基于人工免疫的入侵检测技术(一)

基于人工免疫的入侵检测技术 周瑾

淮北师范大学计算机科学与技术系2010届毕业生
指导教师 ：杨忆讲师

摘要：现有网络入侵检测系统的大都不能识别未知模式的入侵， 智能水平低生物免疫系统提供了一种的健壮的、自组织、分布式的防护体系，对设计新的网络入侵检测系统具有很好的借鉴意义，利用生物免疫系统具有自我检测的机理，将其应用于入侵检测系统，出现了一种新的技术——基于人工免疫的入侵检测技术。本文介绍了基于人工免疫技术的概念、提出、手段及发展；在概述生物免疫原理的基础上， 讨论了目前基于人工免疫的入侵检测中的关键技术。重点是列举几种基于人工免疫的入侵检测技术、模型和算法，并对它们进行了分析。

关键词：入侵检测技术；生物免疫系统；人工免疫系统。

引言
网络技术的不断发展,极大的加快了社会信息化的步伐。网络技术在给人们带来巨大的便利之时,也给人类带来了巨大的挑战。网络的开放性为信息的窃取、盗用、非法修改及各种扰乱破坏提供了可乘之机。因此,计算机安全变得越来越重要,如何对计算机系统和网络中的各种非法行为进行主动防御和有效抑制,成为当今计算机安全亟待解决的重要问题。

1、[番茄花园3] 传统的网络安全采取的防护措施及简要分析
传统的网络安全防护,是以防火墙和杀毒软件为主体,再加上身份认证机制等构建的防护体系,这种方法对防止系统被非法入侵有一定的效果。

但是,某些入侵者会设法寻找防火墙背后可能敞开的通道对其进行攻击,另一方面防火墙在防止网络内部袭击等方面收效甚微,对于企业内部心怀不满而又技术高超的员工来说,防火墙形同虚设。而且,由于功能有限,防火墙通常不能提供有效的入侵检测。

因此,要构建一个合格的网络安全保护体系,光靠防火墙是远远不够的,还需要有能够对网络进行实时监控、实时报警,并且能够有效识别攻击手段的网络安全工具。

入侵检测系统（IDS,Intrusion Detection System）应运而生。

2、基于人工免疫的入侵检测技术手段
2.1入侵检测技术的系统机制
所谓入侵检测,就是指检测对计算机或网络进行非授权使用或入侵的过程。入侵检测技术主要是研究使用什么样的方法来检测入侵行为。

入侵检测是近年来网络安全研究的热点,随着计算机和网络技术的不断发展,系统遭受的入侵和攻击也越来越多。网络与信息安全问题显得越来越突出,研究入侵检测及防御技术很有必要。

入侵检测系统可通过对计算机网络或计算机系统中若干关键点的信息收集并对其进行分析,发现网络或系统中违反安全策略的行为和攻击迹象,产生报警,从而有效防护网络的安全。

入侵检测系统作为防火墙之后的有益补充,有着不可替代的作用,在网络安全防护中的地位也越来越突出。作为一个全新的、快速发展的领域,有关入侵检测技术的研究已经成为网络安全中极为重要的一个课题,已经引起了国内外许多专家学者的广泛重视,对入侵检测技术的研究具有十分重要的意义。[1]

2.2 生物免疫系统原理
生物免疫系统将所有的细胞分为两类：自身的细胞(Self细胞)和非自身的细胞(Non-Self细胞)。Self细胞指自身健康,没有被感染、破坏的细胞；Non-Self 细胞是指病毒、细菌、寄生虫等有害物质和自身被感染、破坏的细胞

免疫系统只对Non-Self细胞具有免疫作用。当一个外部抗原(Non-self细胞)袭击身体时,抗原体细胞把外部分子分解到抗原决定基层次,产生与抗原决定基结合的抗体。一旦抗原决定基发现匹配,一个特定信号就会发给免疫细胞,产生更多的抗体,淹没抗原威胁或感染。只有那些能够识别抗原的细胞才进行扩增,才会被免疫系统保留下来。

2.3人工免疫系统
人工免疫系统是研究、借鉴和利用生物免疫系统（这里主要是指人类的免疫系统）各种原理和机制而发展的各类信息处理技术、计算技术及其在工程和科学中的应用而产生的各种智能系统的统称

2.4入侵检测系统与免疫系统的相似性
从生物的免疫系统特点出发可以发现,入侵检测系统与免疫系统具有本质的相似性:

免疫系统负责识别生物体“自身”(Self)和“非自身”(Non-self)的细胞,清除异常细胞。入侵检测系统则辨别正常和异常行为模式。生物免疫系统对抗原的初次应答类似于入侵检测系统异常检测,可检测出未知的抗原。生物免疫系统第二次应答即利用对抗原的“记忆”引发的再次应答与误用检测相类似。

利用生物免疫系统的这些特性,应用到入侵检测领域,能有效的阻止和预防对计算机系统和网络的入侵行为,可增强信息的安全性。[4]

3、基于人工免疫的入侵检测

3.1  概念提出
根据上面的叙述我们发现：

入侵检测系统的作用在于检测并阻止系统内外部非法用户的攻击,免疫系统的作用在于保护生物体免受外部病原体（如病毒,细菌等）的攻击。二者的行为本质上可以归结为对危险“非我”的识别和清除,这种相似性为借鉴免疫机制研究入侵检测提供了一种新的思路。

