（計算機(jī)軟件與理論專業(yè)論文）基于人工免疫系統(tǒng)的檢測器生成算法研究.pdf

基于人工免疫系統(tǒng)的檢測器生成算法研究 摘要 隨著計算機(jī)技術(shù)和網(wǎng)絡(luò)技術(shù)的迅猛發(fā)展，計算機(jī)系統(tǒng)已經(jīng)從獨立的主 機(jī)發(fā)展到復(fù)雜的、互聯(lián)的丌放式系統(tǒng)，這種情況導(dǎo)致計算機(jī)及網(wǎng)絡(luò)的入侵 問題越來越突出，為保護(hù)系統(tǒng)資源，需要建立不同于防火墻和防病毒軟件 的主動防御機(jī)制檢測入侵。入侵檢測系統(tǒng)就是監(jiān)控網(wǎng)絡(luò)或計算機(jī)系統(tǒng)的動 態(tài)行為特征并據(jù)此判斷是否有入侵的主動防御措施。入侵檢測技術(shù)作為確 保計算機(jī)網(wǎng)絡(luò)信息安全的一個重要手段正成為信息安全領(lǐng)域的研究熱點 之一。入侵檢測系統(tǒng)的運(yùn)行機(jī)理與人體免疫系統(tǒng)有著天然的相似之處，人 體免疫系統(tǒng)成功保護(hù)肌體免受各種侵害的機(jī)理為研究入侵檢測提供了重 要的方法。 基于免疫學(xué)的入侵檢測是近幾年來入侵檢測領(lǐng)域研究的熱點，它的突 出特點是利用生物免疫系統(tǒng)的原理、規(guī)則與機(jī)制來實現(xiàn)對入侵行為的檢測 和反應(yīng)“2 。目前多數(shù)商業(yè)化的入侵檢測產(chǎn)品采用簡單模式匹配技術(shù)，它 只適用于較簡單的攻擊方式且誤報率高，只能檢測出已知攻擊模式。而基 于免疫原理的入侵檢測系統(tǒng)能夠利用不完備信息檢測出未知攻擊模式，具 有很強(qiáng)的現(xiàn)實意義。 在入侵檢測系統(tǒng)中，初始檢測器的生成是非常關(guān)鍵的一步，它關(guān)系到 整個系統(tǒng)的檢測速度和效率。本文在深入學(xué)習(xí)免疫學(xué)原理與人工免疫系統(tǒng) 工作機(jī)理的基礎(chǔ)上，分析了現(xiàn)有的幾種檢測器生成算法，主要對否定選擇 過程中檢測器生成方法進(jìn)行了深入的研究。在分析已有的算法基礎(chǔ)上提出 了一種新的基于海明距離的檢測器生成算法，通過使用模板來消除冗余的 檢測器，從而提高系統(tǒng)的檢測效率。最后本文通過實驗分析了算法的性能， 實驗表明，新算法能夠盡可能多的覆蓋“非我”空間，在性能上優(yōu)于傳統(tǒng) 的否定選擇算法，為進(jìn)一步研究入侵檢測系統(tǒng)提供了一種新的算法依據(jù)， 為計算機(jī)安全領(lǐng)域引入了新的思路。研究入侵檢測算法具有廣泛的應(yīng)用前 景。 關(guān)鍵字：入侵檢測人工免疫系統(tǒng)否定選擇檢測器生成算法 基于人工免疫系統(tǒng)的檢嗣囂生成算法研究 a b s t r a c t w i t h t h ed e v e l o p m e n to fc o m p u t e ra n dt e c h n o l o g i e s ，c o m p u t e r s y s t e mh a sb e e nd e v e l o p e d t oac o m p l i c a t e da n di n t e r c o n n e c t e d o p e n i n gs y s t e m ，w h i c hr e s u l t si nm o r es e r i o u sp r o b l e m so fi n t r u s i o n d e t e c t i o n i n t r u s i o nd e t e c t i o ns y s t e m ( i d s ) i sas y s t e mt h a t c o n t i n u o u s l ym o n i t o r ss o m ed y n a m i cb e h a v i o r a lc h a r a c t e r i s t i c so f n e t w o r ko rc o m p u t e rs y s t e mt od e t e r m i n ei fa ni n t r u s i o nh a so c c u r r e d t h ei n t r u s i o nd e t e c t i o nt e c h n i q u ei sa ni m p o r t a n tm e t h o dt oi n s u r e t h ec o m p u t e rn e t w o r ks e c u r i t y i ti sb e c o m i n go n eo fh o tr e s e a r c h t o p i c si ni n f o r m a t i o ns e c u r i t yf i e l d t h eo p e r a t i n gm e c h a n i s mo f i n t r u s i o nd e t e c t i o ns y s t e m si sn a t u r a l l ys i m i l a rt ot h eh u m a ni m m u n e s y s t e m t h et h e o r yt h a tt h ei m m u n es y s t e mc a np r o t e c tb o d yf r o m i n v a s i o np r o v i d e sa n i m p o r t a n ta p p r o a c h t oi n v e s t i g a t i n gt h e i n t r u s i o nd e t e c t i o nt e c h n i q u e i nr e c e n ty e a r s ，i m m u n e b a s e di n t r u s i o nd e t e c t i o nt e c h n o l o g yh a s b e c o m eak e yr e s e a r c hf i e l di ni n t r u s i o nd e t e c t i o ns y s t e m i t s p r o m i n e n tc h a r a c t e ri st h a ti tc a ne x p l o r en a t u r a li m m u n el o g i c a l t h e o r i e s ，m e c h a n i s m sa n dp r i n c i p l