自体”( 生物自身的细胞和分子) 和“非自体”( 外部抗原) ， 并消灭和清除“非自体”。免疫系统发挥功能的两个关键点是：( 1 ) 识别 病原体，即识别外部抗原，由免疫细胞完成。( 2 ) 有效地消除病原体和免 疫系统自身衰老残损的组织、细胞，以使对机体的损害最小，由免疫应答 完成。免疫应答分为t 细胞介导的细胞免疫和b 细胞介导的体液免疫。 1 抗原 抗原是指能够诱导机体免疫系统发生免疫应答、产生抗体和或致敏 ( 效应) 淋巴细胞，同时又能与免疫应答产物( 即相应抗体和或敏( 效应) 淋巴细胞) 在体内外特异性结合、发生免疫反应的物质。抗原通常具有两 种基本性能：( 1 ) 免疫原性：指抗原刺激机体免疫系统，使之产生抗体和 或敏( 效应) 淋巴细胞的性能；( 2 ) 免疫反应性：指抗原能与免疫应答产 物即相应抗体和或致敏( 效应) 淋巴细胞特异性结合，发生免疫反应的性 能。抗原是免疫应答的始动因子。抗原的特异性既表现在免疫原性上，也 表现在免疫反应性上。 。 2 免疫细胞 免疫细胞泛指所有参加免疫应答或与免疫应答有关的细胞及其前身， 主要包括造血干细胞、淋巴细胞、单核巨噬细胞及其他抗原呈递细胞、粒 细胞、肥大细胞和红细胞等。 造血干细胞是存在于造血组织中的一群原始造血细胞。造血干细胞具 有自体增生和分化两种功能，是各种血细胞的共同祖先。 淋巴细胞来源于淋巴干细胞，是群白细胞，带多种不同的抗原受体。 从大的细胞群体来源可分为t 细胞、b 细胞和第三群淋巴细胞。后者包括 自然杀伤细胞等。t 细胞和b 细胞分别介导细胞免疫和体液免疫。 t 淋巴细胞 t 淋巴细胞，简称t 细胞，是来自胚肝或骨髓的始祖t 淋巴细胞，是 在胸腺内，微环境作用下分化发育成成熟的淋巴细胞，故称胸腺依赖性淋 巴细胞。 始祖t 细胞进入胸腺后，经历三个不同的分化发育阶段：早期t 细胞 发育阶段：阳性选择阶段；阴性选择阶段。 b 淋巴细胞 重庆邮电大学硕士论文 第二章基于生物免疫学的计算机免疫学 b 淋巴细胞，简称b 细胞，是始祖b 淋巴细胞在人和哺乳动物骨髓或 禽类腔上囊中发育分化成熟的淋巴细胞，故称骨髓依赖性淋巴细胞。哺乳 动物b 细胞在骨髓内的发育，经历b 细胞、前b 细胞，未成熟b 细胞和 成熟b 细胞几个阶段。 抗体 抗体是机体免疫细胞被抗原激活后，由分化成熟的浆细胞合成分泌的 一类能与相应抗原特异性结合的具有免疫功能的球蛋白。抗体具有免疫功 能，是重要的免疫分子。 3 免疫应答 主要包括免疫细胞对抗原的加工、处理和呈递，以及抗原特异性淋巴 细胞识别抗原自身活化、增生、分化，进而产生免疫效应的过程。免疫应 答的重要生物学意义是及时清除体内抗原性异物以保持内环境的相对稳 定。免疫应答根据其效应机制，可分为b 细胞介导的体液免疫和t 细胞介 导的细胞免疫两种类型。 免疫应答是在抗原性异物刺激下，由多种免疫细胞和细胞因子相互作 用共同完成的复杂过程，可人为地分为两个阶段。 1 )感应阶段 指抗原呈递细胞捕获、加工、呈递抗原和抗原特异性淋巴细胞识别抗 原后启动的阶段，又称抗原识别阶段。 2 )反应阶段 指抗原特异性淋巴细胞( t 、b 细胞) 接受抗原刺激后，在细胞因子 参与下活化、增生、分化为致敏( 效应) t 细胞和浆细胞的阶段，又称增 生分化阶段。在此阶段，部分淋巴细胞中途停止分化，称为静止状态的免 疫淋巴细胞。这些细胞为长命淋巴细胞，在间隔相当长的时间后，当它们 与相同抗原再次相遇时，可迅速增生分化为致敏( 效应) t 细胞和或浆细 胞，这种淋巴细胞称为记忆细胞。 根据学习和记忆特性，免疫系统存在两种免疫应答：初次应答和再次 应答。机体初次接受适量抗原免疫后，需经一定( 较长) 潜伏期血清中才 能出现抗体，这种现象称为初次应答。初次应答后，当抗体下降恢复正常 时，再用相同抗原进行免疫，则抗体产生的潜伏期明显缩短，抗体含量大 幅度上升，且维持时间长久。这种现象称为再次应答，再次应答不仅发生 在遇到相同抗原时，当机体遇到类似于相同抗原的病原时也发生再次应 答。 