（计算机应用技术专业论文）基于免疫机理的入侵检测系统的研究与设计.pdf

河北工业大学颈十学位论文 基于免疫机理的入侵检测系统的研究与设计 摘要 当今世界，互联网对人们生活的影响越来越大，人们越来越依靠它进行信息 交流。然而网络的安全现状却令我们担忧甚重。入侵检测技术作为防护计算机网 络安全的一个重要措施，成为当前信息安全领域的研究热点之一。入侵检测系统 的运行机理与自然免疫系统有着很多相似之处，自然免疫系统成功保护肌体免受 各种侵害的机理为研究入侵检测提供了重要的方法。 本文首先介绍了网络安全的现状、原因，阐述了当前的安全工具不能够满足 人们对网络安全日益增长的需求的缘由：其次介绍了入侵检测技术的优势和发 展，入侵检测系统的概念、发展、分类和几种当前流行的入侵检测技术手段；之 后介绍了免疫系统的概念、组成、机理及目前问世的人工免疫系统模型，并详细 分析了免疫的三大核心技术，即克隆重组、菲我选择、基因库进化，建构了个 综合的基于免疫机理的入侵检测系统的框架模型，将两种检测策略，即误用检测 和异常检测有机地结合起来：然后详细介绍了对特异性检测进行的模拟实现的全 过程：最后对所作的工作进行总结，并阐述了今后研究工作的方向。 本文在对特异性检测系统模拟的过程中，将信息增益理论应用到入侵检测的 数据库初始化中，用它度量基因类在整个训练集中所包含的能说明本条数据是否 是入侵的信息量的大小，并由此从大到小的颅序依次选择基因类，使得基因类的 选取拥有了严密的理论依据；深入研究分析了生物免疫系统中的抗体多样性机 制，并将其应用到基因类选择中。将基因类依据信息增益，选择若干作为本质区 成员，说明行为性质，而剩下的则为变异区成员，体现对数据的多样性检测的健 壮性，使得检测器在现有规模中能够检测大范围的入侵行为；在对生物免疫系统 机理和人工免疫系统的免疫机理进行详细分析的基础上，将克隆重组，非我选择， 基因库进化，抗体多样性等免疫机理灵活运用于网络入侵检测系统的构建中，模 拟实现了一个基于异常的入侵检测系统。 关键词：网络安全，入侵检测，免疫机理，特异性检测系统 基于免疫机理的入侵检测系统研究与设计 r e s e a r c ha n dd e s i g no fi n t r u s i o n d e t e c t i o ns y s t e m b a s e do ni m m u n em e c h a n i s m a b s t r a c t n o w a d a y s ，p e o p l e sl i f ei sg r e a t l ya f f e c t e db yi n t e r n e t ，m o r ea n dm o r e c o m m u n i c a t i o np e o p l em a k ew i t he a c ho t h e rw i l ld e p e n do ni n t e r n e t b u tt h e s e c u r ee n v i r o n m e n to f n e t w o r km a k e si i sw o r r y h a g a sa l li m p o r t a n tm e t h o dt oi n s u r e c o m p u t e rn e t w o r ks e c u r i t y ，i n t m s i o nd e t e c t i o nt e c h n i q u ei sb e c o m i n go n eo fh o t r e s e a r c ht o p i c si ni n f o r m a t i o ns e c u r i t yf i e l d t h eo p e r a t i n gm e c h a n i s mo fi n t r u s i o n d e t e c t i o ns y s t e r n si ss i m i l a rt ot h en a t u r a li m m u n es y s t e r n t h et h e o r yt h a tt h e i m m u n es y s t e mc a n p r o t e c t b o d y f r o m i n v a s i o n p r o v i d e sa l l i m p o r t a n ta p p r o a c h t o i n t r u s i o nd e t e c t i o n i nt h i sp a p e r , f i r s , t h es i t u a t i o n , t h er e a s o no fa n x i e t yo fn e t w o r ks e c u r i t yi s i n l x o d u c e d ，i td e s c r i p tw h yt h ec o l n m o ns e c u r i t yt o o l sn o wi sn o te n o u g ht ot h en e e d o f s e c u r i t yt h a tn o ww ew a n t e d ；s e c o n d l y , t h ea d v a n t a g ea n dd e v e l o p m e n to f i n t r u s i o n d e t e c t i o nt e c h n o l o g y , t h ec o n c e p t ，d e v e l o p m e n ta n dc l a s s i f i c a t i o na n ds o m em e t h o d s o fi n t r u s i o nd e t e c t i o ns y s t e ma r ei n t r o d u c e d ；t h i r d l y , t h ec o n c e p t ，f o r m ，m e c h a n i s m a n dm o d e l so ft h eh u m a ni m m u n es y s t c ma r ei n t r o d u c e d ，t h r e ec o r et e c h n i q u e so f i m m u n es y s t e ma l ea n a l y z e d ，ac o m p r e h e n s i v em o d e lo fi n t r u s i o nd e t e c t i o ns y s t e m b a s e do ni m m l l n em e c h a n i s mi sf o u n d e d ，c o m b i n e dt w om e t h o d s ，b a s e do nm i s u s e a n db a s e do nu n u s u a ld e t e c t i o n ；t h e n ，t h ep r o c e s so fs i m u l a t i o no fs p e c i a ld e t e c t i o ni s e x p l a i n e dp a r t i c u l a r l y ；l a s t l y , m a k eas l u n l n a r i z e p o i n to u tt h ef u t u r eo f 【d s d u r i n gt h ep r o c e s so fs i m u l a t i o no fs p e c i a ld e t e c t i o ns y s t e m ，i n f o r m a t i o ng a i ni s u s e di nt h ei n i t i a t i o no fg e n el i b r a r y , t e l l i n gt h eq u a n t i t ye a c hg e n et a k e s ，s oi th a sa n r i g o r o u st h e o r yi nc h o o s i n gg e n e s t h ee f f i c i e n c yi sp r o m o t e d ；n et h e o r yo fa n t i b o d y d i v e r s i t yi ni m m u n es y s t e mi ss t u d i e da n du s e di n 也ec h o i c eo fg e n e i tm a k e st h e d e t e c t o rt of i n dm u c hm o r ei n t r u s i o na n dp r o m o t e st h ee f f i c i e n c y c h o o s i n gs t e a d y g e n e sa c c o r d i n gt oi t sl a r g ei n f o r m a t i o ng a i na n dp u tt h e mi ne s s e n t i a ls e c t i o n sa n d 0 也e r si nv a r i a b l es e c t i o n sm a k ed e t e c t o r sm a yd e t e c tl a r g e s ta r e ao fi n t r u s i o na c t i o n ； t h es i m u l a t e ds p e c i a ld e t e c t i o ns y s t e mi si m p l e m e n t e d ，b a s e do nt h es t u d yo fc o l o n a l s e l e c t i o n ，n e g a t i v es e l e c t i o n ，g e n el i b r a r ye v o l u t i o na n da n t i b o d yd i v e r s i t yu s e di n l t n m u n es y s t e m k e ywo r d s ：n e t w o r ks e c u r i t y , i n t r u s i o nd e t e c t i o n ，i m m u n em e c h a n i s m ，s p e c i a l d e t e c t i o ns y s t e m 河t i l t 业大学硕士学位论文 卜1 1 网络安全现状 第一章绪论 1 - 1 课题研究的背景及意义 作为2 0 世纪后半期最重大的发明之一，互联网对整个人类社会产生了重大而深远的影 响。