摘 要: 給出了一個入侵免疫系統的結構模型,對目前應用的免疫機制做了簡要介紹,在此基礎上,對迄今國內外所提出的幾種典型的入侵免疫系統模型" title="系統模型">系統模型做了較詳盡的描述和分析;提出了影響網絡入侵免疫系統的評測因素以及入侵免疫系統今后進一步的研究方向。
關鍵詞: 入侵檢測" title="入侵檢測">入侵檢測 免疫機制 NIIS 評測因素
隨著攻擊者知識的積累以及攻擊手法的日趨復雜和隱蔽,被動的安全策略己經無法滿足網絡安全的需求。在這種情況下,人們開始進一步采用入侵檢測等主動防御技術,在網絡中布署入侵檢測系統" title="入侵檢測系統">入侵檢測系統IDS(Intrusion Detection System)作為第二道防線。入侵檢測,顧名思義是對入侵行為的發現,它通過在計算機網絡或計算機系統中的若干關鍵點收集信息并對其進行分析,從中發現網絡或系統中是否有違反安全策略的行為和被攻擊的跡象。但由于傳統的入侵檢測系統大多采用基于規則的檢測方法,最終用戶需要經常更新規則,在入侵規則的獲取、更新方面存在瓶頸,缺乏有效性、自適應性和可擴展性,不易檢測入侵變體。為此,近幾年人們把入侵檢測技術與生物免疫系統相結合,通過對自然免疫系統的模擬研究,力圖使計算機網絡系統獲得更多理想的安全特性,這就導致了一種新型、智能化的入侵檢測系統——網絡入侵免疫系統(Network Intrusion Immune System。簡稱NIIS)的誕生,并成為當今的研究熱點之一。
本文對當前在入侵免疫系統中應用的免疫機制做了簡要介紹,并對國內外一些關于入侵免疫系統模型研究的新進展做了比較分析。
1 網絡入侵免疫系統NIIS的結構模型
免疫系統是一個復雜的多" title="的多">的多代理系統。將免疫系統應用到入侵檢測當中,本質上是設計和實現一個分布式智能多代理系統。免疫的基本原理是分辨本體(正常)和異體(異常)。在入侵檢測領域,本體是被監控網絡的正常行為,異體是網絡的異常行為。NIIS主要由兩部分組成,抗體培育中心和免疫代理,見圖1。
2 入侵免疫系統中應用的免疫機制
目前,入侵免疫模型中應用的主要有以下一些免疫機制:
(1) 以氨基酸短序列為基礎的免疫識別機制
不同生物的細胞都會表達(在細胞膜外表面上)或分泌一些具有獨特結構的蛋白分子,可以作為不同生物的識別標志。這種蛋白分子上的獨特結構是由相鄰的氨基酸排成的序列,稱為決定簇。淋巴細胞受體能與病原體的抗原決定簇(配體) 互補結合,從而實現對病原體的免疫識別。這種機制為進行模式識別提供了實現方法上的啟示。
(2) 以受體編碼基因庫為基礎的免疫多樣性機制
生物體在進化過程中逐漸形成了一組編碼淋巴細胞受體的基因庫。基因庫對幾乎任何一種病原體,都能生成可以對其進行特異性識別的受體,這種機制稱為免疫多樣性。
(3) 以陰性選擇為基礎的免疫耐受機制和分布式檢測機制
淋巴細胞受體的特性是只結合并識別病原體抗原,而不對自身抗原產生免疫反應(即自身耐受)。免疫學中通過陰性選擇來解釋成熟淋巴細胞的生成過程:淋巴細胞在表達出識別受體后,要經過一個陰性選擇過程,在這個過程中,凡表達自身抗原識別受體的淋巴細胞會程序性死亡;相應地,發育成熟的淋巴細胞就只能識別非自身抗原了。免疫系統在對非自身抗原的免疫反應過程中,是各種免疫細胞通過高度局部化的相互作用而實現,這一機制在入侵檢測系統模型中得到了極大的重視和應用。
(4) 以記憶B 細胞為基礎的免疫記憶機制
免疫系統在后天可以被具有某種決定簇的抗原所誘導而產生免疫應答,當再次遇到這種抗原的時候,免疫應答會更敏感、更迅速和更強烈。這種后天通過抗原的誘導而獲得的適應性和特異性的免疫反應能力,被稱為免疫記憶。免疫記憶的特異性不是一對一的,它不僅使系統對以前遇見過的抗原仍然具有檢測能力(更敏感、更迅速和更強烈),還能對相似結構的其他抗原產生免疫應答。
3 網絡入侵免疫系統的研究進展
3.1 國外的研究進展