e sf o rd e t e c t i n ga n dr e a c t i n gt o i n t r u s i o n s a tp r e s e n t ，t h em a j o r i t yo fc o m m e r c i a l i z e di n t r u s i o nd e t e c t i o n p r o d u c t sj u s ta d o p tt h es i m p l et e m p l a t em a t c ht e c h n i q u e ，w h i c hc a n b eo n l ya d a p t e df o rs o m es i m p l e ra t t a c km o d e sw i t hah i g h m i s r e p r e s e n t a t i o nr a t ea n dj u s tc a nd e t e c tk n o w na t t a c km o d e s w h e r e a si m m u n e b a s e di n t r u s i o nd e t e c t i o ns y s t e mc a nd e t e c tu n k n o w n a t t a c km o d e sa c c o r d i n gt oi m m a t u r ei n f o r m a t i o n ，w h i c hh a sg r e a t a c t u a ls i g n i f i c a n o e t h eg e n e r a t i o no fd e t e c t o ri sa ni m p o r t a n ts t a g ei nt h ei n t r u s i o n d e t e c t i o ns y s t e m 0 nt h eb a s iso fs t u d y i n gt h ei m m u n et h e o r ya n d t h ew o r k i n gm e c h a n i s mo fa r t i f i c i a li m m u n es y s t e mc o m p l e t e l yt h e 基于人工免疫系統(tǒng)的檢測器生成算法研究 p a p e ra n a l y s e ss o m ed e t e c t o rg e n e r a t i n ga l g o r i t h m sa n dt h ep a p e r m a i n l yr e s e a r c h e do nt h ed e t e c t i o ng e n e r a t i o na l g o r i t h m sa p p l y i n g i nt h ep r o c e s so fn e g a t i v es e l e c t i o n b yt h ea n a l y s e so nt h ee x i s t i n g d e t e c t o rg e n e r a t i n ga l g o r i t h m s ，an e wa l g o r i t h mo fd e t e c t o r g e n e r a t i o nb a s e do nh a m m i n gd i s t a n c ei si n t r o d u c e d t h ee f f i c i e n c y o fd e t e c t i n gi si m p r o v e db yu s i n gm o d e la n de l i m i n a t i n gt h e r e l u c t a n td e t e c t o r s a tl a s t ，s o m ee x p e r i m e n t so fn e wa l g o r i t h ma r e g i v e n t h er e s u l t ss h o wt h a tt h en e wa l g o r i t h m c a nc o v e rt h en o n s e l f s p a c ea sm u c ha sp o s s i b l ea n dh a sb e t t e ra f f e c tt h a nt r a d i t i o n a l n e g a t i v es e l e c t i o na l g o r i t h m t h ew o r kc a np r o v i d ea n e wm e t h o dt o s t u d yi n t r u s i o nd e t e c t i o ns y s t e m t h ep r o p o s e dd e t e c t o rg e n e r a t i n g a l g o r i t h m sh a sg r e a tp o t e n t i a l k e yw o r d s ：i n t r u s i o nd e t e c t i o n 。a r t i f i c i a li m m u n es y s t e m ，n e g a t i v e s e l e c t i o n ，d e t e c t o rg e n e r a t i n ga l g o r i t h m 華南師范大學(xué)學(xué)位論文原創(chuàng)性聲明 本人鄭重聲明：所呈交的學(xué)位論文，是本人在導(dǎo)師的指導(dǎo)下，獨 立進(jìn)行研究工作所取得的成果。除文中已經(jīng)注明引用的內(nèi)容外，本論 文不包含任何其他個人或集體已經(jīng)發(fā)表或撰寫過的研究成果。對本文 的研究做出重要貢獻(xiàn)的個人和集體，均已在文中以明確的方式標(biāo)明。 本人完全意識到本聲明的法律結(jié)果由本人承擔(dān)。 論文作者簽名：李 日期：砷年月歲日 學(xué)位論文使用授權(quán)聲明 本人完全了解華南師范大學(xué)有關(guān)收集、保留和使用學(xué)位論文的規(guī) 定，即：研究生在校攻讀學(xué)位期間論文工作的知識產(chǎn)權(quán)單位屬華南師 范大學(xué)。學(xué)校有權(quán)保留并向國家主管部門或其指定機(jī)構(gòu)送交論文的電 子版和紙質(zhì)版，允許學(xué)位論文被檢索、查閱和借閱。學(xué)校可以公布學(xué) 位論文的全部或部分內(nèi)容，可以允許采用影印、縮印、數(shù)字化或其他 復(fù)制手段保存、匯編學(xué)位論文。