（运筹学与控制论专业论文）基于免疫的移动agent入侵检测系统模型设计.pdf

摘要入侵检测系统是一种网络安全防护系统，被用来检测威胁或危害主机或计算机网络资源的完整性、机密性和可用性的企图或行为。由于其在计算机安全领域中的重要地位，近年来受到研究人员的广泛关注。目前，虽然入侵检测技术已经取得了很大的进步，但传统的入侵检测系统仍然存在一些缺陷，例如在分布式、灵活性和效率等方面都存在不尽如人意的地方，需要探索新的技术来提高入侵检测系统的整体性能。生物免疫系统是保护生物体免受外部病原体危害的一种生理系统。它具有分布式并行处理、自组织、免疫记忆和鲁棒性等优点，这也正是入侵检测系统所需具备的一些特性。免疫系统和入侵检测系统的功能有着惊人的相似性，因此我们可以借鉴一些免疫原理来提高入侵检测系统的性能。另外。a g e n t 技术是近来出现的一种分布式计算技术，其移动性和灵活性也极其适合开发新一代的入侵检测系统。本文对入侵检测系统原理、技术和结构进行了深入分析。在此基础上，结合生物免疫原理和移动a g e n t 技术，提出了一个基于免疫的移动a g e n t 入侵检测系统( i m a i d s ) 模型，并对其中几个模块进行了设计和研究；详细介绍了检测模块的构成以及工作流程，重点分析了与检测器相关的一些算法和机制。该系统以网络数据包为主要分析对象，只有在发现“可疑”情况时，才分析主机上的一些信息，以便能够确认入侵的发生。该模型与同类模型相比最大优点是增加了提供“协同信号”的监控模块，克服了传统模型中由管理员提供“协同信号”的缺陷，同时也降低了误报：检测器生成算法也作了很大的改进，其主要特点是可以生成多样化的检测器，实现了使用较少的检测器检测多种入侵的目的，充分节省了系统资源。关键词：入侵检铡系统免疫原理移动a g e n t 阴性选择算法抗原检测器a b s t r a c ti d s ( i n t r u s i o nd e t e c t i o ns y s t e m ) i sas e c u r i t yp r o t e c t i o ns y s t e mw h i c hd e t e c t st h ea t t e m p t so rt h eb e h a v i o r st h a tt h r e a t e no rh a r mt h ei n t e g r a l i t y , c o n f i d e n t i a l i t yo ru s a b i l i t yo fh o s to rn e t w o r kr e s o u r c e s i d sh a sg a i n e dg r e a ta t t e n t i o nb e c a u s eo fi t si m p o r t a n c ei nc o m p u t e rs e c u r i t y i n t r u s i o nd e t e c t i o nt e c h n i q u e sh a v e b e e ni m p r o v e dal o tt h e s ey e a r s h o w e v e r , t h e r ea r es t i l ls o m el i m i t a t i o n si nt r a d i t i o n a li n t r u s i o nd e t e c t i o ns y s t e m s ，s u c ha sd i s t r i b u t i v i t y , f l e x i b i l i t ya n de f f i c i e n c y t h e r e f o r ei ti sn e c e s s a r yt od e v e l o pn e wt e c h n o l o g i e st oi m p r o v et h eo v e r a l lp e r f o r m a n c eo f l d s b i s ( b i o l o g i c a li m m u n es y s t e m ) i sap l a y s i o l o g i c a ls y s t e mw h i c hp r o t e c t so r g a n i s mf r o mp a t h o g e n s i th a ss o m ea d v a n t a g e sw h i c ha r eq u i t en e e d e db yi d s ，s u c ha sd i s t r i b u t e dp r o t e c t i o n ，s e l f - o r g a n i z a t i o n ，i m m u n em e m o r ya n dr o b u s t n e s s t h e r e r ea m a z i n gs i m i l a r i t i e sb e t w e e ni d sa n di s ( i m m u n es y s t e m ) s ow ec a nm a k eu s eo fs o m ei m m u n ep r i n