九十年代中期以来，随着信息技术的飞速发展，特别是i n t e r n e t 的普遍使用和美国 政府率先推动的建设全球信息高速公路计划，使得全世界的信息化进程急剧加快。信息技术 和网络空间为社会的经济、政治、文化等方面的发展起到了重大促进作用：个人用户通过互 联网获取信息，进行消费、娱乐；企业用户通过网络发布产品信息，实现电子商务；政府部 门通过互联网进行办公，提倡电子政务等等。i n t e r n e t 逐渐成为整个社会基础设施中最 重要的组成部分之一。 然而，就在我们愈来愈深切地感受到开放互联所带来的巨大便利，并由此产生对计算机 网络越来越强的依赖性的同时，却不得不面对信息安全问题日益严唆的考验。诸如红色代码 ( r e d c o d e ) 、尼姆达( n i m d a ) 等大量种类繁多的病毒在i n t e r _ n e t 上肆虐，每年造成数 十亿美元的损失；世界范围的黑客( h a c k e r ) 随时都在威胁着广大互联网用户。据统计，黑客 活动在过去5 年中以2 5 0 的速度增长。病毒加上黑客，给互联网带来了巨大的危害。在科 技最发达，防御最严密的美国国防部五角大楼内，每年都有成千上万的非法入侵者侵入其内 部网络系统；m o o ，b u y ，e b a y ，a m a z o n ，c n n 都曾被黑客入侵，造成了巨大的经济损失， 甚至连专门从事网络安全的r s a 网站也受到了黑客的攻击。 可以说在i n t e r n e t 发展的每一个阶段，网络安全都是一个基础性的、关键性的问题。 就其原因，有以下两方面： f 1 ) 以t c p i p 协议为基础的i n t e r n e t 在设计时主要注重的是互联和互操作，对安全 性的考虑较少因此，t c p i p 协议本身就存在安全缺陷。当前各种操作系统和应用软件日 趋繁杂，加上开发时间有限，大多数软件都很少甚至没有经过必要的安全测试，这必然存在 很多隐患。据统计，开发人员在编写程序时，每写一千行代码，至少会有一个漏洞出现，再 高明的程序员也不例外。这样，黑客可以利用计算机系统或网络的漏洞，包括软件漏洞、硬 件漏洞、网络协议漏洞等等，通过现有的或自己开发的工具软件实施攻击。这样，网络协议 和各种软件固有的安全缺陷构成了网络不安全的内因。 r 2 ) 当前i n t e r n e t 正在越来越多地离开原来单纯的学术环境，融入到社会的各个方 面。使用网络的人员已经不仅仅限于科技人员和学生，越来越多社会不同阶层的人员融入到 网络世界中，这就使得网络中各种不安全因素日益加剧：网站管理人员没有经过专门培训， 对网络安全重视不够；企业员工对内部网络的误操作，或不安全的使用方式等行为都会为黑 客留下可乘之机：大批黑客由于利益驱使，盗用资源，窃取机密，破坏网络；同时由于网络 的普及，黑客工具软件流行，使得攻击网络所需要的技术下降，而强度上升，许多仅具有初 步计算机知识的入侵者可以方便地使用网络上的黑客工具对一些系统造成巨大损害。正是由 于上述的三方面原因，即使用者误操作，黑客不良企图和网上黑客软件的流行造成了网络安 全事件迅速增长的外因。 基于免疫机理的入侵检测系统研究与设计 内因和外因共同作用使得网络安全性急剧恶化。这种不安全性日益加剧，对社会的影响 也愈来愈大。对入侵攻击的检测与防范，保障计算机系统、网络系统及整个信息基础设施的 安全已经成为刻不容缓的重要课题。 卜1 2 计算机网络安全 国际标准化组织i s o 将“计算机安全”定义为：“为数据处理系统建立和采取的技术和 管理的安全保护，保障计算机硬件、软件数据不因偶然和恶意的原因而遭到破坏、更改和泄 露。”“”因此，网络安全的目标包括： ( 1 ) 网络服务的可用。眭( a v a i l a b i l i t y ) ：无论何时，网络服务必须是可用的。 ( 2 ) 网络信息的保密性( c o n f i d e n t i a l i t y ) ：网络服务要求能防止敏感信息泄露，并且只有 在授权的条件下，才能获得服务信息。 ( 3 ) 网络信息的完整性( i n t e g r i t y ) ：网络服务必须保证服务者提供的信息内容不被非授权 篡改，不管是有意或故意。完整性是对信息的准确性和可靠性的评价指标。 ( 4 ) 网络信息的不可否认性( n o - r e p u d i a t i o n ) ：用户不能否认消息或文件来源地，也不能 否认接收了信息或文件。 ( 5 ) 网络运行的可控性( c o n t r o l l a b i l i t y ) ：指网络管理的可控性，包括网络运行的物理可 控性和逻辑或配置可控性等，能够有效地控制网络用户的行为及信息的传播范围。 卜1 3 传统的网络安全技术 攻击和防御是矛盾的两个方面。