（系统工程专业论文）免疫原理在网络考试系统安全中的应用.pdf

中文摘要 目前网络技术正在日新月异的飞速发展。网络技术也被应用到教学领域中， 尤其是基于网络的考试系统越来越普及。同时，网络不安全的因素越来越多，网 络安全技术受到严峻的挑战。 再用传统的安全技术应对现阶段的网络攻击显得有 些捉襟见肘。 因此， 网络考试系统的安全性成了考试系统设计中首当其冲的问题。 怎样才能保障考试系统的安全运行并且尽可能少的受到不安全事件的攻击。 这需 要建立新的安全策略，安全体系。如果安全系统具有很强的自适应性和基于动态 防御，可以大大提高系统的安全性。生物机体具有很强的免疫功能，是因为机体 内的免疫系统具有识别、记忆的功能。并且有很高的智能，可以分辨出抗原,即 非自体物质并将其清除体内以保护自身。 如果基于网络的考试系统也具有这种智 能的识别与记忆， 并且可以在识别非自体后将其清除这将使网络考试系统安全性 有很大的提高。正由于安全体系需要模拟生物机体的免疫功能，本文将免疫系统 的理论与网络安全技术融合在一起，建立一种基于动态防御，并且具有自适应学 习功能的安全体系。这样可以实现网络考试系统资源有效安全的利用。可以使考 试更公平、公正。 关键词：考试系统，免疫系统，入侵防御系统，安全模块 免疫原理在网络考试系统安全中的应用 6 abstract the current network technology is developing and changing rapidly. network technology is also applied to the teaching field. particularly test system based web is becoming increasingly popular. meanwhile, the network became more and more insecurity. network security technology is facing a challenge. at this stage,if use traditional security technologies deal with the network attacking looks a little stretched. therefore, the security of the test system based network has become the first problem to system designing. how can we guarantee the safe operation of test systems and as little as possible attack by unsafe events. it requires a new security policy, security system. if the security system has strong adaptability and dynamic defensing, it can greatly improve the security of the system. living organisms have a strong immune. because the bodys immune system has the functions of memory and identified. and have high intelligence, can distinguish antigen. body of material that is non-self. immune system can remove it from the body to protect itself. if the web-based test systems have this feature, this will allow the network test system has greatly improved security. as the security system needs to simulate the immune function of biological, in this paper the theory of the immune system and network security technology together to establish a defense based on dynamic and adaptive learning function security system. this network test system resources to achieve effective and safe use of. it could make test more fair and just. keywords: examination system ； immune system ； intrusion prevention system；security module 36 独创声明独创声明 本人郑重声明：我所呈交的学位论文，是在孙 敏导师指导下独立完成的，学位论文的知识产权属 于山西大学。