c i p l e st oi m p r o v ei d s f u r t h e r m o r e ，m o b i l ea g e n ti sad i s t r i b u t e dc o m p u t i n gt e c h n o l o g ye m e r g i n gr e c e n t l y i t sm o b i l i t ya n df l e x i b i l i t ya r ep e r f e c t l yf i tf o rd e v e l o p i n gn e wg e n e r a t i o no f l d s b a s e do nt h ea n a l y s i so fi d sp d n c i p l e s ，t e c h n o l o g i e sa n ds t r u c t u r e s ，w ei n t r o d u c eam o d e lo fi m a i d s ( i m m u n eb a s e dm o b i l ea g e n ti n t r u s i o nd e t e c t i o ns y s t e m ) c o m b i n i n gw i t hi m m u n ep r i n c i p l e sa n dm o b i l ea g e n t t h i sp a p e rp r e s e n t ss t r u c t u r ea n de x e c u t i o nf l o wo ft h ed e t e c t i o nm o d u l ei nd e t a i la n da n a l y z e ss o m em e c h a n i s m sa n da r i t h m e t i c sr e l a t e dt ot h ed e t e c t o r t h es y s t e mm a i n l yf o c u s e so nn e t w o r kp a c k e t s i ta n a l y z e sd a t ao fh o s tt od e t e c ti n t r u s i o n sw h e ns o m e t h i n gd u b i o u sh a p p e n s c o m p a r e dw i t l lo t h e ri d s i m a i d ss i g n i f i c a n t l yo u t p e r f o r m st h e s em o d e l sb ya d d i n gm o n i t o rm o d u l ew h i c hp r o v i d e s “c o s t i m u l a t i o ns i g n a l r e d u c i n gt h ep r o b a b i l i t yo ff a l s ep o s i t i v e w ea l s om i d i f l e dt h eg e n e r a t i n ga r i t h m e t i co fd e t e c t o rt og e n e r a t ed i v e r s i f o r md e t e c t o r ss ot h a tw ec a ns a v es y s t e mr e s o u r c eb yu s i n gl e s sd e t e c t o r st od e t e c tv a r i o i l si n t r u s i o n s k e y w o r d s ：i n t r u s i o nd e t e c t i o ns y s t e mi m m u n ep r i n c i p l em o b i l ea g e n tn e g a t i v es e l e c t i o na r i t h m e t i ca n t i g e nd e t e c t o r2刖舌随着i n t e m e t 的迅速发展和网络社会的到来，网络将影响社会的政治、经济、军事等各个方面，网络安全已成为世界各国共同关注的焦点。随着网络的广泛应用和发展，网络的安全问题越来越严重。而传统的安全技术如身份认证、访问控制和防火墙等，虽然在一定程度上发挥着作用，但是却存在着一些无法克服的缺陷。入侵检测作为信息安全保障的一个重要环节，很好地弥补了访问控制、防火墙等传统保护机制所不能解决的问题，因此引发了人们对其的研究热情。关于这方面的研究，国外从2 0 世纪8 0 年代末就已经开始，二十多年来入侵检测技术取的了很大的发展。但是，目前入侵检测系统仍存在许多不足之处，只利用常规技术是不容易解决这些问题的，因此需要在入侵检测研究领域中引入其他技术。生物体的自然免疫系统是一个分布式的自适应系统，它采用多层防护机制保护生物体免受外部病原体，如细菌、病毒、寄生虫和毒素等的危害。生物免疫系统具有良好的多样性、耐受性、免疫记忆、分布式并行处理、自组织、自学习和鲁棒性等特点。这些诱人的特性，引起研究人员的普遍关注。