（计算机应用技术专业论文）基于免疫进化计算的网络入侵检测技术研究.pdf

摘要 摘要 当今，人类已经进入了网络时代。然而，人们在得益于信息革命带来的巨大 机遇的同时，也不得不面对信息安全问题的严峻考验。 入侵检测技术作为确保计算机网络信息安全的一个重要手段正成为信息安全 领域的研究热点之一。入侵检测系统的运行机理与生物免疫系统有着天然的相似 之处，生物免疫系统成功保护肌体免受各种侵害的机理为研究入侵检测提供了重 要的方法。 首先，本文分析了生物免疫系统的自我与非自我识别、抗体的多样性、阳性 选择、阴性选择、克隆选择、亲和力成熟、联想记忆等机制；比照了生物免疫系 统与入侵检测系统的功能；对免疫原理在入侵检测中的应用作了可行性分析；在 此基础上提出一种基于免疫进化计算的入侵检测模型；该模型模拟了生物免疫系 统的免疫机制，并引入遗传算法进化理论，具有自组织、自适应、自学习等特点。 此外，本文还给出了基于免疫进化计算入侵检测模型的几个重要子模型。它 们分别是自我集构造模型、检测器结构模型、检测器的生命周期模型、记忆检测 器进化模型。 最后，本文还提出并设计了一种新的成熟检测器生成算法，该算法借鉴了生 物免疫系统的阳性选择与阴性选择原理以及引入进化思想，具有自适应性以及随 机性等特点，解决了传统的基于阴性选择的检测器生成算法中难以确定亲和力阀 值的问题，并克服了传统的基于阴性选择的检测器生成算法开销大的缺点。另外， 本文通过借鉴克隆选择学说中的亲和力成熟过程提出并设计了一种新的记忆检测 器的生成算法，该算法采用进化策略来生成记忆检测器，而传统的做法只是直接 将被激活的检测器标记为记忆检测器。 关键字：入侵检测：人工免疫系统；阳性选择；阴性选择；进化计算 ：至! ；些查耋! ；兰堡圭兰堡鎏兰 a b s t r a c t n o w a d a y s , h u m a nb c i n g sh a v ee n t e r e di n t ot h en e t w o r ka g e h o w e v e r , t h e yh a v et o c o n l 自o mt h es e v e r ei n f o r m a t i o n s c o u r i t yp r o b l e mw h i l et h e y b e n e f i tf r o mt h e t r e m e n d o u sc h a n c e sb r i n g e df r o mi n f o r m a t i o nr e v o l u t i o n t h ei m r u s l o nd e t e c t i o nt e c h n i q u ei s 粕i m p o r t a n tm e t h o dt oi n s u r et h ec o m p u t e r n e t w o r ks e c u r i t y i ti sb e c o m i n go o f h o tr e s e a r c ht o p i c si ni n f o r m a t i o ns e c u r i t yf i e l d t h eo p e m m gm e c h a n i s mo fi n t r u s i o nd e t e c t m ns y s t e m si sn a t u r a l l ys i m i l a rt ot h e h u m a ni m n l u n es y s t e m t h et h e o r yt h a tt h ei m m u l 地s y s t e mc a np r o t e c tb o d yf r o m i n v a s i o np r o v i d e s 锄i m p o r t a n ta p p r o a c ht oi n v e s t i g a t i n gt h ei n t r u s i o nd e t e c t i o n t e c h n i q u e f i r s t l y ，i nt h i sp a p e r , t h eb i o l o g yi m l n u n em e c h a n i s m ss u c ha ss e l fa n dn o n e s e l f r e c o g n i t i o n , a n t i b o d yd i v e r s i t y , p o s i t i v es e l e c t i o n , n e g a t i v es e l e c t i o n , c o l o n a ls e l e c t i o n ， a f f i n i t ym a t u r a t m na n da s s o c i a t i o nm e m o r ya r ea n a l y s e d t h ef u n c t i o nb e t w e e nb i o l o g y i m m u n es y s t e m sa n di n t r u s i o nd e t e c