（计算机应用技术专业论文）基于免疫机理的网络入侵检测模型的研究.pdf

四川i 大学硕士学位论文 基于免疫机理的网络入侵检测模型的研究 计算机应用技术专业 研究生刘继洲指导教师李志蜀 计算机网络的安全问题曰显重要，入侵检测技术是实现网络主动防卫 的重要研究课题。人体免疫系统与网络入侵检测系统具有很大的相似功 能，它为研究和开发网络入侵检测系统提供了一个自然的模板。本文研究 的目的就是利用免疫系统的免疫机理及其从中抽象提取的有关算法解决 网络入侵检测问题。本文的主要研究概括如下： 网络入侵检测系统与免疫系统之间类比映射关系的建立。本文通 过对入侵检测及其免疫学相关知识的介绍，建立了二者之间类比映射关 系。根据它们之间的类比映射关系，来研究基于免疫机理的网络入侵检测 模型。 基于免疫机理的网络入侵检测模型的研究。首先运用集合论知识 严格描述了网络入侵检测的问题域，接着对基于免疫机理的新型网络入侵 检测模型进行了研究，主要对该检测模型结构框架、工作原理以及该模型 的主要特点和存在的问题进行了详细地研究与分析，最后利用c + + 语言来 实现了该模型。 利用数字仿真技术对该模型的可用性和先进性进行验证。首先提 出该仿真实验的目的，接着构造了实验所需要的数据集，最后通过仿真实 验及其结果分析，验证了该模型是可用的和先进的。 最后，本文对整个研究工作进行了总结，并展望了下一步的工作。 关键词：网络安全；入侵检测；免疫学：否定选择算法；数字仿真 四川大学硕士学位论文 r e s e a r c ho fn e t w o r ki n t r u s i o nd e t e c t i o n s y s t e mb a s e do ni m m u n ep r i n c i p l e s s p e c i a l t yo f c o m p u t e r a p p l i c a t i o n p o s t g r a d u a t e ：l i uj i _ z h o u a d v i s o r ：l iz h i _ s h u t h e s e c u r i t yp r o b l e mo fc o m p u t e rn e t w o r k si sb e c o m i n gm o r ei m p o r t a m d a yb yd a y i n t r u s i o nd e t e c t i o nt e c h n o l o g yi so n ei m p o r t a n tt a s kw h i c hf u l f i l l a c t i v ed e f e n s et on e t w o r k s i n t r u s i o nd e t e c t i o ns y s t e mh a ss os i m i l a rf u n c t i o n w i t hi m m u n es y s t e m st h a ti tc o u l dp r o v i d ean a i v et e m p l a t ef o rr & dn e t w o r k i n t r u s i o nd e t e c t i o ns y s t e m t h eg o a lo ft h i sr e s e a r c hi st os o l v en e t w o r k i n t r u s i o nd e t e c t i o ns y s t e mp r o b l e mu s i n gi m m u n ep r i n c i p l e sa n da l g o r i t h m e x 订a c t e df r o mi m m u n es y s t e m t h ep r i m a r yc o n t r i b u t i o n so ft h i sd i s s e r t a t i o n a r ea sf o l l o w s ： e s t a b l i s h m e n to fa n a l o g i c a l & m a p p i n gr e l a t i o n sb e t w e e nn e t w o r k i n t r u s i o nd e t e c t i o ns y s t e ma n di m m u n es y s t e m a c c o r d i n gt oi n t r o d u c t i o no f i n t r u s i o nd e t e c t i o nt e c h n o l o g ya n di m m u n o l o g ya n dt h er e l a t i o n s ，r e s e a r c h i n t r u s i o nd e t e c t i o ns y s t e mb a s e d0 1 1i m m u n ep r i n c i p l e s r e s e a r c ho fan e t w o r ki n t r u s i o nd e t e c t i