论文部分内容阅读
摘要:文章介绍了生物免疫的免疫原理及入侵检测系统的原理,论述了免疫原理在入侵检测技术中的应用,着重讨论了阴性选择模型与危险理论及有关算法在入侵检测系统中的应用。最后在分析入侵检测方法存在问题的基础上,探讨了基于免疫原理的入侵检测系统的研究方向。
关键词:免疫原理;入侵检测;阴性选择;危险理论
中图分类号:TP393.08文献标识码:A文章编号:1009-3044(2008)31-0852-03
Application Research of Intrusion Detection System Based on Immunological Principle
HUANG Bing-jie, XU Xin-zheng
(School of Computer Science and Technology, China University of Science and Technology, Xuzhou 221008, China)
Abstract: The theory of immunity principle and intrusion detection system were introduced. The application of immunology principle in intrusion detection was reviewed. The research on the application of negative selection model and danger theory and algorithms in intrusion detection system were emphasized. Based on the disadvantages of current methods, the development directions were discussed.
Key words: immunology principle; intrusion detection; negative selection; danger theory
1 引言
近年来,随着网络技术的发展和应用范围的扩大,特别是互联网Internet的迅速发展,人们越来越依赖于网络来进行迅速的信息访问和对不同来源的数据进行快速的搜集和整理。一方面,网络为广大用户提供了资源的共享性,但另一方面也恰恰由于资源的共享与分布这些特点,急剧增加了网络安全的脆弱性和网络遭受攻击的可能性和风险性。系统遭受的入侵和攻击越来越多,网络与信息安全问题变得越来越突出,而传统的网络安全技术已不能满足计算机安全的需要,因而入侵检测技术得到了迅猛发展。
在入侵检测技术和方法的研究中,人们发现生物免疫系统(Immune System,IS)与入侵检测系统(Intrusion Detection System,IDS)具有很大的相似性[1],前者保护生物体不受诸如病毒、病菌等各种病原体的侵害,而后者保护网络中的计算机不受或少受入侵事件的威胁,两者都是使受保护对象在不断变化的环境中维持系统的稳定性。正是这种相似性使得生物免疫系统成为研究与开发计算机入侵检测系统的一个自然的模板。目前,基于免疫原理的入侵检测技术研究已成为一个研究热点。研究的目的就是利用生物免疫系统的免疫原理、体系结构以及从中提取的有关算法来更好地解决入侵检测中的相关问题。
2 生物免疫系统的基本原理
生物免疫系统是由免疫活性分子、免疫细胞、免疫组织和器官组成的复杂系统。其结构本质上是多层次的,由分布在几个层次的防御系统组成。第一层是皮肤,阻止多数病原体;第二层是物理性的,即温度、酸性之类的条件;第三层是固有的免疫系统,由游荡的细胞组成(噬菌细胞);最后一层是自适应免疫系统,由淋巴细胞组成,适应病原体结构,可有效地清除病原体。
根据免疫功能的不同,淋巴细胞可分为T细胞和B细胞两类。B细胞经过分化,一部分成为能产生抗体的浆细胞。抗体分子分为可变区和恒定区,可变区决定了抗体的特异性,产生的抗体和相应的抗原会发生特异性结合,将抗原杀死。另一部分发展为记忆细胞,记忆细胞对抗原十分敏感,能记住入侵过的抗原,当有同样抗原再次入侵时,记忆细胞能更快地作出反应。这就是适应性免疫反应。T细胞能够专门识别并直接破坏外来组织,发生免疫移植排斥反应,称为细胞免疫。T细胞抗原受体是能直接进入细胞膜内部和特异性抗原结合的蛋白质,以此进行识别,分裂产生大量的新的细胞,这些T细胞能分泌细胞毒素,使移植器官的细胞凋亡[2]。
