（电路与系统专业论文）基于人工免疫理论的入侵检测系统的设计与实现.pdf

摘要 摘要 近年来，基于人工免疫原理的网络入侵检测技术已逐渐成为计算机安全领域的研究 热点。由于生物免疫系统具有分布性、自组织、轻量性和多层次性等特点，这些特点正 是传统的入侵检测系统所不具备的，如果能将生物免疫系统的原理和工作方式恰当地运 用到网络入侵检测技术中，将能够克服传统入侵检测系统的高误报率、高漏报率、灵活 性和移植性较差以及不能检测未知攻击等缺点。本文通过深入研究生物免疫原理中蕴含 的各种信息处理机制，在前人研究成果的基础上，结合传统否定选择算法和危险理论提 出一种基于人工免疫理论的新型主机入侵检测模型。 本文把检测器动态更新机制引入v d e t e c t o r 否定选择算法，并且把改进的v d e t e c t o r 否定选择算法，即d v a ( d y n a m i cv - d e t e c t o ra l g o r i t h m ) 应用于入侵检测。对于高维数 据，尤其是当训练样本不完备时，d v a 比原始v - d e t e c t o r 否定选择算法具有更好的适应 性和鲁棒性。通常d v a 比原始算法的具有更高的检测率，更低的误检率和更好的稳定 性。通过针对k d d c u p l 9 9 9 数据的实验仿真结果，可以看到d v a 的检测性能优于原始 的v d e t e c t o r 否定选择算法。 为了克服传统基于人工免疫理论入侵检测系统误检率过高的问题，本文将把危险理 论的思想与传统否定选择算法相结合，构建一种新的主机入侵检测模型。该模型使用信 号数据的检测结果先确定一个危险区域，只有危险区域内的异常抗原数据才会引起报 警。其中，判断行为异常的抗原数据采用进程的系统调用序列，确定危险区域的信号数 据采用进程运行是所占用的系统资源。为了得到系统测试所需的数据，我们针对r p c 守护进程，采集了成对的信号数据和抗原数据。 最后，我将提出的理论模型实现为一个入侵检测系统，系统将采用客户端月艮务端 结构。由于s c t p 协议具有系统所需的多宿主和多流的特性，本系统客户端与服务端通 信采用s c t p 协议。客户端主要负责检测数据的整理和发送，服务端主要负责数据的接 受和检测。服务端包括：客户端连接请求响应模块，数据接收模块，信号数据检测模块 和抗原数据检测模块。 本文的工作得到了国家自然科学基金( n o 6 0 7 0 3 1 0 7 ) 和国家8 6 3 高技术研究发展 计划( n o 2 0 0 6 a a 0 1 2 1 0 7 ) 的资助。 关键词：主机入侵检测人工免疫否定选择危险理论 a b s t r a c ti i i a b s t r a c t i n t r u s i o n d e t e c t i o nm e t h o d sb a s e do na r t i f i c i a li m m u n ep r i n c i p l e sh a v eb e c o m em o r ea n d m o r ep o p u l a ri nt h ef i e l do fn e t w o r ks e c u r i t yr e s e a r c h w i t ht h ef e a t u r e so fd i s t r i b u t e d ， s e l f - o r g a n i z e d ，l i g h t w e i g h t e da n dm u l t i l a y e r e dp r o t e c t i o nw h i c ha r en o ts u p p o r t e db y t r a d i t i o n a ln e t w o r ki n t r u s i o nd e t e c t i o ns y s t e m s ，i n t e l l i g e n ti n t r u s i o n d e t e c t i o nm e t h o d s i n s p i r e db yb i o l o g i c a li m m u n ep r i n c i p l e sh a v et h ea b i l i t yo fd e t e c t i n gi n t r u s i o nb e h a v i o r s m o r ee f f e c t i v e l y an o v e lh o s ti n t r u s i o nd e t e c t i o ns y s t e mm o d e l ，w h i c hc o m b i n e sn s aa n d d a n g e rt h e o r y , i sp r o p o s e di nt h i sd i s s e r t a t i o nb a s e do nt h er e s e a r c ho ft h ei n f o r m a t i o n p r o c e s s i n gm e c h a n i s m sw i t h i nt h eb i o l o