如果今后以其他单位名义发表与在读 期间学位论文相关的内容，将承担法律责任。除文 中已经注明引用的文献资料外，本学位论文不包括 任何其他个人或集体已经发表或撰写过的成果。 本人郑重声明：我所呈交的学位论文，是在孙 敏导师指导下独立完成的，学位论文的知识产权属 于山西大学。如果今后以其他单位名义发表与在读 期间学位论文相关的内容，将承担法律责任。除文 中已经注明引用的文献资料外，本学位论文不包括 任何其他个人或集体已经发表或撰写过的成果。 学位论文作者（签章） ： 2010 年 5 月 20 日 第一章 绪论 1 第一章 绪论 1.1 研究背景 随着计算机硬件、软件以及网络技术的飞速发展，基于网络的考试系统已经 越来越多的出现，网络考试系统逐渐将替代传统的考试方式笔试（pen & paper test） 。最初的考试方式是纸和笔，之后采用阅卷机阅卷（standardization test） 。 虽然在形式上有很大的进步，一定程度上也减少了劳动量，同时考试形 式也相对规范些，但是在试卷命题、题库管理、成绩管理、试卷管理、判卷等环 节还有很多弊端。 因此基于网络的考试系统应运而生， 它可以借助 internet 技术， 实现本地考试或远程考试。 与传统的笔试相比， 有很大的优越性和灵活性。 此外， 网络考试系统可以实现自动组卷、自动判卷，从而减少了教师命题、判卷等工作 量。同时，提高了工作效率和考试的公正性。 但是由于 internet 的开放性、动态性也使网络考试系统存在很多潜在的不安 全因素。 例如， 合法用户身份的确认， 非法用户越权访问， 试题数据库的完整性， 数据传输的安全性，篡改答案或成绩等。这些不安全因素威胁着整个考试系统的 正常运行。为了安全高效的利用基于网络的考试系统，本文网络考试系统安全性 的角度出发对考试系统进行设计。 1.2 考试系统的发展 最初的考试系统是单机考试系统，对数据的保存主要依靠软盘等存储设备保 存数据，这样不仅不利于数据保存，而且也容易通过复制他人数据达到作弊的目 的。鉴于单机考试系统的弊端，现在已逐步被网络考试系统替代。 网络考试系统根据使用的范围分为局域和广域两种。基于局域网的考试系统 有， “全国计算机等级考试” 、 “电子商务大赛考试” ，还有职业技能考试、行业计 算机考试。其特点是每个考场作为一个局域网，有考生使用的考试机、服务器以 及监控机。早期基于局域网的考试系统在安全和功能方面都有缺陷。虽然能够实 现自动组卷、计时、判卷的功能，但是只局限于特殊的题型和一部分科目。基于 网络的考试系统主要应用用在学习者自我检测或远程教育系统中。 下面介绍几种 网络考试系统的特点。 powerexam 系统，该考试系统是基于网络的通用考试系统。被授权的考生 不论在何处，只要使用浏览器就可以登录。该系统可以应用于局域网，也可以用 免疫原理在网络考试系统安全中的应用 2 于互联网。此外它使用非常方便，可以将现存的用户信息、试题库、知识点库等 导入。在系统构架上，它是将后台管理与前端应用相结合，是动态的、开放的构 架，把基于网络的考试和传统的培训模式很好的结合起来。powerexam 系统不 具有考试功能，而且还集学习、培训于一体。该系统完全采用使用者自定义试题 的类型、题库设计也是开放的，也正由于它的开放性、自定义性，使系统的安全 性面临一些潜在的威胁。 目前考试系统还有很多，如：清华泰豪网络考试系统、 信心网络考试系统、 est 考试系统等等，都具有很强大的功能。这几种考试系统不仅有基于单机的， 还有基于网络的。它们共有的特点，只注重怎样具有完备的考试功能，而没有很 完善的安全性能。所以这些系统更适合用于练习或者培训时用。而全国统考类的 考试对安全性、公正性要求很高，如果使用这类考试系统就有很多弊端和不足， 无法实现考试的公平性。 非常有名的 sylvan promentic 及 vfe 两个考试中心，它们组织了很多国际性 的考试，如：gre、tofel。一般这些考试的试题都是由某个授权代理发放，并 且这两个考试机构组织的考试都是以 ssl 把用户的浏览器和服务器连接起来。 这种方式一定程度上是比较安全的。但是也存在薄弱环节的，最近几年之所以微 软取消微软认证专家考试，就是由于 mcp 考试系统安全性不够高，使微软认证 的权威性降低。前几年，tofel 考试也因考试系统安全性的问题被取消了一次。 国外的这些大型考试机构所使用的考试系统，在功能上是非常完备的，但是系统 的安全性还是需要提高。 1.3 课题引入 由于传统的考试存在很多弊端，浪费人力、时间，并且无法保证的数据的安 全性和考试的公正性。因此基于网络的考试系统必然将取代传统的考试方式。同 时，随着网络技术的不断进步，人们对考试系统的安全性能要求也越来越高。 在考试系统设计开发过程中，除了不断完善其功能外，首当其冲的是必须提 高考试系统的安全性。