由此我们可以看出自适应性免疫系统主要有以下重要工作机制:
1) 识别机制。免疫系统能够识别体内分子与外来分子,将所有的细胞分为两类:人体“自我(Self)”细胞和“非自我(Non-self)”细胞,免疫系统只对“非自我”细胞具有免疫作用。
2) 受体多样性。免疫系统通过绑定外来的“非自我”细胞来进行检测,因此免疫系统必须有足够多的淋巴细胞才能确保检测出任意给出的抗原。
3) 自适应网络。免疫网络学说[6]表明,免疫系统中的B细胞通过识别与被识别组成一个网络,对抗原的识别是网络中的B细胞相互作用的结果,免疫网络与神经网络一样,是一个能够学习和记忆的自适应网络。
4) 记忆机制。免疫系统消灭抗原后,产生记忆细胞,当与该抗原相似的抗原再次入侵机体时,免疫系统能产生更快速、更强烈的二次应答。
5) 并行的分布系统。免疫系统中的淋巴细胞分布于全身, 根据周围的环境自适应地确定自身的行为,整个免疫系统是一个没有控制中心的并行的分布自治系统。
3 入侵检测系统原理
入侵检测系统(Intrusion Detection System, IDS)是一种能自动检测计算机系统入侵行为的系统。入侵检测本质上是一种电子数据处理过程,按照预先确定的方法对收集到的安全审计数据进行分析处理,根据分析结果做出系统是否被入侵的结论。收集到的数据一般是系统日志或网络事件日志,预先确定的方法一般是某种模式匹配技术或者统计学分析技术,或者是二者的结合。
根据监视的对象,入侵检测系统可分为网络入侵检测系统、主机入侵检测系统和应用入侵检测系统三种。入侵监测系统执行的主要功能包括:监视、分析用户和系统活动;识别已知的攻击模式,并做出响应;统计分析异常行为模式;评估重要系统和数据文件的完整性。一般由信息收集、数据分析和响应三个功能模块组成。
入侵检测基于的一个重要前提是:入侵行为和合法访问行为是可区分的,也就是说可以通过提取网络行为的数字特征来分析判断该行为的合法性。一个基本的入侵检测系统需要解决两个问题:一是如何充分并可靠地提取包含关键行为特征的数据;二是如何高效并准确地判定行为的合法性。通常情况下的入侵检测系统分析方法可以分为两类:异常检测模型和误用检测模型[3]。
基于异常的入侵检测方法主要来源于这样的思想:任何人的正常行为都是有一定的规律的,分析这些行为产生的日志信息总结出这些规律。而入侵和滥用行为则通常和正常的行为存在严重的差异,通过比较这些差异来检测出入侵。此外,不属于入侵的异常用户行为,比如滥用自己的权限,也能被检测到。异常入侵检测方法主要有:1)概率统计方法;2)神经网络方法;3)生物免疫学方法。
基于误用的入侵检测方法通过使用某种模式或者信号标识表示攻击,进而发现相同的攻击,这种方式可以检测许多甚至全部已知的攻击行为,但是对于未知的攻击手段却无能为力。
4 免疫原理在入侵检测系统中的应用
生物免疫系统与入侵检测系统有着功能上的相似之处,如表1所示[4]。免疫系统的分布性、多样性、自组织性、完备性和精简性使它精确有效地保护着生物个体。这使得人们希望借助于前者的原理更好地实现后者的功能.在合法的“自己”行为中判别出非法的“异己”行为。
最早将自然免疫的一些思想引人信息安全领域的是S.Forrest。l994年,New Mexico大学的S.Forrest和她所在的研究小组将免疫学的原理应用于计算机安全领域。他们设计了一个用来保护计算机系统的人工免疫系统。S.Forrest首先对人工免疫系统的体系结构进行了详细描述,包括问题定义,识别器,训练和识别系统,记忆,敏感度,共同激活,生命周期,表达形式和免疫反应等九个方面的内容,并建立与该体系结构相符合的LISYS系统。该系统最突出的特点就是继承了人体免疫系统中区分自我(Self)和非我(Non-self)的机制,与人体免疫系统不同的是计算机系统中自我是指合法用户行为、未被坏的数据等,而非我是指非授权用户的行为、病毒和恶意代码等[5]。
目前,在免疫学中比较成熟并占主导地位的学说有抗体克隆选择学说和免疫网络学说[6],基于这两个学说提出的人工免疫系统(Artificial Immune System, AIS)模型大致分为网络模型和阴性选择模型,其中后一模型广泛用于建立入侵检测系统,涉及到的免疫机制包括免疫应答、免疫系统的特异识别、模式识别、克隆选择和扩增、免疫记忆和自我与非自我区分等。最近,随着生物免疫学的丰富和完善,一个新的免疫理论——危险模式理论已经引起人们的兴趣,它在入侵检测中的应用研究已经展开。
