（计算机应用技术专业论文）自适应免疫网络入侵检测模型的应用与研究.pdf

太原理工大学硕士研究生学位论文 自适应免疫网络入侵检测模型的应用与研究 摘要 基于免疫学的入侵检测是近几年来入侵检测领域研究的热点，它的突 出特点是利用生物免疫系统的原理、规则与机制来实现入侵行为的检测和 反应。因为网络入侵检测的机制和生物学上的病毒在本质上是相似的，所 以可以把网络安全看作计算机的免疫。我们希望运用人体免疫系统的原理 建立一个健壮的、功能强大的计算机免疫系统。本文就是以此为背景，以 生物免疫原理为基础，对基于免疫的网络入侵检测这一课题进行了细致、 深入的研究。 本文所做的主要工作如下： 首先，现有的人工免疫模型因对自体的动态变化缺乏自适应性而导致 + 高的误报率和漏报率。为了提高网络入侵检测模型在动态环境下的自适应 性，使模型能更好的应对不断变化的外部环境，在深入学习人工免疫系统 工作原理的基础上，提出一种新的自适应网络入侵检测模型。该模型以网 络数据包为检测数据来源，可以检测未知入侵行为；随着自体的在线自动 更正，检测器可以始终保持同步更新。 其次，由于大规模网络部署和使用的日益增加，网络数据包的流量越 来越大，常会导致大量数据包来不及分析，即目前入侵检测系统无法满足 大流量网络数据情况下，长期抓包和趋势分析的要求。为了解决这一问题， 在数据收集阶段，使用了一种自适应采样算法，可以在保持网络流量本质 特性的前提下，通过自适应采集数据减少网络上的流通数据量。该自适应 采样算法是根据采集的样本动态的调节当前的采样率。 再次，在自适应进化否定选择算法和归一化实数编码自适应混沌免疫 克隆规划算法中，研究了自适应变异算子，使群体的变异由随机或确定转 i 太原理工大学硕士研冤生学位论文 一一 换舶适应。根据克隆选择的原理，对获取的入侵检测数据包进行预处理， 艉取的属性采用归一化实数编码，应用混沌原理和抗原的先验知识产生 亲和度高的候选检测器集合；根据检测器亲和度，采用了不同的变异算子与 进化策略。最后，通过对入侵检测数据做实验，结果表明算法不仅在保持 高检测率下，降低了漏报率，且有效的提高了检测器进化速度。 关键词：自适应，阴性选择算法，克隆选择算法，网络入侵检测 l i 太原理工大学硕士研究生学使论文 a p p l i c a t i o na n dr e s e a r c ho fa d a p t i v ei m m 1 溉 n e t w o r ki 妇孓 ，s l o nd e 惩c 骶o nm o d e l a b s t r a c t i nr e c e n ty e a r s ，i m m u n e - b a s e di n t r u s i o no nd e t e c t i o n t e c h n o l o g yh a s b e c o m eak e yr e s e a r c hf i e l di ni n t r u s i o nd e t e c t i o n s y s t e m 。i t sp r o m i n e n t c h a r a c t e ri st h a ti tc a l le x p l o r en a t u r a li m m u n el o g i c a lt h e o r i e s ，m e c h a n i s m sa n d p r i n c i p l e sf o rd e t e c t i o na n dr e a c t i n gt oi n t r u s i o n s n e t w o r ks e c u r i t yc a l lb e c o n s i d e r e d 菸i m m u n i t yo fac o m p u t e r , b e c a u s et h em e c h a n i s mo fn e t w o r k i n t r u s i o ni ss i m i l a ra st h a to fb i o l o g i c a lv i r u s e si ne s s e n c e b i o l o g i c a li m m u n e s y s t e ms h o w si t sn e a r l yp e r f e c ti m m u n ef u n c t i o nf o rc o m p u t e ri m m u n i t y , w e h o p et h a tb a s e do nb i o l o g i c a li m m u n ep r i n c i p l e s ，ar o b u s ta n dp o w e r f u l c o m p u t e ri m m u n es y s t e mc a l lb eb u i l tu p i nt h i sp a p e r , w et a k et h ea b o v e m e n t i o n e d 鹪ab a c k g r o u n d ，b i o l o g i c a li m m u n ep r i n c i p