摘要:給出了一個入侵免疫系統(tǒng)的結(jié)構(gòu)模型,,對目前應(yīng)用的免疫機(jī)制做了簡要介紹,在此基礎(chǔ)上,,對迄今國內(nèi)外所提出的幾種典型的入侵免疫系統(tǒng)模型做了較詳盡的描述和分析,;提出了影響網(wǎng)絡(luò)入侵免疫系統(tǒng)的評測因素以及入侵免疫系統(tǒng)今后進(jìn)一步的研究方向,。
關(guān)鍵詞:入侵免疫 免疫機(jī)制 NIIS 評測因素
隨著攻擊者知識的積累以及攻擊手法的日趨復(fù)雜和隱蔽,被動的安全策略已經(jīng)無法滿足網(wǎng)絡(luò)安全的需求,。在這種情況下,,人們開始進(jìn)一步采用入侵檢測等主動防御技術(shù),在網(wǎng)絡(luò)中布署入侵檢測系統(tǒng)IDS(Intrusion Detection System)作為第二道防線,。入侵檢測,,顧名思義是對入侵行為的發(fā)現(xiàn),它通過在計算機(jī)網(wǎng)絡(luò)或計算機(jī)系統(tǒng)中的若干關(guān)鍵點收集信息并對其進(jìn)行分析,,從中發(fā)現(xiàn)網(wǎng)絡(luò)或系統(tǒng)中是否有違反安全策略的行為和被攻擊的跡象,。但由于傳統(tǒng)的入侵檢測系統(tǒng)大多采用基于規(guī)則的檢測方法,最終用戶需要經(jīng)常更新規(guī)則,,在入侵規(guī)則的獲取,、更新方面存在瓶頸,缺乏有效性,、自適應(yīng)性和可擴(kuò)展性,,不易檢測入侵變體。為此,,近幾年人們把入侵檢測技術(shù)與生物免疫系統(tǒng)相結(jié)合,,通過對自然免疫系統(tǒng)的模擬研究,力圖使計算機(jī)網(wǎng)絡(luò)系統(tǒng)獲得更多理想的安全特性,,這就導(dǎo)致了一種新型,、智能化的入侵檢測系統(tǒng)——網(wǎng)絡(luò)入侵免疫系統(tǒng)(Network Intrusion Immune System。簡稱NIIS)的誕生,,并成為當(dāng)今的研究熱點之一,。
本文對當(dāng)前的入侵免疫系統(tǒng)中應(yīng)用的免疫機(jī)制做了簡要介紹,并對國內(nèi)外一些關(guān)于入侵免疫系統(tǒng)模型研究的新進(jìn)展做了比較分析,。
1 網(wǎng)絡(luò)入侵免疫系統(tǒng)NIIS的結(jié)構(gòu)模型
免疫系統(tǒng)是一個復(fù)雜的多代理系統(tǒng),。將免疫系統(tǒng)應(yīng)用到入侵檢測當(dāng)中,本質(zhì)上是設(shè)計和實現(xiàn)一個分布式智能多代理系統(tǒng),。免疫的基本原理是分辨本體(正常)和異體(異常),。在入侵檢測領(lǐng)域,本體是被監(jiān)控網(wǎng)絡(luò)的正常行為,,異體是網(wǎng)絡(luò)的異常行為,。NIIS主要由兩部分組成,抗體培育中心和免疫代理,,見圖1,。
2 入侵免疫系統(tǒng)中應(yīng)用的免疫機(jī)制
目前入侵免疫模型中應(yīng)用的主要有以下一些免疫機(jī)制:
(1)以氨基酸短序列為基礎(chǔ)的免疫識別機(jī)制
不同生物的細(xì)胞都會表達(dá)(在細(xì)胞膜外表面上)或分泌一些具有獨特結(jié)構(gòu)的蛋白分子,可以作為不同生物的識別標(biāo)志。這種蛋白分子上的獨特結(jié)構(gòu)是由相鄰的氨基酸排成的序列,,稱為決定簇,。淋巴細(xì)胞受體能與病原體的抗原決定簇(配體)互補(bǔ)結(jié)合,從而實現(xiàn)對病原體的免疫識別,。這些機(jī)制為進(jìn)行模式識別提供了實現(xiàn)方法上的啟示,。