4.1 基于抗体克隆选择学说的阴性选择模型
抗体克隆选择学说的特点是:外来抗原选择出原先处于静止状态的互补细胞克隆,被选择细胞克隆的激活、增殖和效应功能是免疫应答的细胞学过程,而针对自身抗原的细胞克隆则被抑制或消除,因而对外来抗原的识别是关键的因素[6]。基于该学说的入侵检测技术通常要建立一个检测子集合用以匹配抗原,检测子是随机生成的,然后要经过阴性选择阶段得到成熟的检测子。
4.1.1 阴性选择原理
免疫识别是免疫系统的主要功能,同时也是AIS的核心之一,而识别的本质是区分“自我”和“非自我”。免疫识别是通过淋巴细胞上的抗原识别受体与抗原的结合实现的,结合的强度称为亲合度(Affinity)。未成熟的T细胞首先要经历一个审查环节,只有那些不能与“自我(即机体本身组织)” 发生应答的T细胞才可以离开胸腺,执行免疫应答的任务,从而防止免疫细胞对机体造成错误攻击。该过程称为阴性选择(Negative Selection)。
4.1.2 阴性选择算法[7]
基于阴性选择原理,D’haeseleer给出了一种阴性选择算法,用于监测数据改变。其中抗体(问题解答)与抗原(问题) 的匹配采用Forrest提出的部分匹配规则,如图1所示。
■
图1 阴性选择的R连续匹配规则
该算法的流程如下:
Step1 定义一组长度为L的字符串集合S来代表自我,用于检测。
Step2 产生检测器集合R,依据阴性选择原理,对每个检测器进行审查。审查采用部分匹配规则,即两个字符串匹配当且仅当至少有r个连续位相同,其中r为参数。
Step3 通过连续地将R中的检测器与S比较来监测S的改变。如果检测器发生匹配,则有改变发生。
这些成熟的检测子监视网络中的数据,如果匹配到的异常超过预先设定的阈值,检测子被激活,这时会向人工操作员报告并由其决定这是否是一次真正的入侵,如果是,检测子通过克隆选择提升为记忆检测子。
4.1.3 克隆选择原理
其大致内容为:当淋巴细胞实现对抗原的识别(即抗体与抗原的亲和度超过一定阈值)后,B细胞被激活并增殖复制产生B细胞克隆,随后克隆细胞经历变异过程,产生对抗原具有特异性的抗体。
克隆选择的主要特征是免疫细胞在抗原刺激下产生克隆增殖, 随后通过遗传变异分化为多样性效应细胞(如抗体细胞) 和记忆细胞。克隆选择对应着一个亲合度成熟(Affinity Maturation)的过程,即对抗原亲合度较低的个体在克隆选择机制的作用下,经历增殖复制和变异操作后,其亲合度逐步提高而“成熟”的过程。因此亲合度成熟本质上是一个达尔文式的选择和变异的过程,克隆选择原理是通过采用交叉、变异等遗传算子和相应的群体控制机制实现的。
4.1.4 克隆选择算法[7]
基于克隆选择原理,DeCastro提出了一种克隆选择算法,核心是比例复制和比例变异算子。
该算法流程如下:
Step1:产生候选方案的集合S(P),该集合为内存细胞子集(M)和剩余群体(Pr)的总和(P=Pr+M)。
Step2:基于亲和度度量确定群体P中的N个最佳个体Pn。
Step3:对群体中的这N个最佳个体进行克隆(复制),生成临时克隆群体C。克隆规模是抗原亲和度度量的单调递增函数。
Step4:对克隆生成的群体施加变异操作,变异概率反比于抗体的亲和度,从而生成一个成熟的抗体群体(C*)。
Step5:从C*中重新选择改进个体组成记忆集合,P集合的一些成员可以由C*的其他改进成员加以替换。
Step6:将群体中的d个低亲和度的抗体予以替换,从而维持抗体的多样性。
该算法成功应用到了二进制字符识别、多峰函数优化和组合优化中,取得了良好效果。对比遗传算法,克隆选择算法在编码机制和评价函数的构造上基本一致,但搜索的策略和步骤有所不同;而且通过免疫记忆机制,该算法可以保存各个局部最优解,这对于多峰函数优化十分重要。
4.2 基于危险理论模式的入侵检测模型
4.2.1 危险理论思想
危险理论(Danger Theory, DT) 认为诱发机体免疫应答的关键因素是入侵者产生的危险信号的程度而不是入侵者的异己性,因而不论是自体因素发生改变,还是外界因素产生影响,只要出现供机体识别的危险信号就可以诱发效应细胞的活化。Matzinger认为[8],危险的外来入侵者会启动细胞应激或细胞死亡而导致危险信号的产生,危险信号由抗原提呈细胞(Antigen Presenting Cells , APCs)识别,此时产生信号1,同时危险信号在其周围建立一个危险区域,在该区域之内的B细胞产生与抗原相匹配的抗体,并被活化,同时开始克隆增殖过程。在同时具备信号1和危险信号的情况下,APCs 提供第二信号给免疫杀死T细胞,产生免疫应答,清除抗原。