o nm o d e lb a s e di m m u n e p r i n c i p l e s f i r s t l y , d e s c r i b et h ep r o b l e mo fi n t r u s i o nd e t e c t i o ns t r i c t l yb ys e t t h e o r ye c t s e c o n d l y , r e s e a r c ht h ef l e wi n t r u s i o nd e t e c t i o nm o d e lb a s e dt h e i m m u n ep r i n c i p l e s ，研m a l l ya n a l y s i n gt h ea r c h i t e c t u r a lf r a m e w o r ka n dt h e w o r kp r i n c i p l e sa n dt h ep r i m a r yf e a t u r e sa n dp r o b l e mo ft h i sm o d e l f i n a l l y ， f u l f i l lt h em o d e lb yc + + l a n g u a g e 四川大学硕士学位论文 v a l i d a t i o no fu s a b i l i t ya n dc r e a t i v e n e s so ft h em o d e lu s i n gn u m e r i c s i m u l a t et e c h n o l o g y f i r s t l y , p u tf o r w a r dt h ea i mo ft e s t s e c o n d l y , b u i l dt h e n e e d e dd a t a s e t so fs i m u l a t et e s t f i n a l l y ，t h r o u g ht h es i m u l a t et e s ta n dt h e r e s u l ta n a l y s i s ，v a l i d a t et h eu s a b i l i t ya n dc r e a t i v e n e s so ft h em o d e l l a s t l y , t h ed i s s e r t a t i o ns u m m a r i z e sa i l t h er e s e a r c hw o r km e n t i o n e d a b o v ea n dd i s c u s s e st h en e x tw o r ki nt h i sf i e l d k e y w o r d s ：n e t w o r ks a f e t y ；i n t r u s i o nd e t e c t i o ni m m u n o l o g y ；n e g a t i v e s e l e c t i o na l g o r i t h mn u m e r i cs i m u l a t et e c h n o l o g y 四川大学硕： 学位论文 1 引言 1 1 论文的研究背景 随着计算机网络的不断发展，全球信息化成为人类发展的大趋 势，信息网络已经深入到社会的各个领域，给人们的日常生活带来了 全新的感受，人类社会活动对它的依赖越来越大，已经成为社会发展 的重要保证。近年来，网络上各种新业务的兴起，如网络银行、电子 钱包和电子商务的快速发展，使得网络信息与人类的日常生活密不可 分。然而，人们在得益于信息革命所带来的新的巨大机遇的同时，也 不得不面临信息安全问题的巨大考验。从1 9 8 8 年著名的“i n t e r n e t 蠕虫事件”到最近黑客利用分布式拒绝服务方法攻击大型网站，导致 网络服务瘫痪等事件的发生，使各国、各部门、各个行业以及每一个 计算机用户都已经开始充分重视信息网络的安全问题。 计算机网络安全问题主要涉及到国家的政府、军事、文教，以及 企业、个人等诸多领域。这些领域在存贮、传输和处理的信息时，会 涉及到许多重要的机密的信息，为了确保这些重要信息不受黑客、恶 意软件和其他不轨行动的攻击。因此，加大计算机网络安全的研究势 在必行。计算机网络安全，它是一门涉及到计算机科学、网络技术、 通信技术、密码技术、信息安全技术、应用数学、数论、信息论等多 种学科的综合性学科。目前网络安全技术存在许多种，如口令认证、 防火墙、数据加密、v p n 技术、入侵检测等。 近年来，人们对免疫系统的研究发现，将免疫系统的许多有益特 性应用于计算机安全领域是安全技术研究的一次新的尝试。免疫系统 能够保护机体不受病原体的侵害，正如同入侵检测系统保护计算机系 统免受攻击的摧残一样；免疫系统通过识别异常或以前未出现的特征 来确定入侵，并在处理外来异体时呈现出分布性、多样性、自适应性 等特性，而这些特性正是目前计算机安全系统所缺乏的。免疫系统中 四川大学硕二i 学位论义 的免疫机理为入侵检测技术的研究提供了一个新的思路，国内外研究 人员在此方面已做了大量开创性的工作，并提出了一系列的基于免疫 机理的入侵检测系统模型。 