（计算机应用技术专业论文）基于人工免疫算法的入侵检测系统研究.pdf

西安建筑科技大学硕士论文 基于人工免疫算法的入侵检测系统研究 专鼗：诗雾瓿应躅 硕士生：翟书颖 指导教师：武维善教授 摘要 本文主要对各种人工免疫算法在入侵检测领域的应用进行了研究，所介绍的 三耱进化算法分别源于人类凫疫系绞鳃菜个免疫过瑕。本文逐过骚突发瑰否意选 择、克隆选择和基因库进化这三种算法的综合应用使得人工免疫入侵检测系统具 备t 自适摩躲能力，同时本文还对澎响入侵捡溅性熊戆参数进露了深入分毒茬。 本文所做的工馋包括以下六个方矮：1 ) 对人类免疫系绫中对基于人工兔疫 系统的入侵检测最为关键的概念进行了分桥；2 ) 介绍了一个改进的基于人工免 疫系统的入侵检测系统模型，该模型由三个避化过糗组成：孬定选择、克隆选择 和簇因库进化，同时证明了该模型能够符合网络入侵检测系统的设计目标；3 ) 证明否定选择算法在应用于真实网络环境中时存在严重地伴缩性问题；4 ) 诞明 了由克隆选择算法与否定选择算予相结合开发的静态克隆选择算法符合小生境 策略，并取得了可接收的锺体耐受性能；5 ) 结合兰个人类免疫系绕概念开发了 动态克隆选择算法，使得烈s 可以处理动态改变的抗原数据，另外通过实验对这 三个新引入的参数对动态克隆选择簿法的影响进行了分析，这三个参数分别是： 耐驻期闯、激活闰德和生命期限；6 ) 证明了通过使用超突变模拟蘩因库进纯提 出了扩展的动态克隆选择算法能进一步提高系统的性能。 通过以上几方面的研究得到如下的结论：结合三个免疫过程的入侵检测模 塑对连续交伍的琢浚表现积了较赢的适应髓力，髓够露不符交纯韵“垂体”模式 进行学习而检测出新的“非自体”模式。 关键字：网络安全；入侵检测；人工免疫系统 睡安建筑科技大学硕士论文 a r t i f i c i a li m m u n ea l g o r i t h m b a s e di n t r u s i o nd e t e c t i o ns y s t e mr e s e a r c h s p e c i a l t y ：c o m p u t e ra p p l i c a t i o n n a m e ：z h a i s h u y i n g i n s t r u c t o r ：p r o f w uw e i s h a n a b s t r a c t t h i st h e s i sf o c u s e so nt h ec o m b i n a t i o no fas e to fm - t i f i c i a li n l m u n ea l g o r i t h m s a n dt h e i ra p p l i c a t i o nt oi n t r u s i o nd e t e c t i o n t h r e ee v o l u t i o n a r ya l g o r i t h m sa r e i n v e s t i g a t e d e a c hb a s e do no n ep r o c e s sf r o mt h eh l m a a ni n l m u n es y s t e m 。i ti s d e m o n s t r a t e dt h a tt h e s et h r e ea l g o r i t h m s ，n e g a t i v es e l e c t i o n ，c l o n es e l e c t i o na n dg e n e l i b r a r ye v o l u t i o n , l e a dt os e l f - o r g a n i z a t i o ni nt h ea r t i f i c i a li n l i n u n ei n t r u s i o nd e t e c t i o n s y s t e m i na d d i t i o n ，t h ea t t r i b u t e sr e q u i r e d f o re f f e c t i v ei n t r u s i o nd e t e c t i o na r e a n a l y z e di nd e p t h t 1 1 i st h e s i sm a k e st h ef o l l o w i n gs i xm a i nc o n t r i b u t i o n s 1 、t h ec o m p o n e n t so f h u m a ni m r f l u n es y s t e m st h a ta r ec r u c i a lt ot h ei m p r o v e m e n to fa i sf o ri n t r u s i o n d e t e c t i o na r ei d e n t i f i e d 2 ) a ni m p r o v e ds y s t e m a t i cf r a m e w o r kf o ra i sf o rn e t w o r k i n t r u s