( 保密的論文在解密后遵守此規(guī)定) 保密論文注釋：本學(xué)位論文屬于保密范圍，在年后解密適用 本授權(quán)書。非保密論文注釋：本學(xué)位論文不屬于保密范圍，適用本授權(quán) 書。 論文作者簽名囊墅料 導(dǎo)師簽名芍 【王 慨砌7 年，月3 日 嗍加產(chǎn)婦夕日 基于人工免疫系統(tǒng)的撿嗣囂生成算法研究 第一章緒論 髓著科學(xué)技術(shù)的飛速發(fā)展，人們已經(jīng)進(jìn)入了信息化時代，計算機(jī)技術(shù) 和網(wǎng)絡(luò)技術(shù)已經(jīng)深入到社會的各個領(lǐng)域。大型信息系統(tǒng)將眾多的計算機(jī)和 智毹化設(shè)備聯(lián)接起來，共享豐富的數(shù)據(jù)庫信息和計算機(jī)資源，完成異地的 數(shù)據(jù)交換與通信。i n t e r n e t 給人們的日常生活帶來了全新的感受，人類 社會各種活動對信息網(wǎng)絡(luò)的依賴程度越來越大。尤其是近年來網(wǎng)絡(luò)上各種 新業(yè)務(wù)的興起，如網(wǎng)絡(luò)銀行、電子錢包和電子商務(wù)的快速發(fā)展，使得網(wǎng)絡(luò) 的重要性及其對社會的影響也越來越大，網(wǎng)絡(luò)與人們的日常生活密不可 分。然而，人們在得益于信息革命所帶來的新的巨大機(jī)遇的同時，也不得 不面對信息安全問題的嚴(yán)峻考驗。人們在提供網(wǎng)絡(luò)服務(wù)、參與網(wǎng)絡(luò)活動的 同時，往往只看到其便利、有益的一面，而降低了警惕性，忽視了潛在于 網(wǎng)絡(luò)中的安全問題?；ヂ?lián)網(wǎng)具有天然的開放性和協(xié)議的簡便性，它在展示 其無所不能的強(qiáng)大威力的同時，也不可避免的伴隨了大量的安全隱患。網(wǎng) 絡(luò)結(jié)構(gòu)組織各方面的缺陷、系統(tǒng)與應(yīng)該軟件的漏洞，以及網(wǎng)絡(luò)管理員的水 平低下和疏忽大意，都可能使網(wǎng)絡(luò)攻擊者有機(jī)可乘，惡意的入侵者干擾正 常業(yè)務(wù)、銷毀或篡改重要數(shù)據(jù)，甚至使更多的服務(wù)器失去控制，造成一系 列嚴(yán)重后果。因此，信息安全和網(wǎng)絡(luò)安全的問題已經(jīng)引起了各國、各部門、 各行各業(yè)以及每一個計算機(jī)用戶的充分重視。如何設(shè)計安全措施來防范未 經(jīng)授權(quán)的數(shù)據(jù)訪問和非法的資源利用，是當(dāng)前網(wǎng)絡(luò)安全領(lǐng)域一個十分重要 而迫切的問題。 目前，要想完全避免安全事件的發(fā)生是不現(xiàn)實的，安全管理人員所能 做到的是盡量發(fā)覺和察覺入侵及入侵企圖，以便及時采取有效措施來堵塞 漏洞和修復(fù)系統(tǒng)。目前解決網(wǎng)絡(luò)安全采取的主要技術(shù)手段有防火墻、安全 路由器、身份認(rèn)證系統(tǒng)等，這些防御手段對防止系統(tǒng)被非法入侵有一定的 效果。防火墻是一種應(yīng)用層網(wǎng)關(guān)，按照設(shè)定的規(guī)則對進(jìn)入的網(wǎng)絡(luò)的i p 分 組進(jìn)行過濾，同時也能針對各種網(wǎng)絡(luò)應(yīng)用提供相應(yīng)的安全服務(wù)。利用防火 墻技術(shù)、經(jīng)過仔細(xì)的配置，通常能在內(nèi)外網(wǎng)之間實旌安全的網(wǎng)絡(luò)保護(hù)機(jī)制， 降低風(fēng)險。但僅僅用防火墻保障網(wǎng)絡(luò)安全是遠(yuǎn)遠(yuǎn)不夠的，防火墻技術(shù)屬于 一種表態(tài)、被動的防御措施，只能防御已知的計算機(jī)病毒，無法抵御未知 基于人工免疫系統(tǒng)的檢蔫囂生成算法研究 的網(wǎng)絡(luò)入侵方式，所以不能從根本上解決安全問題因此，對于一個安全 的網(wǎng)絡(luò)系統(tǒng)來說應(yīng)該既要有防火強(qiáng)等防御手段，還要有能夠?qū)W(wǎng)絡(luò)安全進(jìn) 行實時監(jiān)控、識別攻擊并進(jìn)行反攻擊的網(wǎng)絡(luò)入侵檢測系統(tǒng)。入侵檢測系統(tǒng) ( i d s ) 是近年出來的新型網(wǎng)絡(luò)安全技術(shù)，是為保證計算機(jī)系統(tǒng)的安全而 設(shè)計與配置的一種能夠及時發(fā)現(xiàn)并報告系統(tǒng)中未授權(quán)或異常現(xiàn)象的技術(shù)； 是種用于檢測計算機(jī)網(wǎng)絡(luò)中違反安全策略行為的技術(shù)：它的目的是檢測 出系統(tǒng)中未經(jīng)授權(quán)的使用、濫用計算機(jī)資源的行為，保護(hù)資源的完整性和 可用性，它是一個自動的過程。i d s 的應(yīng)用，是使在入侵攻擊對系統(tǒng)發(fā)生 危害前，檢測到入侵攻擊，并利用報警與防護(hù)系統(tǒng)驅(qū)逐入侵攻擊，在入侵 攻擊中，能減少攻擊所造成的損失，在被入侵后，收集入侵的相關(guān)信息， 作為防范系統(tǒng)的知識，添加入知識庫內(nèi)，以增強(qiáng)系統(tǒng)的防范能力。i d s 能 彌補(bǔ)防火墻的不足，為受保護(hù)網(wǎng)絡(luò)提供有效的入侵檢測及采取相應(yīng)的防護(hù) 手段。 1 1i d s 的發(fā)展過程 i d s 是隨著網(wǎng)絡(luò)技術(shù)的發(fā)展而發(fā)展起來的一種保護(hù)網(wǎng)絡(luò)安全技術(shù)，它從 提出到現(xiàn)在主要經(jīng)過了以下幾個過程： 1 1 1 精簡審計問題的提出 1 9 8 0 年4 月，j a m e sp a n d e r s o n 為美國空軍做了一份題為( c o m p u t e r s e c u r i t yt h r e a tm o n i t o r i n ga n ds u r v e i l l a n c e ) ( 計算機(jī)安全威脅監(jiān)控 與監(jiān)視) 的技術(shù)報告，第一次詳細(xì)闡述了入侵檢測的概念“1 。報告中明確 指出精簡審計的目標(biāo)在于從安全審計蹤跡數(shù)據(jù)中消除冗余和無關(guān)的記錄。 