美国u n i v e r s i t yo fn e wm e x i c o 的f o r r e s t 4 、组首先将免疫机 理引入计算机系统的安全保护框架中，实现了一个基于免疫机理的轻 量级网络入侵检测模型，但该系统功能简单，检测率和效率依赖于具 体应用环境、系统的资源、数据特点等多种因素，缺乏稳定性、可靠 性和精确性。此外还有美国u n i v e r s i t yo fm e m p h i s 的d a s g u p t a 小 组提出的基于免疫的多代理入侵检测模型和英国u n i v e r s i t yc o l l e g e l o n d o n 的k i m 小组提出的基于免疫的分布式网络入侵检测模型等。 这些模型大都是概念性设计，在具体实现中会遇到许多问题，可行性 较差。探索并应用免疫机理到入侵检测中去，以达到较高的检测率和 较低的误检测率以及其它的一些理想特性，这需要人们进行长期的、 细致的和深入性的研究。本论文正是在这一背景下，对已提出的基于 改进的动态克隆选择算法的新型入侵检测模型的基础上，而进行深入 性的研究与分析，对该模型提出自己改进的设想。 1 2 论文研究的主要内容 目前，对入侵检测技术的研究有了一定的进展，许多新的技术已 经应用到入侵检测技术之中。本文主要从免疫的角度出发，研究了如 何将免疫系统的免疫机理以及从中抽象提取的有关算法运用于入侵检 测技术的研究。全文主要包括以下几个方面内容： 一是建立网络入侵检测系统和人体免疫系统之间的类比映射关 系。本文从计算机科学的视角分析了人体免疫系统的免疫机理和从中 抽象提取的算法，与网络入侵检测系统应具有的特性进行一一比较， 从而建立网络入侵检测系统与人体免疫系统之间的类比映射关系，使 基于免疫机理的网络入侵检测模型的研究建立在一个科学的平台上； 二是研究基于免疫机理网络入侵检测系统模型。对基于改进的动 态克隆选择算法的入侵检测模型进行了详细的分析与研究，运用集合 叫川大学硕士学位论文 论的相关知识，分析了模型的数学描述，对模型的结构框架、工作原 理以及模型存在的问题进行了详细的分析，最后用v i s u a lc + + 6 0 开发 工具实现了该模型，使得对基于免疫机理网络入侵检测模型的研究有 利于建立在实验的基础上； 三是采用仿真实验来进一步研究基于免疫机理的网络入侵检测模 型。采用数字仿真技术，构造仿真实验所需的各类数据集，通过实验， 进一点研究了该模型的可用性和先进性； 四是对基于免疫机理的网络入侵检测模型研究提出自己改进的设 想。 1 3 本论文所做的工作 本论文主要是在对己提出的基于免疫机理的网络入侵检测模型概 念性设计的基础上，自己对该模型进行了详细的分析与研究，在本论 文中，所做的工作主要如下： 一是对网络入侵检测系统与人体免疫系统之间存在的类比映射关 系进行详细的分析，为基于免疫机理的网络入侵检测模型的研究提供 了理论基础，使其接下来的研究有一个科学的平台； 二是主要对基于改进的动态克隆选择算法的新型入侵检测模型进 行了进一步地研究。自己从理论上分析了该模型的建模思想、模型存 在的特点、工作原理以及模型存在的问题，并且利用v i s u a lc + + 6 0 开 发工具实现了该模型，为仿真实验做准备； 三是对实现的模型系统进行仿真实验。利用s n i f f e r 程序来收集流经 本实验室局域网的数据包，构造仿真实验所需的各类数据，通过实验， 来进一步研究了上述模型，验证了它的可用性与先进性： 四是通过对基于改进动态克隆选择算法的入侵检测模型的研究分 析之后，提出了自己对模型改进的设想。 四川i 大学硐士学位论文 2 入侵检测技术知识综述 入侵检测技术是主动保护自己兔受攻击的一种网络安全技术。作为防 火墙的合理补充，入侵检测技术能够帮助系统对付网络攻击，扩展系统管 理员的安全管理能力，提高信息安全基础结构的完整性。本章将对入侵检 测技术的相关知识进行介绍。 2 1 入侵检测技术的发展历史 1 9 8 0 年4 月，j a m e sp a d e r s o n 为美国空军做了一份题为计算机安 全威胁监控与监视的技术报告，第一次详细阐述了入侵检测的概念。他 提出了一种对计算机系统风险和威胁的分类方法，并将威胁分为外部渗 透、内部渗透和不法行为三种( 如图2 1 所示) ，还提出t n 用审计跟踪 数据监视入侵活动的思想。这份报告被公认为是入侵检测的开山之作。 未授权使用数据经授权使用数据， 程序资源的渗透者程序资源的渗透者 未授权使用计情形a ： , 算机的渗透者外部渗透 经授权使用计 情形b ：情形c ： 算机的渗透者内部渗透非法行为 图21a d e r s o n 提出三种威胁情形 1 9 8 7 年d o r o t h yed e n n i n g 提出入侵检测系统的抽象模型，首次将入 侵检测的概念作为一种计算机系统安全防御问题的措施提出。如图2 2 n 示，该模型由三个主要部件( 事件产生器、活动记录器和规则集) 组成， 目前，此模型仍然得到广泛的应用。 四川i 大学硕士学位论文 图22 通用入侵检测模型 设计新的 活动记录 定义新规则 修正旧规则 d o r o t h yed e n n i n g 的通用入侵检测模型标志着入侵检测技术成为了 一个独立的研究领域。