（计算机软件与理论专业论文）基于免疫原理的网络入侵检测技术的研究.pdf

摘要 随着计算机互联网的发展和广泛应用，网络安全特别是网络入侵问题变得越 来越严重。因此，开展网络安全特别是入侵攻击与防范技术的研究，开发急需的、 高效实用的网络入侵检测系统，对计算机网络的发展和网络信息的建设与应用都 具有重要意义。 本文在对现有的入侵检测系统和生物免疫系统进行研究的基础上，对基于免 疫的入侵检测模型进行了探讨，并从健壮性、可扩展性、伸缩性和有效性等角度 对该模型进行了详细分析。从而得出改进现有入侵检测系统的方法，将生物免疫 系统的原理、结构和算法，应用于网络入侵检测系统的设计与实现。 最后，设计并初步实现了一个基于免疫的分布式网络入侵检测系统原型，该 系统监视t c ps y n 网络数据包。每一个t c ps y n 网络数据包都用表示为4 9 位二进 制串。系统监视网络以发现其中的异常二进制串，异常二进制串代表了网络中的 异常网络连接。该系统原型具有分布式性、自适应性和健壮性等特征，而且既能 进行滥用入侵检测，又能进行异常入侵检测。 关键词：计算机安全入侵检测生物免疫系统滥用检测异常检测 a b s t r a c t w i t lt h er a p i de x t e n s i o no fi n t e m e ta n dw i d e a p p l i c a t i o no f i n t e r n e t n e t w o r k s e c u r i t y , e s p e c i a l l yn e t w o r ki n t r u s i o n ，h a sb e c o m e e v e r s e r i o u s t h e r e f o r e ，i ti sq u i t e n e c e s s a r yf o r u st ot h o r o u g h l y a n a l y z ep r o b l e m si nn e t w o r ks e c u r i t y , s u c ha si n t r u s i o n a t t a c k ，t os t u d yi n t r u s i o nd e t e c t i o nt e c h n o l o g y , a n da l s ot od e v e l o p e f f e c t i v en e t w o r k i n t r u s i o nd e t e c t i o ns y s t e m sf n m s ) o u rr e s e a r c hw o r ki sv a l u a b l ea n di m p o r t a n tf o rt h e d e v e l o p m e n t a n d a p p l i c a t i o no f n e t w o r k i n f o r m a t i o ns y s t e m s t h r o u g h t h er e s e a r c ho f c u r r e n ti n t r u s i o nd e t e c t i o ns y s t e m sa n db i o l o g i c a li m m u n e s y s t e m ，a ni m m u n i t y b a s e dn e t w o r ki n t r u s i o nd e t e c t i o nm o d e li sd i s c u s s e da n da n a l y z e d i nf u l ld e t a i lf r o mt h ev i e w o f r o b u s m e s s ，e x t e n s i b i l i 锄s c a l a b i l i t y , a d a p t a b i l i t ya n d e f f i c i e n c y t h u st h em o d e l i n d i c a t e s w a y s i nw h i c hw ec a n i m p r o v eo u re x i s t i n g i n t r u s i o nd e t e c t i o ns y s t e m s t h a ti sa p p l y i n gb i o l o g i c a lp r i n c i p l e s ，a r c h i t e c t u r e s ，a n d a l g o r i t h m se x t r a c t e df r o m i st ot h ed e s i g na n di m p l e m e n to fi n t r u s i o nd e t e c t i o n s y s t e m s f i n a l l y , w ed e s i g na n dp r e l i m i n a r i l yi m p l e m e n t e d a p r o t o t y p eo f n e t w o r k