在Matzinger的观点中,危险模式理论涉及三种信号:危险信号是受损细胞发出的,用来激活静息APCs提呈抗原;信号1 是绑定免疫细胞到抗原模式或者被一个APC提呈的抗原片断;信号2或者通过T帮助细胞给的“帮助”信号来激活B细胞,或者通过一个APC给定的协同刺激信号来激活T细胞。通过三种信号分工协作,共同完成免疫应答过程从而清除有害病原体,保护机体自身安全[9]。
4.2.2 基于危险理论的入侵检测系统模型
根据危险理论框架,可以提出基于危险理论的入侵检测系统模型,在这个系统中,检测器的产生是其中的关键环节,只有产生了有效的检测器,才能提高检测率,降低误报率。文献[9]提出了动态的检测器的生成过程:当计算机系统中出现危险信号时,抗原提呈组件就进行数据分析,把与危险信号相关的数据组织成便于识别的模式进行抗原提呈,这种抗原就叫抗体,也即初始的检测元。初始检测器中具有一定数量的检测元。初始的检测元个数达到一定阈值后,就可以进行抗体的克隆和变异,形成成熟的检测器。
然后进入入侵检测阶段,对于数据源,抗原提呈组件等待计算机系统的反应,如果收到危险信号,即把数据源中与危险信号相关的信息组织成抗原,与成熟的检测器进行相似性验证,同时,根据危险信号的强度计算危险区域,如果在危险区域之内,则清除抗原,否则,交由其他的检测器进行处理。
将危险模式理论引入入侵检测,不但可以检测已知和未知的攻击,而且可以降低误报率和解决阴性选择模型的规模问题。
5 未来研究方向
由于生物免疫所具有的分布性、多样性、鲁棒性、适应性和特异识别等特性,正是入侵检测系统所希望具有的特性,因此一些免疫机制和免疫算法被用来实现入侵检测。目前对抗体克隆选择学说的研究已比较成熟,对其在入侵检测技术中的应用研究也最多,取得的成果也最丰富,但由于阴性选择算法只能处理简单问题,克隆选择算法处理动态问题的能力有限,因此基于自我—非我识别的入侵检测模型与实际入侵检测的要求还有一定差距,危险模式理论在生物免疫学界也属于较新的理论,发展还不完善,其中的一些原理还没有完全弄清,因此对其在入侵检测中的应用研究尚处于起步阶段,将是今后研究的方向[10]。
除此之外,关于入侵检测系统适用范围的研究,例如它适用于什么样的数据源,什么样的工作环境,这一点非常重要;非二进制字符集的研究,大字符集虽然会带来一些问题,如参数选择更加困难,但它有它的适用场合;对降低漏洞的负面影响的研究;其他匹配规则(如海明距离、编辑距离)及其检测项产生算法的研究等也是今后研究的方向[11]。
免疫原理在入侵检测系统中的应用发展方兴未艾,基于免疫原理的入侵检测技术作为当前计算机安全研究的热点,还需要做进一步深入、细致和长期的研究。
参考文献:
[1] 连洁,王杰,李素敏,等.人工免疫原理在入侵检测系统中的应用研究[J].计算机工程与设计,2006,27(19):3552-3554.
[2] 沈剑贤,沈炯,李益国,等.人工免疫系统原理及其应用[J].汽轮机技术,2005,47(4):248-256.
[3] 杨智君,田地,马骏骁,等.入侵检测技术研究综述[J].计算机工程与设计,2006,27(12):2119-2123.
[4] 杨向荣,沈钧毅,罗浩.人工免疫原理在网络入侵检测中的应用[J].计算机工程,2003,29(6):27-29.
[5] 鲁云平,陈蜀宇,姚雪梅.免疫原理在入侵检测技术中的研究[J].计算机应用研究,2004,(3):228-232.
[6] 焦李成,杜海峰.人工免疫系统进展与展望[J].电子学报,2003,31(10):1540-1548.
[7] 肖人彬,王磊.人工免疫系统原理、模型、分析及展望[J].计算机学报,2002,25(12):1281-1293.
[8] MATZINGER P.The Danger Model:A Renewed Sense of Self[J].Science,2002,296:301-305.
[9] 张玉宁.基于危险理论的入侵检测系统的检测器生成过程研究[J].固原师专学报(自然科学),2006,11.
[10] 赵林惠,戴亚平,徐立新.免疫学原理在入侵检测中的应用研究[J].计算机应用,2005,8(8):1726-1729.