g i c a li m m u n es y s t e m sa n dt h ew o r ko ff o r m e r r e s e a r c h e r s f i r s to ft h ed i s s e r t a t i o n ，w ei n t r o d u c ead y n a m i cu p d a t es t r a t e g yo fv - d e t e c t o r si n t ot h e v - d e t e c t o rn e g a t i v es e l e c t i o na l g o r i t h ma n da p p l yt h ei m p r o v e dv - d e t e c t o rn e g a t i v es e l e c t i o n a l g o r i t h m ，c a l l e dd y n a m i cv - d e t e c t o ra l g o r i t h m ( d v a ) ，t on e t w o r ki n t r u s i o nd e t e c t i o n n l e d y n a m i cu p d a t es t r a t e g yo fv - d e t e c t o r sm a k e st h ea l g o r i t h mm o r ea d a p t i v ea n dr o b u s tf o r l l i g hd i m e n s i o nd a t ae s p e c i a l l yw h e nt h et r a i n i n gd a t ai si n a d e q u a t et oc o v e ra l lt h ei n t r u s i o n d a t a t h e r e f o r e ，d v ac a ng e th i g h e rd e t e c t i o nr a t ea n dl o w e rf a l s ea l a r mr a t e ，a n dt h er e s u l t s a r em o r es t a b l et h a nt h eo r i g i n a lo n e s i m u l a t i o nr e s u l t ss h o wt h a td v ao u t p e r f o r m st h e o r i g i n a lv - d e t e c t o ra l g o r i t h mi nd e a l i n g 、析t l li n t r u s i o nd e t e c t i o np r o b l e m s s e c o n do ft h ed i s s e r t a t i o n , i no r d e rt oo v e r c o m eh i g hf a l s ed e t e c t i o nr a t eo nt h e t r a d i t i o n a li n t r u s i o nd e t e c t i o n , w ew i l lm a k ed a n g e rt h e o r ya n dt h et r a d i t i o n a ln e g a t i v e s e l e c t i o na l g o r i t h mc o m b i n e dt ob u i l dan e wh o s ti n t r u s i o nd e t e c t i o nm o d e l 1 1 1 em o d e lt e s t s s i g n a ld a t at oi d e n t i f yah a z a r d o u sa r e a ，o n l yt h ea b n o r m a la n t i g e n sw i t h i nt h eh a z a r d o u sa r e a w o u l da r o u s ea l a r m h e r e ，w ed e f i n es y s t e mr e s o u r c e so c c u p i e db yt h ew a t c h e dp r o c e s sa s s i g n a ld a t a , a n dd e f i n et h es y s t e mc a l ls e q u e n c eb r o u g h tb yt h ew a t c h e dp r o c e s s i no r d e rt o o b t a i nd a t ar e q u i r e df o ro u rs y s t e mt e s t i n g ，w ef o c u s e do nr p c d a e m o n ，c o l l e c t i n gap a i ro f s i g n a ld a t aa n da n t i g e n i cd a t a