i n t r u s i o nd e t e c t i o ns y s t e mb a s e do n i m m u n i t y i t m o n i t o r st c ps y nn e t w o r kt r a f f i c e a c ht c ps y nn e t w o r k p a c k e ti sr e p r e s e n t e db y a4 9 - b i tb i n a r ys t r i n g t h ei d s m o n i t o r st h en e t w o r kf o rt h eo c c u r r e n c eo f u n c o m m o n4 9 - b i tb i n a r ys t r i n g s w h i c h r e p r e s e n t u n u s u a lt r a f f i cp a t t e r n sw i t h i nt h en e t w o r k 1 1 p r o t o t y p ei sd i s t r i b u t e d a d a p t a b l ea n dr o b u s t ，f u r t h e rm o r e ，i t c a r r i e so u tb o t ha n o m a l yd e t e c t i o na n dm i s u s e d e t e c t i o n k e y w o r d ：c o m p u t e rs e c u r i t y i n t r u s i o n d e t e c t i o n b i o l o g i c a li m m u n es y s t e m m i s u s ed e t e c t i o n a n o m a l y d e t e c t i o n 创新性声明 本人声明所呈交的学位论文是我个人在导师的指导下进行的研究工作及取得 的研究成果。尽我所知，除了文中特别加以标注和致谢中所罗列的内容以外，论 文中不包含其他人已经发表或撰写过的研究成果，也不包含为获得西安电子科技 大学或其他教育机构的学位或证书而使用过的材料。与我一同工作的同志对本研 究工作所做的任何贡献均已在论文中作了明确的说明并表示了谢意。 申请学位论文若有不实之处，本人承担一切相关责任。 本人签名：盎垒苎纽 日期：苎竺! j 关于论文使用授权的说明 本人完全了解西安电子科技大学有关保留和使用学位论文的规定，即：研究 生在校攻读学位期间论文工作的知识产权单位属西安电子科技大学。本人保证毕 业离校后，发表论文或使用论文工作成果时署名单位仍然为西安电子科技大学。 学校有权保留送交论文的复印件，允许查阅和借阅论文；学校可以公布论文的全 部或部分内容，可以允许采用影印、缩印或其他复制手段保存论文。 本人签名：查塾垫 导师签名：弛 日期 一口互j q 日期：丝! ! ：五：f ! 第一章绪论 第一章绪论 1 1 引言 i n t e m e t 持续高速的发展，极大地加快了社会信息化的步伐。借助于计算机网 络环境，实现了跨地区的电子银行、电子商务，电子政务、电子家务、金融网络、 制造资源管理和网络虚拟社区等多种应用。但是，网络的开放性也为信息的窃取、 盗用、非法修改以及各种扰乱破坏提供了可乘之机，使得信息在存储、处理和传 输等各个环节，都有可能遭到入侵者的攻击或病毒的危害，造成系统的瘫痪或重 要数据的丢失。例如，人们经常会听到有关黑客攻破新的工业安全机制的报道， 听到数小时内全世界有数百万台计算机感染病毒而陷于瘫痪等。总之，计算机安 全变得越来越重要，它关系到商业利益、个人隐私乃至国家机密。因此，如何对 计算机系统和网络中的各种非法行为进行主动防御和有效抑制，成为当今计算机 安全亟待解决的重要问题。 现有的安全机制通过访问控制，例如口令和防火墙技术，来保护计算机和网 络不受非法和未经授权的使用。然而，如果这些访问控制措施被泄漏或被绕过， 则一个滥用权力者将可能获得未经授权的访问，从而导致巨大的损失。比如说目 前流行的防火墙技术，一个常见的缺陷是如果其安全性配置的特别强大，就会影 响网络系统的处理性能。更严重的情况是防火墙把历有的安全问题集中在一起， 一旦防火墙突破，那么内部网络就很容易被破坏。因此可以说防火墙是网络的瓶 颈，它建立了一个把所有防卫措施都放置到一个集中位置的环境。对网络安全来 说，这是一个潜在的危险因素。 另一个实际问题是，不能够在所有的情形下都依靠访问控制机制来防范内部 人员的攻击行为。几乎所有的安全系统对内部人员滥用权力的行为是脆弱的，而 审计记录的痕迹几乎是监测授权用户滥用行为的唯一手段。在传统的访问控制技 术已不能完全满足安全需求的同时，入侵检测技术作为一种新的安全手段，正受 到越来越多的重视。现在的网络安全技术正处于第一代技术向下一代技术的过渡 时期，在未来的发展里，将越来越多地与其它学科和技术领域进行交融汇合，如 生物免疫、数据融合、人工智能以及网络管理等。本文就是将免疫系统的原理进 行抽象，将其应用于网络入侵检测，以改善网络入侵检测系统的性能。 