入侵检测系统的功能是检测威胁或危害主机或计算机网络资源的完整性、机密性和可用性的企图或行为，并收集入侵证据，为数据恢复和事故处理提供依据。免疫系统和入侵检测系统功能有着惊人的相似性，它们要解决的问题都可以被描述为识别“自体( s e l f ) ”和其他有害“非自体( n o n s e l f ) ”并将其消除这样一个问题。因此我们希望将一些免疫原理引入到入侵检测系统中，帮助入侵检测系统解决自组织、分布性与高效性等几个关键问题。迄今，提出基于免疫机制入侵检测模型的人员可分为3 个小组( 1 ) 美国u n i v e r s i t yo fn e wm e x i c o 的f o r r e s t ，h o f i n e y r 小组；( 2 ) 美国的u n i v e r s i t yo fm e m p h i s 的d a s g u p t a 小组：( 3 ) 英国u n i v e r s i t yc o l l e g el o n d o n 的k i m ，b e n t l e y小组。每个小组研究的方向都各有侧重。f o r r e s t 小组提出基于免疫耐受的阴性选择算法，并在该算法的基础上提出了一些检测方案，其中最重要的一个方案就是将系统调用的短序列定义为“自体”。这项研究被认为是将计算机安全研究引进了一个新的领域。d a s g u p t a 小组主要提出了将a g e n t 技术应用到基于免疫的入侵检测系统中的思想，并提出一个基于免疫的多a g e n t 入侵检测通用框架，该框架结构后来被许多入侵检测系统所引用。之后，他们又提出了使用实数表示“自体非自体”的方法，并将模糊逻辑应用到实数表示的免疫模型中。k i m ，b e n t l e y小组主要是在分析考虑了阴性选择算法的缺陷之后，提出了各种情况下的克隆选择算法，包括静态克隆选择算法、动态克隆选择算法和扩展的动态克隆选择算法。同时他们也提出了基因库进化，免疫记忆等机制。另外，移动a g e n t 技术是近几年发展起来的新型分布式计算技术，具有移动性、自治性，能感知外部环境并且能够根据自身设定的目标做出适当的反应。它的提出使得a g e n t 技术具有了动态性和分布式计算的特点，为分布式计算系统带来了诸多优点，如减轻网络负担、缩短网络等待时间、异构环境运行、健壮性和容错能力等。近年来，随着i n t e m e t 的蓬勃发展，a g e n t 在电子商务、个性化搜索引擎、网络管理和网络安全等方面都显示出了良好的应用前景。移动a g e n t最大的特色在于代码和状态的可移动性，它可以暂停在一个系统上的执行，将代码和执行状态封装到字节流中，然后转移到网络中的另一个系统上重新恢复代码和状态并继续执行。这使得移动a g e n t 具有许多优越性，如灵活性、可扩展性、高效性等，这也正是新一代入侵检测系统所需具备的一些特性。本文深入分析了一些免疫原理和移动a g e n t 技术，在此基础上提出了一个基于免疫的移动a g e n t 入侵检测系统( i m m u n eb a s e dm o b i l ea g e n ti n t r u s i o nd e t e c t i o ns y s t e m ，i m a i d s ) 模型。该模型将系统监控、数据收集、检测和响应功能分配到各个移动a g e n t 中，不同的a g e n t 模拟免疫系统的不同功能，并相互协作实现入侵检测任务的分布式运行。同时，模型借鉴免疫系统中被动免疫、自动免疫、阴性选择以及免疫记忆等原理构建了不同类型的检测器。本文对i m a i d s 模型的模块结构和体系结构进行了详细地介绍。同时对模型中各个模块的组成和工作机制进行了解释，其中重点分析了检测模块。对检测模块中的检测器进行了详细地设计，其中包括检测器的分类、构成、检测器生成算法，记忆机制的实现等。i m a i d s 模型与传统的同类模型相比主要的优点包括：( 1 ) 增加了提供“协同信号”的监控模块，克服了传统模型中由管理员或者抗体之间交互检验提供“协同信号”的缺陷，在节省系统资源的同时降低了检测系统的误报率。( 2 ) i m a i d s的检测器生成算法也作了很大的改进，其主要的优点是可以生成多样化的检测器，实现了使用较少的检测器检测多种入侵的目的，充分节省了系统资源。( 3 )i m a i d s 中的一些关键机制也作了很大的改进，如激活阈值、检测器类型、自体集收集方式和检测器生成方式等。我们也通过理论分析说明了i m a i d s 模型具有良好的可扩展性、可配置性、可伸缩性、动态适应性、鲁棒性以及较高的检测效率等特性，是一个比较理想的模型。但是该模型也存在一些缺陷，如自身的安全性不高、响应模式缺乏、研究的数据源比较单一等，这些问题都有待于日后进一步改善。全文共分为5 章，第一章主要介绍论文的研究背景和入侵检测系统相关知识。第二章主要介绍与i m a i d s 模型相关的基础知识，包括一些免疫原理和移动a g e n t 技术。第三章主要介绍一些与检测器相关的内容，包括检测器的定义、分类、构成、生成算法和算法的性能分析等。第四章提出了一个基于免疫的移动a g e n t 入侵检测系统模型，介绍了该模型的模块结构、体系结构和模块功能，重点分析了各个模块的构成及其工作流程。