在此后的近2 0 年间，入侵检测技术发生了根本性的 变化，形成了以下关于入侵检测的一些重要的概念。 入侵是指对目标计算机网络系统造成安全威胁的恶意行为的相关 行为序列。入侵也包括内部的合法用户滥用其权限的行为。 入侵检测是对计算机系统或网络资源为目标的非法或恶意的行为 或企图，以及对那些滥用其权限的识别和反应过程的统称。通常将入侵检 测划分为异常入侵检测和滥用入侵检测两大类型。 在产品方面，国外在9 0 年代初兴起对网络入侵和入侵检测的研究，9 5 年以后逐渐出现一些入侵检测的产品，其中比较有代表性的产品有i s s 公 司的r e a l s e c u r e l 3 l ，n a i 公司的c y b e r c o p 和c i s c o 公司的n e t r a n g e r ， s y m a n t e c 公司的n e t p r o w l e 等。 国内对入侵检测的研究与开发从9 0 年代末开始，起步较晚。但已认识 到入侵检测的重要性，呈现蓬勃发展的局面，比较成型的产品有中科网威 的“天眼”入侵检测系统，启明星辰的“天阒”入侵检测系统等。 在标准制定方面，d a r p a ( t h ed e f e n s ea d v a n c e dr e s e a r c hp r o j e c t s a g e n c y ，美国国防部高级研究计划局) 在1 9 9 7 年3 月开始着手c l d f ( c o m m o n i n t r u s i o nd e t e c t i o n f r a m e w o r k ，公共入侵检测框架) 标准的制定。现在 删川i 大学硕士学位论文 加州大学d a v i s 分校的安全实验室已经完成c i d f 标准。i e t f ( i n t e r n e t e n g i n e e r i n gt a s kf o r c e ，i n t e r n e t l 程任务组) 成立了入侵检测工作组 ( i n t r u s i o nd e t e c t i o nw o r k i n gg r o u p ，i d w g ) 负责建立入侵检测数据交 换格式( i n t r u s i o nd e t e c t i o ne x c h a n g ef o r m a t ，i d e f ) 标准，并提供支 持该标准的工具，以更高效率地开发i d s 系统。国内在这方面的研究刚开 始起步，目前也已经开始着手入侵检测标准入侵检测框架( i n t r u s i o n d e t e c t i o nf r a m e w o r k ，i d f ) 的研究与制定。 2 2 入侵检测技术的研究现状 2 2 1 关于入侵检测系统的研究 根据入侵检测系统的信息源，通常将入侵系统分为二类：基于主机 的入侵检测系统( h o s t b a s e di d s ) 、基于网络的入侵检测系统 ( n e t w o r k b a s e di d s ) 。基于主机的入侵检测系统检测的信息主要来自 操作系统的审计踪迹和系统日志。基于网络的入侵检测系统的信息源是网 络数据包。 1 ) 基于主机的入侵检测系统 根据具体数据源可以将基于主机的入侵检测系统分为以下几类： a 、系统和网络的日志文件黑客经常在系统的日志文件中留下他们 的踪迹，因此，充分利用系统和网络的日志文件信息是检测入侵的必要条 件。日志中包含发生在系统和网络上的不寻常和不期望活动的证据，这些 证据可以指出有人正在入侵或已成功入侵了系统。通过查看日志文件，能 够发现成功的入侵或入侵企图，并很快地启动相应的应急响应程序。目志 文件中记录了各种行为类型，每种类型又包含不同的信息。很显然地，对 用户活动来讲，不正常的或不期望的行为就是重复登录失败，登录到不期 望的位置以及授权的企图访问重要文件等等： b 、目录和文件中的不期望的改变网络环境中的文件系统包含很多 软件和数据文件，包含重要信息的文件和私有数据文件经常是黑客修改或 匹| 川大学硕= t 学位论文 破坏的目标。目录和文件中的不期望的改变( 包括修改、创建和删除) ， 特别是那些正常情况下限制访问的，很可能就是一种入侵产生的指示和信 号。黑客经常替换、修改和破坏他们获得访问权的系统上的文件，同时为 了隐藏系统中他们的表现及活动痕迹，都会尽力去替换系统程序或修改系 统同志文件； c 、程序执行中的不期望行为网络系统上的程序执行一般包括操作系 统、网络服务、用户启动的程序和特定目的的应用，例如数据库服务器。 每个在系统上执行的程序由一到多个进程来实现。每个进程执行在具有不 同权限的环境中，这种环境控制着进程可访问的系统资源、程序和数据文 件等。一个进程的执行行为由它运行时执行的操作来表现，操作执行的方 式不同，这利用的系统资源也就不同。操作包括计算、文件传输、设备和 其它进程，以及与网络间其它进程的通讯。 其优点：可以精确地判断入侵事件，可以检测基于网络的i d s 检测不 到的攻击；不受网络信息流的加密和交换网络使用的影响；可以监测主机 系统的特殊行为：可以检测到特洛伊木马和破坏软件完整性的攻击。 