（电路与系统专业论文）基于免疫机理的入侵检测系统模型和算法研究[电路与系统专业优秀论文].pdf

摘要 摘要 入侵检测系统存保障系统信息安全中起了重要的作用，但目前的入侵检测系 统普遍存在不具有自适应性，且不能检测新的入侵模式等问题。生物免疫系统的 摹本功能是识别自我和非我，是个国适应、自学习的系统。这给入缀检测系统 的研究带来了很大的癔发。 本文深入研究了基于免疫机理的入侵检测系统的研究现状，深入探索了生物 免疫系统的工作机理，从检测器生成模型和入侵检测模型两个方面对基于免疫机 理的入侵检测系统作了研究。具体而畜，本文的研究工作主要有： ( 1 ) 借鉴生物免疫系统中抗体产生和成熟机制，提出了新的检测器生成模 型，并设计了相关算法。该模型借助克隆选择算法进化检测器，借助负选择算法 确保不发生检测器识别自我。不仅如此，文中详细论述了检测器生成过程中涉及 到的模式识别阍题为模糊模式识别问题，因嚣在检测器生成过程中引入了模糊摸 式识别的方法。文中使用u c i 数据设计了仿真试验，并详述了模型中各参数选 择的方法，试验结果表明模型可以生成高质量的检测器。 ( 2 ) 入侵检测模型闯题是基于免疫机理的入侵检测系统的又一个重要研究 方向。本文深入研究了传统的入侵检测模型，提出了采用分层检测结构的入侵检 测模型。该模型中被监视数据先经过记忆检测器检测，再通过成熟检测器检测。 记忆检测器集合同当前系统菲我空间结合紧密，可以对已知入侵模式迅速做出响 应，这保证了系统的检测效率；成熟检测器集合主要针对新鹃入侵模式作出响应， 这保诞了被保护系统的安全性。检测过程中，若抗原对成熟检测器的刺激超过阈 值，那么成熟检测器就变成为记忆检测器。模型中的检测器集合是不断变化而不 是一成不变的，并且每过段时间都要更新一次。文中分别使用u c l 数据和 妞d 9 9 数据设计了仿真试验，试验结果表明新模型对入侵模式有很蔫的识别率 同时对非入侵模式很少产生误检。 概括而言，基于免疫机理的入侵检测系统因其具有良好的自适应性、并行性 和鲁棒性以及对新入侵模式的良好识别毙力，丽成为霹前研究的热点。研究基于 免疫机理的入侵检测系统既有着重要的理论意义也具有重要的实际意义。本文系 统研究了基于免疫机理的入侵检测系统的检测器生成和入侵检测模型问题。在检 测器生成阅题中引入了模糊模式识别，在入侵检测模型问题中提出了分层检测结 构。并设计了相关的实验验证算法和模型豹有效性。 关键词：免疫机理入侵检测负选择克隆选择模糊模式识别分层检测 a b s t r a c t a b s t r a c t i n t r u s i o nd e t e c t i o ns y s t e mp i a y sa ni m p o r t a n tr o l ei nt h en e m o r ks e c u r i t ys y s t e m u n f o r t u n a t e l y m o s t n t r u s i o nd e t e c t i o ns y s t e mi sn o ts e l f a d 印t i v ea n dc a nn o tr e c o g n i z en e w i n t m s i o np a t t e r n 1 1 1 eb a s i cf u n c t i o no fb i o l o g i c a li m m u n es y s t e mi st od i s t i n g u i s hs e l fa n d n o n s e l f tl ti sas e l f - a d a p t i v e ，s e l f - l e a m i n gs y s t e m t h i st a k e san e wm e t h o dt 0t h er e s e a r c ho f i n t r u s i o nd e t e c t i o ns y s t e m 下h i sd i s s e r t a t i o ns t u d i e dt h ei a t e s td e v e l o p m e n t si nt h i sd o m a i n ，e x p l o r i n ga n dr e s e a r c h j n g t h ei m m u n er e s p o n s ea n dl e a r n i n gm e c h a n i s m sc o n t a j n e di nb i o l o g i c a ii m m u n es y s t e m ，a n dt h e n d e s i g ne 仟i c i e n tm o d e i sa n da i g o r i t h m sf o ri n t r u s i o nd e t e c t o ns y s t e m t h em a i nr e s e a r c hw o r k s o f t h i sd i s s e r t a t i o nc a nb es u m m a r i z e da sf o i l o w s ： ( 1 ) b