f i n a l l y , w ew i l lp r e s e n tt h et h e o r e t i c a lm o d e li m p l e m e n t e da sa ni n t r u s i o nd e t e c t i o n s y s t e m ，t h es y s t e mw i l lu s ec l i e n t s e r v e ra r c h i t e c t u r e f o rm u l t i - h o s ta n dm u l t i s t r e a m f e a t u r e st h a ta r en e e d e db yt h es y s t e m s ，t h es y s t e mc o m m u n i c a t e sb e t w e e nc l i e n ta n ds e r v e r b ys c t pp r o t o c 0 1 t h ec l i e n ti sm a i n l yr e s p o n s i b l ef o rt h ec o l l a t i o na n ds e n d i n gd a t a a n dt h e d a t as e r v e ri sm a i n l yr e s p o n s i b l ef o ra c c e p t i n ga n dd e t e c t i n gd a t a s e r v e ri n c l u d e s ：t h e r e s p o n s em o d u l ef o rc l i e n tc o n n e c t i o nr e q u e s t i n g ，t h ed a t ar e c e i v e rm o d u l e ，t h es i g n a ld a t a d e t e c t i o nm o d u l ea n da n t i g e nd a t ad e t e c t i o nm o d u l e i v 基于人工免疫理论的入侵检测系统的设计与实现 t h i sw o r kw a ss u p p o r t e db yt h en a t i o n a ln a t u r a ls c i e n c ef o u n d a t i o no fc h i n a ( g r a n tn o 6 0 7 0 310 7 ) a n dt h en a t i o n a lh i g ht e c h n o l o g yr e s e a r c ha n dd e v e l o p m e n tp r o g r a m ( 8 6 3 p r o g r a m ) o fc h i n a ( g r a n tn o 2 0 0 6 a a 0 1z10 7 ) k e y w o r d s ：h o s ti n t r u s i o nd e t e c t i o n a r t i f i c i a li m m u n i t yn s a d a n g e rt h e o r y 创新性声明 本人声明所呈交的论文是我个人在导师指导下进行的研究工作及取得的研究 成果。尽我所知，除了文中特别加以标注和致谢中所罗列的内容以外，论文中不 包含其他人已经发表或撰写过的研究成果；也不包含为获得西安电子科技大学或 其他教育机构的学位或证书而使用过的材料。与我一同工作的同志对本研究所做 的任何贡献均已在论文中作了明确地说明并表示了谢意。 申请学位论文与资料若有不实之处，本人承担一切相关责任。 本人签名： 彩屎 关于论文使用授权的说明 本人完全了解西安电子科技大学有关保留和使用学位论文的规定，即：研究 生在校攻读学位期间论文工作的知识产权单位属西安电子科技大学。本人保证毕 业离校后，发表论文或使用论文工作成果时署名单位仍然为西安电子科技大学。 学校有权保留送交论文的复印件，允许查阅和借阅论文；学校可以公布论文的全 部或部分内容，可以允许采用影印、缩印或其他复制手段保存论文。( 保密的论 文在解密后遵守此规定) 本人授权西安电子科技大学图书馆保存学位论文，并同意将论文在互联网上 发布。 本人签名：逃睦 导师签名： 第一章绪论 第一章绪论帚一早三百v 匕 1 1 引言 随着i n t e m e t 的广泛应用和网络间信息流量的急剧增长，各领域在得益于网络的同 时，其数据的安全性也受到的严重的威胁。当今信息安全的内涵也发生了根本的变化。 它不仅从一般性的防卫变成了一种非常普通的防范，而且还从一种专门的领域变成了无 处不在。 国际标准化组织( i s o ) 对计算机系统安全的定义是：为数据处理系统建立和采用的技 术和管理的安全保护，保护计算机硬件、软件和数据不因偶然和恶意的原因遭到破坏、 更改和泄露。由此可以将计算机网络的安全理解为：通过采用各种技术和管理措施，使 网络系统正常运行，从而确保网络数据的可用性、完整性和保密性。所以，建立网络安 全保护措施的目的是确保经过网络传输和交换的数据不会发生增加、修改、丢失和泄露 等【l 】。