目前，使用最多的网络安全技术是加密技术、访问控制技 术、防火墙技术、vpn 技术、入侵检测技术等。这些技术的总体特点是必须依 靠正确的系统设置及完善的防御策略， 而且在很多情况下只对某些特定的攻击和 网络中的薄弱环节起作用。从基于网络的考试系统出现至今，大多数考试系统中 的安全策略都是静态的。而 internet 又是复杂多变的，它没有统一的通信过程。 因此，用静态的模型去防御动态的系统是非常有局限性的。为了使考试系统具有 第一章 绪论 3 自适应性、多样性，能够实现用动态的模型去防御动态的系统，开发者必须寻求 新的安全技术。 近几年， 由于生物系统具有自适应性， 它不断被研究者应用到生活各个领域。 如，进化算法、遗传算法等。生物免疫系统具有识别“非我”和“自我”的能力， 从而清除“非我”保持机体健康稳定。自适应性是生物系统之所以能够自我防御 并保证自身安全的重要特性。除了自适应性，生物免疫系统还具有很强的学习、 记忆和特征识别能力。研究者从中获得启发，试图能将生物系统的免疫性能应用 的考试系统中， 使考试系统也具有像生物系统一样的自适应性、 分布性、 多样性。 在传统的网络安全技术的基础上，结合生物免疫技术，我们可以使基于网络的考 试系统具有更高的安全性能。 在后面的章节中将依次介绍生物免疫系统的原理；网络考试系统中常用的安 全技术；最后实现生物免疫嵌入考试系统的设计。 1.4 论文的主要工作 本文提出了生物免疫原理应用于网络考试系统的思想，主要工作有： 阐述了基于网络考试系统的发展， 分析了传统的网络考试系统的安全性问 题。 详细介绍了目前的安全技术，并进行了分析比较，指出其不足。提出了 基于动态的自适应防御系统。 介绍了生物免疫系统的相关理论，以及机体中重要的免疫机制，并将其 与考试系统中的相关概念联系起来。 从全局的角度出发，将免疫理论嵌入考试系统安全模块中。并且实现了 宏观的设计。 具体介绍了基于网络考试系统的安全模块的实现过程，如何实现将基于 免疫原理的 ips 嵌入其中。 最后对系统进行测试， 并对系统参数实现最优化配置。 第二章 网络信息安全技术 4 第二章 网络信息安全技术 当今社会，信息已经成为一种重要的资源，为各个领域发展发挥着重要的作 用。它改变了人们以往的工作和生活方式。由于网络的开放性、共享性，使信息 安全成为人们关注的社会问题。而且这个问题越来越凸显出来，无论是恶意的破 坏，还是不小心的失误，都可能造成无法估计的损失。因此网络的信息安全技术 越来越受人们重视。 目前考试系统的主流都是基于 web 的考试系统，它也具有开放性、共享性的 特点。因此考试系统的安全性问题也是必须解决的。考试是否公平、公正就看考 试系统的是否安全。 本章着重分析当前基于网络考试系统中常用的安全技术的特 点及不足，从而进一步改进传统的安全技术与策略，以弥补安全技术中的不足。 2.1 信息安全概述 2007 年informationweek与埃森哲咨询公司一同对全球信息安全进 行调查，很多国际的大公司制定了 it 安全管理体系框架。管理体系由安全策略、 管理规范、 用户行为守则等管理文档； 而安全事件的收集与分析子系统单独设计。 在这次调查中，58%的中国公司比一年前更容易受到恶意代码的攻击，而且 56%的中国公司认为安全威胁的手段更高明，比如 sql injection 漏洞，46% 认为攻击公司网络的途径更多，包括无线攻击，42% 信息安全策略不完善。目 前为止，中国网络信息安全的状况仍不是很乐观，病毒种类不断增加，它们有如 下特点：出现更高级的隐藏技术、逃避技术，使重要的隐私和秘密数据受到更大 安全威胁。不仅是企业面临的网络信息安全局势日益严峻，教育行业也受到了威 胁。虽然，教育行业不是网络攻击的重要目标，但是由于使用者所具备的信息安 全技术很有局限，而且用户数量越来越多，导致各种各样的网络入侵行为越来越 多，使安全问题凸显出来。 基于上述的背景下， 我们要设计安全的网络考试系统必须了解常见的网络不 安全因素都有哪些方面。只有这样才能做到有目标的设计和改进。 1. 未经授权的用户访问 这种访问主要有：假冒身份、未授权用户进入系统（违法操作）、对 合法用户进行身份攻击，合法用户进行一些越权操作等。未经同意， 使用网络中的资源或享受某种特权被称为未经授权访问。这种用户一 般可以逃避网络中访问控制机制，对信息资源或设备非法使用。 免疫原理在网络考试系统安全中的应用 5 2. 数据完整性被破坏 未经授权的用户对数据非法使用、随意修改、删除、插入数据。添加 一些恶意代码，使合法用户无法正常使用。 3. 泄露信息或丢失信息 最常见的， 很多非法用户通过隐蔽隧道的形式窃取重要的数据和信息。 重要的数据信息被泄漏，往往会造成无法估量的损失。 4. 网络中传播的病毒 常见的病毒对数据的破坏方式有三种：未经授权的用户访问、未经授 权的用户修改数据、已经授权的用户被拒绝。各种各样的攻击无非有 三个目的：读取重要数据、破坏重要数据、对合法用户的访问拒绝。 5. dos 攻击 dos 的英文全称是 denial of service,也就是“拒绝服务”的意思。