基于免疫状态转换的网络态势觉察模型的研究.doc

基于免疫状态转换的网络态势觉察模型的研究1.1 引言在网络中，随着环境、时间、要求的改变，网络安全检测要求能够更加高效、自适应、可扩展，以确保整个网络的完整性、机密性和有效性。网络安全检测系统基于入侵检测系统的基础主要使用异常检测和误用检测两种技术。而这些与生物免疫有非常相似的地方，因此人工免疫用于网络安全检测已经取得一定的成果。最初就是Forrest教授提出的分布式人工免疫系统模型ARTIS555657，以及后面Ballet58教授提出的基于免疫原理的分布式multi-agent计算机免疫系统和Kim596061教授提出的基于动态克隆选择的网络入侵检测模型等等。但这些研究成果并不完善，存在部分缺陷。如对网络安全检测系统中的自体/非自体采用为静态描述，良好的适应性，不能满足真实网络环境下的需求，使得系统误报率、漏报率较高。另一方面免疫检测细胞（检测器）在其进化淘汰过程中缺乏动态缓冲机制，一些对入侵检测有重要作用的检测器仅仅由于在某一时段原来与之匹配的非自体转换为自体造成该检测器耐受失败被抛弃。本文提出一种基于人工免疫的可以实现免疫状态转换的网络安全态势觉察模型NSSPM(Network Security Situation Perception Model)，在模型中定义了不变自体、已变自体、非自体、抗原、抗体、疫苗等概念，阐述了免疫细胞的动态演化模型，对未成熟检测器的生成采用抗体基因库重组变异与随机产生相结合的方法62，并为成熟检测器和记忆检测器设立了3种免疫状态：活跃态、阻塞态、苏醒态，同时设立了相应的状态转移过程：挂起过程、释放过程、激活过程。该模型解决了计算机免疫系统中自体、非自体的动态描述问题，能够实现对网络中已知和未知入侵行为的检测，具有分布式、自学习、鲁棒性等特点；还提出一种基于抗体浓度的记忆免疫检测树，通过动态调整结点顺序，使每次检测时，按照抗体浓度从高到低提取检测器，进行匹配抗原，当抗体浓度随着网络攻击的变化而变化时，及时的调整树中结点顺序，使浓度高的检测器先于浓度低的检测器进行匹配抗原，从而减少无效匹配次数，提高检测效率。1.2 NSSPM体系结构整个模型中，主要由抗原集、未成熟检测器集合、成熟检测器集合、记忆检测器集合、自体等组成。模型中主要包括两个主要过程，分别是虚线表示的免疫检测器识别抗原入侵的过程和实现表示的免疫检测器进化的过程，这两个过程同时进行，又相互影响。检测过程如下：IP包经过抗原提呈得到抗原集合Ag，Ag被记忆检测器Mb、成熟检测器Tb检测后，分为自体Self和非自体NonSelf，将非自体从Ag中删除，剩下的抗原作为自体。初始的自体集合是根据经验预先设置的。图 31 NSSPM体系结构图免疫检测器进化过程如下：初始的未成熟检测器集合Ib(0)是预先设置的，后续的未成熟检免疫测器集合是部分是随机产生，部分由抗体基因重组变异而成；未成熟检测器集合中免疫细胞经历自体耐受期后，若没有被删除，将成为成熟检测器集合中的免疫细胞；成熟检测器集合中的免疫细胞在生命周期内与抗原的亲和力达到一定阀值时，将成为记忆检测器中一员，否则将从成熟检测器中删除；成熟检测器中免疫细胞在成为记忆检测器一员的同时，被拆解成基因片段放入抗体基因库中。记忆检测器中的免疫细胞如果与自体匹配或者长期没有与抗原产生亲和力，将导致死亡。1.3 网络安全态势觉察模型NSSPM在生物免疫系统中，免疫细胞具有一定的生命周期，经历一个从产生到死亡的动态变化过程。