1 2 相关背景 2 基于免疫原理的网络入侵检测技术的研究 1 2 1 生物免疫学 人类的躯体处于有害微生物的不断攻击之下，如细菌、寄生虫、病毒等病原 体。这些病原体是许多疾病的来源。病原体是有害的，因为如果不能及时的检测 到病原体，他们将迅速的复制，导致主体的死亡。除了微生物，人类的躯体还受 到有毒物质的威胁，如果不能将之从身体中及时的清理掉，将对身体造成严重伤 害。免疫系统的作用之一就是保护躯体免受病原体的伤害或尽量减少病原体对躯 体的伤害，以确保其持续起作用。免疫系统要完成这个功能，必须解决两方面的 问题：首先是病原体的识别即检测；其次是病原体的删除以尽量减少对躯体的损 害。 1 2 2 计算机安全 计算机安全系统要解决的问题与免疫系统要解决的问题类似：免疫系统保护 躯体免受病原体的侵害，类似的，计算机安全系统保护计算机免道入侵。计算机 安全系统主要涉及以下几个方面的问题： 机密性：指信息不泄露给非授权用户、实体或过程，或者不供其利用的特性。 完整性：指数据未经授权不能被改变的特性。 可用性：计算机系统根据授权用户的需要持续提供资源服务。 可说明性：在计算机系统遭受入侵的情况下，计算机安全系统应该能够提供 足够的信息来跟踪和识别入侵者。 正确性：虚假报警应尽可能的少，虚警率高会影响用户的合法行为。 通过将免疫系统的术语翻译成对应的计算机安全的术语，计算机安全系统所面 临的问题与生物免疫系统所面临问题的相似性更加明显。免疫系统的检测策略由 自然选择隐含指定的，这只强调了计算安全问题的一些方面：可用性和正确性是 最重要的，次之是完整性和可说明性。可用性是指在受到病原体的攻击时，生物 躯体能够持续的起作用。正确性是指防止免疫系统攻击躯体。完整性是确保对细 胞函数进行编码的基因不被病原体所破坏。可说明性是指发现和破坏弓随；疾病的 病原体。 1 3 研究现状及研究目的 免疫系统成功保护有机体免受各种侵害的机理为入侵检测系统( i d s ，i n t r u s i o n d e t e c t i o ns y s t e m ) 的研究提供了重要依据。人们基于免疫系统的原理，利用诸多学 科的最新成果，对i d s 进行了大量的研究，取得了一定的进展，但目前还没有此 类商业化产品问世。目前，在我国还很少见到有关免疫系统在计算机安全方面的 第一章绪论 研究和报道，而在国外己有一些机构对人工免疫系统、计算机免疫系统、基于免 疫系统的各种应用等进行了不同程度的研究和探讨，例如i b mt h o m a s j w a t s o n _ r e s e a r c hc e n t e r 的计算机抗病毒产品口“、a i rf o r c el u s to f t e c h n o l o g y 的 计算机病毒免疫系统【3 3 】等。他们希望利用生物免疫系统的分布性和自适应性等特 性；摆脱近年来计算机病毒大量繁殖和快速传播的困境。此外，在英国、意大利 以及日本等国家也有诸如此类的研究。当前计算机安全正朝向以预防为主的方向 发展，基于生物免疫系统的入侵检测技术研究正符合这一发展要求，随着新技术、 新学科的不断涌现，i d s 的技术和产品将获得全方位的提高与发展。 研究表明当前已有的入侵检测系统不够高效，缺乏正确性。1 9 9 8 年林肯实验 室所进行的评估表明，入侵检测系统只能检测到5 0 到7 0 的攻击，发生误警的 频率大约为每天1 至1 0 次 3 4 1 ，虽然误警率是可以接受的例，但这种状况还可以进 一步改善。因为是所测试的系统中，几乎没有可以检测新的攻击行为的。大多数 系统只能进行基于特征的入侵检测，即系统存储了已知入侵行为模式特征，然后 监视该模式的出现。几乎没有系统进行基于异常的入侵检测，即检测未知的攻击 行为。相比较而言，免疫系统既进行基于特征的入侵检测，又进行基于异常的入 侵检测，而且在分布式的环境中能有效的起作用。免疫系统揭示了改进现有入侵 检测系统的方法。这是本篇论文的主题：设计和实现基于生物免疫系统原理的入 侵检测系统原型，一个既能进行误用检测又能进行异常检测的分布式网络入侵检 测系统原型。 可以利用对生物系统机制的理解来改善计算机系统的设计。本文从免疫系统 中抽象出与计算机安全相关的原理、结构和算法，并将其应用于入侵检测系统的 设计，特别是两络入侵检测系统的设计。使设计出的基于生物免疫的入侵检测系 统具有下面的特征【l j ： 分布式保护( d i s t r i b u t e dp r o t e c t i o n ) ：免疫系统由分布于整个身体的多个代理 或组件构成。这些部件在局部相互作用以提供对整个系统的完全的分布式保护： 没有( 或有很弱的) 控制中心或协同中心。因此不会由于莱个节点的失败导致整 个系统的失败。 多样性：免疫系统有几种形式的多样性，例如：每个生物个体有自己独特的 免疫系统，即每个个体对同种疾病的抵抗力是不一样的，从而提高了整个集体的 健壮性。每个个体的免疫系统都是由提供多种多样的模式识别的各种不同部件组 成，以使免疫系统能够检测多种多样的病原体。 健壮性：免疫系统由大量的部件组成，从而使得损失少数几个部件不会影响 系统的整体性能。这种可任意使用组件与整个系统控制无中心化的特性，使得系 统具有较强的健壮性。 适应性：系统具有自适应性，能够通过学习，越来越准确地识别病原体的结 4 基于免瘦原理的网络入侵检测技术的研究 构，并进行有效的响应。