为了达到上述网络安全的目的，研究人员作了大量工作 研制并实施了很多防御措施来抵制攻击，具体如下： ( 1 ) 加密机制 加密是一种晟基本的，行之有效的安全机制。所谓加密，就是使用数学方法来重新组织 数据，将原先的消息称作明文，将变化后的消息称作密文，使得除了合法的接收者外，其他 任何人要想恢复原先的消息或读懂变化后的消息都是非常困难的。加密的逆过程就是解密， 即将密文变换成明文的过程。可见，它能防止信息被非法读取。 f 2 1 识别与认证机制 识别与认证是以交换识别信息的方式来确认实体身份的机制，是进行操作控制前所必不 可少的步骤。因为不知道用户是谁就无法判断其操作是否合法。在网络上的认证从安全角度 可分为两类：一类是请求认证者的秘密信息，例如：口令：另一类是使用公开密钥签名算法 的认证方式。识别和认证并不仅限于登录系统的过程中，当两台主机通过网络进行通信时， 也会进行某些形式的识别和认证。当前大多数系统中都应用了这种机制。 f 3 ) 访问控制机制 访问控制机制是按照事先确定的规则决定主体对客体的访问是否合法。其目的是防止对 网络信息资源的非授权访问和操作。当一个主体试图非法使用一个未经授权使用的客体资源 时，访问控制功能将拒绝这一企图，并可附带报告这一事件给审计跟踪系统，审计跟踪系统 产生一个报警或形成部分追踪审计。访问控制一般以访问控制数据库，安全标记和能力表等 机制为基础。 2 基于免疫机理的 侵检瓤i 系统研究与设计 内因和外因共同作用使得嘲络安全性急剧恶化。这种不安全性日益加剧，对社会的影响 也愈来愈太。对入侵攻击的检测与防范，保陴计算机系统、网络系统及整个信息基础设施的 安全已经成为刻不容缓的重要课题。 卜1 2 计算机网络安全 国际标准化组织i s o 将“计算机安全”定义为：“为数据处理系统建立和采取的技术和 管理的安全保护，保障计算机硬件、软件数据不因偶然和恶意的原因而遭到破坏、更改和泄 露。”。“因此，网络安全的目标包括： ( 1 ) 网络服务的可用性( a v a l l 曲l i l t y ) ：无论何时，网络服务必频是可用的。 ( 2 ) 网络信息的保密性( c o n f i d e n t i a l i 劝：网络服务要求能防止敏感信息泄露并且只有 在授权的条件下，才能获得服务信息。 f 3 1 网络信息的完整性( m t c g r i t y ) ：网络服务必额保证服务者提供的信息匈容不被作授权 篡改，不管是有意或故意；完整性是对信息的准确性和可靠性的评价指标。 ( 4 ) 网络信息的不可否认性( n o - r e p u c l i a t i e n ) ：用户不能否认消息或文件来源地，也不能 否认接收了信息或文件。 ( 5 ) 网络运行的可控性( c o n t r o l l a b i l i t y ) ：指网络管理的可控性，包括网络运行的物理可 控性平u 逻辑或配置可控性等，能够有效地控制网络用户的行为及信息的传播范围。 1 - 1 - 3 传统的嘲络安全技术 攻击和防御是矛盾的两个方面。为了达到上述网络安全的目的，研究人员作了大量工作 研制并实施了很多防御措施来抵制攻击，具体如下： f 1 ) 加密机制 加密足一种最基本的，行之有效的安全机制。所谓加密，就是使用数学方法来重新组织 数据，将原先的消息称作明文，将变化后的消息称作密文，使得豫丁合法的接收者外，其他 任何人要想恢复原先的消息或读懂变化后的消息都是非常困难韵。加密的逆过程就是解密， 即将密文变换成明文的过程。可见，它能防止信息被非法读取。 f 2 ) 识别与认证机制 识别与认证是以交换识别信息的方式来确认实体身份的机制，是进行操作控制前所必不 可少的步骤。因为不知道用户是谁就无法判断其操作是否合法。在网络上的认证从安全角度 可分为两类：一类是请求认证者的秘密信息，例如：口夸；另一类是使用公开密钥签名算法 的认证方式。识别和认证并不仅限于登录系统的过程中，当两台主机通过网络进行通信时， 也会进行某些形式的识别和认证。当前大多数系统中都应用了这种机制。 f 3 ) 访问控制机制 访问控制机制是按照事先确定的规则决定主体对客体的防问是否合法。其目的是防止对 网络信息资源的非授权访问和操作。当一个主体试图非 去使用一个未经授权使用的客体资源 时，访问控制功能将拒绝这企图，并可附带报告这事件给审计跟踪系统，审计跟踪系统 产生一个报警或形成部分追踪审计。访问控制一般以访问控制数据库，安全标记和能力表等 产生一个报警或形成部分追踪审计。访问控制一般以访问控制数据序，安全标记和能力表等 机制为基础。 基于免疫机理的入侵检测系统研究与设计 内因和外因共同作用使得网络安全性急剧恶化。这种不安全性日益加剧，对社会的影响 也愈来愈大。对入侵攻击的检测与防范，保障计算机系统、网络系统及整个信息基础设施的 安全已经成为刻不容缓的重要课题。 卜1 2 计算机网络安全 国际标准化组织i s o 将“计算机安全”定义为：“为数据处理系统建立和采取的技术和 管理的安全保护，保障计算机硬件、软件数据不因偶然和恶意的原因而遭到破坏、更改和泄 露。”“”因此，网络安全的目标包括： ( 1 ) 网络服务的可用。眭( a v a i l a b i l i t y ) ：无论何时，网络服务必须是可用的。 ( 2 ) 网络信息的保密性( c o n f i d e n t i a l i t y ) ：网络服务要求能防止敏感信息泄露，并且只有 在授权的条件下，才能获得服务信息。 ( 3 ) 网络信息的完整性( i n t e g r i t y ) ：网络服务必须保证服务者提供的信息内容不被非授权 篡改，不管是有意或故意。完整性是对信息的准确性和可靠性的评价指标。 ( 4 ) 网络信息的不可否认性( n o - r e p u d i a t i o n ) ：用户不能否认消息或文件来源地，也不能 否认接收了信息或文件。 ( 5 ) 网络运行的可控性( c o n t r o l l a b i l i t y ) ：指网络管理的可控性，包括网络运行的物理可 控性和逻辑或配置可控性等，能够有效地控制网络用户的行为及信息的传播范围。 卜1 3 传统的网络安全技术 攻击和防御是矛盾的两个方面。为了达到上述网络安全的目的，研究人员作了大量工作 研制并实施了很多防御措施来抵制攻击，具体如下： ( 1 ) 加密机制 加密是一种晟基本的，行之有效的安全机制。所谓加密，就是使用数学方法来重新组织 数据，将原先的消息称作明文，将变化后的消息称作密文，使得除了合法的接收者外，其他 任何人要想恢复原先的消息或读懂变化后的消息都是非常困难的。加密的逆过程就是解密， 即将密文变换成明文的过程。可见，它能防止信息被非法读取。 f 2 1 识别与认证机制 识别与认证是以交换识别信息的方式来确认实体身份的机制，是进行操作控制前所必不 可少的步骤。因为不知道用户是谁就无法判断其操作是否合法。在网络上的认证从安全角度 可分为两类：一类是请求认证者的秘密信息，例如：口令：另一类是使用公开密钥签名算法 的认证方式。识别和认证并不仅限于登录系统的过程中，当两台主机通过网络进行通信时， 也会进行某些形式的识别和认证。当前大多数系统中都应用了这种机制。 f 3 ) 访问控制机制 访问控制机制是按照事先确定的规则决定主体对客体的访问是否合法。其目的是防止对 网络信息资源的非授权访问和操作。当一个主体试图非法使用一个未经授权使用的客体资源 时，访问控制功能将拒绝这一企图，并可附带报告这一事件给审计跟踪系统，审计跟踪系统 产生一个报警或形成部分追踪审计。访问控制一般以访问控制数据库，安全标记和能力表等 机制为基础。 2 河：i l i 业大学硕士学位论文 ( 4 ) 防火墙 防火墙技术是近年发展起来的重要安全技术，其特征是通过在网络边界上建立相应的网 络通信监控系统来达到保障网络安全的目的。其实现技术就是将定义好的安全策略转换成具 体的安全控制操作，以决定网络之间的通信是否被允许，从而在内部网、外部网之间建立一 个安全控制点，通过允许、拒绝或重新定向流经防火墙的数据等方式来实现对进出内部网络 的服务和访问进行审计和控制。因此，它是一种通过网络拓扑结构和服务类型的隔离而在内 部网和外部网之间实施安全防范的系统。 卜i - 4 传统网络安全技术的不足及当前面临的问题 传统的网络安全技术虽能提供一定程度的保护和防范能力，但这些安全技术都侧重于被 动地防护，都不能主动地检测攻击或入侵事件。而且根据其实现机理可以看出各种技术都还 存在一定的局限性，具体如下： ( 1 ) 数据加密虽然是保护数据的最基本方法。但是这种方法只能保证真实数据的难于读 取，而不能防止数据被非法用户获取和修改。另外，加密和解密技术主要依赖于密钥和加密 算法的破解时间和难度。随着计算机技术的发展，一些加密算法已经不仅仅局限于理论上可 以被破解，计算机的高速运算能力将缩短加密算法被破解的时间且降低了被破解的难度。一 旦加密算法和密钥被发现，那么加密信息将无安全性可言。 f 2 1 识别与认证技术通过为主体，通常是用户，和对象的识别提供一个值得信赖的机制 构建一个安全系统。但是无论是u n i x l i n u ) 【还是w i n d o w sn t 系统，其识别和认证机制都基 于一个隐含的假定，即能成功地提供识别和认证所需要信息的用户就是合法用户。这个隐含 假定成为系统的潜在弱点。在这个安全边界的主要威胁包括口令猜测和盗窃等，黑客一旦通 过某些渠道进入系统，识别与认证技术对于他们的破坏行为就变得无能为力。 f 3 ) 访问控制机制仅仅限制是否允许访问系统中的客体。在主体能够访问操作客体的情 形下，并没有限制主体对客体做什么或做成什么样子。因此，访问控制不能防止已授权用户 获取系统中未授权信息。而且访问授权控制可以任意分布在系统中，保护数据的责任依靠最 终用户。这样常常要求用户理解明白系统所提供的保护措施和如何使用这些措施达到预期的 安全。 ( 4 ) 防火墙技术局限性有以下几点： 1 ) 防外不防内。防火墙技术总是假定被保护网络具有明确定义的边界和服务并且网络 安全的威胁仅来自外部网络。它很难解决内部网控制内部人员的安全问题。 2 ) 防火墙难于管理和配置，易造成安全漏洞。防火墙的管理及配置相当复杂，要想成 功地维护防火墙要求防火墙管理员对网络安全攻击的手段及其与系统配置的关系有相当深 刻的了解。 3 ) 防火墙的安全控制主要是基于i p 地址的，难于为用户在防火墙内外提供一致的安全 策略。许多防火墙对用户的安全控制主要是基于用户所用机器的i p 地址而不是用户身份， 这样就很难为同一用户在防火墙内外提供一致的安全控制策略，限制了企业网的物理范围。 