基于免疫原理的入侵检测技术研究.pdf

下载

下载

4积分

5积分

下载

5积分

VIP价：4积分

- 1 - 基于免疫原理的入侵检测技术研究 张帅，曹天杰 中国矿业大学计算机科学与技术学院，江苏徐州 (221008) 摘 要：文章介绍了生物免疫的免疫原理及入侵检测系统的原理，论述了免疫原理在入侵检 测技术中的应用，着重讨论了阴性选择模型与危险理论及有关算法在入侵检测系统中的应 用。最后在分析入侵检测方法存在问题的基础上，探讨了基于免疫原理的入侵检测系统的研 究方向。 关键字：免疫原理；入侵检测；阴性选择；危险理论 中图分类号：TP393 文献标识码：A 1. 引言 近年来，随着网络技术的发展和应用范围的扩大，特别是互联网Internet的迅速发展， 人们越来越依赖于网络来进行迅速的信息访问和对不同来源的数据进行快速的搜集和整理。 一方面，网络为广大用户提供了资源的共享性，但另一方面也恰恰由于资源的共享与分布这 些特点，急剧增加了网络安全的脆弱性和网络遭受攻击的可能性和风险性。系统遭受的入侵 和攻击越来越多,网络与信息安全问题变得越来越突出，而传统的网络安全技术已不能满足 计算机安全的需要,因而入侵检测技术得到了迅猛发展。 在入侵检测技术和方法的研究中，人们发现生物免疫系统(Immune System，IS) 与入侵 检测系统(Intrusion Detection System，IDS)具有很大的相似性[1]，前者保护生物体不受诸如病 毒、病菌等各种病原体的侵害，而后者保护网络中的计算机不受或少受入侵事件的威胁，两 者都是使受保护对象在不断变化的环境中维持系统的稳定性。正是这种相似性使得生物免疫 系统成为研究与开发计算机入侵检测系统的一个自然的模板。目前，基于免疫原理的入侵检 测技术研究已成为一个研究热点。研究的目的就是利用生物免疫系统的免疫原理、体系结构 以及从中提取的有关算法来更好地解决入侵检测中的相关问题。 2. 生物免疫系统的基本原理 生物免疫系统是由免疫活性分子、免疫细胞、免疫组织和器官组成的复杂系统。其结构 本质上是多层次的，由分布在几个层次的防御系统组成。第一层是皮肤，阻止多数病原体； 第二层是物理性的，即温度、酸性之类的条件；第三层是固有的免疫系统，由游荡的细胞组 成（噬菌细胞）；最后一层是自适应免疫系统，由淋巴细胞组成，适应病原体结构，可有效 地清除病原体。 根据免疫功能的不同，淋巴细胞可分为T细胞和B细胞两类。B细胞经过分化，一部分成 为能产生抗体的浆细胞。抗体分子分为可变区和恒定区，可变区决定了抗体的特异性，产生 的抗体和相应的抗原会发生特异性结合，将抗原杀死。另一部分发展为记忆细胞，记忆细胞 对抗原十分敏感，能记住入侵过的抗原，当有同样抗原再次入侵时，记忆细胞能更快地作出 反应。这就是适应性免疫反应。T细胞能够专门识别并直接 破坏外来组织，发生免疫移植排斥反应，称为细胞免疫。T细胞抗原受体是能直接进入 细胞膜内部和特异性 抗原结合的蛋白质，以此进行识别，分裂产生大量的新的细胞，这些T细胞能分泌细胞 毒素，使移植器官的细胞凋亡[2]。 - 2 - 由此我们可以看出自适应性免疫系统主要有以下重要工作机制： （1）识别机制。免疫系统能够识别体内分子与外来分子，将所有的细胞分为两类：人 体“自我(Self)”细胞和“非自我(Non-self)”细胞，免疫系统只对“非自我”细胞具有免疫作用。 （2）受体多样性。免疫系统通过绑定外来的“非自我”细胞来进行检测，因此免疫系统 必须有足够多的淋巴细胞才能确保检测出任意给出的抗原。 （3）自适应网络。免疫网络学说表明[6], 免疫系统中的B细胞通过识别与被识别组成一 个网络, 对抗原的识别是网络中的B细胞相互作用的结果, 免疫网络与神经网络一样, 是一 个能够学习和记忆的自适应网络。 （4）记忆机制。