a n d e r s o n 建議改變計算機(jī)審計機(jī)制以便為研究跟蹤問題的計算機(jī)安全人 員提供信息，他提出了一種對計算機(jī)系統(tǒng)風(fēng)險和威脅的分類方法，并將威 脅分為外部入侵、內(nèi)部和外部不法行為三種，還提出了利用審計跟蹤數(shù)據(jù) 監(jiān)視入侵活動的思想。因此這個報告被公認(rèn)為是入侵檢測技術(shù)研究的開創(chuàng) 性文獻(xiàn)。 a n d e r s o n 的報告清楚地闡述了安全審計機(jī)制的下列目標(biāo)： ( 1 ) 應(yīng)為安全人員提供足夠多的信息，使他們能夠定位問題的所在；但 2 基于人工免疫系統(tǒng)盼檢蔫囂生成算法研究 另外一方面，提供的信息要不足以使他們自己能進(jìn)行攻擊 ( 2 ) 應(yīng)優(yōu)化審計跟蹤的內(nèi)容，以檢測發(fā)現(xiàn)的問題。而且必須能從不同的 系統(tǒng)資源收集信息。 ( 3 ) 對一個給定的資源，審計分析機(jī)制應(yīng)當(dāng)能分辨出那些看似正常的活 動，以發(fā)現(xiàn)內(nèi)部的計算機(jī)系統(tǒng)的不正當(dāng)使用。 ( 4 ) 設(shè)計審計機(jī)制時，應(yīng)將系統(tǒng)攻擊者的策略考慮在內(nèi)。 1 i 2 入侵檢測專家系統(tǒng)( i d e s ) 從1 9 8 4 年到1 9 8 6 年，喬治敦大學(xué)的d o r o t h yd e n n i n g 和s r i c s l ( s r i 公司計算機(jī)科學(xué)實驗室) 的p e t e rn e u m a n n 研究出了一個實時入侵檢測系 統(tǒng)模型，取名為i d e s ( 入侵檢測專家系統(tǒng)) 晦】。該模型由六個部分組成： 主體、對象、審計記錄、輪廓特征、異常記錄、活動規(guī)則。它獨立于特定 的系統(tǒng)平臺、應(yīng)用環(huán)境、系統(tǒng)弱點以及入侵類型，為構(gòu)建入侵檢測系統(tǒng)提 供了一個通用的框架。這項研究由美國海軍空間和海軍戰(zhàn)爭系統(tǒng)司令部資 助，它提出了反?；顒雍陀嬎銠C(jī)不正當(dāng)使用之間的相關(guān)性，是i d s 早期研 究中最重要的成就之一。i d e s 模型基于這樣的假設(shè)：有可能建立一個框架 來描述發(fā)生在主體( 通常是用戶) 和客體( 通常是文件、程序或設(shè)備) 之 間的正常交互作用。這個框架由一個使用規(guī)則庫( 規(guī)則庫描述了書籍的違 例行為) 的專家系統(tǒng)支持。這能防止使用者逐漸訓(xùn)練( 誤導(dǎo)) 系統(tǒng)把非法 的行為當(dāng)成正常的來接受，也就是說讓系統(tǒng)“見怪不怪”。d e n n i n g 于1 9 8 7 年發(fā)表的關(guān)于這個問題的論文，被認(rèn)為是另一篇研究i d s 技術(shù)的奠基性論 文。1 9 8 8 年，s r i c s l 的t e r e s al u n t 等人改進(jìn)了d e n n i n g 的入侵檢測模 型，并開發(fā)出了一個i d e s 。該系統(tǒng)包括一個異常檢測器和一個專家系統(tǒng)， 分別用于統(tǒng)計異常模型的建立和基于規(guī)則的特征分析檢測，系統(tǒng)的框架如 圖i i 所示： 3 基于人工免疫系統(tǒng)的檢測囂生成算法研究 圖1 i i d e s 的框架 f i 9 1 1t h ef r a m e w o r k a r c h i t e c t u r eo f i d e s a n d e r s o n 的報告以及i d e s 的研究導(dǎo)致了隨后幾年的一系列i d s 系統(tǒng) 原型的研究，如a u d i ta n a l y s i s 、d i s c o v e r y 、h a y s a t c k ，m i d a s 、n a d i r 、 n s m 、w i s d o m 和s e n s e 等。 1 9 9 0 年是入侵檢測系統(tǒng)研究發(fā)展史上的一個分水嶺。這一年，加州大 學(xué)戴維斯分校的l 、t h e b e r l e i n ”1 等人開發(fā)了n s m ( n e t w o r ks e c u r i t y m o n i t o r ) 。該系統(tǒng)第一次直接將網(wǎng)絡(luò)流作為審計數(shù)據(jù)來源，因而可以在不 將審計數(shù)據(jù)轉(zhuǎn)換成統(tǒng)一格式的情況下監(jiān)控異種主機(jī)。從此之后，入侵檢測 系統(tǒng)發(fā)展史翻開了新的一頁，兩大陣營正式形成；基于網(wǎng)絡(luò)的i d s 和基于 主機(jī)的i d s 。混合型的入侵檢測系統(tǒng)可以彌補(bǔ)一些基于網(wǎng)絡(luò)與基于主機(jī)的 片面性缺陷。此外，文件的完整性檢查工具也可以看作是一類入侵檢測產(chǎn) 品，現(xiàn)在很多基于主機(jī)的i d s 都集成了這個功能。 1 9 9 4 年，m a r kc r o s b i e 和g e n es p a f f o r d 口1 建議使用自治代理 ( a u t o n o m o u sa g e n t s ) 以便提高i d s 的可伸縮性，可維護(hù)性、效率和容 錯性。1 9 9 6 年提出的基于圖的入侵檢測系統(tǒng)( g r a p h b a s e di n t r u s i o n d e t e c t i o ns y s t e m 。g r i d s ) 陽們的主要目標(biāo)也是解決絕大多數(shù)入侵檢測系 統(tǒng)伸縮性的問題。該系統(tǒng)使得對大規(guī)模自動或協(xié)同攻擊的檢測更為便利， 這些攻擊有時甚至可能跨過多個管理領(lǐng)域。這些年來，入侵檢測的主要包 括：1 9 9 7 年f o r r e s t 等將免疫原理運(yùn)用到入侵檢測領(lǐng)域“1 9 9 8 年r o s s a n d e r s o n 和a b i d ak h a t r t a k “”將信息檢索技術(shù)引進(jìn)到入侵檢測中。2 0 0 0 4 基于人工免疫系統(tǒng)的檢測器生成算法研究 年t e r r a nd l a n e 利用機(jī)器學(xué)習(xí)技術(shù)檢測入侵“” 1 1 3 商業(yè)產(chǎn)品的出現(xiàn) 在過去的十幾年中，人們研制出大量的入侵檢測系統(tǒng)，但是其中許多 只是純粹的研究原型，目前并沒有與之相對應(yīng)的商業(yè)產(chǎn)品。