（控制理论与控制工程专业论文）基于人工免疫原理的多代理入侵检测系统研究.pdf

摘要 网络和电子商务成为企业制胜的必由之路，随着越来越多的企业将其核心业 务向网上转移，网络安全成为了个不可避免的问题。传统安全方法已不能够适 应越来越复杂的网络情况，入侵检测作为一种多样化的、纵深的安全技术，成为 目前计算机安全领域的一个研究热点。但目前已有的入侵检测系统有很多不足， 且面临巨大的挑战，于是伦敦大学的j k i m 和p b e n t l e y 提出了下一代入侵检测系 统的要求。 借鉴和模拟自然免疫系统的保护原理和机制，构造具有准确性、分布性、多 样性、轻巧性、鲁棒性和扩展性的入侵检测系统是一个新颖而有发展前景的研究 方向，也符合下一代入侵检测系统的要求。早在1 9 8 7 年，计算机安全系统与自然 生物系统的相似性就由于“计算机病毒”的出现而被认识到了。然而，迄今为止， 保护计算机及计算机网络的产品，利用的仅仅是人工免疫机制。具体到基于人工 免疫机制的入侵检测系统的研究也只局限于f o 丌c s t ，d a s g l l p t a 和硒m 三个研究小组 所做的研究工作。 本文的研究目的：( 1 ) 深刻理解免疫系统的原理和机制，特别是那些能应用到 入侵检测系统中的原理和机制；( 2 ) 分析了现有用于入侵检测系统的免疫算法 阴性选择算法的缺陷，提出了一种基于免疫的克隆选择算法；( 3 ) 实现了种基于 人工免疫原理的多代理网络入侵检测系统，其中包括中心服务器、检测器代理、 通信代理、决策代理等等。各类代理协同工作，实现对入侵的快速、实时的检测； ( 4 ) 实验测试了此网络入侵检测系统，验证了其检测性能的优越性。 本文的主要工作和贡献包括： 首先，本文给出了入侵检测系统的相关背景材料，介绍了入侵检测系统的基 本概念、历史、常用技术以及发展和研究的现状，并指出了入侵检测系统面i 临的 挑战和不足，说明了下代入侵检测系统的要求。 第二，详细探讨了生物免疫系统，主要介绍了能用于入侵检测系统的免疫机 制，包括免疫识别、受体多样性、受体适应性、免疫耐受等。然后介绍了人工免 疫系统的应用，着重介绍了人工免疫原理在入侵检测系统中的应用，分析了f o r r e s t d a s g u p t a 和鼬m 三个研究小组所做的研究工作。 i 第三，详细介绍了免疫检测器的实现。着重分析了现有阴性选择算法模型的 局限性，提出了一个改进的基于免疫的克隆选择算法模型，并对其实现进行了详 细说明。 第四，引入了基于免疫的多代理入侵检测系统结构，并对其各个部分进行了 具体实现。最后进行了人工测试实验，实验结果表明，此系统可以很好的检测到 网络的入侵行为，达到预期目的。 关键词入侵检测系统，人工免疫机制，阴性选择算法，克隆选择算法，多代理 基于人工免疫原理的多代理入侵检测系统研究 i _ _ _ e l 口! j e _ _ l e _ e 目e ! _ - - e ! _ _ ! 目目_ _ - ! ! 自目目g _ 自! g 目目- _ ! ! e ! 自e _ 目自! 自目_ a b s t r a c t i h eo n l ym a dmt h e 如t l 】r eo e n t e r p n s e s1 st h ee l e c t i _ 0 n l cc o m m e r c e w l t hm o r e a n dm o r ec o r p o r a t i o n sm a k em e i rc o r eb u s i n e s so n l i n e ，t h en e t w o r ks e c u n t yi s b e c o m i n ga ni 瑚p o r t a n tq u e s t i o na tp r e s e n t n et r a d i t i o n a ls e c u r em e t h o d sa r en o t a d 印t a b l et o t h em o r ea 1 1 dm o r ec o m p l e xn e t w o r ks i t u a t i o n 粕ym o r e u n d e rm e c i r c u m s t a n c e s ，t h ei n t r u s i o nd e t e c t i o na s ak i n do fm o r ed i v e r s ea n dm o r ed 印也 s a f b g i l a r d m gm e c h a n i s mb e c o m e sak e yr c s e 甜c ha r e ao f t h en e t w o r ks e c 戚t yh o w e v t h ep r e s e n ti n t n l s i o nd e t e c t i 衄s y s 缸n ( 国s ) h a ss om a i l ys h o r t a g e sa i l df 她e ss om a i l y c h a i i e n g e st l l a tj k i ma n dp b e n t l e yp u tf