基于危險模式的ＩＤＳ異常檢測模型

摘要：針對當前入侵檢測技術在檢測新入侵的不足，分析了危險模式理論應用于異常檢測的可行性，提出了一個新型的基于危險模式的自適應IDS異常檢測系統模型以及相關算法。該系統有效地降低了誤報率和漏報率，具有自適應、自學習、自組織和分布性特點。

關鍵詞：異常檢測; 危險模式理論; 潛在危險; 危險區

中圖分類號：TP18； TP309文獻標志碼：A

文章編號：1001－3695(2007)07－0143－03

0引言

眾所周知，入侵檢測技術分為兩類：誤用檢測(Misuse Detection)和異常檢測(Anomaly Detection)。誤用檢測的檢測精度和效率高，但致命缺點是沒有自適應性和自我學習能力，無法檢測新類型的入侵。由于誤用檢測技術的致命缺點，人們又研究出一些能識別檢測未知及新入侵的方法，通過檢測算法來區別正常行為和異常行為，這就是異常檢測。

作為防御新類型入侵的關鍵，異常檢測仍是一種新興的、待進一步發展的技術。當前異常檢測技術存在以下不足：①基于正常—異常識別，所有不符合于正常模式的行為均被認為是入侵，如此必然耗費大量資源卻得不到應有的檢測率且容易引起誤報。②一般為監督式，需要不包含任何攻擊的正常數據來訓練。如果訓練數據不純凈，則容易引起漏報。而在實際操作中這樣純凈的數據很難找到，因此無監督的異常檢測技術是未來主要研究的方向[1]。

為了解決以上不足，許多新理論、新算法均不斷被應用于異常檢測中，如神經網絡、數據挖掘、人工免疫等技術。尤其近年來基于人工免疫的檢測方法以其自適應、自學習、自組織、并行處理和分布協調等方面的優越性成為研究熱點。然而與此同時，眾多研究者逐漸認識到由于傳統免疫學SNS基于自我—非我識別的局限，同樣存在誤報、漏報和計算規模等問題，難以用于實際的大型網絡[2]。

最近，隨著生物免疫學的豐富和完善，一個新的免疫理論——危險模式理論(Danger Theory，DT)已經引起人們極大的興趣，它在入侵檢測中的應用研究已經展開[3]。文獻[4，5]認為DT將引入入侵檢測，不僅可以檢測已知和未知的攻擊，還可以降低誤報率和解決陰性選擇模型的規模問題。Nottingham大學的Uwe Aickelin小組近年來一直致力于將DT應用于入侵檢測中，目標是為DT建立一個計算模型，以定義、研究和發現危險信號，并根據該模型建立一些新算法，用于構造具有較低誤報率的IDS[3]。國內郭晨等人[6]率先提出基于危險模式的免疫算法模型研究，進一步建立了簡單的入侵檢測系統模型[7]。

本文簡單介紹了危險模式理論并分析其應用于異常檢測的可行性，建立一個基于危險模式的IDS異常檢測模型，區分有害入侵（網絡惡意攻擊）和無害入侵(錯誤操作引起的誤入侵)，有效降低誤報率、漏報率和計算規模，以提高IDS的檢測精度和效率。同時結合免疫聚類算法ARIA，對快速發現新病毒和用戶異常行為進行研究，以提高IDS的智能水平。

1預備知識

1．1危險模式[8，9]相關理論

DT最初由Matzinger提出，對移植、腫瘤、自身免疫反應等問題作出了較好的解釋，為研究免疫學開辟了全新的視野。它與傳統模式SNS的根本區別是免疫應答的觸發信號不同。SNS認為免疫系統區分自我—非我，只對異己抗原產生的外源性信號產生免疫應答，因此只存在一種信號，即抗原提呈信號。

DT消除了自我—非我的界線，認為誘發免疫應答的關鍵是機體細胞受損后產生的危險信號而不是入侵的異己，因此免疫系統只區分危險信號并對其產生應答。DT存在三種信號：細胞受損或異常死亡導致零信號（危險信號）產生，并傳遞給抗原提呈細胞（APCs）識別，APCs只有被零信號活化后才會提供第二信號（協同刺激信號）。同時具備第一信號（抗原提呈信號）和第二信號使細胞活化或增殖；只有第一信號、缺乏第二信號導致自身健康組織耐受。其中，危險信號根據來源分為兩大類，即危險的外界病原和有害的自身，這兩類信號均能刺激APCs并引發免疫應答。

1．2免疫聚類算法ARIA[10]

免疫聚類算法不僅是簡單的無監督聚類分析技術，又能提供更多樣化的數據表示，這在分類不可見數據及其變化中非常有效[11]。基于距離和劃分的免疫聚類算法具有算法簡單、收斂快的特點，但在聚類邊界模糊、交迭或密度變化大等情況下容易導致數據失真。2005年Bezerra等人提出基于密度的免疫聚類算法ARIA。該算法直接搜尋數據空間的密集區域，有效提取數據集的結構特征，快速發現任意形狀的更多好的聚類，并能較好地保存原始數據信息和處理數據失真問題，同時對噪聲魯棒。