第五章对本文内容进行总结，并提出将来的研究方向。论文相关的研究工作得到“十五”“2 1 1 工程”重点学科项目“信息安全保密技术与相关数学理论研究”的支持。第一章入侵检测系统简介第一章入侵检测系统简介入侵检测系统利用其强大的主动策略和方案来增强网络系统的安全性，它可以弥补防火墙的不足，为网络系统安全提供实时的入侵检测及采取相应的防护手段，如记录证据、恢复或断开网络连接等。这引发了人们对入侵检测系统研究和开发的热情。本章主要介绍本文的研究背景以及与入侵检测系统相关的基础知识。1 1 研究背景1 1 1 网络的不安全性( 1 )网络本身是不安全的安全性与开放性本身就是一对矛盾。由于i n t e m e t 的基石t c p i p 协议在设计时主要注重互联和互操作性，而且在使用初期主要应用于一个可信的范围内，对安全问题的考虑较少，因此i n t e m e t 具有安全性先天不足的缺陷，并且这个缺陷因i n t e m e t 的跨国界性、无主管性、不设防性和缺少法律约束性而被加剧。另外各种操作系统和应用软件1 5 t 趋复杂，加上开发的时间有限，大多数软件都很少甚至没有经受必要的安全测试或检验，在这类软件中存在b u g 是在所难免的。而发布的新的软件补丁若考虑得不够周全又可能在修补了旧的漏洞的同时引发新的漏洞。因此网络协议和各种软件固有的安全缺陷构成了网络不安全的内因。( 2 )网络正在变得更加不安全当前i n t e m e t 正在越来越多地离开原来单纯的学术环境，融入到社会的各个方面。一方面，网络用户成份越来越多样化，使用网络的人员已经不是在i n t e m e t初期仅仅限于科技人员和学生，而是包括社会各个阶层的人员。另一方面，人员的多样化也使入侵的目的和动机更加复杂，由最初的少数几名黑客仅仅出于好奇心和显示自己高深技术的目的非授权进入系统，发展到今天大量黑客因利益驱使盗用资源、窃取机密、破坏网络。同时，由于网络的普及和黑客工具软件的流行使得攻击网络所需要的技术下降，而强度上升。上述这三方面的原因造成了网络安全事件迅速增长的外因。内因和外因共同作用使得网络安全性急剧恶化，c e r t c c 2 0 0 4 年的安全报告可以清楚地说明这一点l l j 。( 3 )不安全因素对整个社会的影响越来越大。随着网络互联的范围越来越广，社会对网络的依赖性也越来越强，与此同时安全隐患对社会的影响也越来越大。从个人隐私和资料，到企业利益，到政府形象和机密乃至到国家安全都与网络安全休戚相关。随着电子政务、电子商务、网上娱乐等一系列网络应用的蓬勃发展，网络越来越深地渗透到金融、商务、国防等许多关键领域。网络安全，包括其上的信息数据安全和网络设备服务的运行安全，日益成为与国家、政府、企业、个人的利益休戚相关的“大事情”。信息安全保障能力成为新世纪一个国家综合国力、经济竞争实力和生存能力的重要组成部分。第一章入侵检测系统简介1 1 2 入侵检测的必要性网络的不安全性并没有阻挡互联网的快速发展，但是如何在并不安全的网络环境中保证自身的安全，则是每个联入互联网的公司、政府、科研机构所必须面对的问题。因此计算机安全早已成为备受重视的研究课题。世界上众多科研机构经过十几年的研究，在计算机安全及网络安全领域中的许多方面取得了显著的成就。对于网络的安全防护，研究人员己经做了大量工作，按照研究方向的不同，大致可分为系统防护和内容安全两类。系统防护是指在现有系统的基础上，添加能够阻止网络攻击和入侵的屏障，来保护系统的安全。主要的研究成果有防火墙、入侵检测系统、入侵防御系统、蜜罐( h o n e y p o t ) 等。内容安全是指引入密码学的研究成果，在系统内加入加解密、数字签名、信息摘要等保密措施，提高系统自身的安全性。其主要成果有d e s 、r s a 加密算法、p g p 、i p s e c 等。在现有技术中防火墙是实用化并且较为流行的一种安全措施【i 】。但是防火墙是一种静态的防护措施，只能实现访问控制和过滤等基本功能，而且只适用于外对内或内对外的情况，即：对外可屏蔽内部网的拓扑结构，封锁外部网上的用户连接内部网上的重要站点或某些端口，对内可屏蔽外部危险站点，但它很难解决内部网控制内部人员的安全问题，所以防火墙难以适应一些复杂和变化的网络环境。入侵检测系统可以弥补防火墙的不足，为网络提供实时监控，并且在发现入侵的初期采取相应的防护手段，能为来自内外部的各种入侵提供全面的安全防御，己成为动态网络安全模型的一个必要环节。入侵检测技术在国外的研究已经有二十多年的历史，而在国内起步较晚。1 2 入侵检测概述入侵( i n t m s i o n ) 是指破坏主机或计算机网络资源的机密性、完整性和可用性的行为，以及迂回( b y p 嬲s ) 主机或网络安全机制的企图1 2 】o 可能导致入侵的情况包括进攻者通过互联网非法访问某些系统、系统授权用户试图取得未经许可的其他授权和授权用户滥用系统授权等。入侵者攻击系统一般经过下面的步骤：( 1 ) 准备阶段：被动侦察：包括嗅探流量或口令，以及用各种方法如搜索引擎或社会工程等方法进行信息收集。主动侦察：包括i p 扫描、端口扫描以及探测操作系统版本和漏洞等。( 2 ) 入侵阶段：入侵系统：利用操作系统或协议漏洞或是配置错误等侵入系统或使得系统不可用，或以该系统为跳板侵入到其他系统。