一种基于免疫原理改进的入侵容忍系统触发器研究.doc

精品论文大全一种基于免疫原理改进的入侵容忍系统触发器研究刘冠 西安建筑科技大学管理学院，西安 (710055) e-mail：摘要：通过对现有入侵容忍系统模型的研究发现，大多容侵系统的入侵触发器仍旧构建于ids 检测技术之上，该技术通常是针对一些具体的攻击技术和手段来检测已知的或未知的攻 击，而容侵系统的本质则是要求服务器连续提供服务的能力，于是对服务器运行状态的监控 就成为了容侵系统的触发点。因此，本文结合生物免疫原理和数据挖掘技术，针对容侵系统中服务器运行状态构造一个基于免疫分类算法的容侵触发器，并对其工作原理和模块结构， 进行了详细地描述和分析。关键词：网络安全；生物免疫原理；入侵容忍系统；数据挖掘0. 引言随着 internet 网络的高度普及，以及现有各种应用系统功能的多样性和复杂性，网络中 服务器的安全运行越来越多的受到了入侵攻击的危害。在传统做法上，为了减少攻击的危害，人们一般采用基于信息保护和资源隔离原理的防 火墙技术和基于入侵监测原理1,2的网络入侵检测系统，但这些防范措施仍旧各有缺点，他 们只能被动的监测和防范网络攻击，对已经发生的攻击给服务器所造成的影响毫无办法，无 法较好的满足网络安全的需要。通过对生物体自身病毒菌防御方法的研究，人们发现生物体免疫体系是一种多层次、全 方位的且具有高度并行的分布式、自适应处理的系统，表现出分布式保护、多样性、自组织、 健壮性等良好特性，即使有病毒菌的入侵，生物体仍旧可以照常运行。于是借鉴生物体的这 些特性，结合网络服务器组的构架以及对安全性能的要求，提出了一种新型的网络安全技术网络入侵容忍系统（intrusion tolerant system，its） 3。其实质上就是在网络服务器遭 受到网络内部或外部的攻击入侵时，防火墙或入侵监测系统都失效或者不能完全排除攻击所 带来的影响时，容侵作为系统的最后一道防线，就算系统中某些组件遭到攻击破坏，但整个 系统仍然能够提供正常的或降级的服务。本文正是通过对目前所提出的入侵容忍系统结构的 研究和分析，发现其容侵触发器的不足和其缺陷，从而拟采用生物免疫原理，对容侵触发器 进行了改进，在一定程度上为容侵系统的安全作用机制提供了依据。1. 生物免疫原理46 要利用免疫原理来进行入侵容忍系统研究，首先必须理解免疫系统和免疫原理。 免疫系统是一种有许多细胞、分子和组织等子系统构成的复杂系统，其子系统之间存在着高度复杂的相互关系，具有能识别“自我”和“非自我”物质，清除和防御外来入侵的病毒菌， 保证机体正常运行的功能。此系统由先天性免疫系统和自适应免疫系统组成。先天性免疫系统是一种生物体固有的天然防御系统，其只能够识别一些固定的微生物和病毒菌，不具有特异性。而自适应免疫系统是一种生物体自身通过后天学习所形成的防御系统，能自适应的学 习外来病毒的结构，清除和中和这些分子物质，这种自适应学习的特性，正是我们发展网络 安全所值得关注和借鉴的地方。当抗原ag（即病毒菌）进入生物体内后，会刺激抗体ab（由免疫细胞产生）引发一系 列的免疫应答，其中最主要的就是自适应性免疫应答（又称为特异性免疫应答），它是机体-8-接受抗原ag刺激后，抗体ab自组织地学习抗原ag的应答过程。研究表明，免疫细胞中免疫活性细胞是免疫应答中的主导实体，它主要包括b淋巴细胞、t淋巴细胞，它们分别在骨髓 和胸腺里发育成熟，处于成熟期的淋巴细胞在离开骨髓和胸腺前，必须经过一个称为“阴性 选择”(negative selection)的选择过程。在阴性选择过程中,淋巴细胞接触到大量的生物自体细 胞,若淋巴细胞能够绑定任意自体细胞,那么该淋巴细胞就被认为是无效的而被删除。经过了 阴性选择过程，成熟的b细胞和t细胞才能离开骨髓或胸腺，进人到人体血液中循环。