本節(jié)將介紹那 些已經(jīng)成為市場上的商業(yè)產(chǎn)品的入侵檢測系統(tǒng)，并對它們的特性進(jìn)行簡要 的分析。下表中是一些比較常見的商業(yè)入侵檢測系統(tǒng)1 。 表1 1 入侵檢測系統(tǒng)商業(yè)產(chǎn)品表 產(chǎn)品開發(fā)商 r e a ls e c u r ei n t e r n e ts e c u r i t ys y s t e m s ( i s s ) i n t r u d e ra l e r ta x e n tt e c h n o l o g i e s ，l n c n e tr a n g e rc i s c os y s t e m s ，i n c s t a k e0 u ti d h a r r i sc o m m u n i c a t i o n s ，i n c k a n es e c u r i t ym o n i t o r s e c u r i t yd y n a m i c s ( f o r m e r l y i n t r u s i o n d e t e c t o n ，i n c ) s e s s i o nw a l l 一3a b i r n e t e n t r a xc e n t r e xc o r p o r a t i o n c m d ss c i e n c ea p p l i c a t i o ni n t e r n a t i o n a lc o r p o r a t i o n ( s a l e ) s e c r u e n e tp r o m i m e s t a r , i n c c y b e r c o p n e t w o r ka s s o c i a t e s ，l n c 1 n t o u c hi n s at o u c ht e c h n o l o g i e s ，i n c t - s i g h t e n g a r d es y s t e m s ，i n c n l d e ss r ii n t e r n a t i o n a l i d t r a ki n t e r n e tt o o l ，l n c s e c u r e c o ms u i t eo d sn e t w o r k s p o l y c e n t e rc o m p a q ( f o r m e r l yd i g i t a le q u i p m e n tc o r p ) n e t w o r kf l i g h tr e c o r d e rn e t w o r kf l i g h tr e c o r d e ri n c t a b l e l 1c o m m e r c i a l i z e di n t r u s i o nd e t e c t i o np r o d u c t s 1 i 4 非商用入侵檢測系統(tǒng) 非商用入侵檢測系統(tǒng)是以科學(xué)研究為主要目的，大多公開源代碼。最 著名的是s n o r t ，其他還有s r i 公司的n i d e s 和e m e r a l d ，p u r d e 大學(xué)c e r i a s 小組的e s p 等。 基于人工免疫系統(tǒng)的檢測器生成算法研究 1 2 入侵檢測研究現(xiàn)狀 入侵檢測是對面向計算資源和網(wǎng)絡(luò)資源的惡意行為的識別和響應(yīng)。入 侵是指任何試圖破壞資源完整性、機(jī)密性和可用性的行為，且還包括用戶 對系統(tǒng)資源的誤用。作為重要的網(wǎng)絡(luò)安全工具，它可以對系統(tǒng)或網(wǎng)絡(luò)資源 進(jìn)行實時檢測，及時發(fā)現(xiàn)進(jìn)入系統(tǒng)或網(wǎng)絡(luò)的入侵者，也可以預(yù)防合法用戶 對資源的誤操作。i d s 通過對系統(tǒng)或網(wǎng)絡(luò)日志的分析，獲得系統(tǒng)或網(wǎng)絡(luò)目 前的安全狀況，發(fā)現(xiàn)可疑或非法的行為。入侵檢測被認(rèn)為是防火墻之后的 第二道安全門，在不影響系統(tǒng)或網(wǎng)絡(luò)性能的情況下對對其進(jìn)行監(jiān)測，從而 提供對內(nèi)部攻擊、外部攻擊和誤操作的實時保護(hù)。 雖然入侵檢測已有二十幾年的發(fā)展歷史，但仍是一種比較新的技術(shù)， 尤其是在國內(nèi)，它的興起并沒有多長的時間。因此，當(dāng)前的入侵檢測技術(shù) 研究無論在理論方面還是技術(shù)方面都還有很多有待完善的地方。特別是在 技術(shù)實現(xiàn)方面，隨著網(wǎng)絡(luò)技術(shù)的迅速發(fā)展，網(wǎng)絡(luò)傳輸速度日益快捷，數(shù)據(jù) 量空前膨脹，已有入侵檢測技術(shù)越來越難以滿足本地主機(jī)和網(wǎng)絡(luò)系統(tǒng)的安 全要求。 在入侵檢測發(fā)展過程中，研究人員不斷地探索新的開發(fā)思路和方法。 盡管研究人員已經(jīng)積極研究入侵檢測二三十年，但其現(xiàn)狀是入侵檢測主流 仍停留在研究和實驗樣品階段，部分產(chǎn)品也是在近期才獲得較廣泛的應(yīng) 用。 i d s 的體系結(jié)構(gòu)就是其各個組件在計算機(jī)網(wǎng)絡(luò)上的分布，以及他們之 間的關(guān)系。按照各個組件運(yùn)行的分布方式不同，i d s 可以分為；集中式和 分布式。幾乎所有的i d s 都是集中式的，而基于入侵檢測自治代理“5 ” ( a u t o n o m o u sa g e n t sf o ri n t r u s i o nd e t e c t i o n ，a a f i d ) 結(jié)構(gòu)的i d s 是 分布式的。根據(jù)數(shù)據(jù)來源的不同，i d s 常被分為基于主機(jī)( h o s t b a s e d ) 和基于網(wǎng)絡(luò)( n e t w o r k - b a s e d ) 的i d s “”1 。前者在每個要保護(hù)的主機(jī)上運(yùn) 行一個或多個監(jiān)控程序，以計算機(jī)主機(jī)作為目標(biāo)環(huán)境，而后者收集網(wǎng)絡(luò)傳 輸?shù)臄?shù)據(jù)包，保護(hù)的目標(biāo)是整個網(wǎng)絡(luò)的運(yùn)行。