适应性加速了免疫响应。 记忆性( 基于特征的检测) ：免疫系统能够记住由自适应性学习得到的入侵病 原体的特征结构，使系统在以后遇到结构或特征相似的入侵时能快速地做出反应。 这种记忆特点使碍系统能够对已知的入侵病原体进行检测，从而令基于特征的入 侵检测得以实现。 隐含策略的描述( i m p l i c i tp o l i c ys p e c i f i c a t i o n ) ：系统对“自己”豹描述是通过 跟踪躯体内的蛋白质结构隐式确定的，而不是通过明确的规则描述来定义的。这 里的“自己”对应正常行为，这样的系统不必担心由于规则的描述不当或规则的 泄漏而引起的安全问题。 灵活性：免疫系统能够灵活的分配资源。当系统遭受比较严重的入侵时能使 用较多的资源，产生较多的组件；而在其它时候，则使用较少的资源。例如：高 度紧张的人容易生病，而病人需要更多的休息( 为免疫系统释放更多的能源) 。 伸缩性：从分布式处理的角度看；系统各组件间的通信与交互是局部的，因 此系统是可扩充的。也就是说，仅需要少量的开销就可实现组件数量的增加。 异常检测：通过多种手段使系统具有对新病原体的检测功能。在多数情况下， 异常检测不如滥用检测有效。但异常检测对一个系统的生存至关重要，因为在系 统的生命周期中总是会遇到未出现过的新病原体。 1 4 论文的主要内容及组织结构 本文各章节的基本内容如下： 第一章，首先介绍了入侵检测研究的必要性，接着简单介绍了相关的背景知 识，最后介绍了入侵检测研究的现状及本文的研究目的。 第二章，首先对入侵检测技术进行了概要论述，接着介绍了入侵系统的分类 方法，以及每类入侵检测系统的优缺点，最后对现有的入侵检泓系统进行了详细 分析，并指出了它们的优缺点。 第三章，详细地介绍了与入侵检测相关的生物免疫系统的各种免疫机理和特 性，并设计出基于这些免疫机理和特性的网络入侵检测系统的简单原型。 第四章，首先建立了一个通用的分布式入侵检测模型，对模型的属性进行了 详细的定义和分析，接着对基于免疫原理的分布式入侵检测所涉及韵关键技术进 行了详细的研究分析，并对参数的取值进行了讨论。 第五章，首先详细分析了网络监视器烈s m ) ，包括n s m 的原理与运行环境等， 接着以n s m 为基础，介绍了基于免疫原理的分布式网络入侵检测系统原型的设计 与初步实现，以及该入侵检测系统原型的特征。 结束语，对本文的研究工作进行了总结。 第二章入侵检测技术概述 第二章入侵检测技术概述 2 i 入侵检测系统的组成部分 入侵检测系统( i d s ，i n t r u s i o nd e t e c t i o ns y s t e m ) 用来对计算机网络或计算机 系统中的若干关键点的信息进行收集分析，从中识别针对计算机系统和网络系统， 或者更广泛意义上的信息系统的非法攻击，其中包括检测外界非法入侵者的恶意 攻击或试探，以及内部合法用户的超越其使用权限的非法活动。最早的入侵检测 模型由d d e n n i n g 提出，该模型包括探测器、分析器和用户接口三个主要组成部 分 2 1 ，与具体系统、输入类型以及具体的入侵行为无关。 探测器( s e n s o r ) 主要负责收集数据。探测器的输入数据流包括任何可能包含入 侵行为线索的系统数据，例如网络数据包、日志文件和系统调用记录等。探测器 将这些数据收集起来，然后发送到分析器进行处理。 分析器( a n a l y z e r ) 又称为检测引擎( d e t e c t i o ne n g i n e ) ，它负责从一个或多个探测 器处接收信息，并通过分析确定是否发生了入侵活动。分析器组件的输出为标识 入侵行为是否发生的指示信号，例如个警告信号。该指示信号中还可能包括相 关的证据信息。另外，分析器组件还能够提供关于可能的反应措施的相关信息。 用户接口( u s e ri n t e r f a c e ) 使得用户易于观察系统的输出信号，并对系统行为进 行控制。在某些系统中，用户接口又称为“管理器”、“控制器”或者“控制台”等。 2 2 入侵检测系统的分类 2 2 1 检测引擎的实现技术 根据检测引擎的实现技术，入侵检测技术可分为两种：基于行为的入侵检测或 异常入侵检测( a n o m a l yd e t e c t i o n ) ，基于知识的入侵检测或滥用入侵检测( m i s u s e d e t e c t i o n ) 。 异常入侵检测通过各种渠道收集大量历史活动资料，从中分析得出正常行为模 型，并将之与当前活动情况进行对比，如果发现当前状态偏离了正常模型状态， 则系统发出警报认为有入侵发生。即任何不符合以往活动规律的行为都将被视为 入侵行为。因此，异常入侵检测系统的检测完整性很高，但要保证它具备很高的 正确性却很困难。 此类检测技术的优点在于它能够发现任何企图发掘、试探系统最新和未知漏洞 6 基于免疫原理的网络入侵检测技术的研究 的行为，对合法用户超越其权限的违法行为的检测能力大大加强。较高的虚警率 是此种方法的主要缺陷，因为信息系统所有的正常活动并不一定在学习建模阶段 就被全部了解。另外，系统的活动行为是不断变化的，这就需要不断的在线学习。 该过程带来两个可能后果，其一是在学习阶段，入侵检测系统无法正常工作，否 则就会生成额外的虚假警告信号。