t i o n s y s t e m s i s c o m p a r e d t h ef e a s i b i l i t yo f a p p l y i n gi m m u n i t yp r i n e i # t oi n t r u s i o nd e t e c t i o ns y s t e m si sa n a l y z e d b a s e do nt h e i m m u n i t yp r i n c i p l ea n de v o l u t i o n a r yc o m p u t a t i o n , a l li n t r u s i o nd e t e c t i o nm o d e li s p r o p o s e d t h em o d e lt h a ts i m u l a t e st h eb i o l o g yi m m u n em e c h a n i s m sa n da p p i i c sg e n e t i c a l g o r i t h mi sa u t o - o r g a n i z e d ，a u t o - a d a p t e da n ds e l f - l e a r n i n g a l s o ，af e wi m p o r t a n ts u b - m o d e l sa g ep r o p o s e d t h e ya r es e l f - s e tc o n s t r u c t i n gm o d e l d e t e c t o rs t r u c t u r em o d e l , d e t e c t o rl i f c c y c l em o d e la n dm e m o r i a l - d e t e c t o re v o l u t i o n r i 的i i e l f m a l l y ，an e wm a t u r e d e t e c t o rg e n e r a t i o na l g o r i t h mi sp r o p o s e da n dd e s i g n e d t h i s a l g o r i t h mt h a th a sp r o f i t e df r o mt h eb i o l o g yi m m u n es y s t e mp o s i t i v es e l e c t l o na n d h a b s t r a c t n e g a t i v es e l e c t i o na sw e l l 鹋t h ee v o l u t i o n a r yc o m p u t a t i o ng e n e t i ca l g o r i t h m , h a s a u t o a d a p t e dc h a r a c t e r i s t i c sa n d o na sw e l la sr a u d o n l i 把s s h a so v e r c o l r 七t h e s h o r t c o m i n go ft o o m u c he x p e n s e so ft h et r a d i t i o na l g o r i t h mb a s e d0 1 1n e g a t i v e s e l e c t i o n a l s o an e wm e m o r i a l - d e t e c t o r g e n e r a t i o na l g o r i t h mi sp r o p o s e da n d d e s i g n e d t h i sa l g o r i t h mt h a th a sp r o f i t e df r o mt h ec o l o n et h e o r yt h ea f f i n i t ym a t u r a t i o n p r o c e s sg e n e r a t e st h em e m o r i a l - d e t e c t o r su s i n gt h ee v o l u t i o n a r ys t r a t e g yw h i l et h e t r a d t i t i o na l g o r i t h m j u s tt a g st h ea c t i v e - d e t e c t o r sa st h em e m o r i a l - d e t e c t o r s k e y w o r d s ：i n t r u s i o nd e t e c t i o ma r t i f i c i a li m m u n es y s t e m ；p o s i t i v es e l e c t i o n ； n e g a t i v es e l e c t i o m e v o l u t i o n a r yc o m p u t a t i o n m 独创性声明 独创性声明 秉承学校严谨的学风与优良的科学道德，本人声明所呈交的论文是我个人在 导师的指导下进行研究工作及取得的研究成果。