o r w a r dt h er e q u e s to f t h en e x t s i ti san o v da n dp m m j 由gw a yt oc o n s t m c t sw h i c hi n c o l p o r a t e sm 柚y p r o p e m e so ft h en a t u r a li m m 岫es y s t 啪s ，m c l u d i n ga c c u r a c y l i g h t w e i g h t ，r o b u s 缸c s s ， d i v e r s i t y ，a d 印t a b i l i t y ，s c a l a b i l i t ya i l dd i s 伍b u t a b i l i t y e a r l yf 而m19 8 7 ，w h e nt h et a l no f ”c o m p u t e rv i r u s ”w a si n m ) d u c e d ，i th a sb e e nn o t i c e dt l l a tt l l e r ea r em a t l ys i m i l a r i t i c s b e 似e c nc o m p u t e rs e c u r i t ys y s t 哪sa j l db i 0 1 0 百c a li m m l l l l es y s t e m s h o w e v e r ，m e rs o m a | l yy e a r s ，t h em e c h a n i s m sw h i c hh a v eb e e n 锄p l o y e di nm ec o m p u t e rs e c 嘶t ya i l d n e t w o r ks e c 岫t ya r es t i l lm ea n i 6 c i a li 瑚u n e p 血c i p l e s t h ew o r ko ff o r r c s t ， d a s g l 】p t aa 1 1 d 硒mi 8i m p o r t a i l ti nm es m d yo ft h ei d sb a s e do na r t i f i c i a li m m u n e p r i n c i p l o s t h ep l 印o s eo ft h ef e s e a r c hi n d u d e s ：( 1 ) h a v eag o o d 鲥po ft h ep r i n c i p l e sa n d m e c h a 【l i s m so f t h ei m m u n es y s t e m ，i np a r t i c u l a rt h a tc a nb ea p p l i e di nt h ei d s ；( 2 ) h a v e a na l l a l y s i so f m e n e g a t i v es e l e c t i o na 1 9 0 r i m m ( n s a ) ，a f l dp u tf o n v a r dak i n do f c l o n e s e l e c t i o na l g o r i t l l l i lb a s e0 ni m m 瑚i t y ；( 3 ) r e a j i z eak i n do f m u l t i a g e n ti d sb a s e do nm e a n i 行c j a li m m u n es y s t e m ，i n c l u d i n gt h ec e n t r a ls e e r ，d e t e c t o ra g e n t ，c o m m u n i c a t o r a g e n t ，d e c i s i o na g e n ta n ds oo n 袖ea g e m sw o r ks ”e 晒s t i c a l l yt or e a l i z et h ef a s ta 1 1 d r e a l t i m ei n t m s i o nd e t e c t i o n ；( 4 ) t e s tt h ei d si no r d e rt o v 嘶f yj t ss u p 甜。