上传程序：上传一些工具软件。第一章入侵检测系统简介下载数据：非授权下载数据。( 3 ) 善后阶段( 隐藏阶段) ：利用一些方法保持以后方便访问，如安插后门或安装特洛伊木马等。隐藏踪迹，如修改系统日志、隐藏入侵行为等。入侵检测( i n t r u s i o nd e t e c t i o n ) 通过对行为、安全日志或审计数据或其他网络上可以获得的信息进行操作，识别计算机网络系统上企图实施或正在进行的入侵活动【2 】其工作原理如图1 1 所示【3 】o 美国国际计算机安全协会o c s a ) 对入侵检测技术的定义是：通过从计算机网络和计算机系统中的若干关键点收集信息并对其进行分析，从中发现网络或系统中是否有违反安全策略的行为和遭到袭击迹象的一种安全技术。图1 1 入侵检测工作原理1 9 8 0 年，j a m e s a n d e r s o n 首先提出了入侵检测的概念【4 】，他将入侵定义为：潜在的、有预谋的、未经授权的访问信息与操作信息，致使系统不可靠或无法使用。他提出审计追踪可应用于监视入侵威胁，但这一设想的重要性当时并未被理解。一般把用于入侵检测的软件和硬件系统合称为入侵检测系统( i n t r u s i o nd e t e c t i o ns y s t e m ，i d s ) 。i d s 是一种能够通过分析系统安全相关数据来检测入侵活动的系统。一般来说，入侵检测系统在功能结构上基本一致，均由数据采集、数据分析以及用户界面等几个功能模块组成，只是具体的i d s 在分析数据的方法、采集数据以及采集数据的类型等方面有所不同。1 9 8 7 年，d o r o t h yd e n n i n g提出了i d s 的抽象模型【5 1 ，首次将入侵检测的概念作为一种计算机系统安全问题的防御措施提出，成为入侵检测发展史上的里程碑，该模型今天仍在i d s 中得到广泛应用。模型的三个主要的部件是事件产生器( e v e n tg e n e r a t o r ) ，活动记录器( a c t i v i t yp r o f i l e ) 和规则集( r u l es e t ) ，如图1 2 所示。事件产生器负责为模型产生事件，活动记录器保存目标系统的状态。当事件在数据源中出现时，活动记录器中的状态就会发生改变。规则集是一个普通的核查事件和状态的检查器引擎，它第章入侵检测系统简介根据模型、规则、模式和统计结果来检测入侵行为。此外，反馈也是模型的一个重要组成部分，现有的事件会引发系统的规则学习，加入新的规则或者修改己有规则。模型的三个子系统是独立的，可以分布在不同的计算机节点上运行。设计新的活动记录创建异常记录定义新规则修改旧规则图1 2d o r o t h yd e n n i n g 模型1 9 9 0 年，加州大学戴维斯分校的t o d dh e b e d e i n 写了一篇论文an e t w o r ks e c u r i t ym o n i t o r ) ) 6 1 ，提出了一个网络安全监控器，该监控器用于捕获t c p i p分组，第一次直接将网络流作为审计数据来源，因而可以在不将审计数据转换成统一格式的情况下监控异种主机，网络入侵检测从此诞生。i d s 的性能指标主要有检测率、误报率和漏报率：假设i 与，分别表示对目标系统的入侵行为和目标系统的正常行为，a 表示检测系统发出了入侵报警，“表示检测系统没有报警。检测率：检测系统发出入侵报警并且被监控系统确实受到入侵攻击的概率，可表示为p 0 1 a ) 。误报率：检测系统发出入侵报警而被监控系统却没有被入侵的概率，可表示为尸( 1 ，i 爿) 。漏报率：检测系统没有发出入侵报警而被监控系统却受到入侵的概率，可表示为p ( ，l 一) 。检测率、误报率和漏报率是i d s 研究的一个重要内容，提高检测率和降低误报率、漏报率对提高i d s 的安全性和准确度有着重要的作用。1 3 入侵检测系统的分类入侵检测系统的分类方法很多，本文主要介绍三种常见的分类方式，即根据检测引擎的实现技术、数据源和体系结构进行分类。1 3 1 根据检测引擎的实现技术分类根据检测引擎实现技术的不同，i d s 可分为两类：基于异常或行为的入侵检钡l j ( a n o m a l yd e t e c t i o n ) 系统，基于特征或滥用的入侵检测( m i s u s ed e t e c t i o n ) 系统。( 1 ) 基于异常的入侵检测系统异常检测技术假定所有入侵行为都与正常行为不同。它的原理是，假设可以建立系统正常行为的模型，所有与正常模型不同的系统状态均被视为可疑企图。异常阈值的选择是其成败的关键。这样，就能够检测出非法的入侵行为甚至是通第一章入侵检测系统简介过未知攻击方法进行的入侵行为。此外，不属于入侵的异常用户行为也能检测到。这种检测技术的局限性在于，并非所有的异常都表现为入侵，而且系统的模型难于计算和更新。基于异常的i d s 是“学习正常发现异常”，它的特点主要体现在学习过程中，可以在检测系统中大量借鉴其他领域的方法来完成用户行为概貌的学习和异常行为的检测，常用的方法有统计学、人工免疫、神经网络、数据挖掘以及状态机等。( 2 ) 基于特征的入侵检测系统基于特征的检测技术是假定所有的入侵行为和手段( 及其变种) 都能够表达为一种模式或者特征，所有已知的入侵都可以用匹配的方法发现。