免疫系统消灭抗原后, 产生记忆细胞, 当与该抗原相似的抗原再次入侵 机体时, 免疫系统能产生更快速、更强烈的二次应答。 （5）并行的分布系统。免疫系统中的淋巴细胞分布于全身, 根据周围的环境自适应地 确定自身的行为, 整个免疫系统是一个没有控制中心的并行的分布自治系统。 3. 入侵检测系统原理 入侵检测系统(Intrusion Detection System, IDS)是一种能自动检测计算机系统入侵行为 的系统。入侵检测本质上是一种电子数据处理过程，按照预先确定的方法对收集到的安全审 计数据进行分析处理，根据分析结果做出系统是否被入侵的结论。收集到的数据一般是系统 日志或网络事件日志，预先确定的方法一般是某种模式匹配技术或者统计学分析技术，或者 是二者的结合。 根据监视的对象，入侵检测系统可分为网络入侵检测系统、主机入侵检测系统和应用入 侵检测系统三种。入侵监测系统执行的主要功能包括：监视、分析用户和系统活动；识别已 知的攻击模式，并做出响应；统计分析异常行为模式；评估重要系统和数据文件的完整性。 一般由信息收集、数据分析和响应三个功能模块组成。 入侵检测基于的一个重要前提是：入侵行为和合法访问行为是可区分的，也就是说可以 通过提取网络行为的数字特征来分析判断该行为的合法性。一个基本的入侵检测系统需要解 决两个问题：一是如何充分并可靠地提取包含关键行为特征的数据；二是如何高效并准确地 判定行为的合法性。通常情况下的入侵检测系统分析方法可以分为两类：异常检测模型和误 用检测模型[3]。 基于异常的入侵检测方法主要来源于这样的思想：任何人的正常行为都是有一定的规律 的，分析这些行为产生的日志信息总结出这些规律。而入侵和滥用行为则通常和正常的行为 存在严重的差异，通过比较这些差异来检测出入侵。此外，不属于入侵的异常用户行为，比 如滥用自己的权限，也能被检测到。异常入侵检测方法主要有：(1)概率统计方法；(2)神经 网络方法；(3)生物免疫学方法。 基于误用的入侵检测方法通过使用某种模式或者信号标识表示攻击，进而发现相同的攻 击，这种方式可以检测许多甚至全部已知的攻击行为，但是对于未知的攻击手段却无能为力。 4. 免疫原理在入侵检测系统中的应用 生物免疫系统与入侵检测系统有着功能上的相似之处，如表1所示[4]。免疫系统的分布 性、多样性、自组织性、完备性和精简性使它精确有效地保护着生物个体。这使得人们希望 借助于前者的原理更好地实现后者的功能．在合法的“自己”行为中判别出非法的“异己”行 为。 - 3 - 表1 生物体免疫系统概念和网络入侵检测系统概念对比 Table 1 The contrast of concept between IS and NIDS 生物免疫系统 网络入侵检测系统 缩氨酸/抗原决定基 被检测的行为模式串 受体 检测模式串 单克隆淋巴细胞（T细胞、B细胞） 检测器 抗原 异己模式串 绑定 检测模式串和异己模式串的匹配 耐受性阴性选择 阴性选择 淋巴细胞克隆 检测器复制 抗原检测 入侵检测系统的检测 抗原清除 检测器响应 最早将自然免疫的一些思想引人信息安全领域的是S．Forrest。l994年，New Mexico大 学的S．Forrest和她所在的研究小组将免疫学的原理应用于计算机安全领域。他们设计了一 个用来保护计算机系统的人工免疫系统。S．Forrest首先对人工免疫系统的体系结构进行了 详细描述，包括问题定义，识别器，训练和识别系统，记忆，敏感度，共同激活，生命周期， 表达形式和免疫反应等九个方面的内容，并建立与该体系结构相符合的LISYS系统。该系统 最突出的特点就是继承了人体免疫系统中区分自我(Self)和非我(Non—self)的机制，与人体 免疫系统不同的是计算机系统中自我是指合法用户行为、未被坏的数据等，而非我是指非授 权用户的行为、病毒和恶意代码等[5]。 