l e sa sab a s i s ，t h ef i n e a n d 如e pr e s e a r c hw o r ko nt h es u b j e c tn a m e dn e t w o r ki n t r u s i o nd e t e c t i o n b a s e do nb i o l o g i c a li m m u n i t yi ss t u d i e d t h e p r i m a r yw o r ko ft h i sp a p e rs h o w a sf o l l o w s ： f i r s t l y , s i n c et h em o d e ll a c ko fs e l f - a d a p t i v et ot h es e r fd y n a m i cc h a n g e si n t h en e t w o r ki n t r u s i o nd e t e c t i o nm o d e lb a s e do nt h ei m m u n i t y , i t sl e a dt oh i g h r a t e so ff a l s ep o s i t i v e sa n df a l s en e g a t i v e i no r d e rt oi m p r o v e st h es e l f - a d a p t i v e o ft h en e t w o r ki n t r u s i o nd e t e c t i o nm o d e lu n d e rt h ed y n a m i ce n v i r o n m e n ta n d m a k et h em o d e lc a nw o r kw e l lu n d e rt h ec h a n g e a b l ee n v i r o n m e n t ，o nt h e b a s i so f s t u d y i n g t h e w o r k i n gm e c h a n i s mo fa r t i f i c i a li m m u n es y s t e m c o m p l e t e l y , an e wm o d e lo fs e l f - a d a p t i v en e t w o r ki n t r u s i o nd e t e c t i o nw a s p r e s e n t e d t h ei d st a k e sn e t w o r kp a c k e t sa sd e t e c t i n gd a t ar e s o u r c ea n dh a st h e a d v a n t a g e so fd e t e c t i n gu n k n o w ni n t r u s i o n ；i na d d i t i o n ，an e wm e t h o dt o g e n e r a t ea n de v o l v eo fd e t e c t o r si sp u tf o r w a r dt h a tc a nu p d a t ea u t o m a t i c a l l yt o k e e ps y n c h r o n i z a t i o nw i t hs e l f i n 差；e c o n d l y , w i t h t h ee v e r i n c r e a s i n gd e p l o y m e n ta n du s a g eo fg i g a b i t u e t w o r k s ，t h ef l o wo fn e t w o r kd a t ap a c k e t sg r o w sq u i c k l ya n do f t e nl e a d st oa l a r g en u m b e ro fd a t ap a c k e t sh a v en o tt i m et ob ea n a l y z e d t h a ti st os a y , a t p r e s e n t ，t h ei d s ( i n t r u s i o nd e t e c t i o ns y s t e m ) i su n a b l et or e q u i r e m e n t so f l o n g t e r mc a p t u r i n g t h e p a c k e t a n dt r e n d a n a l y s i s t o a l l e v i a t et h e a f o r e m e n t i o n e dp r o b l e m , a tt h ed a t ac o l l e c t i o np h a s e ，w eh a v ei m p l e m e n ta n a d a p t i v es a m p l i n gs c h e