在网络环境下，由于要求的变化、环境的变化等等，正常的网络行为和非正常的网络行为也在不断变化。因此，图31 模型的相关组成部分中，自体、非自体、抗原、抗体、各种免疫检测器等都随着时间和环境的变化在不断变化。1.4.1 自体动态变化在计算机网络中，为确保网络安全，我们必须知道什么是正常的网络行为，什么是非正常的网络行为。而由于对需求或者环境的变化，如一些以前认为是正常的网络行为，由于新的漏洞的发现或者对网络安全要求的增强，可能这样的网络行为将被禁止；相反一些以前被禁止的网络行为，由于网络安全设备的提高或者需要增加新的服务，可能相应的网络行为将认为是正常的网络行为。在本模型中，自体代表正常网络行为，非自体代表可疑网络行为，这些，决定了网络中没有永远不变的自体，自体将根据网络安全管理者的要求而动态变化的。在本模型中将自体分为未变自体和已变自体。 （3-14）未变自体动态变化初始未变自体为设置好的自体集合。其生成流程图如下：（3-15）在初始状态时，自体为预先设置的自体集。在时，在时刻的未变自体集合上加入新产生的自体集合，同时删除发生变异的自体，就得到时刻的自体集合。时刻经过记忆检测器和成熟检测器检测的抗原，不是攻击则变为自体，形成；同样，时刻若检测器y与自体x匹配，在协同刺激时确定x为非自体时，自体x将死亡，形成。为自体变异为非自体的集合。未变自体自从成为自体就没有任何变异，但未变自体库却在不断变化。使得自体不断得到扩充，更加完备，满足了真实网络环境中网络行为动态变化的情形，而对于一些由于网络安全和应用要求而将正常网络行为变为异常网络行为的情况，通过协调刺激，使相应自体死亡。这些大大降低了错误否定率。错误否定是指将非法的网络行动认为正常的网络行为。已变自体动态变化已变自体初始为空，其变化过程如下：（3-16）在时刻，已变自体集合为增加从变异历史集合中变异而来的自体，同时从时刻已变自体集合中删除t时刻发生变异的已变自体。 集合中元素x在上t-1时刻属于已变自体集合，但在时刻，检测器与x匹配，且通过协同刺激确定x已变异为非自体。由于已变自体变异性很大,在本模型中进行缓存，如果已变自体再次变成非自体时,将被释放。已变自体主要用于由于一些经常改变的网络安全行为或者有时临时的安全行为，提高系统检测效率。1.4.2 抗体基因库动态变化 （3-17）G(t)代表t时刻的抗体基因库中抗体基因的集合，在初始状态（t0）时，抗体基因库G(t)为初始设置的正常基因库，以概率分析方式随机产生串 。 t0时，抗体基因库在不断变化，加入由于产生新的记忆检测器而带来的基因片段，这些基因片段组成集合Gnew(t)；同时，记忆检测器由于与自体匹配或者久未激活，就会死亡，这样相应的基因片段也要从抗体基因库中删除，t时刻这些被删除的基因片段组成集合Gvar(t)。1.4.3 未成熟检测器动态变化未成熟检测的产生未成熟检测器是生成成熟检测器、记忆检测器的基础。主要由下面2种方式按照一定比例构成：随机产生，由抗体基因库基因片断组合产生。这样在保持以前父代优势特性的同时，又能使新产生的未成熟检测器具有多样性。 （3-18）表示t时刻新生成的未成熟检测器。其中表示随机生成的未成熟检测器，是t时刻基因交叉生成的未成熟检测器。和为二者之间生成的比例参数。对基因片段和，各随机选择单个交叉点，两两配对进行交叉操作，产生新的基因片段。