一t yi n d e t e c t i o np e r f j r n l a n c e t h em a i nw o r ka 1 1 dc o n 仃i b u t i o no f t h j sp 印e ri n c l u d e s ： f i r s t l y ，t h i sp a p e rp r e s e n t st h ee x i s t i n g1 i f e r a t 【1 r ew i ml h ei n t m s i o nd e t e c i i o n s y s t e m ，i n t m d u c e st h eb a s i cc o n c 印t s h i s t o 哪p r e s e n tt e c h n o l o g ya n dt h es t a t eo f r e s e a r c ha n dd e v e l o p m e n t ，p o i n t so u tl h es h o r t a g ea 1 1 dc h a l l e l l g e so f p r e s e l l ti d s ，a n d m u s 住a t e st h er e q u e s to f t h en e x ti d s 郑州大学 学硕士论文 s e c o n d l y ，m ei r m l l i l es y s t e r n i sd e s c 曲e di n d e t a i l ，e s p e c i a l l ym ei m m l l i l e p r i n c i p i e s 廿l a tc a i lb ec 叩i e dt os o l v em ep m b l e m so fi n t r i l s i o nd e t e c t i o n ，s u c ha s i o l o 舀c a lr e c o g n i t i o n ， t h e d i v e r s i t y a n d a d a p t a b i l i t y o ft h e r e c 印t 鸭 i m m u n 0 1 0 百c a l t o l e r a l l c ea n ds oo n a n dt h e i lt l l e 印p l i c a t i o no fm ea n i 丘c i a li m m u n e p r i n c i p l e si nt h ei d si si n t r o d u c e d ，e s p e c i a l l yt h ew o r ko f f o r r e s t ，d a s g u p t aa 1 1 dk i m t h i r d l y ，t 1 1 ei n t n l s i o nd e t e c t i o na g e n ti sd e s i 鄹e da i l di m p l 锄e n t e d t h ep 印e r a 1 1 a l y s e st l l es h o r t a g co ft h en s a ，a n dp u tf o r w a r da ni m p r o v e dc l o n es e l e c t i o n a l g o r i t l 蛐 i nt h ee n d ，也e 仔锄e w o r ko fm e m u l t i - a g e i l ti n t n l s i o nd e t e c t i o ns y s t e mi sp r o v i d e d w 血i c hb a s e do na r t m c i a li m m u n e 研n c i p l e s a n dm e nat e s te x p 嘶m e n ti sp m c e s s e dt o v 嘶pt h ed e t e c t i o nc 印a b i l i t yo f t h ei d s k e yw o r d si n 劬s i o n d e t e c t i o ns y s t c t i l ， a n i f i c i a li m m u | l em e c h a i l i s m s ， n e g a t i v e s d e c t i o na l g o r i t l l 】 i l ，c l o n es e l e c t i o na i g o r j t ，m u l t i a g e n t - i v 一 基于人工免疫琢理的多代理入侵检测系统研究 1 1 课题研究的背景和意义 1 绪论 1 1 1 入侵检测系统研究的背景与现状 随着网络技术的不断发展，众多的企事业单位、政府部门将其核心业务转向 互联网，网络安全作为一个无法回避的问题呈现在人们面前。计算机网络的安全 是一个国际化的问题，每年全球因计算机网络的安全系统被破坏而造成的经济损 失都达到数百亿美元。进入新世纪之后，上述损失达到2 0 0 0 亿美元以上。据统计： 信息窃贼在过去的5 年中以2 5 0 速度增长，9 9 的大公司都发生过大的入侵事件。 世界著名的商业网站，如山o o ，b u y ，e b a y a m a z o n ，c n n 等都曾被黑客入侵，造 成巨大的经济损失。甚至连专门从事网络安全的r s a 网站也曾受到过黑客的攻击。 政府、银行、大企业等机构都有自己的内网资源。从这些组织的网络办公环 境可以看出，行政结构是金字塔型，但是局域网的网络管理却是平面型的，从网 络安全的角度看，公司的内部系统被入侵、破坏与泄密是一个严重的问题，以及 由此引出的更多有关网络安全的问题都应该引起我们的重视。据统计，全球8 0 以上的入侵来自于内部。