yr e f e r r i n gt h ea n t i b o d yg r o w i n ga n dm a t u r a t i n gm e c h a n i s m so fb i o i o g i c a l i m m u n e s y s t e m ，an o v e id e t e c t o r sa d a p t i v e l yg e n e r a t i n gm o d e li sp r o p o s e d b yu s i n gc l o n es e l e c t i o n a l g o r i t h m ，d e t e c t o r sa r ee v o l v i n g ；b yu s i n gn e g a t i v es e l e c t i o na l g o r i t h m ，d e t e c t o r sw i l ln o td e t e c t s e l fp a t t e l l l n o to n i ys ob u t ，w es p e c i 矽t h ep a n e mr e c o g n i t i o np r o b l e m sw h i c hm e e td u r i n gt h e d e t e c t o rg e n e r a t i o np r o c e s si sc o n s i d e r e dt ob ef u z 巧p a n e mr e c o g n i t i o np r o b l 锄b e c a u s eo f t h e s e ，an e wd e t e c t o rg e n e r a t i o nm o d e lw h i c hb a s e do nm z z yp a t t e mr e c o g n i t i o na n di m m u n ei s p r o p o s e d ，a n dr e l a t e da l g o r i t h m sa r ep r o p o s e dt o o s i m u l a t i o ne x p e r i m e n ti sp r o p o s e db yu s i n g u c ld a t a w ea n a l y z e dh o wt oc h o o s et h ep a r a m e t e r si nt h em o d e l t h ee x p e r i m e mr e s u l ts u g g e s t s t h a tt h em o d e li se f f e c t i v e ( 2 ) a r e rt h a to u tr e s e a r c hi se m p h a s i s0 ni n t m s i o nd e t e c t i o nm o d e l w ep r o p o s e d a m u l t i 1 a y e rd e t e c t i o ns t r u c t u r ef o rt h ei m m u n eb a s e di n t n l s i o nd e t e c t i o ns y s t e m i nt h i sm o d e l ， n e wd a t aw il lf j r s tb ed e t e c t e db ym e m o r yd e t e c t o r sa n dt h e nd e t e c t e db ym a t u r ed e t e c t o r s m e m o d e t e c t o rs e t sc a nr e s p o n s et ok n o w ni m r u s i o np a t t e mq u i c k l y ，t h i se n s u r et h ed e t e c t i o n e 衔c i e n c yo ft h e i n t r u s i o nd e t e c t i o ns y s t e m m a t u r ed e t e c t o r sc 锄r e s p o n s et o n e wi m m s i o n p a t t e r n ，t h i se n s u r et h es e c u r i t yo fi h ep r o t e c t e ds y s t e m d u r i n gt h ed e t e c t i o np r o c e s s ，i ft h e s t i m u l a t i o no fa n t i g e nt om a t u r ed e t e c t o ri sl a r g e rt h a nt h r e s h 0 1 d ，t h em a t u r ed e t e c t o rw i l lb e c o m e t om e m o 珂d e t e c t o r n 0 to n