免疫机理侵入检测体系的设计与实施

1、免疫机理侵入检测体系的设计与实施关键词：网络安全；入侵检测；生物免疫摘要:入侵检测系统与其他网络安全设备的不同之处便在于，ids是一种积极主动的安全防护技术。生物免疫系统是机体保护自身的一种防御性结构，入侵检测系统与生物免疫系统有着许多相似之处。论文在简要介绍免疫机理在入侵检测研究现状的基础上，着重探讨一种针对当前计算机及其网络运行的人工免疫系统（artificial immune system，ais）的理论模型，以及一种基于免疫机理的入侵检测系统的多子系统、多代理的体系结构。目前，开放式网络环境使人们充分享受着数字化，信息化给人们日常的工作生活学习带来的巨大便利,也因此对计算机网络越来越强

2、的依赖性，与此同时,各种针对网络的攻击与破坏日益增多，成为制约网络技术发展的一大障碍。传统的安全技术并不能对系统是否真的没有被入侵有任何保证。入侵检测系统已经成为信息网络安全其必不可少的一道防线。人体内有一个免疫系统，它是人体抵御病原菌侵犯最重要的保卫系统，主要手段是依靠自身的防御体系和免疫能力。一些学者试图学习和模仿生物机体的这种能力，将其移植到计算机网络安全方面。相关研究很多都基于生物免疫系统的体系结构和免疫机制5。基于免疫理论的研究已逐渐成为目前人们研究的一个重要方向，其研究成果将会为计算机网络安全提供一条新的途径。一、入侵检测简介入侵即入侵者利用主机或网络中程序的漏洞，对特权程序进行非

3、法或异常的调用，使外网攻击者侵入内网获取内网的资源。入侵检测即是检测各种非法的入侵行为。入侵检测提供了对网络的实时保护，在系统受到危害时提前有所作为。入侵检测严密监视系统的各种不安全的活动，识别用户不安全的行为。入侵检测应付各种网络攻击，提高了用户的安全性。入侵检测4技术就是为保证网路系统的安全而设计的一种可以检测系统中异常的、不安全的行为的技术。二、基于免疫机理的入侵检测系统（一）入侵检测系统和自然免疫系统用四元函数组来定义一个自然免疫系统nis5，nis=(xnis, nis,ynis,gnis)xnis是输入，它为各种类型的抗原，令z表示所有抗原，抗原包括自身蛋白集合和病原体集合这两个互

4、斥的集合，即，用w表示自身蛋白集合，nw表示病原体集合，有snw=z，w=ynis是输出，只考虑免疫系统对病原体的识别而不计免疫效应，ynis取0或1，分别表示自然免疫系统判别输入时的自身或非自身。gnis是一个自然免疫系统输入输出之间的非线性关系函数，则有ynis=gnis(xnis)=nis为自然免疫系统的内部组成。而根据系统的定义，入侵检测系统可以表示为ids=(xids, ids,yids,gids)式中，xids是入侵检测系统的输入。令m表示是整个论域，整个论域也可以划分成为两个互斥的集合即入侵集合，表示为i和正常集合表示i，有ii=m，ii=输入xids，输出yids，此时入侵检测

5、系统具有报警s和不报警a两种状态，报警用1表示，不报警用0表示。gids表示输入与输出之间的非线性函数关系，则有yids=gids(xids)=ids是自然免疫系统的内部组成。不同种类的检测系统具有不同的ids，产生不同的ids，从而将输入向量映射到输出。（二）基于自然免疫机理的入侵检测系统的设计自然免疫系统是一个识别病原菌的系统，与网络入侵检测系统有很多类似之处，因此自然免疫系统得到一个设计网络入侵检测系统的启发，我们先来研究自然入侵检测系统的动态防护性、检测性能、自适应性以及系统健壮性这四个特性5。1.动态防护性。自然免疫系统可以用比较少的资源完成相对复杂的检测任务。人体约有1016种病原

6、体需要识别，自然免疫系统采用动态防护，任一时刻，淋巴检测器只能检测到病原体的一个子集，但淋巴检测器每天都会及时更新，所以每天检测的病原体是不同的，淋巴细胞的及时更新，来应对当前的待检病原体。2.检测性能。自然免疫系统具有非常强的低预警率和高检测率。之所以具有这样好的检测性能，是因为自然免疫系统具有多样性、多层次、异常检测能力、独特性等多种特性。3.自适应性。自然免疫系统具有良好的自适应性，检测器一般情况下能够检测到频率比较高的攻击规则，很少或基本根本没有检测到入侵的规则，将会被移出常用检测规则库，这样就会使得规则库中的规则一直可以检测到经常遇到的攻击。基于免疫机理的入侵检测系统采用异常检测方法

7、检测攻击，对通过异常检测到的攻击提取异常特征形成新的检测规则，当这些入侵再次出现时直接通过规则匹配直接就可以检测到。4.健壮性。自然免疫系统采用了高度分布式的结构，基于免疫机理研究出的入侵检测系统也包含多个子系统和大量遍布整个系统的检测代理，每个子系统或检测代理仅能检测某一个或几类入侵，而多个子系统或大量检测器的集合就能检测到大多数入侵，少量几个代理的失效，不会影响整个系统的检测能力4。（三）基于免疫机理的入侵检测系统体系架构根据上述所讨论的思想，现在我们提出基于免疫机理的入侵检测系统aiids1，包括如下四个组成部分：1.主机入侵检测子系统。其入侵信息来源于被监控主机的日志。它由多个代理组成

8、，主要监控计算机网络系统的完整保密以及可用性等方面。2.网络入侵子系统。其入侵信息来源于局域网的通信数据包。该数据包一般位于网络节点处，网络入侵子系统首先对数据包的ip和tcp包头进行解析，然后收集数据组件、解析包头和提取组件特征、生成抗体和组件的检测、协同和报告、优化规则、扫描攻击以及检测机遇协议漏洞的攻击和拒绝服务攻击等。3.网络节点入侵子系统。其入侵信息来源于网络的通信数据包，网络节点入侵子系统监控网络节点的数据包，对数据包进行解码和分析。他包括多个应用层代理，用来检测应用层的各种攻击。4.控制台。有各种信组件，包括交互组件以及通信组件，交互组件用于显示当前被检查的网络系统的各种安全状况，通信组件用于与子系统进行通信联络5。三、结论与讨论本文在借鉴生物免疫系统的有关机理的基础上，提出并设计了一种基于人工免疫机理的入侵检测系统。该系统包括两个方面，即信息传输免疫系统和计算机信息处理入侵检测系统。再次，阐述了基于自然免疫系统的机理提出了入侵检测系统的设计。就入侵检测而言，将免疫机理应用到入侵检测思想尽管取得了一些效果，但是建立基于人工免疫机理系统的真正智能的网络入侵检测系统尚任重道远。因此，