此外，不太自律的员工对网络资源无节制的滥用也可能 对企业造成巨大的损失。 网络安全也是国家与国防安全的重要组成部分，同时也是国家网络经济发展 的关键。因此对入侵攻击的检测与防范，保障计算机系统、网络系统及整个信息 基础设施的安全已经成为刻不容缓的重要课题。 网络安全技术主要包括：认证授权、数据加密、访问控制及安全审计等。传 统i 二，一般采用防火墙作为安全的第一道防线。而随着攻击者知识的日趋成熟， 攻击工具与手法的日趋复杂多样，单纯的防火墙策略已经无法满足对安全高度敏 感的部门的需要，网络的防卫必须采用一种纵深的、多样的手段。与此同时，当 今的网络环境也变得越来越复杂，各式各样的复杂的设备，需要不断升级、补漏 的系统使得网络管理员的工作不断加重，不经意的疏忽便会给企业造成巨大损失。 - 郑州大学工学硕士论文 在这种环境下，入侵检测系统成为了安全市场上新的热点，不仅愈来愈多的受到 人们的关注，而且己经开始在各种不同的环境中发挥其关键作用。 虽然入侵检测系统自2 0 世纪8 0 年代末被提出至今已有2 0 多年的发展历史， 但仍是一种比较新的技术，尤其是在国内，它在近几年才逐渐被人们重视。目前， 大多数入侵检测系统主要采用行为统计、专家系统、神经网络、模式匹配、状态 转换分析等技术，分析事件的审计记录、识别特定的模式、生成报告和最终分析 结果。但是，随着网络入侵技术的不断发展，入侵行为表现出不确定性、复杂性 和多样性等特点，使得在提取行为特征时，很难提供确定的统计模式，即便是专 家知识也带有随机性、不确定性等因素。为保证检测的效率和正确性，尽管有许 多研究机构和大学，如著名的s t a l l f o r dr e s e a r c hi n s t i m t ei n t e m a t i o n a lp u r d u e u n i v e r s i t y 和i b m 等一直从事这方面的技术研究工作，但仍没有获得突破性的进 展。因此，运用新技术、新学科加强对入侵检测技术的深入研究十分必要。 1 1 2 入侵检测系统面临的挑战和不足 目前入侵检测系统面临巨大的挑战，主要表现在： 1 攻击者不断增加的知识、日趋成熟多样的自动化工具，以及越来越复杂细 致的攻击手法。 2 恶意信息采用加密的方式传输。 3 网络入侵检测系统通过匹配网络数据包发现攻击行为，i d s 往往假设攻击 信息是通过明文传输的，因此对信息的稍加改变便可能骗过i d s 的检测。t f n 现 在已经通过加密的方法传输控制信息。还有许多系统通过v p n ( 虚拟专用刚) 进 行网络之间的互联，如果i d s 不了解其所用的隧道机制，会出现大量的误报和漏 报。 4 必须协调、适应多样性环境的不同安全策略。网络及其设备越来越多样化， 即存在关键资源如邮件服务器、企业数据库，也存在众多相对不是很重要的p c 机。 不同企业之间这种情况也往往不尽相同。i d s 要定制不同策略以适应多样化的环境 要求。 5 不断增大的网络流量。用户往往要求i d s 尽可能快地报警，因此需要对获 得的数据进行实时分析，这导致对所在系统的要求越来越高，商业产品一般都建 议采用当前最好的硬件环境。尽管如此，对百兆以上的流量，单一的i d s 系统仍 一一 基于人工免疫原理的多代理入侵检测系统研究 t 很难应付。可见，随着网络流量的进一步加大( 许多大型因特网内容提供商目前 都有数百兆的带宽) ，对i d s 将提出更大的挑战，在p c 机上运行纯软件系统的方 式需要突破。 6 缺乏。泛接受的术语和概念框架。入侵检测系统的厂家基本处于各自为战 的状况，标准的缺乏使得其间的互通几乎不可能。 7 采用不恰当的自动反应所造成的风险。入侵检测系统可以很容易地与防火 墙结合，当发现有攻击行为时，过滤掉所有来自攻击者的数据。但是，不恰当的 反应很容易带来新的问题，一个典型的例子便是：攻击者假冒大量不同的i p 进行 模拟攻击，而i d s 系统自动配置防火墙将这些实际上并没有进行任何攻击的地址 都过滤掉，于是形成了新的拒绝访问攻击( d o s ) 。 8 对i d s 自身的攻击。和其他系统一样，i d s 本身也往往存在安全漏洞。如 果查询b u g t r a q 的邮件列表，诸如a x e l l _ 【n e t p r o w l e r 、n f r 、i s sr e a l s e c u r e 等知名 产品都有漏洞被发觉出来。若对i d s 攻击成功，则直接导致其报告失灵，入侵者 在其后所作的行为将无法被记录。 9 大量的误报和漏报使得发现问题的真正所在非常困难。采用当前的技术及 模型，完美的入侵检测系统是无法实现的。参考文献 1 】中提到了若干种逃避i d s 检测的办法，这种现象存在的主要原因是：i d s 必须清楚地了解所有操作系统网络 协议的运作情况，甚至细节，才能准确地进行分析，否则 1 】中提到的i n s e m o n e v a s i o n 的问题便无法解决。而不同操作系统之问，甚至同一操作系统的不同版本 之间对协议处理的细节均有所不同，而力求全面则必然违背i d s 高效工作的原则。 1 0 客观的评估与测试信息的缺乏。 1 1 交换式局域网造成网络数据流的可见性下降，同时更快的网络使数据的 实时分析越发困难。 