尽我所知，除了文中特别加以标 注和致谢的地方外，论文中不包含其他人已经发表或撰写过的研究成果，不包含 本人或其他用途使用过的成果。与我一同工作的同志对本研究所做的任何贡献均 己在论文中作了明确的说明，并表示了致谢。 本学位论文成果是本人在广东工业大学读书期间在导师的指导下取得的，论 文成果归广东工业大学所有。 申请学位论文与资料若有不实之处，本人承担一切相关责任，特此声明。 指导老师签字： 论文作者签字八野侈昌 乙9 0 7 年罗月比日 第一章绪论 1 1 研究背景 第一章绪论 i n t e r n e t 的快速发展，使人们的沟通交流更加便捷，促进了人类文明的进步， 但同时也带来了许多问题，其中之一就是信息的安全问题。在网络通信中一旦泄 漏了个人或国家的某些敏感信息，将对个人甚至国家带来巨大的威胁。伴随着网 络一起出现的黑客团体现在已经成为了网络社会的一大公害，他们的入侵行为严 重危害了网络社会的正常秩序，甚至威胁到国家安全。因此，各种各样的针对病 毒或网络攻击的安全产品出现了，并在一定程度上缓解了这种压力。作为对防火 墙技术有益的补充，入侵检测系统成为了一种有效的网络安全工具。它能够帮助 网络系统快速发现网络攻击的发生，扩展系统管理员的安全管理能力( 包括安全 审计、监视、进攻识别和响应) ，以及提高信息安全基础结构的完整性。但是，随 着黑客技术的不断更新，传统的入侵检测技术显得越来越力不从心；因其对以前 未出现过的攻击无法进行检测，已经无法有效防御来自网络的攻击。 近年来，随着仿生技术的推广，很多其它领域的研究人员都开始把新技术的产 生寄托在对生物系统原理或功能的模仿上。其中，人体免疫系统的自适应性、自 组织性、自学习性、动态性等优良特性被计算机安全专家应用到解决计算机安全 的问题上，由此建立了针对计算机安全的人工免疫系统( a r t i f i c i a li m m u n e s y s t e m ：a i s ) ，称为计算机免疫系统( c o m p u t e ri m m u n es y s t e m ：c i s ) 。基于免 疫原理的入侵检测技术就是众多c i s 中的一种，它能够克服传统技术中存在的一 些缺陷，实现对未知攻击的实时防御，且其动态性也使它能针对系统环境作出相 应的变化。在这方面，f o r r e s t ，h o f m e y r 等人做出了相当大的贡献，先后把否定 选择原理和克隆选择原理等免疫学机制成功地引入到入侵检测领域，并建立了很 多具有创新价值的模型【1 1 。 但是，在这些基于免疫的入侵检测模型中，对于“自我”的定义不够灵活， 一旦定义以后就很少发生变化，这与实际网络环境中对于正常行为的定义存在很 大的矛盾，因此缺乏很好的自适应性；另外，基于降低误报率的考虑自我集被定 广东i ：业大学i ：学硕士学位论文 义得十分庞大，给系统增加了巨大的计算开销，主要用于产生成熟检测器。在资源 有限的网络环境中，这种方法显得不太现实，可行性较低，即使在资源相对丰富 的环境中，这样高计算开销的监控进程也可能影响那些正常的计算工作。此外， 目前高效的成熟检测器生成算法还非常欠缺，许多生物免疫机制如亲和力成熟过 程还没被引入到检测模型中。总之，基于人工免疫的入侵检测模型还有许多值得 研究的地方。 1 2 基于人工免疫的入侵检测研究现状 将人工免疫引入到入侵检测系统并作了突出贡献的研究人员主要有：新墨西 哥大学的h o m f m e y r 和f o r r e s t 小组、伦敦大学的e l m 和b e n t l y 小组以及d a s g u p t a 小组。 h o m f m e y r 和f o r r e s t 等人认为基于免疫学的计算机系统应具有如下组织原则： 分布式、多层、多样化、自治、自适应、自安全、动态、相互识别、异常检测以 及不完全匹配检测。他们于1 9 9 9 年提出了一个入侵检测模型l i s y s ( l i g h t w e i g h t i n t r u s i o nd e t e c t i o ns y s t e m ，轻量级的入侵检测系统) ，l i s y s 是 a g r l s ( a r t i f i c i a li m m u n es y s t e m ) 在网络安全中的实现，在新墨西哥大学计算机 系的5 0 台计算机的一个子网中，l i s y s 通过3 0 天的学习后，用于检测入侵，体现 出了很高的检测率和比较低的假阳性( 1 7 6 ) 。在这个原型中，他们总结出影响系 统性能的因素有检测器激活的门限值及敏感性水平、检测器的生命周期等。l i s y s 明显的不足之处是：检测器是非移动的a g e n t ，当a g e n t 被激活时不能复制；非完 全自治的，存在人工操作，需要添加一个实现自动反应系统；只分析t c p 数据流； 存在异常检测系统的通病，即系统是运行于“正常状态远大于异常状态”的前提 下的。