目前，在免疫学中比较成熟并占主导地位的学说有抗体克隆选择学说和免疫网络学说， 基于这两个学说提出的人工免疫系统(Artificial Immune System, AIS)模型大致分为网络模型 和阴性选择模型,其中后一模型广泛用于建立入侵检测系统，涉及到的免疫机制包括免疫应 答、免疫系统的特异识别、模式识别、克隆选择和扩增、免疫记忆和自我与非自我区分等。 最近，随着生物免疫学的丰富和完善，一个新的免疫理论——危险模式理论已经引起人们的 兴趣，它在入侵检测中的应用研究已经展开。 基于抗体克隆选择学说的阴性选择模型 抗体克隆选择学说的特点是:外来抗原选择出原先处于静止状态的互补细胞克隆,被选择 细胞克隆的激活、增殖和效应功能是免疫应答的细胞学过程,而针对自身抗原的细胞克隆则 被抑制或消除, 因而对外来抗原的识别是关键的因素[6]。 基于该学说的入侵检测技术通常要建立一个检测子集合用以匹配抗原,检测子是随机生 成的,然后要经过阴性选择阶段得到成熟的检测子。 阴性选择原理 免疫识别是免疫系统的主要功能, 同时也是AIS 的核心之一, 而识别的本质是区分“自 我”和“非自我”。 免疫识别是通过淋巴细胞上的抗原识别受体与抗原的结合实现的, 结合的 强度称为亲合度(Affinity)。未成熟的T 细胞首先要经历一个审查环节, 只有那些不能与“自 我(即机体本身组织)” 发生应答的T 细胞才可以离开胸腺, 执行免疫应答的任务, 从而防止 免疫细胞对机体造成错误攻击。该过程称为阴性选择(Negative Selection)。 - 4 - 阴性选择算法 基于阴性选择原理,D’haeseleer给出了一种阴性选择算法[7], 用于监测数据改变。 其中抗 体(问题解答) 与抗原(问题) 的匹配采用Forrest提出的部分匹配规则，如图1所示。 R=4 010100111 010101111 110101001 111101001 匹配 不匹配 图1 阴性选择的R连续匹配规则 Match rule in the model of negative selection 该算法的流程如下: Step1. 定义一组长度为L 的字符串集合S 来代表自我, 用于检测。 Step2. 产生检测器集合R ,依据阴性选择原理, 对每个检测器进行审查。审查采用部分匹 配规则, 即两个字符串匹配当且仅当至少有r 个连续位相同, 其中r 为参数。 Step3. 通过连续地将R 中的检测器与S 比较来监测S的改变。 如果检测器发生匹配, 则 有改变发生。 这些成熟的检测子监视网络中的数据,如果匹配到的异常超过预先设定的阈值,检测子被 激活,这时会向人工操作员报告并由其决定这是否是一次真正的入侵,如果是,检测子通过克 隆选择提升为记忆检测子。 克隆选择原理 其大致内容为: 当淋巴细胞实现对抗原的识别(即抗体与抗原的亲和度超过一定阈值) 后，B细胞被激活并增殖复制产生B细胞克隆,随后克隆细胞经历变异过程, 产生对抗原具有 特异性的抗体。 克隆选择的主要特征是免疫细胞在抗原刺激下产生克隆增殖, 随后通过遗传变异分化 为多样性效应细胞(如抗体细胞) 和记忆细胞。克隆选择对应着一个亲合度成熟(Affinity Maturation) 的过程, 即对抗原亲合度较低的个体在克隆选择机制的作用下,经历增殖复制和 变异操作后, 其亲合度逐步提高而“成熟”的过程。 因此亲合度成熟本质上是一个达尔文式 的选择和变异的过程, 克隆选择原理是通过采用交叉、变异等遗传算子和相应的群体控制机 制实现的。 克隆选择算法 基于克隆选择原理，DeCastro提出了一种克隆选择算法[7]，核心是比例复制和比例变异 算子。 该算法流程如下： Step1：产生候选方案的集合S(P)，该集合为内存细胞子集(M)和剩余群体(Pr)的总和 (P=Pr+M)。 