（计算机软件与理论专业论文）基于免疫学的网络入侵检测系统研究.pdf

l 海大学硕十学位论文 摘要 随着i n t e r a c t 的迅速发展，网络安全已成为世界各国共同关注的焦点。入 侵检测作为信息安全保障的一个重要环节，很好地弥补了访问控制、身份认证、 防火墙等传统保护机制所不能解决的问题。 基于免疫学理论的入侵检测，是近几年来入侵检测领域研究的热点，其突出 特点是利用生物体免疫系统的原理、规则与机制来实现对入侵行为的检测和反 应。本课题围绕改进k i m 所提出的动态克隆选择算法，并将其用于真实的网络 入侵检测，对相应的理论和应用进行了深入探讨。 本课题的主要研究工作和内容有： 1 在提取出网络包头中重要基本特征的基础上，分析了各种统计类型的特 点，并提取出了本课题中使用的五种类型的统计特征。 2 改进了负向选择算法的使用方法。只对统计特征使用负向选择算法，对 基本特征仅通过一些简单的规则进行判断。对解决负向选择算法在网络 入侵检测中应用时所产生的“伸缩性”问题进行了探讨。 3 为了提高“抗体”的有效性和动态适应性，改进了抗原和抗体的编码方 式。用不同长度对成熟抗体和记忆抗体进行编码。对统计特征进行模糊 化，以特征为单位进行编码。对各类统计特征分别建立各自的抗体库从 而避免组合爆炸，通过各种方法降低搜索空间。 4 改进了入侵检测过程中的异常判别算法。 5 改进了记忆抗体库的进化算法，消除库中的冗余信息，并提高成员的有 效性。对成熟抗体库和未成熟抗体的库的生成和进化算法进行改进，充 分利用了被删除记忆抗体和成熟抗体中蕴含的入侵行为特征，使成熟抗 体既有良好的多样性，又有良好的有效性。 6 通过设计一些参数和这些参数的动态调整方法，提高系统的规则挖掘能 力和动态适应性。 7 对系统的各模块进行了详细的设计并完成了软件的编写，对系统的检测 性能进行了实验验证。 关键词：入侵检测系统，计算机免疫学，动态克隆选择算法，网络安全 v 上海入学硕士学位论文 a b s t r a c t w i t ht h eh i g h - s p e e dd e v e l o p m e n to fi n t e m e t ，n e t w o r ks e c u r i t yi sb e c o m i n gt h e f o c u sw h i c hh a sa t t r a c t e dg r e a ta t t e n t i o nw o r l dw i d e i n t r u s i o nd e t e c t i o ni so n eo ft h e i m p o r t a n tc o m p o n e n to fi n f o r m a t i o ns e c u r i t y , w h i c hc o m p l e m e n tt h ec o n v e n t i o n a l p r o t e c t i n gt e c h n i q u e ss u c ha sa c c e s sc o n t r o l ，f i r e w a l l ，a n di d e n t i t ya u t h e n t i c a t i o n i nr e c e n ty e a r s ，m e d i c a li m m u n o l o g yt h e o r yh a sb e e ni n t r o d u c e di n t ot h e i n t r u s i o nd e t e c t i o ns y s t e ma n dh a sg r o w nu pi n t oah o t - s p o tr e s e a r c ha r e a t h e c r o s s h y b r i d i a t i o no fs t u d i e si sc h a r a c t e r i z e db yn o v e ld e t e c t i n ga l g o r i t h m sb a s e d0 n t h eu t i l i z a t i o no fn a t u r a li m m u n o l o g i c a lp r i n c i p l e sd e t e c t i n ga n dr e a c t i n gt oi n v a d e d p a t h o g e n s i nt h i ss t u d y , d y n a m i cc l o n a ls e l e c t i o na l g o r i t h mw a se x a m i n e da n d i m p r o v e d t h em o d i f i e da l g o r i t h mw a sf u r t h e ra p p l i e d i nt h er e a l w o r l de x a m p l e so f n e t 、r ki n t r u s i o n ，i no r d e rt os t u d yr e l a t e dt h e o r e t i c a la s p e c t sa sw e l la st ot e s ti t s v a l i d i t y t h ef o l l o w i n ga s p e c t sa r es t u d i e ds y s t e m a t i c a l l y ： 1 t h ei m p o r t a n tb a s i cf e a t u r e so fn e t w o r kd a t ap a c k a g eh a v e b e e ne x t r a c t e d b a s e d o ns u c he x t r a c t i o n s 。