在國外提出基于免疫機制入侵檢測模型的代表主要是:新墨西哥大學的Forrest、Hofmeyr小組[1~4];University of Memphis的Dasgupta小組[5~7]和倫敦大學的Kim、Bentley小組[8~9]。Forrest小組致力于建立一個計算機免疫系統,提出用反向選擇算法NSA來產生成熟檢測器(類似于達爾文進化論中的優勝劣汰的自然選擇算法),并首次提出“計算機免疫學”一詞。Forrest小組提出的基于免疫機制的入侵檢測模型是一個基于網絡的入侵檢測模型,在這個模型中,整個系統由分布在網絡中處于監聽狀態(“混雜”模式)的一組主機構成,每臺主機是一個檢測檢點。在每個檢測結點上,用于免疫識別的抗原是由TCP SYN 請求包中的源IP地址、目的IP地址和服務端口三個屬性構成的定長為L的二進制符號串。模型中的陰性檢測子是免疫系統中B細胞、T細胞和抗體的綜合體,數據結構與抗原相同,檢測子與抗原的特異性互補結合以定長的連續位匹配函數來模擬。Forrest小組還提出了采用連續位匹配函數時,提高成熟檢測子生成效率的方法。
Dasgupta小組提出了一種實現入侵檢測的免疫遺傳模型,并提出了一種新的檢測子結構,還提出了一個生成衡量不同危險級別的檢測子的思想,這是該小組的主要貢獻;不足之處在于其設計只是針對突發異常數據包的一類攻擊,這種攻擊很容易被發現,因此價值不高。Kim 小組描述了陰性選擇、克隆選擇和檢測子基因庫進化三種免疫機制的應用。該模型中,用于免疫識別的抗原是一個聚集結構,模型中檢測子的結構與抗原的結構相同,檢測子與抗原是否匹配是通過所有各屬性的匹配分值之和是否超過某個閾值而判定的。系統由中樞IDS和周圍二級IDS組成。在中樞IDS 上存儲著一個用于生成未成熟檢測子的基因庫,基因庫最初是根據有關入侵的先驗知識建立的,然后再利用成功檢測到入侵的有效檢測子的信息來進化,周圍IDS 以中樞IDS 傳送的成熟檢測子進行入侵檢測。
在以上三個模型中,Forrest小組的模型較為新穎,研究最為實際、完整和深入。由于應用了免疫耐受機制(陰性選擇) ,該模型采用分布式檢測方式,由此帶來了系統的健壯性、多樣性、輕量級和可擴展性。不過該模型也有一些不足,主要是模型中參數較多,且各參數之間的相互關系,與具體應用環境、系統的資源、數據特點、檢測率和效率等因素的關系都不確定,對怎樣確定的一組參數值才能獲得較好的檢測效果有待進一步研究。Dasgupta小組研究的內容只是其中的一個方面,即陰性檢測子和陽性檢測子的比較以及陰性檢測子的遺傳生成算法。Kim小組提出的模型從原理和結構上看尚不存在問題,有待實驗驗證。
3.2 國內的研究進展
國內關于入侵免疫系統的研究,目前正如火如荼,采用了神經網絡[10]、數據挖掘[11]、模糊邏輯和遺傳算法[12]、Agent[18~19]、對象免疫[17]等多項技術,并已經有了相當研究成果。主要有:
趙俊忠等[13]結合多Agent和數據挖掘技術提出了一個基于免疫機制的入侵檢測系統模型,該模型在數據挖掘技術的應用上與別人有所不同,強調不同用戶行為的個體差異。挖掘不同用戶個體行為的規律性和不同服務器的配置信息,因此,獲得了較高的檢測率和準確性,并將檢測范圍擴充到了UDP 數據包的檢測。
潘志松等[14]提出了一個基于自然免疫和疫苗接種機制相結合的入侵檢測系統模型以及相關算法, 該算法充分考慮了數據包負載部分包含的入侵信息, 建立反饋機制, 并將疫苗接種機制引入入侵檢測中, 使入侵檢測系統增強了對未知攻擊的識別能力,并使系統具有自組織性, 高效性和分布性。
鄧貴仕等[15]對檢測子的生成機制和匹配算法進行了較為深入的探討,建立了一個基于免疫原理和Agent 技術的三層分布式網絡入侵檢測系統模型,但該模型存在不足的地方,例如如何縮短陰性選擇過程的時間,尋找更加高效的字符串匹配方法等。這些都是關系到系統效率的核心問題,需要做進一步的研究。
孫美鳳等[16]針對的流量特征,提出了對Hofmeyr自適應免疫系統模型的一種改進,新的模型保留了Hofmeyr模型的優點,可用于企業園區網,具有更強的能力,能為園區網提供全局的檢測和保護。但對用報文內容刻畫的攻擊無能為力,如各種特洛伊木馬攻擊,它以報文中具有某個子串為攻擊特征。
胡翔等[17]基于對象免疫思想,提出了一個入侵免疫系統的構建方法,其核心是圍繞對象行為模型定制免疫規則,使每個對象受到針對性的保護。
吳作順等[18]提出了一個基于免疫學的多代理入侵免疫系統模型,該模型中,基于免疫學的安全代理能在聯網節點之間漫游, 監視網絡狀態。這些代理相互識別對方的活動行為,以等級方式進行合作, 并根據底層安全規則采取相應的行動。移動代理具有自我學習能力, 能動態適應周圍環境, 檢測出已知與未知的入侵。多代理檢測系統同時在不同層次監視聯網計算機的活動情況, 包括用戶級、系統級、進程級和數據包級。