从上面的分析可以看出，传统网络安全技术本身存在的局限性，在技术实现上存在配置 问题或设计缺陷。因此，在各种安全机制，策略和工具被研究和应用的情况下，网络的安全 仍然存在很大隐患。这些安全隐患主要可以归纳为以下几点： 基于免疫机理的入侵检测系统研究与设计 ( 1 ) 每一种安全机制都有一定的应用范围和应用环境。 ( 2 ) 安全工具的使用受到人为因素的影响。 ( 3 ) 系统后门是传统安全工具难于考虑到的地方。 ( 4 ) 只要有程序，就可能存在b u g ，甚至连安全工具本身也可能存在安全的漏洞。 ( 5 ) 黑客的攻击手段在不断地更新，几乎每天都有不同系统安全问题出现。当安全工具 刚发现并努力更正某方面的安全问题时，其他的安全问题又出现了。黑客攻击是主动的，防 御是被动的。因此，黑客总是可以使用先进的、安全工具以未知的手段进行攻击。 对于以上提到的问题，很多机构、组织正在致力于提出更多、更强大的主动策略和方案， 来增强网络的安全性，力求能够从客观角度根据网络攻击的具体行为来决定安全对策，根据 网络行为的变化来及时地调整系统的安全策略，而且有能力发现未知的入侵行为，并可以通 过学习和分析入侵手段，及时地调整系统燕路以加强系统的安全性。在这样的情况下，入侵 检测技术一种能实现主动和动态防御的新型网络安全技术就应运而生了。 卜2 一l 入侵检测的发展史 1 - 2 国内外研究现状 入侵检测的发展经历了三个阶段“”： ( 1 ) 概念的诞生 1 9 8 0 年4 月，j a m e spa n d e r s o n 为美国空军做了一份题为g c o m p u t e rs e c u r i t yt h r e a t m o n i t o r i n ga n ds u r v e i l l a n c e ) ) r 计算机安全威胁监控与监视) 的技术报告，第一次详细阐述 了入侵检测的概念。他提出了一种对计算机系统风险和威胁的分类方法，并将威胁分为外部 渗透、内部渗透和不法行为三种，还提出了利用审计跟踪数据监视入侵活动的思想。这个报 告被公认为是入侵检测技术研究的开创性文献。 ( 2 1 模型的发展 从1 9 8 4 年刭1 9 8 6 年，乔治敦大学的d o r o t h yd e n n i n g 和s r f c s l ( s r i 公司计算机科学 实验室) 的p e t e r n e m n a n n 研究并发展了一个实时入侵检测系统的模型，命名为入侵检测专家 系统( i n t r u s i o nd e t e c t i o ne x p e r ts y s t e m ，i d e s ) 。它提出了反常活动和计算机不正当使用之 间的相关性。在此项目中，异常行为被定义为统计意义上的“稀少和不寻常”( 指一些统计 特征量不在正常范围内) 。该模型由六个部分组成：主体、对象、审计记录、轮廓特征、异 常记录、活动规则。它独立于特定的系统平台、应用环境，利用系统弱点以及入侵行为类型 为构建入侵检测系统提供了一个通用的框架。该假设是许多2 0 世纪8 0 年代的入侵检测研究 和系统原型的基础。d e n n i n g 于1 9 8 7 年发表的关于这个问题的论文，被认为是另一篇入侵 检测的经典之作。 1 9 8 8 年，s r v c s l 的t e r e s al u n t 等人改进了d e n n i n g 的入侵检测模型，并开发出了一 个i d e s 。该系统包括一个异常检测器和一个专家系统，分别用于统计异常模型的建立和基 4 河北工业大学硕士学位论文 于规则的特征分析检测。 r 3 ) 百花齐放的春天 1 9 9 0 年是入侵检测系统发展史上的一个具有重要意义的里程碑。这一年，加利福尼亚 大学d a v i s 分校的h e b e r l e i n 等人开发了网络系统监视器( n e t w o r ks e c u r i t ym o n i t o r ，n s m ) ， n s m 与此前的i d s 系统最大的不同在于它并不检查主机系统的审计记录，它可以通过在局 域网上主动地监视网络信息流量来追踪可疑的行为。这是入侵检测系统第一次监视网络流量 并把流量作为主要数据源。同时，n s m 是第一个试图把入侵检测系统扩展到异种网络环境 的系统，也是第一个运行在一个操作系统上的入侵检测系统。从此之后，入侵检测系统中的 两个重要研究方向开始形成：基于网络的i d s 和基于主机的i d s 。 在1 9 8 8 年m o m s 蠕虫事件发生之后，网络安全引起了军方、学术界和企业的高度重视。 在美国空军、国家安全局和能源部的资助下，美国空军密码支持中心、l a w r e n c el i v e r m o r 国家实验室、加利福尼亚大学d a v i s 分校和h a y s t a c k 实验室合作开发了分布式入侵检测系统 fd i s t r i b u t ei n t r u s i o nd e t e c t i o ns y s t e m ，d i d s ) 。它是将主机入侵检测和网络入侵检测的能力 集成的第一次尝试。d i d s 是分布式入侵检测系统历史上的一个里程碑式的产品，它的检测 模型采用了分层结构，包括数据、事件、主体、上下文、威胁、安全状态等6 层。 