l yt h em a t u r ed e t e c t o rs e t b u t a l s ot h em e m o 巧d e t e c t o rs e ti s c h a n g e a b l ef o rt h et i m e v a r i a t i o n s i m u l a t i o ne x p e r i m e n ti sd e s i g n e db yu s i n gu c ia n dk d d 9 9 d a t a t h er e s u l t ss u g g e s tt h a tt h em o d e lc o u l dd e t e c ti n t r u s i o ne f f - e c t i v e l y a tt h es a n l et i m ec o u l d m e r e l yd e t e c ts e l f p a t t e m s i ns u m ，i m m u n eb a s e di n t r u s i o nd e t e c t i o ns y s t e mi sas e l f a d a p t i v e ，p a r a l l e l i s m 锄dr o b u s t s y s t e m i tc a nr e c o g n i z en e wi n t r u s i o np 舭m se 毹c t i v e l y b e c a u s eo ft h e s ef e a t u 陀s ，r e s e a r c ho n t h i sd o m a i ni so fg r e a ts i g n i f i c a n c et 0t h e o 拶a n do f 伊e a tp r a c t i c a lu s e i nt h i sd i s s e r t a t i o n ，o 町 r e s e a r c hi sf o c u s e do nd e t e c t o rg e n e r a t i o np r o b l e ma n di m r u s i o nd e t e c “o nm o d e l r e g a r d i n g d e t e c t o rg e n e r a t i o np r o b l e m ，w ei n t r o d u c ef u z z yp a t t e mr e c o g n i t i o n ；t 0i n t r u s i o nd e t e c t i o nm o d e l p r o b l e mw ep r o p o s e dt h em u i t i - l a y e rd e t e c t i o ns t m c t u r e s i m u l a t i o ne x p e r i m e n ti sd e s i g n e dt o c h e c kt h ee 任色c t i v eo ft h em o d e l k e v w o r d s ： i m m u n em e c h a n i s mi n t r u s i o nd e t e c t i o nn e g a t i v es e i e c t i o nc l o n es e l e c t i o nf h z 巧 p a t t e r nr e c o g n i t i o nm u i t i - l a y e rd e t e c t i o ns t r u c t u r ei n t n l s i o nd e t e c t i o nm o d e l 1 1 中国科学技术大学学位论文原创性和授权使用声明 本人声明所呈交的学位论文，是本人在导师指导下进行研究工作 所取得的成果。除已特别加以标注和致谢的地方外，论文中不包含任 何他人己经发表或撰写过的研究成果。与我一同工作的同志对本研究 所做的贡献均已在论文中作了明确的说明。 本人授权中国科学技术大学拥有学位论文的部分使用权，即：学 校有权按有关规定向国家有关部门或机构送交论文的复印件和电子 版，允许论文被查阅和借阅，可以将学位论文编入有关数据库进行检 索，可以采用影印、缩印或扫描等复制手段保存、汇编学位论文。 保密的学位论文在解密后也遵守此规定。 作者签名： 监牟 苦年f 月i l l l 日 第一章绪论中国科学技术大学硕士学位论文 第一章绪论 本章首先从两个方面分析了目前信息安全尤其是网络安全问题的严峻形势 和研究该问题的重要意义。网络互联的基础一t c p i p 协议存在缺陷使得网络安 全先天不足，并且黑客以及各种黑客工具的大量涌现，大大加剧了该问题的严重 程度。网络改变了人类的生活方式，越来越多重要的事情都要借助网络实现，这 加剧了人们对解决网络安全问题的诉求，这决定了网络安全问题具有重要的社会 意义，此外研究网络安全问题还有重大的经济意义。 传统的信息安全技术如：身份鉴别技术和访问控制技术，已不能满足人们的 要求，这迫切需要一种新的信息安全技术的出现。