其缺点：占用所监视主机宝贵的资源，要影响所监视主机的工作性能； 需要系统提供大的存储空间；会遭受拒绝服务攻击而失效；不能检测针对 网络发起的多点攻击；本身容易受到攻击；难于管理。 2 ) 基于网络的入侵检测系统 大多数商用的入侵检测系统是基于网络的。它们是通过在关键的网段 或交换部位侦听，监视网络中的各种数据包，对每一个数据包或可疑的数 据包进行特征分析、统计，对流经这个网段的主机的网络通信流量进行监 控，从而保护这些主机。 在体系结构上，基于网络的i d s 通常由一套单一的传感器和放在一个 网络中不同地点的主机组成。这些单元监视网络通信流，做局部分析和判 断，并向一个中央管理控制台报告攻击。由于传感器上仅运行i d s ，因此 它们相对比较安全而不会遭到攻击。很多传感器都被设计运行在隐藏模 式，这样使攻击者理难发现它们的运行及运行位置。 其优点：能够监视整个网络，能够检测那些来自网络的攻击；不需要 7 叫川大学硕：卜学位论文 改变服务器等主机的配置，由于它不会在业务系统的主机中安装额外的软 件，从而不会影响这些机器的c p u 、i o 与磁盘等资源的使用，不会影响业 务系统的性能：由于网络入侵检测系统不像路由器、防火墙等关键设备一 样的方式工作，网络入侵检测系统发生故障不会影响正常业务的运行：网 络入侵检测系统近年内有专门的商务发展的趋势，安装这样的网络入侵检 测系统非常方便，只需将定制的设备接上电源，做很少的一些配置，将其 连到网上即可。 其缺点：在大型网络或者繁忙的网络中，n i d s 不能及时地处理网络上 所有的数据包，因此，在网络流量高峰期时，n i d s 很难实现一些复杂的需 要大量计算与分析的攻击检测；网络入侵检测系统只检查与它直接连接网 段上的通信，不能检测与其不同网段上的网络包。在使用交换以太网的环 境中就会出现监测范围的局限。即使交换机提供检测端口，也不能监视交 换机上的所有网络流量。n i d s 处理加密的会话过程较困难。随着v p n 网络 的普及，网上加密的信息也越来越多，许多n i d s 不能明确地告诉一个攻击 行为是否成功，它们仅仅能感知一个攻击行为已经开始。这意味着一个 n i d s 检测到一个攻击行为时，系统管理员必须手工地调查每个被攻击的主 机，看看是否被真正的攻破，一些n i d s 不能正确的处理那些利用碎片包的 攻击，这些碎片包将导致n i d s 变得不稳定，甚至程序崩溃。 2 2 2 关于入侵检测方法的研究 从数据分析手段看，入侵检测通常可以分为异常检测和滥用入侵检 测，下面分别讨论这两种检测方法的原理和他们之间的性能比较。 1 ) 异常检测 异常检测指的是根据非正常行为( 系统或用户) 和使用计算机资源非 正常情况检测出入侵行为。例如，如果用户a 早上8 点钟到下午5 点钟之间 在办公室使用计算机，则他在晚上使用办公室计算机是异常的，就有可能 是入侵；用户b 总是在下班后登录到公司的终端服务器或是在深夜时来自b 的账号远程登录都可能是不正常的。异常入侵检测试图用定量方式描述常 四川大学硕士学位论文 规的或可接受的行为，以标记非常规的，潜在的入侵行为。 异常检测的前提条件是将入侵行为作为异常行为的子集。理想状况是 异常行为集与入侵行为集相等。这样，若能检测所有的异常行为，则可以 检测到所有的入侵行为。但是，入侵行为并不总是与异常行为相符合。入 侵行为与异常行为的关系存在四种可能性： ( 1 ) 入侵但非异常这种关系将导致入侵检测系统不能检测到入侵， 造成漏检。 ( 2 ) 入侵且异常这种关系将导致入侵检测系统检测到入侵，属于入 侵检测系统正确检测入侵。 ( 3 ) 非入侵但异常这种关系将导致入侵检测系统检测到入侵，造成 误检测。 ( 4 ) 非入侵并且非异常这种关系将导致检测系统检测不到入侵，属 于入侵检测系统正确检测入侵。 异常检测法通过发现本地主机或网络中的异常行为来识别入侵。该方 法基于这样一个事实：攻击者的行为总会区别于正常用户的行为，因此系 统只要能够发现异常就可以识别入侵。使用这种检测方法的入侵检测系统 必须为每一个正常的行为建立行为特征集。行为特征集中通常包含一组对 系统活动和网络通信模式的统计度量值，女h c p u 的使用情况和用户登陆过 程中调用某些系统命令的频率等。如果某个行为背离了与之对应的行为特 征集，就会被视为入侵。背离程度用背离值的大小来度量，某个行为的背 离值等于所有的统计度量值的背离值之和。因此，对正常行为的刻画一直 是这种入侵检测方法研究的重点。 由于正常的用户行为和网络通信模式非常多，并且用户和开发商还会 不断的改变设置以满足个性化的要求和市场需求，所以描述正常行为的特 征非常困难。此外，行为特征集还要不断的随着环境的变化而更新。因此 建立和维护正常行为的特征集是一项既困难繁琐又容易产生错误的任务。 从理论上讲，异常检测法不需要预先的知识就可以检测某种特定的入 侵，因此它的最大优点是不必对每种特定的入侵方式进行学习，并且可以 识别未知的入侵行为。但是由于用户和网络行为本身的不确定性，异常检 四川大学硕士学位论文 测方法的误报率非常高。目前，单独应用异常检测技术的入侵检测系统比 较少，许多安全人员仍致力于该课题的研究。 在异常入侵检测中，最广泛使用的较为成熟的技术是统计分析，i d e s ( 入侵检测专家系统) 实现了最早的基于主机的统计模型。