总之，l i s y s 是一个健壮的、可调节资源与效率的关系的、可升级的、可作 异常检测与误用检测的、精确的、自适应的、轻量级的入侵检测系统。 k i l n 和b e n t l y 等提出了“分布式、自组织、轻量级”的入侵检测模型，该模 型在物理结构上由主i d s 及从1 d s 两部分组成( 2 l 。而逻辑结构是由三部分组成的层 次结构：基因进化( g e n er e v o l u t i o n ) 、阴性选择( n e g a t i v es e l e c t i o n ) 和克隆选 择( c l o n a ls e l e c t i o n ) 。其中前两步在主入侵检测系统实现，最后一步在从入侵 检测系统实现。在他们的模型中，考虑了阴性选择机制、克隆选择机制、记忆机 2 第一章绪论 制与基因库机制等，但他们只考虑自适应的情况，而未对分布式环境加以考虑。 d a s g u p t a 对网络中入侵和异常诊断及响应提出一种基于移动a g e n t 的系统。 在他的方法中，基于免疫系统的a g e n t 在节点和监督网络情况的路由器周围巡游。 该系统最大特点是灵活性、适应性和协作。免疫a g e n t 能够自由地、动态地与环 境及互相之间相互作用。a g e n t 是多层次的，检测a g e n t ( 含用户级a g e n t 、系统级 a g e n t 、进程级a g e n t 以及数据包级a g e n t ) 以检测分析不同层次的数据，其决策 a g e n t 采用了机器学习和数据挖掘技术。 目前国内的基于人工免疫的入侵检测技术的研究h i j f l l l 起步。国防科技大学、 北京航空航天大学、西安交通大学及中国科技大学等对它作了一些初步的研究。 1 3 本文研究的内容 本文研究的主要内容总结为如下几个方面。 1 详细讨论入侵检测技术研究，包括入侵检测方法的分类、入侵检测系统的 分类以及入侵检测系统的发展趋势等。 2 介绍并深入分析了生物免疫系统，包括免疫学的相关概念、生物系统的组 成及其功能。 3 分析了生物免疫系统的自我与非自我识别、抗体的多样性、阳性选择、阴 性选择、克隆选择、亲和力成熟以及联想记忆等机制。 4 比照了生物免疫系统与入侵检测系统的功能；对免疫原理在入侵检测中的 应用作了可行性分析。 5 提出一种基于免疫进化计算的入侵检测模型，并给出自我集构造模型、检 测器结构模型、检测器的生命周期模型以及记忆检测器进化模型等相关模型。 6 提出并设计了一种新的成熟检测器生成算法；提出并设计了一种新的记忆 检测器的生成算法。 1 4 论文的组织 本文的组织结构如下： 第一章主要介绍了本文的研究背景、国内外的研究现状以及研究的内容。 广东i 业大学i 学硕士学位论文 第二章主要介绍了入侵检测的相关概念、入侵检测系统的c i d f 模型、入侵检 测系统的分类以及入侵检测系统的发展趋势等。 第三章介绍了生物免疫系统以及人工免疫系统的相关理论。包括生物免疫的 相关概念、免疫原理、生物免疫机制；人工免疫系统的相关概念、一般框架和主 要的算法以及人工免疫系统的应用等。 第四章讨论了免疫进化计算在入侵检测中的应用。分析了其可行性，并提出 一种基于免疫进化计算的入侵检测模型，并给出自我集构造模型、检测器结构模 型、检测器的生命周期模型以及记忆检测器进化模型等相关模型。 第五章是算法设计。设计了“自我”和“非我”的特征编码、分析了匹配算 法、设计了新的成熟检测器生成算法以及设计了新的记忆检测器生成算法。 最后对全文的工作进行总结，对尚需做的进一步完善工作进行了讨论，并对 这一研究课题的前景进行展望。 4 第二章入侵检测系统概述 第二章入侵检测系统概述 2 1 入侵检测系统的相关概念 2 1 1 入侵和入侵检测 入侵( i n t r u s i o n ) 是个广义的概念，从计算机安全的目标来看，入侵的定义是： 旨在破坏计算机系统所拥有资源的完整性、保密性、有效性的任何行为和违反系 统安全策略的任何事件1 3 】。从入侵策略角度来看，入侵可分为：企图进入或成功进 入、冒充其他用户、违反安全策略、合法用户的泄漏、独占资源和恶意使用等六 大方面。 国际计算机安全协会( i c s a ) 则将入侵检测( i n t r u s i o nd e t e c t i o n ) 定义为“通过从 计算机网络或计算机系统中的若干关键点收集信息并对其进行分析，从中发现网 络或系统中是否有违反安全策略的行为和遭到袭击的迹象并同时作出响应的一种 安全技术”。 2 1 2 入侵检测系统 顾名思义，入侵检测系统( i n t r u s i o nd e t e c t i o ns y s t e m ，简称i d s ) 是入侵检测的 具体实现，是由计算机软件和硬件组合而成的计算机安全系统。入侵检测系统对 系统进行实时监控，获取系统的网络数据包或审计数据，然后将得到的数据进行 分析，并判断系统或网络是否出现异常或入侵行为。一旦发现异常或入侵情况， 发出报警并采取相应的保护措施。 i d s 具有的功能有t 监测用户和系统的运行状况，发现用户越权操作；检测系 统配置的正确性和安全漏洞，并提示管理员修补漏洞；对用户非正常活动的统计 分析，发现行为的规律；检查系统程序和数据的一致性及正确性；能够实时检测 到攻击行为，并进行反应；操作系统的审计跟踪管理。 