i o nd e t e c t i o ni si n t r o d u c e db yc o m b i n i n gt h r e ee v o l u t i o n a r ys t a g e s ：n e g a t i v e s e l e c t i o n ，c l o n es e l e c t i o na n dg e n el i b r a r ym a i n t e n a n c e i ti sd e m o n s t r a t e dt h a tt h i s f r a m e w o r kc a nf u l f i l lt h er o l eo fan e t w o r k - b a s e di n t r u s i o nd e t e c t i o ns y s t e m 。3 ) i ti s d e m o n s t r a t e dt h a tt h en e g a t i v es e l e c t i o na l g o r i t h me m p l o y e df o rt h i st h e s i sh a sa s e v e r es c a l i n gp r o b l e mw h e na p p l i e di nar e a ln e t w o r ke n v i r o n m e n t ，4 1t ti s d e m o n s t r a t e dt h a tas t a t i cc l o n a l l ys e l e c t i o na l g o r i t h mw i man e g a t i v es e l e c t i o n o p e r a t o ra c h i e v e se f f i c i e n tn i c h em a i n t e n a n c ea n da c c e p t a b l es e l f - t o l e r a n c e 5 、a d y n a m i cc l o n a l t ys e l e c t i o na l g o r i t h mt h a tc o m b i n e st h r e ee v o l u t i o n a r ys t a g e sa l l o w s t h ea i st ob ea d a p t a b l et od y n a m i c a l l yc h a n g i n ga n t i g e nb e h a v i o r s t h ee f f e c to f t h r e ep a r a m e t e r so nt h eb e h a v i o ro ft h ed y n a m i cc l o n a l l ys e l e c t i o na l g o r i t h mi s a n a l y z e d t h e s ep a r a m e t e r sa r e ：t o l e r a n c ep e r i o d ，a c t i v a t i o nt h r e s h o l da n dl i f es p a n s a t i s f a c t o r yt pa n df pr a t e sa r eo b t a i n e db ys e t t i n gt h e s ep a r a m e t e r st oa p p r o p r i a t e v a l u e s 6 ) i ti sd e m o n s t r a t e dt h a tt h ee x t e n d e dd y n a m i cs e l e c t i o na l g o r i t h mw h i c h s i m u l a t e st h e g e n el i b r a r ye v o l u t i o nu s i n gh y p e r m u t a t i o nf u r t h e ra d v a n c e st h e p e r f o r m a n c eo f a i s i i 诞安建筑科技大学硕士论文 t h e s ec o n t r i b u t i o n ss u p p o r tt h e c o n c l u s i o no ft h i st h e s i s ：t h a ta l la r t i f i c i a l i m m u n em o d e lh a r n e s s i n gt h et h r e ee v o l u t i o n a r ys t a g e sd e m o n s t r a t e sa d a p t a b i l i t yt o c o n t i n u o u s l yc h a n g i n ge n v i r o n m e n t s ，d y n a m i c a l l yl e a r n i n gt h ef l u i dp a t t e r n so f s e l f ， a n dd e t e c t i n gn e w p a t t e r n so f n o n - s e l f k e y w o r d s ：n e t w o r ks e c u r i t y ；i n t r u s i o nd e t e c t i o n ；a r t i f i c i a li m m t m es y s t e m ； 1 1 1 声踢 本人郑重声明我所呈交的论文是我个人在导师指导下进行的研究工 作及取得的研究成果。