[11] 李静,刘雁,张然.免疫机制在网络入侵检测中的应用[J].网络与应用,2005,5:29-31.
关键词:免疫原理;入侵检测;阴性选择;危险理论
中图分类号:TP393.08文献标识码:A文章编号:1009-3044(2008)31-0852-03
Application Research of Intrusion Detection System Based on Immunological Principle
HUANG Bing-jie, XU Xin-zheng
(School of Computer Science and Technology, China University of Science and Technology, Xuzhou 221008, China)
Abstract: The theory of immunity principle and intrusion detection system were introduced. The application of immunology principle in intrusion detection was reviewed. The research on the application of negative selection model and danger theory and algorithms in intrusion detection system were emphasized. Based on the disadvantages of current methods, the development directions were discussed.
Key words: immunology principle; intrusion detection; negative selection; danger theory
1 引言
近年来,随着网络技术的发展和应用范围的扩大,特别是互联网Internet的迅速发展,人们越来越依赖于网络来进行迅速的信息访问和对不同来源的数据进行快速的搜集和整理。一方面,网络为广大用户提供了资源的共享性,但另一方面也恰恰由于资源的共享与分布这些特点,急剧增加了网络安全的脆弱性和网络遭受攻击的可能性和风险性。系统遭受的入侵和攻击越来越多,网络与信息安全问题变得越来越突出,而传统的网络安全技术已不能满足计算机安全的需要,因而入侵检测技术得到了迅猛发展。
在入侵检测技术和方法的研究中,人们发现生物免疫系统(Immune System,IS)与入侵检测系统(Intrusion Detection System,IDS)具有很大的相似性[1],前者保护生物体不受诸如病毒、病菌等各种病原体的侵害,而后者保护网络中的计算机不受或少受入侵事件的威胁,两者都是使受保护对象在不断变化的环境中维持系统的稳定性。正是这种相似性使得生物免疫系统成为研究与开发计算机入侵检测系统的一个自然的模板。目前,基于免疫原理的入侵检测技术研究已成为一个研究热点。研究的目的就是利用生物免疫系统的免疫原理、体系结构以及从中提取的有关算法来更好地解决入侵检测中的相关问题。
2 生物免疫系统的基本原理
生物免疫系统是由免疫活性分子、免疫细胞、免疫组织和器官组成的复杂系统。其结构本质上是多层次的,由分布在几个层次的防御系统组成。第一层是皮肤,阻止多数病原体;第二层是物理性的,即温度、酸性之类的条件;第三层是固有的免疫系统,由游荡的细胞组成(噬菌细胞);最后一层是自适应免疫系统,由淋巴细胞组成,适应病原体结构,可有效地清除病原体。
根据免疫功能的不同,淋巴细胞可分为T细胞和B细胞两类。B细胞经过分化,一部分成为能产生抗体的浆细胞。抗体分子分为可变区和恒定区,可变区决定了抗体的特异性,产生的抗体和相应的抗原会发生特异性结合,将抗原杀死。另一部分发展为记忆细胞,记忆细胞对抗原十分敏感,能记住入侵过的抗原,当有同样抗原再次入侵时,记忆细胞能更快地作出反应。这就是适应性免疫反应。T细胞能够专门识别并直接破坏外来组织,发生免疫移植排斥反应,称为细胞免疫。T细胞抗原受体是能直接进入细胞膜内部和特异性抗原结合的蛋白质,以此进行识别,分裂产生大量的新的细胞,这些T细胞能分泌细胞毒素,使移植器官的细胞凋亡[2]。
由此我们可以看出自适应性免疫系统主要有以下重要工作机制:
1) 识别机制。免疫系统能够识别体内分子与外来分子,将所有的细胞分为两类:人体“自我(Self)”细胞和“非自我(Non-self)”细胞,免疫系统只对“非自我”细胞具有免疫作用。
2) 受体多样性。免疫系统通过绑定外来的“非自我”细胞来进行检测,因此免疫系统必须有足够多的淋巴细胞才能确保检测出任意给出的抗原。
3) 自适应网络。免疫网络学说[6]表明,免疫系统中的B细胞通过识别与被识别组成一个网络,对抗原的识别是网络中的B细胞相互作用的结果,免疫网络与神经网络一样,是一个能够学习和记忆的自适应网络。
4) 记忆机制。免疫系统消灭抗原后,产生记忆细胞,当与该抗原相似的抗原再次入侵机体时,免疫系统能产生更快速、更强烈的二次应答。
5) 并行的分布系统。免疫系统中的淋巴细胞分布于全身, 根据周围的环境自适应地确定自身的行为,整个免疫系统是一个没有控制中心的并行的分布自治系统。
3 入侵检测系统原理
入侵检测系统(Intrusion Detection System, IDS)是一种能自动检测计算机系统入侵行为的系统。入侵检测本质上是一种电子数据处理过程,按照预先确定的方法对收集到的安全审计数据进行分析处理,根据分析结果做出系统是否被入侵的结论。收集到的数据一般是系统日志或网络事件日志,预先确定的方法一般是某种模式匹配技术或者统计学分析技术,或者是二者的结合。
根据监视的对象,入侵检测系统可分为网络入侵检测系统、主机入侵检测系统和应用入侵检测系统三种。入侵监测系统执行的主要功能包括:监视、分析用户和系统活动;识别已知的攻击模式,并做出响应;统计分析异常行为模式;评估重要系统和数据文件的完整性。一般由信息收集、数据分析和响应三个功能模块组成。
入侵检测基于的一个重要前提是:入侵行为和合法访问行为是可区分的,也就是说可以通过提取网络行为的数字特征来分析判断该行为的合法性。一个基本的入侵检测系统需要解决两个问题:一是如何充分并可靠地提取包含关键行为特征的数据;二是如何高效并准确地判定行为的合法性。通常情况下的入侵检测系统分析方法可以分为两类:异常检测模型和误用检测模型[3]。
基于异常的入侵检测方法主要来源于这样的思想:任何人的正常行为都是有一定的规律的,分析这些行为产生的日志信息总结出这些规律。而入侵和滥用行为则通常和正常的行为存在严重的差异,通过比较这些差异来检测出入侵。此外,不属于入侵的异常用户行为,比如滥用自己的权限,也能被检测到。异常入侵检测方法主要有:1)概率统计方法;2)神经网络方法;3)生物免疫学方法。
基于误用的入侵检测方法通过使用某种模式或者信号标识表示攻击,进而发现相同的攻击,这种方式可以检测许多甚至全部已知的攻击行为,但是对于未知的攻击手段却无能为力。
4 免疫原理在入侵检测系统中的应用
生物免疫系统与入侵检测系统有着功能上的相似之处,如表1所示[4]。免疫系统的分布性、多样性、自组织性、完备性和精简性使它精确有效地保护着生物个体。这使得人们希望借助于前者的原理更好地实现后者的功能.在合法的“自己”行为中判别出非法的“异己”行为。
最早将自然免疫的一些思想引人信息安全领域的是S.Forrest。l994年,New Mexico大学的S.Forrest和她所在的研究小组将免疫学的原理应用于计算机安全领域。他们设计了一个用来保护计算机系统的人工免疫系统。S.Forrest首先对人工免疫系统的体系结构进行了详细描述,包括问题定义,识别器,训练和识别系统,记忆,敏感度,共同激活,生命周期,表达形式和免疫反应等九个方面的内容,并建立与该体系结构相符合的LISYS系统。该系统最突出的特点就是继承了人体免疫系统中区分自我(Self)和非我(Non-self)的机制,与人体免疫系统不同的是计算机系统中自我是指合法用户行为、未被坏的数据等,而非我是指非授权用户的行为、病毒和恶意代码等[5]。
目前,在免疫学中比较成熟并占主导地位的学说有抗体克隆选择学说和免疫网络学说[6],基于这两个学说提出的人工免疫系统(Artificial Immune System, AIS)模型大致分为网络模型和阴性选择模型,其中后一模型广泛用于建立入侵检测系统,涉及到的免疫机制包括免疫应答、免疫系统的特异识别、模式识别、克隆选择和扩增、免疫记忆和自我与非自我区分等。最近,随着生物免疫学的丰富和完善,一个新的免疫理论——危险模式理论已经引起人们的兴趣,它在入侵检测中的应用研究已经展开。
4.1 基于抗体克隆选择学说的阴性选择模型