广东j ：业大学r ：学碗十学位论文 2 2 入侵检测系统的c i d f 模型 为了提高i d s 产品、组件及其他安全产品之间的互操作性，美国国防高级研 究计划署( d a r p a ) 和互联网工程任务组( i e t f ) 的入侵检测工作组( i d w g ) 发起制定 了一系列建议草案，从体系结构、a p i 、通信机制、语言格式等方面规范i d s 的标 准 4 1 。d a r p a 提出建立公共入侵检测框架c i d f ( c o m m o ni n t r u s i o nd e t e c t i o n f r a m e w o r k ) 。c i d f 在i d e s 和n i d e s 系统的基础上提出了一个通用模型，将入侵 检测系统分为四个基本组件：事件产生器、事件分析器、响应单元和事件数据库。 结构入图2 1 所示。 图2 1c i d f 模型结构图 f i g u r e2 - 1c i d fm o d e l 在c i d f 模型中，需要分析的数据被统称为事件( e v e n t ) ，它可以是基于网络的 i d s 从网络中提取的数据包，也可以是基于主机的i d s 从系统日志等其它途径得 到的数据信息。 c i d f 组件之间以通用入侵检测对象( g e n e r a l i z e di n t r u s i o nd e t e c t i o no b j e c t s ， 简称g i d o ) 的形式交换数据。一个g i d o 可以表示在特定时刻发生的一些特定事 件，也可以表示分析事件后得出的一些结论，也可以表示执行某个行动的指令。 事件产生器是整个入侵检测系统的信息源。它的任务是从入侵检测系统以外 的更大的计算环境中获取事件信息，但它并不处理这些事件，而是将事件转化为 6 第二章入侵检测系统概述 ( 3 1 1 3 0 标准格式提交给系统的其它组件使用。 事件分析器从系统的其它组件接收g i d o ，分析它们，并将分析结果以新的 g i d o 形式提供给事件数据库和响应单元。事件分析器既可以是一台模式匹配器 ( 误用检测) ，也可以是一台轮廓引擎( 异常检测) 。入侵检测系统究竟采用何种分析 策略，c i d f 未作具体规定。 事件数据库负责g i d o 的存贮，它可以是复杂的数据库，也可以是简单的文 本文件。具体取决于入侵检测的目标。例如，如果入侵检测的目标是建立关于检 测到的入侵者的说明，那么数据库就需要保存原始审计数据以提供起诉时的法律 依据；另一方面，如果检测的目标在于如何阻止入侵者的攻击和弥补系统的缺陷， 那么在分析完成后，审计数据就可以丢弃。 响应单元根据它所接受到的g i d o 做出响应，它可以只是简单的报警，也可 以终止进程、断开网络连接、改变文件属性等。 2 3 入侵检测系统的分类 入侵检测系统的分类方法有许多，其中最常用的方法有两种：按信息源分类 和按检测方法分类。以下对两种分类方法做介绍。 2 3 1 按信息源分类 对于入侵检测系统而言，信息源就是系统的输入数据，也是系统首先需要解 决的问题。目前入侵检测所采用的几种常用的信息源有如下几种。 1 操作系统的审计记录 2 系统日志 3 应用程序的日志信息 4 基于网络的数据包 从数据来源看，入侵检测通常可以分为两类：基于主机的入侵检测和基于网 络的入侵检测。 广东i ：业大学i + 学硕+ 学位论文 2 3 1 1 基于主机的入侵检测 基于主机的入侵检测通常从主机的审计记录和日志文件中获得所需的主要数 据源，并辅之以主机上的其他信息，例如文件系统属性、进程状态等，在此基础 上完成检测攻击行为的任务。从技术发展的历程来看，入侵检测是从主机审计的 基础上开始发展的，因而早期的入侵检测系统都是基于主机的入侵检测技术。 基于主机的入侵检测系统能够较为准确地检测到发生在主机系统高层的复杂 攻击行为，例如对文件系统所进行的具有潜在安全风险的访问操作序列、对系统 配置的修改以及应用程序的异常运行情况等。同时，基于主机的入侵检测系统也 有若干显而易见的缺点：严重的依赖于特定的操作系统、影响宿主机的运行性能、 对网络环境下的攻击不能做出及时的反应。 2 3 1 2 基于网络的入侵检测 随着网络的普及，出现了大量基于网络的入侵检测系统。它通过监听网络中 的数据包来获得必要的数据来源，并通过协议分析、特征匹配、统计分析等手段 发现当前发生的攻击行为。基于网络的入侵检测系统主要用于实时监控网络关键 路径的信息，侦听网络上的所有分组来采集数据，分析可疑现象。基于网络的入 侵检测系统使用原始网络包作为数据源。它通常利用一个运行在混杂模式下的网 络适配器来实时监视并分析通过网络的所有通信业务，当然也可能采用其他特殊 硬件获得原始数据包。其优点是：检测速度快、隐蔽性好、视野更宽、较少的检 测器、攻击者不易转移证据、操作系统无关性、可以配置在专门的机器上，不会 占用被保护的设备上的任何资源。 2 3 2 按检测方法分类 目前，入侵检测的方法可以分为两大类：误用检测( m i s u s ed e t e c t i o n ) 和异常检 锲l ( a n o m a l yd e t e c t i o n ) 5 1 。