近些年来，入侵检测的主要创新包括：1 9 9 7 年f o r r e s t 等将免疫原理运用到入侵检测领 域；1 9 9 8 年r o s s a n d e r s o n 和a b i d a k h a t t a k 将信息检索技术引进到入侵检测：2 0 0 0 年t e r r a n d l a n e 利用机器学习技术检测入侵。入侵检测系统的研发呈现出百家争鸣的繁荣局面，并 在智能化和分布式两个方向取得了长足的进展。目前，s r f c s l 、普渡大学、加州大学戴维 斯分校、洛斯阿拉莫斯国家实验室、哥伦比亚大学、新墨西哥大学等机构在这些方面的研究 代表了当前的最高水平。目前，国外有很多实验室和公司在从事入侵检测系统的研究、开发 工作，已经完成了一些原型系统和产品，如c i s c o 公司的n e t r a n g e r ，n e t w o r k a s s o c i a t e s 公 司的c y b e r c o p ，i n t e r a c ts e c u r i t ys y s t e m 公司的r e a l s e c u r e 等。国内的研究机构和从事网络 安全产品的公司也进行了相关的研究和开发。但国内的入侵检测的产品较少，技术上还存在 不少不足之处，有待进一步解决。 1 - 2 - 2 入侵检测的发展趋势 ( 1 ) 宽带高速实时的检测技术 大量高速网络技术如a t m 、千兆以太网等近几年里相继出现，在此背景下的各种宽带接 入手段层出不穷。如何实现高速网络下的实时入侵检测已经成为现实面临的问题。 ( 2 ) 大规模分布式的检测技术 传统的集中式i d s 的基本模型是在网络的不同网段放置多个探测器收集当前网络状态 的信息，然后将这些信息传送到中央控制台进行处理分析。这种方式存在明显的缺陷：首先， 当大规模的分布式攻击时，中央控制台的负荷将会超过其处理极限，这种情况会造成大量信 息处理的遗漏，导致漏报率的增高。其次，多个探测器收集到的数据在网络上的传输会在一 定程度上增加网络负担，导致网络系统性能的降低。再者，由于网络传输的时延问题，中央 控制台处理的网络数据包中所包含的信息只反映了探测器接收到它时网络的状态，不能实时 反映当前网络状态。 面对以上问题，新的解决方法也随之产生，例如a a f i d 系统。该系统是p u r d u e 大学设 计的一种采用树形分层构造的代理群体，其根节点的是监视器代理，提供全局的控制、管理 以及分析由上一层节点提供的信息，其在树叶部分的代理专门用来收集信息。但在解决问题 基于免疫机理的入侵检测系统研究与设计 的同时，带来一些新的问题，如代理问的协作、代理间的通信等。这些问题仍在进一步研究 之中。 大型分布式入侵检测系统是入侵检测的一个重要方向，其研究也在紧锣密鼓地开展之 中。 ( 3 ) 应用层入侵检测 许多入侵的语义只有在应用层才能理解，而目前的入侵检测系统仅能检测w e b 之类的 通用协议，不能处理如l o t u sn o t e s 数据库系统等其他的应用系统。许多基于c s 结构、 中间件技术及对象技术的大型应用，需要应用层的入侵检测保护。 ( 4 ) 与网络安全技术相结合 结合防火墙、p k i x 、安全电子交易( s e t ) 等网络安全与电子商务技术，提供完整的网 络安全保障。 ( 5 ) 数据挖掘技术 操作系统的日益复杂和网络数据流量的急剧增加，导致了审计数据以惊人速度剧增。如 何在海量的审计数据中提取出具有代表性的系统特征模式。用来对程序和用户行为作更精确 的描述，是实现入侵检测的关键。数据挖掘技术是一项通用的知识发现技术，其目的是要从 海量数据中提取对用户有用的数据。将该技术用于入侵检测领域，利用数据挖掘中的关联分 析、序列模式分析等算法提取相关的用户行为特征，然后根据这些特征生成安全事件的分类 模型，对安全事件进行自动鉴别。一个完整的基于数据挖掘的入侵检钡4 模型主要包括对审计 数据的采集，数据预处理，特征变量选取，算法比较，挖掘结果处理等一系列过程。这项技 术难点在于如何根据具体应用的要求，从用于安全的先验知识出发，提取出可以有效反映系 统特性的特征属性，应用恰当的算法进行数据挖掘。另外，如何将挖掘结果自动地应用到实 际的i d s 中，也是亟待解决的一个问题。 目前，国际上在这个方向上的研究很活跃，这些研究多数得到了美国国防部高级计划署、 国家自然科学基金的支持。但我们也应看到，数据挖掘技术用于入侵检测的研究总体上来说 还处于理论探讨阶段，离实际应用还有相当距离。 ( 6 ) 更先进的检测算法 在入侵检测技术的发展过程中，新算法的出现可以有效提高检测的效率。人们需要对智 能化的i d s 加以进一步的研究以解决其自学习与自适应能力。以计算机免疫技术、神经网络 技术和遗传算法为代表的机器学习算法为当前检测算法的改进注入新的活力，将计算机安全 技术与生物学、人工智能紧密联系起来，借鉴自然界各种优化的算法提高系统的可靠性和效 率。前人在这方面已经作了若干工作，但仍存在许多问题有待于我们进步深入研究。 总之，入侵检测系统作为一种主动的安全防护技术，提供了对内部攻击、外部攻击和误 操作的实时保护，在网络系统受到危害之前拦截和响应入侵。