论文部分内容阅读
随着网络技术的不断发展及网络应用的不断深入,网络已逐渐成为现代社会一项关键的基础设施,支持着人类社会的正常运作。由于多种利益关系,有关信息和网络的犯罪日益猖獗,信息和网络安全问题已成为各国信息化进程中必须面对的严峻问题。
入侵检测系统是网络安全基础设施中的重要一环。作为防火墙之后的第二道安全屏障,入侵检测系统实时的从网络中收集各种信息,通过对这些信息的分析,执行一种事后检测,做出网络系统是否受到攻击(或者受到何种攻击)的判定,发出报警,或进而进行相应的应急处理。从技术角度来看,有两类入侵检测技术:误用检测和异常检测。当前在商业产品中广泛应用的基于特征库和模式匹配的入侵检测系统便是典型的误用检测系统。而异常检测技术则是现在的研究热点,试图通过建立网络系统的正常事务模型,对各种网络行为计算异常度,超过设定阈值的行为即被认为是入侵行为。较之误用检测,异常检测技术可以很好的应对新型攻击,且具有更高的智能性和适应性,但如何建立高效准确的正常网络事务模型以及如何利用该模型执行检测任务是异常检测技术面临的难点。
自然免疫系统通过众多成员的参与并相互协作,利用多种免疫机制,不断地调节机体内环境,对外来的以及机体内部的各种物质进行Self/Nonself的判定,对Nonself抗原及时的作出免疫反应并加以清除,以维护机体的安全与稳定。自然免疫系统的许多优良特性对工程技术而言是极具吸引力的,人工免疫技术已被许多学者深入研究并广泛应用,其中最为直接的应用便是入侵检测。关于“如何在复杂多变的环境中维护系统的安全与稳定”这一问题上,自然免疫系统与入侵检测系统有很大的共性。借鉴自然免疫系统,可在系统架构、检测机制和检测算法等多方面对传统的入侵检测技术进行完善,赋予入侵检测系统许多新的仿生学的优良特性。
本文首先详细介绍了自然免疫系统的组成结构和各种免疫机制。然后对入侵检测系统的历史、分类及当前将免疫机理应用到入侵检测技术的各种主要研究作了介绍,着重分析了三个主要研究小组的成果。之后,在前人工作的基础上,提出了一个完整的基于免疫机理的网络入侵检测系统模型——aiIDS。该模型由七个组件构成,通过这七个组件的协同工作,模拟了一个较为完整的自然免疫系统。整个系统以“检测器”(相当于机体内的抗体)为中心;由“检测器生成组件”和“检测器维护组件”动态地维持着一个检测器集合;由“检测组件”利用这些检测器,对待检对象进行Self/Nonself的判定,“异常监视组件”在检测过程中提供必要的协同刺激;而待检对象则是由“数据包捕获组件”和“特征提取及编码组件”经预处理后送来的网络连接行为。该模型具有自然免疫系统的诸多优良特性,如多层次、多样性、独特性、动态防护性、自适应性、联想记忆等,通过多个组件的协同工作,模拟了自然免疫系统地各种免疫机制。
在检测器编码方面,考虑到正常行为与异常行为之间界限的模糊性,提出了利用模糊概念的编码方案,可以在不降低检测效率的前提下,极大程度的减小了检测器编码的长度,同时提高了检测效率。在亲和力的计算方面,提出了一种基于异常信号的动态权值分配算法,通过异常信号反映出的系统所处当前的环境,对各基因属性的权值进行动态的调整。这样做既提高了亲和力的计算速度,同时解决了传统的亲和力算法无法适应正常与异常的界限随时间动态变化的问题。
最后,我们在Linux 2.6.18.1平台下对该模型进行了实现,各组件分别被实现为一个线程。网络流量样本选用DARPA 1999入侵检测评估计划提供的数据集。其中,选取第一周的数据集为训练数据,通过训练,得到自体轮廓和自体库;选取第二周的数据集为实验数据,其中包含了人为加入的若干攻击。实验结果表明,该模型具有良好的检测性能,达到了预期的目标。