(2)以受體編碼基因庫為基礎(chǔ)的免疫多樣性機(jī)制
生物體在進(jìn)化過程中逐漸形成了一組編碼淋巴細(xì)胞受體的基因庫?;驇鞂缀跞魏我环N病原體,,都能生成可以對基進(jìn)行特性異性識別的受體,這種機(jī)制稱為免疫多樣性,。
(3)以陰性選擇為基礎(chǔ)的免疫耐受機(jī)制和分布式檢測機(jī)制
淋巴細(xì)胞受體的特性是只結(jié)合并識別病原體抗原,,而不對自身抗原產(chǎn)生免疫反應(yīng)(即自身耐受)。免疫學(xué)中通過陰性選擇來解釋成熟淋巴細(xì)胞的生成過程:淋巴細(xì)胞在表達(dá)出識別受體后,,要經(jīng)過一個陰性選擇過程,,在這個過程中,凡表達(dá)自身抗原識別受體的淋巴細(xì)胞會過程性死亡,;相應(yīng)地,,發(fā)育成熟的淋巴細(xì)胞就只能識別非自身抗原了。免疫系統(tǒng)在對非自身抗原的免疫反應(yīng)過程中,,是各種免疫細(xì)胞通過高度局部化的相互作用而實現(xiàn),,這一機(jī)制在入侵檢測系統(tǒng)模型中得到了極大的重視和應(yīng)用。
(4)以記憶B細(xì)胞為基礎(chǔ)的免疫記憶機(jī)制
免疫系統(tǒng)在后天可以被具有某種決定簇的抗原所誘導(dǎo)而產(chǎn)生免疫應(yīng)答,,當(dāng)再次遇到這種抗原的時候,免疫應(yīng)答會更敏感,、更迅速和更強(qiáng)烈,。這種后天通過抗原的誘導(dǎo)而獲得的適應(yīng)性和特異性的免疫反應(yīng)能力,被稱為免疫記憶,。免疫記憶的特異性不是一對一的,,它不僅使系統(tǒng)對以前遇見過的抗原仍然具有檢測能力(更敏感、更迅速和更強(qiáng)烈),,還能對相似結(jié)構(gòu)的其他抗原產(chǎn)生免疫應(yīng)答,。
3 網(wǎng)絡(luò)入侵免疫系統(tǒng)的研究進(jìn)展
3.1 國外的研究進(jìn)展
在國外提出基于免疫機(jī)制入侵檢測模型的代表主要是:新墨西哥大學(xué)的Forrest、Hofmeyr小組,;University of Memphis的Dasgupta小組和倫敦大學(xué)的Kim,、Bentley小組。Forrest小組致力于建立一個計算機(jī)免疫系統(tǒng),,提出用反向選擇算法NSA來產(chǎn)生成熟檢測器(類似于達(dá)爾文進(jìn)化論中的優(yōu)勝劣汰的自然選擇算法),,并首次提出“計算機(jī)免疫學(xué)”一詞。Forrest小組基于免疫機(jī)制的入侵檢測模型是一個基于網(wǎng)絡(luò)的入侵檢測模型,在這個模型中,,整個系統(tǒng)由分布在網(wǎng)絡(luò)中處于監(jiān)聽狀態(tài)(“混雜”模式)的一組主機(jī)構(gòu)成,,每臺主機(jī)是一個檢測檢點。在每個檢測給點上,,用于免疫識別的抗原是由TCPSYN請求包中的源IP地址,、目的IP地址和服務(wù)端口三個屬性構(gòu)成的定長為L的二進(jìn)制符號串。模型中的陰性檢測子是免疫系統(tǒng)中B細(xì)胞,、T細(xì)胞和抗體的綜合體,,數(shù)據(jù)結(jié)構(gòu)與抗原相同,檢測子與抗原的特導(dǎo)體互補(bǔ)結(jié)合以定長的連續(xù)位匹配函數(shù)來模擬,。Forrest小組還提出了采用連續(xù)位匹配函數(shù)時,,提高成熟檢測子生成效率的方法。