从网 络攻击的各种方法和所产生的破坏情况来看,dos 算是一种很简单但又 很有效的进攻方式。它的目的就是拒绝你的服务访问,破坏组织的正常 运行, 最终它会使你的部分 internet 连接和网络系统失效。dos 的攻击 方式有很多种,最基本的 dos 攻击就是利用合理的服务请求来占用过 多的服务资源,从而使合法用户无法得到服务。 由于网络的开放性、共享性，给传统的考试方式很大的冲击。基于网络 的考试系统虽然使考试效率有了很大的提高，但也面临很多安全方面的问 题。因此，考试系统的安全性、稳定性已经成为衡量一个考试系统好坏的重 要指标。为了保证考试系统的安全性，必须从以下几个方面考虑：保证数据 的完整性、数据的机密性、数据的可用性、数据的可控性以及可审查性。通 过这五方面的设计，使基于网络的考试系统可以防止未经授权对数据随意访 问、篡改（机密性） ；使授权用户正常使用，不遭受 dos 攻击（可用性） ；实 现对考试系统安全性的实时监控（可控性） 。 针对以上对考试系统要求的几个标准， 目前常用的安全技术有防火墙技 术、入侵检测技术、入侵防御技术、vpn 技术、访问控制技术等。 2.2 防火墙技术 2.2.1 防火墙技术概述 防火墙是建立在一个内部网络与其他外部网络之间的软件或硬件， 它有 相应的安全策略控制用户是否有权限对某些主机访问。包括：内部网络用户 第二章 网络信息安全技术 6 对外部网络主机的访问管理，外部网络用户对内部主机的访问。它能有效地 控制网络内部与外部的数据传递的安全性。 防火墙可以过滤每个经过网络的报文和访问请求。 不安全的数据报文和 可疑的访问请求被拒绝。一般的防火墙是有路由器、交换机以及访问控制列 表组成。它的优点是：网络中的很多服务都受其保护；防火墙从物理上外部 网络的可疑或有害用户访问内部网络，使每个报文和访问请求都强制经过它 的过滤；可以实现对网络中每台计算机的集中管理，其中的安全策略在整个 内部生效。 常见的防火墙分为：过滤型防火墙、代理型防火墙。 第一种过滤型， 传统的包过滤技术是对数据包头部的分析过滤实现对访 问的控制，主要依赖于路由器的访问控制，路由器中有相关的程序，用来检 查数据包的头部，并根据一定的安全策略判断 ip 包是否可以通过。主要的 属性：ip 源地址、ip 目标地址、端口号、协议类型等。虽然过虑型防火墙 对数据包的检验速度较快，但是属于静态的。如何使防火墙有基于动态的过 滤功能，将大大提高安全性。现在最常用的技术是，在防火墙的缓存中放一 个动态表。 第二种代理型防火墙是在内部网络与外部网络中间起着中介的作用。 不 允许终端进行直接通讯，外部网络直接连接代理服务器，而内部网络对外部 的访问请求也需要先经过代理服务器。代理服务器检查所有的数据包，符合 访问控制规则的数据可以进行正常的访问。这种防火墙的缺陷在于增加的网 络服务必须由相应的代理程序。 通常使用的防火墙是上述两种防火墙技术的结合。其原理如下图： 典型的防火墙模型 基于上图模型的防火墙实际还是一种访问控制， 它的安全规则大都是预先设 置好，而且这些规则是粗粒度的过滤；其次这些规则不能及时的对异常攻击做出 免疫原理在网络考试系统安全中的应用 7 反应，属于静态防御；再次防火墙不能实现自动调整安全策略；另外它只能对外 部网络的攻击起到一定的防范作用，对内部的不安全访问没有相应的安全策略； 防火墙也不能抵御通过后门对网络的攻击。 2.2.2 防火墙与入侵检测的联动 防火墙与入侵检测的区别在于：前者是基于访问控制技术，属于主动防御； 而后者是被动防御。假如把二者结合在一起实现联动，使入侵检测和防火墙相辅 相成，在功能上实现互补。入侵检测可以实时识别不安全的访问，并且可以根据 攻击修改防火墙中的安全规则。这样的联动可以实现动态防御；由于入侵检测缺 乏访问控制，防火墙可以解决这个问题。 但是这种联动机制也有不足：第一，联动机制是防火墙和入侵检测系统的协 同工作， 这两部分的依赖性很大， 其中一个出现故障整个系统都将无法正常工作。 第二，入侵检测将过滤每个可疑的访问以及每个不安全数据包，但是正确率不是 很高，此外将检测标准转换成安全规则也很难实现，防火墙不容易接受入侵检测 提供的安全规则。第三，这种联动技术目前还没有一个普遍认可的技术标准。 2.3 入侵防御技术 入侵防御系统（intrusion prevention system）是基于动态安全防御技术。 它不仅具有入侵检测对数据的审查功能，还能实现访问控制。因此它可以实时检 测入侵行为， 并且及时中断不安全访问。 它的最显著特点在于， 不需要人的控制， 就可以识别出未知的不安全访问并中断。 2.3.1 入侵防御系统模型 ips 可以实现主动防御，及时中断攻击并截获不合法数据包。每个事件经过 ips 时必须经过规则库和策略库。在规则库的帮助下，使检测模块能够更准确的 检测出非法事件；规则库中的规则被检测模块所应用，当其判断某事件为非法事 件时，它会很快的给响应模块。而当发现非法事件时，策略库可以提供一定的响 应方式。