網(wǎng)絡(luò)異常檢測和入侵報警器 ( n e t w o r ka n o m a l yd e t e c t i o na n di n t r u s i o nr e p o r t e r ，n a d i r ) “”是 對網(wǎng)絡(luò)各主機(jī)以及網(wǎng)絡(luò)傳輸進(jìn)行監(jiān)視的i d s ，n s m 是只對網(wǎng)絡(luò)傳輸監(jiān)視的 6 基于人工免疫系統(tǒng)的檢奠器生成算法研究 i d s 目前，大多數(shù)入侵檢測系統(tǒng)主要采用行為統(tǒng)計乜”、專家系統(tǒng)幢”、神經(jīng) 網(wǎng)絡(luò)心跏、模式匹配瞳”、狀態(tài)轉(zhuǎn)換分析等技術(shù)心”，分析事件的審計記錄、 識別特定的模式、生成報告和最終分析結(jié)果。但是隨著網(wǎng)絡(luò)入侵技術(shù)的不 斷發(fā)展，入侵行為表現(xiàn)出不確定性、復(fù)雜性和多樣性等特點。使得在提取 行為特征時，很難提供確定的統(tǒng)計模式，即便是專家知識也帶有隨機(jī)性、 不確定性等因素。為保證檢測的效率和正確性，盡管許多研究機(jī)構(gòu)和大學(xué)、 如著名的 s t a n f o r d r e s e a r c hi n s t i t u t ei n t e f n a t i o n a l 、p u r d u e u n i v e r s i t y 和i b m 等一直從事這方面的技術(shù)研究工作，但仍沒有獲得突破 性進(jìn)展。因此運(yùn)用新技術(shù)、新學(xué)科等加強(qiáng)入侵檢測技術(shù)的研究十分必要。 1 3 現(xiàn)有入侵檢測方法所存在的不足 入侵檢測系統(tǒng)作為網(wǎng)絡(luò)安全的關(guān)鍵性防范系統(tǒng)已經(jīng)起得了一定發(fā)展， 但仍然存在很多問題，還有待于進(jìn)一步完善，以便為以后的網(wǎng)絡(luò)發(fā)展提供 有效的安全手段。從性能上講，入侵檢測系統(tǒng)面臨的一個矛盾就是系統(tǒng)性 能與功能的折衷，即對數(shù)據(jù)進(jìn)行全面復(fù)雜的檢驗構(gòu)成了對系統(tǒng)實時性要求 很大的挑戰(zhàn)。從技術(shù)上講，現(xiàn)有的入侵檢測系統(tǒng)主要是在檢測方法上存在 明顯的不足，主要體現(xiàn)在： ( 1 ) 可擴(kuò)展性方面 一個好的i d s 應(yīng)該能夠根據(jù)其應(yīng)用環(huán)境進(jìn)行了靈活配置，檢測方法不 應(yīng)該對檢測系統(tǒng)的環(huán)境做出假設(shè)，否則將會影響檢測系統(tǒng)的可擴(kuò)展性。但 像基于神經(jīng)網(wǎng)絡(luò)等方法的檢測系統(tǒng)要么依賴于特定的類型操作系統(tǒng)曲”，要 么依賴于特定的網(wǎng)絡(luò)結(jié)構(gòu)”。 ( 2 ) 檢測效率方面 實際的i d s 通常很難檢測出具有欺騙性的入侵。異常檢測的計算代價 非常大，因為系統(tǒng)維護(hù)的活動記錄要隨著每個事件更新。誤用檢測一般都 采取專家系統(tǒng)s h e l l 來編碼和匹配攻擊特征，這些s h e l l 需要解釋規(guī)則集， 因而運(yùn)行時刻費用很高，而且規(guī)則集合只允許間接定義序列事件的相互關(guān) 系?，F(xiàn)有i d s 的性能不能夠適應(yīng)高速網(wǎng)絡(luò)發(fā)展，特別是1 0 0 m ，g i g a b i t 網(wǎng)的 7 基于人工免疫系統(tǒng)的檢鍘囂生成算法研究 應(yīng)用。一種可行的解決方法是高速網(wǎng)絡(luò)下i d s 產(chǎn)品的負(fù)載均衡技術(shù)( l o a d b a l a n c i n g ) 州。 ( 3 ) 可維護(hù)性方面 維護(hù)一個i d s 需要的技能遠(yuǎn)遠(yuǎn)超過專門的安全知識。更新規(guī)則集合需 要了解專家系統(tǒng)規(guī)則語言，并理解系統(tǒng)如何處理這些規(guī)則。如此才能夠避 免系統(tǒng)中已有規(guī)則和新增規(guī)則之間不必要的關(guān)聯(lián)，為統(tǒng)計檢測模塊增加新 的統(tǒng)計變量時也存在同樣的問題。 ( 4 ) 可移植性方面 迄今為止的i d s 都是為某個單一的環(huán)境構(gòu)建的，很難直接應(yīng)用于其他 環(huán)境，即使它們具有類似的安全策略和安全目標(biāo)。例如，將一個單層自主 存取控制系統(tǒng)的檢測部件移植到一個具有相同安全目標(biāo)的多層安全系統(tǒng) 就非常困難。這是因為i d s 的大部分都是目標(biāo)系統(tǒng)特有的，是為目標(biāo)系統(tǒng) 進(jìn)行過定制的。這些系統(tǒng)的重用和重新定位都非常困難，除非系統(tǒng)一開始 就設(shè)計成一種通用模式，但通用模式下的系統(tǒng)效率較低，且功能受限。 因此，i d s 技術(shù)要想很好的為系統(tǒng)提供服務(wù)將面臨著三大挑戰(zhàn)：如何 提高i d s 的檢測速度，以適應(yīng)網(wǎng)絡(luò)通信的要求；如何減少i d s 的漏報和誤報， 提高其安全性和準(zhǔn)確性以及如何提高i d s 的互動性能，從而提高整個系統(tǒng) 的安全性能。 基于人工免疫系統(tǒng)的入侵檢測方法具有分布式、自適應(yīng)、自治及健壯 性等特點，而且檢測效率高，可維護(hù)性好，有著廣闊的發(fā)展前景。 f 1 4 論文的研究內(nèi)容和組織結(jié)構(gòu) 現(xiàn)代科學(xué)和技術(shù)的發(fā)展，正改變著傳統(tǒng)的學(xué)科劃分和科學(xué)的研究。 “數(shù)、理、化、天、地、生”這些曾經(jīng)以縱向發(fā)展為主的基礎(chǔ)學(xué)科，與日 新月異的新技術(shù)相結(jié)合，推出了橫跨多學(xué)科門類的新興領(lǐng)域，這已成為發(fā) 展的一個重要特征。如人我免疫學(xué)科的興起，為許多領(lǐng)域的研究提供了新 的途徑。本文將人工免疫學(xué)的新技術(shù)引入到入侵檢測中，從新的角度來研 究和探討入侵檢測技術(shù)這一研究以生物免疫系統(tǒng)的陰性選擇原則和不完 全匹配等特性為依據(jù)，并使該入侵檢測技術(shù)有免疫系統(tǒng)區(qū)分“自己”和“非 8 基于人工免疫系統(tǒng)的檢測景生成算法研究 己”的本質(zhì)特征。 