Dasgupta小組提出了一種實現(xiàn)入侵檢測的免疫遺傳模型,,并提了一種新的檢測子結(jié)構(gòu),,還提出了一個生成衡量不同危險級別的檢測子的思想,這是該小組的主要貢獻(xiàn),;不足之處在于其設(shè)計只是針對突發(fā)異常數(shù)據(jù)包的一類攻擊,,這種攻擊很容易被發(fā)現(xiàn),因此價值不高,。Kim小組描述了陰性選擇,、克隆選擇和檢測子基因庫進(jìn)化三種免疫機(jī)制的應(yīng)用。該模型中,,用于免疫識別的抗原是一種聚集結(jié)構(gòu),,模型中檢測子的結(jié)構(gòu)與抗原的結(jié)構(gòu)相同,檢測子與抗原是否匹配是通過所有各屬性的匹配分值之和是否超過某個閾值而判定的,。系統(tǒng)由中樞IDS和周圍二級IDS組成,。在中樞IDS上存儲著一個用于生成未成熟檢測子的基因庫,基因庫最初是根據(jù)有關(guān)入侵的先驗知識建立的,,然后再利用成功檢測到入侵的有效檢測子的信息來進(jìn)化,,周圍IDS以中樞IDS傳送的成熟檢測子進(jìn)行入侵檢測。
在以上三個模型中,,F(xiàn)orrest小組的模型較為新穎,,研究最為實現(xiàn)、完整和深入,。由于應(yīng)用了免疫耐受機(jī)制(陰性選擇),,該模型采用分布式檢測方式,由此帶來了系統(tǒng)的健壯性,、多樣性,、輕量級和可擴(kuò)展性,。不過該模型也有一些不足,主要是模型中參數(shù)較多,,且各參數(shù)之間的相互關(guān)系,,與具體應(yīng)用環(huán)境、系統(tǒng)的資源,、數(shù)據(jù)特點,、檢測率和效率等因素的關(guān)系都不確定,對怎樣確定的一組參數(shù)值才能獲得較好的檢測效果有待進(jìn)一步研究,。Dasgupta小組研究的內(nèi)容只是其中的一個方面,,即陰性檢測子和陽性檢測子的比較以及陰性檢測子的遺傳生成算法。Kim小組提出的模型從原理和結(jié)構(gòu)上看尚不存在問題,,有待實驗驗證,。
3.2 國內(nèi)的研究進(jìn)展
國內(nèi)關(guān)于入侵免疫系統(tǒng)的研究,目前正如火如荼,,采用了神經(jīng)網(wǎng)絡(luò),、數(shù)據(jù)挖掘、模糊邏輯和遺傳算法,、Agent,、對象免疫等多項技術(shù),并已經(jīng)有了相當(dāng)研究成果,。主要有:
趙俊忠等結(jié)合多Agent和數(shù)據(jù)挖掘技術(shù)提出了一個基于免疫機(jī)制的入侵檢測系統(tǒng)模型,,該模型在數(shù)據(jù)挖掘技術(shù)的應(yīng)用上與別人有所不同,強(qiáng)調(diào)不同用戶行為的個體差異,。挖掘不同用戶個體行為的規(guī)律性和不同服務(wù)器的配置信息,,因此,獲得了較高的檢測率和準(zhǔn)確性,,并將檢測范圍擴(kuò)充到了UDP數(shù)據(jù)包的檢測,。
潘志松等提出了一個基于自然免疫和疫苗接種機(jī)制相結(jié)合的入侵檢測系統(tǒng)模型以及相關(guān)算法,該算法充分考慮了數(shù)據(jù)包負(fù)載部分包含的入侵信息,,建立反饋機(jī)制,,并將疫苗接種機(jī)制引入入侵檢測中,,使入侵檢測系統(tǒng)增強(qiáng)了對未知攻擊的識別能力,,并使系統(tǒng)具有自組織性,高效性和分布性,。