2危險模式應用于IDS異常檢測的可行性

DT用危險信號代替了自我—非我這一免疫應答的決定因素，從空間概念上改變了傳統模式的束縛：一方面，既可對自身健康組織耐受，又可對無害的、甚至是對機體有益的異己耐受；另一方面，除了對有害的入侵異己應答，還可能對體內異常的、構成危險的自身組織應答，不再將自身化為絕對耐受。文獻[4~7]證明了基于危險模式免疫算法應用于IDS的可行性。DT克服由于傳統自我—非我選擇的局限性，造成“異常即入侵”的錯誤，無須建立完善的抗體集，無須對所有抗原進行匹配運算，從而大大減少模型計算和應答規模，更具實際操作性；同時，適當的危險信號將非我空間控制在一個可控的尺寸，還可以處理自我（或非我）隨時間而改變的情況[5]。但以上文獻沒有進一步分析DT與兩種入侵檢測技術的關聯異同。

危險模式只對危險信號進行分析，從而發現有害的異己和自體。相應地，異常檢測只對異常行為進行檢測，從而發現未知的攻擊模式。由此可知危險模式更適用于基于異常的入侵檢測。如圖1所示，把危險模式引入IDS異常檢測技術中，打破自我、非我之分，無害的異己對應由于自身錯誤操作引起的無意識入侵，有害的異己應答對應有害的入侵攻擊，這樣就不會將正常行為誤判為入侵行為，也不會漏掉有害的入侵行為，從而降低IDS誤報率、漏報率。

3基于危險模式的IDS異常檢測系統模式

DT在生物免疫學界屬于較新的理論，發展還不完善，其中的一些原理還未完全弄清，因此對其在入侵檢測中的應用研究尚處于起步階段。如何將DT與入侵檢測系統相對應，以及如何實現一個完整的入侵檢測系統將是今后研究的方向[3]。文獻[7]在這方面進行了初步研究，提出了簡單的基于危險模式免疫算法的IDS體系結構和相關的模型說明。但該模型存在不少問題，如該體系結構雖具備一定的分布性，但顯然忽略了HIDS之間的分布聯系，這直接導致整個系統檢測效率的下降；該模型自適應更新系統抗體方法較單一，僅根據抗原達到一定規模來更新系統抗體等。因此本文從DT中抽象出與異常檢測相關的原理、結構，提出完整的基于危險模式的IDS異常檢測系統模型及相關算法，并結合免疫聚類算法ARIA，充分捕捉惡意的入侵信息和用戶異常行為，建立完善的入侵檢測機制。

3．2模型總體設計

如圖2所示，一級IDS (IDS服務器）產生大量檢測器集合，多個獨立檢測器描繪這些數據包的潛在危險模式，并轉移到二級IDS（HIDS）中檢測數據包；各IDS之間協同通信，加速檢測相同的攻擊。這種機制保證了系統的分布性和高效性。完整的基于危險模式的IDS異常檢測系統模型如圖3所示。

3．2．1一級IDS，完成數據采集處理和ULD初始訓練

數據源負責數據采集，并截獲網絡數據包進行協議解碼。過濾系統對數據進行預處理，解碼提取特征。危險數據庫存儲有害抗體集合，其功能是用來訓練成熟D－ND檢測器和接收二級IDS反饋的最新危險數據以實現自動更新。危險數據的不斷反饋更新和完善，這種機制保證了系統的無監督、自學習和自治能力，充分體現了系統的高自適應性。未成熟檢測器從危險數據庫中抽出一定數量的抗體并作相應預處理，克隆變異后訓練出成熟D－ND檢測器（區分危險—潛在危險區域并附帶相應響應信息），用來檢測潛在危險數據。

3．2．2二級IDS，完成主要的入侵檢測工作

危險區檢測器（HIDS）：各個HIDS接收一級IDS傳送的AgLD，通過危險區內的Ab－Ag匹配來最終判斷是否為AgD(有害活動或入侵)并發出相應信息。若檢測到AgD，根據免疫記憶原理自動成為記憶抗體并傳送到憶檢測器集合Ustore。記憶檢測器將新添入的記憶抗體傳送至各個HIDS和危險數據庫，使每個HIDS具有針對該入侵行為的檢測能力，從而加快各系統整體檢測效率。若危險數據庫遭到破壞，IDS可快速恢復。

危險特征提取分類器用來提高IDS的智能性。如果系統產生大量報警，使系統管理員無法獲取有價值的信息，造成多報警等于不報警的現象。一個智能的IDS應自動分析大量危險信息，對其進一步分類或標志，從中提出有用信息。但大量數據以手工方式標記學習非常耗時，難以滿足實際應用的需求，因此本模型使用無監督的聚類算法ARIA。