s t a t i s t i c a lc h a r a c t e r i s t i c sh a v eb e e na n a l y z e da n df i v et y p e s o fs t a t i s t i c a lc h a r a c t e r sh a v e b e e ni d e n t i f i e da n du s e di nt h i ss t u d y 2 t h en e g a t i v es e l e c t i o na l g o r i t h mi si m p r o v e di nt h ew a yi t i sa p p l i e d t h e n e g a t i v es e l e c t i o na l g o r i t h mi so n l ya p p l i e dt o t h es e l e c t e dc h a r a c t e r sw i t h s t a t i s t i c a ls i g n i f i e a n c e ，s o m eo t h e rm i n o rf e a t u r e s w e r ea n a l y z e du s i n gt h e s i m p l e ra n dm o r ec o n v e n t i o n a lr u l e s t h e s e a l i n g ”p r o b l e m ，w h i c hc a m ea b o u t w h e nt h en e g a t n es e l e c t i o na l g o r i t h mw a sa p p l i e d t ot h en e t w o r k _ b a s e d i n t r u s i o nd e t e c t i o ns y s t e m ，w a ss t u d i e d 3 i no r d e rt oi m p r o v et h ee f f i c i e n c ya n dt h ed y n a m i cf l e x i b i l i t yo fa n t i g e n s ，t h e c o d i n gm e t h o do fa n t i g e nw a si m p r o v e d t h el e n g t h o ft h ec o d e dm e m o r y a n t i g e na n dt h a to ft h em a t u r ea n t i g e nw e r er e n d e r e dd i f f e r e n t ，t h es t a t i s t i c a l r 海大学硕士学位论文 一一- _ _ _ _ _ _ - _ - _ _ _ - _ _ _ _ _ _ _ 一 c h a r a c t e r sw e r ef u z z e d ，t h eu n i to fc o d i n gi sd e f i n e da so n ec h a r a c t e ri n s t e a do f o n eb i t ，d i f f e r e n ta n t i g e n sw a sp l a c e di nd i f f e r e n tl i b r a r i e st oa v o i dc o m b i n a t i o n e x p l o s i o n ，av a r i e t yo f m e t h o d sw e r ea p p l i e dt od e c r e a s et h es e a r c h i n gs p a c e 4 t h ea l g o r i t h mc l a s s i f y i n gw h e t h e rt h en e t w o r ki sa b n o r m a lw 1 3 si m p r o v e d 5 t h ee v o l u t i o na l g o r i t h mo f m e m o r ya n t i g e nl i b r a r yw a s i m p r o v e d ，t h er e d u n d a n t i n f o r m a t i o ni