張勇等[19]提出了一個基于免疫原理的多代理網絡入侵檢測系統模型,該系統是一個分布式的,各個檢測代理之間也是松耦合的,可以相互代替,并在本地保存了入侵日志,安全性較高,但只能根據單個網絡包來實現檢測。
吳澤俊等[20]提出一個基于免疫的克隆選擇算法,對入侵檢測的免疫模型做了一些改進。
馬建偉等[21]提出一個生成“檢測體”具有動態平衡的計算機免疫系統。
劉賽等[22]提出了一種免疫遺傳算法,能檢測較大范圍內的網絡入侵并能產生較好的模式識別器。
國內上述模型雖應用了免疫系統的原理和機制,但有的只用了一部分,缺乏完整性,并且還主要停留在理論研究和探索階段,所做的工作較為零散未能形成連續的和系統性的研究,特別是距離在工程層面上的應用還有一定差距。
4 入侵免疫系統的評測因素
迄今提出的入侵免疫系統模型已有很多,毫無疑問存在一個評測的標準,本文稱之為評測因素。值得注意的是這些評測因素的存在影響著未來的入侵免疫系統的發展方向。影響一個入侵免疫系統的性能及應用的廣泛性的因素很多,但最主要的有以下幾個方面:
(1) 檢測抗原入侵的全面性程度
全面性程度是一個最重要的參數,若入侵免疫系統能檢測、免疫的抗原數越多,則其普及性越好、漏檢率越低。
(2) 檢測模型的自適應程度
自適應模型結合自學習系統的優點,能體現特征系統的檢測效率。
(3) 可配置性
系統能夠容易地根據網絡或計算機的不同需求進行配置。網絡環境中的個體主機都是異構的,可能有不同的安全需求、不同的網絡組件,例如:路由器、DNS、防火墻等及各種不同的網絡服務可能有不同的安全需求。
(4) 健壯性(魯棒性)
系統必須有多個檢測點,這樣才能足夠健壯,以對抗攻擊以及系統的任何差錯。NIIS最大的弱點就是遭受黑客攻擊從而導致系統失效。
(5) 互操作性
指NIIS部件之間以及與其他安全系統之間的互操作性,應從體系結構、API、通信機制、語言格式等方面規范NIIS。
(6) 輕量級
輕量級的NIIS不會給系統造成過大的負擔。如果NIIS是輕量級的,就能提高工作效率,因為每一組件完成的任務很小,本地主機需執行的主要任務應是有限的。
5 今后進一步的研究方向
入侵免疫系統的研究發展方興未艾,入侵免疫技術作為當前網絡安全研究的熱點,還需要做進一步深入、細致和長期的研究。今后可在以下幾方面開展進一步的研究:
(1) 生成高效、多功能的檢測子
現有NIIS中的檢測子僅僅基于單個網絡包檢測,且產生有效檢測子的效率也不高。因此,未來的入侵免疫系統若采用包含關于網絡流量及連接的信息的多功能檢測子,其檢測功能將大大增加。
(2) 采用自動免疫應答、響應機制
IDS的入侵響應方式和響應能力往往受到一定限制,而NIIS的響應機制接近最新出現的自動入侵響應系統[23]。所以,NIIS在響應機制方面將朝著自動入侵響應系統AIRS方向發展。
(3) 進一步完善系統功能
NIIS系統的一些重要功能尚未完成,例如免疫反應功能、基因庫的演化等。
(4) 擴展輸入源
目前的數據源是網絡數據包,下一步可以擴展輸入源,使NIIS能夠檢測到更多種類、更多層級上的入侵。
腦神經系統(神經網絡)、免疫系統和遺傳系統(演化計算)是生物體中三個具有重大研究意義的系統。其中,免疫系統的研究正成為新的研究熱點。免疫系統具有一些復雜系統所共有的特性,這些特性的研究無論從理論上還是工程應用上都有深遠意義。不過應明確,入侵檢測系統和免疫系統面對的問題并不完全一致。例如:免疫系統并不提供對機密性的保護。另外自身免疫性疾病也使我們看到自然免疫系統并不是一個非常完善的保護系統。因此,這說明了研究和構建入侵免疫系統工作的艱巨性和長期性。
參考文獻
1 Forrest,Hofmeyr.Computer Immunology.Communications of the ACM.1997;40(10):88~96
2 Hofmeyr, Forrest,D’Haeseleer An immunological approach to distributed network intrusion detection. RAID’98 ,Belgium,1998.http://www.raid-symposium.org/raid98
3 Hofmeyr,Somayaji,Forrest.Intrusion detection using sequencesof system calls1 Journal of Computer Security,1998;6(3): 151~180