为了避免盲目交叉，交叉只在相同类型的基因片段之间进行。这样产生的新的未成熟检测器由于遗传了较好的优势抗体基因，可以更快的训练成为成熟检测器，同时有更好的检测抗原的能力。自体耐受未成熟检测器的变化如下：（3-19）未成熟检测器都必须经历自体耐受，自体耐受过程如下：（3-20）其中为耐受期，大于等于1，表示时刻从未成熟检测器进化为成熟检测器的集合。任何一个未成熟检测器都必须经历耐受模型中的否定选择，删除那些能识别自体的为未成熟检测器，时刻经历过耐受期的未成熟检测器就加入。自体耐受使得新生未成熟检测器对正常网络行为的耐受，同时也能很好解决突发网络事件的发生。1.4.4 成熟检测器动态变化成熟检测器状态间转换过程的原理分析如果成熟免疫检测器在生命周期（）内匹配到一定数目（）的抗原，将会被激活而进化为记忆免疫检测器，否则死亡。成熟检测器在其生命周期内，匹配抗原的时，也具有一个动态演化过程。成熟检测器包括活跃态成熟检测器、阻塞态成熟检测器、苏醒态成熟检测器。成熟检测器首先处于活跃态，可用于检测。活跃态成熟免疫检测器与抗原匹配，如果在生命周期内，活跃态成熟检测器，积累的亲和力超过匹配阈值，就进化为记忆检测器。在与抗原匹配过程中，如果活跃态成熟检测器与不变自体匹配，由于不变自体不具有变异性，那么些活跃态成熟测器直接死亡。当活跃态成熟检测器与已变自体匹配时，我们动态缓存此类活跃态检测器，将该活跃态成熟检测器转换为阻塞态成熟检测器。在检测器阻塞过程中，如果与此阻塞态检测器匹配的自体没有转换为非自体时，此检测器保持阻塞状态；当与之匹配的（动态）自体转换为非自体时，该阻塞态成熟检测器被释放，转换为苏醒态成熟检测器。其中，保持阻塞状态的检测器，如果在它的生命周期内未被释放，则判定其死亡，并从阻塞态检测器集合中将其删除。苏醒态成熟检测器，首先与其在阻塞过程中新加入的自体抗原进行耐受，通过耐受的苏醒态成熟检测器，将激活为活跃态成熟检测器，未通过耐受的根据与之匹配的自体类型进行相关操作：与已变自体匹配的苏醒态检测器将再次挂起，转换为阻塞态成熟检测器；与未变自体匹配的苏醒态检测器则直接从苏醒态检测器集合中删除。1. 各转换状态定义定义成熟检测器的状态，有以下几种状态：Q1（initial） 检测器的初始状态，当抗原经自体耐受，经个耐受期，就进去了激活状态。Q2（workon）检测器的激活状态，此状态的检测器具有一定的生命周期，在生命周期内，该检测器与抗原的亲和力累积到一定的阈值，该状态的成熟检测器就进化为记忆检测器；Q3（holdon）检测器的挂起状态，当激活状态的检测器或经挂起后释放的检测器，与已变自体匹配时，检测器就时入Q3状态；Q4（release）检测器的释放状态，当与Q3状态的检测器匹配的已变自体变为非自体时，挂起状态的检测器被释放；另外，处于Q4状态的检测器如果与它在Q3状态向Q4这个状态转变的这段时间内加入的自体不匹配时，此检测器就被激活。Q5（evolve）检测器的进化状态，当Q2状态的检测器，在生命周期内，与抗原的亲和力累积到一定的阈值，该检测器就时化为记忆检测器，作为记忆检测器的初始状态。Q6(death)检测器的死亡状态，是检测器集合在整个进化过程中，被淘汰部分。2. 各转换事件说明每个检测器处于不同状态情况下，要经历不同的事件，这些事件的定义如下：E1：检测器与未变自体匹配。E2：检测器与已变自体匹配。E3：检测器与自体不匹配。E4：检测器的生命周期内，亲和力达到阈值。