m et h a ti n t e l l i g e n t l ys a m p l e si n c o m i n gn e t w o r kd a t at o r e d u c et h ev o l u m eo ft r a f f i cs a m p l e d ，w h i l em a i n t a i n i n gt h ei n t r i n s i c c h a r a c t e r i s t i c so ft h en e t w o r kt r a f f i c t h e a d a p t i v es a m p l i n ga l g o r i t h m s d y n a m i c a l l ya d j u s tt h es a m p l i n gr a t eb a s e d o nt h eo b s e r v e ds a m p l e dd a t a 。 t h i r d l y ，i nt h ea d a p t i v ee v o l u t i o n a r yn e g a t i v es e l e c t i o na l g o r i t h m sa n da r e a lc o d i n gi m m u n i t yc l o n es e l e c t i o np r o g r a m m i n gb a s e do nc h a o s ，a n a d a p t i v em u t a t i o no p e r a t o ri sd e e p l yr e s e a r c h e dw h i c ht h er a n d o m o rd e t e r m i n e v a r i a t i o ni si n s t e a do fb ya d a p t i v e a c c o r d i n gt oc l o n es e l e c t i o np r i n c i p l e s ，t h e s e i z e dd a t ap a c k e t sw e r ep r e t r e a t e da n dt h o s ea t t r i b u t e so ft h ed a t aw e r eu s e d n o r m a l i z a t i o nr e a ln u m b e rc o d e d t h ec h a o sp r i n c i p l ea n dt h e p r i o rk n o w l e d g e o fa n t i g e nw e l la p p u e dw h i c hw e r eu s e dt og e n e r a t eh i i g ha f f i n i t yc a n d i d a t es e t o fd e t e c t o r s 。a c c o r d i n gt ot h ed e t e c t o ra f f m i t y , d i f f e r e n tm u t a t i o no p e r a t o ra n d e v o l v es t r a t e g yw e r eu s e dt oe v o l v ed e t e c t o rs e t 。e x p e r i m e n 谗d i do nt h e i n t r u s i o nd e t e c t i o nd a t a ，r e s u l t ss h o wt h a tt h i sa l g o r i t h mn o to n l yd e c r e a s e st h e f a l s en e g a t i v e sr a t ew i t hm a i n t a i n i n gah i g hd e t e c t i o nr a t e ，b u ta l s oi n c r e a s e st h e e v o l v i n ge f f i c i e n c yo fd e t e c t o r k e yw o r d s ：s e l f - a d a p t i v e , n e g a t i v es e l e c t i o na l g o r i t h m ，c l o n es e l e c t i o n a l g o r i t h m ，n e t w o r ki n t r u s i o nd e t e c t i o n l v 芦明严明 本人郑重声明：所呈交的学位论文，是本人在指导教师的指导下， 独立进行研究所取得的成果。除文中已经注明引用的内容外，本论文 不包含其他个人或集体已经发表或撰写过的科研成果。对本文的研究 做出重要贡献的个人和集体，均已在文中以明确方式标明。本声明的 法律责任由本人承担。 