另一种主要的 异常检测技术是神经网络技术。此外，还有许多其他的异常检测方法出现 在各种文献之中，如基于贝叶斯网络的异常检测方法、基于模式预测的异 常检测方法、基于数据采掘的异常检测方法以及基于计算机免疫学的检测 技术等。 2 ) 滥用入侵检测 滥用入侵检测是指根据已知的入侵模式来检测入侵。入侵者常常利用 系统和应用软件中弱点进行攻击，而这些弱点易编成某种模式，如果入侵 者攻击方式恰好匹配上入侵检测系统中的模式库，则入侵者即被检测到。 因此，使用这种检测方法的入侵检测系统必须精确的定义已知的入侵模 式。这些入侵模式的表达方式多种多样，可能是字符串( 例如病毒) ，也可 能是一系列行为的集合。 在滥用入侵检测方法中，通常使用入侵想定这个词来描述那些相对比 较明确的己知的入侵方式。入侵想定被定义为一个行为序列，一旦这个行 为序列发生，就意味着某种入侵发生。一个滥用入侵检测系统为了检测入 侵行为需要连续的将当前系统行为同入侵想定进行比较。对入侵想定的描 述直接决定了检测系统的效率。入侵检测系统使用的当前系统行为既可以 是实时收集的，也可是操作系统记录的审计数据。第一代的滥用入侵检测 系统使用规则来对入侵想定进行表示，这种方法带来的问题是随着时间的 推移，会产生数量巨大的规则，但要解释和修正这些规则极其困难。为了 解决第一代系统中存在的问题，第二代的滥用入侵检测系统引入了几种入 侵想定表示方法。这些表示方法包括基于模型的规则组织法和状态转移 法，这些方法便于使用滥用检测法的用户更加直观的理解和表达攻击行为 的顺序、危及系统安全的环境以及入侵造成的后果等。由于滥用检测法需 要经常性的维护和更新入侵想定，所以易用性是十分关键的问题。入侵想 定能够被描述的相对比较精确，滥用入侵检测系统能够根据想定一步一步 四川大学硕士学位论文 的追踪入侵企图，并且预测整个入侵行为序列中的下一个可能的行为。有 了这些信息，检测系统就可以更加深入的分析系统信息，以发现下一步入 侵、减少危害。 滥用检测系统最大的优点是一旦某个已知的入侵模式被储存以后，再 通过这种方式入侵的行为就会被迅速的检测到，并且误报率非常低。但是， 这种入侵检测方法也有两个主要的缺陷：一个是必须为同一入侵方式的不 同变种定义精确的特征集，因此特征集的冗余度很高：另一个是对新的入 侵方式无能为力，必须不断的更新特征集以检测层出不穷的新攻击方式。 目前，大多数商业入侵检测系统都是以滥用入侵检测技术为基础的。 在滥用入侵检测中，研究者们已经提出了各种类型的检测方法，如专 家系统、特征分析、状态转移分析等等。此外，还有基于p e t r i 网分析的滥 用入侵检测方法、基于神经网络的滥用入侵检测方法等。 2 3 入侵检测系统的功能和结构 2 3 1 入侵检测系统的功能 入侵检测系统是通过收集网络中的有关信息和数据，对其进行分析， 发现隐藏在其中的攻击者的足迹，并获取攻击证据，制止攻击者的行为， 最后进行数据恢复。总地来讲，入侵检测系统的功能有以下七种： 1 ) 监控、分析用户和系统的活动： 2 ) 核查系统配置和漏洞： 3 ) 评估关键系统和数据文件的完整性： 4 ) 识别攻击的活动模式并向网管人员报警； 5 ) 对异常活动的统计分析； 6 ) 操作系统审计跟踪管理，识别违反政策的用户活动： 7 ) 评估重要系统和数据文件的完整性： 一个成功的入侵检测系统，不仅可使系统管理员时刻了解网络系统 ( 包括程序、文件和硬件设备等) 的任何变更，还能给网络安全策略的制订 心jj l 大学硕士学位论文 提供依据。而且它应该管理配置简单，使非专! 人员可以容易地完成配置 管理。入侵检测的规模还应根据网络规模、系统构造和安全需求的改变而 改变。入侵检测系统在发现入侵后，应及时做出响应，包括切断网络连接、 记录事件和报警等。 2 3 2 入侵检测系统的结构 从系统构成和功能逻辑上看，入侵检测系统主要包括传感器 ( s e n s o r ) 、入侵分析引擎( a n a l y z e r ) 、用户接口( u s e ri n t e r f a c e ) 三大 模块，另外，还可能结合安全知识库、数据存储等功能模块，提供更为完 善的安全检测及数据分析功能，其系统组成如图2 3 n 示。 图2 ，3 入侵检测系统组成图 ( 1 ) 传感器模块是入侵检测系统的数据采集器，在系统中居于基础 地位。传感器负责提取反映受保护系统运行状态的数据，并完成数据的过 滤和预处理工作，为入侵分析模块和数据存储模块提供原始的安全审计事 件数据。传感器的输入数据流包括任何可能包含入侵行为线索的系统数 据，如网络数据包、曰志文件和系统调用等，传感器将这些数据收集起来， 四川大学硕士学位论文 然后发送到分析器进行处理。 ( 2 ) 入侵分析引擎模块负责从一个和多个传感器处接受信息，并通 过分析来确定是否发生了非法入侵活动。该模块的输出为标识入侵行为是 否发生的指示信号，例如一个告警信号。该指示信号中还可能包括相关的 证据信息。另外，分析引擎组件还能够提供关于可能的反映措施的相关信 息。 ( 3 ) 知识库模块主要负责存储和记载现有的知识和已知的历史行为。 对于滥用检测分析引擎，该模块是建立在对过去各种已知网络入侵方法和 系统缺陷知识的积累之上，分析引擎将收集到的网络活动信息与该模式库 中的知识进行匹配，如果发现有符合条件的线索就会触发警报。