抗体克隆选择学说的特点是:外来抗原选择出原先处于静止状态的互补细胞克隆,被选择细胞克隆的激活、增殖和效应功能是免疫应答的细胞学过程,而针对自身抗原的细胞克隆则被抑制或消除,因而对外来抗原的识别是关键的因素[6]。基于该学说的入侵检测技术通常要建立一个检测子集合用以匹配抗原,检测子是随机生成的,然后要经过阴性选择阶段得到成熟的检测子。
4.1.1 阴性选择原理
免疫识别是免疫系统的主要功能,同时也是AIS的核心之一,而识别的本质是区分“自我”和“非自我”。免疫识别是通过淋巴细胞上的抗原识别受体与抗原的结合实现的,结合的强度称为亲合度(Affinity)。未成熟的T细胞首先要经历一个审查环节,只有那些不能与“自我(即机体本身组织)” 发生应答的T细胞才可以离开胸腺,执行免疫应答的任务,从而防止免疫细胞对机体造成错误攻击。该过程称为阴性选择(Negative Selection)。
4.1.2 阴性选择算法[7]
基于阴性选择原理,D’haeseleer给出了一种阴性选择算法,用于监测数据改变。其中抗体(问题解答)与抗原(问题) 的匹配采用Forrest提出的部分匹配规则,如图1所示。
■
图1 阴性选择的R连续匹配规则
该算法的流程如下:
Step1 定义一组长度为L的字符串集合S来代表自我,用于检测。
Step2 产生检测器集合R,依据阴性选择原理,对每个检测器进行审查。审查采用部分匹配规则,即两个字符串匹配当且仅当至少有r个连续位相同,其中r为参数。
Step3 通过连续地将R中的检测器与S比较来监测S的改变。如果检测器发生匹配,则有改变发生。
这些成熟的检测子监视网络中的数据,如果匹配到的异常超过预先设定的阈值,检测子被激活,这时会向人工操作员报告并由其决定这是否是一次真正的入侵,如果是,检测子通过克隆选择提升为记忆检测子。
4.1.3 克隆选择原理
其大致内容为:当淋巴细胞实现对抗原的识别(即抗体与抗原的亲和度超过一定阈值)后,B细胞被激活并增殖复制产生B细胞克隆,随后克隆细胞经历变异过程,产生对抗原具有特异性的抗体。
克隆选择的主要特征是免疫细胞在抗原刺激下产生克隆增殖, 随后通过遗传变异分化为多样性效应细胞(如抗体细胞) 和记忆细胞。克隆选择对应着一个亲合度成熟(Affinity Maturation)的过程,即对抗原亲合度较低的个体在克隆选择机制的作用下,经历增殖复制和变异操作后,其亲合度逐步提高而“成熟”的过程。因此亲合度成熟本质上是一个达尔文式的选择和变异的过程,克隆选择原理是通过采用交叉、变异等遗传算子和相应的群体控制机制实现的。
4.1.4 克隆选择算法[7]
基于克隆选择原理,DeCastro提出了一种克隆选择算法,核心是比例复制和比例变异算子。
该算法流程如下:
Step1:产生候选方案的集合S(P),该集合为内存细胞子集(M)和剩余群体(Pr)的总和(P=Pr+M)。
Step2:基于亲和度度量确定群体P中的N个最佳个体Pn。
Step3:对群体中的这N个最佳个体进行克隆(复制),生成临时克隆群体C。克隆规模是抗原亲和度度量的单调递增函数。
Step4:对克隆生成的群体施加变异操作,变异概率反比于抗体的亲和度,从而生成一个成熟的抗体群体(C*)。
Step5:从C*中重新选择改进个体组成记忆集合,P集合的一些成员可以由C*的其他改进成员加以替换。
Step6:将群体中的d个低亲和度的抗体予以替换,从而维持抗体的多样性。
该算法成功应用到了二进制字符识别、多峰函数优化和组合优化中,取得了良好效果。对比遗传算法,克隆选择算法在编码机制和评价函数的构造上基本一致,但搜索的策略和步骤有所不同;而且通过免疫记忆机制,该算法可以保存各个局部最优解,这对于多峰函数优化十分重要。
4.2 基于危险理论模式的入侵检测模型
4.2.1 危险理论思想
危险理论(Danger Theory, DT) 认为诱发机体免疫应答的关键因素是入侵者产生的危险信号的程度而不是入侵者的异己性,因而不论是自体因素发生改变,还是外界因素产生影响,只要出现供机体识别的危险信号就可以诱发效应细胞的活化。Matzinger认为[8],危险的外来入侵者会启动细胞应激或细胞死亡而导致危险信号的产生,危险信号由抗原提呈细胞(Antigen Presenting Cells , APCs)识别,此时产生信号1,同时危险信号在其周围建立一个危险区域,在该区域之内的B细胞产生与抗原相匹配的抗体,并被活化,同时开始克隆增殖过程。在同时具备信号1和危险信号的情况下,APCs 提供第二信号给免疫杀死T细胞,产生免疫应答,清除抗原。