普遍认为，网络安全的目标包括 2 】：1 ) 机密性( c o n f i d e n t i a l i t y ) ：指保证信息不被 非授权访问；即使非授权用户得到信息也无法知道信息内容，因而不能使用。通常通过 访问控制阻止非授权用户获得机密信息，通过加密变换阻止非授权用户获得信息内容； 2 ) 完整性( i n t e g r i t y ) 指维护信息的一致性，即信息在生成、传输、存储和使用过程中不 应发生人为或非人为的非授权篡改。一般通过访问控制阻止篡改行为，同时通过消息摘 要算法来检验信息是否被篡改；3 ) 抗否认性( n o n r e p u d i a t i o n ) ：指能保障用户无法在事后 否认曾经对信息进行的生成、签发、接受等行为，是针对通信各方信息真实同一性的安 全要求。一般通过数字签名来提供抗否认服务；4 ) 可用性( a v a i l a b i l i t y ) ：指保障信息资源 随时可提供服务的特性，即授权用户根据需要可以随时访问所需信息。可用性是信息资 源服务功能和性能可靠性的度量，是对网络总体可靠性的要求。 美国最著名的研究黑客攻击方法的组织有：c i a c ( 计算机事故咨询功能组) ，c e r t ( 计 算机紧急响应小组) 和c o a s t ( 计算机操作、审计和安全技术组) 。他们跟踪研究最新的 网络攻击手段，对外及时发布信息，并提供安全咨询。此外，国际上每年举行一次 f i r s t ( 安全性事故与响应小组论坛) 会议，探讨黑客攻击方法的最新进展。网络常见的 攻击手段主要有以下四种 2 】： 1 ) 刺探与扫描：刺探是对系统尝试取得服务，如尝试登入系统或使用服务。采用工 具系统大量进行刺探的工作称为扫描。保护自己系统的一种好办法是使用攻击者的工具 对自己的网络测试。扫描器是一种通过收集系统的信息来自动监测远程或本地主机安全 性弱点的程序，通过使用扫描器，可以发现远程服务器的各种t c p 端口的分配及提供 2 基于人工免疫理论的入侵检测系统的设计与实现 的服务和它们的软件版本。这就能让黑客或管理员间接或直接的了解到远程主机存在的 安全问题。 2 ) 监听：因为网络的工作原理( 如以太网本身就是以广播方式传递信息、i p 协议中的 路由器都能取得使用者传送的资料) ，监听工作实现起来是很容易的。目前多数公司内 部，仍以不够安全的方式提供服务，如广泛使用的p o p 3 收信协议，使用者账号、密码、 邮件等资料，全都可以使用监听方式取得。 3 ) 拒绝服务：拒绝服务目的是使系统瘫痪，并可能取得伪装系统的身份。拒绝服务 通常是利用系统提供特定服务时的设计缺陷，消耗掉大量服务能力，也可能造成系统崩 溃。而分布式的拒绝服务，则进一步利用其它遭侵入的系统同时要求大量的服务。拒绝 服务攻击发生时，系统通常并不会遭到破坏，但该服务会丧失有效性。 4 ) 恶意程序：系统发生漏洞时，可能遭到恶意攻击。这类攻击可能会使得系统执行 特定的程序，引发更严重的灾情，如邮件病毒、蠕虫等等。入侵手段的研究分析，系统 脆弱性检测技术，入侵报警技术，信息内容分级标识机制，智能化信息内容分析等研究 成果已经成为众多安全工具软件的组成部分。 目前，常用的安全技术有防火墙、防病毒软件、加密技术、用户认证和入侵检测技 术等。其中，入侵检测技术是一种主动保护自己免受攻击的网络安全技术，它在不影响 网络性能的情况下对网络进行检测，从而提供对内部攻击、外部攻击和误用操作的实时 保护。 1 2 入侵检测技术 1 2 1 入侵检测概述 入侵检测技术是一种使用操作系统提供的审计踪迹数据或网络数据流检测入侵行为 的自动化技术，其目的是检测来自外部入侵者和内部用户对系统的非授权访问、误用和 滥用等行为。从最初的概念提出到模型的建立，入侵检测技术的发展只有短短的二十几 年时间，但其应用的技术已有很多，主要有基于知识工程的，基于数据挖掘的，基于人 工免疫的等等。下面就对入侵检测的主要发展过程进行简要的说日f j 2 1 。 1 9 8 0 年，j a m e sa n d e r s o n 在报告“计算机安全威胁的监察( c o m p u t e rs e c u r i t yn l r e a t m o n i m f i n ga n ds u r v e i l l a n c e ) ”中首次提出了入侵检测( i 曲n j s i o nd e t e c t i o n ) 的概念。报告中 明确指出精简审计的目标在于从安全审计踪迹数据中消除冗余和无关的记录。a n d e r s o n 建议改变计算机审计机制以便为研究跟踪问题的计算机安全人员提供信息，他提出了一 种对计算机系统风险和威胁的分类方法，并将威胁分为外部入侵、内部和外部不法行为 三种，还提出了利用审计跟踪监视入侵活动的思想。因此这个报告被公认是入侵检测技 术研究的开创性文献 2 2 。 1 9 8 4 年到1 9 8 6 年乔治敦大学的d o r o t h yd e n n i n g 和s r i 公司计算机科学实验室的 第一章绪论 3 p e t e rn e u m a n n 研究出了一个实时入侵检测系统模型i d e s ( i n t r u s i o nd e t e c t i o ne x p e r t s y s t e m s 入侵检测专家系统) ，该模型由六个部分组成：主体、对象、审计记录、轮廓特 征、异常记录、活动规则。