Step2：基于亲和度度量确定群体P 中的N 个最佳个体Pn。 Step3：对群体中的这N个最佳个体进行克隆(复制)，生成临时克隆群体C。克隆规模是 抗原亲和度度量的单调递增函数。 Step4：对克隆生成的群体施加变异操作，变异概率反比于抗体的亲和度，从而生成一 - 5 - 个成熟的抗体群体(C*)。 Step5：从C*中重新选择改进个体组成记忆集合，P 集合的一些成员可以由C*的其他改 进成员加以替换。 Step6：将群体中的d个低亲和度的抗体予以替换，从而维持抗体的多样性。 该算法成功应用到了二进制字符识别、多峰函数优化和组合优化中，取得了良好效果。 对比遗传算法，克隆选择算法在编码机制和评价函数的构造上基本一致，但搜索的策略和步 骤有所不同；而且通过免疫记忆机制，该算法可以保存各个局部最优解，这对于多峰函数优 化十分重要。 基于危险理论模式的入侵检测模型 危险理论思想 危险理论(Danger Theory, DT) 认为诱发机体免疫应答的关键因素是入侵者产生的危险 信号的程度而不是入侵者的异己性,因而不论是自体因素发生改变,还是外界因素产生影响, 只要出现供机体识别的危险信号就可以诱发效应细胞的活化。Matzinger认为[8]，危险的外来 入侵者会启动细胞应激或细胞死亡而导致危险信号的产生 ,危险信号由抗原提呈细胞 (Antigen Presenting Cells , APCs) 识别,此时产生信号1 ,同时危险信号在其周围建立一个危险 区域,在该区域之内的B 细胞产生与抗原相匹配的抗体,并被活化,同时开始克隆增殖过程。在 同时具备信号1 和危险信号的情况下,APCs 提供第二信号给免疫杀死T 细胞,产生免疫应答, 清除抗原。 在Matzinger的观点中，危险模式理论涉及三种信号：危险信号是受损细胞发出的,用来 激活静息APCs提呈抗原;信号1 是绑定免疫细胞到抗原模式或者被一个APC 提呈的抗原片 断;信号2 或者通过T 帮助细胞给的“帮助”信号来激活B 细胞,或者通过一个APC 给定的协 同刺激信号来激活T 细胞. 通过三种信号分工协作,共同完成免疫应答过程从而清除有害病 原体,保护机体自身安全[9]. 基于危险理论的入侵检测系统模型 根据危险理论框架,可以提出基于危险理论的入侵检测系统模型,在这个系统中,检测器 的产生是其中的关键环节,只有产生了有效的检测器,才能提高检测率,降低误报率.文献[9]提 出了动态的检测器的生成过程：当计算机系统中出现危险信号时,抗原提呈组件就进行数据 分析,把与危险信号相关的数据组织成便于识别的模式进行抗原提呈,这种抗原就叫抗体,也 即初始的检测元. 初始检测器中具有一定数量的检测元. 初始的检测元个数达到一定阈值后, 就可以进行抗体的克隆和变异,形成成熟的检测器。 然后进入入侵检测阶段，对于数据源,抗原提呈组件等待计算机系统的反应,如果收到危 险信号,即把数据源中与危险信号相关的信息组织成抗原,与成熟的检测器进行相似性验证, 同时,根据危险信号的强度计算危险区域,如果在危险区域之内,则清除抗原,否则,交由其他的 检测器进行处理. 将危险模式理论引入入侵检测,不但可以检测已知和未知的攻击,而且可以降低误报率和 解决阴性选择模型的规模问题。 - 6 - 5. 未来研究方向 由于生物免疫所具有的分布性、多样性、鲁棒性、适应性和特异识别等特性, 正是入侵 检测系统所希望具有的特性, 因此一些免疫机制和免疫算法被用来实现入侵检测。目前对抗 体克隆选择学说的研究已比较成熟, 对其在入侵检测技术中的应用研究也最多, 取得的成果 也最丰富, 但由于阴性选择算法只能处理简单问题, 克隆选择算法处理动态问题的能力有限, 因此基于自我—非我识别的入侵检测模型与实际入侵检测的要求还有一定差距, 危险模式 理论在生物免疫学界也属于较新的理论, 发展还不完善, 其中的一些原理还没有完全弄清, 因此对其在入侵检测中的应用研究尚处于起步阶段, 将是今后研究的方向。 