在Matzinger的观点中,危险模式理论涉及三种信号:危险信号是受损细胞发出的,用来激活静息APCs提呈抗原;信号1 是绑定免疫细胞到抗原模式或者被一个APC提呈的抗原片断;信号2或者通过T帮助细胞给的“帮助”信号来激活B细胞,或者通过一个APC给定的协同刺激信号来激活T细胞。通过三种信号分工协作,共同完成免疫应答过程从而清除有害病原体,保护机体自身安全[9]。
4.2.2 基于危险理论的入侵检测系统模型
根据危险理论框架,可以提出基于危险理论的入侵检测系统模型,在这个系统中,检测器的产生是其中的关键环节,只有产生了有效的检测器,才能提高检测率,降低误报率。文献[9]提出了动态的检测器的生成过程:当计算机系统中出现危险信号时,抗原提呈组件就进行数据分析,把与危险信号相关的数据组织成便于识别的模式进行抗原提呈,这种抗原就叫抗体,也即初始的检测元。初始检测器中具有一定数量的检测元。初始的检测元个数达到一定阈值后,就可以进行抗体的克隆和变异,形成成熟的检测器。
然后进入入侵检测阶段,对于数据源,抗原提呈组件等待计算机系统的反应,如果收到危险信号,即把数据源中与危险信号相关的信息组织成抗原,与成熟的检测器进行相似性验证,同时,根据危险信号的强度计算危险区域,如果在危险区域之内,则清除抗原,否则,交由其他的检测器进行处理。
将危险模式理论引入入侵检测,不但可以检测已知和未知的攻击,而且可以降低误报率和解决阴性选择模型的规模问题。
5 未来研究方向
由于生物免疫所具有的分布性、多样性、鲁棒性、适应性和特异识别等特性,正是入侵检测系统所希望具有的特性,因此一些免疫机制和免疫算法被用来实现入侵检测。目前对抗体克隆选择学说的研究已比较成熟,对其在入侵检测技术中的应用研究也最多,取得的成果也最丰富,但由于阴性选择算法只能处理简单问题,克隆选择算法处理动态问题的能力有限,因此基于自我—非我识别的入侵检测模型与实际入侵检测的要求还有一定差距,危险模式理论在生物免疫学界也属于较新的理论,发展还不完善,其中的一些原理还没有完全弄清,因此对其在入侵检测中的应用研究尚处于起步阶段,将是今后研究的方向[10]。
除此之外,关于入侵检测系统适用范围的研究,例如它适用于什么样的数据源,什么样的工作环境,这一点非常重要;非二进制字符集的研究,大字符集虽然会带来一些问题,如参数选择更加困难,但它有它的适用场合;对降低漏洞的负面影响的研究;其他匹配规则(如海明距离、编辑距离)及其检测项产生算法的研究等也是今后研究的方向[11]。
免疫原理在入侵检测系统中的应用发展方兴未艾,基于免疫原理的入侵检测技术作为当前计算机安全研究的热点,还需要做进一步深入、细致和长期的研究。
参考文献:
[1] 连洁,王杰,李素敏,等.人工免疫原理在入侵检测系统中的应用研究[J].计算机工程与设计,2006,27(19):3552-3554.
[2] 沈剑贤,沈炯,李益国,等.人工免疫系统原理及其应用[J].汽轮机技术,2005,47(4):248-256.
[3] 杨智君,田地,马骏骁,等.入侵检测技术研究综述[J].计算机工程与设计,2006,27(12):2119-2123.
[4] 杨向荣,沈钧毅,罗浩.人工免疫原理在网络入侵检测中的应用[J].计算机工程,2003,29(6):27-29.
[5] 鲁云平,陈蜀宇,姚雪梅.免疫原理在入侵检测技术中的研究[J].计算机应用研究,2004,(3):228-232.
[6] 焦李成,杜海峰.人工免疫系统进展与展望[J].电子学报,2003,31(10):1540-1548.
[7] 肖人彬,王磊.人工免疫系统原理、模型、分析及展望[J].计算机学报,2002,25(12):1281-1293.
[8] MATZINGER P.The Danger Model:A Renewed Sense of Self[J].Science,2002,296:301-305.
[9] 张玉宁.基于危险理论的入侵检测系统的检测器生成过程研究[J].固原师专学报(自然科学),2006,11.
[10] 赵林惠,戴亚平,徐立新.免疫学原理在入侵检测中的应用研究[J].计算机应用,2005,8(8):1726-1729.
[11] 李静,刘雁,张然.免疫机制在网络入侵检测中的应用[J].网络与应用,2005,5:29-31.