该技术的关键是如何表达入侵的模式，以正确区分真正的入侵与正常行为。模式发现的优点是误报较少，其局限性是只能发现己知的攻击，对未知的攻击无能为力。基于特征的入侵检测技术的研究主要是从2 0 世纪9 0 年代中期开始的，当时主要的研究组织有s r i ，p u r d u e 大学和c a l i f o m i a 大学的d a v i s 分校。这种方式可以检测出许多甚至全部己知的攻击行为，因此当前流行的系统基本上都采用了这种检测技术。对于基于特征的m s 来说，最重要的技术问题是：如何全面描述攻击的特征，覆盖在此基础上的变种。 如何排除其他带有干扰性质的行为，减少误报。解决问题的不同方式从一定程度上划分了基于特征的i d s 的类型。主要的类型有专家系统、按键监视系统、模型推理系统、状态转换分析系统和模式匹配系统等。( 3 ) 异常检测与特征检测的比较异常检测试图发现一些未知的入侵行为，而特征检测则标识一些己知的入侵行为。异常检测根据使用者的行为或资源使用状况来判断是否有入侵发生，而不依赖于具体行为是否出现来检测。特征检测则大多是通过对一些具体行为的判断和推理，从而检测出入侵。因此就检测效果而言，异常检测误报率较高，而漏报率较低：相反特征检测的误报率很低i 而漏报率却很高。因此，很多专家都在考虑充分利用这两种检测技术的优点，即有效的把这两种技术集成在同一个检测系统当中。而基于免疫的i d s 恰好是一个满足这样要求的系统，这也是基于免疫的i d s 引起人们兴趣的原因之。1 3 2 根据入侵检测系统的数据来源分类根据数据来源的不同，i d s 可分为两类：基于主机的入侵检测系统( h o s t - b a s e di d s ，h i d s ) 和基于网络的入侵检测系统( n e t w o r k b a s e di d s ，n i d s ) 。( 1 ) 基于主机的入侵检测系统h i d s 的检测目标主要是本地主机系统和网络系统中的本地用户，监视系统事件、安全记录及系统日志，以发现可疑事件。检测系统运行在被检测的单个主9第一章入侵检测系统简介机上，其主要目的在于保护关键应用的服务器。就目前的情况来看，d n s 、e m a i l 和w e b 服务器是多数网络攻击的目标，大约占据全部网络攻击事件的1 3 以上。这些服务器必须要与i n t e m e t 系统交互作用，所以应当在各服务器上安装基于主机的入侵检测软件，其检测结果也应及时地向管理员报告。h i d s 没有带宽的限制，它们密切监视系统日志，能识别运行检测系统的机器上受到的攻击。h i d s 提供了n i d s 不能提供的精细功能，包括二进制完整性检查、系统日志分析和非法进程关闭等功能。h i d s 最大的好处就在于能根据受保护站点的实际情况进行针对性的定制，使其工作非常有效，误警率相当低。但是h i d s 也存在一些缺点，主要表现在：会占用主机宝贵的资源，对系统的稳定性和可靠性可能造成一定的影响：检测范围小，只限于一台主机内；缺乏跨平台支持，可移植性差，因而应用范围受到严重限制：同时对针对网络协议的入侵行为无能为力。( 2 ) 基于网络的入侵检测系统n i d s 收集网络上的原始数据包作为数据源，分析可疑现象，不需要主机提供严格的审计，对主机资源消耗少，并可以提供对网络通用的保护而无需顾及异构主机的不同架构。它的攻击辨识模块通常采用4 种常用技术来识别攻击标志：模式、表达式或字节匹配；频率或穿越阈值；低级事件的相关性：统计学意义上的非常规现象检测。n i d s 一旦检测到攻击行为，响应模块就提供多种选项以通知、报警并对攻击采取相应的反应。n i d s 主要有以下优点：拥有低成本、实时检测和响应、能够检测未成功的攻击企图、而且独立于操作系统。n i d s 的缺点是监视数据量过于庞大，而且不能结合操作系统特征来对网络行为进行准确的判断。但是由于基于网络的入侵检测方式具有较强的数据提取能力，因此目前很多商用i d s 倾向于采用基于网络的检测手段来实现。当然目前的i d s 除了采用传统的审计记录和网络数据流信息源之外还可能采集其他安全产品如防火墙等的日志以及各种带外数据等等【2 2 1 。1 3 3 根据入侵检测系统的体系结构分类按照组成部分的分布情况，i d s 可以分为三类：集中式入侵检测系统、层次式入侵检测系统和分布式入侵检测系统。( 1 ) 集中式入侵检测系统这种结构的i d s 可能有多个分布于不同主机上的审计程序，但是只有一个中央服务器，如图1 3 所示。审计程序把当地收集到的数据发送给中央服务器进行集中分析处理。这种结构的i d s 在可伸缩性、可配置性方面存在致命缺陷：随着网络规模的增加，导致网络性能大大降低；系统安全性脆弱，一旦中央服务器出现故障，整个系统就会陷入瘫痪；根据各个主机不同需求配置服务器也非常复杂。i d e s 、i d i o t 、n a d i r 、n s m 这些较知名的i d s 都属于集中式结构。第一章入侵检测系统简介工作站工作站工作站图1 3 入侵检测系统集中式体系结构( 2 ) 层次式入侵检测系统此类i d s 一般用来监控大型网络，定义了若干个分层的监控区，每个i d s负责一个区，每一级i d s 只负责所监控区的分析，然后将本地的分析结果传送给上一层i d s ，结构如图1 4 所示。