nt h em e m o r ya n t i g e nl i b r a r yw a sd e l e t e da n dt h ee f f i c i e n c yo ft h e m e m o r ya n t i g e nl i b r a r yw a se n h a n c e d n ee v o l u t i o na l g o r i t h mo fm a t u r ea m i g e n l i b r a r ya n dt h a to ft h ei m m a t u r ea n t i g e nl i b r a r yw a si m p r o v e dt oe n a b l et h e m a t u r ea n t i g e n sn o to n l yd i v e r s i f i e db u ta l s oe f f i c i e n t t h ei n t r u s i o ni n f o r m a t i o n i m p l i c a t e di nt h ed e l e t e dm e m o r ya n t i g e n sa n dm a t u r ea n t i g e n sw a se x p l o i t e da s f u l l ya sp o s s i b l e 6 s o m ep a r a m e t e r sa n dt h ed y n a m i ca d j u s t i n gm e t h o d sw e r ed e i g n e da n da p p l i e d a i m i n ga te n h a n c i n gt h ec a p a b i l i t yo ff o r m u l am i n i n ga n dd y n a m i cf l e x i b i l i t yo f t h es y s t e m 7 e v e r ym o d u l eo ft h es y s t e mw a sd e s i g n e da n dc o d e d ，t h ep e r f o r m a n c eo f i n t r u s i o nd e t e c t i n go f t h es y s t e mw a sc o n f i r m e dt h r o u g he x p e r i m e n t s k e y w o r d s ：i n t r u s i o nd e t e c t i o ns y s t e m ，c o m p u t e ri m m u n o l o g y ，d y n a m i cc l o n a l s e l e c t i o na l g o r i t h m ，n e t w o r ks e c u r i t y v l i 上海大学硕士学位论文 原创性声明 本人声明：所呈交的论文是本人在导师指导下进行的研究工作。 除了文中特别加以标注和致谢的地方外，论文中不包含其他人己发表 或撰写过的研究成果。参与同一工作的其他同志对本研究所做的任何 贡献均已在论文中作了明确的说明并表示了谢意。 签名：日期 本论文使用授权说明 本人完全了解上海大学有关保留、使用学位论文的规定，即：学校有权保留论文及送交 论文复印件，允许论文被查阅和借阅；学校可以公布论文的全部或部分内容。 ( 保密的论文在解密后应遵守此规定) 签名 导师签名；妊期：a 碰 i i l 姆大学硕士学位论文 第一章绪论 1 1 引言 随着因特网的1 3 益普及和网络的开放性、共享性、互连程度的扩大，网络的 重要性和对社会的影响也越来越大。但是，如今的网络环境并不安全，人们在享 受互联网带来的便利的同时也要经受被入侵的危险。由于网络环境变得越来越复 杂，对于网络安全来说，单纯的防火墙技术暴露出明显的不足和弱点。因此很多 组织致力于提出更多更强大的主动策略和方案来增强网络的安全性，其中一个有 效解决途径就是入侵检测。入侵检测系统( i d s - - i n t m s i o nd e t e c t i o ns y s t e m ) 可 以弥补防火墙的不足，为网络安全提供实时的入侵检测及采取相应的防护手段， 如记录证据、跟踪入侵恢复或断开网络连接等。这引发了人们对入侵检测技术研 究和开发的热情。 基于免疫学的入侵检测是近几年来入侵检测领域研究的热点，它的突出特点 是利用生物体免疫系统的原理、规则与机制来实现对入侵行为的发现和反应。它 的理论基础一人工免疫系统己经发展成为应用仿生学的一个重要分支，在自动控 制、机器入、故障检测与恢复以及优化问题等方面取得广泛的应用。 1 2 课题的研究背景 1 2 1 入侵检测的必要性 互联网已经成为人们生活中不可缺少的部分，但其从一开始就是不安全 的。互联网最初的设计目的是开放互联，而不是安全性。近年来，网络入侵事件 逐年以几何速度递增【1 2 1 。造成了巨大的经济损失，所造成的国家安全等非经济方 面的损失更是难以估量。 