它独立于特定的系统平台、应用环境、系统弱点以及入侵类 型，为构建入侵检测系统提供了一个通用的框架。 1 9 8 9 年，加州大学戴维斯分校的t o d dh e b e d e i n 写了一篇论文a n e t w o r ks e c u r i t y m o n i t o r ) ) ，该监控器用于捕获t c p i p 分组，第一次直接将网络流作为审计数据的来源， 因而可以在不将审计数据转换成统一格式的情况下监控异种主机，网络入侵检测从此诞 生。从此入侵检测被分为两个基本类型：基于主机的和基于网络的。 1 9 9 1 年n a d i r ( n e t w o r ka n o m a l yd e t e c t i o na n di n t r u s i o nr e p o r t ) 与d i d s ( d i s t r i b u t e i n t r u s i o nd e t e c t i o ns y s t e m ) 提出了收集和合并处理来自多个主机的审计信息来检测针对 一系列主机的协同攻击。 1 9 9 5 年，i d e s 的完善版本n i d e s ( n e x t - - - g e n e r a t i o ni n t r u s i o nd e t e c t i o ns y s t e m ) 实现 了可以检测主机上的入侵。 1 9 9 6 年，s f o r r e s t 将免疫原理运用到分布式入侵检测的领域。此后，在i d s 中还出 现了遗传算法、遗传编程的运用。 1 9 9 8 年哥伦比亚大学计算机系i d s 研究室的w l e e 提出和实现了在c i d f ( c o m m o n i n t r u s i o nd e t e c t i o nf r a m e w o r k ) 上实现多级i d s ，并在1 9 9 9 年探讨了运用数据挖掘技术 对审计数据进行处理p a d 。 2 0 0 1 年k i m 等人基于克隆选择和阴性选择机理研究了网络的入侵检测问题 1 9 】，并 于2 0 0 2 年引入了动态克隆算子 2 0 】。 2 0 0 2 2 0 0 3 年， u a i c k e l i n ， r b e n t l e y , 等人正研究并试图将免疫危险理论应用到入 侵检测系统中，他们对此应用已有了缜密的计划和大概的思路。 现在，针对各种不同的入侵检测系统所存在的缺点，研究者都想办法取长补短，把 各种检测方法的优点尽可能组合，但同时又不能影响系统的性能，达到提高检测率并降 低误检率的目的，如将数据挖掘技术与免疫原理相结合构建新的入侵检测方法，就是一 个新的不错的尝试。 1 2 2 入侵检测技术分类 按检测数据，入侵检测可以分成：主机型和网络型。主机型的入侵检测系统通过分 析主机中的审计数据来检测攻击；网络型入侵检测系统的检测数据来自网络上的原始数 据包，该类型的入侵检测系统一般担负着保护一个网段的任务。主机型的入侵检测系可 以检测本地入侵，越权访问和加密的攻击，并且可以判断入侵行为是否得逞，但是当需 要保护的主机数量巨大时，这种主机行入侵检测系统难以部署管理，并且对于网络中多 重目标的攻击也力不从心。网络型入侵检测系统能够监控网络中大量的主机，而不需要 繁重的配置任务，但是它的缺点是无法检测内部网络的入侵行为，也无法判断入侵行为 是否成功。在本文中，我们所设计的入侵检测系统属于主机型入侵检测系统。 4 基于人工免疫理论的入侵检测系统的设计与实现 按检测技术，入侵检测可以分成：误用检测和异常检测。具体来说，误用检测是对 已知的入侵行为建模，用已经建立的入侵模式库区来检测用户行为。误用检测可以有效 地检测到已知的攻击，产生的误用比较少，但误用检测不能检测到未知的攻击，它需要 不断地更新攻击特征库，系统的适应性比较差。异常检测是对正常行为建模，所有不符 合这个模型的行为就被怀疑为攻击。异常检测首先收集一段时期正常操作活动的历史数 据，建立正常行为轮廓。然后收集实时数据，并使用各种方法来决定所检测到的事件活 动是否偏离了正常行为模式。异常检测在没有详细的特定知识条件下，可以检测出未知 的攻击，但这种检测方式误检率比较高。异常检测的方法主要有阈值检测、统计方法神 经网络和人工免疫等。在本文中，我们所应用的入侵检测技术属于异常检测。 按系统结构，入侵检测可以分成：集中式入侵检测系统和分布式入侵检测系统。集 中式入侵检测系统只在固定数量的主机上进行数据分析。数据分析部件一般不随主机数 量的增加而增加。早期的入侵检测系统都是集中式的。由于该系统存在固定数量的分析 器，因此在数据处理中存在关键节点、处理速度等问题。分布式入侵检测系统中，运行 数据分析部件的场地数量与被监视的主机数量成正比。它是由多个检测实体监控不同的 主机和网络部分，各实体间可以相互协作共同完成检测任务。在本文中，我们所设计的 入侵检测系统属于集中式入侵检测系统。 1 2 3 现有入侵检测技术存在的问题 经过多年发展，入侵检测技术已经有了长足进步，但是目前在对入侵检测系统的研 究、设计和实现中仍然存在诸多问题： 1 ) 检测准确率较低。