尽我所知，除了文中特别加以标注和致谢的地方外， 论文中不包含其他人已经发表或撰写过的研究成果，也不包含本人或其他 人在其它单位已申请学位或为其它用途使用过的成果。与我一同工作的同 志对本研究所做的所有贡献均已在论文中作了明确的说明并表示了致谢。 申请学位论文与资料若有不实之处，本人承担一切相关责任。 论文作者签名：名易眵教 日期：c k 弓“j 关于论文使用授权的说明 本人完全了解西安建筑科技大学有关保留、使用学位论文的规定，g p ： 学校有权保留送交论文韵复印件，允许论文被查阅和借阅；学校可以公布 论文的全部或部分内容，可以采用影印、缩印或者其它复制手段保存论文。 ( 保密的论文在论文解密后应遵守此规定) 论文作者签名：径书教 导师签名：日期：良一矗3 j 注：请将此页附在论文首页。 西安建筑科技大学硕士论文 1 1 课题背景 第一章绪论 随着网络技术的发展和应用范围的扩大，特别是i n t e m e t 的迅速发展，大大地 改变了以单机为主的计算模式，人们越来越依赖于网络来进行迅速的信息访问和 对不同来源的数据的快速搜集和整理。进入九十年代以来，i n t e m e t 极大的加快了 社会信息化的步伐。借助于网络环境，实现了跨地区的电子商务、电子银行、电 子政务、金融网络以及虚拟社区等多种应用。一方面，网络的广泛应用提供了资 源的共享性，提高了系统的可靠性，并且通过分散工作负荷提高了工作效率，具 有可扩充性特点；但另一方面，也正是资源的共享和分布这些特点，急剧增加了 网络安全的脆弱性和网络遭受攻击的可能性和风险性【l 。主要表现为，网络中的 信息传输安全和存储安全，特别是存储的应用信息和管理信息如：系统软件等， 经常遭受恶意或非法用户的攻击，使得这些信息被非法获取或破坏，严重者导致 计算机网络瘫痪。总之，网络安全变得越来越重要，它关系到商业利益、个人隐 私乃至国家机密。因此，如何对计算机系统和网络中的各种非法行为进行主动防 御和有效抑制，成为当前计算机安全亟待解决的重要问题【3 】。 在技术方面，虽然传统的网络安全技术：如防火墙、识别与认证机制等，有 一定防卫作用，但这些技术只是一种被动防卫，不能进行主动防卫。鉴于此，一 种新型的能实现计算机主动防卫的技术一计算机入侵检测技术( i n t r u s i o nd e t e c t i o n s y s t e m ，i d s ) 成为一个重要的研究课题。 当前，研究人员已经提出了多种入侵检测模型，如集中式模型、分布式模型 及协同式模型等等，这些模型都各自具有自己的特点，但这些设计还远远不能满 足一个完备的入侵检测系统所需具备的要求，因此，需要对入侵检测模型的设计 进行重新考虑。 人工免疫系统( a r t i f i c i a l t l l l n l m es y s t e m ，a t s ) 是对人类免疫系统( h u m a n i m m u n es y s t e m ，h i s ) 进行模拟的系统，通过从不同种类的抗体中构造自己一非己 非线性自适应网络，在处理动态变化环境中起作用。基于人工免疫系统提供了噪 声忍耐、自学习、自组织、不需要反面例子，能明晰地表达学习的知识，结合了 分类器、神经网络和机器推理等学习系统的一些优点。从信息处理科学角度看， 人工免疫系统与神经网络系统一样，也是一个高度的并行处理系统。它除了具备 学习能力记忆能力外，还表现出相关修复能力、分布性和自组织性，为智能控制 和智能优化系统的研究提供又一途径。当前，有关对人工免疫算法及其与其他科 西安建筑科技大学硕士论文 研领域相结合的研究方兴未艾。 在入侵检测方法和技术研究中，人们发现人工免疫系统与入侵检测系统具有 惊人的相似性，前者保护机体不受诸如病菌、病毒等各种病原体的侵害，而后者 保护计算机系统不受或少受入侵事件的危害或威胁，两者都是在不断变化的环境 中维持系统的稳定性。表1 1 给出生物体免疫系统和网络入侵检测系统概念的对 比，从中可以看出二者的相似性： 表1 - 1 人工免疫系统概念和网络入侵检测系统概念对比 缩氨酸肮原决定基被检测的行为模式串 抗体检测模式串 单克隆淋巴细胞( t - 细胞、b 一细胞) 检测器 抗原异己模式串 绑定检测模式串和异己模式串的匹配 耐受性( 阴性选择) 否定选择 淋巴细胞克隆 检测器复制 抗原检测入侵检测系统的检测 抗原清除检测器响应 这种相似性使得免疫系统为入侵检测提供了一个自然的研究模板，而且免疫 系统在信息处理中表现出了分布式保护、多样性、自适应性、健壮性、可扩展性、 记忆能力、容错能力、动态稳定性以及异常检测等良好特性，这些特性正是当前 入侵检测领域中所期望得到的，有利于克服当前i d s 所面临的问题，因此借鉴生 物免疫系统的免疫原理进行入侵检测技术研究已引起了网络安全人员的高度重 视，目前这方面的研究已成为一个热门研究方向。 