误用检测搜索与己知攻击行为特征模式相匹配的行为模 式。当前的大多数商业入侵检测系统，如s n o r t , r e a l s e c u r e t m 等，都是使用误 用入侵检测技术。异常检测基于正常的行为模式搜索异常的行为模式。异常检测 8 第二章入侵检测系统概述 技术目前在商业入侵检测系统中只是得到有限的利用。 2 3 2 1 误用检测 误用检测基于已掌握的知识攻击行为特征模式，这种系统中一般内置知识 库，知识库中存储着已知攻击行为的特征模式。入侵检测系统将其所监视到的行 为与知识库中的已知攻击行为特征模式相匹配，当发现匹配的行为时，就按照一 定的策略进行响应，如报警、阻断恶意连接或一记录日志等。误用检测的优点在 于具有非常低的误差率，并且因为检测结果有明确的参照，从而有利于安全管理 人员采取清晰明确的预防保护措施。 然而，误用检测的一个明显缺陷在于，检测范围受已知攻击行为知识的局限。 攻击技术在不断发展，收集到所有最新的攻击行为特征模式是不可能的，维护工 作量也特别大。而且，将具体入侵手段抽象成知识也很困难。另一个存在的问题 是可移植性不好，因为关于网络攻击的信息绝大多数是与主机的操作系统、软件 平台和应用系统密切相关的。另外，难以检测内部人员的入侵行为，如合法用户 的泄漏，因为这些入侵行为并没有利用系统脆弱性。 误用检测最适用于已知攻击行为的可靠检测，但是它仅能检测你知道的。常 用的误用检测技术有专家系统( e x p e r ts y s t e m ) 技术、特征分析( s i g n a t u r ea n a l y s i s ) 技术、状态转移分析( s t a t e - t r a n s i t i o na n a l y s i s ) 技术等。 2 3 2 2 异常检测 异常检测是建立在如下假设基础上的，即任何一种入侵行为都能由于其偏离 正常或者所期望的系统和用户的活动规律而被检测出来。异常检测基于已掌握的 被保护对象的正常工作模式，并假定这种工作模式是相对稳定的。在这种入侵检 测系统中一般要先建立一个初始模型，该模型反映了被保护的网络系统、操作系 统或应用系统的正常行为。在被保护对象的运行过程中，入侵检测系统将当前监 测到的活动与初始模型相比较，当发生偏差时，则认为有异常情况发生，产生报 警。 该方法的优点是能够检查出利用新的或不可预见的弱点进行入侵的企图，由 9 广东l 业大学【：学硕士学位论文 此可能发现一些新的攻击行为；它较少地依赖特定的操作系统环境，移植性较好； 另外对那些并未利用系统弱点，但滥用特权的合法用户攻击行为也能检测出来。 异常检测的主要缺陷在于误警率很高。因为不可能对整个系统内的所有用户 行为进行全面的描述，况且每个用户的行为是经常改变的，尤其在用户数目众多， 或工作目的经常改变的环境中。其次，在异常检测系统的学习阶段，入侵者能用 某种入侵行为慢慢地训练检测系统，如果训练成功，系统将无法检测到该种入侵 行为。 在异常侵检测中，最广泛使用的较为成熟的技术是统计分析，i d e s 系统实现 了最早的基于主机的统计模型。另一种主要的异常检测技术是神经网络技术。此 外，还有许多其他异常检测方法出现在各种文献之中，如基于贝叶斯网络的异常 检测方法、基于模式预测的异常检测方法、基于数据挖掘的异常检测方法以及基 于计算机免疫学的检测技术等。 2 4 入侵检测系统的发展趋势 入侵检测系统随着网络技术和相关学科的发展而日趋成熟，其未来发展的趋势 主要表现在以下方面【6 】。 1 宽带高速实时的检测技术 大量高速网络技术如删、千兆以太网等近年里相继出现，在此背景下的各 种宽带接入手段层出不穷。如何实现高速网络下的实时入侵检测已经成为现实面 临的问题。目前的千兆入侵检测产品其性能指标与实际要求相差很远。要提高其 性能主要需考虑以下两个方面：首先，i d s 的软件结构和算法需要重新设计，以期 适应高速网的环境，提高运行速度和效率；其次，随着高速网络技术的不断发展 与成熟，新的高速网络协议的设计也必将成为未来发展的趋势，那么，现有td s 如何适应和利用未来的新网络协议将是一个全新的问题。 2 大规模分布式的检测技术 传统的集中式i d s 的基本模型是在网络的不同网段放置多个探测器收集当前 网络状态的信息，然后将这些信息传送到中央控制台进行处理分析。这种方式存 在明显的缺陷。首先，对于大规模的分布式攻击，中央控制台的负荷将会超过其 处理极限，这种情况会造成大量信息处理的遗漏，导致漏报率的增高。其次，多 i o 第二章入侵检测系统概述 个探测器收集到的数据在网络上的传输会在一定程度上增加网络负担，导致网络 系统性能的降低。再者，由于网络传输的时延问题，中央控制台处理的网络数据 包中所包含的信息只反映当时网络的状态，不能实时反映当前网络状态。 3 数据挖掘技术 操作系统的日益复杂和网络数据流量的急剧增加，导致了审计数据以惊人速 度剧增，如何在海量的审计数据中提取出具有代表性的系统特征模式，以对程序 和用户行为作出更精确的描述，是实现入侵检测的关键。 数据挖掘技术是一项通用的知识发现技术，其目的是要从海量数据中提取对 用户有用的数据。将该技术用于入侵检测领域，利用数据挖掘中的关联分析、序 列模式分析等算法提取相关的用户行为特征，并根据这些特征生成安全事件的分 类模型，应用于安全事件的自动鉴别。