鄧貴仕等對檢測子的生成機(jī)制和匹配算法進(jìn)行了較為深入的探討,,建立了一個基于免疫原理和Agent技術(shù)的三層分布式網(wǎng)絡(luò)入侵檢測系統(tǒng)模型,但該模型存在不足的地方,,例如如何縮短陰性選擇過程的時間,,尋找更加高效的字符串匹配方法等,。這些都是關(guān)系到系統(tǒng)效率的核心問題,需要做進(jìn)一步的研究,。
孫美鳳等針對的流量特征,,提出了對Hofmeyr自適應(yīng)免疫系統(tǒng)模型的一種改進(jìn),新的模型保留了Hofmeyr模型的優(yōu)點,,可用于企業(yè)園區(qū)網(wǎng),,具有更強(qiáng)的能力,能為園區(qū)網(wǎng)提供全局的檢測和保護(hù),。但對用報文內(nèi)容刻畫的攻擊無能為力,,如各種特洛伊木馬攻擊,它以報文中具有某個子串為攻擊特征,。
胡翔等基于對象免疫思想,,提出了一個入侵免疫系統(tǒng)的構(gòu)建方法,其核心是圍繞對象行為模型定制免疫規(guī)則,,使每個對象受到針對性的保護(hù),。
吳作順等提出了一個基于免疫學(xué)的多代理入侵免疫系統(tǒng)模型,該模型中,,基于免疫學(xué)的安全代理能在聯(lián)網(wǎng)節(jié)點之間漫游,,監(jiān)視網(wǎng)絡(luò)狀態(tài)。這些代理相互識別對方的活動行為,,以等級方式進(jìn)行合作,,并根據(jù)底層安全規(guī)則采取相應(yīng)的行動。移動代理具有自學(xué)學(xué)習(xí)能力,,能動態(tài)適應(yīng)周圍環(huán)境,,檢測出已知與未知的入侵。多代理檢測系統(tǒng)同時在不同層次監(jiān)視聯(lián)網(wǎng)計算機(jī)的活動情況,,包括用戶級,、系統(tǒng)級、進(jìn)程級和數(shù)據(jù)包級,。
張勇等提出了一個基于免疫原理的多代理網(wǎng)絡(luò)入侵檢測系統(tǒng)模型,,該系統(tǒng)是一個分布式的,各個檢測代理之間也是松耦合的,,可以相互代替,,并在本地保存了入侵日志,安全性較高,,但只能根據(jù)單個網(wǎng)絡(luò)包來實現(xiàn)檢測,。
吳澤俊等提出了一個基于免疫的克隆選擇算法,對入侵檢測的免疫模型做了一些改進(jìn),。
馬建偉等提出一個生成“檢測體”具有動態(tài)動態(tài)平衡的計算機(jī)免疫系統(tǒng),。
劉賽等提出了一種免疫遺傳算法,,能檢測較大范圍內(nèi)的網(wǎng)絡(luò)入侵并能產(chǎn)生較好的模式識別器。
國內(nèi)上述模型雖應(yīng)用了免疫系統(tǒng)的原理和機(jī)制,,但有的只用了一部分,,缺乏完整性,并且還主要停留在理論研究和探索階段,,所做的工作較為零散未能形成連續(xù)的和系統(tǒng)性的研究,,特別是距離在工程層面上的應(yīng)用還有一定差距。
4 入侵免疫系統(tǒng)的評測因素
迄今提出的入侵免疫系統(tǒng)模型已有很多,,毫無疑問存在一個評測的標(biāo)準(zhǔn),,本文稱之為評測因素。值得注意的是這些評測因素的存在影響著未來的入侵免疫系統(tǒng)的發(fā)展方向,。影響一個入侵系統(tǒng)的性能及應(yīng)用的廣泛性的因素很多,,但最主要的有以下幾個方面:
(1)檢測抗原入侵的全面性程度
全面性程度是一個最重要的參數(shù),若入侵免疫系統(tǒng)能檢測,、免疫的抗原數(shù)越多,,則其普及性越好、漏檢率越低,。
(2)檢測模型的自適應(yīng)程度
自適應(yīng)模型結(jié)合自學(xué)習(xí)系統(tǒng)的優(yōu)點,,能體現(xiàn)特征系統(tǒng)的檢測效率。