E5： 检测器的年龄值超过了生命周期。E6：，通过协同刺激确定已变自体x变异成非自体。E7: ，E7表示未成熟细胞经历了耐受期为的耐受事件。3. 状态转换图图 32成熟检测器状态转换图4. 状态转换矩阵表31 成熟检测器状态转换矩阵状态 事件Q1（init）Q2(workon)Q3(holdon)Q4(release)Q5(evolve)Q6(death)E1Tb_activeTb_reviveE2Tb_active Tb_reviveE3Tb_activeE4Tb_activeE5Tb_activeTb_waitE6Tb_waitE7Ib各状态成熟检测器演化过程原理分析1. 活跃态成熟检测器动态变化图 33 活跃态成熟检测器流程图（3-21）方程（3-21）是当未成熟检测器进化为活跃成熟检测器后的定义。（3-22）方程（3-22）表示每匹配一次，活跃成熟检测器的年龄age增加1。（3-23）方程（3-23）表示当活跃成熟检测器遇到匹配抗原时，在前面年龄增加1的基础上，其匹配数也增加1。在t时刻,活跃态成熟检测器中,加入未成熟检测器进化而来的成熟检测器和从苏醒态成熟检测器中激活而来的检测器,同时移去活跃态检测器中进化到记忆检测器,活跃态检测器与不变自体匹配后死亡的检测器以及被挂起为阻塞态的检测器。2. 阻塞态成熟检测器原理分析图 34 阻塞态成熟检测器流程图初始状态，阻塞态成熟检测器集合为空。在t 时刻，阻塞态检测器集合为t-1时刻阻塞态检测器集合中,添加活跃态挂起的检测器以及苏醒态挂起的检测器，同时，删除阻塞态检测器中释放的检测器以及因阻塞时间过长而死亡的检测器。3. 苏醒态成熟检测器原理分析初始状态，苏醒态成熟检测器集合为空。如图3-8所示，t 时刻苏醒态检测器集合为向t-1时刻苏醒态检测器集合中,添加阻塞态释放的检测器，同时删除苏醒态检测器进化过程中，转换为活跃态和阻塞态的检测器。图 35苏醒态成熟检测器流程图1.4.5 记忆检测器动态变化记忆检测器状态间转换过程的原理分析成熟免疫细胞当亲和力达到匹配阀值时，将进化为记忆检测器。记忆检测器在匹配抗原过程中，其抗体浓度在不断变化。当再次遇到匹配抗原时，其浓度将升高，以抵御抗原；相反，若指定周期内，记忆检测器没有匹配相应抗原，其浓度将降低。记忆免疫检测器分为活跃态记忆检测器，阻塞态记忆检测器，苏醒态记忆检测器。活跃态记忆检测器一旦匹配到抗原就会被立即激活。当活跃态记忆检测器与不变自体匹配时，由于不变自体不具有变异性，该活跃态记忆检测器直接死亡。当活跃态记忆检测器与已变自体匹配时，该活跃态记忆检测器转换为阻塞态记忆检测器，当与之匹配的自体没有转换为非自体时，仍保持阻塞状态；当与之匹配的自体转换为非自体时，该阻塞态记忆检测器被释放，转换为苏醒态记忆检测器。当阻塞态记忆检测器集合中包括的数量超过设定范围时，将阻塞时间最长(超过生命阈值)而未被释放的阻塞态记忆检测器删除。苏醒态记忆检测器首先与在其阻塞过程中新加入的自体抗原进行耐受，通过耐受的苏醒态记忆检测器转换为活跃态记忆检测器，未通过耐受的根据与之匹配的自体类型进行相应操作：与已变自体匹配则再次挂起，转换为阻塞态记忆检测器；与未变自体匹配则直接被删除。1.4 对比实验 ARTIS模型是人工免疫理论中比较著名的模型之一，采用否定选择算法。本文提出的NSSPM模型，在生成未成熟检测器时采用交叉变异、成熟检测检测器状态转换、记忆检测器状态转