为了确保网络安全，必须建立 一个完整的安全防护体系，进行多层次、多手段的检测和防护。依据美国国际互 联网安全系统公司提出了自适应网络安全模型( p 0 1 i c yp r o t e c t i o nd e t e c t i o n r e s p o n s e 亦称为p 2 d r ) ，入侵检测在整个网络安全体系中起着重要的作用。因而 有必要研究入侵检测技术。 入侵检测技术的发展已有2 0 多年，但仍然存在问题和不足，本章接着分析 了入侵检测技术发展的状况和存在的不足，指出了在入侵检测系统中引入生物免 疫机理的原因和优点。本章最后就本文的章节安排作了介绍。 1 1 研究背景和意义 信息技术的发展给人们的生活带来许多便利。尤其是互联网技术的发展，彻 底改变了人们的生活方式。首先，网络拉近了人与人之间的距离，处于地球两端 的人们通过一根网线就可以很好的交流沟通；其次，网络便利了人们的生活，通 过网络足不出户就可以买到自己喜爱的商品，可以领略世界各地美丽的风光，饱 览各地的风土人情；此外，网络的发展促进了信息的交流，加速了信息传输的速 度，进而促进了社会生产力的发展和进步。各种各样电子资源的出现和广泛传播 加快了新思想的传播，降低了人们学习的门槛，开阔了人们的视野，促进了知识 的进步。 我们也不得不承认，网络在给人们生活带来便利的同时，也蕴藏着严重的安 全问题。首先，网络系统本身存在不安全性，表现在t c p i p 协议在制定之初主 要考虑的是开放性而不是安全性( 闫巧2 0 0 3 ) 。t c p i p 协议是实际意义上的网络 互联通用协议，而该协议在设计之初着重考虑的是互联性和互操作性，且因为设 计之初主要应用于一个可信的范围内，因而该协议对安全问题考虑的较少，这意 味着t c p i p 协议作为现在互联网的基础本身存在安全缺陷。比如说i p 层的主要 第亭绪论中h 科学技术大学硕士学位论文 缺陷是缺乏有效的安全认证和保密机制，其中最主要的因素就是i p 地址问题( 匡 吉新2 0 0 7 ) 。t c p 衍p 协议用i p 地址作为嘲络节点的唯一标识，许多t c 聊p 服务 都是基于i p 地址对用户进行认证和授权的。当前t c p i p 网络的安全机制主要是 基于i p 地址的包过滤( p a c k e t 矗l t e r i n g ) 和认证( a u t h e n t i c a t i o n ) 技术，它的有 效性体现在可以根据i p 包中的源i p 地址判断数据的真实性和安全性。然而i p 地址本省却可能存在许多问题，协议缺乏对i p 地址的保护，缺乏对i p 包中源i p 地址真实性的认证机制与保密措施。这也就是引起了t c p i p 协议的不安全，同 时也意味了网络互联存在安全问题。 其次，黑客是网络安全的另外一个重要威胁( 佚名2 0 0 7 ) 。近些年黑客活动 呈现出趋利性且破坏也更趋向于直接性。最初的黑客只是少数的网络技术专家， 他们出于好奇心或是自我表现高深技术等目的而非法侵入他人机器。与此不同的 是，目前的黑客多由利益驱动，进而盗用资源、窃取机密、破坏网络。黑客从病 毒程序开发、病毒传播到病毒销售，形成了分工明确的整条操作流程，形成病毒 地下交易市场，获取利益的渠道更为广泛，病毒模块、“僵尸网络”、被攻陷的服 务器管理权等等都被用来出售。另外，很多国内网络开始利用拍卖网站、聊天室、 地下社区等渠道，寻找买主和合作伙伴，取得现金收入，整个行业进入“良性循 环”，使一大批人才、技术和资金进入这个黑色行业。这条黑色产业链每年的整 体利润预计高达数亿元。与此同时，由于网络的普及和黑客工具软件流行，使得 攻击网络所需要的技术门槛下降，而攻击强度却上升了。如图1 1 所示的是1 9 9 0 年到2 0 0 0 年之间出现的网络攻击方式的强度和所需的专业知识之间关系。图中 横坐标代表的时间，纵坐标代表的是攻击强度或是对入侵者专业技术的要求，实 线代表的是不同攻击方式及它出现的时间和攻击强度，而虚线代表的是对入侵者 所需专业技术的掌握程度。可见随着黑客产业的发展和各种网络入侵工具的出 现，入侵者在只掌握少量的专业知识的前提下，就可以攻破被入侵者的防线而成 功进入对方系统盗取资料，给被入侵者带来损失，且入侵者攻击的强度也越来越 强，这客观上增加了网络的风险。 除此之外，网络安全问题也给社会造成了巨大的损失，据市场机构i n f o n e t i c s 一份市场调查报告显示，黑客攻击平均每年为美国大型机构带来的经济损失高达 3 0 0 0 万美元，折合为其总营业额的2 。2 ( 李远2 0 0 7 ) 。另据普华永道受英国贸 易与工业部委托而进行的一项调查的结果显示，英国2 0 0 6 年由于网络安全问题 而导致的损失达到了1 8 0 亿美元，这一水平与两年前相比增长了5 0 左右。而最 近中国一个网络犯罪案例更使人们对安全问题有了进一步的重视，某高科技公司 的工程师利用互联网多次侵入某移动通信公司充值中心的数据库，窃取充值卡密 码并向他人销售，造成该公司3 7 0 多万元人民币的损失。据预测，安全问题所造 2 第一章绪论中围科学技术大学硕士学位论文 成的损失还将继续增长( 袁超伟2 0 0 7 ) 。