现有的i d s 入侵模式库中的模式一般是由安全专家通过对现 有入侵行为分析得出。然而，网络环境日趋复杂多变，专家经验往往不具备足够的精确 性和完备性，因此，系统误报率和漏报率偏高是入侵检测系统亟待解决的问题之一。由 于网络体系结构的开放性特征和计算机软件本身固有的特性，使得网络入侵仍然非常普 遍【3 】。 2 ) 适应性不强，建模效率低。目前绝大多数商业入侵检测系统都是基于入侵特征 分析和模式匹配的误用检测系统，而误用检测模型的特征模式主要是对已知的入侵方法 和系统漏洞分析得出的，这种检测方法对于网络系统运行中不断变化的异常行为的识别 能力和未知攻击模式的实时检测能力不强，不具有自适应性。与误用检测方法相反，异 常检测方法从其实现原理上讲具有检测新型攻击的潜力，但异常检测方法的检测性能依 赖于对训练数据集的学习，而实际上，为系统学习收集一个纯净的正常数据集非常的困 难，这是因为在现实网络环境中，很难保证在数据采集阶段没有入侵行为发生【4 】。此外， 系统和用户的行为不是一成不变的，因此很难建立一个准确的、综合的正常行为轮廓。 3 ) 单点失效问题。传统的入侵检测系统大多采用集中式的数据分析引擎，如果该 数据分析引擎失效，会导致整个系统不能正常工作 5 】。 1 2 4 入侵检测技术发展方向 第一章绪论 5 针对目前入侵检测系统存在的问题，当前国内外对入侵检测技术的研究有以下几个 主要发展方向： 1 ) 采用主机和网络相结合、误用检测和异常检测相结合的检测方法。基于主机的 入侵检测系统和基于网络的入侵系统分别对系统审计日志和网络数据包进行监控，将二 者结合可提供对系统的全方位保护；异常检测和误用检测分别具有检测未知攻击以及准 确度较高的优点，将二者结合可有效地降低误报率和漏报率。 2 ) 采用分布式入侵检测的体系结构。分布式入侵检测体系结构的第一层含义是指 针对分布式网络攻击的检测方法；第二层含义是指使用分布式的方法来检测分布式的攻 击，其中的关键技术为检测信息的协同处理与入侵攻击的全局信息的提取。 3 ) 智能化入侵检测。智能化入侵检测即使用智能化的方法与手段来进行入侵检测， 包括神经网络、遗传算法、模糊技术、免疫原理等方法，这些方法常用于正常行为特征 与入侵特征的辨识与泛化。 本文就是将人工免疫学的原理和方法，特别是免疫危险理论和免疫否定选择原理运 用到入侵检测系统的设计和实现中，构造出一种智能的主机入侵检测系统模型。 1 3 人工免疫理论 1 3 1 生物免疫系统 免疫是机体识别和排斥抗原性异物的一种生理功能。现代免疫学认为，脊椎动物体 内存在一个负责免疫功能的完整解剖系统，即免疫系统。生物免疫系统的主要功能是识 别体内异物以及消除或抑制外来入侵者。生物免疫系统有着自身的运行机制，并可与其 他系统相互配合、相互制约，共同维持机体在生命过程中总的生理平衡。能够刺激免疫 系统进行特定响应的物质称为抗原。通常，免疫系统应只对有害的外部抗原做出响应， 因此，它应当具有识别自体( 细胞、蛋白质等) 和对机体有害的非自体( 有害的抗原等) 的 能力。在入侵检测方法和技术研究中，人们发现生物免疫系统与入侵检测系统具有相似 性：免疫系统捍卫着人体不受各种病原体的侵害，正如入侵检测系统保护计算机系统免受 攻击的摧毁一样，两者都是使保护对象在不断变化的环境中维持系统的稳定性 1 8 1 。因 此人们开始借鉴生物免疫原理开发入侵检测技术。 1 3 2 现有的否定选择算法 目前大多数基于免疫原理的入侵检测系统的研究使用了免疫学中t 细胞成熟过程中 的否定选择原理。否定选择能够删除那些能够识别自体细胞的不成熟抗体，这使得人体 免疫系统能够在识别非自体抗原的同时不会错误地攻击自身细胞。f o r r e s t 等人首先将否 定选择算法运用到计算机安全问题上 6 】。否定选择算法包括3 个阶段：系统的正常行为 模式被定义为自体；一些随机生成的模式被用来与所有自体模式进行匹配，如果随机模 式与任意一个自体模式匹配成功，则删除该随机模式，否则该模式变成成熟检测器，用 6 基于人工免疫理论的入侵检测系统的设计与实现 于第3 阶段的检测；在检测阶段中，如果待检测的模式能够被任意一个检测器匹配，则 认为该模式异常。 梭铡器训练过程梭翱过程 图1 1 原始否定选择算法的训练和检测流程 在文献 6 d f l ，f o r r e s t 等人将计算机病毒检测过程视为一个自体非自体识别的问题。 他们将监视目标( 包括合法的用户行为、合法的应用程序执行行为、未损坏的数据等) 视 为自体，将其他行为和数据视为非自体，并使用否定选择算法将二者区分开。在实验中， 随机生成一些二进制串作为候选检测器，然后使用否定选择算法选出那些不能够识别自 体数据的二进制串作为成熟检测器。d h a e s e l e e r 等人总结了相对于其他入侵检测方法而 言，否定选择算法具备的特性【7 】。这些特性包括：不需要预先得到关于入侵行为的信 息，这使得否定选择算法可以检测未知攻击；否定选择算法允许用户手工调节生成的 检测器的个数，从而控制检测率的大小；检测过程从根本上来讲是分布式的，因为每 个检测器都可以不用与其他检测器通信而独立检测出入侵；局部式的检测：每个检测 器都能够检测一个局部区域内的数据：不同区域的检测器是独立的，当一个区域的检 测器信息泄露后，不会影响其他区域的检测器；检测器既能够保护自体数据，又能够 保护检测器自身。 