而对于异 常检测，知识库中记载的则是用户和网络行为处于正常情况的一个范围， 分析引擎将收集到的当前的系统和用户的行为与知识库匹配，如果发现当 前状态偏离了正常的模型状态，就给出警报信号。 ( 4 ) 数据存储模块为知识库的更新提供了新的数据源。传感器在将 采集来的数据交给分析引擎处理的同时，将这些数据存入数据存储模块， 分析引擎完成分析以后，如果断定没有发生入侵，则可以将这些新的数据 提取出来，更新知识库。 ( 5 ) 用户接口模块使用户易于观察入侵检测系统的输出信号，并对 入侵行为做出主动或被动的响应。 2 4 基于网络的入侵检测系统的研究 如前面所述，通常将入侵检测系统划分为基于主机的入侵检测系统和 基于网络的入侵检测系统。由于本文主要面向于解决基于网络的入侵检测 问题，这里便着重介绍基于网络的入侵检测的相关知识。首先我们需要了 解黑客是如何利用网络协议的弱点，进行以网络为目标的入侵。做到知已 知彼，才能更好的解决基于网络的入侵问题。为此，我们先介绍相关的网 络互连技术和主要的网络协议。 四j l i 大学硕士学位论文 2 4 1 网络互连和网络协议 网络的基本思想并不复杂，当两台或多台计算机以某种方式连接在一 起，以实现信息的共享和交换，网络就存在了。网络一i - 的单机被称为主机 或节点。一台能够对网络提供特殊服务，如邮件服务、文件服务、域名服 务和w e b 服务等等服务的计算机叫做服务器，与服务器通信并享用其服 务的计算机为客户机。网络上主机之间通常按照客户机朋务器的模式进 行通信。一般情况下，多个客户机使用少量的服务器。 网络协议是指网络中主机之问通信所需要遵守的一组规则，网上的节 点遵循预先制定好的协议信息的交换，t c p i p 协议是局域网和广域网联 接成的i n t e m e t 通信的基本协议，是多个互相协作的协议集合。 信息以离散的数据分组包( p a c k e t ) 的形式经网络传输。有两种基本的 传输方式，即广播方式和分组交换的方式。在广播网络上，所有的分组要 发送到网络中的所有主机，即网络中的每台主机能够“听”到网络中的所 有数据包，但它只接收目的i p 地址指向它的数据包。小规模的局域网通 常使用广播方式。而在广域网上，数据包必须以分组交换的方式传输，即 数据分组从源主机须经中间主机或路由器转达目标主机，数据分组可经不 同的路由到达目标主机，即可经不同的路由转发，i n t e m e t 就是一个典型 的以分组交换方式传输信息的网络，它是由无数主要以广播方式传输信息 的局域网联接而成的网络。 任何针对网络主机的入侵必须利用网络协议的弱点。常见的网络协 议主要包括t c p 、i p 、u d p 、i c m p 等协议。 2 4 2 常见的网络入侵及其简要分析 目前，以网络为攻击目标的攻击方式正在以空前的速度增长，2 0 0 4 年 的网络攻击事件为4 0 万，与2 0 0 3 年相比，增长幅度高达3 6 。所有的以 网络为目标的攻击都基于这样一个事实，即攻击者可以设法截获流经网络 的数据分组。通常，在发起攻击之前，攻击者对目标网络的相关信息知之 1 4 叫j i f 大学硕士学位论文 甚少，所以，攻击者在发起攻击之前首先要运用各种方法探测网络，收集 实施攻击所需要的信息。收集网络信息是攻击者发动攻击的前提，基于网 络的入侵检测通常以检测这些异常的网络通信模式是否出现来检测入侵， 以下是攻击者收集网络信息的主要方法： 1 ) 端口扫描 攻击者试图与攻击的目标主机的所有端口建立连接。 2 ) 地址扫描 攻击者试图与一个网络内的所有可能的i p 地址建立连接，而不管相 应的主机是否存在。 3 ) 特定端口扫描 攻击者有目的地探测某些特定的端口，通常这些端口所提供的服务存 在着可被攻击者利用的弱点。 4 ) 分布式端n 地址扫描 攻击者从不同的网络节点探测攻击目标主机的i p 地址和端口，入侵 者进行分布式端口地址扫描之后，通常要发动分布式协作攻击。 利用上述方法收集到攻击所需要的必要信息之后，攻击者通常会发 起以下类型的攻击： 1 ) 口令攻击 口令攻击是黑客常用的入侵在线网络的方法。通常，入侵者先用 f i n g e r 找到目标主机上的用户账号，然后用字典穷举法进行攻击。由于网 络上的用户常采用一个英语单词或自己的名字作为口令，攻击者借助一些 工具如l e t m e l n 等。自动的从电脑字典里取出下一个单词，作为用户的口 令输入给目标主机，若口令错误，就再取出下一个单词，直到成功登录目 标主机或将字典单词用完为止。这种攻击类型主要针对u n i x 系统，因其 它操作系统如w i n d o w sn t ，如果输入不正确的口令3 - 5 次，系统就会封 锁该用户。 2 ) i p 欺骗攻击 该攻击方式主要应用于i p 协议传送的报文中。黑客进行i p 欺骗攻击 时，首先要选定一台被攻击者所信任的主机，使用“t c ps y n 淹没”等 四j i l 大学硕十学位论文 手段使被信任主机丧失工作能力，同时采样目标主机发出的t c p 序列号， 猜出它的数据序列号，然后，伪装成被信任的主机，同时建立起与目标主 机基于地址验证的应用连接。