1 4 1 研究內(nèi)容 總結(jié)了入侵檢測技術(shù)研究的前期成果，簡單地概括了入侵檢測技術(shù)的 發(fā)展過程。 詳細(xì)闡述了入侵檢測技術(shù)的研究現(xiàn)狀和未來的發(fā)展趨勢，提出了現(xiàn)有 入侵檢測技術(shù)存在的不足之處，為將人工免疫技術(shù)引入到入侵檢測中來做 下鋪墊。 分析了自然免疫學(xué)基礎(chǔ)和人工免疫系統(tǒng)的原理、框架、研究領(lǐng)域以及未 來的發(fā)展方向和在i d s 中的應(yīng)用。 分別分析和研究了幾種不同的檢測器生成算法，重點對否定選擇算法 進(jìn)行了深入的分析，并在此基礎(chǔ)上提出了一種新的檢測器生成算法，并對 其關(guān)鍵技術(shù)進(jìn)行深入的研究。 對新的算法進(jìn)行實驗，同時比較了在不同參數(shù)下兩種算法的性能，分 析了新算法的優(yōu)缺點，并提出進(jìn)步所要做的工作。 1 4 2 論文的組織結(jié)構(gòu) 本論文共分為六章，具體內(nèi)容為： 第一章：論述論文的研究背景、入侵檢測技術(shù)的發(fā)展過程、相關(guān)技術(shù)的 研究現(xiàn)狀、現(xiàn)有入侵檢測技術(shù)存在的不足以及論文的研究內(nèi)容 和組織結(jié)構(gòu)。 第二章：對入侵檢測技術(shù)的基本概況，包括入侵檢測系統(tǒng)的各種分類以 及入侵檢測技術(shù)的發(fā)展方向進(jìn)行了綜合論述。 第三章：人工免疫系統(tǒng)及免疫學(xué)基礎(chǔ)概述。作為全文的理論基礎(chǔ)，首先 敘述自然免疫學(xué)基礎(chǔ)知識，包括免疫細(xì)胞、免疫識別、受體多樣 性和免疫耐受等內(nèi)容，是論文研究工作需要借鑒的免疫學(xué)原理知 識。在此基礎(chǔ)上探討人工免疫系統(tǒng)( a i s ) ，分析a i s 與i d s 的共 性。 第四章：討論入侵檢測技術(shù)的幾種基于否定選擇的檢測器生成算法，并 9 基于人工免疫系統(tǒng)的檢測器生成算法研究 對它們進(jìn)行深入的分析比較，然后在此基礎(chǔ)上提出一種新的檢 測器生成算法 第五章：對新的算法進(jìn)行了的實驗，并與原有的算法進(jìn)行性能上的比較， 通過實驗結(jié)果分析算法的可行性和算法有待改進(jìn)的地方。 第六章：總結(jié)本文的工作和主要貢獻(xiàn)，并給出一些有待進(jìn)一步研究的問 題。 1 0 基于人工免疫系統(tǒng)的檢測囂生成算法研究 第二章入侵檢測系統(tǒng)概況 2 1 入侵檢測系統(tǒng)的c i d f 模型 盡管各種入侵檢測系統(tǒng)的功能和特性各不相同，但它們的核心結(jié)構(gòu)非 常相似，因為它們都是在通用入侵檢測結(jié)構(gòu)框架( c o m m o ni n t r u s i o n d e t e c t i o nf r a m e w o r k c i d f ) 0 1 的基礎(chǔ)上發(fā)展而來的。c i d f 最初是由美 國國防部高級研究計劃局( d e f e n s ea d v a n c e dr e s e a r c hp r o j e c ta g e n c y ， d a r p a ) 資助的入侵檢測和響應(yīng)( i n t r u s i o nd e t e c t i o na n dr e s p o n s e ，i d r ) 項目研究工作組設(shè)計開發(fā)的，它的設(shè)計目標(biāo)是為不同類型的i d r 子系統(tǒng)之 間以及i d r 不同構(gòu)件之間實現(xiàn)信息共享和協(xié)同工作設(shè)計一組規(guī)范。c i d f 的 規(guī)格文檔由四部分組成，分別為： 體系結(jié)構(gòu)( t h ec o m m o ni n t r u s i o nd e t e c t i o nf r a m e w o r k a r c h it e c t u r e ) 規(guī)范語言( ac o m m o ni n t r u s i o ns p e c i f i c a t i o nl a n g u a g e ) 內(nèi)部通訊( c o m m u n i c a t i o ni nt h ec o m m o ni n t r u s i o nd e t e c t i o n f r a m e w o r k ) 程序接口( c o m m o ni n t r u s i o nd e t e c t i o nf r a m e w o r ka p i s ) c i d f 的體系結(jié)構(gòu)文檔闡述了一個標(biāo)準(zhǔn)的i d s 的通用模型；規(guī)范語言定 義了一個用來描述各種檢測信息的標(biāo)準(zhǔn)語言；內(nèi)部通訊定義了i d s 組件之 間進(jìn)行通信的標(biāo)準(zhǔn)協(xié)議；程序接口提供了一整套標(biāo)準(zhǔn)的應(yīng)用程序接口( a p i 函數(shù)) 。c i d f 將i d s 需要分析的數(shù)據(jù)統(tǒng)稱為事件( e v e n t ) ，它可以是基 于網(wǎng)絡(luò)的i d s 從網(wǎng)絡(luò)中提取的數(shù)據(jù)包，也可以是基于主機(jī)的i d s 從系統(tǒng)日 志等其它途徑得到的數(shù)據(jù)信息。 c i d f 組件之間的交互數(shù)據(jù)使用通用入侵檢測對象( g e n e r a l i z e d i n t r u s i o nd e t e c t i o no b j e c t s ，g i d o ) 格式，一個g i d o 可以表示在一些 特定時刻發(fā)生的一些特定事件，也可以表示從一系列事件中得出的一些結(jié) 論，還可以表示執(zhí)行某個行動的指令。c i d f 將一個入侵檢測系統(tǒng)分為以下 組件： 基于人工免疫系統(tǒng)的檢鍘囂生成算法研究 i ：至然黧! 隳】 圖2 1c d f 組件p 啦2 ic o n m l d m 觸啦i o nd 矗硎吣f 劬洲甜 事件產(chǎn)生器( e v e n tg e n e r a t o r s ) ：從入侵檢測系統(tǒng)外的整個計算環(huán)境 中獲得事件，并以c i d fg i d o s 格式向系統(tǒng)的其他部分提供此事件。