g o n z a l e z 等人于2 0 0 3 年提出了实值否定选择( r e a lv a l u e dn e g a t i v es e l e c t i o n ，r n s ) 算法 8 】。这种算法具有两个特点：一是使用实值表示法，二是将否定选择算法和分类器 相结合。除了否定选择算法以外，基于分类器的有监督学习方法也被认为是入侵检测的 研究方向之一，然而，在入侵检测系统中使用分类器的困难之处( 获取大量的非自体数 据) 使得许多研究人员将否定选择算法用作异常检测器。为了解决这一问题，g o n z a l e z 等人将否定选择和分类器相结合：否定选择算法用来生成人工的非自体数据集；分类器 根据人工非自体数据集学习非自体空间的构成。r n s 使用，z 维向量作为检测器，每个 检测器具有半径，可用来表示超球体，匹配的度量采用一种模糊欧氏匹配函数。在训练 第一章绪论 7 阶段，随机生成的检测器在空间内移动，使得它们能够最大范围地覆盖非自体空间，并 且最小范围地覆盖自体空间。如果一个检测器与距其最近的k 个相邻检测器的距离的中 值小于设定阈值，则删除该检测器。剩下的检测器提交给一个多层感知机分类器进行反 向传播训练。文章指出，否定选择算法能够在不提供真实网络环境中的非自体数据的条 件下有效地训练分类器。j iz h o u 和d a s g u p t a 通过引入可变检测器半径扩展了r n s 算法， 这种扩展的算法中，通过使用更少的检测器来覆盖非自体空间，以及使用较小半径的检 测器覆盖孔洞来提高检测精度和算法效率 9 】。在本文中，我们设计的系统就是采用这种 可变检测器半径r n s 算法用于信号数据的检测。 目前，否定选择算法是使用最广泛的解决网络安全问题的人工免疫算法。然而，该 算法存在的问题始终未得到有效解决。首先是算法效率问题，尽管人们在检测器生成算 法和匹配规则上做出了大量改进，但是否能够有效地将其运用于大规模网络入侵检测数 据中仍然是个未知数。除了效率问题外，对于自体非自体区别作为基于人工免疫的入侵 检测系统的核心，目前也在争论之中。正如a i c k e l i n 等人在文献 1 0 】中提到的，非自体 模式并不一定代表入侵行为，因而，由“非自体模式代表入侵”这一前提引起的高误报率 也许是将否定选择算法作为检测器生成算法的最根本缺陷之一。 1 3 3 危险理论 传统免疫学说认为适应性免疫系统中的细胞不攻击自身的原因是任何细胞如果攻击 自身就会在他们成熟的过程中被删除。这个观点无法解释许多观测资料，例如对外部注 射的蛋白质缺乏免疫响应，或者免疫系统没有拒绝非我蛋白质非常明显的肿瘤。 m a t z i n g e r 提出一种不太明晰的观点描述了引起免疫的是有害物对身体的危害，不是简 单的对非我的反应。这个模型允许外来物和免疫细胞共存，这在传统的观点中是不可能 发生的情况。这种观点就是免疫危险理论，下面就对这种理论进行简单的阐述。 基于对生物免疫机制的研究，1 9 9 4 年，p o l l ym a t z i n g e r 提出免疫危险理论【1 1 。该 理论认为生物免疫系统中的细胞死亡有两种方式：凋亡和坏死。两者的主要区别是：凋 亡是一种自然过程，这种过程遵循事先设定好的高度控制的机制，是机体内环境调节的 结果；而细胞坏死是通过细胞压迫或其它手段引起应激细胞的无规律死亡，细胞的这种 死亡方式会引起机体产生不同于自然规则的生化反应，这种生化反应将会产生不同程度 的危险信号，这些信号就构成了免疫应答的基础。危险的外来入侵者会引起细胞坏死而 导致危险信号的产生，危险信号由抗原提呈细胞( a p c s ) 识别，此时产生信号l ，同时危 险信号在其周围建立一个危险区域，在该区域之内的b 细胞产生与抗原相匹配的抗体， 并被活化，同时开始克隆增殖过程。在同时具备信号1 和危险信号的情况下，a p c s 提 供第二信号给免疫杀死t 细胞，产生免疫应答，清除抗原。免疫危险理论与传统免疫理 论的区别在于它所关注的是损伤而非异物，从而被来自损伤组织的危险信号激活。这种 危险信号与“自己”或“非己”无关，只涉及对机体“有害”或“无害”。 a i c k e l i n 等人深入研究了如何将危险理论应用于入侵检测中 1 2 】，他们试图建立危险 8 基于人工免疫理论的入侵检测系统的设计与实现 理论的计算模型，其中最重要的是定义、探测和发现危险信号。从危险理论的计算模型 出发，可进一步设计基于危险理论的新算法，并将其运用于入侵检测系统中，以解决现 有的基于免疫原理的入侵检测系统的高误报率问题。在这一建模过程中，危险信号和入 侵检测系统警报之间的关系，以及入侵检测系统警报与入侵场景之间的相互关系尤其重 要。a i c k e l i n 等人设计的系统能够从主机和网络等拾取信号，并将这些信号与入侵检测 系统警报相互关联。为了将触发免疫反应的危险信号引入人工免疫系统中，b e n t l e y 等 人提出了人工组织( a r t i f i c i a l t i s s u e ) 的概念 1 2 1 。