从信息处理的角度来看,免疫系统是一个自适应、自学习、自组织、并行处理和分布协调的复杂系统。目前,国际上不少研究人员已经认识到生物免疫系统中蕴涵了丰富且有效的信息处理机制,并针对计算机网络抗入侵、反病毒等安全问题,建立了相应的人工免疫模型和系统,取得了一定的进展,具有十分广阔的应用前景。
同时,在当前网络安全面临诸多困难的时期,借鉴生物免疫系统来设计网络安全新机制也变得更加紧迫,具有十分重要的意义。
3.2 基于人工免疫入侵检测的分类
基于人工免疫的入侵检测技术主要分为基于人工免疫的异常检测技术和基于人工免疫的误用检测技术两种,检测系统主要分为基于主机的人工免疫入侵检测系统和基于网络的人工免疫入侵检测系统两种。每一种技术都可应用于任意一种检测系统,每一种检测系统也可以使用任意一种检测技术。

4、现有的成熟技术及模型
基于人工免疫的入侵检测技术虽然都是应用人工免疫与入侵检测相结合的方法,但是该技术并不是固定不变的,不同的研究人员根据自己的研究提出了不同的入侵检测模型。

4.1 基于人工免疫入侵检测和防火墙的网络安全主动防御技术
本节将人工免疫入侵检测系统和防火墙结合起来提出一种动态网络安全主动防御技术, 能够全方位对计算机网络进行安全防护。

防火墙

本节提到的防火墙是一种新型防火墙, 它除了一般防火墙的网段隔离、基于IP 和端口的阻断、NAT 等功能外, 还增加了内容过滤、动态配置、安全防护等功能等。

入侵检测

入侵监测系统能够通过向管理员发出入侵或者入侵企图来加强当前的存取控制系统,例如防火墙；识别防火墙通常不能识别的攻击,如来自企业内部的攻击；在发现入侵企图之后提供必要的信息,帮助系统的移植。

4.1.1基于人工免疫原理建立的入侵检测模型
入侵检测是通过对系统或者是网络的运行状态进行检测,发现各种攻击企图、攻击行为或攻击结果,以保证系统资源的机密性、完整性和可用性。借鉴生物免疫系统在抵抗外界有害抗原的入侵上有效、独特的工作机制,能够很好的解决现有入侵检测系统的高误报率和缺乏自适应性。本节将人工免疫入侵检测系统分为基于主机和网络两类,检测的对象是运行在主机上的各种操作行为和通过网络传输的数据包。

1、基于主机的人工免疫入侵检测模型

在免疫计算机的生物学模拟中,将计算机中感兴趣的程序（如Ftp,Telnet,Send mail 等等）的活动进程视为分子,将多个进程运行的计算机视为多细胞有机体,将计算机网络视为有机体组织。入侵识别主要根据网络操作系统中由授权程序执行的系统调用短序列,类似于肽链。在系统中, 建立一个类似于淋巴细胞的进程,该进程直接和内核通信,检控其他进程及时发现程序执行的异常。与免疫系统的判别机制相同,当该“淋巴细胞”进程发现某个进程运行异常时,就认为该进程被破坏或正在受到攻击。免疫计算机实时检控和处理主机的审计数据,提取感兴趣的行为数据,建立行为特征模式,并与已知的正常行为模式匹配,一旦发现异常便报警。基于主机的人工免疫入侵检测模型如图1 所示

该模型主要由入侵分析、入侵判断和入侵响应三个部分构成。从操作系统提取的审计数据经数据过滤及分析处理,转换为统一的数据模式以便执行入侵分析。行为特征数据库是入侵判断的主要依据,通过入侵判断(与行为特征数据库的匹配),将判断结果通过用户界面通知系统管理员或交由系统自行处理。

2、基于网络的人工免疫入侵检测模型

基于网络的入侵检测主要负责对网络上传输的数据实施检控,包括网络数据包的识别和检测、地址的过滤等。利用生物免疫系统的基本功能进行“自身”和“非自身”的识别。在基于网络的入侵检测模型中,把与所需要的计算机相连的网络间正常的TCP/IP连接集合和该主机系统内合法的操作行为定义为“自我”,采用可以描述TCP/IP 连接特征的信息,例如：源IP 地址、目的IP 地址、服务端口、协议类型、包的数量、字节数、特定错误和在短时间的网络的特定服务和描述系统合法操作的集合来表示。把异常的T C P / I P 连接集合和非法的系统操作集合定义为“非自身”。基于网络的入侵检测模型的设计采用了模块化结构,

分为数据收集模块（Sensor）、检测分析模块（Detector）和响应模块（Response）,如图2 所示。
数据收集由Perl脚本启动Tcpdump实用程序完成网络数据包的捕获,Tcpdump 实用程序将网络接口设置为混杂模式,把LAN 上所有的数据都保留一份拷贝,按照Tcpdump文件格式保存为本地文件。然后Sensor 根据Tcpdump 文件格式提取特征数据发往检测分析模块,并采用负选择算法来判断这些特征值是否异常。如果Detector 判断某个特征值为异常,就会向系统管理员报告,并试图得到系统管理员的确认,得到确认的Detector 认为局域网确实出现了异常,就会给用户设定的地址发送E-mail 进行警告。Detector 以Web页面的形式向系统管理员提供异常报告,系统管理员通过其中的超链接进行确认,Detector 端运行的CGI 脚本接受系统管理员的反馈信息。

首页 上一页 1 2 3 下一页 尾页 1/3/3