事件 產(chǎn)生器是所有i d s 所需要的，同時也是可以重用的。 事件分析器( e v e n ta n a l y z e r s ) ：從其他組件接收g i d o s ，分析得到的 數(shù)據(jù)，并產(chǎn)生新的g i d o s 。如分析器可以是一個輪廓特征引擎。 響應(yīng)單元( r e s p o n s eu n i t s ) ：是對分析結(jié)果做出反應(yīng)的功能單元， 它可以終止進(jìn)程、重置連接、改變文件屬性等，也可以只是簡單的報警。 事件數(shù)據(jù)庫( e v e n td a t a b a s e s ) ：是存放各種中間和最終數(shù)據(jù)的地方 的統(tǒng)稱，它可以是復(fù)雜的數(shù)據(jù)庫，也可以是簡單的文本文件。 在c i d f 模型中，事件產(chǎn)生器、分析器和響應(yīng)單元是以程序的形式出 現(xiàn)，而最后一個則往往是文件或數(shù)據(jù)流的形式。 2 2 入侵檢測系統(tǒng)中的分類 入侵檢測系統(tǒng)根據(jù)不同的分類標(biāo)準(zhǔn)可以分為不同形式的入侵檢測系 統(tǒng)，下面主要從數(shù)據(jù)源、總體結(jié)構(gòu)和入侵檢測技術(shù)三個方面來討論入侵檢 測系統(tǒng)中的分類情況。 2 2 1 根據(jù)檢測數(shù)據(jù)源的分類 入侵檢測系統(tǒng)根據(jù)其輸入數(shù)據(jù)的來源看，可以分為兩類；基于主機(jī)的 入侵檢測系統(tǒng)( n e t w o r k - b a s e di n t r u s i o nd e t e c t i o nn i d s ) 和基于網(wǎng)絡(luò) 的入侵檢測系統(tǒng)( h o s t - b a s e di n t r u s i o nd e t e c t i o nh i d s ) 。 ( 1 ) 基于主機(jī)的入侵檢測系統(tǒng)( h i d s ) 基于主機(jī)的入侵檢測系統(tǒng)檢測目標(biāo)主要是本地主機(jī)系統(tǒng)和網(wǎng)絡(luò)系統(tǒng)中 1 2 基于人工免疫系統(tǒng)的檢嗣暑生成算法研究 的本地用戶曲“”?！彼韵到y(tǒng)日志、應(yīng)用程序日志、主機(jī)的審計記錄 等作為數(shù)據(jù)源，當(dāng)然也可以通過其他手段( 如監(jiān)督系統(tǒng)調(diào)用) 從所在的主 機(jī)收集信息進(jìn)行分析。在實際應(yīng)用中，基于主機(jī)的i d s 一般監(jiān)視w i n d o wn t 上的事件、安全日志以及u n i x 環(huán)境中的s y s l o g 文件。一旦發(fā)現(xiàn)這些文件 發(fā)生變化，i d s 將比較新的日志記錄與攻擊特征以察看它們是否匹配。如 果匹配，i d s 就向管理員發(fā)出入侵報警，并采取相應(yīng)的防護(hù)措施。 基于主機(jī)的入侵檢測系統(tǒng)的優(yōu)點是對分析“可能攻擊行為”非常有用， 誤報率低，適用于被加密的和交換的環(huán)境，并且不需要額外的硬件。缺點 是安裝了入侵檢測系統(tǒng)后會降低應(yīng)用系統(tǒng)的效率，同時會帶來一些額外的 安全問題。安裝了主機(jī)入侵檢測系統(tǒng)后，將本來不允許安全管理員有權(quán)力 訪問的服務(wù)器變成他可以訪問了，另外，它依賴于系統(tǒng)的日志功能，若系 統(tǒng)沒有配置日志功能，則必須重新配置，這將會給運(yùn)行中的系統(tǒng)帶來不可 預(yù)見的性能影響。另外，主機(jī)入侵檢測系統(tǒng)只能檢測到自身的主機(jī)，不能 監(jiān)視網(wǎng)絡(luò)上的情況。如果要將所有主機(jī)都用入侵檢測系統(tǒng)保護(hù)代價非常 大，因此，企業(yè)一般是選部分主機(jī)進(jìn)行保護(hù)，這樣入侵者可以利用那些沒 有保護(hù)的主機(jī)進(jìn)行攻擊。 ( 2 ) 基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)( n i d s ) n i d s 使用原始的網(wǎng)絡(luò)分組數(shù)據(jù)包作為入侵分析的數(shù)據(jù)源阻”1 。通過監(jiān) 聽某個網(wǎng)段的流量，一個n i d s 可以監(jiān)控并分析該網(wǎng)段發(fā)生的事件，從而 保護(hù)該網(wǎng)段的所有主機(jī)。一旦檢測到攻擊，n i d s 的響應(yīng)模塊按照配置對攻 擊做出響應(yīng)。通常這些反應(yīng)包括發(fā)送電子郵件、尋呼、記錄日志、斷開網(wǎng) 絡(luò)連接等。 n i d s 的優(yōu)點是可以檢測來自網(wǎng)絡(luò)的攻擊，檢測到超過授權(quán)的非法訪問 m 。一個n i d s 不需要改變服務(wù)器等主機(jī)的配置；它不會在業(yè)務(wù)系統(tǒng)的主 機(jī)中安裝額外的軟件，所以不會影響業(yè)務(wù)系統(tǒng)的性能。由于n i d s 不像路 由器、防火墻等關(guān)鍵設(shè)備方式工作，它不會成為系統(tǒng)中的關(guān)鍵路徑；n i d s 發(fā)生故障時不會影響正常業(yè)務(wù)的運(yùn)行；部署一個n i d s 的風(fēng)險也比h i d s 要 小得多。 n i d s 的缺點是只檢查它直接連接網(wǎng)段的通信，不能檢測在不同網(wǎng)段的 基于 工免疫系統(tǒng)的檢測囂生成算法研究 網(wǎng)絡(luò)數(shù)據(jù)包。在作用交換以太網(wǎng)的環(huán)境中就會出現(xiàn)監(jiān)視范圍的局限，在高 速或大型的網(wǎng)絡(luò)上，n i d s 可能處理不了所有的數(shù)據(jù)包，因而可能檢測不到 某些攻擊；同時n i d s 不能分析加密信息；另外，多數(shù)n i d s 只能檢測了攻 擊者使用的攻擊方法，不能確定攻擊是否成功，所以當(dāng)檢測到一次攻擊之 后，安全管理員必須再作調(diào)查才能確定主機(jī)是否已被成功入侵。 2 2 2 根據(jù)入侵檢測方法的分類 入侵檢測系統(tǒng)根據(jù)入侵檢測方法的不同可以分為兩類：誤用檢測 ( m i s u s ed e t e c t i o n ) ?！焙彤惓z測( a n o m a l yd e t e c t i o n ) 曙”。 ( 1 ) 誤用檢測 誤用入侵