成熟的抗體記憶了用戶異常行為和惡意入侵攻擊的典型數據模型，當相同或相近的危險數據在危險區頻繁出現時，就引起抗體在該區自動聚類，在聚類中心定義一些特別的提示碼，將其提交給危險數據庫，在進一步確認其所對應的數據模式類型并對其進行標記后，提交給系統管理員。這樣模型不但檢測到新型入侵，還進一步分析得出入侵特征，使管理員快速發現用戶異常行為特征或新型病毒特征，及時制定相應的對策。

4相關算法描述

（1）D－ND檢測器的訓練采用文獻[6]的算法

procedure Train_AB()

（2）記憶監測器算法

Procedure Store()

{for(i=1;i++;i<=|Ustore|)

{Compute the similarity of Abi and AgLD;

if (AgLD and Abi are completely matching)

Count_Abi++;

else if (AgLDand Abi are highly similar)

Count_Abi=+ξ; //ξ是相似度閾值

else AgLD →Ustore;

}

Feedback(AgLD);

If(AgLD is AgD)

move AgD to UD and Dangerousdatabase;

}

（3）危險特征提取分類器算法

Procedure DangerClassify ()

{ ARIA( Dangerzone);

if(Abi∈a Cluster) 

define codes in the center of this Cluster;

move codes to DangerDateBase;

Feedback(codes);//反饋信息}

（4）模型控制算法 

①免疫模型初始化，訓練成熟檢測器D－ND集合。

②克隆D－ND集合并傳送至二級IDS危險區檢測器。

③截獲網絡數據包并處理為Ag形式。

④由一級IDS成熟檢測器判斷是否為AgLD，若是，則計算危險程度。若危險程度大于潛在危險閾值則啟動危險模式，轉入⑤；否則繼續檢測。

⑤進入二級IDS，AgLD送至記憶檢測器檢測，若完全匹配，則將其刪除；否則轉⑥。

⑥啟動危險區檢測器，進入危險區，計算Ab－Ag親和力。若大于危險閾值則為AgD，清除抗原并將其副本傳至記憶檢測器和危險特征提取分類器，同時發出相應信息通知響應模塊；否則繼續檢測；若Count_Abi 達到頻繁閾值，轉⑦。

⑦運行危險特征提取分類器。

5結束語

本文提出了一個基于危險模式的IDS異常檢測系統模型和相關算法。該算法充分考慮了數據包中包含的潛在危險入侵信息，有效區分有害入侵和無害誤入侵，并將免疫聚類算法引入反饋機制中，有效地提取分類危險數據特征，使管理員快速發現新病毒和用戶異常行為特征。該系統大大提高了檢測精度，減少誤報、漏報現象，具有高自適應、無監督和分布性的特點。如何定義適當的危險程度、相似度閾值和提高免疫算法的效率，是下一步研究的方向。

參考文獻：

[1]馬曉春，高翔，高德遠.聚類分析在入侵檢測系統中的應用研究[J].微電子學與計算機， 2005，22(4):134－136.

[2]AICKELIN U， CAYZER S. The danger theory and its application to artificial immune systems: proc.of the 1st International Conference on Artificial Immune Systems[C]. Canterbury， UK:[s.n.]， 2002:141－148.

[3]趙林惠，戴亞軍，徐立新.免疫學原理在入侵檢測中的應用研究[J].計算機應用， 2005，25(8):1726－1743.

[4]AICKELIN U， BENTLEY P， CAYZER S， et al. Danger theory: the link between AIS and IDS: proc.of the 2nd International Conference on Artificial Immune Systems[C]. Edinburgh， UK:[s.n.]， 2003:147－155.

[5]GREENSMITH J， AICKELINU， TWYCROSS J. Detecting danger: applying a novel immunological concept to intrusion detection systems: the 6th International Conference in Adaptive Computing in Design and Manufacture[C]. Bristol， UK:2004:1135－1142.

[6]郭晨，曾志峰，梁家榮，等.基于危險模式的免疫算法模型[J].微電子學與計算機， 2004，21(10):19－26.

[7]郭晨，梁家榮，王厚茜.基于危險模式免疫算法的入侵檢測系統模型[J].蘭州理工大學學報， 2005，31(4):79－82.

[8]MATZINGER P. Tolerance danger and the extended family[J]. Annual reviews of Immunology， 1994，12:991－1045.

[9]MATZINGER P. The danger model: a renewed sense of self[J]. Science， 2002，296:301－304.

[10]BEZERRA G， BARRA T， CASTRO D， et al. Adaptive radius immune algorithm for data clustering[J]. ICARIS， 2005，33:290－303.

[11]TIMMIS J， NEAL M， HUNT J. Data analysis with artificial immune systems and cluster analysis and kohonen networks some comparisons: proc.of the IEEE International Conference on Systems and Man and Cybernetics[C].Tokyo， Japan:[s.n.]， 1999:922－927.

注：“本文中所涉及到的圖表、注解、公式等內容請以PDF格式閱讀原文”