d i d s 、g r i d s 这些知名系统都属于层次式结构。图1 4 入侵检测系统层次式体系结构这种结构仍存在两个问题：当网络拓扑结构改变时，区域分析结果的汇总机制也需要做相应的调整；这种结构的i d s 最后还是要把各地收集到的结果传送到最高级的中央i d s 进行全局分析，所以系统的安全性并没有实质性的改进。( 3 ) 分布式入侵检测系统将集中式体系结构中中央服务器的任务分配给多个检测节点，每个检测节点相当于一个独立的i d s ，这些i d s 不分等级，各司其职，负责监控本地主机或者本网段的某些活动，这样的结构就是分布式i d s ，如图1 5 所示。图1 5 入侵检测系统分布式体系结构第一章入侵检测系统简介系统有效地利用各个主机的资源，消除了集中式检测的运算瓶颈和安全隐患，同时由于大量数据不需要在网络上传输，大大降低了网络带宽的占用，提高了系统的运行效率。在安全上因为各个i d s 分布、独立检测，只有在必要的时候才进行协作，任何一个检测节点遭到攻击都不会导致整个检测系统瘫痪。著名检测系统a a f i d 属于分布式结构。为了提高i d s 的健壮性、伸缩性、可维护性、效率和容错能力，许多专家提出了使用自治代理( a u t o n o m o l l sa g e n t s ) 来构建分布式入侵检测系统。这也是本文提出的入侵检测系统模型的重要依据之一。1 4 目前入侵检测系统的不足虽然入侵检测正迅速成为安全管理基础设施中的标准部件，但它仍是一项年轻的技术。在优化入侵检测性能方面有许多问题亟待解决，尤其随着网络规模不断的扩大和网络技术不断地发展。当前入侵检测系统面临的主要问题有以下几个方面：可扩展性差。一个好的i d s 应该能够根据其应用环境进行灵活配置，检测方法不应该对检测系统的环境做出假设，否则将会影响检测系统的可扩展性。但像基于神经网络等方法的检测系统，要么依赖于特定类型操作系统，要么依赖于特定的网络结构。 不能很好的检测所有的数据包。n i d s 难以跟上网络速度的发展。截获网络的每一个数据包，并分析匹配是否具有某种攻击的特征、需要花费时间和系统的资源。现在很多网络都是1 0 0 m 甚至是千兆网络，网络速度的发展远远超过了数据包模式分析技术发展的速度。 可维护性较差。维护一个i d s 所需要的技能远远超过专门的安全知识。更新规则集需要了解专家系统规则语言，并理解系统如何处理这些规则，如此才能够避免系统中己有规则和新增规则之间不必要的关联。为统计检测模块增加新的统计变量时也存在同样的问题。 检测分析方法单一。攻击方法越来越复杂，单一的基于模式匹配或统计的分析方法已经难以发现某些攻击。现在几乎所有的i d s 都使用了单一的分析方法。误报率和漏报率高。误报和漏报是i d s 不能得到广泛应用的重要因素。造成误报和漏报的原因很多，有入侵检测方法的原因，如系统采用基于规则库的特征入侵检测，就很难发现规则库里没有的入侵方式；还有i d s 体系结构上的原因，譬如系统的弱点或漏洞分散在网络中各个主机上，这些弱点有可能被入侵者一起用来攻击网络，而依靠单一的h i d s 或者n i d s 则难以发现入侵行为。大量的误报和漏报使得发现问题的真正所在非常困难。采用当前的技术及模型，完美的i d s 是无法实现的。不能和其他网络安全产品互操作。入侵检测不是安全的终极武器，一个安全的网络中应该根据安全政策使用多种安全产品。但i d s 不能很好的和其他安第一章入侵检测系统简介全产品协作。比如，一个网络中每隔两小时自动运行一次漏洞扫描程序，如果它们不能够互操作，i d s 将每隔两小时产生一次报警。发现新入侵方式的能力差。目前绝大多数的i d s 自身带有一定规模和数量的入侵特征模式库。特征模式库的提取和更新依赖于手工方式，系统维护量大。而具有自适应、自学习能力的i d s 还不成熟。 不同的i d s 之间不能互操作。在大型网络中，网络的不同部分可能使用了不同的i d s ，但现在的i d s 之间不能够交换信息，使得发现了攻击时难以找到攻击的源头，甚至给入侵者制造了攻击的漏洞。对系统自身的攻击不可避免。和其他系统一样，i d s 本身也往往存在安全漏洞。如果查询b u g t m q 的邮件列表，诸如a x e n tn e t p r o w l e r ，n f r ，i s sr e a l s e c u r e 等知名产品都有漏洞被发掘出来。若对i d s 攻击成功，则直接导致其报警失灵，入侵者在其后所作的行为将无法被记录。1 5 基于免疫的入侵检测从上节可知，现有的入侵检测系统存在许多不足之处，急需引入新的技术来构建新一代的入侵检测系统。生物的自然免疫系统在抵抗病毒和细菌等病原体的入侵方面担当着与入侵检测系统类似的任务。虽然生物体在生存期间会遇到来自体外的各种病原体的侵袭以及体内细胞的癌变等挑战，但生物免疫系统能够比较圆满地完成检测异常，保护生物体正常工作的任务1 7 , 8 1 。相比较而言，免疫系统既进行基于特征的检测，又进行基于异常的检测，而且在分布式的环境中能有效地完成任务。所以自然免疫机理为入侵检测系统的设计提供了新的思路。我们希望能够通过建立基于免疫机理的新一代入侵检测系统，使得入侵检测系统具有自组织、自适应、分布式与高效性等优点。