在这个模型中，所有的网络事件都被响应模块处理后才输出。 图表 1 第二章 网络信息安全技术 8 为了让入侵防御系统具有很高的主动防御性，必须使其满足几个条件。第一，使 其置于信息传输的路径中，每个数据包或访问请 图表 2 求都经过其检测。并且入侵防御系统的嵌入不会影响原有网络的工作。第二，由 于所有的数据都经过入侵防御系统，因此要求其吞吐量必须大，同时不能使信息 传输延迟太多。如果不具备这样的特点，它将成为瓶颈。第三，入侵防御系统对 恶意攻击必须及时中断， 能够对拒绝服务、 病毒及各种恶意攻击进行有效地防御， 必须采用统计、数据摘要等方法，而且应该具备从传输层到应用层各个层次的防 御能力。第四，网络环境具有动态性，只有使入侵防御系统与网络环境同步，才 能及时识别恶意攻击并中断，因此分析器除了安全规则外，最主要是具有自适应 性。在 ips 收集网络中一些信息，让分析器分析后进行识别。第五，分析器识别 出恶意代码后，系统必须快速做出反应。此外，ips 规则库中的规则可以手动的 添加、更新、删除。 2.3.2 入侵防御系统分类 按照防御的对象不同，将 ips 分为基于网络内部服务器的防御和基于动态 网络环境的防御。 一、基于主机的入侵防御系统 防御对象是主机的 ips，检测的对象是对网路内部服务器的入侵及非正常的 线程存在。通常是对主机的通信数据实时审计，并对日志分析和检查，当检测出 非正常的网络事件时系统会发出报警。 二、基于网络的入侵防御系统 基于网络的 ips 一般安装在动态网络环境中，实时检测网络中所有的数据通 信，并对这些网络事件进行分析。当发现某个事件为或可疑事件或非法攻击时， 入侵防御系统就会发出警报或者中断数据通信。 其工作流程是，系统根据每个数据包的头部信息对其分类，每类数据包都有 相应的过滤器。在过滤器中，对每个数据包进行深层次分析，如果检查出恶意攻 击就立即中断并丢弃该数据包。 免疫原理在网络考试系统安全中的应用 9 2.4 本章小结 上面论述了几种安全技术，防火墙是网络的最外城屏障，能有很有力的阻止 外部非法访问。入侵防御系统是处于网络内部的防御机制，补充了防火墙无法检 测内部网络攻击的缺陷。两者里应外合，从不同的方面去维护网络安全。每种安 全策略都不可能是尽善尽美的。例如，防火墙检测出某些非法访问后可以中断其 事件过程，当系统参数配置出现问题时可能会导致系统安全策略失效。而 ips 是 作为补充出现在安全系统中，它使整个系统的安全性大大提高，但是又不能单一 的使用 ips 系统作为整个考试系统的安全机制。因此，需要将多种安全机制融合 在一起，从更高的层次上对安全策略进行定义。这个融合的机制应该是丢掉传统 的静态特性，应该适应网络实时更行的特点。使整个安全体系基于动态的变化。 所谓静态，是指安全策略或规则实现由设计人员手动设置。很多非法用户会 对安全策略进行反复尝试，以发现其漏洞。为了避免这种情况，我们应该使动态 的 ips 系统具有稳定性、健壮性、自适应性。当系统处于安全状态时是稳定的， 而检测出攻击后，系统需要立即在安全策略的控制下去响应。这就打破了原有的 稳定、平衡状态。为了使系统重新安全、稳定，必须依赖于安全体系。如果安全 体系可以使系统不断的从一个不稳定走向另一个稳定，说明这个系统是健壮的， 自适应的。在本系统的设计中，我们将传统的安全技术与自适应性相结合。使考 试系统具有动态的自适应性。 第三章 人工免疫系统原理 10 第三章 人工免疫系统原理 基于网络的考试系统安全体系需要保护系统中的主机不受到非法攻击，并且 需要在识别出非法事件后可以中断其访问并清除事件。 这与生物机体的免疫功能 非常相似。免疫系统可以保护生物机体不受到非自体的侵害。如果将免疫原理应 用于考试系统安全模快中，可以使考试安全机制模仿生物免疫系统。这样可以大 大提高考试系统安全性。 本章介绍免疫系统理论为考试系统安全性设计提供理论依据。如：生物的机 体的多道免疫防线，及自体耐受的否定选择等免疫细胞的响应方式。考试系统的 安全策略响应模式也将模仿生物机体特征实现自适应性。 3.1 免疫系统的结构 细菌与人体存在着紧密的关系。当人体内的菌群平衡时就共生。多数细菌寄 生在人体内，吸收营养并产生某种能保护人体不受伤害的物质。例如：病毒、细 菌等通过呼吸道等多种方式进入体内，通常也称为抗原物质。正由于这些抗原物 质的存在才保持了人体内环境的平衡。 抗原体的存在使生物体自身进化出了自适 应的免疫功能。这种免疫功能也是生物机体与抗原物质竞争中才具有的。免疫功 能是由多层次的免疫系统体现出来的，它为生物机体健康建立一道道屏障。 多层免疫系统模型如下图。 第一道屏障是生物机体遗传而来的天然防御系统，它包括皮肤、粘膜等等。 它可以防止抗原物质侵入体内。 而且身体最外层组织下的腺体组织可以阻止细菌 滋生并杀死菌体。除了皮肤、粘膜作为第一道屏障，还有人体分泌的一些液体是 图 3-1 多层免疫系统模型 免疫原理在网络考试系统安全中的应用 11 人体的第二道屏障。如：泪液、汗水等。这些体内分泌的液体物质可以使细菌致 死。起到调节菌群平衡的作用。第三道屏障是免疫细胞。