根据美国f b i ( 美国联邦调查局) 的调 查，7 5 的公司报告财政损失是由于计算机系统的安全问题造成的。而仅有5 9 的损失可以定量估算。在中国，针对银行、证券等金融领域的计算机系统的安全 问题所造成的经济损失金额已高达数亿元，针对其他行业的网络安全威胁也时有 发生。由此可见，研究网络安全问题具有很大的理论和实际意义。 j l 。j o 。l 。1 。l 。w l 。j 二j 。i 。_ _ l 螂i 始ll 钟；i 钟l神4l 钾st 慊蝴l 钾嚣常2 略 图1 1 攻击行为的发展和对入侵者的技术要求( 卢涛2 0 0 7 ) 1 2 传统的信息安全方法及其存在的问题 传统的保证网络信息安全采取的措施主要包括身份鉴别技术和访问控制技 术( 闰巧2 0 0 3 ) 。鉴别是信息安全的基本机制，网络中通信的双方之间应互相认 证对方的身份，以保证赋予正确的操作权力和数据的存取控制。网络也必须认证 用户的身份，以保证合法的用户进行正确的操作并进行正确的审计。典型产品如 传统的基于用户名、密码的安全策略，以及指纹识别技术。鉴别技术是保证网络 安全的必要手段。不过密码可能被猜到或者通过社会工程的方法得到，指纹虽然 难以伪造，但指纹识别系统却易受破坏。因此仅依靠识别与认证技术并不能保证 系统的安全运行。访问控制机制可以限制对关键资源的访问，防止非法用户进入 系统及合法用户对系统资源的非法使用。其目的是防止对信息资源的非授权访问 和非授权使用信息资源。它允许用户对其常用的信息库进行一定权限的访问，限 制他随意删除、修改或拷贝信息文件。典型的产品如网络防火墙技术，网络防火 墙技术是一种用来加强网络之间访问控制，防止外部网络用户以非法手段通过外 部网络进入内部网络，访问内部网络资源，保护内部网络操作环境的特殊网络互 联设备。它对两个或多个网络之间传输的数据包按照一定的安全策略来实施检 查，以决定网络之间的通信是否被允许，并监视网络运行状态。防火墙型安全保 障技术假设被保护网络具有明确定义的边界和服务，并且网络安全的威胁仅来自 第。章绪论中圈科学技术大学硕士学位论文 外部网络。目前的防火墙产品主要有堡垒主机、包过滤路由器、应用层网关( 代 理服务器) 以及电路层网关、屏蔽主机防火墙、双宿主机等类型。虽然防火墙是 目前保护网络免遭黑客袭击的有效手段，但也有明显不足，防火墙无法防范通过 防火墙以外的其它途径的攻击，不能防止来自内部变节者和不经心的用户们带来 的威胁，内部人员通过拨号上网连入互联网，就可以轻易的绕过坚固的防火墙。 防火墙也4 i 能完全防止传送己感染病毒的软件或文件，并且无法防范数据驱动型 的攻击。 传统的安全保证技术可以进行有效的被动防御，它们的存在大大降低了系统 被滥用或入侵的风险，但并不能对系统是否被入侵提供任何保证。入侵检测技术 基于对系统日志或网络流量的检测，能够准确评价目前状态，从而可以及时发现 问题并及时解决。 网络安全问题是一个系统工程，它由许多部分组成，不同部分各司其职、相 互协同、分工合作从而达到保证网络安全的最终目的。这也就意味着为了确保网 络安全，必须建立一完整的安全防护体系，进行多层次、多手段的检测和防护。 防火墙和入侵检测是该安全体系中的重要一环。防火墙是按照指定规则让符合条 件的网络流量和连接通过的系统，通俗地说，比如你有一间房，除了自家人外， 不希望其它人窥探内部结构和摆设，那扇防盗门就是起防火墙作用了。入侵检测 系统能够及时识别网络中发生的入侵行为并实时报警，它监视计算机系统或网络 中发生的事件，并对它们进行分析，以寻找危及网络安全的入侵行为。入侵检测 系统就是自动执行这种监视和分析过程的安全产品。入侵检测系统的主要工作在 于监听网络流量，它的优势在于不会影响网络的性能。我们可以把入侵检测系统 比作一幢大楼里安装的监视器系统，它可以对整个大楼进行监视，以期及时发现 入侵行为，并保留证据作为进一步追究法律责任的依据。 依据美国国际互联网安全系统公司提出了自适应网络安全模型( p o l i c y p r o t e c t i o nd e t e c t i o nr e s p o n s e 亦称为p 2 d r ) ，入侵检测在整个网络安全体系中起 着重要的作用( 闫巧2 0 0 3 ) 。p 2 d r 是指一个完整的信息安全架构应该以安全策 略为中心通过防护、响应、检测三部分动态结合，达到保障信息安全的目的。p 2 d r 已成为目前国际上较实际并可指导信息系统安全建设和安全运营的安全模型框 架，图1 2 所示的就是该模型的架构： 4 第一帝绪论 中潲科学技术大学硕士学位论文 图1 2p 2 d r 模型 在这个模型中，检测是静态防护转化为动态防护的关键。通过检测可以深入 的了解当前的安全态势，明确系统的弱点在哪里，进而可以有一个保护系统安全 的指导方向，明确系统防护的重点，并异系统还要依据检测的结果来确定采取什 么样的响应措施。此外，检溅还是建立安全策略的重要依据。安全策略的建立不 应该是静态不变的，两必须能够根据系统当前状态动态调整以适应需要，两系统 当前安全状态的信息主要来自检测系统。由此可见检测是整个安全体系的基石， 安全体系的每步具体工作都依赖于检测系统的检测结果。因此有必要对检测系统 作详缎具体麓研究。 王3 入侵检测系统及其分类 l 。