论文作者签名： 盟至笾 霹期：垫塑：量王二 关于学位论文使用权的说明 本人完全了解太原理工大学有关保管、使用学位论文的规定，其 中包括：学校有权保管、并向有关部门送交学位论文的原件与复印 件；学校可以采用影印、缩印或其它复制手段复制并保存学位论文； 学校可允许学位论文被查阅或借阅；学校可以学术交流为目的， 复制赠送和交换学位论文；学校可以公布学位论文的全部或部分内 容( 保密学位论文在解密后遵守此规定) 。 导师签名： 翅亟 目期： 旧、j 、 太原理工大学硕士研究生学位论文 1 1 研究课题的背景和意义 1 1 1 研究课题的背景 第一章绪论 i n t e m e t 已经被应用于政治、经济、军事等各个领域，使国家的经济运行和安全运 作乃至人们的日常生活方式发生了巨大改变，对社会的发展和进步起着重要的作用。根 据中国互联网信息中心( c n n i c ) 2 0 0 7 年1 月2 3 日公布的中国互联网发展状况统计 报告( 数据来源h t t p ：w w w c n n i c c , o m c n ) 显示，截至2 0 0 6 年底，我国上网用户总数 为1 3 7 亿人，占全国人口的1 0 5 ，与上一年同期相比，中国网民人数增加了2 6 0 0 万 人，是历年来网民增长最多的一年，增长率为2 3 4 ，c n 域名总数超过1 8 0 万，与2 0 0 5 年同期相比，增长幅度达到6 4 4 。宽带上网的网民达到1 0 4 0 0 万人，占网民总数的 7 5 9 。中国互联网目前已经进入宽带时期，在网络用户和网络资源持续增长的同时， 互联网的开放性和应用系统的复杂性带来的安全风险也随之增多，各种网络漏洞的大量 存在并不断攀升仍是网络安全的最大隐患：网络攻击行为也日趋复杂，各种方法相互融 合后的定向性和专业性攻击使网络安全防御更加困难。( 2 0 0 6 c n 删c c 2 0 0 6 年网络 安全工作报告) 其中由于网络信息的开放性，网络信息的安全性受到极大的威胁，在网 络通信中，个人、单位或国家的某些重要信息一旦被泄露，可能会带来巨大经济损失， 甚至生命安全受到威胁。网络安全成为信息时代人类共同面临的挑战。进入2 1 世纪以 来，网络和信息系统特别是互联网的安全面临着严峻的挑战，严重的网络安全事件层出 不穷。面对网络安全的严峻形势，必须采取有效的机制和策略来解决这个问题。 传统的防火墙技术主要是阻止来自外部网络的攻击，但并不是所有的入侵都是来自 外部。据f o r r c s t e r 的研究结果显示，在对企业数据库的威胁中有8 0 是来4 自系统内部的。 同时防火墙自身也可能被攻破，因此为了保证网络系统的安全，就需要一种能够对系统 的运行状态进行监视，发现各种攻击企图、攻击行为或者攻击结果，以保证系统资源的 机密性、完整性和可用性的系统，即入侵检测系统。入侵检测系统可在一定程度上预防 和检测来自系统内、外的入侵。 我国的网络安全系统在预测、反应、防范和恢复能力方面存在许多薄弱环节。入侵 太原理z 文学礤童研究袋学豫论文 检测系统( i d s ) 作为网络安全傈障必不可少的一个环节，其中基予网络的入侵检测系 绕( n n 3 s ) 由于其特殊的优势，其作用更加应该不爵替代。然褥，实际情况孛，n i d s 却并没有取得预想的成功。导致n i d s 褥不剿成功应用的原因，除了溺户对n i d s 没有 正确认识和使捌的关系外，n i d s 鑫身也存在严重的溺题。首先，n i d s 产生大量缒数据， 导致耀户被这些信息淹没，一个千毙蹲络环境下的n i d s 所产生的数据，管理员缀难及 时处理过来，对手复杂环境下分布式部署的多个i d s ，其产生的数据对管理员来说更是 完全无能凭力；其次，n i d s 的误报率和漏报率也始终偏离，导致用户对n i d s 所产生 的数据信任降低。由予这楚原因，使得n i d s 自身的利用寨本身就不高。 n i d s 自身存在的这些闯题，早已弓l 起了关注，并展开了研究。铡如，对大量豹报 警数据应该如何曼好的显示，让瘸户熊够更加方便遮测览数据或者抓往重点事件；或者 遥过改进算法降抵系统熬误摄率和漏掇率，或者找裂个受好鹩平衡点等等。尽管这些 研究尽管取得了很多成果，但是还是没有使n i d s 从整体上得到改善，所铁震要对n i d s 做进一步的研究。 1 。| l 。2 研究谍题瓣意义 随着疆市场及i n t e r a e t 的高速发展，人们的西常生活和工作也越来越多地和苴联 鼹、计算机联系在一起；企韭也越来越多趣把商务活动放捌了鼹络上，并且通过互联霹 随时隧地缝访盼全人和企业盼备耪资源。但是计算祝和i n t e m e t 又是一把双刃剑，在给 公众商务活魂提供方便的阕时，逛带来了系列信息安全翘遂。毽前，全世界巍子信患 系统的脆弱性两导致的经济损失逐年上升，全世界每秒就有一起黑客事件发生，仅 美国每年因此造成的经济损失就高达1 0 0 多亿美元。据美因联邦调查局统计，一起刑事 案件的平均损失是2 0 0 0 美元，而一起计算机犯罪的平均损失则为5 0 万美元；美国一年 因计算机犯罪所造成的损失高达7 5 钇美鼐。葡丑目前这个数字还在呈上升趋势。