一个完整的基于数据挖掘的入侵检测模型 要包括对审计数据的采集，数据预处理、特征变量选取、算法比较、挖掘结果处 理等一系列过程。这项技术难点在于如何根据具体应用的要求，从用于安全的先 验知识出发，提取出可以有效反映系统特性的特征属性，应用适合的算法进行数 据挖掘。另一技术难点在于如何将挖掘结果自动地应用到实际的i d s 中。目前， 国际上在这个方向上的研究很活跃，但数据挖掘技术用于入侵检测的研究总体上 来说还处于理论探讨阶段，离实际应用还有相当距离。 4 更先进的检测算法 在入侵检测技术的发展过程中，新算法的出现可以有效提高检测的效率。以 下三种机器学习算法为当前检测算法的改进注入新的活力。它们分别是神经网络 技术、遗传算法和计算机免疫技术。 神经网络技术在入侵检测中研究的时间较长，并在不断发展。早期的研究通 过训练向后传播神经网络来识别已知的网络入侵，进一步研究识别未知的网络入 侵行为。今天的神经网络技术已经具备相当强的攻击模式分析能力，它能够较好 地处理带噪声的数据，而且分析速度很快，可以用于实时分析。现在提出了各种 其他的神经网络架构诸如自组织特征映射网络等，以期克服后向传播网络的若干 限制性缺陷。 遗传算法在入侵内检测中的应用时间不长，在一些研究试验中，利用若干字 符串序列来定义用于分析检测的指令组，用以识别正常或者异常行为的这些指令 在初始训练阶段中不断进化，提高分析能力。该算法的应用还有待于进一步的研 广东i ：业大学l 学硕士学位论文 究。 计算机免疫技术是直接受到生物免疫机制的启发而提出的。生物系统中的脆 弱性因素都是由免疫系统来妥善处理的，而这种免疫机制在处理外来异体时呈现 了分布的、多样性的、自治的以及自修复的特征，免疫系统通过识别异常或以前 未出现的特征来确定入侵。计算机免疫技术为入侵检测提供了一下思路，即通过 正常行为的学习来识别不符合常态的行为序列。在这方面已经作了若干研究工作， 仍有待于进一步深入。 总之，入侵检测技术作为当前网络安全研究的热点，它的快速发展和极具潜 力的应用前景需要更多的研究人员参与。i d s 只有在基础理论研究和工程项目开发 多个层面上同时发展，才能全面提高整体检测效率。 2 5 本章小结 本章首先介绍了入侵检测系统的相关概念；对入侵检测系统的c i d f 模型作了 简要介绍和分析；讨论了入侵检测系统的分类，总结了各类检测方法的优缺点； 最后，讨论了入侵检测系统的发展趋势。 第二章生物免疫系统及人工免疫系统 第三章生物免疫系统及人工免疫系统 3 1 生物免疫系统 3 1 1 免疫学的相关概念 免疫 免疫( i m m u n i t y ) 一词源于拉丁文i m u n i t a s ，原意是免除税赋和差役，引入医 学领域则指免除瘟疫之意。现代免疫学将“免疫”定义为：机体对“自我”和“非 我”识别、应答过程中所产生的生物学效应的总和，正常情况下是维持内环境稳 定的一种生理性功能。换言之：机体识别“非我”抗原，对其产生免疫应答并清 除之；正常机体对自身组织抗原成分则不产生免疫应答，即维持耐受。 抗原 抗原( a n t i g e n ) 指可被t 、b 淋巴细胞识别，并启动特异性免疫应答的物质。 抗原具有两个重要特性：a 免疫原性，指抗原能够刺激机体产生抗体或致敏淋巴 细胞的能力；b 抗原性或免疫反应性，指抗原能够与其所诱生的抗体或致敏淋巴 细胞特异性结合的能力。 抗体 抗体( a n t i b o d y ) 是介导体液免疫的重要效应分子，是b 细胞接受抗原刺激后 增殖分化为浆细胞所产生的糖蛋白，也称为免疫球蛋白分子。抗体可分为分泌型 和膜型，前者主要存在于血液及组织液中，发挥各种免疫功能；后者构成b 细胞 表面的抗原受体。 t 细胞 即t 淋巴细胞，它在胸腺中成熟，功能包括调节其他细胞的活动以及直接袭 击宿主感染细胞。t 细胞可分为毒性t 细胞和调节t 细胞两类。而调节t 细胞 又可分为辅助性t 细胞和抑制性t 细胞。辅助性t 细胞的主要作用是激活b 细胞，与抗原结合时分泌作用于b 细胞并帮助刺激b 细胞的分子。毒性t 细胞 能够清除微生物入侵者、病毒或者癌细胞。 广东i 业大学上学硕七学位论文 b 细胞 即b 淋巴细胞，来源于骨髓淋巴样前体细胞，成熟的b 细胞存在于淋巴结、 血液、脾、扁桃体等组织和器官中。b 细胞是体内产生抗体的细胞，在清除病原 体过程中受到刺激，分泌抗体结合抗原，但其发挥免疫作用要受t 辅助细胞的帮 助。 3 1 2 生物免疫系统的组成及其功能 3 1 2 1 生物免疫系统的组成 生物免疫系统是机体执行免疫功能的机构，是产生免疫应答的物质基础。免 疫系统由免疫器官、免疫细胞和免疫分子三部分组成啊。其层次结构如表3 1 所示。 免疫器官分布全身的各个部位，起着产生和培育免疫细胞的作用，如骨髓、胸腺、 淋巴结等。免疫细胞主要包含各种淋巴细胞群，其中最重要的两种淋巴细胞是t 细胞和b 细胞，t 细胞由胸腺产生，b 细胞由骨髓产生。免疫分子包括各种由免 疫器官或免疫细胞分泌出的蛋白质分子，它们起着免疫调节、清除异物的作用。 各种免疫细胞和免疫分子通过血液在体内各处巡游，持续地执行识别和排除抗原 性异物的功能，它们之间相互协作，又相互制约，使免疫应答既有效又有序地进 行着。 