3 。羔入侵检测系统研究动态 入侵检测的概念最早见于1 9 8 0 年4 月，j 锄e sp ：a n d e r s o n 为美国空军所做 的一份题为e o m p u t e rs e c u 疽够髓黼a tm o n i t 砸n ga n ds u n ，e i l l 勰c c 的技术报告。 该报告中提出了一种针对计算机系统风险和威胁的分类方法，并将威胁分为外部 渗透、内部渗透和不法行为三种，还提出了利用审计跟踪数据监视入侵活动的思 想。目前对入侵检测较普遍地定义为：对信息系统关键节点的信息进行收集、分 析、检测器中是否有违反安全策略的事件发生，并根据预定义的规则采取相应的 措施。 1 9 8 4 年到1 9 8 6 年间，乔治敦大学的d o r o t h yd e n n i n g 和s 鼬c s l 的p e t e r n e u m a n n 研究出了一个实时入侵检测系统模型，取名为i d s 。该模型由六个部分 组成：主 本、对象、窜计记录、轮廓特征、异誊记录、活动规则。它独立于特定 的系统平台、应用环境、系统弱点以及入侵类型，为构建入侵检测系统提供了一 个通用的框架。 1 9 8 8 年，s 砒c s l 的乳r s e s a 乙强l 等人改进了 e 艄i n g 的入侵检测模型，并 开发出了一个l d e s 。该系统包括一个异常检测器和一个专家系统，分别用于统 计异常模型的建立和基于规则的特征分析检测。i d e s 模型基于这样的假设：有 可能建立一个框架来描述发生在主体( 通常是用户) 和客体( 通常是文件、程序 或设备) 之阕的芷常的交互作焉( 卢涛2 0 0 7 ) 。这个框架自个使用规j l l 库 规 则库描述了已知的违例行为) 的专家系统支持。这能防止使用者逐渐训练( 误导) 系统把非法的行为当成正常的来接受。 5 第亭绪论 中国科学技术大学硕士学位论文 图1 3i d e s 系统构成框图 8 0 年代末期的入侵检测系统大部分采用将统计学理论和专家系统结合在一 起的方法( 卢涛2 0 0 7 ) 。如h a y s t a c k 和n a d i r 中，分析引擎把几个商业数据库 管理系统( 比如o r a c l e ，s y b a s e ) 聚合在一起，发挥他们各自的优势。m i d a s 由美国国家安全局下属的计算机安全中心开发，用来监控他的m u l t i c s 系统 d o c km a s t e r 。他使用混合的专家系统和统计学分析方法，以及来自m u n i c s 应答系统( a n s w e r i n gs y s t e m ) 的已检查的审计日志信息，应答系统控制用户的 注册( 注册信息由其他数据源扩充) 。m i d a s 是最早基于连接互联网的系统开发 的产品之一。w i s d o m 和s e n s e ，分别由l o sa l 锄o s 和o a k m d g e 开发，是另一个 专家系统和统计学分析方法的混合。他使用非参量的统计技术从历史审计数据中 产生规则。就像很多其他机器学习方法一样，他也遇到了很多问题，包括获取训 练数据的困难、高的误报率和规则库对存储能力的过高需求。 直到那时，i d s 系统仍旧依靠受保护主机收集的审计数据，直到1 9 9 0 年加 州大学戴维斯分校开发的网络系统监控器刈s m ( t l l en e 铆o r ks y s t e m m o n i t o r ) 的出现改变了这个状况。n s m 在入侵检测技术发展史上的分水岭，他 监控以太网段上的网络流洒路缝4 0 1 7 5 4 量，并把他作为分析的主要数据源，因 而可以在不将审计数据转换成统一格式的情况下监控异种主机。目前大部分商业 i d s 系统都和n s m 一样，直接使用从网络探测的数据作为他们主要，甚至是惟 一的数据源。n s m 的出现也促使入侵检测系统中的两大阵营正式形成：基于网 络的入侵检测系统和基于主机的入侵检测系统。 1 9 8 8 年的莫里斯蠕虫事件发生后，在美国空军、国家安全局和能源部共同 资助下，空军密码支持中心、劳伦斯利佛摩尔国家实验室、加州大学戴维斯分校、 h a y s t a c k 实验室，开展对分布式入侵检测系统的研究，该方法将基于主机和基于 网络的检测方法集成到一起，其总体结构如下图所示： i 主力r 副咩发生暑lil a n 砷咋臼筻蝎i 。o 。1 。o 。一o o o o i 。- _ _ _ _ _ _ - _ _ _ _ _ _ - _ _ _ _ _ _ _ _ _ _ _ _ _ - - _ _ 一 l 蛊琦u 蓝税墨lll a n 懿锈置l r 。1 。_ _ 。- 。_ 。_ - 。_ _ 。一r 。_ - - _ _ - _ _ - - - 。_ _ 。_ _ i - _ - _ o o 。o o 。o 。_ - _ - - - _ 。- - _ _ - _ _ _ - _ _ i _ 一_ _ _ _ - _ _ _ - _ _ l l _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ - - _ _ _ _ - _ 一 6 第一亭绪论 中圈科学技术大学硕士学位论文 图1 4d f d s 结构框图( 卢涛2 0 0 7 ) d i d s 是分布式入侵检测系统历史上的一个里程碑式的产品，它的检测模型 采用了分层结构，包括数据、事件、主体、上下文、威胁、安全状态等6 层。 