其二是在学习阶段，系统正遭受着非法的入侵 攻击。带来的后果是，入侵检测系统的学习结果中包含了相关入侵检测行为的信 息，这样，系统将无法检测到该种入侵行为。 异常入侵检测方法主要有以下几种。 ( 1 ) 概率统计方法：检测系统根据用户对象的动作为每个用户都建立一个用户 正常行为模型( p r o f i l e ) ，通过将当前特性与以前已存储的特性相比较，判断是否有 异常行为发生。这种方法的优越性在于能应用成熟的概率统计理论，但也存在不 足之处：统计检测对事件发生的次序不敏感，定义是否入侵的判断阈值比较困难。 ( 2 ) 神经网络方法：其基本思想是用一个信息单元序列来1 i i i l 练神经网络，在神 经网络的输入中包括当前的信息单元序列和过去的信息单元序列集合，神经网络 由此可给出判断。与概率统计方法相比，神经网络方法不依赖于数据统计的假设 条件，可更好地处理有噪音的数据和模糊数据，可更好地考虑各种变量间的相关 性，并且能自动学习和更新。 ( 3 ) 计算机免疫学：利用动物的免疫机理，郎区分本体成分和非本体成分并消 除非本体成分，建立每个程序正常行为的数据库，定义属于自己的体系结构、软 件版本和配置、管理策略、使用模式等，用来监测程序的行为。识别非自身的外 来攻击活动。 滥用入侵检测系统的应用是建立在对过去各种已知入侵方法和系统缺陷知识 的积累之上的，它需要首先建立一个包含上述已知信息的数据库，然后在收集到 的网络信息中寻找与数据库项目相关的蛛丝马迹。当发现符合条件的活动线索后， 它就会触发一个警告。这就是说，任何不符合特定匹配条件的活动都将会被认为 是合法和可以接受的，哪怕其中包含着隐蔽的入侵行为。因此，滥用入侵系统具 备较高的检测准确性，但是，它的完整性( 即检测全部入侵行为的能力) 则取决 于其数据库的及时更新程度。 滥用入侵检测系统的优点在于它具有非常低的虚警率，而且对检测的匹配条件 可以进行清楚的描述，从而有利于安全管理人员采取清晰明确的预防保护措施。 然而，滥用入侵检测系统的一个明显缺陷在于，收集所有已知或已发现攻击行为 和系统脆弱性信息的困难性以及及时更新庞大数据库需要耗费大量的精力和时 间。另一个存在的问题是可移植性，因为关于网络攻击的大多数信息是与主机的 操作系统、软件平台和应用类型密切相关的，这样的入侵检测系统只能在某个特 定的环境下生效。最后，检测内部用户的滥用权限的活动将变得相当困难，因为 第二章入侵检测技术概述7 通常该种入侵行为并未利用任何系统缺陷。 基于知识的入侵检测方法有以下几种。 ( 1 ) 专家系统方法：是基于知识的检测中运用最多的一种方法，将有关入侵的知 识转化成规则结构，当规则中的条件满足时，就认为发生了入侵活动。在具体实 现中，专家系统主要面临着全面性问题和效率问题，因此很少用于商业产品中， 实际运用较多的是特征序列检测。像专家系统一样，特征分析也需要知道攻击行 为的具体知识，但这种知识并不转化为规则，而是以在审计记录中能直接找到的 形式存在。【3 】 ( 2 ) 状态变迁分析方法：将入侵过程看作一个状态变迁序列，导致系统从初始 的安全状态转变到被危害状态。状态变迁图或入侵活动的图形表示，用来准确地 识别发生下一事件的条件，图中只包括成功的实现入侵所必须发生的关键事件。 根据系统审计记录中包含的信息，可研制分析工具，并对用户活动的状态变化和 已知入侵的状态变迁图加以比较。【4 l ( 3 ) 模式匹配模型：k u m a r 最早提出了基于模式匹配的入侵检测方法和加标签 事件的概念，使用有色p 嘣网来表示攻击特征序列以克服正规表达式和上下文 无关语法的局限性。p e t r i 网用于入侵行为分析是模式匹配方法的一种，其优势 在于其一般性、概念简单性以及能够图形化地表达状态。【5 】 2 2 2 入侵检测系统的数据来源 根据入侵检测系统数据来源的不同，可大致将入侵检测系统分成两类，基于主 机的入侵检测系统和基于网络的入侵检测系统( 网络入侵检测系统) 。 基于主机的入侵检测系统一般使用主机的审计数据和系统日志作为分析攻击 活动的数据源，一旦发现这些文件发生任何变化，将新的日志记录与攻击特征进 行比较以确定它们是否匹配。如果匹配，则向管理员报警并采取相应的行动。基 于网络的入侵检测系统使用原始的网络数据包作为分析攻击活动的数据源，一般 利用一个网络适配器来实时监测和分析所有通过网络进行传输的通信内容。旦 检测到攻击，即通过通知、报警以及中断连接等方式来对攻击做出反应。 2 2 3 入侵检测系统的时效性 根据数据分析发生的时间不同，可以分为脱机分析和联机分析。脱机分析就 是在行为发生后，对产生的数据进行分析，而不是在行为发生的同时进行分析。 如对日志的审核、对系统文件完整性的检查等都属于这种。一般而言，脱机分析 也不会隔太长的时间，所谓的脱机只是与联机相对而言的。 联机分析就是在数据产生或者发生改变的同时对其进行检查，以发现攻击行 8 基于免疫原理的网络入侵检测技术的研究 为。这种方式一般用于对网络数据的实时分析。 2 2 4 入侵检测系统的总体结构 可将入侵检测系统按照其组成部分的分布情况来分类，可以分为集中式入侵检 测系统和分布式入侵检测系统。对于集中式入侵检测系统，数据分析在数量固定 的地点进行，与所监测的主机的数量无关。