中国 公安部公共信息鼹络安全监察局所徽的2 0 0 7 年度全嚣信息溺络安全状况鳖计算橇病毒 疫情调查显示( 2 0 0 6 年5 月至2 0 0 7 年5 旁) ，孛嚣信患随绔安全事律发生比例连续3 年 呈上升趋势，6 5 7 的被调查单位发生过信息网络安全事件，毙2 0 0 6 年上舞1 5 个百分 点；其中发生过3 次以上的占3 3 ，较2 0 0 6 年上升1 1 。7 。据预测，安全闯题所造成 的损失还将继续增长，越来越多的企业、用户已经意识到安全问题的严重性。由此看来， 阏络安全闯题的研究已追在眉睫。例如，漏洞的大量出现和不断加速增加是网络安全总 2 太原理工大学硕士研究生学位论文 体形势趋于严峻的重要原因之一，据美国c e r - t c c 统计( 数据来源：h t t p ：m 帆c 咀o r g ) ， 该组织2 0 0 6 年全年收到安全漏洞报告8 0 6 4 个，评价每天超过2 2 个，与2 0 0 5 年同期相 比增长了3 4 6 。自1 9 9 5 年以来，漏洞报告总数达到3 0 7 8 0 个，具体统计结果如图1 - 1 所示 簇 簸 器 赡 器 然 年给 图卜1 网络安全漏洞统计数量( 美国c e r t c c ) f i g u r e1 - 1 t h es t a t i s t i c so fn e t w o r ks e c u r i t yl o o p h o l e s y l 9 9 5 - 2 0 0 6 网络安全的需求推动了网络安全技术的发展，然而传统的安全措施又有局限性，其安全 策略主要注重防护，而防护相对进攻总是滞后的，检测是弥补这个时间差的必要手段， 因此入侵检测逐渐成为一个研究热点。现有的入侵检测系统在分布性、鲁棒性、自适应 性等方面仍有很大局限。入侵检测系统的关键是能够区分系统中的正常行为和潜在的恶 意行为，生物免疫系统和入侵检测系统从系统的目标、结构及工作模式上看具有高度的 相似性，所以生物免疫机理为入侵检测系统的设计提供了新的思路。 1 2 入侵检测技术的发展 1 2 1 入侵检测技术发展历史 对入侵检测系统的研究最早可追溯到1 9 8 0 年，j a m e sp a n d e r s o n 【1 】在其为美国空军 做的题为计算机安全威胁监控与监视( c o m p u t e rs e c u r i t yt h r e a tm o n i t o r i n ga n d s u r v e i l l a n c e ) 的报告中，首先提出了入侵检测概念。将入侵尝试( i n t r u s i o na t t e m p t ) 或 威胁( t h r e a t ) 定义为：潜在的有预谋未经授权访问信息、操作信息、致使系统不可靠 或无法使用的企图。他所提出的检测方法就是寻找那些与系统正常使用时相异的用户行 为或事件来发现攻击。但由于当时所有已有的系统安全程序都着重于拒绝未经认证主体 3 ：暑驰阶_宕o， 孤铂种加仰 。 太擐霪芏犬学骥士磅冤焦学鬣论文 ， 对重簧证据的访闻，这一设想的重要性当时并未被理解。 1 9 8 7 年，美国斯追接嚣际研究所的d o r o t h y & 地汹蕊提患入侵检测系统熬抽象 模型，首次将入侵检澳l 静概念律势一耱计算机系统安全防御问题憋措施提嬲。1 9 8 8 年的 m o r r i si n t e m e t 蠕虫事件f 3 川使褥i n t e m e t 近5 天炎法使用，该事搏促使人们投入更多的精 力于i d s 的研究。早期的i d s 系统都是基乎主桃的系统，也就是说监视与分析主机的审 计记录检测入侵。1 9 8 6 年，在i b m 主机上用c o b o l 开发的d i s c o v e r y 系统可以说是最 早期的雏形之一陶。薹重氇_ y s 缸t c l 羽是由t r a e o ra p p l i e ds c i e n c e s 公司( 从1 9 8 7 年至1 9 8 9 年) 和h a y s t a c k ( 从1 9 8 9 年至1 9 9 1 年) 为美雹空军密码支持中心开发酌系统。h a y s t a c k 的 设计裙衰燕为了帮助安全官员发现美国空军鳇内部入员的不正巍使用。h a y s t a c k 镬系统 既可| | ；乏检测所有蛉群越秀舻行为，也霹以检测一段时闻内逐步偏离正常的行为。 1 9 9 0 年是入侵检测系统发展史上的一个具霄重要意义的里程碑。这一年，加利福尼 噩大学d a v i s 分校的l th e b e r l e i n l 7 等人开发出网络系统监视器( n e t w o r ks e c u r i t y m o n i t o r ，n s m ) ，n s m 与此前的i d s 系统最大的不同在予它并不检鸯主机系统的审计 记录，它可以；纛过在局域瓣上主动遣监视瓣络信意流量来追踪可疑行为。这是入侵检测 系统第一次监视爵络流量并把流量终势主要数据源。同时，n s m 是第一个试黧把入侵 检测系统扩展到异种瞬络臻境的系统，也是第一个运行在令操作系统上的入侵检测系 统( 在u cd a v i s 的计算概局域蜒上) 。从此之后，入侵检溯系统中的两个重要研究方内 开始形成：基予网络的i d s 和基于主机的s 。 同时，在1 9 8 8 年m o r r i s 蠕虫事件发生之后，瘸络安全引起了军方、学术界和企业 的高度重视。