本文的工作就是基于这样的背景，借鉴人工免疫系统领域的成果，将其应用 到网络入侵检测中来，以此来构建一个较为完备的网络入侵检测系统。 1 2 国内外研究现状 关于网络安全及计算机入侵检测系统的研究可以追溯到2 0 多年前，可以说， 安全问题是随着计算机普及程度的不断提高而不断发展起来的。 、 1 9 8 0 年，a n d e r s o n 等人首次提出入侵检测的概念，他采用计算机系统风险和威 胁分类的方法，将威胁分为外部渗透、内部渗透和滥用三种。还提出了利用主机 审计数据跟踪入侵活动的思想，开创了基于主机的入侵检测研究的先河【4 ”。 1 9 8 7 年，d e n n i n g 等人提出了一个实时入侵检测系统模型i d e s ( i n t r u s i o n d e t e c t i o ne x p e r ts y s t e m ) 。该模型由六个部分组成：主体、对象、审计记录、特征 西安建筑科技大学硕士论文 描述、异常记录和活动规则【6 j ，该模型对后人的研究产生了较为深远的影响。 1 9 8 8 年，l u n t 等人进一步改进了d e n n i n g 提出的入侵检测模型，并开发了第一 个i d s 原型系统1 7 j 。 1 9 9 0 年，h e b e r l e i n 等人提出了一个新的概念：基于网络的入侵检测_ n s m ( n e t w o r ks e c u r i t ym o n i t o r ) h j ，n s m 开创了基于网络的入侵检测系统的研究。 近年来，随着免疫学的发展，人们对免疫系统有了更深入的了解和认识。免疫 系统成功保护机体免受各种侵害的机理为研究i d s 提供了重要依据，它可以很好 的应对前面提出的几大难题。新墨西哥大学的f o r r e s t 最早将免疫系统的免疫原理 引入到入侵检测领域，她提出可将信息安全问题看成一个更加普遍的问题，即如 何区分自我与非甜”】。美国孟菲斯大学的d a s g u p t a 等提出的基于免疫自主体的入 侵检测系统框架，是基于多代理的入侵检测和响应系统，将免疫的许多方面都整 合在一个框架中【“】。英国大学的k i m 在指出f o r r e s t 等人研究存在问题的基础上提 出了一个新的人工免疫入侵检测系统方案，综合应用了较多的人工免疫概念，取 得了比较好的实验效果【1 2 4 1 。 到现在为止，国外已有一些机构对人工免疫系统，计算机免疫系统，基于免 疫系统的各种应用等进行了不同程度的研究和讨论，例如i b m 公司w a t s o n 研究中 心开发的计算机病毒产品d i g i t a li m m u n es y s t e mf o rc y b e r s p a e e l l ”，美国空军技术 学院的计算机病毒免疫系统【l6 】等。他们希望利用生物免疫系统的分布特性和自适 应等特性，摆脱近年来计算机病毒大量繁殖和快速传播的困境。此外，在英国， 意大利以及日本等国也有诸如此类的研究。国内也有数家公司( 如安氏中国、中 联绿盟、中科网威等) 推出了自己相应的产品【1 7 】。 当前网络安全正朝着以预防为主的方向发展，基于人工免疫系统的入侵检测 技术研究正符合这一发展的要求，本文在深入了解人类免疫系统相关理论的基础 上，结合前人的研究成果，就基于人工免疫的网络入侵检测系统展开了研究。 1 3 作者所做的工作 本课题的工作结合了本人在国内某著名信息安全公司实习期间的项目研究 内容，即基于人工免疫系统的网络入侵检测系统a i s ，n e t w o r ka r t i f i c i a l i m m u n es y s t e m ) 的软件开发和研究。作者希望综合利用生物免疫原理、人工免 疫系统、网络安全、入侵检测及遗传算法等知识，探讨如何利用人类免疫原理 中的否定选择、克隆选择及基因库进化等开发出一个较为完备的入侵检测系统。 在研究过程中，参阅了大量的国内外相关论文，在总结前人研究成果的基 础上进行了大量的实现、改进及创新工作。总的来说，作者的工作可以分为如 西安建筑科技大学硕士论文 下几个方面： ( 1 ) 在总结前人入侵检测模型优缺点及对k i m 等人提出的基于人工免疫系统 的入侵检测模型改进的基础上，对nm s 的模型进行说明； ( 2 ) 探讨否定选择算法在na i s 的应用，分析单独将否定选择算法应用于异 常检测时的系统性能： ( 3 ) 将否定选择算法作为克隆选择的一个内嵌环节，对这两种算法进行综合， 并利用小生境策略开发出一个静态克隆选择系统模块s t a t i cc s ； ( 4 ) 针对静态克隆选择只能作为误用检测的特点，对其进行改进，引入多个人 类免疫系统概念，开发出一个动态克隆选择系统模块d y n a m i c；_cs ( 5 ) 对整个系统的基因库进化策略进行分析，并将基因库进化策略发展成一个 循环框架，同时结合入侵知识库的概念设计出了改进的动态克隆选择模块，使得 系统的性能得到了很大的提升。 