它们存在于血液、身体 某些内脏器官、骨髓中。这些免疫细胞实时监测着侵入体内的细菌。这三道屏障 都是广泛的免疫机制。并不是特异针对于某种抗原物质。在人体中首先起作用的 就是这三道屏障，即非特异性免疫。 当抗原物质冲破以上三道屏障后，生物机体就出现特异免疫。免疫细胞开始 识别抗原物质，它们一般只识别某种抗原或某几种。当识别出抗原物质后，特异 免疫细胞就被激活，随后快速繁殖，进而消灭抗原的过程就是特异性应答。初次 识别某种抗原后，免疫细胞具有学习、记忆的特点。当第二次被相同抗原物质激 活时，免疫细胞会比初次响应速度更快。 基于网络的考试系统模拟免疫系统的多层防御机制，使其具有多层安全防护 机制，使其可以像生物机体一样学习、记忆。能够鉴别出非自体事件并清除非自 体。 3.2 生物系统的免疫机制 基于网络的考试系统除了模拟免疫系统多层次防御机制外，还可以模拟一些 免疫系统方法。在生物机体中，免疫系统能够成功鉴别出“非自体” ，其识别方 式是将所有的细胞分为自体细胞与非自体细胞。免疫功能只作用于非自体。机体 中有专门用作识别非自体的细胞。如图 3-2 所示。 图 3-2 阴性选择 第三章 人工免疫系统原理 12 这些检测细胞最初是随机产生的，由于它们并没有成为真正的检测细胞。检 测细胞只能识别出非自体，如果能识别自体的免疫细胞将被清除。因此随机产生 的检测细胞先进入胸腺。其中有所有的自体细胞。这些未成熟检测细胞与自体集 合一一比较。最终将那些识别自体细胞的清除，而不识别自体的将成为真正的检 测器。只要检测器识别出非自体，必须对其采取措施，抑制其生存并消灭。这种 免疫方法应用在考试系统安全模块中将会使系统安全性大大提高。 在考试系统中模仿了免疫系统中的检测细胞做检测器的原理。还有一些其他 的免疫机制也在考试系统中得到应用。 1.免疫细胞可变异性 每个免疫细胞都是由表征特性的基因区域和可变的基因区域组成。表征特性 的区域是不可变的。正是可变基因区域的存在才使免疫细胞可以变异，能够鉴别 出各种各样的非自体物质。 2克隆选择机制 由于特异性免疫的存在，即一个免疫细胞只能识别某一类的抗原物质。当免 疫细胞识别某种抗原物质的数量达到一定阈值时，免疫细胞就被激活。这时免疫 细胞需要大量繁殖以清除抗原物质。这就是克隆选择机制。 3免疫记忆 当对同一种病原再次响应时，生物机体会产生比第一次响应更多的免疫细 胞。并且反应的速度也更快。这是因为生物机体免疫系统的记忆特性。而这种记 忆的特性是依赖于记忆细胞。 4反馈机制 免疫细胞识别抗原物质后，可以与之结合。使非自体物质被杀死。当所有的 非自体被清除后，免疫系统的响应停止。免疫细胞对响应有调节的功能。由于免 疫系统的响应产生免疫细胞自身，而当免疫细胞清除所有非自体时，其还可以抑 制之后的免疫细胞产生。 5系统分布性 生物机体中的免疫系统是由分布在机体各个部分的基本单元组成的来保护 整个机体，没有统一的管理调控机制。由于非自体物质可能存在于机体的任何一 个部位。因此免疫细胞监测非自体时也是分布式工作。 3.3 免疫细胞的生命周期 t 细胞和 b 细胞是主要的免疫细胞（以后将统称免疫细胞） 。免疫细胞首先 免疫原理在网络考试系统安全中的应用 13 是从亲代细胞分裂开始，先由未成熟经自体耐受发展为成熟的免疫细胞，当其被 抗原刺激时能进行特异性应答便被激活，此后克隆、高频变异，并分化为记忆细 胞。其过程如下图： 免疫细胞生命周期 免疫细胞最初是随机的基因组合而成，这些阶段是未成熟阶段。接下来需要 让未成熟免疫细胞经历自体耐受。 自体耐受是指免疫活性细胞接触抗原性物质时所表现的一种特异性无应答 状态。免疫细胞经历自体耐受的选择过程叫阴性选择1。假如未成熟免疫细胞能 够识别自体细胞并结合，那么这个细胞将被清除。则它没有通过阴性选择。通过 选择的细胞就是成熟免疫细胞。 每个免疫细胞当其亲和力增加到一定值时，才被激活。亲和力是指免疫细胞 结合的受体数，数值越大亲和力越大。一般设定一个亲和力阈值。当达到这个阈 值时，免疫细胞就会非常快速的分化增殖。 第三章 人工免疫系统原理 14 当对同一抗原再次免疫时，可引起比初次应答更多的抗体产生，并有更大更 快的反应,称为免疫记忆,免疫记忆的基础是记忆细胞的产生。记忆细胞形成过程 2是亲和力高的免疫细胞多次被抗原激活后，将长期在生发中心驻留形成记忆细 胞。 基于网络的监考系统应用了免疫系统的原理。先需要对网络事件进行抽象。 在监考系统中所有的网络事件对应着免疫系统的抗原， 需要在系统中建立检测器 代表抗体，抗体的生成经历了未成熟、成熟、记忆等阶段，检测器也有相应的阶 段。 最初的检测器也是由基因随机组成， 如果识别正产的数据则该检测器被清除， 当检测器自体耐受后称为成熟的检测器。每个检测器也有自己的生命周期。如下 图： 免疫原理在网络考试系统安全中的应用 15 网络事件采集相当于抗原提呈，抗原和抗体的绑定对应着模式识别。检测器 的未成熟阶段对应着抗体生成、自体耐受阶段。检测器的复制、变异对应着细胞 克隆，成熟的检测器对应着成熟的免疫细胞，记忆检测器对应着记忆细胞。 