近年来发展起来的防火墙技术 3 一，特征是通过在网络边界上建立相应的网 络通信监控系统，达到保障网络安全的目的。它虽然防止了许多常见的攻击手段， 如协议实现漏洞、源路由、地址仿冒等，但是它不能对付层出不穷的应用层后门、 应用设计缺陷以及通过加密通道的攻击。 目前，对付破坏系统企图的一个实用方法是按照定的安全策略为系统建立 相应的安全辅助系统，入侵检测系鲥5 1 就是这样的一类系统。如果系统遭到攻击， r 海大学硕士学位论文 i d s 可以尽可能地检测到，甚至是实时地检测到，然后采取恰当的补救措施，以 减少攻击所产生的影响和防止攻击的再度发生。i d s 不仅检测来自外部的入侵行 为，同时也检测内部用户的未授权活动。入侵检测应用了以守为攻的策略，它所 提供的数据不仅可以发现合法用户的滥用，还可在定程度上提供追究入侵者法 律责任的有效证据。因此，入侵检测技术是目前保障计算机安全的必要措施。 1 2 2 入侵检测系统的发展历史 入侵检测系统的研究最早可追溯到1 9 8 0 年，j a m e spa n d e r s o n i6 】在其为美 国空军做的题为计算机安全威胁监控与监视( c o m p u t e rs e c u r i t yt h r e a t m o n i t o r i n ga n ds u r v e i l l a n c e ) 的报告中，首先提出了入侵检测概念。将入侵尝试 ( i n t r u s i o na t t e m p t ) 或威胁( t h r e a t ) 定义为：潜在的有预谋未经授权访问信息、操作 信息，致使系统不可靠或无法使用的企图。他所提出的检测方法就是寻找那些与 系统正常使用时相异的用户行为或事件来发现攻击。文中将入侵行为分为三类， 分别为外部渗透、内部渗透与不当使用，查出这三种入侵的难度依次增大。所谓 渗透就是一次成功的攻击，其中外部渗透为既未被授权使用计算机又未被授权使 用数据或程序资源的渗透；内部渗透为虽被授权使用计算机但未被授权使用数据 或程序资源的渗透；不当使用为利用授权使用计算机、数据、程序资源的合法用 户身份的渗透。外部渗透是可以转换为内部渗透的，比如入侵者通过外部渗透获 取了某合法用户的账号，然后利用修改用户的账号进行内部渗透。同样，内部渗 透也是可以成为不当使用的。a n d e r s o n 提出利用系统的审计记录进行分析，以 查出入侵企图，这种方法己成为入侵检测的重要途径之一。 但由于当时所有己有的系统安全程序都着重于拒绝未经认证主体对重要数据的 访问，这一设想的重要性当时并未被理解。 1 9 8 8 年的m o r r i si n t e m e t 蠕虫事件 7 1 使得i n t e r n e t 近5 天无法使用，该事件 促使人们投入更多的精力于i d s 的研究。早期的i d s 系统都是基于主机的系统， 也就是说通过监视与分析主机的审计记录检测入侵。在1 9 8 6 年为检测用户对数 据库的异常访问，在i b m 主机上用c o b o l 开发的d i s c o v e r ，系统可以说是最 早期的i d s 雏形之一【8 1 。h a y s t a c k l 9 】是由t r a e o ra p p l i e ds c i e n c e s 公司( 从1 9 8 7 年至1 9 8 9 年) 和h a y s t a c k ( 从1 9 8 9 年至1 9 9 1 年) 为美国空军密码支持中心开发的 系统。h a y s t a c k 的设计初衷是为了帮助安全官员发现美国空军的内部人员的不正 上海大学硕士学位论文 i d s 可以尽可能地检测到，甚至是实时地检测到，然后采取恰当的补救措施，以 减少攻击所产生的影响和防止攻击的再度发生。i d s 不仅检测来自外部的入侵行 为，同时也检测内部用户的未授权活动。入侵检测应用了以守为攻的策略，它所 提供的数据不仅可以发现合法用户的滥用，还可在一定程度上提供追究入侵者法 律责任的有效证据。因此，入侵检测技术是目前保障计算机安全的必要措施。 1 2 2 入侵检测系统的发展历史 入侵检测系统的研究最早可追溯到1 9 8 0 年，j a m e sea n d e r s o n 目在其为美 国空军做的题为计算机安全威胁监控与监视f c o m p u t e rs e c u r i t y t h r e a t m o n i t o r i n ga n ds u r v e i l l a n c e ) 的报告中， ( i n t r u s i o na t t e m p t ) 或威胁( t h r e a t ) 定义为 首先提出了入侵检测概念。将入侵尝试 潜在的有预谋未经授权访问信息、操作 信息，致使系统不可靠或无法使用的企图，他所提出的检测方法就是寻找那些与 系统f 常使用时相骨的用户行为或事件来发现攻击。文中将入侵行为分为三类， 分别为外部渗透、内部渗透与不当使用，查出这三神入侵的难度依次增大。所谓 渗透就是一次成功的攻击，其中外部渗透为既未被授权使用计算机又未被授权使 用数据或程序资源的渗透；内部渗透为虽被授权使用计算机但未被授权使用数据 或程序资源的渗透：不当使用为利用授权使用计算机、数据、程序资源的合法用 户身份的渗透。