随着对网络安全性、可靠性的 要求越来越高，为了给电子商务等网络应用提供更加优质的服务，入侵检测系统从网络安全 的立体纵深，多层次防御的角度出发提供安全服务，必将进一步受到人们的重视。对多种类 综会i d s 的研究已成为当前i d s 的另一种重要研究与发展领域。一个有效的入侵检测系统不 仅要求能够正确地识别系统中的入侵行为，而且还要考虑到检测系统本身的安全以及如何适 应网络环境发展的需要。随着各种攻击手段的不断提高，网络流量持续增大，迫切要求新型 的具有自学习和自适应能力的智能入侵检测系统的出现，所以入侵检测技术的研究涉及到 计算机、数据库、通信、网络、密码学和人工智能等综合知识，具有重要的理论研究意义。 近年来，美国，日本，德国相继拨巨款开发信息安全的研究。在我国，相应的研究工作正在 开展。 6 河北工业大学硕士学位论文 卜2 3 基于免疫机理的入侵检测系统 近代计算机科学技术发展的显著特点之一是与生命科学的相互交叉、相互渗透日益密 切。生命科学尤其是生物学的发展为计算机科学的发展提供了许多新方法和新思路。目前， 针对生命科学与计算机科学的交叉领域的研究已成为当今科学研究领域内的一个重要的发 展方向，并取得了许多的举世瞩目的研究成果，如以脑神经系统为基础的神经网络和以遗传 系统为基础的遗传算法等。 生物的自然免疫系统在抵抗病毒和细菌等病原体的入侵方面担当着与入侵检测系统类 似的任务，虽然生物体在生存期间会遇到来自体外的各种病原体的侵袭以及体内细胞的癌变 等挑战，但生物体的免疫系统能够比较圆满地完成检测异常、保护生物体正常工作的任务。 因此自然免疫机理为入侵检测的设计提供了新的思路。我们希望能够通过模拟免疫机理，建 构入侵检测系统，使得计算机网络系统具有与生物体类似的免疫能力，能够在病毒肆虐黑 客遍布的恶劣的网络环境中顽强生存并完成正常的功能。 从计算机科学的角度来看，生物免疫系统可以看作是个具有高度并行处理能力的分布 式、自适应和自组织的系统。生物免疫系统具有很强的学习、识别、记忆和特征提取能力， 这些能力正是智能型计算机系统所需要。目前，计算机工作者们已从生物免疫系统中获得了 一些重要的启示和借鉴，并且将其应用于解决计算机工程应用中的一些运用一般方法难以解 决的复杂问题。人工免疫系统( a r t i f i c i a li m m u n es y s t e m ，a i s ) 正是以生物免疫学基本概 念和理论为基础面向应用的计算机模型它已被成功地用于解决许多复杂问题。 人工免疫系统继承了生物免疫系统的许多优良特性，是生物免疫学的相关原理和概念与 计算机科学，尤其指计算机网络安全工程相结合的产物。通过利用生物免疫系统的工作原理， 并结合工程实际应用提出的人工免疫系统特别适合于解决具有鲁棒性、自适应性和动态性要 求的实际工程应用问题。这些特性使得人工免疫系统很快的成为学术界研究的焦点。由于人 工免疫系统强大的信息处理和问题求解能力，人工免疫系统己成为继遗传算法和神经网络之 后新的研究热点。 i - 3 本文的主要工作 本文在深入研究分析当前入侵检测系统的基础上，将前人所研究的生物免疫系统，人工 免疫系统机理作了总结，根据自己研究的结果作了补充，提出一个综合的基于免疫机理的入 侵检测系统，并对其特异性检测部分进行了模拟实现。 本论文工作的主要内容如下： 第1 章：绪论。阐述了课题背景、意义，研究现状和发展趋势。 第2 章：入侵检测系统概述。介绍了入侵检测系统的概念，标准模型和分类。重点介绍 了入侵检测的两种分析策略，指出现有入侵检测系统的不足之处。 第3 章：基与免疫机理的网络入侵检测系统。首先介绍了生物免疫系统的概念和免疫 机理，其次，将免疫机理应用到入侵检测系统中，介绍了人工免疫系统的发展，详细分析了 其中应用到的自然免疫系统中抽象出的机理。最后，提出一个综合的基于免疫机理的入侵检 测系统的框架模型，并对其进行了说明。 7 基于免疫机理的入侵检测系统研究与设计 第4 章：系统实现。运用一个模拟实例，详细介绍了能够检测出未知入侵行为模式的特 异性检测的系统组成和检测原理，对其过程进行了模拟实现。 第5 章：总结。对本课题研究进行总结并指出了下一步研究方向。 河北工业大学硕士学位论文 2 - 1 1 什么是入侵行为 第二章入侵检测系统概述 2 - 1 入侵检测系统的概念 入侵行为主要指未经授权蓄意访问信息，篡改信息，可以造成系统数据的丢失和破坏， 使系统不可靠或不能使用，甚至会造成系统拒绝对合法用户服务等后果，试图破坏资源的完 整性( i n t e l 鲥t y ) 、机密性( c 0 玎矗d e i l d a l i t y ) 及可用性( a v a i l a b i l i t y ) 活动集合。包括尝试性闯入， 伪装攻击，安全控制系统渗透、泄漏，拒绝服务，恶意使用等6 种类型。 黑客常用入侵手段有 ( 1 ) 探测攻击：黑客通过扫描允许连接的服务和开放的端口，发现目标主机端口的分配 情况以及提供的各项服务和服务程序的版本号，找到有机可乘的服务或端口后进行攻击。常 见的探测攻击程序有：s a t a n ，s a i n t ，n t s c a n ，n e s s u s 等。 ( 2 ) 网络监听：将网卡设置为混杂模式，对以太网上流通的所有数据包进行监听，以获 取敏感信息。常见的网络监听工具有：n e t r a