1 1 3 下一代入侵检测系统的要求 由上可知，现有的入侵检测系统面临着巨大的挑战，传统的方法无法应对这 科。挑战，急需下一代入侵检测系统的出现。伦教大学的j k i m 和p b e n t l e y 认为新 一代入侵检测系统必须满足以下要求f 2 ，斟： 1 鲁棒性：系统必须有多个检测点，这样才能够足够鲁棒以对抗攻击以及i d s 的任何差错1 4 5 1 。i d s 最大的弱点是遭受黑客攻击从而导致系统失效。如果黑客知 道网络配置了i d s ，就有可能设法进行攻击，使系统崩溃； 2 可配置性：系统能够容易地根据网络或计算机的不同需求进行配置【6 l 。网 络环境中的个体主机都是异构的，可能有不同的安全需求，此外，不同的网络组 件，例如路由器、d n s 、防火墙以及其它各种不同的网络服务可能有不同的安全 需求： 3 可扩展性：应该很容易地扩展i d s 监控的网络规模，很容易地添加新的主 机而不用考虑其操作系统如何f4 。6 】。当新主机加入现有网络环境中，如果新主机运 行不同的操作系统，审计数据格式可能不一样。因此，i d s 以原来的监控方式监控 新的主机可能导致错误的结果； 4 可伸缩性：i d s 应该拥有极好的可伸缩性，从分布式网络的不同主机正确 获取并分析大量数据。在单一式i d s 体系结构中，审计数据在本地收集并传送到 中心主机分析【”。然而，传送大量数据给中心处理主机可能丢失审计数据，即使数 据不丢失，也会导致网络性能极大降低； 5 自适应性：i d s 应该能够动态地调整，以检测动态变化的网络入侵。计算 机系统环境不是静止的，用户、厂商和管理员不停地改变计算机环境。因此，网 络的正常行为和入侵都是根据环境不断变化的； 6 全局分析：为了检测网络入侵，i d s 应该全面监控不同主机产生的事件， 并确认这些事件之间的关联【7 。许多网络入侵通常利用网络的多个点。因此，对于 一个独立主机，入侵也许不过是一个普通的错误，但是如果综合考虑多个点上的 事件，就会发现是一个攻击企图： 7 效率：i d s 应该足够的简单和轻量级，以给监控的主机和网络以最小的负 担【4 6 j 。i d s 要执行监控、数据收集、数据分析和决策等多项工作，会给系统造成 极大的负担，导致系统和网络的性能极大降低。虽然提出过多种不同的方法4 ，7 1 ， 但现在的基于主机的入侵检测系统都没有很好达到这个要求。 1 2 本文的研究内容与安排 1 2 1 本文研究的主要内容和贡献 本文将人工免疫原理与代理技术相结合，从新的角度来研究和探讨计算机入 侵检测系统，完成了一个基于人工免疫原理的多代理入侵检测系统的研究与实现。 基于人工免疫原理的多代理入侵检测系统研咒 通过引入免疫系统的健壮性、分布性、多样性和自适应性等特性，建立网络入侵 检测系统。并且分析了现有免疫入侵检测算法的不足，在系统中引入了一种改进 的基于免疫的克隆选择算法。我们设计的是借鉴人工免疫机制的网络入侵检测系 统，已经成功运用于我们实验室的局域网，并获得了令人满意的效果。然而我们 的最终目标是建立更加强人的入侵检测系统，在更大的范围内保证信息系统的安 全。 主要研究内容： 详细讨论了入侵检测技术的研究现状，包括入侵检测系统的分类、研究方 法等等。指出了现有入侵检测系统的不足和下一代入侵检测系统要达到的 目标。 研究了生物免疫系统的免疫机理和特性，特别是人工免疫系统可以用到入 侵检测系统中的几种免疫机制，深入分析了f o 玎e s t 、d a s g 叩t a 和硒m 三 个研究小组所做的工作。 详细介绍了本系统中免疫检测器的实现。由于传统的阴性选择算法模型， 采用的是r _ 字符串匹配方法，只有在网络通讯数据是一个小的子集时才 有效，而且对于较为复杂的阿络数据难以判别，检测率很低。所以我们提 出了一个改进的基于免疫的克隆选择算法，克服了这种局限性。 对多代理入侵检测系统，进行了详细实现，最后进行了测试实验。实验结 果表明：此系统可以满足入侵检测的实时性和有效性的要求。 1 2 2 本文的结构安排 本文全文由六章和参考文献组成。全文的内容是这样安排的： 第一章，是本文的绪论，简述了入侵检测系统的研究和发展的现状，以及存 在的问题和下一代入侵检测系统要达到的目标。 第二章，对入侵检测系统进行了详细的阐述，包括入侵检测的分类、发展简 史和研究方法的现状。 第三章，对可以应用于入侵检测的人工免疫机制进行了介绍，并详细研究了 当前三个小组f o r r e s t 、d a s g u p t a 和鼬m 所做的：i 作。 第四章，分析了现有的阴性选择算法模型的不足，提出了一个基于免疫的克 隆选择算法模型，并且详细阐述了运用此算法的免疫检测器的实现。 郑州大学工学硕士论文 第五章，详细阐述了基于人工免疫原理的多代理入侵检测系统的构架设计和 详细实现，最后给出了实验测试结果。 第六章，总结全文，提出未来的工作方向。 2 1 入侵检测系统的定义 2 入侵检测系统 入侵检测( 1 1 1 t m s i o nd e t e c t i o n ) ，顾名思义，即是对入侵行为的发觉。它通过 对计算机网络或计算机系统中的若干关键点收集信息并对其进行分析，从中发现 网络或系统中是否有违反安全策略的行为和被攻击的迹象。