外部渗透是可以转换为内部渗透的，比如入侵者通过外部渗透获 取了某合法用户的账号，然后利用修改用户的账号进行内部渗透。同样，内部渗 透也是可以成为不当使用的。a n d e r s o n 提出利用系统的审计记录进行分析，以 查出入侵企图，这种方法己成为入侵检测的重要途径之一。 但由于当时所有己有的系统安全程序都着重于拒绝未经认证主体对重要数据的 访问，这一设想的重要性当时并未被理解。 1 9 8 8 年的m o r r i si n t e m e t 蠕虫事件【7 1 使得i n t e m e t 近5 天无法使用，该事件 促使人们投入更多的精力于i d s 的研究。早期的i d s 系统都是基于主机的系统， 也就是说通过监视与分析主机的审计记录检测入侵。在1 9 8 6 年为检测用户对数 据库的异常访问，在i b m 主机上用c o b o l 开发的d i s c o v e r ，系统可以说是最 早期的i d s 雏形之- - 1 8 i 。h a y s t a c k lc 9 】是由t m e o ra p p l i e ds c i e n c e s 公司( 从1 9 8 7 年至1 9 8 9 年) 和h a y s t a c k ( 从1 9 8 9 年至1 9 9 1 年) 为美国空军密码支持中心开发的 系统。h a y s t a c k 的设计初哀是为了帮助安全官员发现美国空军的内部人员的不正 系统。h a y s t a c k 的设计初哀是为了帮助安全官员发现美国空军的内部人员的不正 i + 海大学硕上学位论文 当使用h a y s t a c k 使系统既可以检测所有的“越界”行为，也可以检测一段时间 内逐步偏离正常的行为。 1 9 9 0 年是入侵检测系统发展史上的一个具有重要意义的里程碑。这一年， 加利福尼亚大学d a v i s 分校的lt h e b e d e i n l l o j 等人开发出网络系统监视器 ( n e t w o r ks e c u r i t ym o n i t o rn s m ) ，n s m 与此前的i d s 系统最大的不同在于它并 不检查主机系统的审计记录，它可以通过在局域网上主动地监视网络信息流量来 追踪可疑的行为。这是入侵检测系统第一次监视网络流量并把流量作为主要数据 源。同时，n s m 是第一个试图把入侵检测系统扩展到异种网络环境的系统，也 是第一个运行在一个操作系统上的入侵检测系统( 在u cd a v i s 的计算机局域网 上1 。从此之后，入侵检测系统中的两个重要研究方向开始形成：基于网络的i d s 和基于主机的i d s 。 同时，在1 9 8 8 年m o r r i s 蠕虫事件发生之后，网络安全引起了军方、学术界 和企业的高度重视。在美国空军、国家安全局和能源部的资助下，美国空军密码 支持中心、l a w r e n c el i v e r m o r 国家实验室、加利福尼亚大学d a v i s 分校和 h a y s t a c k 实验室合作开发了分布式入侵检测系统( d i s t r i b u t ei n t r u s i o nd e t e c t i o n s y s t e m ，d i d s1 。它是将主机入侵检测和网络入侵检测的能力集成的第一次尝试， 它的检测模型采用分层结构。 1 9 9 4 年，m a r kc r o s b i e 和g e n es p a f f o r d i l l 建议使用自治代理( a u t o n o m o u s a g e n t s ) 以便提高i d s 的可伸缩性、可维护性、效率和容错性。1 9 9 6 年提出的基 于图的入侵检测系统( g r a p h b a s e di n t r u s i o nd e t e c t i o ns y s t e m ) 1 2 】的主要目标也是 解决绝大多数入侵检测系统伸缩性的问题。该系统使得对大规模自动或协同攻击 的检测更为便利，这些攻击有时甚至可能跨过多个管理领域。近些年来，入侵检 测的主要创新包括：1 9 9 7 年f o r r e s t 等将免疫学原理运用到入侵检测领域 1 4 1 。 19 9 8 年r o s sa n d e r s o n 和a b i d ak h a t t a k i s l 将信息检索技术引进到入侵检测。2 0 0 0 年t e r r a nd l a n e 利用机器学习技术检测入侵【l ”。 1 2 3 入侵检测技术研究现状 入侵检测是对面向计算资源和网络资源的恶意行为的识别和响应。入侵是指 任何试图破坏瓷源完整性、机密性和可用性的行为，且还包括用户对系统资源的 误用13 1 。作为重要的网络安全工具，它可以对系统或网络资源进行实时检测， e 海入学硕士学位论文 及时发现闯入系统或网络的入侵者，也可预防合法用户对资源的误操作。i d s 通 过对系统或网络日志的分析，获得系统或网络目前的安全状况，发现可疑或非法 的行为。入侵检测被认为是防火墙之后的第二道安全闸门，在不影响系统或网络 性能的情况下能对其进行监测，从而提供对内部攻击、外部攻击和误操作的实时 保护。 