在分布式入侵检测系统中，进行数据 分析的位置的数量与被检测主机的数量成比例。 为了提高入侵检测系统的健壮性、伸缩性、可维护性、效率和容错能力，提出 了使用自治代理( a u t o 玎o m o l l s a g e n t s ) 来构建分布式入侵检测系统。这一想法与当时 正在进行的软件代理的研究工作配合良好，随后得到了普遍的应用。采用代理的 分布式入侵检测系统可由以下几个部分组成：代理、过滤器、收发器、检测器和 用户接口，各不同实体间通过通信机制交换消息来协调工作。在g - r i d s 的设计和 实现中，提出了解决入侵检测系统伸缩性的问题的层次化结构方法，该系统可以 检测大规模的自动或者协作攻击，其检测范围能够跨越多个管理域。网 2 3 已有的网络入侵检测系统及其分析 网络入侵检测系统( n d s ) 通过分析和监视网络数据来发现网络攻击。这里对 已有的入侵检测系统进行了分析，这些入侵检测系统主要包括n a d i r z n ，d i d s 【8 ， e m e r a l d 9 1 ，a a f i d 【1 0 1 ，n i d 1 1 l ，n s m s 2 ，g r i d s 1 3 1 ，n e t s 一1 4 1 ，n c t r a n g e r e l 5 1 ， a s i m 1 6 1 。这些检测系统中的很多既包括基于网络的入侵检测部件，又包括基于主 机的入侵检测部件，例如n a d m ，d m s ，e m e r a i d ，a a j f m ，g r d s 。这里主 要分析基于网络的入侵检测部件。 这里所描述的大多数网络入侵检测系统进行基于特征的入侵检测；极少的系统 进行基于异常的入侵检测，系统n s m 和e m e r a l d 进行基于异常的入侵检测。有 些系统只有个探测器收集数据，大多数系统拥有分布在整个网络中的多个探测 器。拥有多个探测器的系统采用下面两种方式中的一种来收集信息，集中式 ( n a d i r , d i d s ，n c t s t a t ，n e t r a n g c r ) 或等级式( e m r a l d ，a a f i d ，a r m s ) 。等级 式的结构( 层次化结构) 具有伸缩性的优点。不同的滥用入侵检测系统最大的差 别在于对入侵特征建模的方式不同最常用的方式为使用专家系统( n a d m , e m e r a l d ，d i d s n i d ) ，不常用的方式包括利用状态转移图对入侵检测特征进行 编码m e t s t a t ) 和将攻击特征用图形表示( g r i d s ) 。系统n s m ，e m e r a l d ，a s i m 采 用统计分析的方法进行异常入侵检测。a a t i d 是一个框架结构支持不同的分析方 法，既支持滥用入侵检测又支持异常入侵检测。 第二章入侵检测技术概述9 没有任何一个入侵检测系统实现了所有1 3 节列出的基于生物免疫的入侵检测 系统所具备的特征。很多只实现了其中的一部分特征。除了系统n s m 外，所用的 系统都能够进行基于特征的入侵检测，即实现了记忆功能。系统n s m ，e m e r a l d a s i m 进行异常入侵检测，采用了隐含策略的描述方式，因为异常检测系统隐式指 定正常的、经常发生的行为为合法行为。将探测器用等级式的结构进行组织的多 探测器系统具有伸缩性的特征。 其它的特征只在某种程度上得以实现。多探测器系统的探测器分布在整个网络 中，能够检测发生在网络内所有计算机上的入侵行为。从这一点上看，多探测器 系统是分布式的。但是，因为采用的是层次化的结构，而层次化结构的高层容易 受到攻击。多探测器系统是健壮的，因为某一个探测器出现问题后，不会使得整 个系统失去入侵检测功能。然而若是系统中的高层部件出现了问题，就会使整个 系统失去作用。在以上所有的系统中，只有a a f i d 具有多样性的特征，因为它是 一个框架结构，能够同时支持不同的入侵检测方法。 还有两个特征，所有现有的系统都不具备，那就是自适应性和灵活性，这里的 自适应性指的是自动的从以前未遇到的网络攻击中提取、学习入侵特征。这里灵 活性是指自动的、动态的获得所使用的资源。 本文将通过对生物免疫系统原理的分析，设计实现基于生物免疫原理的网络入 侵检测系统原型，使其具备1 3 节列出的所有特征。 第三章基于免疫的网络入侵检测系统 第三章基于免疫的网络入侵检测系统 3 1 计算机科学家眼中的免疫系统 免疫系统检测和消灭病原体的能力对生物的生存是必不可少的，没有免疫系 统，我们会在几周之内死亡。免疫系统的结构是层次化的，在不同的层次上进行 保护。最基本的是皮肤，它是抵御病原体入侵的第一道屏障。第二道屏障是物理 层，这个层次所提供的像p h 值或温度等这样的条件不适合病原体的生存。一旦病 原体进入身体，它就会遇到先天的免疫系统和后天的自适应免疫系统。先天的免 疫系统主要由有细胞内吞作用的巨噬细胞组成，清除系统残骸和病原体等。本文 主要研究自适应免疫系统。 自适应的免疫系统之所以称为自适应，是因为它能够自动的识别( 检测) 病 原体，并学习、记住它们特征，以加速将来遇到同类病原体时的响应。学习发生 在免疫系统对从没遇到过的病原体进行初次响应时，初次免疫响应的速度非常慢 通常花大约三周的时间才能清除病原体。