进行入侵检测的软件 与硬件的组合便是入侵检测系统( h l 咖s i o nd e t e c t i o ns y s t e r l l ，简称i d s ) 。与其他 安全产品不同的是，入侵检测系统需要更多的智能，它必须能将得到的数据进行 分析，并得出有用的结果。一个合格的入侵检测系统能大大的简化管理员的工作， 保证网络安全的运行。 与其他安全技术一样，入侵检测只是仅仅试图发现计算机网络中的安全问题， 要解决安全问题还需要其他的网络安全技术，如借助防火墙封锁i p 等等。它是网 络安全技术中不可或缺的一部分，也是对其他安全技术的一个补充。 2 2 入侵检测系统的发展简史 在众多安全技术中，入侵检测是一门相对年轻的技术。这个概念提出已经2 0 余年但是直到近年才又被广泛提出来并整合到整个信息安全基础架构中去。 入侵检测这个概念，最早是在1 9 8 0 由j a m e sa n d e r s o n 提出的 8 。同时他还提 出了另外的概念审讨跟踪。 a n d e r s o n 的工作总体卜勾画了i d s 的轮廓，也开了基丁主机的入侵检测的先 河。1 9 8 3 年，d o r o t h yd e n n i n g 博士首先提出了一个实时入侵检测系统模型 9 它 独立于特定的系统平台、应用环境、系统弱点以及入侵类型，为构建入侵检测系 统提供了一个通用的框架。一年之后，这个模型就在入侵检测专家系统( i n t m s i o n d e t e c b o ne x p e r ts y s t e m ，i d e s ) 中得以实现。d e r h l i n g 博士的研究工作为8 0 年代 入侵检测研究和系统原型设计奠定了基础。同一时刻，在加州大学的d a v i s l a w r c n c e “v e 肋o r e 实验室也取得了一些重大进展。19 8 8 年，l a w r e n c el i v e m o r e 郑州大学工学硕士论文 实验室的h a y s t a c k 项目组为美国空军部门开发了一个以“特征”集合来描述系统 审计跟踪数据信息的入侵检测系统。h a y s t a c k 的进展和d e n n i n g 博士的工作，极大 的促进了基于主机的入侵检测技术的发展，也推动了入侵检测技术的发展。直到 1 9 9 0 年以前，入侵检测系统大都是基于主机的，他们对于活动性的检查局限于操 作系统审讨跟踪数据以及其它以主机为巾心的信息源。但此时由于m t e m e t 的发展 以及通信和计算带宽的增加，系统的互联性已经有了明显的提高。特别是1 9 8 8 年 i n t e m c t 蠕虫事件之后，网络安全引起了军方、学术界和企业界的高度重视。 1 9 9 0 年，u cd a v i s 的t o d dh e b e r l e i n 开发的第一个网络入侵检测系统n s m ( t h cn e 惭o r l 【s v s t e mm o n i t o r ) 横空出世，成为入侵检测历史上又一个具有重要 意义的里程碑。n s m 首次引入了网络入侵检测的概念，它把网络数据流作为主要 分析数据来源，并试图将入侵检测系统扩展到异种网络环境。 h e b e 订e i n 的贡献还在于提出了d i d s ( d i s t 曲u t e di n t n l s i o nd e t e c t i o ns y s t 锄) ， 他结合h a v s t a c k 的研究成果，首次引入了混合入侵检测的概念。h a v s t a c k 和n s m 的引入在i d s 领域掀起了一场革命，也迎来了i d s 蓬勃发展的春天，将i d s 带入 了商业化运作。 1 9 9 1 年，n a d i r ( n e t w o r ka n o m a l yd e t e c t i o na n di n t m s i o nr 印o n ) 与d i d s ( d i s t 抽u t e d i n 劬s i o n d e t e c t i o ns y s t e r n ) 提出了收集和合并处理来自多个主机的审 计信息来检测针对一系列主机的协同攻击。 1 9 9 4 年，m a r kc r o s b i e 和g 肋es p a 肋r d 建议在i d s 中使用自治代理 ( a u t o n o m o u s a g e n t s ) 来提高i d s 的可伸缩性、可维护性、效率和容错性。 1 9 9 5 年，i d e s 的完善版本n i e d s ( n e x t g e n e r a t i o ni n t m s i o nd e t e c t i o ns v s t e m ) 实现了可以检测多个主机上的入侵。 1 9 9 6 年，g r i d s ( g r 印h - b a s e di n t m s i o nd e t e c t i o ns y s t e m ) 的设计和实现使得 对大规模自动协同攻击的检测更为便利。同年，f o r r e s t 将免疫原理运用到分布式 入侵检测领域。