本文的工作可以通过如下的图1 1 来形象的描述： 1 4 论文的组织结构 图1 1 作者所做的工作 本论文主要分为五章，第一章绪论，介绍课题背景、国内外研究现状，作 者所做的工作以及论文的组织结构；第二章介绍了人工免疫网络入侵检测的相 关理论；第三章对基于人工免疫理论的入侵检测系统的整体模型设计进行了说 明；第四章介绍否定选择算法的相关理论、实现方法，及单独应用否定选择算 法进行入侵检测的性能分析；第五章根据上一章指出的否定选择算法的不足， 将其和克隆选择算法相结合，利用小生境的进化策略开发了静态克隆选择算法， 把静态的抗原变为动态变化的抗原并引入了多个人类免疫系统概念开发了动态 克隆选择算法。第六章对全文进行了总结和展望。最后是致谢和参考文献。 西安建筑科技大学硕士论文 第二章人工免疫网络入侵检测的基本理论 2 1 入侵检测系统 2 1 1 入侵检测系统的工作原理 入侵检测系统可以看作是一个典型的“窥探设备”。其处理过程可分为四个阶 段，分别为：( 1 ) 数据采集阶段；( 2 ) 数据处理及过滤阶段，( 3 ) a 侵分析及检测阶段， ( 4 1 报告以及响应阶段。下面对各阶段的功能进行简要说明。 数据采集阶段是数据审核阶段。入侵检测系统收集目标系统中引擎提供的 主机通讯数据包和系统使用等情况。 数据处理及过滤阶段是把采集到的数据转换为可以识别是否发生入侵的 阶段。 分析及检测入侵阶段通过分析上一阶段提供的数据来判断是否发生入侵。 这一阶段是整个入侵检测系统的核心阶段。 报告及响应阶段针对上一个阶段中进行的判断做出响应。如果被判断为发 生入侵，系统将对其采取相应的响应措施。 目前，入侵检测系统的分析及检测入侵阶段一般通过以下几种技术手段进行 分析，如特征库匹配、基于统计分析和完整性分析等。其中前两种方法用于实时 的入侵检测，而完整性分析则用于事后分析。这些方法在2 1 3 小节做详细说明。 2 1 2 网络入侵检测系统的研究 网络入侵检测系统( n i d s ，n e t w o r ki n t r u s i o nd e t e c t i o ns y s t e m ) 主要根据网络协 议分析、网络流量、s n m p 等信息检测针对网络的入侵。根据其结构的不同，可 以把当前研究的n i d s 分为三种类型：集中式( m o n o l i t h i c ) ，分层式( h i e r a r c n e n ) 和 协作式( c o o p e r a t i v e ) 。 1 集中式设计 集中式n i d s 由一个中央入侵检测服务器和运行在各个本地主机上的简单主 机审计程序共同组成。被检测的本地主机将其收集到的审计日志传送到入侵检测 5 西安建筑科技大学硕士论文 服务器，由服务器对其进行分析。许多已经发展了的基于网络的i d s 至今仍然使用 这种方法，并且运行在实际的小型网络【1 8 】。到目前为止，大多数小规模n i d s 都 采用这种设计，这种方法在可伸缩性，健壮性及可配置性方面存在较大缺陷，尤 其是在网络扩大或中央处理器出现问题时，这些问题表现的最为明显。 2 分层式设计 为了克服集中式设计的缺陷，又提出了分级式n i d s 设计。该设计主要针对大 规模的网络，该网络可能含有成千上万的主机。这些主机被划分为很多区域，每 个i d s 负责监视一个区域。与集中型不同的是它并不是将本地收集的所有审计数 据提交到一个中央i d s ，而是由每个监测区域的i d s 来分析本区域主机的审计数 据，并将分析结果提交到上一层i d s ，因此，处于较高层次的i d s 只需处理下层提交 上来的分析结果。p o r r r a s 在其e m e r a l d 研究中便采用了此种设计【l 。层次式 n i d s 通过分层比较好地解决了集中型i d s 的不易扩展的问题。但是，当网络拓 扑结构发生改变时，整个网络的分层和分析报告汇总机制也必须发生改变。此外， 一旦位于最高层的i d s 被攻击后，那些只有通过对局部报告进行全局分析才能发 现的全网络攻击就会很容易逃过检测。 3 协同式设计 协同式n i d s 由分布在网络中的局部i d s 协同作业来完成中- o n 务器的职能。 每个i d s 只对本地主机某个方面的情况进行监测。所有i d s 并发执行，彼此之间 相互协作。它们能通过一致性的推论来做一个全局的决策。协同式设计与分层式 的区别在于它在分布在本地的i d s 不进行分级。因此，任意一个i d s 的失效或者 被破坏都不会导致协同式攻击监测的失败。但是这种方法也带来了一个新的问题， 即本主机的通信机制、审计机制以及审计数据的分析机制设计的好坏会直接影响 协同式i d s 工作的效率。 2 1 3 入侵检测技术的技术分类 根据采用的数据分析技术的不同，网络入侵检测系统主要可以分为误用检测 f m i s u s ed e t e c t i o n ) 和异常检钡o ( a n o m a l yd e t e c t i o n ) 两种类型，误用检测搜索审计事 件数据，查看其中是否存在预先定义的误用模式：异常检测则提取正常模式审计 数据的数学特征，检查事件数据中是否存在与之相违背的异常模式。按照检测对 西安建筑科技大学硕士论文 象的不同，入侵检测技术可分为基于主机的检测和基于网络的检测以及混合型检 测三种。