初次免疫响应清除瘸原体后，免疫系统 会记住一些引起免疫响应的病原体的特征。当再次感染该病原体或与该病原体类 似的病原体时，免疫系统不需要重新学习，能很快的进行二次免疫响应。二次免 疫响应的速度非常快，以至于看不到任何病原体感染症状。免疫记忆能对生物组 织提供生的保护，自适应的免疫系统通过努力后天获得的免疫系统。 自适应的免疫系统是由淋巴细胞组成的，淋巴细胞相互协作检测病原体，并 帮助消灭病原体。这里可以抽象的将淋巴细胞看作是独立的检测器，通过血液和 淋巴系统在整个身体内循环。身体里的数百万淋巴细胞构成了分布式的入侵检测 系统，不存在任何的集中控制和层次结构的控制。病原体的检测和消灭是数百万 的检测器细胞通过局部规则相互作用的结果。 3 2 生物免疫系统的概述 对于脊椎动物，骨髓是最为重要的免疫器官之一，是“多功能干细胞”的发 源地，这些干细胞最终分化成具有不同功能的免疫细胞。琳巴细胞( 又称t 细胞) 和b 淋巴细胞( 又称b 细胞) 是主要的免疫细胞，它们产生于骨髓的干细胞，分布 于全身，在免疫系统中起着重要作用。 生物体保护自身免受外来病菌的感染和侵害是通过免疫系统完成的。当病原 体( 病毒、细菌或寄生虫等) 侵入机体时，免疫系统能够识别“自己”和“非己”， 1 2 基于免疫原理的网络入侵检测技术的研究 并消灭和清除“非己”。“自己”指生物体自身的细胞和分子，“非己”指病原 体。有机体内的免疫系统能够识别“自己”和“非己”，并使自身分化激活并最 终清除外部抗原( 病原体) 的过程叫做免疫响应。在免疫系统中，t 和b 淋巴细胞 起着十分重要的作用【1 7 l ，这些具有免疫功能的t 淋巴细胞，必须是经过“审查”( 又 称阴性选择) 的成熟淋巴细胞。t 细胞表面的受体或b 细胞表面的抗体被称为免疫 系统的检测器。如果检测器与病原体( 如细菌、病毒和寄生虫等) 结合，则检测 器检测到有外来入侵。检测器检测到入侵后，将唤来吞噬细胞，如巨噬细胞对其 进行清除。检测器与病原体的结合是高度特异性的，即每一个检测器只能识别结 构相似的病原体。免疫系统具有高度分布、并行和自适应的显著特性。在免疫系 统中，检测器的产生、异物的识别和清除，以及对感染模式的记忆等过程都是并 行进行的，并且是高度分布的。这些特性使得免疫系统具有良好的健壮性，同时 也导致了免疫系统的复杂性。 免疫系统对病原体的检测 免疫系统对病原体的检测和识别是通过免疫细胞( 淋巴细胞) 表面的受体( 抗 体) 与病原体表面的抗原决定基建立化学键来完成的。受体和抗原决定基都具有 复杂的三维结构，并且是带电的。受体和抗原决定基的结构互补性越好，就越容 易形成化学键。如图3 1 所示，在受体与抗原决定基之间所形成的化学键的强弱用 亲和力表示，结构与电荷的互补性越好亲和力就越大。受体是具有特异性的，它 只绑定拥有相似结构的几种抗原决定基。这使得淋巴细胞也具有特异性，因为不 同的淋巴细胞具有不同结构的受体，同一淋巴细胞表面的受体具有相同的结构。 也就是一个淋巴细胞与一个具有相似结构的抗原决定基的集合绑定。病原体具有 反应它们分子结构的多种不同结构的抗原决定基，因此，多种不同的淋巴细胞对 应一种病原体，形成化学键。 图3 1 淋巴细胞表面示意图 第三章基于免疫的网络入侵检测系统1 3 每个淋巴细胞的表面大约有l o5 个受体，它们都绑定抗原决定基。每个淋巴细 胞表面拥有大量的同样结构的受体，有下面两个好处：首先，淋巴细胞可以根据 与给定的抗原决定基绑定的受体的数目，来估计亲和力的大小，绑定的受体的数 目越多亲和力越大。再次，淋巴细胞可以根据绑定的受体的数目，判断淋巴细胞 周围病原体的多少，越多地受体被绑定，淋巴细胞周围就会有越多的病原体。 淋巴细胞的行为是由亲和力的大小决定的，当绑定得受体的数目超过一定的门 限值时，淋巴细胞被激活，即发生了一次检测事件。也就是说，只有当受体与病 原体的抗原决定基所形成的化学键的亲和力足够大时，该病原体才能激活淋巴细 胞。也即淋巴细胞周围病原体的数目足够多。激活门限的存在使得淋巴细胞的作 用就象是检测器。一个淋巴细胞只能检测结构相似的抗原决定基。如果我们把所 有的抗原决定基结构考虑成模式的集合，每种淋巴细胞可以检测这个集合的相似 模式组成的子集。因此，不需要对每一种抗原决定基结构( 模式) 都有对应的淋 巴细胞，就可以检测到几乎所有的病原体。但有证据表明，有几类淋巴细胞的激 活门限比其它淋巴细胞低，只需要绑定很少的受体就能被激活。 受体的多样性 因为检测是通过绑定“非己”完成的，免疫系统必须确保有足够多样的受体， 以对每一种病原体都有至少一种淋巴细胞可以对其进行检测。因为人体不可能产 生象抗原决定基一样多的蛋白质，所以产生足够多样的受体是一个问题。据估计 免疫系统可用的蛋白质有1 0 6 种，但却有1 0 ”种不同的蛋白质要被识别或检测【l 引。 产生足够多样的受体所用的一种主要机制是伪随机过程，重新组合d n a 产生不同 的淋巴细胞基因，从而产生不同的受体。 据估计，免疫系统中大约有1 0 3 中不同的受体，却有1 0 “种不同的抗原决定基， 即没有足够多样的受体绑定每个可能的抗原决定基。这样，病原体就有可能通 过演化逃避检测。