此后，在i d s 中还出现了遗传算法、遗传编程的运用。 1 9 9 8 年，r o s s a n d e r s o n 和a b i d a i ( 1 l a t t a k 将信息检索技术引进到了入侵检测领 域。同年，w l e e 提出和实现了在c i d f ( c o m m o ni n t m s i o nd e t e c t i o nf r a i t l e w o r k ) e 实现多级i d s ，并运用数据挖掘技术对审计数据进行处理。 之后，c h e u n gs t c v e n 等人又提出了入侵容忍( i n t m s i o nt o l 啪n c e ) 的概念，在 i d s 中引入了容错技术。然而，入侵检测技术发展到今天，面对层出不穷、变化多 端的攻击仍然显得不十分成熟。 基于人工免疫原理的多代理入侵检测系统研究 + 2 3 入侵检测系统按研究对象的分类 9 0 年代是i d s 发展的分水岭，i d s 从此分为基于主机的入侵检测系统( h i d s ) 和基于网络的入侵检测系统( n i d s ) 两大阵营。目前，i d s 产品可以分为以下几 类： 1 基于主机的入侵检测( h o s t _ b a s e di n t n l s i o nd e t e c t i o n ，h i d ) 基于主机的入侵检测系统目标是针对给定主机的用户、系统活动和攻击进行 监视、检测和响应。一些更出色的产品还提供审计策略管理、统计分析和证据支 持，甚至在一些特定的情况下还支持访问控制。h i d 对于对抗内部入侵是非常有 效的，因为它能对指定用户的行为和特定主机的文件访问进行监视和响应。来自 组织内部的威胁来源很多，不满的员工和商业间谍只是2 个例子而已。正如入侵 检测研究专家r i c h a f dp o w c r 所声明的一样，“每年我们都会要求被调查者( c s 卯b i 的一项调查) 列出网络攻击的大致来源，无一例外的，8 0 的被调查者认为不满的 员工和不诚实的员工是一个可能来源，高居榜首。” 2 基于网络的入侵检测( n e t w o r k _ b a s e di n t n l s i o nd e t e c t i o n ，n l d ) 基于网络的入侵检测系统处理主机问传输的数据信息。通常就是我们所说的 “抓包”，网络入侵检测设备从不同的传输介质上截获数据包，可能是多种协议的 数据包，通常是t c p i p 。截获后，对包进行一系列的分析，一些n i d s 只是简单 的将数据包和特征数据库中已有的攻击特征和恶意程序特征进行比较；也有一些 比较复杂的能分析那些含有非正常活动的数据包，这些非正常活动可能会引起恶 意破坏。无论在哪种情况下，n i d 都被认为只是最基本的边界防御。n i d 在下面 一些情况下显得无能为力：( 1 ) 交换式网络( 2 1 加密网络( 3 ) 高速网络( 1 0 0 m b p s ) 。 最近，c i s c o 发布了一款用于c a t a l y s t 6 0 0 0 系列交换机的入侵检测模块，它可以将 网络入侵检测直接植入交换机中，这样就克服了第一个缺陷。而且，有很多n i d s 制造商，如i s s 和e n t e r a s y s n e t w a r k s 等都在努力向“吉比特”入侵检测系统( g i 2 a b i t i d s ) 迈进。另外，为了克服第三个缺陷，人们也曾考虑过负载平衡，但负载平衡 只能是一个辅助手段，因为一方面开销加大，另一方面其稳定性并不可靠。目前， i s s 声称他们的产品已经可以工作在6 0 0 m b i “s e c 的网络环境下，并正在研制新型 的高速传感器以期望突破这些限制。 3 混合入侵检测( h v b r i di n t m s i o nd e t e c l i o n ) 郑州大学工学硕士论文 混合入侵检测提供了对基于主机和网络的入侵检测设备的管理和警告，混合 入侵检测在逻辑上实现了网络和主机的互补一一中央入侵检测管理。如上节所述的 d i d s 即属于混合入侵检测系统。 4 网络节点入侵检测( n e t w o r k n o d ei n 缸u s i o nd e t e c t i o n ) 网络节点入侵检测是针对传统n i d 的固有缺陷发展而来的，它将包拦截技术 的对象从电缆转移到主机，抓包的动作发生在数据包到达最终目标主机后进行， 然后再对包进行分析，看起来好像就是常规的抓包。这个方案基于以h i d 为中心 的假设，即关键主机都采用h i d s ，而网络节点只是附加在d s 上面的个代理。 网络节点入侵检测的优点在于可以抵御复杂网络环境下针对特定主机的包攻击， 传统的n i d 对这种攻击是无能为力的；其缺点在于只能检查到达驻留主机的数据 包，并且它仍然是基于抓包的思想，抓包意味着对高速网络，加密网络或者交换 机都将失效。 2 4 入侵检测系统按研究方法分类 虽然以上列举了多种i d s 的分类，但是它们采用的方法和技术通常由误用检 测和异常检测组成。 