除此之外，关于入侵检测系统适用范围的研究，例如它适用于什么样的数据源，什么样 的工作环境，这一点非常重要；非二进制字符集的研究，大字符集虽然会带来一些问题，如 参数选择更加困难，但它有它的适用场合；对降低漏洞的负面影响的研究；其他匹配规则(如 海明距离、编辑距离)及其检测项产生算法的研究等也是今后研究的方向[9]。 免疫原理在入侵检测系统中的应用发展方兴未艾， 基于免疫原理的入侵检测技术作为 当前计算机安全研究的热点，还需要做进一步深入、细致和长期的研究。 参考文献 [1] 连洁,王杰,李素敏等.人工免疫原理在入侵检测系统中的应用研究[J]. 计算机工程与设 计,2006,27(19):3552-3554 [2] 沈剑贤,沈炯,李益国等. 人工免疫系统原理及其应用[J]. 汽轮机技术,2005,47(4):248 - 256 [3] 杨智君,田地,马骏骁等. 入侵检测技术研究综述[J].计算机工程与设计,2006,27(12):2119 2123 [4] 杨向荣,沈钧毅,罗浩. 人工免疫原理在网络入侵检测中的应用[J]. 计算机工程,2003,29(6):27-29 [5] 鲁云平,陈蜀宇,姚雪梅.免疫原理在入侵检测技术中的研究[J].计算机应用研究,2004,(3):228-232 [6] 焦李成, 杜海峰.人工免疫系统进展与展望[J].电子学报,2003,31(10):1540 - 1548. [7]、肖人彬,王磊. 人工免疫系统原理、模型、分析及展望[J].计算机学报,2002,25(12):1281-1293. [8] MATZINGER P. The Danger Model:A Renewed Sense of Self[J].Science, 2002, 296:301 - 305. [9] 张玉宁. 基于危险理论的入侵检测系统的检测器生成过程研究[J].固原师专学报(自然科学), A search of the intrusion detection technology based on the principle of immunity Zhang Shuai, CaoTianjie College of computer Science and Technology, China University of Mining and Technology, (221008) Abstract The theory of immunity principle and intrusion detection system were introduced. The application of immunology principle in intrusion detection was reviewed. The research on the application of negative selection model and danger theory and algorithms in intrusion detection system were emphasized. Based on the disadvantages of current methods, the development directions were discussed. Key words: immunology principle; intrusion detection; negative selection; danger theory 作者简介： 张帅 (1986-)，男，江苏徐州，本科生，中国矿业大学计算机学院信息安全专业。 曹天杰(1967-)，男，江苏徐州，教授，中国矿业大学计算机学院。