对这个问题，免疫系统的解决方案就是使得免疫系统的保护具 有动态性，提供不断变化的淋巴细胞，每天大约有l o7 种淋巴细胞产生【l9 】。若在每 一时刻共有l o8 种不同的淋巴细胞，以每天替代1 07 种的速度进行更新，则大约花 1 0 天的时间，就产生了全新的淋巴细胞集合。经过不断的更新，增加了免疫系统 的保护能力。 自适应性 体内病原体能够里指数级的速度复制递增，因此要求免疫系统尽可能快的检 测删除病原体。淋巴细胞越一般( 没有显著特征) ，检测、删除特定病原体的速度 越慢。因此免疫系统包含了一种机制，使得淋巴细胞能够“学习”特定病原体的 结构，并“记住”这些结构以加快将来对该病原体的响应。对病原体的学习和记 忆都是通过一种叫做b 细胞的淋巴细胞完成的。该类免疫细胞之所以被称为b 细胞， 是因为它是在骨髓( b o n em r r r o w ) 里成熟的 4 基于免疫原理的网络入侵检测技术的研究 当b 细胞被激活时，它就会产生自己的副本，通过细胞分裂进行繁殖。这个复 制过程很容易发生突变，比正常细胞分裂的突变率高的多，因此被称为超突变。 这使得子b 细胞有与双亲b 细胞不同的受体，不同的病原体亲和力。这些新产生的 b 细胞，同样有机会绑定病原体，如果这个绑定超过了它们的激活门限。他们同样 会复制自己。对于当前的病原体，亲和力越大的b 细胞，越可能复制自己。这就是 达尔文的变化、选择过程，被叫做亲和力的成熟。b 细胞竞争现有的病原体，具有 最高亲和力的b 细胞是最适合的，被复制的最多。亲和力成熟使得b 细胞适应当前 病原体的结构，最成功的b 细胞对当前病原体有最高的亲和力。亲和力越高就越能 高效、快速的删除病原体。b 细胞的繁殖对于病原体的删除是必不可少的。因为对 于病原体的删除，在b 细胞的繁殖和瘸原体的繁殖问存在着速度的竞争。 成功的免疫响应使得对引起免疫响应的外部病原体有比平均亲和力更高亲和 力的b 细胞增殖。b 细胞对这些信息的记忆构成了免疫记忆，如果将来再碰到同样 的病原体，由于免疫记忆使得这次的免疫响应比第一次免疫响应快的多。这里对 免疫记忆的理解是有问题的，因为b 细胞的寿命只有几天，一旦病原体被删除，我 们不知道是什么阻止这些具有记忆信息的b 细胞死亡。关于这个阀题，当前处于主 导地位的有两种理论：一是b 细胞变成记忆细胞后。它的寿命就变得和生物体的寿 命一样长【2 0 l 。另种是这些记忆细胞会不断地被重新激活，在生物体内存活几年 的时间2 ”。 学习和记忆使得我们可以很好的区分两种不同的免疫响应。一是免疫系统对 从未遇到过的病原体所进行的初次免疫响应，二是对曾经引起过免疫应答的病原 体所进行的二次响应。初次响应一般要花三星期的时间，在这三周的时间里，b 细 胞要进行学习、记忆和适应特定病原体的结构。二次响应一般比较短，大约几天 的时间，因为免疫系统中有关于该病原体特征的记忆。二次免疫响应可能因为再 次感染同样的病原体引起，还可能因为感染与先前感染的病原体相似的瘸原体引 起。用计算机科学的术语表示，就是免疫记忆具有相关性吲。 免疫容忍 根据上面的描述，受体是随机产生的，并且因为超突变的原因，受体容易发 生随机变化，因此受体可能绑定自己，引起自身免疫应答，即免疫系统攻击生物 体本身。自身免疫应答是很少见的，一般情况下，免疫系统是包容自身的，不攻 击自身。容忍自身是通过另一种淋巴细胞完成的，协助性f 细胞( t h - c 息l l s ) ，之所 以称为协助性t 细胞，因为它是在胸腺里成熟的，并且协助b 细胞完成免疫功能。 大多数关于自己的抗原决定基，存在于胸腺里。t 细胞在成熟的过程中，暴露给自 己的抗原决定基，经历一个阴性选择过程( 也称为“审查”) t 即如果被“自己” 的抗原决定基激活，则该t 细胞就会发生凋亡( 凋亡是指由基因负责调节控制的细 胞主动死亡或自杀的过程) ，即对自身组织有反应的不成熟t 细胞发生凋亡；那些 第三章基于免疫的网络入侵检测系统1 5 不能和自身抗原片段复合勃发生反应的未成熟t 细胞则存活和增殖，即只对外部抗 原有反应的t 细胞存活和增殖。这样就完成了t 细胞的选择和成熟过程。这种方式 被称为中心容忍( c t ，c e n t r a lt o l e r i z a t i o n ) ，因为t 细胞的成熟是在一个位置完成的， 即胸腺。 使b 细胞具有自身容忍性是在骨髓里完成的，但这对于阻止b 细胞进行自身免 疫是不够的，因为亲和力成熟时，b 细胞会发生超突变，这会导致先前容忍的b 细 胞产生对自身进行免疫的复制。亲和力成熟发生在分布在全身各部位的淋巴节点 内，为了确保b 细胞容忍自身，需要实现分布式容忍( d 噶d i s t r i b u t e d t o l e r i z a t i o n ) 。 协助性t 细胞通过协同激励机制，实现了分布式容忍。具体如下，要使b 细胞被激 活，必须使b 细胞获得两个信号；信号l 是与病原体绑定的受体的数目超过亲和力 门限时发出的，信号2 是协助性t 细胞发出的；如果b 细胞获得了信号1 而没有收到 信号2 则死亡。 在提供信号2 给b 细胞之前，1 1 蜘胞必须对b 细胞检测到的抗原片断进行验证， 以确定是外部抗原片断还是自身抗原片断。验证的过程是复杂的，b 细胞吞噬病原 体韵缩氨酸，莠将缩氨酸以组织掇容佳复合物( m 珏c ，