在美国空军、国家安全局和熊源部的资助下，在美国空军密码支持孛心、 l a w r e n c el i v e r m o r 国家实验室、期科褥冠澎大学d a v i s 分校和h a y s t a c k 实验室合作开发 了分布式入侵检测系统( d i s m b u t ei n t r u s i o nd e t e c t i o ns y s t e m ，d i d s ) 。它是将主祝入侵 检测灏霹络入侵检测蛉能力集成的第一次尝试，它的检溅模型采用分层结构。 1 9 9 4 年，m a r kc m s b i e 和g e n es p a f f o r d i s 建议使用自治代理( a u t o n o m o u sa g e n t s ) 以便提高i d s 的可收缩性、可维护性、效率和容错性。1 9 9 6 年提出的基予图的入侵检 测系统( g r a p h - b a s e di n t r u s i o nd e t e c t i o ns y s t e m ，g r i d s ) 防1 0 l 圭要目标也是解决绝大多 数入侵检测系统收缩性的阀题。该系统使褥对大规模自动或协麓攻击的检测更为便利， 这些玫击有时甚至霹能跨过多个管理领域。近些年来，入侵检测酶圭要创新包括：1 9 9 7 年f o r r e s t 等蒋免疫原理运翔到入侵检测领域、1 9 9 8 年r o s sa n d e r s o n 和a b i d ak h a t t a k b l 】 将信息检索技术葶l 进刘入侵检测、2 0 0 0 年t e r r a nd 。羔黼e 剩用机器学习技术检测入侵l 2 1 毒 太原理工大学硕士研究生学位论文 1 2 2 入侵检测技术的发展现状 | 从大量的审计数据属性中生成能有效检测入侵的正常行为轮廓，或从中有效的提取 、 出入侵模式，是入侵检测模型的研究重点。并按此将入侵检测分为误用入侵检测和异常 入侵检测。误用入侵检测存在对未知攻击无能为力的缺陷，异常入侵检测技术的难点在 对靠正常 行为特征轮廓的确定、更新和特征量的选取上。现有的入侵检测系统仍存在 快速性和准确性方面的问题。近年来，智能技术在入侵检测技术中的应用成为研究的热 点。人工智能主要思想是将人们掌握的有关入侵的知识加工成智能诊断系统所能接受的 语言或语法，并将其存储记录下来，检测过程的实质是待检样本与系统所记忆的入侵知 识匹配的过程。现有用于入侵检测技术的专家系统大多是基于专家经验事先定义的规则 的推理系统，由于推理和决策模块通常使用解释型语言实现，在处理海量数据时存在效 率问题、缺乏处理序列数据能力、规则库维护困难等缺陷，对未知攻击无能为力。需要 研究专家系统的自适应更新机制来提高其检测能力，但如何更新目前还没有很好的方 法。基于神经网络的入侵检测方法现存在训练时间长，依赖于训练数据集，建模代价高， 而且对判断为异常的事件不能提供解释或说明，通过训练各个功能专一，结构简单的小 神经网络，然后联合构建功能强大的神经网络也是目前的解决办法，但如何生成集成中 的个体神经网络以及怎样将多个结果进行合成是需要研究的问题。所以，尽管目前国内 外已开发了各类入侵检测系统，但是，在核心算法方面、在有效性、自适应性等方面以 及在检测率方面仍存在较多的问题，这也是国内外专家仍然不懈地致力于开拓新思路的 主要原因。 人工免疫系统是对生物免疫系统的模拟，具有强大的信息处理能力。众所周知，生 物免疫系统主要的功能就是在线检测和杀伤来自生物体内和体外的抗原，具备“自己一 非己 识别能力。再者，免疫系统与神经网络系统一样是一个高度的并行处理系统，具 有学习能力、记忆能力等。这些协同激励、多样性、适应性能力等为入侵检测领域的研 究提供了新思想和新方法。利用免疫系统机制解决工程问题最早在9 0 年代，在+ 1 9 9 8 年 之前，对于免疫系统的研究并没有引起足够的重视。近几年来，各类研究人员对免疫系 统的研究兴趣不断增加，并利用其机理解决了许多不同的工程问题。有关人工免疫系统 ( a r t i f i c i a li m m u n es y s t e m ) 的应用现已覆盖了信息安全、模式识别、机器学习、数据 挖掘、故障诊断、自动控制等领域。 免疫理论在入侵检测中的应用受到最多的关注。最有代表性的是美国n e w m e x i c o 5 太原理誓太攀须壬研究生攀饿论文 大学静f o r r e s t - h o f m e y r 小组 1 3 - 1 7 1 ，1 9 9 4 年，f o r f e i t 提趣了否定选择算法。此矮，否定 选择算法庭瘸于勰决霹络入侵捡溅离题。1 9 9 6 年，f o r r e s t 等人介缓了一种入侵检溅方 法，该方法是通过监控特定进程所使用豹系统调用来察现。2 0 0 0 零鲢时候，h o f m e y r 和 ? f o r r e s t 提爨丁一种久王免疫系统结构淤觳醛，促进了该领域戆发震。a r t i s 缝合了多 种免疫机潮苞括耐受、检溅器生命瓣期、篮测器记忆、协鼹刺激等) ，被溺采监控溅 络数据流中的t c ps y n 包。英国伦敦大学的踟和b e n t l e y 掇出了一个网络入侵检 溅天王免疫模型f 1 8 l ，之慝又挺是了动态宽隆选择算法渊。