入侵检测系统的体系结构就是其各个组件在计算机网络上的分布，以及它们 之间的关系。按照各个组件运行的分布方式不同，i d s 可分为集中式和分布式。 几乎所有的i d s 都是集中式的，而基于入侵检测自治代理【1 7 1 ( a u t o n o m o u sa g e n t s f o ri n t r u s i o nd e t e c t i o n ，a a f i d ) 结构的i d s 是分布式的。根据数据来源的不同， d s 常被分为基于主机( h o s t b a s e d ) 的i d s 和基于网络( n e t 、v o r k b a s e d ) 的i d s 18 1 。 前者在每个要保护的主机上运行一个或多个监控程序，以计算机主机作为目标环 境。而后者收集网络传输的数据包，保护的目标是整个网络的运行。网络异常检 测和入侵报警器( n e t w o r ka n o m a l yd e t e c t i o na n di n t r u s i o nr e p o r t e rn a d i r ) t 1 9 1 是 对网络各主机以及网络传输进行监视的i d s ，n s m 【l0 1 是只对网络传输监视的 i d s 。 目前，1 d s 从检测方法上分为两类：误用入侵检测( m i s u s ei n t r u s i o n d e t e e t i o n ) 和异常入侵检钡l j ( a n o m a l yi n t r u s i o nd e t e c t i o n ) 。误用入侵检测的原理是：入侵总能 表示成模式或特征的形式。系统预先对已知薄弱环节的入侵方式进行定义，通过 监视特定目标上的特定活动并与预先设置的模式匹配来检测入侵【2 0 1 。如在入侵 检测专家系统( i n t m s i o nd e t e c t i o ne x p e r ts y s t e m ，i d e s ) 【2 l 】中，已知的入侵模型 由专家编码成专家系统规则，利用专家系统匹配已知的入侵形式这种方法由于 依据具体特征库进行判断，所以检测准确度很高，并且因为检测结果有明确的参 照，也为系统管理员做出响应措施提供了方便。但是，它的主要缺点在于与具体 系统依赖性太强，不但系统移植性不好，维护工作量大，而且将具体入侵手段抽 象成知识也很困难。并且检测范围受己知知识的局限，尤其是难以检测出内部人 员的入侵行为，如合法用户的泄漏，因为这些入侵行为并没有利用系统脆弱性。 由于误用入侵检测方法存在上述问题，因此大多数入侵检测系统都采用异常入侵 检测方法。 异常入侵检测假设入侵活动是异常活动的子集，利用系统或用户的正常行为 4 上海大学硕士学位论文 模式检测入侵。该方法首先建立正常行为模式，当系统运行时，异常检测程 序比较实时行为模式与正常行为模式，一旦发生显著偏离即认为是入侵。如基于 神经网络的入侵检测系统【2 ”，它首先提取用户正常行为样本的特征，构造用户 正常行为的特征轮廓( p r o f i l e ) ，然后用神经网络扫描从审计记录得到的检侧样本， 并与用户特征轮廓进行比较，以两者的偏差作为证据检测入侵。这种方法与系统 相对无关，通用性较强。它可检测出以前未出现过的攻击方法，不像误用检侧受 已知脆弱性的限制。但因为不可能对整个系统内的所有用户行为进行全面的描 述，况且每个用户的行为是经常改变的，所以该方法的难点是如何建立正常行为 特征以及如何设计检测算法。异常检侧的主要缺陷就是误报率高，其次由于用户 特征轮廓要不断改进，入侵者如果知道某系统在检测器的监视之下，他们会慢慢 地训练检测系统，以至于最初认为是异常的行为，经一段时间训练后也认为是正 常的了。 虽然入侵检测系统自2 0 世纪8 0 年代末被提出至今己有2 0 多年的发展历史， 但仍是一种比较新的技术，尤其是在国内，它在近几年才逐渐被人们重视。目前， 大多数入侵检测系统主要采用行为统计【2 4 1 、专家系统、神经网络【25 1 、模式匹 配【2 酏、状态转换分析t 2 7 等技术，分析事件的审计记录、识别特定的模式、生成 报告和最终分析结果。但是，随着网络入侵技术的不断发展，入侵行为表现出不 确定性、复杂性和多样性等特点，使得在提取行为特征时，很难提供确定的统计 模式，即便是专家知识也带有随机性、不确定性等因素。为保证检测的效率和正 确性，尽管有许多研究机构和大学，如著名的s t a n f o r dr e s e a r c hi n s t i t u t e i n t e m a t i o n a l p u r d u eu n i v e r s i t y t 2 s 币 1i b m 2 9 1 等一直从事这方面的技术研究工作， 但仍没有获得突破性的进展。因此，运用新技术、新学科加强对入侵检测技术的 深入研究十分必要。 1 2 4 现有入侵检测方法的不足 误用检测方法试图通过已知的入侵模式来检测入侵行为，它所基于的攻击特 征库只是入侵行为的一个子集，对于特征库以外的攻击模式，误用检测不能够检 测出来，因此误用检测方法肯定存在漏报错误。 在异常检测方法中，神经网络、预测模式生成、b a y e s i a n 分类等方法本质上 都是统计学方法或者其变种。