在循 环过程中，若与抗原ag产生匹配，且积累足够的亲和力，然后就通过克隆选择、细胞克隆、 记忆细胞获取、亲和突变、克隆抑制及动态平衡维持等机制更新抗体群，使之再次遇到相同 或结构相似的抗原ag时，能较快的产生免疫应答，从而实现免疫系统的功能。于是，借鉴生物免疫原理，并根据已提出的克隆选择算法和免疫网络算法4,8，利用记 忆细胞对后续入侵的病毒菌产生特定、快速应答的特性，分析其中存在的映射关系，并结合 数据挖掘中数据聚类及分类的概念，构造了一个对容侵系统中服务器运行状态7进行实时监 控的入侵容忍系统触发器。2. 基于免疫算法改进的容侵系统触发器描述在免疫触发器中，将衡量服务器所运行状态的数据集看作为抗原集 ag，将记忆细胞看 作为抗体（本文中不再出现抗体概念），于是该触发器的工作原理可看成为利用记忆细胞不 断识别抗原 ag，并最终形成用于分类的记忆细胞集 m 。为此，将服务器运行可能出现的状态抽象表示为 s = s1, s2,l, sk ，其中 k 为正整数，表示状态类别数目。故该触发器的工作过程可被描述为：f : ag s;（1）其中: f f ( aff , c, cs, cv, cr, v )其中： f 为一种映射关系，表示抗原集对状态集的映射归类；aff 为抗原和记忆细胞之间的亲和匹配；c 表示细胞克隆；cs 表示克隆选择；cv 表示克隆变异，cr 表示克隆抑制成熟；v 为记忆细胞集 m 的分类。为便于计算，本文采用实数对抗原和记忆细胞进行编码。2.1 相关问题定义2.1.1 抗原与记忆细胞 服务器的状态是由多个衡量系统的指标参数共同决定的，每个指标都代表了服务器某个部分的性能水平，所有指标之和就代表了整个服务器的状态，故不失一般性地将抗原集 agt表示为： ag = ( ag1, ag 2,l, agn )，n 表示抗原集的个数，即从服务器提取的数据集；其中 agi = ( agi1, agi 2, , agil , v ) rl ，i =1,2,n；l 表示抗原的维数，即构成服务器状态的指标个数。考虑到聚类后的数据类应该可以代表服务器的状态类别，所以在构成抗原时引入抗原类别 vs，这与传统的免疫聚类算法在抗原构成时不同，便于对最后的结果做出明确 的表示。此外，为了便于计算和消除各指标间的相关性，根据矩阵中的相关性质，将 agiij做归一化处理，使得 ag 0,1l ， j =1,2, l 。记忆细胞的构造与抗原构造相同，它是由从抗原集 ag 中不分类别的随机抽取 m 个抗原组成，通过其与相同类别的抗原相互作用，不断识别抗原，最终形成用于分类的记忆细胞集 m 。2.1.2 亲和力及相似度 亲和力是指记忆细胞和抗原之间的匹配程度，也就是免疫系统识别过程中利用抗原 agj寻找最大亲和力记忆细胞 mi 的过程。衡量亲和力大小有多种办法，考虑本文是基于实数编码，故采用欧氏距离9来衡量亲和力。对于任意抗原 agj 和记忆细胞 mi 之间的欧氏距离表示为：d (i, j) =l ( agjk mik )2 ， j =1,2,n； i =1,2,m（2）k =1于是定义两者之间的亲和力大小为： aff (i, j) =11 + d (i, j)（3）由公式（3）可见，当 d 0 时，有 lim affd 0= 1；当 d ，有 lim affd = 0 。这说明抗原 agj和记忆细胞 mi 间的亲和力与两者的距离成反比，并且 aff (0,1) 。其中 为亲和力调节系数，用于控制亲和力的灵敏度。相似度是指记忆细胞间的个体相似程度。与表述抗原和记忆细胞亲和力类似，同样采用 欧氏距离来表示记忆细胞间的相似度，其计算公式如下：ds(i, j) =l (mik mjk )2 ，i= j = 1,2,m（4）k =1于是相似度表示为： s * (i, j) =11 + ds(i, j)（5）2.1.3 克隆选择和克隆变异记忆细胞的克隆选择和克隆变异是其与抗原的亲和力程度相关的，当亲和力大于某个事 先定义的阈值时，记忆细胞便开始克隆阶段。