1 5 1 免疫系统简介生物免疫系统是用以保护生物体免受外部病原体，如细菌、病毒、寄生虫和毒素等危害的生理系统。它能够识别任何有害的细胞或分子并将其消除。免疫系统所要完成的功能可以简单地归结为两个方面的内容：首先是病原体的识别功能即检测功能；其次是对病原体的删除以尽量减少病原体对躯体的损害。检测问题通常被描述为识别“自体( s e l f ) ”和“非自体( n o n s e l f ) ”。这里“自体”是指生物体自身的元素，而“非自体”是指病原体。然而，一些病原体是无害的，如果免疫响应删除了它们容易破坏生物体本身。在这种情况下，不响应是更健康的。因此更精确的说：免疫系统面对的问题是区别“自体”和有害的“非白体”p j 。如果病原体被检测出来，免疫系统以不同的方式清除它们，完成这个任务的免疫系统部件称为效应器。免疫系统的清除工作面对的任务就是：针对不同的病原体选择合适的效应器将其清除。1 5 2 免疫原理应用于i d s 的优点通过对于免疫原理的应用可以使i d s 具有如下生物免疫系统的特性【lo 】。第一章入侵检测系统简介 分布式保护( d i s t r i b u t e dp r o t e c t i o n ) 。免疫系统由分布于整个机体的多个代理或组件构成，这些部件在局部相互作用以提供对整个系统的完全分布式保护。没有( 或有很弱的) 集中控制中心，因此不存在单点失效问题。多样性( d i v e r s i t y ) 。免疫系统有几种形式的多样性。例如，每个生物个体有自己独特的免疫系统，即每个个体对同种疾病的抵抗力是不一样的，从而提高了整个集体的健壮性。每个个体的免疫系统都是由提供多种多样的模式识别的不同部件组成，以使免疫系统能够检测出多种多样的病原体。鲁棒性( r o b u s t n e s s ) 。免疫系统由大量的部件组成，使得损失少数几个部件不会影响系统的整体性能。这种可任意使用组件与整个系统控制无中心化的特性，可使系统具有较强的鲁棒性。-适应性( a d a p t a b i l i t y ) 。系统具有自适应性，能够通过学习，越来越准确地识别病原体的结构，并进行有效的响应。适应性加速了免疫响应。记忆性( m e m o r y ，s i g n a t u r e b a s e dd e t e c t i o n ) 。免疫系统能够记住由白适应性学习得到的入侵病原体的特征结构，使系统在以后遇到结构或特征相似的入侵时能快速地做出反应。这种记忆特点促使系统能够对已知的入侵病原体进行检测，从而使得基于特征的入侵检测得以实现。 隐含策略的描述( i m p l i c i tp o l i c ys p e c i f i c a t i o n ) 。系统对“自体”的描述是通过跟踪躯体内的蛋白质结构隐式确定的，而不是通过明确的规则描述来定义的。这里的“自体”对应正常行为，这样的系统不必担心由于规则的描述不当或规则的泄漏而引起安全问题。灵活性( f l e x i b i l i t y ) 。免疫系统能够灵活的分配资源。当系统遭受比较严重的入侵时能使用较多的资源，产生较多的组件；而在其他时候，则使用较少的资源。例如，高度紧张的人容易生病，而病人需要更多的休息。可扩展性( s c a l a b i l i t y ) 。从分布式处理的角度看，系统各组件问的通信与交互是局部的，因此系统是可扩充的。也就是说，仅需要少量的开销就可实现组件数量的增加。异常检测( a n o m a l yd e t e c t i o n ) 。通过多种手段使系统具有对新病原体的检测功能。在多数情况下，异常检测不如特征检测有效。但异常检测对一个系统的生存至关重要，因为在系统的生命周期中总是会遇到未出现过的新病原体。1 5 3 免疫原理在入侵检测中的应用将免疫原理应用于计算机安全领域始于1 9 9 4 年，当时从事这方面研究工作的主要是新墨西哥大学的s t e p h a n i ef o r r e s t 和她的研究小组。到目前为止，在国外将免疫原理应用到入侵检测方面的研究具有代表性的人员可分为3 个小组美国u n i v e r s i t yo f n e wm e x i c o 的f o r r e s t ，h o f m e y r 小组：美国的u n i v e r s i t yo fm e m p h i s 的d a s g u p t a 小组；英国u n i v e r s i t yc o l l e g el o n d o n 的k i m ，b e n t l e y 小组。每个小组研究的方向都各有侧重。f o r r e s t 最先提出了基于免疫耐受的阴性选择算法【l l 】。在此基础上他们设计了一个病毒检测程序，使用阴性选择( n e g a t i v es e l e c t i o n ) 算法来检测数据和文件第一章入侵检测系统简介的变化，来发现计算机病毒。这种方法比起其他病毒检测方法具有三个优点：其占用的c p u 时间是可调的：它是分布式的：具有识别未知病毒的能力。f o r r e s t 等人在接下来的研究中将阴性选择算法用于监视u n i x 进程 1 2 , 1 3 】，将“自体”定义为动态计算机环境下进程的合法活动。“自体”的这种定义对恶意攻击非常敏感。一般情