第四章 基于人工免疫考试系统的整体设计 16 第四章 基于人工免疫考试系统的整体设计 在本章节中应用前面介绍的免疫基础理论及相关的安全技术来实现对基于 网络考试系统的整体设计 4.1 系统整体的安全规划 为了使考试系统能够强有力的应对安全方面的威胁，需要在系统设计时对安 全体系进行全面的规划。保证系统在一个相对安全、稳定的环境中运行。主要从 以下几个方面考虑： 首先，制定相应的法律法规是很必要的。目前的网络犯罪很多，大多是钻法 律的空子。 因此从政策和制度上进行完善是很有必要的。 使网络安全管理规范化。 其次，采用先进的网络安全技术是非常重要的。现阶段网络攻击技术发展迅速， 如果相应的安全技术还是停滞不前将无法保障网络安全。因此，不断地更新网络 安全技术。再次，各个机构单位都应有一套完善的安全管理规范。有相应的网络 审计和追踪工具。使每个使用网络的人都具有一定的信息安全素养。只要具备以 上三个方面的要素，实现相对稳定的网络系统安全是可能的。 在本考试系统的设计过程中， 涉及到了很多相关的网络技术及基础理论。 如： 生物免疫系统理论、动态防御、ips 等等。在下面将详细介绍。 4.2 系统的宏观设计 在网络安全防御的发展过程中，最早是基于静态的防御技术。所谓静态是安 全模块被动的防御，其中的安全策略及响应机制都是人为设计好的，并且针对已 经了解的攻击方法。如，最常使用的防火墙技术。但是，本考试系统是基于网络 的。网络最鲜明的特点是更新速度快。因此攻击方式也会越来越多样化。因此被 动的防御是很有局限的。为了适应这种变化，技术人员改进之前的静态技术，发 展为实时监听、捕获数据对数据分析等方式。如：ids 技术。基于动态防御的技 术虽然和传统安全技术相比有了很大的改进，但是仍然有很多不足。当攻击方式 不明确时就会放过相应的网络事件，没有报警提示。目前的防御方式有三种。 免疫原理在网络考试系统安全中的应用 17 图 4.2 动态防御系统 图 4.3 图 4.1 第四章 基于人工免疫考试系统的整体设计 18 本文设计的网络考试系统在第三种模型的基础上进一步修改了动态防御的 功能块。防御模块中应用了免疫理论中的一些机制。使动态防御可以实现随时调 节系统平衡、稳定。并且这个防御模块是对动态的随时更新的网络环境的。当考 试环境受到非法访问或攻击时， 能够用很短的时间鉴别出正常的网络事件和不正 常的事件。并应用生物机体免疫方法去应对攻击。在本考试系统的安全体系中模 拟生物免疫系统的五层防御体系。最外层的防火墙是用来抵御外部网络的入侵。 当某些攻击通过系统漏洞或后门进入系统后，防火墙将不足以保护系统安全，这 是必须依赖于置于防火墙后的入侵防御系统（npis） 。这层防御是处于动态的网 路环境中，它具有随时捕获数据并分析数据的功能。这也是本系统着重设计与实 现的环节。在服务器上进行入侵防御的软件是第三层防御。主要用于对病毒进行 监测。第四层、第五层防御主要是指以考场为单位。每个考场的也可以运行自适 应的监考软件或进程。为了确保数据的安全性可以使用 vpn 传输数据。 4.3 免疫原理在考试系统中的应用 考试系统中入侵防御系统必须具备区分正常网络事件与非正常网络事件的 能力。即识别“自体”与“非自体” 。由于生物机体具备这样的能力，即机体内 的免疫细胞的记忆与鉴别能力。最终实现生物机体自我调节，达到平衡的特点。 如果将这种自适应的能力应用到考试系统中， 就可以实现入侵防御系统识别非正 常网络事件并可以采用一定的方法去中断非法攻击并清除不正常的网络事件。 这 中非正常的网络事件形式很多，可能是病毒、也可能是恶意程序。很多非法攻击 会越过防火墙，实行非授权访问或破坏数据。所以网络考试系统的安全模块应该 是从多个角度防御，多种方式结合。 在免疫系统中有“自体”与“非自体”的概念。考试系统需要区分正常网络 事件与非正常。即正常的网络事件称为“自体” 。非正常网络事件称为“非自体” 为了建立数学模型区分自体与非自体。依照 forrest，hofmeyr 小组的相关研究 成果 如何辨别考试系统中的“自体”与“非自体”？这是实现系统的第一步。如 免疫原理在网络考试系统安全中的应用 19 果将所有的网络事件抽象成一定长度的二进制数串将会使这个问题得到解决。 那 么如何实现数据的抽象呢？ 对于网络中的正常网络事件进行抽象，可以有三种方法选择。第一是以主机 为出发点，用某种算法将事件拆分成一定长度的片段。然后对这些数据保护，并 转换成二进制数串。由于这种方法有很大的局限性在这里不采用。第二是以网络 为目标，将正常的网络事件规定为正常的请求或访问。主要通过通信双发的地址 号，及端口号来识别。将地址及端口号转换成二进制串。这种方法的缺陷在于不 能抽象出系统内的非正常网络事件。 而本系统设计主要是实现在动态网络环境中 的入侵防御，因此 ips 中的数据抽象都采用这种方法。而基于服务器的入侵防御 软件可以采用第三种方法，即以进程为单位。在考试系统中正常的数据通信其所 用的资源是有一定规律的。各种资源的分配、使用、释放、收回等都是比较稳定 的。 图 4.4 免疫考试系统整体结构 第五章 网络考试系统安全模块设计 20 第五章 网络考试系统安全模块设计 在本考试系统中，安全模块的作用有两个方面。