美匡m e m p h i s 大学的d a s g u p t a 夺缀在1 9 9 9 年也提爨了一释基予免疫酶i d s 整体篥构测，在该框架孛定义了大量 a g e n t s ，这臻a g e n t s 模拟生物免疫系统中的免疫细胞执行免疫葫然辱在2 0 0 1 颦又提出 了一种实瑗入侵捡溯熬免疫遗传摸型，这些基于人王免疫静鼹终入侵捡灏技术所篡骞憨 优点不议在乎能对未知魏入侵进行检测，在巍适疲性上都较传统技术更嵩一筹。深入挖 掘人工免疫系统仿生机理有助于进一步开展基于人工免疫系统模擞的入侵检测研究。 国内的些研究机构瞧在这方面进行了类儆的研究工作，取德了一定的进展，并已 经有了裙姿研究成果。旱在1 9 9 0 年，疆南交遥大学艉靳蕃教授等人在神经瞬络与裤 + 经计算机原理应翔一书中就已经指漱轻免疫系统所具有的信息懿理与肌体防歪功能， 献工程焦度来看，具有非常深远的意义。1 9 9 7 年罄舞基经有兔疫谤霎鲢文章塞褒。蔽 2 0 0 1 年舞始，喜关入王兔疫系统豹蒋士硬圭学盈谂文也糯继涌现。到2 0 0 6 年掬舅，叠 出版相关专萋5 部以上，硕博学位论文3 0 余部，期刊文章也超过3 0 0 余篇。这些研究 太都将人工免疫系统用予数值优纯、工程优纯以及计算橇安全趣鼹。嚣嚣主要在研究天 王免疫系统的霾孰有西安魄子科技大学，中嚣科技大学、浙涯大学、武汉大学、西安交 通大学、四川大学、申南大学、东华大学、哈尔滨工程大学、华中科技大学等雾所国内 赢等院校均肖研究天员专羹获事该领域研究。并且匿蠹酌研究成果已经在星际上翥有一 席之遗，蔼鼠在免疫撬纯算法及理论与应用蠢霭鸯鑫己的鲜骧特色。其孛，串嚣科技大 学王煦法教授在国内较早的开展了免疫优化算法方蕊的研究，并扩展到基于免疫计算的 3 人工生命、进位硬件领域；蘸安毫子科技大学焦李成教授提邈了其有较完备理论基獭的 免疫克隆算法及一系列改进，也在国际七较早提淑了新颖的免疫遗传算法 2 l 气武汉大学 粱意文教授猩计算机免疫系统方面的研究受到了国际上的关注；四川大学李涛教授在计 冀梃免疫系统方西薛礴究瞧援零l a 注蓬l 蠲；东华大学丁永生教授在免疫控制方蕊取褥了 可观的成就；黄席樾教授、张著洪提斑了迸较系统豹免疫算法理谂；猞尔滨王纛大学莫 宏伟副教授在兔疫计算雀数据挖掘应朋方面进行饕有益的探索，编辑出版了熙赡该领域 磊 太原理工大学硕士研究生学位论文 的第一本著作【2 3 1 。目前国内免疫计算研究的主要特点和优势是在免疫优化算法及理论方 面以及计算机免疫系统方面的研究。 1 3 论文主要工作 通过对生物免疫系统的仿生机理及当前各种智能入侵检测技术的深入研究，寻找自 适应采样网络入侵特征数据的方法；探索出更为合理、更为简单，更实时性和有效性的 免疫检测器生成以及更新方法；研究一种“自我”动态定义的自适应免疫模型及其实现 所需的关键技术，解决适应动态对象能力差的缺点。总结起来，本文的主要工作为如下 几点： ( 1 ) 寻找一种能在不丢失网络流量特征的情况下，自适应采样网络入侵特征数据 的方法，解决目前在高带宽，巨大的通信量情况下数据采集无法完备的问题，针对这些 问题从数据挖掘技术等方面进行深入研究，进行高效、准确的获得入侵特征数据。 ( 2 ) 在检测器训练过程中，对检测器采用固定或随机的方式进行变异，并没有考 虑这种变化是否有利于进化。本文动态决定参数如何变化，使得参数朝着有利于进化的 方向变化，使得变异算子具有自适应性，从而探索出更为合理、更为简单有效、更有实 时性和有效性的检测器生成以及更新方法。 ( 3 ) 基于免疫原理的网络入侵检测系统，对自体的不当定义是引起误报率，漏报 率高的主要原因，研究一种“自我 动态定义免疫模型及其实现所需的关键技术，解决 适应动态对象能力差的缺点。进一步探索其对网络运行变化的自适应规律，研究出相应 的自体更新方法，切实提高自适应免疫检测器对动态变化网络的检测准确率。 7 太羰溪x 大学硬圭磷究燕学位论文 2 。 入侵检测概论 第二章入侵检测与生物免疫原理 2 i 1 入侵检测的基本概念及模型 在1 9 8 0 年，a u d e r s o n 2 4 1 首次缭出了入侵豹定义；入侵是揩燕非授权静情况下，试 圈存取信息、处理信息或破坏系统以使系统不可靠、不可用的故意行为。入侵检测是指 搿通过对行为、安全爨志、审计数据等其它鼹络上可以获得的信息进行操作，检测到对 系统鹩闯入或闯入的企慝气入侵检测俸荛一项重要的安全监控技术，其疆鳇是识别系 统中入侵者的非授权使用及系统合法用户的滥用行为。目前得到了广泛认同的通用模型 是公共入侵检测框架( c o m m o ni n t r u s i o nd e t e c t i o nf r a m e w o r kc i d f ) 。该模型将入侵检 测系统分为4 个基本缀律；事待产生器、事律分析器、噻应单元鞫事髂数据库，如蚕2 蠢 所示。 竭2 - i 遵属氏缦检溅模燮c i d f f i g u r e 2 - 1 t h em o d e lo fi n t r u s i o nd e t e c t i o nc i d f 2 。l 。