在克隆阶段，记忆细胞的繁殖数目与其亲和力 成正比，即当亲和力越大，该细胞繁殖的后代数目就越多；相反，亲和力越小，繁殖的后代 数目就越少。在记忆细胞繁殖时，选择和变异实质上是同步完成的，但为了便于理解和应用 这种过程，故将其分成两个过程分别加以描述。在进行细胞克隆时，所有的记忆细胞同时与某个抗原 agj 竞争识别，并从那些亲和力大 于阈值的记忆细胞中，按大小选出一定的数目（t）作为克隆的父代，再按照一定的克隆繁 殖率 对每个克隆父代进行克隆，并最终形成记忆细胞克隆集 cm ，然后再对该克隆集中克隆记忆细胞进行克隆变异，从而生成新的变异记忆细胞克隆集 cm ，其计算过程如下： t= u1 + int(n aff (i, j)cm i =1aff (i, j) 1（8）0其他m aff (i, j)其中，int()为取整函数； 1 为亲和力阈值： 1 = i =1 。由公式（8）可知，克隆后m形成的记忆细胞克隆集 cm 是由所有被选出的克隆父代和其克隆出的后代共同构成的。然后它们共同参与克隆变异过程，并且对 mi cm ，都按照下式进行变异，形成变异记忆细胞克隆集 cm ：m*i mi + e aff (i, j) ( agj mi)（9）上式中，mi 为要变异的记忆细胞；e aff (i, j) 为变异率， 为在0，1之间的随机数，*m i 为变异记忆细胞，构成 cm 。可见，克隆变异的规则和记忆细胞的亲和力大小相关的，即亲和力越大，变异率越小。克隆变异使得记忆细胞朝着更贴近抗原的方向变化，通过不断 的克隆迭代，最终形成一个能够较好识别抗原的记忆细胞集，并用此进行数据分类。由于本文中构造的抗原带有类别，这与传统有所区别，所以在进行免疫识别时，并不是 所有的记忆细胞都与该抗原 agj 竞争识别，只有那些与抗原类别相同的记忆细胞才进行识别 和克隆。但在计算时，上述公式依然适用。2.1.4 记忆细胞的成熟 本文中，抗原和记忆细胞都带有类别，只有当两者类别相同时，才发生识别并进行克隆，并且在变异记忆细胞成熟前还必须经过一个克隆抑制过程，该过程是通过亲和力和相似度作用于记忆细胞，以淘汰那些亲和力较低和相似度较高的记忆细胞，以产生亲和力较高且相似 度较低的成熟记忆细胞，同时还可通过事先定义的阈值来控制整个记忆细胞集 m 的规模。在克隆抑制阶段，分为两个步骤：第一，针对不同类别的变异记忆细胞克隆集 cm 中的 细胞抑制；第二，是对形成的全部记忆细胞间进行细胞抑制。在进行第一步骤时，首先让 cm中所有变异记忆细胞与先前提呈的抗原 agj 再次识别，并按照亲和力大小选取 （可根据数据规模而定）的记忆细胞；其次计算这些记忆细胞之间的相似度 s * (i, j) ，在预先设定的相似度阈值 s 下，当 s * (i, j) 1 s* s （11）当所有的抗原提呈完毕之后，最终形成记忆细胞集 m = mv1, mv 2,l, mvk ，并根据公式（10）相同的方法来计算 m 中所有细胞的相似度抑制，完成克隆抑制的两个阶段，使记忆细胞集m 最终得到成熟。2.2 免疫算法过程在本文中，抗原集作为已知的样本，代表从服务器不同状态下获取的数据，而记忆细胞 则作为该免疫算法所进化的候选聚类点，最终所获的记忆细胞即为样本组的聚类点。根据以 上相关问题的定义，以及对免疫过程的描述，该算法的详细步骤如下：step 1 输入样本数据集。即输入 n 个抗原 agj ， j =1,2,n；step 2 产生初始记忆细胞群。确定克隆进化的代数 p，作为算法终止的条件。