1 误用检测( m i s u s ed e t e c t i o n ) 误用检测也称为特征检测( s i 印咖r ed e t e c t i o n ) ，它分析系统的活动，发现那 些与预先定义好的攻击特征相匹配的事件或事件集。误用检测最适用于已知使用 模式的可靠检测，误报率可以做到很低，但是它仅能检测已知入侵。如果i d s 具 有学习功能的话，那么可以不断提高i d s 的知识水平。 2 异常检测( a n o m a l yd e t e c t i o n ) 异常检 9 1 4 依赖于这样的假定：即用户表现为可预测的、一致的系统使用模式。 它依据反常活动和计算机不正当使用之间的相关性，将正常用户行为特征轮廓和 实际用户行为进行比较，并标识出谁常和非正常的偏离。轮廓定义了- 个度量集， 其中每个度量用来衡量用户的特定行为，并与一个阈值或者域相联系。这个方法 也能随着事件的迁移而适应用户行为方面的变化。因此对于入侵检测系统来温， 异常检测的方法是一种有长远研究意义的方法。 + 基于人工免疫原理的多代理入侵检测系统研究 2 5 入侵检测系统研究和发展现状 入侵检测技术的研究进展可以沿着三条主线进行分析，即基于专家系统构造 的技术、基于概率统计分析的技术和基于生物系统模拟的技术。 2 51 基于专家系统构造的技术 专家系统是在某领域专家提供的经验知识基础上进行推理、判断和决策的计 算机应用系统。专家的经验知识从逻辑上可以表示为产生式规则、层次树、状态 转移图或直接编码到程序代码当中。产生式规则和层次树通常用来描述简单的和 静态的入侵模式特征，而状态转移图则用来描述复杂和动态入侵过程的时序模式 特征，专家知识代码化由于缺乏灵活性和不容易理解与修改而很少被使用。 早期应用专家系统技术构建的入侵检测系统大多是基于规则的，如l o s a l 锄o s 国家实验室的n a d i r ，b m d e n b u r g 工业大学c o t t b u s 分校( 德) 研制开发的a i d 和n 锄l l r 大学( 比利时) 开发的a s a x 等。 1 状态转移图 为了表示入侵事件发生的时序关系和相关性，使入侵的行为、状态、环境背 景和发生的过程与步骤能够得到直观的描述，以提高检测的准确性，c a l i f o m i a 大 学s a n t ab a l b a r a 分校的s t a t n s 曰订和d a v i s 分校的d i d s 及g r i d s 呲， p u r d u e 大学的i d i o t ( 有色p e 砸网) 【1 5 1 6 ，1 7 】以及其他一些实验系统进行了通过状 态转移图来描述入侵行为的尝试。如图2 1 所示，以序列的方式给出了状态转移图 的各个组成部分。节点( n o d e s ) 表示系统的状态，弧线代表每一次状态的转变。 从对入侵知识的表达来说，状态转移图是更具有竞争力的入侵检测模型。 首先，状态转移图是对审计数据的抽象化和系统化，是对入侵过程的动态、 直观和高层次的描述，容易阅读、修改和补充，更适于描述复杂的入侵行为过程， 还可以进行与审计数据格式无关的跨平台移植；其次，由于状态转移图描述的是 入侵的动态过程，因此，它通常会较早地看到入侵的倾向或迹象，及时警示安全 人员采取适当的响应措施，中断或阻止入侵行为，并提供详细的和更有说服力的 过程信息以证明入侵行为的发生；再次，基于规则的技术在更改旧的规则或添加 新的规则时存在规则的相容性问题，由于规则库很庞大，并且规则中的条件又比 郑州大学工学硕士论文 j _ e 目l 目e _ - _ - _ _ _ _ - _ _ e ! ! e 目! _ _ 自e ! e ! ! ! l l _ _ - 目! e 目_ ! e s ! ! e _ 较复杂，所以很难发现和检验所有规则的相容性，而状态转移图技术则可以较好 地避免这个问题。 图2 1 状态转移图 f i 9 2 1s t a t e 廿彻s i t i o nd i a g r a m 另外，状态转移图还能够检测在不同背景下通过不同的过程和步骤形成的状 态相同而意义有可能完全不同的事件。状态转换图的缺点在于：第一，即使是对 安全专家来说，构造一个描述入侵行为过程的状态转移图也比构造许多条描述入 侵特征的规则要困难的多，使用时序模式的数据挖掘技术来构造状态转移图可能 是一个可行的方法。第二，在进行入侵检测时，要维护、操作和管理许多系统用 户或网络连接的状态转移图，可能会消耗大量系统内存资源和处理器资源，进而 会严重地影响被监视的系统。 2 归纳学习技术 建立专家系统的关键是如何发现并表达入侵独有的模式或特征，以把真正的 入侵与正常行为区分丌来【l8 1 9 】。这种方法的优点是可以明确地指出入侵的类型， 误报少，准确性高。所以，当前的商业入侵检测系统基本上都采用的是专家系统 的方法。但是这种传统的专家系统技术的局限性在于它只能发现己知的攻击，对 未知的攻击无能为力，而且，基于简单特征匹配的方法还很难准确识别同一种攻 击方法的许多变种。目前，为了克服传统专家系统技术的局限性，基于专家系统 构造技术的一个主要研究方向就是用机器学习技术1 2 0 2 1 1 ( 特别是归纳学习技术) 来使知识库的建造更加智能化和自动化。 归纳学习技术是从系统提供的部分事例弓导出关于