2 入侵检测分类及技术分析 根据检测的方法可将入侵检测分为两大类型：误用入侵检测和异常入侵检测。误用 入侵检测又称为特征检测或滥用检测，误用入侵检测技术是根据已知攻击的知识建立攻 蠢特征库，遥过蔫户或系统行先与特征痒孛各种攻击摸式豹毙较确定是否有入侵发生。 误用入侵检测系统的优点是误报少，准确率高；局限是它对未知的攻击无能为力，对具 s 太原理工大学硕士研究生学位论文 体的系统依赖性太强。异常检测则是假定所有入侵检测行为都是与正常行为不同的。对 “正常 行为特征轮廓的确定、更新和特征量的选取是异常检测技术的关键。异常检测 技术的局限在于：并非所有的入侵都表现为异常，而且系统的轨迹难于计算和更新。 ( 1 ) 基于专家系统的误用检测方法 现有多数采用基于规则的专家系统来检测系统中的入侵行为。即将入侵行为编码成 专家系统的规则，每个规则具有“条件t h e n 动作 的形式，其中条件为某一入侵 发生的条件，动作表示规则被触发时入侵检测系统所采取的处理动作；专家系统的建立 依赖于知识库的完备性，知识库的完备性又取决于审计记录的完备性与实时性。这种方 法的缺陷是规则库的全面性问题以及专家知识的获取和规则的动态更新问题；专家系统 运行时需要分析所有的审计数据，这存在效率问题；另外如何在大型系统上获得实时连 续的审计数据也是个问题。 ( 2 ) 基于状态转换分析的误用检测方法 状态转换分析是将攻击表示成一系列被监控的系统状态转移。攻击模式状态对应于 系统状态，同时有状态转移的条件判断。事件类型无须与审计记录一一对应。攻击模式 只是说明事件序列，因此不适合描述更复杂的事件，没有通用方法来剪除部分攻击匹配。 所以不善于分析过分复杂的事件，而且不能检测与系统状态无关的入侵。 ( 3 ) 基于数据挖掘的异常入侵检测 通过从审计记录中提取隐含的、潜在的有用知识，主要是利用数据挖掘中的聚类分 析【2 5 】、序列模式分析陶、分类分析等方法提取与入侵活动相关的系统特征属性，并根据 系统特征属性生成入侵事件的分类模型，用于入侵事件的自动识别。基于数据挖掘的方 法适用于处理大量数据的情况，但该方法的实现需要大量的审计数据作为基础，系统学 习过程较慢，难以做到实时入侵检测。另外，数据挖掘是建立在大样本的基础上，而对 于入侵检测来说，得到足够的样本是非常困难和昂贵的【明。 ( 4 ) 基于神经网络的异常入侵检测 神经网络由大量的处理单元组成，单元间通过带有权值的连接来进行交互。来自审 计目志或正常网络访问行为的信息，经数据信息预处理模块的处理后作为输入向量，使 用神经网络对输入向量进行处理，从中提取用户正常行为的模式特征，并以此创建用户 的行为特征轮廓。这要求系统事先对大量实例进行训练具有每一个用户行为模式特征的 知识，从而可以找出偏离这些轮廓的用户行为，否则，就会使系统性能变差【2 8 1 。神经网 络的缺点是：训练时间长，依赖于训练数据集，建模代价高，而且对判断为异常的事件 9 太原理工夫带硕士研究生学像论文 不能提供解释或说明【2 9 l 。通过训练各个功能专一、结构简单的小神经网络，然后联合构 建功能强大的神经蕊络也是巨前的解决办法。当有新的数据加入时，只须对小型网进行 一调整，无须对整个神经网络进行重新学习例。 ( 5 ) 基于支持向量机的异常入侵检测 支持向量视( s u p p o r tv e c t o rm a c h i n e s ) 是一种建立在统计理论基餮e 之上的机器学习方 法，目前为止应用于入侵检测的s v m 有二分类s v m ，n 分类s v m ，针对无标签数据 分类以及大量训练样本的s v l v l 。基于支持向量机的异常入侵检测分为两步：( 1 ) 训练： 在某种s v m 训练算法下利用样本数据进行分类器训练，结束时可得到s v m 决策函数。 ( 2 ) 检测：先将待检测数据转换成s v m 接受的输入向量格式，然后利用训练阶段得到 的决策函数对输人的向量进行分类，得到的结果即为检测结论，支持向量机模型应用于 入侵检测取得了良婷翡效果祭封。毽s v m 的性能很大程度上依赖予核函数盼选择，西蓠 没有很好的方法来指导核函数选择；s v m 的训练速度受数据集规模的影响极大；现有 s v m 理论仅讨论具有固定惩罚系数c 的情况，而实际上正负样本的两种误判往往造成 损失是不同的阁。 根据输入数据来源和系统结构，入侵检测系统可以分为基于主机的入侵检测系统 ( 翘盼s ) 、基于网络的网络入侵检测系统( 闻d s ) 和分布式入侵检测系统。 ( 1 ) 基于主祝的入侵检测系统 该系统的输入数据来源于系统的审计日志，即在每个要保护的主机上运行一个代理 程序，只能检测该主机上发生的入侵。该入侵检测系统在重要的应用服务器、工作站或 用户机器上运行，监视操作系统或系统事件级鄹昀可疑活动，寻找潜在的可疑活动。此 类系统需要定义清楚哪些是不合法的活动，然后把这种安全策略转换成入侵检测规则， 其检测过程如下： 基于主机的入侵检测系统 审计数| 覆始事诗数撅| 审计数| 攘美事诗数豢| 审计数| 捡壹绩莱 据收集卜叫叫据过滤0 一据过滤| 器li 器 ii器i 蚕2 - 2 基予差襁露入侵捡测系统 f i g u r e 2 - 2 t h ei n t r u s i o nd e t e c t i o ns