基于主机的入侵防御软件是 对系统内部的作弊、攻击进行防御。而基于网络的入侵防御主要是保护整个系统 的安全性、稳定性。避免外部非法攻击、窃取数据、篡改数据等操作。在免疫网 络监考模块中，我们主要实现基于网络的 ips 设计。 5.1 基于主机的监考模块 基于主机的监考模块主要是对于考试系统内部的事件进行监控。 其功能有内 部的非正常事件识别与中断、 身份识别等。 本系统在运行过程中需要人为的参与。 在考试过程中，系统为每个考生都建立的专用线程。每次考试前，系统先将考生 信息发送到各个监控主机上，以此作为考试过程中身份验证的标准。之后，开始 运行监考软件，考试开始后每个学生在自己的考试机中写上名字和考号，并请求 开始考试。这时系统会将这台计算机上的地址及考生信息一起发送到服务器，并 核对。如果在服务器中有该考生的信息，则该考生为授权的。这时系统会允许考 生答题。否则拒绝其请求。在考试过程中，监考系统会进行实时监听。该模块的 运行时基于进程的。 而通常运行于主机上的线程有： 考生登录界面的线程， 考生界面更新的线程， 数据传输的线程，实时检测线程和考生权限核对线程。其具体过程如下图： 图 5.1 基于主机的监考模型 免疫原理在网络考试系统安全中的应用 21 5. 2 基于网络的入侵防御模块 在本系统的设计中主要对基于网络的入侵防御模块进行设计。 在第四章中实 现了对考试系统全局设计图 4-4。其中最主要的是生物免疫子模块。基于网络的 入侵防御即是这个模块的重中之重。 它是由传统的安全技术与自适应的动态防御 技术相结合， 不仅实现对已知的非正常事件检测而且可以对未知的攻击进行有效 地识别与阻止。 本监考系统中嵌入了基于人工免疫的 ips，其中包括五个部分：数据采集器、 数据分析器、响应部件、安全规则数据库、响应策略数据库。 其工作流程是：数据采集器先从外部网络中采集网络事，再把这些网络事件 变成 ips 可以识别的形式。数据采集器先对采集的事件抽象。抽象出每个网络事 件的属性，并将这些属性用安全规则能够识别的语法表示；数据分析器功能主要 是判断采集的数据是否与安全规则匹配，如果匹配则是非正常的网络事件，并将 非正常网络事件转换成相应的安全规则，实现安全规则及时更新。不匹配是正常 的网络事件，即自体。安全规则数据库中存放着识别非自体的规则。此外，安全 规则数据库中还有正常网络事件构成的自体， 未成熟的检测器都需要经过正常网 络事件的自体耐受。响应部件有更新自体、更新安全规则数据库中的检测器，由 响应策略数据库给出响应。 基于人工免疫的 ips 的模型如下图： 第五章 网络考试系统安全模块设计 22 图 5.2 ips 模型图 1.检测器的生命周期 最初的检测器是随机组成的，先从基因库随机抽取一些基因片段串在一起。 之后通过自体集的阴性选择，假如能够识别自体的检测器将被删除。在阴性选择 过程中不识别任何一个自体的检测器将成为成熟检测器。 每个成熟的检测器的生 存时间是有限的。如果在一定时间内的亲和力大于阈值时，则被激活。激活后的 检测器必须在某个时间内接受协同信号。未接到协同信号的检测器，说明本次检 测不被 ips 认可，之后这个检测器将消亡。 2. 事件模式抽象、非正常事件的检测和响应 网络环境中的事件被数据采集器收集后，先对事件各个属性抽象，使其表示 成能被检测器识别的形式。其次，网络事件必须和每个记忆检测器配对，没有匹 配的记忆检测器后，网络事件将与每个成熟检测器配对。配对成功的检测器，当 免疫原理在网络考试系统安全中的应用 23 能识别足够的非正常事件时（即达到亲和力阈值）系统会初次应答；能够和某个 记忆检测器配对成功的网络事件，系统将二次应答。正常的网络事件与每个检测 器都不能成功配对。 嵌入人工免疫的 ips 监考系统有很强的自适应性，有很强的动态防御能力。 所有网络事件都必须经过 ips，合法的数据将被转发，非法的网络事件被中断或 丢弃。基于动态防御的 ips 还可以实时更新自体、安全规则、响应策略等。 5.3 数学模型定义 ips 数学模型中有：记忆细胞检测模块、成熟细胞检测模块和未成熟细胞的 耐受模块。这三个模块用三个集合表示：未成熟细胞集合、成熟细胞集合和记忆 细胞集合。定义如下： 定义论域 d=0,1l ，抗原集合 ag 包含于 d，ag 表示 ip 地址、协议类型及 端口号等网络事件属性的二进制表示，自体集合 self 包含于 ag，表示正常的网 络事件。非自体集合 nonself 包含于 ag，表示非正常的网络事件。self nonself=ag，selfnonself=。 用 sag 的元素表示从 ag 中随机抽取的待检测元素。sag 包含于 ag， |sag|=|ag|*， （0为记忆检 测器集合，为匹配数阈值；tb 为成熟检测器集合，它由不与自体匹配且与抗原 匹配数不超过匹配阈值的检测器组成。 未成熟检测器集合 ib=| dd,agen 5.4 检测方法 每个网络事件都包含在 ag 中，每个网络事件遵循 ag 的模式。通过和 b 中 的检测