这类方法最大的缺点就是入侵者能够欺骗检测系 上海大学硕上学位论文 统，1 d s 本身容易受到攻击。 从总体上来说，现有入侵检测方法在下列特性上存在明显的不足： 可扩展性 一个好的i d s 应该能够根据其应用环境进行灵活配置，检测方法不应该对 检测系统的环境作出假设，否则将会影响检测系统的可扩展性。但像基于神经网 络等方法的检测系统，要么依赖于特定类型操作系统【3 0 】，要么依赖与特定的网 络结构。 检测效率 实际的i d s 通常很难检测出具有欺骗性的入侵。异常检测的计算代价非常 大，因为系统维护的活动记录要随着每个事件更新。误用检测一般都采取专家系 统s h e l l 来编码和匹配攻击特征，这些s h e l l 需要解释规则集，因而运行时刻费用 很高，而且规则集只允许间接定义序列事件的相互关系。现有i d s 的性能不能 够适应高速网络发展，特别是1 0 0 m ，g i g a b i t 网的应用。 可维护性 维护一个i d s 所需要的技能远远超过专门的安全知识。更新规则集需要了 解专家系统规则语言，并理解系统如何处理这些规则，如此才能够避免系统中己 有规则和新增规则之间不必要的关联。为统计检测模块增加新的统计变量时也存 在同样的问题。 可移植性 迄今为止的i d s 都是为某个单一的环境构建的，很难直接应用于其他环境， 即使它们具有类似的安全策略和安全目标。例如，将一个单层自主存取控制系统 的检测部件移植到一个具有相同安全目标的多层安全系统就非常困难。这是因为 i d s 的大部分都是目标系统特有的，是为目标系统进行过定制的。这些系统的重 用和重新定位都非常困难，除非系统一开始就设计成一种通用模式。但通用模式 下的系统效率较低，且功能受限。 在后面的研究中我们可以知道，基于计算机免疫学的i d s 在系统可扩展性 与可移植性方面具有先天的优势，检测效率较高，可维护性好。因此，基于免疫 学的i d s 具有广阔的发展前景。 1 2 5 基于免疫学的入侵检测系统的研究状况 6 上海人学硕士学位论文 入侵检测问题与生物体的免疫功能类似。计算机信息系统面临的威胁与危 险，如对保密性、完整性和可用性的侵犯，可能由内部和外部的故障或者入侵行 为引起。 基于免疫学的入侵检测利用生物体的免疫机理，即区分自我( s e l f ) 和非我 ( n o n s e l f ) 并消除异常模式，建立系统正常行为的特征库，定义属于s e l f 的体系结 构、管理策略与使用模式等，监视系统的行为，识别n o n s e l f 的攻击行为3 2 1 。 将人工免疫引入到入侵检测系统作了突出贡献的主要有：新墨西哥大学的 f o r r e s t 和h o m f m e y r 小组；以d a s g u p t a 为代表学者；伦敦大学的k i m 和b e n t l y 小组。 美国n e w m e x i c o 大学的f o r r e s t 教授【1 3 及其领导下的课题组从9 0 年代中期 以来一直试图采用免疫学原理为计算机建立安全系统，来提供比现有的操作系统 更好的安全性能，包括检测计算机系统的非授权使用、维护系统的一致性以及防 范恶意代码如计算机病毒的扩散等。 1 9 9 4 年，f o r r e s t 和她的研究小组为计算机设计了一个人工免疫系统，这个 系统能够比操作系统提供更好的一致性保护，并在此基础上提供一个通用的防护 系统。计算机系统的安全包括检测计算机资源的非法使用、数据文件的一致性维 护以及防止计算机病毒扩散等。这个系统引入了免疫系统中的区分自我( s e l f ) 年l l 非我( n o n - s e l f ) 的机制，它把合法用户的正常行为看作自我，将其它诸如非法用户 行为、合法用户的越权行为、病毒和恶意代码视为非我。 f o r r e s t 最先设计的是一个病毒检测程序，她根据免疫系统的工作机制设计了 一个负向选择( n e g a t i v es e l e c t i o n ) 算法，用来检测数据和文件的变化，来发现计 算机病毒。他们在d o s 环境下对于文件感染型病毒，引导区病毒进行了大量的 实验，结果显示这种方法比较容易检测出病毒对文件和数据所做的修改。这种方 法比起其它病毒检测方法具有如下优点： ( 1 1 其占用的c p u 时间是可调的； ( 2 ) 它是分布式的： ( 3 ) 具有识别未知病毒的能力。 但是计算机中存储的信息具有很高的可变性，计算机系统中自我的定义比免 疫系统中的自我更具动态性，非选择算法难以分清文件和数据的正常更动和病毒 上海大学硕士学位论文 修改，因此它只适用于静态的数据文件和软件。 f o r r e s t 等人在接下来的研究中将非选择算法用于监视u n i x 进程，将自我定 义为动态计算机环境下进程的合法活动。自我的这种定义对恶意攻击非常敏感。 一般情况下，u n i x 环境中r o o t 进程的系统调用可能造成的危害远比用户进程大。 而且r o o t 进程的行为受限，相对比较稳定。定义自我为进程系统调用的短距离 相关性。自我的这种定义在多个标准u n i x 程序正常状态下是稳定的，而且能够 用于检测若干常见的入侵。