目前入侵检测系统的研发呈现出百家争鸣的繁荣局面，并在智能化和分布 式两个方向取得了长足的进展。目前，s 刚c s l 、普渡大学、加州大学戴维斯分 校、洛斯阿拉莫斯国家实验室、哥伦比亚大学、新墨西哥大学等机构在这些方面 的研究代表了当前的最高水平。 1 3 2 入侵检测系统的分类 入侵检测系统按所使用的技术来分，主要可分为两大类：误用检测( m i s u s e d e t e c t i o n ) 和异常检测( a n o m a l y ) 。误用检测是指在待检测数据中寻找已知入侵 模式或特征的检测方法。这种检测方法的基本假设是：对所有的入侵行为都能找 到与正常行为不同的、本身所独有的模式或特征。因此，误用检测的关键问题是 如何发现并表达入侵独有的模式或特征，把入侵与正常行为区分开来。异常检测 ( a 1 1 0 m a l vd e t e c t i o n ) 是指在检测数据中寻找显著偏离历史统计描述的检测方法。 这种检测方法的基本假设是：所有入侵行为都是小概率事件，并在统计意义上都 与正常行为有显著的差异，而胃用户行为在短时期内总是表现出一致性。所以， 异常检测的关键就是描述系统或网络行为和状态的属性中选择一组统计度量，并 根据历史数据建立其正常化的变化范围。 入侵检测系统按根据其监测的对象是主机还是网络分为基于主机的入侵检 测系统和基于网络的入侵检测系统。基于主机的入侵检测系统( h o s t - b a s e d ) 和 基于网络的入侵检测系统( n e 铆o r k - b a s e d ) 两种。早期的入侵检测系统多为采 用基于主机的系统结构，其检测的目标主要是主机系统和系统本地用户。检测原 理是根据主机的审计数据和系统的日志发现可疑事件，检测系统运行在被检测的 单个主机上。这种类型的系统依赖于审计数据和系统日志的准确性和完整性以及 安全事件的定义。若入侵者设法逃避审计或进行协同入侵，则基于主机的入侵检 测系统就暴露出其弱点。基于网络的入侵检测系统根据网络数据包流量、协议内 容分析、简单网络管理协议信息等数据检测入侵。此外还有分布式入侵检测系统， 它检测的数据也是来源于网络中的数据包，不同的是，它采用分布式检测、集中 管理的方法。即在每个网段安装一个黑匣子，该黑匣子相当于基于网络的入侵 检测系统，只是没有用户操作界面。黑匣子用来监测其所在网段上的数据流，它 根据集中安全管理中心制定的安全策略、响应规则等来分析检测网络数据，同 时向集中安全管理中心发回安全事件信息。集中安全管理中心是整个分布式入侵 检测系统面向用户的界面。它的特点是对数据保护的范围比较大，但对网络流量 7 第一章绪沦 中圈科学技术大学硕士学位论文 有一定的影响。 1 4 入侵检测系统面临的问题 采用误用检测技术的入侵检测系统试图通过建立已知的入侵模式库来检测 入侵行为，然而无论什么时候，误用检测系统所基于的攻击特征库都只是所有入 侵行为的一个子集，并日误用检测系统对于特征库以外的攻击模式无能为力，这 自然会导致漏检的发生。不仅如此，采用误用检测技术的入侵检测系统不具有主 动防御的能力，误用检测采用了一种预设置式、特征分析的工作方式，所以检测 规则的更新总是落后于攻击手段的更新，因而误用检测只能检测已知的入侵，对 于新的入侵模式却起不到检测的作用。 采用异常检测技术的入侵检测系统中，如神经网络、预测模式生成，b a v e s i a n 分类等方法本质上都是统计学方法或者其变种。这类方法最大的特点就是入侵者 能够欺骗检测系统，入侵检测系统本身容易受到攻击。且统计方法中的阈值难以 有效确定，太小的值会产生大量的误报，太大的值又会产生大量的漏报。 此外无论是误用检测系统还是异常检测系统都存在自适应性能不高的问题。 入侵检测系统所面临的攻击时随时间而改变的，网络状态本身是不断变化，一些 先前被认为是攻击的模式现在可能不再是攻击，相反一些先前被认为不是攻击的 模式现在可能成为攻击。此外，当新的漏洞发现时针对新的漏洞的攻击会很多， 而当针对这种漏洞的补丁发布以后，针对这种漏洞的攻击就渐渐的没人使用了。 同时，入侵检测系统所保护的系统状态也是动态变化的，如增加新的用户、新的 服务等操作都会引起系统状态的变化。系统和网络状态的不断变化，都对传统的 静态入侵检测系统构成严重的挑战。 我们知道生物免疫系统可以保护生物机体免受外部细菌、病毒等的侵袭，能 够识别外来细胞或分子，然后从机体内消除这些外部有害物质，同时观察身体内 异常细胞的出现，并清除已经变异的细胞。从功能上看生物免疫系统同网络入侵 检测有着异曲同工之妙，此外生物免疫系统还具有分布性、多样性、自适应和免 疫记忆等良好特性。基于生物免疫机理的入侵检测系统也逐渐成为入侵检测系统 的研究热点。 首先生物免疫系统可以识别新的病原体，这主要是因为免疫系统的淋巴细胞 ( 抗体) 具有较高的多样性，淋巴细胞受体由基因库中基因随机组合而成，并且 基因库本身也是随机生成的，理论上讲淋巴细胞受体可以覆盖整个论阈空间。