4 Hofmeyr,Forrest.Immunity by design:An artificial immune system. GECCO’99,San Francisco, CA,1999
5 Dasgupta.An immune agent architecture for intrusion detec-tion.GECCO 2000 ,Las Vegas , Nevada,USA,2000
6 Dasgupta.Immunity-based intrusion detection systems:A gen-era.framework.The 22nd National Information Systems Security
Conf(NISSC),19991 ftp://ftp.msci.memphis.edu/comp/dasgupta/papers/Immune-IDS.pdf
7 Dasgupta,Gonzalez. An immunogenetic approach to intrusion detection. The University of Memphis,Tech Rep:CS-01-001,2001
8 Kim,Bentley. Investigating the roles of negative selection and clonal selection in an artificial immune system for network intrusion detection. The Special Issue on Artificial Immune Systems in IEEE Transactions of Evolutionary Computation, 2001
9 Kim,Bentley. Evaluating negative selection in an artificial immune system for network intrusion detection.GECCO2001, 2001.http://www.cs.ucl.ac.uk/staff/J.Kim/pub/ RW254.ps
10 撖書良,蔣嶷川等.基于神經網絡的高效智能入侵檢測系統[J].計算機工程" title="計算機工程">計算機工程,2004;30(10):69~70
11 李慶華,童健華等. 基于數據挖掘的入侵特征建模[J]. 計算機工程,2004;30(8):51~53
12 王永杰,鮮明等.模糊邏輯和遺傳算法在IIDS中的應用 [J]. 計算機工程,2004;30(9):134~135
13 趙俊忠等.免疫機制在計算機網絡入侵檢測中的應用研究[J].計算機研究與發展,2003;40(9):1293~1299
14 潘志松等.一種基于人工免疫原理的入侵檢測系統模型[J].數據采集與處理,2003;18(1):22~26
15 鄧貴仕等.基于免疫原理的網絡入侵檢測系統的研究[J].計算機應用研究,2004;(9):139~141
16 孫美鳳等.一種基于免疫學的園區網入侵檢測模型[J].計算機工程與科學,2004;26(10):34~37
17 胡 翔等.基于對象免疫的入侵檢測系統及其在網上銀行的應用[J].系統安全,2002;10:37~39
18 吳作順等. 基于免疫學的多代理入侵檢測系統[J].國防科技大學學報,2002;24(4):42~47
19 張 勇等.基于免疫原理的多代理網絡入侵檢測系統的設計[J]. 計算機應用與軟件,2004;21(9):1~2
20 吳澤俊等.入侵檢測系統中基于免疫的克隆選擇算法[J].計算機工程,2004;30(6):50~52
21 馬建偉等.生物免疫思想在計算機安全中的應用[J].計算機工程,2004;30(6):120~123
22 劉賽等.入侵檢測系統中的一種免疫遺傳算法[J]. 計算機工程,2004,30(8):63~64
23 張運凱,張玉清等.自動入侵響應系統的研究[J].計算機工程, 2004;30(11):1~3
24 龍振洲等.醫學免疫學[M]. 北京:(第二版)人民衛生出版社,1999,7
25 唐正軍.網絡入侵檢測系統的設計與實現[M]. 北京:電子工業出版社,2002,8