1 2 重庆邮电人学硕七论文第_ 二章基于生物免疫学的计算机免疫学 2 3 生物免疫系统的免疫原理 要利用免疫原理来进行入侵防御研究，我们必须对免疫系统的免疫原 理和过程有一定的理解。免疫系统是由器官、细胞和分子组成的一个复杂 系统，它是除神经系统外，机体能准确地识别“自体非自体 ，对之做 出特异性免疫应答，并具有记忆能力的功能系统。免疫系统的功能主要由 免疫细胞的相互作用来完成具体地说，免疫系统对病原体的识别和消除 工作是通过免疫细胞与病原体细胞的结合来达到的，实质上是免疫细胞表 面上的受体与病原体细胞或蛋白质片断表面上的表位( 或称抗原决定基) 之 间的互补结合来达到的，一旦出现结合就表明发生了一次检测或识别事 件。 由于人体里的免疫细胞数量是有限的，而免疫细胞表面上的受体数量 也是一个有限的固定值( 据估计，一个淋巴细胞表面约有l o 个受体) ，因此 为了有效识别病原体，必须要产生足够数量的免疫细胞或受体。b 细胞和 t 细胞分别在骨髓和胸腺里发育成熟，在发育过程中，通过随机选取候选 基因库里的基因片段进行组合来产生免疫细胞所需要的各种受体，这种产 生或发育过程的随机性使得免疫细胞表面上的受体可能与属于自体细胞 的表位发生结合，从而引起自体免疫反应，对机体带来损害。为了防止这 种情况，处于成熟期的免疫细胞在离开骨髓和胸腺前，必须经过一个称为 “否定选择”( n e g a t i v es e l e c t i o n ) 的审查过程。经过了否定选择过程，成熟 的b 细胞和t 细胞才离开骨髓或胸腺，进入到人体血液中不断循环。在循 环过程中，b 细胞通过与抗原的结合来识别抗原，若结合的数量超过了某 个阈值或在辅助性t 细胞和主要组织相容性复合体( m a j o r h i s t o c o m p a t i b i l i t yc o m p l e x ，m h c ) 相互结合的协助下，b 细胞就被激活， b 细胞被激活后，通过细胞分裂进行复制，产生出大量能与抗原结合的细 胞后代，从而就进入克隆选择阶段。在这个阶段，克隆所得的后代细胞要 经历一个超成熟机制的过程。 复制所得的后代依据它们与抗原表位的亲和力，通过竞争来取得与抗 原结合的机会，具有高亲和性的后代细胞得以保存下来，保存下来的后代 细胞又会被激活而进行细胞分裂，而那些在一定的时间内无法与抗原结合 的免疫细胞会自行凋亡。通过这种机制，其中，部分克隆细胞可以成为记忆 细胞，这些记忆细胞具有更低的激活阈值和较长的生命周期，当再次遇到 具有相似结构的抗原时，可以进行快速的二次免疫应答。免疫细胞通过“否 定选择 的检查过程和超成熟机制，避免存在具有自体免疫反应的免疫细 重庆邮电人学硕士论文 第- 二章基于生物免疫学的计算机免疫学 胞，使得免疫细胞只对非自体成份的抗原做出免疫应答，对“自体 成份 形成免疫耐受，不产生免疫应答，以保持机体的动态稳定，维持机体健康， 保持机体功能的连续性。由此可以看出，在整个免疫系统中，否定选择算 法是免疫系统识别非自体，对自体形成自体耐受的关键所在。 免疫系统必须能够识别许多以前没有遇到过的细胞和抗原分子，并决 定如何应答。有些抗原不能被攻击，如自体抗原。免疫系统能记住遭遇过 的抗原，再次进来时能在发病前消除它们。免疫应答和免疫记忆是复杂的， 对此至今科学界解释得还不是很清楚。 首次遇到抗原时，在对其识别结束后以最优抗体的形式保留对该抗原 的记忆信息。在以后遭遇抗原时，记忆群体会很快生成大量抗体，在异常 出现前清除抗原，这就是免疫系统的一次应答。在二次应答中，对初次抗 原的记忆细胞很快生成大量的特异抗体，从而使二次应答比初次应答更快 更健壮。 如果出现了一个新的但是与以前初次应答中类似的抗原( 结构上相似 但不完全相同) ，一些对初次抗原的记忆能被该抗原激活，产生二次免疫 应答。换句话说，免疫系统的二次应答具有适应性。免疫应答的实质就是 识别、效应和记忆的过程。在寻找不稳定环境的优化时，记忆能提高免疫 系统的有效性。 免疫细胞经历骨髓成熟并进入免疫循环。成熟的免疫细胞具有固定的 生命同期t ，若在t 时间内未遇抗原没能累积足够的亲和力变成记忆细胞， 则走向死亡并被新生的免疫细胞代替，进行新的循环。若免疫细胞在其生