不分类别的随机产生初始记忆细胞群 m ；step 3 针对抗原集 ag 中所有抗原，对记忆细胞集 m 每次只提呈一个抗原 agj ，并进 行下列运算：step 3.1 亲和力计算。对于提呈的抗原 agj ，根据公式（3）计算记忆细胞集中那些 与其类别相同的记忆细胞亲和力；step 3.2 克隆选择。根据记忆细胞的亲和力阈值，由大到小的选取一定的数目（t）作 为克隆父代，并根据公式（8）计算克隆繁殖数目；step 3.3 克隆突变。对于上步中的所有记忆细胞根据公式（9）进行克隆突变，突变 使其更加贴近抗原；step 3.4 克隆成熟。对变异记忆细胞集再按亲和力大小，并选取 的记忆细胞，根据公式（10）进行相似度抑制，生成 mvi ；step 4 内循环判断。若j n , 则置j j +1，返回 step 3; 否则, 进入下一步;step 5 记忆细胞集 m 的构成及抑制。反复重复 step 3 之后，将得到的所有 mvi 合并， 并根据公式（10）计算其中各细胞间的相似度，进行整体记忆细胞的相似度抑制，最终形成m = mv1, mv 2,l, mvk ；step 6 外循环判断。若进化代数满足 p，则将形成的最后一代记忆细胞集 m 作为对于新抗原分类的记忆细胞。 该算法中，初始记忆细胞集根据提呈的抗原，自动完成对其自身的聚类，根据自身所带有的类别特征，确定不同的聚类类别，并且通过对各个调节参数的设定，最终达到以较为少 量的记忆细胞来识别大量抗原的目的。其中，step3 是算法的核心，通过其不断的重复，增 强了每个聚类中的记忆细胞识别同类抗原的能力，保证了记忆细胞始终朝着更好识别抗原的 方向变化。而通过 step 5 中的细胞抑制，则保证了各个聚类间的边界划分，使得聚类更为清 晰。3. 容侵触发器的实现通过对现有网络服务器组的研究，发现大多数服务器组都是基于商用现货产品（commercial off-the-shelf，cots）来构建，并且大多采用服务器代理和冗余的方式组成 其体系结构，而现有的主流入侵容忍系统的构建也正是基于这些服务器来实现的。所以，本 文中提出的容侵触发器被设计成为一个实时运行于该类服务器之上的模块，对其所在的服务 器状态进行实时地、动态地监控，容侵系统就可以根据该触发器所反应出的当前服务器状态， 提供不同级别的服务和执行不同策略的安全保护。3.1 容侵触发器的结构设计根据 2.12.2 的免疫聚类过程及所得到的最终记忆细胞集 m ，结合数据挖掘分类算法 中 k 最近邻法（k nearest neighbors，knn）9，该触发器结构如下图所示：免疫聚类器抗原库记忆细胞库编码处理器knn分类器系统状态显示数据提取器图 1 基于免疫算法的容侵触发器设计由上图可知，该触发器主要由以下几个子模块组成：（1）数据提取模块，主要负责收集能衡量服务器系统实时运行状态的数据。数据提取 的范围包括 cpu 消耗、内存占用率、网络宽带资源消耗、系统核心文件长度等；提取的方 式按照时间序列离散取值，将某一时刻所提取的数据构成一个原始抗原；（2）数据编码模块，对从数据提取器中递交来的原始抗原，按照免疫算法的要求进行 标准化处理；（3）抗原库，将标准化处理后的抗原统一集中在抗原库中，为免疫聚类模块提供数据 输入；（4）免疫聚类模块，按照 2.2 中所描述的过程，对抗原库中的抗原进行克隆繁殖、变 异，生成成熟记忆细胞；（5）记忆细胞库，储存聚类后的记忆细胞，为 knn 分类模块提供对新抗原分类的标准；（6）knn 分类模块，给新提呈的抗原集做出类别标记；（7）系统状态显示模块，根据（6）中的标记，判断并显示系统当前所运行的状态。3.2 容侵触发器的工作流程描述该容侵触发器的工作分为两个阶段。