表3 1 自适应免疫系统的层次结构 t a b l e3 - la u t o - a d a p t e di m m u n es y s t e ml e v e ls t r u c t u r e 自适虑免痰系统 胸腺淋巴绪骨髓 t 细胞 调节丁细胞 较细胞 自萎主伤b 细胞霉性7 鲴胞纲臆绷子 糖助性抑制中薹 抗原分f抗体分乎m h c 分f 1 4 免瘦器官 免攫细胞 免接分予 第二章生物免疫系统及人工免疫系统 3 1 2 2 生物免疫系统的功能 正常情况下，免疫功能使机体内环境得以维持稳定，具有保护性作用；异常 情况下。免疫功能可能导致某些病理过程的发生和发展。机体免疫系统通过对“自 我”或“非我”物质的识别及应答，主要发挥三种功能脚。 1 ) 免疫防御( i m m u n ed e f e n c e ) ：即抗感染免疫，主要指机体针对外来抗原的免 疫保护作用。异常情况下也可能对抗体产生不利影响，表现为：若应答过强或持 续时间过长，则在清除致病微生物的同时，也可能导致组织损伤和功能异常，即 超敏反应；若应答过低或缺少，可发生免疫缺陷病。 2 ) 免疫自稳( i m m u n eh o m e o s t a s i s ) ：机体免疫系统存在极为复杂而有效的调解 网络，借以实现免疫系统功能的相对稳定性。该机制若发生异常，可能使机体对 “自我”或“非我”抗原的应答出现紊乱，从而导致自身免疫病的发生。 3 ) 免疫监视( i m m u n es u r v e i l l a n c e ) ：由于各种体内外因素的影响，正常个体的 组织细胞不断发生畸变和突变。机体免疫系统可识别此类异常细胞并将其清除， 此为免疫监视。若该功能发生异常，可能导致肿瘤的发生或持续的感染。 除上述功能外，免疫系统功能还有其他很多方面。如近年来有人研究免疫系 统的功能与机体其他系统的相互关系，如神经内分泌、心血管系统，已证明均有 相互作用。 3 1 3 免疫原理 免疫是机体的免疫系统识别“自我”与“非我”，排斥抗原异物，用以维护内 环境的生理平衡和稳定的一种生物学功能。免疫具有识别“自我”与“非我”抗 原，对“自我”抗原形成天然免疫耐受，对“非我”抗原产生排斥作用的一种生 理功能。 免疫功能主要是通过分布在全身的免疫细胞来实现的，在生物体中，免疫细 胞以各种形式存在如巨噬细胞( i v l a c r o p l 】a g e s ) ，抗体( a n t i b o d y ) 和淋巴细胞 ( l y m p h o c y t e s ) 等。主要介绍一下适应性免疫响应，其执行者是t 淋巴细胞及b 淋 巴细胞。根据b u r n e r 的细胞克隆选择学说( c l o n a ls e l e c t i o nt h e o r y ) 和j c r n e 的免 疫网络学说( i d i o t y p c n e t w o r k t h e o r y ) ，生物体内先天具有针对不同的抗原特性的多 广东i 业大学i ：学硕十学位论文 样性的b 细胞克隆，当有抗体侵入机体内部以后，在t 细胞的识别和控制下， 选择并控制刺激相应的b 细胞系，使之活化、增殖并产生特异性的抗体结合抗原， 以消除抗原。一般这个过程要4 到5 天。最后有一部分细胞会成为记忆细胞，在 下次遇到同样的病原或其变体时能快速响应，这样就可以说人体对这种病原产生 了免疫能力。免疫系统原理如图3 1 所示。 图3 - 1 生物免疫系统原理图 f i g u r e3 - 1b i o l o g yi m m u n es y s t e mp r i n c i p l e 3 1 4 生物免疫机制 生物免疫系统是一个高度复杂的分布协调自适应系统它能自适应地识别和 排除侵入机体的抗原性异物，并且具有学习、记忆和自适应调节能力【9 】。生物免疫 系统具有如下的一些免疫机制值得计算机研究人员借鉴： 3 1 4 1 自我与非我的识别 生物的细胞都会在细胞膜表面表达或者分泌一些具有独特结构的蛋白分子， 作为不同生物的识别特征。这种蛋白分子上的独特结构是由相邻的氨基酸排成的 序列，称为决定簇。决定簇有两种表现形式：由原本就相邻的氨基酸所形成的序 列称为线性决定簇；由原本不相邻的氨基酸通过三维空间的自然折叠而变得相邻 所构成的序列称为构像决定簇。淋巴细胞受体能与病原体的抗原决定簇互补而结 合，从而实现对病原体的免疫识别。这种机制为我们进行模式识别提供了实现方 法上的启示。 1 6 第三章生物免疫系统及人工免疫系统 在计算机领域中，计算机程序和数据是以0 和1 的二进制方式来进行编码， 进而表达无穷无尽的含义。同样的，计算机的程序代码序列也表现出一定的程序 特征。i 阴的研究人员证明了1 6 个b y t e s 的代码序列就可以确认出恶意代码的 特征，同时误诊率只有0 5 。这一研究成果已经成为计算机反病毒的事实上的工 业标准。在入侵检测方面，由于计算机用户的认证、计算机程序的行为特征和网 络通信流量等都基本遵循着比较固定的模式，通常采用的方法也是采用基于特征 库的模式匹配的方法。 3 1 4 2 抗体的多样性 生物体在进化过程中逐渐形成了一组编码淋巴细胞受体的基因库，通过基因 库中基因的重排、不精确连接等机制，就能生成识别病原体