选择s e n d m a i l 作为例子进行测试，对异常的s e n d m a i l 行为进行3 类追踪，即成功的s e n d m a i l 攻击、失败的s e n d m a i l 入侵尝试以及系 统错误。实验结果表明，系统调用短序列提供了稳定的特征，能够用于检测 s e n d m a i l 常见的异常模式。由于这种方法采用的量度标准简单，易于计算，并且 存储空间要求不大，因此可以将其作为在线系统。在线方式下，u n i x 内核检查 r o o t 进程的每个系统调用。所有站点都会根据本地硬件软件配置和使用模式产 生本地的正常模式数据库，站点之间互不相同。因此，对一个站点的成功入侵并 不意味着能成功入侵所有的站点，即使它们都运行协同的软件，这样就提高了入 侵被发现的概率。f o r e s t 等人的这项研究被认为是将计算机安全研究引进了一个 新的领域。 其后，h o f m e y r 3 3 】，提出了一个用于分布检测的免疫系统模型，采用非选择算 法来构造检测器。这个算法定义自我为受保护系统的正常行为模式，随机产生大 量的模式来与每一个自我模式比较，如果随机产生的模式匹配了一个自我模式， 它就不能成为检测器并被删除。否则，它可以成为检测器，用来检测随后提取的 模式。在检测阶段，如果一个检测器匹配了任何新提取的模式，就认为发生了新 的异常。这个算法处理的模式是二进制字符串。 尽管h o f m e y r 认为它是很有前途的，但是仅采用非选择算法会造成时间和空 间的巨大耗费，使得它不适用于大规模的数据集。 d a s g u p t a 3 4 对网络中入侵和异常诊断及响应提出种基于移动a g e n t 的系 统。在他的方法中，基于免疫系统的a g e m 在节点和监督网络情况的路由器周围 巡游该系统最大特点是灵活性、适应性和协作。免疫a g e n t 能够自由地、动态地 与环境及互相之间相互作用。a g e n t 是多层次的，检测a g e n t ( 含用户级a g e n t 、系 统级a g e n t 、进程级a g e n t 以及数据包级a g e m ) 以检测分析不同层次的数据其决策 上海人学硕士学位论文 a g e n t 采用了机器学习和数据挖掘技术。 k i m 和b e n t l y 3 5 】等提出了“分布式、自组织、轻量级”的入侵检测模型，该 模型在物理结构上由主i d s 及从i d s 两部分组成；而逻辑结构是由三部分组成 的层次结构：基因进化( g e n er e v o l u t i o n ) 、负向选择( n e g a t i v es e l e c t i o n ) 和克隆选择 ( c l o n a ls e l e c t i o n ) 。其中前两步在主入侵检测系统实现，最后一步在从入侵检测系 统实现。在他们的模型中，考虑了负向选择机制、克隆选择机制、记忆机制与基 因库机制等。 b e n t l e y 比较了生物体免疫系统与i d s 的相似性，证明了免疫系统能够满足 id s 的要求。 国内从事基于免疫学的入侵检测研究工作才刚刚起步，目前主要做一些基础 性的前期工作。国家8 6 3 信息安全应急计划、国家9 7 3 计划都将基于免疫学的入 侵检测研究列为子课题 3 6 , 3 7 1 。 1 3 课题的研究意义 当k i m 把f o r r e s t 提出的负向选择算法应用于基于网络的入侵检测时，遇 到了严重的“伸缩性问题”，她发现在她的有生之年也无法生成达到一定覆盖率 的检测器集。她开展了一系列研究口引，希望通过提高检测器的检测效率以弥补 检测器数量的不足，先后提出了“静态克隆选择算法”，“动态克隆选择算法”， “扩展动态克隆选择算法”。在她的模型中，带有限制的负向选择可以降低各选 检测器的数量，通过基于小生镜的遗传算法提高检测器集的检测效率，首次提出 了基因库生成和进化的概念。在编码时，她用“表现型”取代了“基因型”。 由于没能解决“伸缩性问题”，她没能将她的研究成果用于真实的基于网络的入 侵检测，实验的数据来源不是真实的网络数据而是机器学习中常用的其它数据。 基于网络的入侵检测系统是现代入侵检测系统发展的方向，同时基于免疫学 的入侵检测系统具有广阔的发展前景。如何在实际的基于网络的入侵检测系统中 更好地借鉴人体免疫学的原理，是一个亟需解决的问题。k i m 在这方面做了大 量工作，但她没能将她的研究成果用于实际的基于网络的入侵检测系统中。本课 题围绕如何改进基于免疫学的网络的入侵检测系统中的算法，特别是k i m 所提 出“动态克隆选择算法”，将它们更好地用于真实的入侵检测中进行了深入的研 究。 上晦大学硕士学位论文 1 4 本课题的研究工作和内容 ( 1 ) 在提取出网络包头中重要基本特征的基础上，分析了各种统计类型的特 点，并提取出了本课题中使用的五种类型的统计特征。 ( 2 ) 改进了负向选择算法的使用方法。对基本特征不使用负向选择算法，而 是和系统通过学习建立的“正常”数据库相比较，然后再通过一些简单 的规则判断是否有异常产生。对统计特征使用负向选择算法。对解决负 向选择算法在网络入侵检测中应用时所产生的“伸缩性”问题进行了探 讨。 ( 3 ) 为了提高抗体的有效性和动态适应性，改进抗原和抗体的编码方式。用 不同长度对