下面对各种分类分别进行说明。 1 误用检测 误用检测对系统事件的检查基于下面的一个问题：系统行为是否代表着特定 的攻击模式? 首先对标识特定的入侵行为模式进行编码，建立误用模式库，然后 对实际检测过程中得到的事件数据进行过滤，检查是否包含入侵行为的标识。 误用检测的缺陷在于只能检测已知的攻击模式，当出现针对新漏洞的攻击手 段或针对旧漏洞的新攻击方式时，需要由人工或者其他机器学习系统得出新攻击 的特征模式，添加到误用模式库中，才能使系统具备检测新的攻击手段能力。 误用检测技术的典型代表分为：特征模式匹配技术，协议分析技术，状态协 议分析技术等，下面分别进行说明。 ( 1 ) 特征模式匹配技术就是将收集到的信息与已知的网络入侵和系统误用模 式数据库进行比较，来发现违背安全策略的入侵行为。该过程可以很简单，也可 以很复杂。一种进攻模式可以利用一个过程或一个输出来表示。这种检测方法只 需收集相关的数据集合就能进行判断，能减少系统占用，并且技术已相当成熟， 但检测准确率和效率需要提高，同时，该技术需要不断进行升级以对付不断出现 的攻击手法，并且不能检测未知攻击手段。 ( 2 ) 协议分析技术是在传统模式匹配技术基础之上发展起来的一种新的入侵 检测技术。它充分利用了网络协议的高度有序性，并结合了高速数据包捕捉、协 议分析和命令解析，来快速检测某个攻击特征是否存在，这种技术正逐渐进入成 熟应用阶段。协议分析大大减少了计算量，即使在高负载的高速网络上，也能逐 个分析所有的数据包。采用协议分析技术的i d s 能够理解不同协议的原理，由此 分析这些协议的流量，来寻找可疑的或不正常行为。对每一种协议，分析不仅仅 基于协议标准，还基于协议的具体实现，因为很多协议的实现偏离了协议标准。 协议分析技术观察并验证所有的流量，当流量不是期望值时，i d s 就发出告警。协 议分析具有寻找任何偏离标准或期望值的行为的能力，因此能够检测到已知和未 知攻击方法。 ( 3 1 状态协议分析技术就是在常规协议分析技术的基础上，加入状态特性分 析，即不仅仅检测单一的连接请求或响应，而是将一个会话的所有流量作为一个 整体来考虑。有些网络攻击行为仅靠检测单一的连接请求或响应是检测不到的， 因为攻击行为包含在多个请求中，此时状态协议分析技术就显得十分必要。 西安建筑科技大学硕士沦文 2 异常检测 异常检测是目前入侵检测系统的主要研究方向，其特点是通过对系统异常行 为的检测，可以发现未知的攻击模式。异常检测的关键问题在于正常使用模式的 建立以及如何利用模式对当前的系统用户行为进行比较，从而判断出与正常模式 的偏离程度。 异常检测首先给系统对象( 用户、文件、目录和设备等) 创建一个统计描述， 包括统计正常使用时的测量属性，如访问次数、操作失败次数和延时等。测量属 性的平均值被用来与网络、系统的行为进行比较，当观察值在正常值范围之外时， i d s 就会判断有入侵发生。 对于异常检测来说，系统佣户的正常模式应该是不断修正和更新的。检测器 所使用的度量也需要不断完善，因为不能保证使用当前所定义的度量可以表示出 所有的异常行为模式。针对这一问题，还需要进彳亍大量的研究工作，检查异常检 测系统是否具有检测所有攻击行为的能力，从而为目标系统提供强健的安全防护 机制。 该类检测技术的典型代表有统计分析技术，数据重组技术，行为分析技术等， 下面分别进行说明。 ( 1 ) 统计分析方法首先给系统对象( 如用户、文件、目录和设备等) 创建一个 统计描述，统计正常使用时的一些测量属性( 如访问次数、操作失败次数和延时 等) 。在比较这一点上与模式匹配有些相象之处。测量属性的平均值将被用来与网 络、系统的行为进行比较，任何观察值在正常值范围之外时，就认为有入侵发生。 例如，本来都默认用g u e s t 帐号登录的，突然用a d m i n i 帐号登录。这样做的 优点是可检测到未知的入侵和更为复杂的入侵，缺点是误报、漏报率高，且不适 应用户正常行为的突然改变。具体的统计分析方法如基于专家系统的、基于模型 推理的和基于神经网络的分析方法，目前正处于研究热点和迅速发展之中。 ( 2 ) 数据重组是对网络连接的数据流进行重组再加以分析，而不仅仅分析单个 数据包。 ( 3 ) 行为分析技术不仅简单分析单次攻击事件，还根据前后发生的事件确认是 否确有攻击发生，攻击行为是否生效。由于算法处理和规则制定的难度很大，目 前还不是非常成熟，但却是入侵检测技术发展的趋势。 3 新的检测技术 除了上面介绍的两大类数据分析技术，在近期入侵检测系统的发展过程中， 西安建筑科技大学硕士论文 研究人员还提出了一些新的分析技术，这些技术不能只简单地归类为误用检测或 者是异常检测，而是提供了一种有别于传统入侵检测视角的技术层次，例如免疫 系统、基因算法、数据挖掘、基于代理的检测等。随着这些技术的发展和应用， 入侵检测系统的水平也将随之提高。 下图2 1 对当前出现的入侵检测技术根据数据分析技术的不同进行了一个形 象化的总结： 瓷用捡训技术 瓶煮臻揣 侵检测数据分析技术 萁他检训挂束 - q ：鬈 釜羹凳嚣i 釜摹晨 理的检训菩1 2 2 人类免疫系统概述 例如：罨姜燃，越掘 组挂，r ，符为丹折技术锋) 图2 1 入侵检测技术分类 人类免疫系统是由器官、细胞和分子组成的一个复杂系统，它是除神经系统 外，机体能准确地识别“自我月 我”，对之做出特异性免疫应答，并具有记忆能力 的功能系统。 