b e n t l e y 等人强调，组织是免疫系统的一 部分，当组织细胞在压力下死亡时，免疫系统释放危险信号。组织还担任着免疫反应和 病原攻击之间的接口的角色。文章提出了用来进行数据表示的组织成长算法，使得人工 组织成为免疫算法和特定问题的接口。人工组织使用了自组织、轻量级以及可置换性等 免疫特性，具有构造分布式系统的潜力，并且当与其他免疫算法结合时，能构造一个多 层次的系统。k i m 等人将人工组织、树突细胞算法和t 细胞算法相结合，构造了一种新 型的基于危险理论的人工免疫系统 1 3 】，该系统能够对恶意代码执行进行检测和响应， 能够根据攻击的确切性和严重性自动重新配置系统调用策略，并具有如下功能：从环境 信息中检测危险信号；从危险信号相关的数据中提取攻击特征；响应当前的攻击行为。 1 4 本文主要工作内容 本文就网络安全领域的一个分支入侵检测技术，做了一些相关的研究和探讨。 目的是解决生物免疫机理应用在入侵检测中存在的问题，提高人工免疫系统对攻击的识 别能力，并能够降低误检率。主要研究内容有： 1 、我们把检测器动态更新机制引入v d e t e c t o r 否定选择算法，并且把改进的 v d e t e c t o r 否定选择算法，即d v a ( d y n a m i c v - d e t e c t o r a l g o r i t h m ) 应用于入侵检测。对 于高维数据，尤其是当训练样本不完备时，d v a 比原始v d e t e c t o r 否定选择算法具有更 好的适应性和鲁棒性。通常d v a 比原始算法的具有更高的检测率，更低的误检率和更 好的稳定性。通过针对k d d c u p l 9 9 9 数据的实验仿真结果，我可以看到d v a 的检测性 能优于原始的v d e t e c t o r 否定选择算法。 2 、为了克服传统否定选择算法误检率过高的问题，本文将把危险理论的思想与传 统否定选择算法相结合，构建一种新的主机入侵检测模型。该模型使用信号数据的检测 结果先确定一个危险区域，只有危险区域内的异样抗原数据才会引起报警。其中，判断 行为异常的抗原数据采用进程的系统调用序列，确定危险区域的信号数据采用进程运行 是所占用的系统资源。为了得到系统测试所需的数据，我们针对r p c 守护进程，采集 了成对的信号数据和抗原数据。 3 、我们将提出的理论模型实现为一个入侵检测系统，系统将采用客户端朋艮务端结 构。由于s c t p 协议具有系统所需的多宿主和多流的特性，本系统客户端与服务端通信 第一章绪论 9 采用s c t p 协议。客户端主要负责检测数据的整理和发送，服务端主要负责数据的接受 和检测。服务端包括：客户端连接请求响应模块，数据接收模块，信号数据检测模块和 抗原数据检测模块。 通过测试系统，可以验证本论文实现的主机入侵检测系统成功解决了传统a i s 的自 体集过大，自体非自体难以精确区分等问题，能够提高检测率并降低误检率，是一种入 侵检测的好方法。生物免疫系统中危险理论的研究目前还处于起步阶段，该理论的本质 还有待于更深入研究，尤其是危险信号的定义及检测方法还需要深入讨论。 1 5 论文的结构框架 本论文由五个章组成。 第l 章绪论 介绍论文的研究背景，主要包括入侵检测技术的分类、面临的难题以及解决方向， 还介绍了论文的主要研究内容和论文的框架结构。 第2 章v - d e t e c t o r 否定选择算法改进 介绍一种免疫否定选择算法v - d e t e c t o r 否定选择算法，并详细阐述如何在原算法 的基础上，引入了检测器更新机制提高算法的检测性能，本章最后介绍如何使用 k d d c u p l 9 9 9 数据分别检测改进前后的算法，对比检测性能。 第3 章检测数据采集以及预处理 介绍了系统要检测的两种数据：信号数据和抗原数据，具体的采集方法和数据的预 处理。 第4 章系统的设计与实现 介绍了系统的基本结构客户端朋艮务端，服务端的主要功能模块：s o c k e t 网络连 接模块；数据接收模块；抗原数据检测模块和信号数据检测模块，及服务端用到的主要 检测算法：信号数据检测算法和抗原信号检测算法。 第5 章结论 总结本文的大体内容，优点以及不足。 第二章v - d e t e c t o r 算法改进 第二章v d e t e c t o r 否定选择算法改进 2 1v - d e t e c t o r 否定选择算法 v - d e t e c t o r 否定算法由吉州等人最先提f 1 5 1 4 。和半径恒定的实值否定选择算法一样， v - d e t e c t o r 否定选择算法随机生成候选检测器。v - d e t e c t o r 否定选择算法每一个检测器具 有不同的半径，这个半径是该检测器到自体样本的最小距离。与恒定半径的实值否定选 择算法相比，v - d e t e c t o r 否定选择算法最重要的两个不同点是：每一个检测器的检测阈 值都不相同；用估计覆盖率c o 来控制检测器的数量。其中，自体半径是一个重要的机 制，它用来平衡检测率和误检率( 或者说是敏感度和精确度) 。关于估计检测器覆盖率， 是这样定义的：如果我们随机生成了m 个候选检测器，只有第r n 个