不 仅如此，免疫系统中淋巴细胞分布于机体内的各个部位并且定期更新，新生的细 胞携带新的抗体出现在免疫系统中。这样虽然在某个时刻免疫系统只有较少的抗 体，但从宏观上看，在一段时间内，免疫系统具有数目巨大的抗体，均匀分布在 第一章绪论 中阉科学技术大学硕十学能论文 整个抗原空间中，进而覆盖整个抗原空问，完成对所有病原体的识别( 李涛 2 0 0 4 ) 。 其次生物免疫系统具有自体耐受性。所谓自体耐受是指免疫活性细胞接触抗 原物质时所表现的一种特异性的无应答状态( as t a t eo fs p e c i f l c u i l r e s p o n s i v e n e s s ) 。免疫系统中随机产生的受体由于体细胞高频变异，能与自体 结合，引起自体免疫，自体免疫将导致免疫系统攻击自己。而实际上，j 下常的免 疫系统是不攻击叁己的，因此针对鲁身抗原呈现的免疫耐受称作叁体耐受 李涛 2 0 0 4 ) 。对应与入侵检测系统就意味着检测系统有很小的误检率。 再次生物免疫系统具有分布性，免疫系统有许多局部相互作用的基本单元组 成来提供全局的保护，没有集中控制。免疫系统具有分靠性的一个原因是它所应 答的抗原是散靠在整个免疫体内，效应缨腿检测抗原的过程就是分东式检测。免 疫系统的分布性特征首先取决于抗原的分布性特征，即抗原是分散在机体内部 ，的；其次免疫系统的分布式特征有利于加强系统的健壮性，从而使得免疫系统不 会因为局部组织受损丽使整体功能受到很大影镌。同时分靠牲特征还可以减少出 局部工作单元失效所引起的对系统整体的不利影响( 李涛2 0 0 4 ) 。 最后免疫系统还具有学习和认知能力。系统能够“学习”抗原的结构，将来 同一抗原或类似抗原再次如现时抗体会对该抗原产生强烈的反应。免疫系统对新 事物具有蕊色的学习麓力，能够利用复杂模式选配和囊组织网络结构支持对所遇 到的事物的记忆( 李涛2 0 0 4 ) 。如果入侵检测系统具有学习和认知能力就意味着 入侵检测系统能够对已知的入侵行为作出迅速反应，从而尽量减小入侵行为对系 统的破坏，与此同时，还可以学习并记忆识别部分未知的入侵模式特征。 基于免疫机理的入侵检测系统采用误用检测技术，但同传统购误用检测技术 不同，在基于免疫机理的误用检测系统中，因为抗体具有很好的多样性，因而对 新的以前未知的入侵模式也可以做出反应即检测出未知的入侵，这是传统的误用 检测技术所无法完成的。并且因为免疫系统中济巴细胞受体的定期更新，使得基 于免疫机理的入侵检测系统具有出色的自适应性，入侵模式库可以随惹网络状态 的变化而不断变化，因而很好的描摹了网络的状态，所以发生误检的可能性也就 相应减少。 1 5 本文的主要研究成果和内容安排 王5 1 本文的主要研究成果 本文的主要研究内容是基于免疫机理的入侵检测系统，在前人工作的基础之 9 第一章绪论 中国科学技术人学硕十学1 1 7 ：论文 上主要从检测器生成和入侵检测系统模型两个角度出发。 检测器生成是基于免疫机理的入侵检测研究的首要问题，只有先有了检测器 才谈得上检测。本文认为传统的检测器生成模型有其优点但同时也存在不足。第 三章在分析了前人工作的基础上提出了基于免疫机理和模糊模式识别的检测器 生成模型。该模型的一大特点是将模糊模式识别引入了检测器生成过程。 入侵检测系统存在检测模型的问题，本文第四章在充分研究前人工作和深刻 理解生物免疫系统工作机理的基础上，提出了一种新的入侵检测模型。 1 5 2 后续章节安排 第二章：生物免疫系统和入侵检测系统的比较 本章首先介绍了生物免疫系统的工作机理，并分析了在入侵检测系统和人工 免疫系统的相似性。 第三章：基于免疫机理的检测器生成模型研究 本章首先分析了检测器生成问题研究的现状，并进而提了基于模糊模式识别 的检测器尘成算法。 第四章：基于免疫机理的入侵检测模型研究 本章首先研究了入侵检测系统模型的研究动态，并分析了前人工作存在的不 足，并进一步提出了一种新的基于免疫机理和分层检测策略的入侵检测系统。 第五章：总结与展望 总而言之，本文详细分析了网络安全面临的严峻形势，指出了目自i f 的信息 安全技术存在的问题和不足，并提出了研究基于免疫机理的入侵检测系统的必要 性和重要意义。文中首先研究了基于免疫机理的入侵检测系统的检测器生成算法 问题，提出了一种新的检测器生成模型，并设计了相关算法。其次对基于免疫机 理的入侵检测系统的模型问题进行了研究，提出了基于免疫机理的分层入侵检测 系统模型。 1 0 第二章生掳免疫系统秘入侵拎测系缝载芝较巾黧科学技术大学硕士学位论文 第二章生物免疫系统帮入侵检测系统的比较 2 。圭孳 言 生物免疫系统是生物抵御外界瘸鞭体入侵，保护自身免受外拜侵害的重要系 统。免疫系统地主要工作是区分矗自我”和娃毒摹我”，其中徉自我”是指机体邕 赛的茏害纲施，“靠我”是指藏鞭俸、毒洼宥瓤魏器蠢源簏突变缨麓或衰老缨照。 生物免疫系统麴兔疫功能主要是通过大量麴淋巴细胞间的交互侔用来完成 的。在骨髓和胸腺部位存在着淋巴细胞的嫉选基因库，淋飘缅胞就是邋过从这些 基因瘁中随规选择一些基因片断并避 亍蕴含来产生鹩。蠹予过程鲢隧税整，产生 的淋鼍缎胞毒可裁将本体缨魏误毫是势异体缨照。麓避免免疫缨胞瓣塞蹇产生免疫 应答，正常组织内免疫细胞在它们分化、发育和成熟的过