人类免疫系统的功能主要由免疫细胞的相互作用来完成，具体地说，免疫系 统对病原体的识别和消除工作是通过免疫细胞与病原体细胞的结合来实现的，实 质上是免疫细胞表面上的受体与病原体细胞或蛋白质片断表面上的表位( 或称抗 原决定基) 之间的互补结合来实现的，一旦出现结合就表明发生了一次检测或识 别事件l l 】。淋巴细胞是免疫应答中的主导实体，具体可分为t 细胞、b 细胞和自然 杀伤细胞( n k 细胞) 三大类，其中最重要的是t 细胞和b 细胞两类，它们分别 负责细胞免疫和体液免疫。t 细胞由骨髓产生，骨髓里存在淋巴细胞的候选基因库， 通过随机选取候选基因库里的基因片段进行组合来产生t 细胞及其表面的各种受 体。由于产生过程的随机性，使得产生的t 细胞可能与自我细胞发生结合，从而 引起自免疫反应，对机体带来损害。为了防止这种情况，t 细胞离开骨髓进入胸腺 进行发育时，必须经过一个称为“否定选择”的审查过程，即t 细胞不断与自身 西安建筑科技大学硕士论文 蛋白进行结合试验，能与自身蛋白结合的t 细胞被丢弃，不能与自身蛋白结合的t 细胞被保存下来。经过否定选择过程，保存下来的成熟t 细胞离开胸腺，进入到 人体血液中不断循环，担负起免疫的功能。 人类免疫系统有几个重要的特征：1 ) 特异性，免疫活性细胞仅能与相应的抗 原起反应，而与无关的抗原不发生反应；2 ) 排他性，免疫系统能识别“自己”和 “非己”抗原，对“非己”的外来抗原产生免疫应答，对“自己”抗原一般没有 反应；3 ) 多样性，免疫系统具有庞大的t 、b 细胞和细胞库，可与几乎所有外界 抗原发生应答：4 ) 记忆性，免疫活性细胞具有保存抗原信息的功能，初次接触某 一抗原产生免疫应答后，形成特异性记忆的免疫活性细胞，在再次接触相同抗原 时，这些免疫活性细胞迅速增生而发生再次应答，再次应答反应强；5 ) 分布性， 成熟的免疫活性细胞分布于全身的淋巴，各自完成检测异己抗原的功能，不需要 集中控制。 克隆选择和否定选择是抗体生成和演化过程中两个重要过程，也是现代免疫 学中比较完善的两个理论学说。克隆选择学说认为机体免疫系统事先就存在能识 别各种抗原的细胞克隆，每个克隆细胞表面都有针对不同特定抗原的受体，不同 抗原选择与之相适应的受体结合，从而刺激该细胞克隆的增殖分化，产生免疫应 答而生成多样性的各种抗体。该学说说明了抗体形成的机制，解释了免疫系统对 抗原的识别、免疫记忆等形成的原因。说明抗体的生成演化向着接近已有抗原的 方向进行。否定选择学说认为机体内先产生大量随机抗体，其中对“自己”抗原 物质产生破坏的将被清除，否则将导致自身免疫功能疾病，剩余的抗体可以检测 一切外来抗原物质。抗体的生成演化是我们研究内容的重点。 2 3 人工免疫系统的基本概念 人工免疫系统是研究、借鉴和利用生物免疫系统( 这里主要是指人类的免疫 系统) 各种原理和机制而发展的各类信息处理技术、计算技术及其在工程和科学 中的应用而产生的各种智能系统的统称。从人类的免疫系统特点出发可以发现， 入侵检测系统与免疫系统具有本质的相似性：免疫系统负责识别人类“自身”和 “非自身”的细胞，清除异常细胞，入侵检测系统则辨别正常和异常行为模式； 人类免疫系统对抗原的初次应答类似于入侵检测系统异常检测，可检测出未知的 抗原；人类免疫系统第二次应答即利用对抗原的“记一i z , ”引发的再次应答与误用 检测相类似。利用生物免疫系统的这些特性，应用到入侵检测领域，能有效的阻 止和预防对计算机系统和网络的入侵行为。 西安建筑科技大学硕士论文 2 3 1 否定选择算法 人类免疫系统通过否定选择来消除不成熟的抗体。在新生成的抗体中，只有 那些不和自体细胞相结合的抗体才能够从胸腺和骨苘中被释放出来，进而对人体 进行检测。这个过程对生成的抗体不对自身细胞形成伤害具有非常重要的作用【2 们。 f o r r e s t 等人首先提出了一个否定选择算法来模拟人类免疫系统的这一过程。 他们把人类免疫系统的否定选择过程看作一个非常成熟的异常检测过程，该过程 中并不对要检测的有害细胞进行定义，从而使得人类免疫系统能够检测到先前没 发现的有害细胞。 该算法分为三个部分：定义自体，生成检测器及监测存在的异体。第一个部 分，采用和其它异常行为检测系统类似的方法，定义一个正常行为模式集。第二 个部分，生成大量的随机模式并和第一部分定义的每个自体模式相比较，如果某 个随机生成的模式和某自体模式匹配，则该模式就不能成为合格的检测器而被丢 弃。否则，该模式可成为一个检测器模式并开始进行异体检测，在检测器工作过 程中，如果其和某新的模式相匹配，则表明新的入侵发生。 否定选择已经被成功地应用到了计算机病毒的检测【2 “，工具磨损检测( t o o l b r e a k a g ed e t e c t i o n ) 和时间序列异常检测中阻】。d h a e s e l e e r 等人还从理论上证明了 否定选择算法作为一种新的异常检测方法所具有的优点。 本文也把否定选择算法应用到了网络入侵检测中，在后面第四章有具体而详 细的说明。另外，本文还结合其它人类免疫机制而对该算法进行了扩展，取得了 较好的结果。 