第一阶段为容侵触发器的测试学习阶段，称之为免 疫聚类，即通过对服务器上提取的不同状态下样本数据的学习，经历一系列的生物免疫变化 过程，产生对抗原具有记忆识别作用的记忆细胞集，并形成对具有不同类别的记忆细胞聚类 集；第二阶段为实时运行阶段，称之为状态分类，即利用第一阶段中产生的记忆细胞聚类集， 结合 knn 分类特性，对系统运行中实时提取的抗原数据做出类别的鉴定，并由此反映出该 抗原提取时间段中服务器的运行状态。4. 容侵触发器的特性分析该触发器是在融合了常用的误用检测和异常检测的思想方法上，借鉴生物免疫系统的多 种免疫机制，结合数据挖掘技术中相关算法来设计和实现的，其特性总结如下：（1）触发器的数据编码采用实数编码，并在计算时统一进行标准化处理，这样从根本 上减轻了整个计算过程中的数据复杂度，便于数据运算；（2）服务器运行中，原始数据的提取采用时间序列离散取值，即离散的提取一段时间内的数据，而不实时提取，从而使得数据量大为减少；（3）触发器监控的方式与现有的 ids 不同，ids 主要通过已知相关的攻击方式和手段 来实现，而本文的设计目的在于对服务器自身性能的监控，而与攻击方式无关；（4）通过对生物免疫系统过程的模拟，使触发器具有自我学习聚类，自动调整相关参 数的能力，有较强的实用性；（5）触发器结构被设计成为一个集成于监控服务器之上的模块，可以直接对监控对象 运算，并通过对免疫聚类中记忆细胞生成规模的控制，可以大大节省服务器系统资源和网络 资源的消耗。5. 结语本文借鉴生物免疫系统的多种有效机制，提出了一个基于免疫原理改进的入侵容忍触发 器模型，并对模型中的核心免疫聚类器进行了细致的描述。该模型采用模块化设计，嵌套于 服务器之上，运行简洁，自适应性强。目前该触发器的工作仍旧在进行之中，还有很多问题 需要解决，如怎样优化提取的状态数据，改进亲和力阈值的取值，以及控制记忆细胞集生成 的规模等，以提高触发器的准确率。由于该触发器的设计方式与现有的 ids 有所不同，所 以，现有的入侵容忍系统在依靠 ids 的同时，还可借助该触发器对服务器自身状态的监控， 达到容侵触发的目的。参考文献1 冯登国.网络安全原理与技术 北京：科学出版社，2003. 1221302 唐正军.网络入侵检测系统的设计与实现 北京：电子工业出版社，20023 王丽娜,张焕国,傅建明.网络入侵容忍研究综述.第三届中国信息通信安全学术论集. 北京:科学出版 社,2003. 3945.4 莫宏伟.人工免疫系统原理与应用 哈尔滨：哈尔滨工业大学出版社，2002.11 5 李涛.计算机免疫学 北京：电子工业出版社，2002.6 张著洪.人工免疫系统中智能优化及免疫网络算法理论与应用研究.重庆大学博士论文，2004.7 崔竞松，王丽娜,张焕国,傅建明.一种并行容侵系统研究模型rc 模型.计算机学报.2004（27）,500506. 8 位耀光，郑德玲，付冬梅，周颖.基于生物免疫系统克隆选择机理和免疫网络理论的免疫算法.北京科技大学学报.2005.27(2).245249.9 邓纳姆（dunham,m.h.）著.郭崇慧等译.数据挖掘教程.北京：清华大学出版社.2005.5.an improved immunity-based trigger for intrusiontolerance system researchliu guanschool of management, xian university of architecture & technology, xian, china (710055)abstractthrough carefully researched and analysis of the intrusion tolerance system (its) at present, almostthe trigger of the intrusi