(3)可配置性
系統(tǒng)能夠容易地根據(jù)網(wǎng)絡(luò)或計算機(jī)的不同需求進(jìn)行配置,。網(wǎng)絡(luò)環(huán)境中的個體主機(jī)都是異構(gòu)的,,可能有不同的安全需求、不同的網(wǎng)絡(luò)組件,,例如:路由器,、DNS、防火墻等及各種不同的網(wǎng)絡(luò)服務(wù)可能有不同的安全需求,。
(4)健壯性(魯棒性)
系統(tǒng)必須有多個檢測點,,這樣才能足夠健壯,以對抗攻擊以及系統(tǒng)的任何差錯,。NIIS最大的弱點就是遭受黑客攻擊從而導(dǎo)致系統(tǒng)失效,。
(5)互操作性
指NIIS部件之間以及與其他安全系統(tǒng)之間的互操作性,應(yīng)從體系結(jié)構(gòu),、API,、通信機(jī)制、語言格式等方面規(guī)范NIIS,。
(6)輕量級
輕量級的NIIS不會給系統(tǒng)造成過大的負(fù)擔(dān),。如果NIIS是輕量級的,,就能提高工作效率,,因為每一組件完成的任務(wù)很小,,本地主機(jī)需執(zhí)行的主要任務(wù)應(yīng)是有限的。
5 今后進(jìn)一步的研究方向
入侵免疫系統(tǒng)的研究發(fā)展方興未艾,,入侵免疫技術(shù)作為當(dāng)前網(wǎng)絡(luò)安全研究的熱點,,還需要做進(jìn)一步深入、細(xì)致和長期原研究,。今后可以在以下幾方面開展進(jìn)一步的研究:
(1)生成高效,、多功能的檢測子
現(xiàn)有NIIS中的檢測子僅僅基于單個網(wǎng)絡(luò)包檢測,具產(chǎn)生有效檢測子的效率也不高,。因此,,未來的入侵免疫系統(tǒng)若采用包含關(guān)于網(wǎng)絡(luò)流量及連接的停息的多功能檢測子,其檢測功能將大大增加,。
(2)采用自動免疫應(yīng)答,、響應(yīng)機(jī)制
IDS的入侵響應(yīng)方式和響應(yīng)能力往往受到一定限制,而NIIS的響應(yīng)機(jī)制接近最新出現(xiàn)的自動入侵響應(yīng)系統(tǒng),。所以,,NIIS在響應(yīng)機(jī)制方面將朝著自動入侵響應(yīng)系統(tǒng)AIRS方向發(fā)展。
(3)進(jìn)一步完善系統(tǒng)功能
NIIS系統(tǒng)的一些重要功能尚未完成,,例如免疫反應(yīng)功能,、基因庫的演化等。
(4)擴(kuò)展輸入源
目前的數(shù)據(jù)源是網(wǎng)絡(luò)數(shù)據(jù)包,,下一步可以擴(kuò)展輸入源,,使NIIS能夠檢測到更多種類、更多層級上的入侵,。
腦神經(jīng)系統(tǒng)(神經(jīng)網(wǎng)絡(luò)),、免疫系統(tǒng)和遺傳系統(tǒng)(演化計算)是生物體中三個具有重大研究意義的系統(tǒng)。其中,,免疫系統(tǒng)的研究正成為新的研究熱點,。免疫系統(tǒng)具有一些復(fù)雜系統(tǒng)所共有的特性,這些特性的研究無論從理論上還是工程應(yīng)用上都有深遠(yuǎn)意義,。不過應(yīng)明確,,入侵檢測系統(tǒng)和免疫系統(tǒng)面對的總是并不完全一致。例如:免疫系統(tǒng)并不提供對機(jī)密性的保護(hù),。另外自身免疫性疾病也使我們看到自然免疫系統(tǒng)并不是一個非常完善的保護(hù)系統(tǒng),。因此,這說明了研究和構(gòu)建入侵免疫系統(tǒng)工作的艱巨性和長期性,。