2 3 2 克隆选择算法 人类免疫系统是通过克隆选择来学习动态改变的抗原信息的。被激活的抗体 将被分为很多个和其父代b 细胞具有相同或经过变异的抗原绑定属性的克隆体。 另一方面，如果某b 细胞不能在给定时间内被抗原激活，它将会死去。因此，根 据当前已存在的抗原，只有哪些最适应的b 细胞抗体才能够生存下去。由于抗原 在不停的变化，只有通过克隆选择进行b 细胞抗体的不断进化才能够维持检测的 有效性口3 1 。 d ec a s t r o 等人1 2 4 1 提出了一个名为c l o n a l g 的克隆选择算法来模拟人类免疫 系统的克隆选择过程。c l o n a l g 主要由抗原和抗体种群组成，其中抗原种群保 存一个训练数据集。每运行一代，c l o n a l g 选择n 个抗体并按照其适应度比例 来克隆，适应度越高克隆数也越多。抗体克隆过程中要进行变异，变异率也是根 西安建筑科技大学硕士论文 据该克隆个体的适应度定的，适应度越高则变异率越低。在经过变异的克隆个体 中，c l o n a l g 选出适应度最高的m 个变异体和原来选出的n 个抗体进行比较， 只有k 个最好的个体将被留在抗体种群中，而t 个适应度晟差的抗体将被随机生成 的抗体所替代。c l o n a l g 采取了多种人类免疫系统克隆选择过程的特性：包括 选择和克隆最优抗体，丢弃差的抗体，在克隆过程中进行变异等等。该算法在基 于适应度的选择及采用遗传算法等方面采取了和进化算法( e v o l u t i o n a r y a l g o r i t h m s ，e a ) 相同的概念。 和c l o n a l g 借用进化算法的策略不同，其它人的研究则使用了免疫网络模 型来进行克隆选择的设计。但这些a i s 都具有一个共同的特征，就是选择和克隆 适应度值最高的个体，并丢弃表现最差的个体。 f o r r e s t 等人把小生境策略引入到克隆选择算法中【2 5 】，该策略对于维持抗体的 多样性和通用性具有极好的作用。 定义2 - 1 ( 小生境策略) ：在生物学上，小生境是指特定环境下的一种组织结构。 在自然界中，往往特征，形状相似的物种相聚在一起，并在同类中交配进化繁衍 后代。遗传学中的小生境策略就是将每一代个体划分为若干类，每个类中选出若 干适应度较大的个体作为一个类的优秀代表组成一个群，再在种群中，以及不同 种群中之间，杂交，变异产生新一代个体群。 根据小生境策略的特点，f o r r e s t 等人主要对如下两个问题进行了研究：1 ) 基 于小生境策略的克隆选择能否检测到任意提供的抗原集的公共模式：2 ) 基于小生 境策略的克隆选择能否保持抗原种群的多样性。和人类免疫系统的小生境策略类 似，每次生成过程中，从抗体种群中随机选出任意数量的抗体组成抗体采样集， 另外再选出一个抗原采样集。当抗体采样集中每个抗体和抗原采样集中的每个抗 原进行匹配后，匹配数最多的那个抗体的适应度值增加，而其它抗体适应度保持 不变。他们将该方法与适应度分享算法( f i t n e s ss h a r i n ga l g o r i t h m ) 进行了比较，发现 由于采用了抗体采样方法，小生境策略可通过抗体采样集大小来控制其通用度。 本文也采取了小生境策略来创建一个有效的误用检测系统，在后面第五章将会详 细讲述。 2 3 3 基因库进化 人类免疫系统通过克隆选择来学习动态改变的抗原，克隆选择的结果是生存 下来的抗体和记忆细胞能够在其生命周期内对非自体抗原进行检测。但研究发现， 这些生存下来的抗体和记忆细胞的基因定义不能直接写入到d n a ( 基因库) 中，因 此，这些良好个体的基因就无法传给下一代。另一方面的研究却发现克隆选择的 西安建筑科技大学硕士论文 结果经过超突变后却可以间接的导致基因库的进化。这样，尽管不能直接遗传， 哪些具有更多有效变异体的个体却更容易通过超突变生存下来，这种现象称为 b a l d w i n 作用。 在b a l d w i n 作用提出后，很多研究人员都试图弄明白自然界中学习和进化之间 的关系。h i g h t o w e r 通过模拟人类免疫系统的基因库进化过程指出“学习促进了进 化”j 在其另外一篇文章中还对当大量动态改变的基因需要通过很少的抗体检测时 人类免疫系统的进化策略进行了研究，结果发现其进化策略在于尽量覆盖较多的 抗原范围和较少抗体重复覆盖之间的平衡。 当前在基因库进化方面存在两种方法的研究：一是通过b a l d w i n 作用来引导基 因库进化，二是通过把学习的结果直接反馈给基因库来引导进化。这两种方法都 在各自采用的a i s 模型上进行了很好的应用。本文第五章对基因库进化进行了说 明。 2 4 人工免疫入侵检测系统 前面分别介绍了入侵检测系统和人工免疫系统，而利用这两者的相似性可以 把它们结合，也就是把人工免疫应用到入侵检测系统中，生成人工免疫入侵检测 系统。 2 4 1 人工免疫对入侵检测系统的启示 人工免疫系统本身就是一个分布的具有自适应性和自学习能力的生物入侵检 测系统，它在抵抗病毒和细菌等病原体的入侵方面担当着与计算机入侵检测系统 类似的任务。免疫系统所表现出的良好特性对改进现有入侵检测系统的性能有很 大的启示，主要表现如下： 分布性和健壮性：免疫系统中的淋巴细