如果成功，黑客就可以使用一种简单的命令 放置一个系统后门，以进行非授权操作。 3 ) 拒绝服务攻击d o s 拒绝服务攻击d o s ，旨在通过向攻击目标发送大量要求回复的信息， 消耗网络带宽或系统资源，导致网络或系统不胜负荷以至瘫痪而停止提供 正常的网络服务，过去这些攻击者来自单一位置，而现在通过使用t r i n o o 、 t f n 、t f k 2 k 等分布式系统入侵工具，可以从多个系统向一个目标系统 同时发起攻击，即分布式拒绝服务攻击，这样使得攻击更难以被检测。 4 1t c p 协议劫持攻击 t c p 劫持的基本手段是，黑客通过劫持一台已经连接到入侵目标网络 的可信任主机之后，黑客用自己的i p 地址更换被劫持主机的每一个分组 的目标i p 地址，并模仿其顺序号，这样就成功地成为服务器的合法客户 端，因为黑客一般在成功t c p 劫持入侵后比i p 欺骗入侵有更大访问能力， 因而也比i p 欺骗攻击更具危害性。 2 4 3 网络入侵检测系统应具备的系统特性 研究人员通过长期的调查研究发现，一个成功的入侵检测系统必须具 备下面七种系统特性： ( 1 ) 健壮性入侵检测系统必须能够在多点监视计算机网络系统， 只有这样当某一点的检测失效时，才不会导致整个入侵检测系统失败。只 在一点检测的最大缺陷就是当入侵者知道该入侵系统的存在，并且成功的 穿越它时，接个被保护的系统就完全暴露。 ( 2 ) 可配置性入侵检测系统必须比较容易地根据本地主机或网络 组件的不同需求进行重新配置。因为在一个网络环境中，各个主机的类型 不尽相同，所以对安全的要求也不同。此外不同的网络组件( 如路由器、 过滤器、d n s 等) 对安全的要求也不同。 四川大学硕士学位论文 ( 3 ) 可扩展性入侵检测系统必须能够比较容易地扩展其检测范围。 当有新的主机添加到当前网络时，尤其是当新加入的主机的操作系统不同 于网络中已有主机的操作系统的类型时，入侵检测系统必须能够监视和处 理新格式的审计数据。 ( 4 ) 可量测性入侵检测系统必须能够及时收集并正确分析所有的 审计数据。在集中式入侵检测系统中，审计追踪数据收集进程是分布式， 但分析处理是集中式的，因此，若要在不丢失任何数据的情况下收集所有 审计数据是非常困难的，即使能够做到，也会消耗大量的资源，降低整个 网络的性能。 ( 5 ) 自适应性入侵检测系统必须能够动态的自我调整以发现动态 网络入侵行为。由于用户、厂家和系统管理员都会经常设置等，所以计算 机网络系统的都不是静态的。用户操作、网络通信模式等也会随之改变， 因此检测系统必须能够随着环境的改变而自我调整。 ( 6 ) 全局分析入侵检测系统必须能够从全局的高度监视计算机网 络系统中发生的所有事件，以便收集充足的信息来判断多个事件之间的相 互关联性。许多网络入侵方式采取的是多点突破的办法，因此在每一个被 突破的本地主机上，表现出来的可能是一个正常的错误。但如果从全局的 高度综合分析发生在各个点上的事件，就会发现它是一个明显的入侵企 图。 ( 7 ) 高效性入侵检测系统不能消耗太多的主机和网络资源。由于 单个的入侵检测系统不但要监视和收集数据，还要分析数据并且做出决 策。因此给c p u 和i 0 带来沉重的负担，并影响这个网络的性能。 2 5 本章小结 本章首先介绍了入侵检测技术的发展历史，然后介绍了入侵检测技术 的研究现状，同时也介绍了入侵检测系统的功能与结构，接着出于本文需 要解决基于网络的入侵检测问题，介绍了网络互连、网络协议以以及网络 攻击，最后提出了一个好的网络入侵检测系统应具备的系统特性。 四川大学硕士学位论文 3 免疫学知识综述 3 1 人体免疫系统概述 在我们生存的环境中，充满各种各样对人体有害的细菌和病毒，它们 通过呼吸、饮食、接触等多种渠道进入人体。在这种情况下，人们仍能维 持生存，保持健康，这是因为在人体内存在着人体免疫系统。 人体免疫系统是由免疫分子、免疫细胞、免疫组织和免疫器官组成的 一个复杂系统。这个系统主要表现为以下几种生理功能：( 1 ) 免疫防御指 机体排斥外源性抗原异物的能力。这是人体藉以自净、不受外来物质干扰 和保持物种纯洁的生理机制。这种功能一是抗感染，即传统的免疫概念； 二是排斥异种或同种异体的细胞和器官。这种能力低下时，体易出现免疫 缺陷病，而过高时易出现超敏感性组织损伤。( 2 ) 免疫白稳指机体识别 和清除自身衰老残损的组织、细胞的能力。这是机体藉以维持正常内环境 稳定的重要机制。这种自身稳定功能失调时，易导致某些生理平衡的紊乱 或者自身免疫疾病。( 3 ) 免疫监视指机体杀伤和清除异常突变细胞的能 力，机体藉以监视和抑制恶性肿瘤在体内生长。一旦功能低下，宿主易患 恶性肿唐。 人体免疫系统具有多层的体系结构，为人体构筑了多层安全防线，如 图3 1 所示。最外层的是皮肤，它是防御感染的第一道屏障。第二道屏障 是生理学的，如体温和p h 值等，通过为病菌提供不适宜其生存的生化条 件，防止对机体造成危害。病菌一旦突破这些屏障经进入机体，免疫系统 依靠固有性免疫应答( i n n a t ei m m u n er e s p o n s e ) 和适应性免疫应答 ( a d a p t i v ei m m u n er e s p o n s e ) 对病菌发起有效的免疫反应，保护机体的安 全。其中，